“En tiempos de crisis, nada mejor que leer la carpeta de spam para animarse. Me han tocado $6 millones y mi pene puede crecer un 20-35%.”

Carlos Cazurro, vía Frase del día

Fuente, visto en links de viernes de Fabio.com.ar

El último miércoles realizamos la segunda parte del Workshop de Seguridad Informática en Sistemas Operativos, con alumnos estudiantes de Ingeniería en Sistemas (mayoritariamente de cuarto año de la carrera) de la Universidad Tecnológica Nacional de Rosario.

Por mi parte, la jornada fue una continuación de lo que vimos en el primer encuentro, y pueden consultar las diapositivas en el post “Presentación: Seguridad en Sistemas Operativos (primera parte)“.

Este último miércoles intenté que avancemos un poco más en el procedimiento de testear la seguridad de un sistema operativo, así que hablamos de eso con los alumnos, y les mostré algunas prácticas para que se entiendan claramente los conceptos de vulnerabilidad, exploit, parche, etc.

Acá van las diapositivas:

Como verán, fuimos intercalando algunos conceptos teóricos con algunas demostraciones.

Entre las dos charlas, les presenté un kit de herramientas esencial para aquellos que quieran entender los conceptos antes mencionados: nmap, nessus y metasploit.

No es que no existan otras aplicaciones relacionadas, pero estas tres herramientas a mí me han sido de mucha utilidad para aprender, y quise compartirlas con los alumnos.

En fin, una actividad que esperemos se pueda repetir el próximo año. Los alumnos le pusieron buena onda y estuvieron muy despiertos para contestar algunas preguntas con las que los fui bombardeando. Al final, como siempre, dejé un espacio para preguntas en donde, entre otras, surgió el interesante debate de qué debe hacer un investigador en seguridad si encuentra una vulnerabilidad: ¿publicarla o no publicarla? Charlamos unos cuantos minutos del tema y no repetiré la conversación aquí, pero si les dejo dos enlaces relacionados. Lo que yo escribí en “El culpable equivocado” y lo que dijo Chema Alonso en “¿Cómo avisar de un bug en una web?“.

Por último, les dejo una opinión de un asistente que me hizo reir mucho, parece que “la rockié“.

En el día de ayer comenzó la etapa “agresiva” de la viralización para el Rosario Blog Day 2009, el evento más importante de la ciudad en lo que respecta a blogs y nuevas tecnologías. El año pasado ya asistí al evento y lo anuncié en el blog, y también lo hice en 2007, aunque todavía no tenía el blog.

Este año, anuncio el evento con una noticia particular: seré disertante del mismo. Los organizadores me han invitado y yo he aceptado con placer. Todavía no hemos cerrado el título de la charla pero por el momento estoy en el panel sobre “la adecuada presencia en Internet” junto a Horacio Bella, Axel Marazzi y Jonathan Ríos.

La noticia me ha puesto muy contento por varios motivos:

1. Que hayan pensado en mí es una alegría enorme y estoy muy agradecido por ello. Es la primera vez que me ocurre que alguien piensa en mí como disertante y se concreta, así que estoy muy feliz y me alegro que piensen que puedo ser un buen disertante (o al menos que sirvo para rellenar, jeje).
2. Tener la oportunidad de disertar sobre otros temas que me interesan relacionados a las nuevas tecnologías me alegra muchísimo. Hay muchos temas de los cuales leo y trato en el blog regularmente, pero por lo general mis charlas son sobre seguridad informática, que es a lo que me dedico full time todos los días.
3. Por último, y no menos importante; cuando asistí al Rosario Blog Day 2007, fue lo que faltaba para convencerme que me abra un blog, así que está genial dos años después poder compartir cosas que viví en este espacio, en el mismo lugar que me incentivó a abrirlo.

En fin, espero que podamos encontrarnos y estoy seguro que todo el evento (más aún que mis queridos minutos allí) estará genial para todos los rosarinos.

La inscripción es gratuita, pero ¡ojo!, los cupos son limitados. Así que no demoren más, visiten la agenda e inscribanse rapidito. Allí nos veremos.

Cuando aparece este cartel cada 10/15 minutos la cosa se vuelve insoportable:

Microsoft ya reparó este problema, según tengo entendido, en Windows Vista y Windows 7. ¿No podrían sacar un parche para no molestar más a los usuarios de Windows XP (que aunque tiene sus años, no deja de ser el más utilizado?

En fin, odio este cartel:

En los últimos meses se ha comenzado a popularizar un nuevo puesto de trabajo en las empresas: el community manager.

¿Quién es el community manager? Bueno, hablando muy mal, sería una persona encargada de todo lo que refiera a la empresa en Internet. Obviamente esta es una definición mia, para el pueblo digamos.

Algunas definiciones más específicas. La Wikipedia lo define como la posición encargada de construir, gestionar y acrecentar las comunidades alrededor de una marca. Según Connie Bensen, un Community Manager (de ahora en más, CM) es “la voz de la empresa hacia afuera, y la voz del cliente hacia adentro“. Esta es una definición más genérica que yo la acotaría al ámbito web: el CM es el encargado de escuchar qué opina la comunidad web sobre la empresa, y de comunicar y dar respuesta a esa opinión en nombre de la empresa.

Para algunos que estén más perdidos (porque es la primera vez que escuchan este término) vayamos a cuestiones más concretas. El Community Manager aparece como respuesta a responsabilidades que quedaban (y quedan en la mayoría de las empresas) vacías para ciertas tareas. Ejemplos:

• ¿Quién se hace cargo de un post en un blog que habla mal de nuestra marca? Peor aún… ¿quién encuentra ese post?
• ¿Quién se hace cargo de conocer qué opinan los usuarios de cierta red social sobre la empresa?
• ¿Quién define una estrategia de comunicación en dichas redes sociales?
• ¿Quién se encarga de contestar dudas de los usuarios en foros sobre los productos/servicios de la empresa?
• ¿Quién se encarga de identificar sitios web, redes sociales, foros donde la empresa debe participar? ¿Quién se encarga de identificar herramientas “2.0″ que la empresa puede utilizar?

Como verán, en la web se “habla” mucho de las empresas, las marcas; y hasta el momento las organizaciones no estaban preparadas para dar respuestas menos que improvisadas a esta necesidad. Para ello llega el CM.

En cuanto al perfil, los principales dos aspectos a destacar son los siguientes: conocimientos en comunicación (comunicador social, periodista, por citar algunos ejemplos. Blogger, por qué no.) y un amplio conocimiento de la Web 2.0 (¿3.0 también?). Digamos que necesitamos un adicto a la Web con mucho dinamismo, iniciativa, creatividad y fundamentalmente capacidad de comunicación.

Jeremiah Owyang (Community Manager de Hitachi) define 5 roles del CM:

1. Escuchar: usar herramientas de escucha como Technorati, Talkdigger, leer blogs, foros, wikis, y buscar que están diciendo los clientes. (agrega unmundobinario: y la comunidad en general, no solo clientes)

2. Responder: dependiendo de qué se esté diciendo, responder rapidamente  cuando sea apropiado.

3. Informar: contar a los “stakeholders” correctos en la empresa qué está pasando. Puede ser un Ingeniero, un Product Manager, Marketing, Bloggers o quién sea.

4. Callarse y sentarse: uno de los trabajos más importantes del CM es conectar al personal interno correcto con los usuarios/clientes y dejar que ellos sigan trabajando. No debe entrometerse en problemas que no entiende.

5. Escuchar más: seguir escuchando, respondiendo, informando y conectando a quien corresponda. Un CM debe tener ojos y orejas grandes, y una boca pequeña.

El mismo autor define los cuatro principios del CM:

1. Ser un abogado para la comunidad.
2. Ser un evangelista de la marca.
3. Poseer habilidades de comunicación, y ser rico en redacción.
4. Identificación de la voz de la comunidad para delinear futuros productos o servicios.

Pueden leer el detalle en el post fuente, sobre estos cuatro principios.

De una u otra forma, me resulta muy interesante esto del Community Manager y creo que se viene con todo en las empresa. Lo que pasa en la Web es cada vez más determinante en los resultados de las organizaciones y las empresas van necesitando un CM para cubrir la demanda de respuestas que debe brindar la empresa.

Lamentablemente, al ser una “profesión jóven”, todavía muchos no las han entendido. Como bien resalta el post “¿Qué hace exactamente un Community Manager?“, lamentablemente muchas empresas entienden que un CM “es un becario contratado para que rellene de contenido el blog de la empresa”. En ese caso, es probable que estén condenando el puesto al fracaso.

Pero aquellas empresas que logren contratar y posicionar un CM en sus funciones correctas y en forma efectiva, seguramente estarán entendiendo una necesidad del mercado sacando ventajas de su competencia, y creciendo como organización.

Por último, para aquellos que piensen que pueden tener este perfil: estén atentos. Estoy seguro que con un poco de paciencia este será un puesto muy importante en las organizaciones, así que no sería nada malo para aquel que le interese, ir definiendo su perfil y preparándose para el campo. De nuevo, paciencia será necesaria, porque esto viene lento, pero viene.

Como nos tiene acostumbrada la gente de Canonical, Octubre es el mes del segundo lanzamiento anual de una distribución de Ubuntu, la más usada entre usuarios de software libre.

Hice unas pequeñas pruebas a ver qué pasaba con unos primeros minutos en Ubuntu 9.10, también conocido como Karmic Koala.

La instalación no tiene nada de novedoso para un usuario final. Se descargan la ISO, se bootea, se carga la poca información necesaria en 6 pasos, y a instalar.

La instalación en mi máquina virtual me llevó media hora, un tiempo razonable y prudente. Una vez iniciado el sistema, tampoco encontré en un principio grandes novedades, así que me dispuse a ver cuáles eran las aplicaciones instaladas por defecto, a ver si encontraba alguna diferencia, y así fue.

La primera que me llamó la atención fue una noticia que luego noté ya se venía hablando hace un tiempo: no más Pidgin para Ubuntu. Parece que la gente del mensajero se durmió en sus laureles con la posibilidad de utilizar audio y video, y por lo tanto la gente de Canonical decidió reemplazar incluyendo como cliente IM por defecto en Ubuntu a Empathy.

Al loguearme en Emphaty no aparece nada loco. Me pude contectar a cuentas de MSN y Gtalk sin problemas, y aún no pude probar el audio-video.

La otra novedad al revisar el menú, también en la sección de Internet, es Ubuntu One. ¿De qué se trata? De un disco virtual que se puede acceder directamente como una carpeta en el sistema, y luego ser consultado en formato web, o sincronizado en otro equipo con Ubuntu. Una funcionalidad por demás interesante. Además, permite también sincronizar las notas de Tomboy y los contactos del sistema. En formato gratuito nos ofrece 2 gigabytes de almacenamiento, lo cual no es poco. Si uno quiero que la cosa se ponga más grosa, con poco dinero se lo puede llevara a 50 Gb. de información.

Acá pueden ver cómo cree dos archivos vacíos en Ubuntu…

… y luego los accedí desde otra PC con Windows, a través de la interface web:

En una primera instancia estas son las dos novedades más rutilantes y visibles de Ubuntu 9.10, las cuales resultan muy interesantes. Veré si actualizo el sistema en un equipo en producción (la laptop) y dejo otros post con la experiencia real con ambos programas.

Recuerden que luego de instalar Ubuntu, siempre es recomendable pasar un tiempo agregando algunas funcionalidades extras, como en su momento hice con mi Ubuntu 8.04.

Les dejo a continuación algunos enlaces que recopilé que valen la pena para conocer más sobre la nueva distribución

• The Perfect Desktop – Ubuntu 9.10 (Karmic Koala). Un interesante paso a paso sobre la instalación y algunos pasos posteriores recomendados como actualizar los paquetes, modificar los repositorios e instalar algunas aplicaciones como Opera o Picassa. En inglés.
• 10 ideas de Mark Shuttleworth sobre Ubuntu 9.10, vía FayerWayer.
• Ubuntu 9.10 ya está dando vueltas, incluye un video de un medio argentino hablando de la distro.
• Primeras impresiones de Kubuntu 9.10. Interesante que Fabio nos deja una primer reseña de la versión de Ubuntu con escritorio en KDE, para los kubunteros.

De todas formas, al ser software libre, lo mejor que pueden hacer es descargarlo y probarlo por su cuenta.

Como muchos ya habrán leído, hace un par de semanas realizamos el Workshop de Seguridad Informática en Sistemas Operativos y Aplicaciones en la Universidad Tecnológica Nacional de Rosario.

Aunque es una actividad realizada para alumnos, al ser abierta me tomo siempre la atribución de invitar a lectores rosarinos a asistir al evento. La vez pasada ya fueron algunos y espero encontrarme con otros esta vez.

El evento será la segunda parte de lo que hicimos aquella vez, aunque se puede asistir igual si te perdiste la primera parte. La idea es avanzar sobre otros aspectos distintos o más avanzados de la seguridad en sistemas operativos.

Los datos de la cita, son los siguientes:

• Día: miércoles 4 de noviembre
• Hora: de 19:00 a 21:00 hs.
• Lugar: SUM de la Universidad Tecnológica Nacional Rosario (Zeballos entre Entre Ríos y Corrientes)

Para los que quieran saber qué hicimos el otro miércoles, acá tienen la Presentación sobre Seguridad en Sistemas Operativos.

Los espero.

Arrancamos una nueva semana con mucho trabajo por delante. Para arrancar, ustedes recordarán que hace unos días dejé un post sobre el lanzamiento de Windows 7. Habiendo transcurrido unos 10 días desde el lanzamiento, se me ocurrió buscar a través de algunas herramientas de Twitter cuáles fueron las repercusiones al respecto y recopilar algunas en este post. Veamos…

La herramienta que más utilice fue Twtpoll, un sitio web que permite hacer encuestas a través de la red social de microblogging. Entre las tantas encuestas que se realizaron sobre Windows 7, una de las preguntas más comunes fue: ¿vas a actualizar a Windows 7?

Según la encuesta realizada por @thedatadoc, una de cada 5 personas está pensando en actualizar ahora. Si sumamos los primeros tres resultados, más de la mitad de los que contestaron están pensando en actualizar a Windows 7 en los próximos meses, lo cual indica a priori una buena recepción del nuevo sistema operativo de Microsoft. Aquí las respuestas:

Para agregar un dato más a través de las encuestas, una realizada por @MSspringboard se preguntaba si los usuarios instalarían versiones de 32 o 64 bits, resultando que un 80% de los que contestaron lo harían en la versión de 64 bits. Sobre este mismo tema, un twit de @tom4tez nos enlaza a un post de Gizmondo destacando las ventajas de las versión de 64 bits de Windows 7.

Algunos otros twits para destacar (ahora en español):

• Vía @NAJIULU se enlaza una prueba: ¿quién es más lento: Vista, 7 o Ubuntu? Los resultados son sorprendentes.
• @volc4n0 nos deja un enlace a la misma prueba, pero con Windows 7, XP y Ubuntu.
• Vía @datanoia, una parodia de Windows 7, un poco de humor.
• @ogalinski nos deja un listado con los nuevos atajos del teclado para Windows 7.

En resumen, me pareció interesante sacar este post, por un lado, para dejar algunas referencias a las primeras opiniones sobre la nueva versión de Windows; pero en segundo lugar, para mostrar las posibilidades que ofrece Twitter para conocer opiniones, enlaces, datos sobre determinado tema.

Quienes siguen el blog, sabrán que la seguridad en los aeropuertos es un tema que me atrae y me resulta por demás interesante. Ya escribí al respecto en varias oportunidades:

• Las cosas que llevó, farsa de los aeropuertos
• Tecnología de punta
• Contra el terrorismo, hagamos negocios

Habiendo viajado esta semana (a Chile otra vez), uno siempre se termina encontrando las mismas ridiculeces de siempre en los controles en los aeropuertos, y también un poquito de prejuicios y discriminación (como que a cinco jóvenes como nosotros nos hagan sacar los cinturones para pasar el control, y a un señor con traje lo dejen pasar con el mismo puesto).

Durante el viaje me acordaba de un chiste que había leído en la siempre divertida tira cómica de xkcd.com, que les dejo en su versión traducida al español:

La política de qué se puede subir y que no al avión es tan estúpida que asusta. El hecho de no poder subir con líquidos es de lo más gráfico. Lo mismo ocurre con los cortantes: una navaja que puede atravesar a una persona es quitada al igual que una tijerita para las uñas que con suerte corta las uñas.

En fin, no hay mucho para hacer en esta materia, pero siempre es bueno estar atentos y saber cuándo nos están cuidando, y cuándo nos están tomando el pelo.

Mientras retomo el ritmo en una semana realmente atareada, y en la cual pasé mucho tiempo off-line, leo en el blog de Hernán Racciatti que ya están disponibles una serie de charlas sobre Seguridad Informática que se dieron hace unas semanas en un evento de ArCERT. Si les interesa el tema, dense una vuelta por este canal en YouTube, y verán charlas (a mano derecha podrán elegirlas) sobre ataques en la web, seguridad en wireless, aspectos jurídicos, ingeniería reversa de malware (la de hernán j ustamente) y otros temas interesantes, todas dictadas por profesionales reconocidos aquí en Argentina.

Acceder  al canal de ArCERT en YouTube

A Luciano lo conocí personalmente hace unos meses, en las Jornadas del Sur en Bahía Blanca, donde ambos fuimos disertantes. Obviamente ya lo conocía de antes por los motivos que leerán en las preguntas. Luciano se acercó a mi charla, y a pesar de ser una persona reconocida en el ambiente (y en el evento mucho también), fue uno de mis oyentes favoritos desde que doy charlas, por su alta participación pero sin la arrogancia que suele recibirse a veces desde el público (más si sabe que cuando hablan, el resto lo reconocen).

En fin, desde allí nos hemos visto en varios eventos de seguridad y me pareció que valía la pena entrevistarlo, para llegar por primera vez con alguien bien metido en el software libre, y con algunas preguntas relacionadas también con la seguridad.

¡Gracias Luciano!

Parte 1: Datos personales

Luciano Bello es uno de los 6 desarrolladores Debian que hay de momento en Argentina. Trabaja como investigador en seguridad informática, en el Laboratorio SI6 de CITEFA. Tiene 28 años, y hace dos que la FRBA-UTN dice que es Ingeniero en Sistemas de Información, profesión que nunca ejerció. Vive en Villa Urquiza, sin mascotas (al menos macroscópicas o domésticas) y es un mediocre jugador de go.

1. ¿Cuál fue tu primer computadora? Tuve la suerte o desgracia de nacer casi sincronizadamente con el PC de IBM, así que fue lo que mayormente usé. Había amigos con otras cosas, como Comodore o Amiga, pero no me dejaban tocar mucho. En cuarto grado, mi mamá me inscribió en un curso de comuputación en mi escuela. Eran XT. Como no tenían disco rígido, iba una hora antes de la clase a butearlas con disquete. Ahí hice mis primeras armas, programando burdos jueguitos con logo. En mi casa unos reyes magos me introdujeron al maravilloso mundo de los 32 bits con una 80386, 8MB de RAM y un disco rígido de 40MB, que giró durante mucho tiempo más.
2. ¿Cuál es tu kit informático de uso diario? Lo básico es mi portátil, una Thinkpad X60. En la mochila suele viajar también un Nokia n800 y mi cámara de fotos, que es Canon PowerShot SX110 IS.
3. Un informático que admires. No se si uno admira a los “pioneros”, parecen lejanos (incluso muchos están muertos). Hay gente admirable a la vuelta de la esquina, de esos que uno puede conocer, al menos para intercambiar algunas palabras. Por nombrar solo algunos: Gordon Lyon, Wietse Venema, Jon “Maddog” Hall, y un largo etcétera. Gente inteligente, muy humilde, con quien uno pasaría horas hablando de la vida. En otro orden de “celebriddismo”, tengo mucho conocidos cercanos que me impresionan a virtualmente a diario, como Facundo Batista, JuanJo Ciarlante, Enrique Chaparro y Kragen Sitaker, solo por ser acotado en los ejemplos.
4. ¿Windows, Linux o Mac? ¡Debian!, que es como Linux, pero mejor . Mi segundo SO favorito es OpenBSD, que no está en la lista pero debería.
5. Google… ¿ángel o demonio? La conjunción disyuntiva “o” es bastante rara. Puede expresar alternativa entre dos opciones o equivalencia, dependiendo del contexto. Se que te referís a ella en el sentido contrapuesto. Pero voy a abusar del lenguaje para que definir a Google como ángel Y demonio.

Tercera parte: Las preguntas

Arranquemos con una pregunta sencilla, pero que cada uno tiene una respuesta distinta: ¿por qué usar software libre, según Luciano?

Hay múltiples razones. Muchas son obvias y directas, así que no voy a pasarlas por alto (todos entendemos a esta altura de lo bueno que es el concepto de libertad, en todo entorno). Por un lado, el software libre me permite lidiar con los problemas informáticos de forma mucho más amigable. Me ocurría que, cuando tenía un problema utilizando software no-libre, si Google no me daba la solución medianamente inmediata (y entendible), simplemente tenía que convivir con el problema. Eso me parecía inconcebible. Con software libre puedo ser parte de la solución , desde el reporte del bug hasta su solución y testeo. Eso lleva a la cercanía con el desarrollador de una aplicación o distribución, lo cual es genial. Por último, me encantan algunos conceptos como lo de “distribución”. Es decir, que un sistema operativo tenga todo lo que necesito y no tener que salir a buscar pequeños (y a veces, no tanto) programitas en Internet por cada necesidad surgida, a costo de la posibilidad de instalar software malicioso o inseguro. Tener virtualmente lo que sea, a un apt-get de distancia y que se integre con lo ya instalado es maravilloso.

¿Cómo fue que tomaste la decisión de ser desarrollador de una distribución de Linux?

Parecería que las actividades “pasivas”, después de ser algo habitual, invitan a la transformarse en algo habitual, invitan a la contraparte “activa”. Es natural que alguien que lee mucha poesía termine escribiendo sus propios versos tarde o temprano. En este caso creo que es parecido. El paso siguiente a utilizar mucho software libre es, inevitablemente, contribuir a él. Era usuario de Debian desde hacía algunos años cuando en 2004 la DebConf4 (reunión anual de desarrolladores Debian) se organizó en Porto Alegre, por lo que me resultó relativamente barato ir. Así conocí a varios desarrolladores, quienes parecía personales normales, por lo que empecé a mantener mis primeros paquetes. En ese momento fue tan natural y obvio que ni pensé acerca de las motivaciones para hacerlo. En ese sentido no fue una “decisión”, sino una continuación.

Pensemos en un adolescente, o un desarrollador joven, ¿qué va a aprender si se convierte en desarrollador de algún software libre?

Una de las cosas que más valoro es el hecho de trabajar con una comunidad internacional y sumamente heterogénea. Las ideas y opiniones son siempre muy variadas, lo cual permite ver un problema desde múltiples ángulos. Esto, sumado a la necesidad de coordinarse a nivel planeta y casi siempre de forma asincrónica hace que sea apasionante. Uno dedica ratitos libres a sus tareas y las envía. Cuando vuelve a sentarse tiene feedback de gran calidad. El crecimiento técnico, profesional y social es directa consecuencia de esta forma de trabajo.

Si uno no sabe programar, ¿qué otras cosas puede hacer para colaborar con el software libre?

Pues depende de lo que sí sepas hacer. Recuerdo haber dado varias charlas con el nombre “A darle Átomos a Debian“. Ahí están las mil y una formas de colaborar con Debian en particular y con el software libre en general. Hay mucho para hacer, desde traducciones hasta organizar eventos o prensa. Se puede hacer merchandising o administrar sistemas…

Entremos más en detalle. Debian es la distribución madre de muchas otras distribuciones, incluso Ubuntu. Sin embargo, sigue sin ser la preferida para entrar en el mundo Linux. ¿Por qué? ¿Es una diferencia real (técnico) o es un tema de marketing?

Desde donde yo lo veo, Ubuntu (y otras distribuciones derivadas de Debian) son Debian. En mayor o menor medida son customizaciones de Debian. Existe Skolelinux para escuelas y Ubuntu para el escritorio de las madres o novatos recién iniciado en el mundo Linux. Debian “puro” es muy personalizable y flexible, por eso es el sistema operativo universal. Pero esto hace que no sea fácil en el primer acercamiento. Las customizaciones limitan esa flexibilidad, tomando decisiones previas para no tener que preguntarnos. Así, un cosmonauta tomó algunas decisiones (como que el escritorio sea Gnome) y lo puso al alcance de todos. Ubuntu ha hecho importantes contribuciones en la conquista del escritorio y colaboró en que miles de personas se acerquen al software libre. ¿Que Debian no es la preferida para newbies? Los usuarios de Ubuntu son usuarios de Debian…

El año pasado encontraste un fallo en OpenSSL, que ponía en riesgo a muchos servidores y servicios basados en Debian. Me interesa esto: ¿cómo es el momento en el que ves un error tan grave? Me imagino que uno se frota los ojos varias veces pensando que está viendo mal…

Sin duda Pasé mucho tiempo buscando mi error porque simplemente no lo podía creer. Incluso cuando lo reporté no estaba del todo convencido. Es un mail lleno de potenciales y dudas, con un pequeño PoC o la frase “disculpen si les saco tiempo en algo totalmente equivocado, pero creo que vale la pena verlo”.

Linus Torvalds dijo una vez: “Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios”, lo que luego prosperó como la Ley de Linus. Pensando en el fallo que vos encontraste te pregunto: ¿faltan ojos o la la Ley de Linus no es correcta?

Bueno, no fue Linus quien lo dijo, incluso cuando se llama “Ley de Linus”, sino Eric S. Raymond. Con esta premisa se suele (incluso yo mismo lo hacía) defender las bondades del software libre. Que sea tan sencilla y lógica me hace sospechar de que es verdadera, pero posiblemente no estemos en condiciones de confirmarlo. Incluso puede que nunca lo estemos. En la forma actual que se encuentra y plantea el software libre, no hay una cantidad lo suficientemente elevada de ojos. Al menos ojos críticos, que busquen y exploten. No alcanza con que el código esté público. Hay que verlo, compilarlo, probarlo, intentar explotarlo, modificarlo e iterar. Es un hecho que solo el software de código abierto nos permite realizar esta heurística. Aunque la misma, actualmente, no se haga hecho en las millones de millones de líneas de código que polulan por ahí. Incluso dudo mucho de que sea posible que llegue el día de la auditoría absoluta y completa.

¿Sentíste que luego del descubrimiento, hubo personas y medios interesados en magnificar el error por tratarse de software libre?

El mundo está hecho de oportunistas. También los entusiastas del software libre lo somos cuando alguna empresa de software privativo tiene algún tropiezo. El error fue una terrible pifiada y no es muy “magnificable” dado lo grande que ya era de por sí. Algunos medios no eligieron muy bien las palabras y le daban a sus notas un tinte apocalíptico acojonante. Que se yo… Tal vez debamos aprender a ser más comprensivos con los errores propios y ajenos.

Como profesional dedicado a la seguridad, ¿te puedo preguntar tres consejos básicos para la seguridad de un sistema, que sean aplicables independientemente del sistema operativo que use el usuario?

En lo doméstico hay clásicos, como elegir buenas contraseñas. Recuerdo un post de Schneier sobre el tema también los chicos de LifeHacker (por cierto, que buen blog!) dedican algunos consejos. Como para resumir:

• No usar siempre la misma contraseña
• No nombre propios, no fechas, no palabras de diccionario
• Utilizar algún gestor de contraseñas cuando su cantidad sea demasiado grande
• No anotarla en medios físicos, no compartirlas, cambiarlas periódicamente
• Números, letras, máyusculas, minúsculas y signos son bienvenidos

En segundo lugar, creo que merece ser mencionado el tema de la ingeniería social. Es necesario ser precavido con el correo. No dar datos personales. Ningún banco te contacta para que cambies la contraseña. Nadie manda attach sin una buena explicación. Que una web se parezca a la de tu banco no significa que sea tu banco. Que un ejecutable diga que hace una cosa no significa que la haga. Que un mail diga de donde viene no significa que venga desde ahí. En general, dudar y después hacer clic, en ese estricto orden.

Para terminar, mi último consejo es animarse a la critografía. No es de ciencia ficción. Es relativamente fácil saber de qué va un certificado o generar tu propias llaves publica-privada. Enteder, al menos básicamente estas cosas puede ser muy útil.

Por último, el descubrimiento del fallo en OpenSSL te hizo “famoso” en muchos ámbitos técnicos, y te abrió las puertas a muchas disertaciones y presentaciones. Incluso fuiste representante del país para muchos medios (“un argentino descubre…”). ¿Cómo tomaste esto? ¿Qué cosas cambiaron en tu vida profesional desde aquel descubrimiento?

Mi vida profesional no cambió en absoluto. Tal vez ahora tengo un egosurfing más entretenido. Pero no creo que sea gran cosa. La vida continua y hay que encontrar cosas nuevas con relativa periodicidad para estar en la cresta de la ola. Cresta en la que no estoy seguro de que quiero estar. Por otro lado, el fallo de OpenSSL será eventualmente olvidado. Así que ya hay que pensar en el siguiente paso que es, por definición, mucho más divertido que el anterior.

Nota: Luciano me aclara con mucha cortesía que en la respuesta número 1, repite lo que ya dijo en esta entrevista; y en la número 5 algo que ya dijo acá. No pasa nada Luciano, eran muchas preguntas y tampoco es cosa de repetir lo ya dicho.

Ver otras entrevistas

Este año estaba viendo que llevo más de 20 charlas encima, y además de eso fue uno de los objetivos personales que me he propuesto: mejorar en el dictado de charlas. En ese contexto, habrán notado que de vez en cuando escribo un post al respecto, y es que el tema realmente me interesa.

Al tener que exponerme por trabajo regularmente a esa situación, si hay algo que no quiero es que después de mi charla el público sienta que no se llevó nada, que no se sumó valor. Y en ese contexto, siempre intento ser auto crítico en la práctica, pero también estudiar y capacitarme en la previa. Alguno estará pensando que la única forma de mejorar en esto es con práctica, y yo creo que puede ser así. Pero solo parcialmente. Soy muy adepto al trabajo previo y teórico previo a una charla. En ese contexto, he estado leyendo durante todo el año muchos blogs sobre el tema: cómo hacer una presentación que valga la pena.

Así fue que hace unos días me encuentro con el interesante blog de Dave Paradi. De su blog, que por supuesto ya está en mis RSS, me interesó particularmente el post con las respuestas a su encuesta sobre “qué lo que más molesta a los oyentes en las presentaciones de Power Point“. Lo interesante de todo esto, es que las respuestas no son para nada sorprendentes. Veamos:

• El orador lee las diapositivas al público: 69.2%
• El texto es tan pequeño que no puedo leer: 48.2%
• Oraciones completas en lugar de ideas centrales: 48.0%
• Diapositivas difíciles de ver por la combinación de colores: 33.0%
• Diagramas o gráficos muy complejos 27.9%

Lo que me interesa de todo esto es que observen cuántas cosas le molestan al público que uno puede resolver antes de que empiece la charla. Es decir, no importa cuan bueno eres para captar la atención del público, con tu movimiento corporal, tu dicción o tu tono de voz. Todos estos problemas que se enumeran aquí, se solucionan en la previa. ¿Cómo? Con trabajo.

La más difícil de arreglar es la primera. Hay gente que se excusa diciendo que no son buenos para recordar toda la información. Lamento informarles: nadie lo es. La única forma de solucionar este problema es practicando. Nada más y nada menos. Además, en lugar de leer las diapositivas, hay alternativas como contar con algún “ayuda memoria” con palabras claves en algún trozo de papel. Haz lo que tengas que hacer para que todo salga bien, pero hazlo antes.

Cuando uno se para frente a la audiencia, algunos pensarán que ahí empieza a jugarse el éxito o fracaso de su presentación. Tamaño error. El éxito de una presentación empieza desde el minuto en que empezamos a preparar las diapositivas, y es bueno saberlo.

No quiero dejar de lado, de nuevo, las capacidades de cada persona para dar o no una buena charla. Pero un buen trabajo previo hace que en el segundo cero, cuando está a punto de comenzar a hablar frente al público, el primer round (sino unos cuantos), ya esté ganado.

Ayer Microsoft lanzó la nueva versión de Windows. Recomendado por Linus Torvalds

Imagen vía fabio.com.ar

He aquí el sitio oficial de Microsoft.

Como no tengo pensado escribir mucho sobre Windows 7, les dejo algunos links que aparecieron en mi RSS:

• Bienvenido, Windows 7; escribió Enrique Dans en Expansión.
• Algunos consejos sobre la adquisición de Windows 7, de Geekets.
• Windows 7: llegó El Redentor, la cobertura de TN Tecno.
• El día de Windows 7 en 7 fotos, vía FayerWayer.
• ¿Actualizo ya a Windows 7?, se preguntan en Blogoff.
• Windows 7: mi veredicto, dice Acceso Directo.
  

Sí destaco algo que llama la atención: Windows anuncia el lanzamiento de Windows 7, pero al menos en países como Argentina este sólo estará disponible en equipos pre-instalados, y no la famosa caja por el momento. Por lo cual deberíamos hablar de un semi-lanzamiento. Sobre esto escribieron:

• Tiro por la culata, de Fabio.
• Windows 7 también hizo su entrada en Argentina, de CanalAR

En segundo lugar,comparto algunas de las 7 frases del post “7 sobre Windows 7″ de Microsiervos:

• “Esa pesadilla que ha durado tres años, llamada Windows Vista, ha terminado” dijo el New York Times
• “Microsoft ha vuelto para conseguir el perdón con Windows 7” dijo Digital Trends.

Y para cerrar, el gracioso video que hizo Apple al respecto:

Como les había anticipado, en el día de ayer llevamos a cabo el primer encuentro del Workshop de Seguridad Informática en Sistemas Operativos y Aplicaciones, que tendrá su segunda edición el próximo 4 de noviembre.

A mí me tocó hacerme cargo de la parte de Seguridad en Sistemas Operativos, y ayer dediqué una presentación de 45 minutos a hablar del tema. En primer lugar, comparto con ustedes las diapositivas para que vean de qué fue la charla:

En primer lugar, hicimos el test “¿Cuán seguro está tu sistema operativo?” en dónde intenté que el publico vea que medidas de seguridad elementales por lo general no son aplicadas. Las seis medidas que tomé fueron: gestión de usuarios, fortaleza en las contraseñas, realización de backups, cifrado de discos, tecnologías de seguridad (antivirus, firewall y antispam) y actualización de software (incluido el sistema operativo).

Luego, pasamos a una segunda parte en donde hice algunas demostraciones.

En primer lugar, les mostré Nessus. Me pareció la mejor forma de introducir a los chicos (en su mayoría estudiantes universitarios sin experiencia en materia de seguridad) a lo que es un escaneo de vulnerabilidades. Es una aplicación que sigue siendo gratuita para uso personal y que para muchos de nosotros ha sido una puerta de entrada a la explotación de vulnerabilidades. En el próximo encuentro seguramente intentaremos explotar alguna vulnerabilidad que encuentre el Nessus.

Después, vimos un poco de “hacking”, explotando la seguridad en contraseñas. Primero les mostré un brute force contra una sesión ssh (haciendo un juego a ver si el público adivinaba la contraseña) y luego rainbow tables, de lo que pueden leer más en el post “¿Crackear un password en 5 minutos? ¡Funciona!“.

El evento se completó con la interesante presentación de Ramiro y Sebastián de AltoSec sobre seguridad en aplicaciones web; y dos presentaciones de alumnos de la facultad también muy bien armadas.

En fin, una jornada muy productiva y como siempre un placer compartir con estudiantes universitarios estos encuentros.

Los esperamos el próximo 4 de noviembre, para el segundo encuentro. Pero ya les haré acordar…

En un correo con todos los integrantes de uno de los cursos en los que dicté clases este año, me llega una interesante noticia del diario La Nación, titulada Privacidad del correo electrónico. En la misma se pone en tela de juicio si la empresa tiene o no el derecho de leer los correos electrónicos que envían sus empleados, y si esto puede causar problemas legales a la empresa.

Desde un punto de vista legal, la justicia irá dictaminando en cada país y se irá armando la jurisprudencia. Pero cabe destacar que, aunque en el diario La Nación toman un caso en que se falló a favor del empleado, aquí en Argentina hubo un caso de la empresa Price Waterhouse en donde se falló a favor de la empresa, que despidió a un empleado basados en los correos electrónicos que este envió.

Ahora, quiero que veamos algunas aristas de la problemática desde un punto de vista de la privacidad (y si se quiere la moral), independientemente de que luego la justicia vaya decidiendo qué se debe hacer.

En primer lugar, un factor relevante es cuál es el correo electrónico que la empresa auditó. Con esto me refiero si la empresa utilizó sus servidores de correo para acceder a la cuenta corporativa del usuario o si se utilizó una herramienta de monitoreo (espía) para leer el correo personal del usuario. Creo que se trata de casos muy distintos. Las empresas no pueden responsabilizarse si el usuario pone cosas privadas a través de su correo corporativo, por lo tanto soy de los que piensan que la empresa donde trabajo tiene el derecho de auditar mi correo corporativo. Ahora, si se trata del correo personal creo que se cruza una barrera de la privacidad que hace de este un caso radicalmente opuesto, incluso si por política el empleado se supone que no debe usar su correo electrónico, creo que acceder al contenido es una barrera que supera cualquier cuestión ética y moral.

En segundo lugar, otro factor a tener en cuenta es el pre aviso al empleado. Señores empresarios, tengan empresas serias. Cuando entren sus empleados hagan firmar una política de seguridad en dónde se explique que el correo corporativo es propiedad de la empresa, y que su contenido puede ser auditado en casos excepcionales. Listo. Cuestión arreglada. Es decir, al menos se quita de encima la idea de que el empleado puede no saber que su correo puede ser leído. Insisto, creo que los correos corporativos pueden ser auditados (pueden, no deben. Solo en casos excepcionales), entonces, qué mejor que avisarle a los empleados de ellos.

El último factor, y no menos importante es por qué se auditó el correo del empleado. Y este es un tema que por conveniencia de una u otra parte suele omitirse. Yo creo que la empresa debe auditar los correos electrónicos cuando existan sospechas de una actividad ilegal o ilegítima por parte de sus empleados. Y esta sospecha puede al menos manifestarse. No se si me explico. Pero digo, en el caso de un empleado mandando correos con información confidencial a la competencia, ¿no les parece que el principal problema de ética lo tiene el empleado? En ese caso, si existía una sospecha justificada (en los niveles en que puede justificarse una sospecha), suena lógico que el empleado haya auditado el correo del empleado.

Está claro que es un tema complejo.

A los empleadores: sean serios y responsables. Hagan firmar políticas de seguridad, no auditen “por las dudas” y controlen sólo los recursos corporativos, sin entrometerse en cuestiones privadas de los usuarios.

A los empleados, serán también responsables. No usen el correo corporativo para cuestiones personales y así no se expondrán a riesgos innecesarios. Respeten las normas impuestas en su lugar de trabajo en torno a la seguridad, aún si las consideran erróneas.

A los lectores, opinen.

Rosarinos, hoy 19hs. es el Workshop de Seguridad Informática en Sistemas Operativos y Aplicaciones.

¡Ahí los espero!

Este mes, en Estados Unidos, el presidente Obama decretó el mes de la concientización en ciber seguridad. Tal como se anunciara en el blog oficial de la Casa Blanca, durante todo el mes de Octubre se estarán realizando tareas de concientización sobre el ciber crimen, los ataques más frecuentes, y tips de seguridad para empresas y usuarios hogareños.

El presidente Obama anunció la iniciativa a través del canal de YouTube de la Casa Blanca. Les dejo el video, realmente este tipo sabe hablar y además muchos sabemos que es un fanático de la tecnología, con lo cual, al menos en este caso, sabe de lo que habla:

Para los que no sepan inglés, transcribo a partir del minuto 2:05 cuando Obama da consejos muy ciertos a los usuarios sobre sus computadoras y la seguridad:

“Hay pasos simples que usted puede tomar para estar seguro online: mantener los sistemas actualizados a la fecha y esté atento a correos electrónicos sospechosos. Siempre debes saber con quién estás tratando, sea en negocios o individuos; y nunca entregues tu información personal o financiera, hasta que hayas verificado que el receptor es legítimo. “

Como verán, los consejos son claros, y son algunos de los aspectos importantes en la materia. Además, desde el gobierno yanqui han recomendado el sitio web Stay Safe Online que contiene mucha información en concientización en seguridad informática y ciber crimen.

Dentro del sitio, está la sección dedicada al “National Cyber Security Awareness Month” en donde encontrarán diversas ideas sobre la inciativa, que está utilizando el slongan “Our Shared Responsability” como base (nuestra responsabilidad conjunta), un interesante concepto respecto a la importancia de que los usuarios se hagan cargo también (no únicamente) de la seguridad de sus sistemas.

Producto del mamarracho de país en que nos toca vivir a los argentinos, el año pasado el gobierno había decidido implementar el horario de verano que se utiliza en otros países. En su momento, lo decidió con unas pocas semanas de anticipación lo que causó que los administradores de red (el año pasado me encontraba dando servicios de infraestructura por lo que lo viví) tuvieron que “correr” a configurar sus sistemas para que se cargue el nuevo horario de verano y los servidores (particularmente) no queden con la hora desfasada.

Este año el gobierno argentino no quiso que la gente se acuerde lo mal que hicieron las cosas el año pasado, así que las hicieron peor. Si el año pasado era poco unos pocos días de aviso previo, esta vez fueron menos. El viernes confirmaron que “por el momento” (WTF) el cambio de horario que debía realizarse el domingo a las 0:00 hs. quedaba suspendido. Es decir, lo hora no cambiaba. ¿El problema? Que las computadoras y sistemas operativos ya habían actualizado el horario de verano para la zona argentina.

Cuestión que muchos administradores de red se encontrarán hoy Lunes (o ayer en realidad) con sus sistemas con una hora desfasados de lo que deberían estar. Lamentablemente, el cambalache en el que vivimos los argentinos también impacta en los sistemas informáticos, entre tantas cosas.

Para remediar el problema, pueden ver el procedimiento de Microsoft aquí. En sistemas como Ubuntu (y otros Linux basado en Debian), solo actualicen el sistema operativo (particularmente el paquete tzdata) y se acomodará la hora solita.

Más info:

• Cambio de hora en Argentina, no se hace “por el momento”. Instrucciones para Windows, vía blog de Segu-Info.
• Cambio de hora en Argentina, para Windows Vista: manualmente, vía blog de Segu-Info.
• Desprolijidades horarias, una crítica de Otario a los amigos de Microsoft.

En mi caso, lo que más me hizo renegar para acomodar el uso horario fue el maldito celular. De una u otra forma, no se sorprendan si en la semana se encuentran con sistemas, sitios web, portales que tengan algún problema con la hora (especialmente si la diferencia es de una hora), ya que mucha gente, al igual que nuestro gobierno, se toma su tiempo para hacer las cosas.

A pesar de que tengo la categoría nada que ver, hoy prefiero no dejarles un texto entero sino simplemente un mini-post.

A aquellos que les guste el deporte (especialmente el fútbol), ahora finalizadas las eliminatorias al mundial en Sudamérica se me ocurrió escribir una reflexión, que habla de fútbol, pero que también lo hace sobre mi visión del éxito y el fracaso.

Aquí el enlace, espero que les guste: Bielsa, ¿el tiempo te dio la razón?

Continuando con el anuncio de eventos, les cuento que el próximo miercoles tendré el placer de participar del Workshop de Seguridad Informática en Sistemas Operativos y Aplicaciones, una actividad que estamos organizando en la Universidad Tecnológica Nacional Rosario junto a una profesora de la facultad (Fabiana Riva), Sebastián Criado y Ramiro Caire.

La idea de la actividad es realizar actividades teórico-prácticas sobre la seguridad tanto en sistemas operativos como en aplicaciones (más que nada aplicaciones web).

La actividad tendrá una duración de dos horas. En la primera de ellas, me encargaré de la disertación sobre seguridad en sistemas operativos, y luego un alumno de la facultad hará una especie de turbo-talk sobre seguridad en el sistema de archivos de Linux.

En la segunda hora, será el turno de que Sebastián y Ramiro tomen la posta sobre seguridad en aplicaciones. Ellos también serán sucedidos por una turbo-talk de alumnos de la carrera de sistemas hablando sobre SQL Inyection.

El Workshop es el próximo miércoles 21 de octubre, de 19:00 a 21:30hs., en el salón de actos de la UTN Regional Rosario.

Dos semanas más tarde, el miércoles 4 de noviembre, haremos el segundo encuentro viendo los aspectos más avanzados de las mismas temáticas que daremos inicio el miércoles que viene.

La actividad es libre y gratuita, así que están invitados a acercarse y, por qué no, a difundirla.

¡Los esperamos!

Este sábado volverá a realizarse un encuentro de Mate y Blogs, un evento rosarino para juntar a los bloggers de la ciudad y a aquellos que estén interesados en adentrarse en el mundo de las tecnologías y web 2.0.

En esta oportunidad, se dictará el Taller cortos de Bolsillo, una actividad que estará a cargo de Mara Balestrini, y que será teórico-práctica, así que si tenés una laptop, llevala.

Comparto con ustedes los fundamentos y objetivos del evento:

Los teléfonos celulares y demás dispositivos móviles capaces de registrar imágenes cobran cada vez más importancia en nuestra vida cotidiana. Las nuevas tecnologías despliegan un interesante abanico de opciones estéticas y narrativas en el campo de la realización audiovisual. En este sentido, no se trata sólo de elementos diseñados para cumplir una función básica vinculada a las telecomunicaciones sino de soportes válidos para la creación y la comunicación en sus más amplios sentidos.

Celumetrajes express! propone un taller flexible (adaptable a una, dos o tres horasde duración) en el cual se motivará el uso creativo del teléfono celular a través de la explicación de pautas técnicas realizativas básicas, para que los participantes puedan crear sus propios “celumetrajes”.

Pueden leer el post en el blog de Mate y Blogs para obtener más información sobre la jornada.

La cita es este próximo sábado 17 de octubre, en el el SUM del CEC Rosario, en los horarios de 9 a 12 hs. y de 13 a 16 hs. Como siempre, es una buena oportunidad para aprender, y para sociabilizar un poco con los bloggers rosarinos, que somos re copados. Es probable que ande por allí, así que ¡nos vemos!

Esta semana estuve trabajando sobre una noticia interesante en el mundo de la seguridad. Para ello, me gustaría que todos sepan de qué hablamos cuando hablamos de HTTPS, y lo haré muy brevemente:

Un sitio que posee https (la URL empieza con https://www.) envía y recibe la información entre el servidor y el usuario de forma cifrada. Esto ofrece seguridad para ataques de intercepción de contenidos. Para usar el protocolo https, es necesario contar con un certificado digital SSL. Ese certificado digital tiene que estar firmado por una entidad certificadora (CA).

Los navegadores poseen un listado de entidades certificadoras que son aceptadas por el mismo. Si un certificado esta firmado por una entidad certificadora no válida, el usuario debe aceptar “correr el riesgo” de visitar de todas formas la página. De esta forma, uno puede levantar sitios web con cifrado sin necesidad de adquirir un certificado con una CA válida para los navegadores.

Si no entendieron la explicación anterior, paren y lean algo más sobre Hypertext Transfer Protocol Secure. Caso contrario, sigan.

Sobre el protocolo HTTPS siempre existió un estilo de mito. Con el crecimiento de los ataques de Phishing, hace tiempo que bancos, entidades financieras y sobre todo profesionales en seguridad transmiten a los usuarios la importancia de chequear la existencia del HTTPS en un sitio web para ver “si es seguro”.

La realidad es que este es un consejo válido en un contexto en que los atacantes y phishers no acostumbraban instalar certificados en sus servidores, pero no era un consejo eterno, y se creó un falso consejo o mito en los usuarios: si un sitio tiene HTTPS, es seguro.

Lamentablemente esto no es así. HTTPS, como ya se explicó, garantiza la utilización de certificados para que la información entre cliente y servidor viaje cifrada. Es decir, garantiza confidencialidad en la transmisión de los datos. Pero no garantiza que esos datos no están viajando cifrados a un atacante o phisher.

Encima, me entero la semana pasada por noticias en medio digitales, que Internet Explorer aceptará certificados digitales gratuitos. Para ser más claros: con muy poco esfuerzo (unos cuantos clics) y sin necesidad de abonar un centavo, un atacante puede sacar un certificado SSL y utilizarlo para levantar sitios maliciosos con HTTPS. Es cierto que esto es algo que podían hacer con anterioridad, pero pagando. Y este era sin duda un impedimento importante a la hora de llevar a cabo un ataque de Phishing.

En el Blog de Laboratorio de ESET Latinoamérica, escribí el post “Cazando mitos: HTTPS” donde extiendo un poco más sobre esta idea, que finalmente resumo así:

• “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
• “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
• “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
• “Siempre que un sitio posea HTTPS será seguro”… FALSO

Por otro lado, unos días más tarde hicimos un video demostrando qué fácil es realizar un ataque de Phishing utilizando un sitio con el protocolo HTTPS. Este es el video educativo:

Por último, me queda una duda importante que quería compartir aquí en el blog, y que en parte quizás ustedes puedan aportar más luz al asunto.

La pregunta es: ¿por qué aceptar entidades certificadoras que otorgan certificados SSL gratuitos? La pregunta simplificada es ¿por qué los navegadores decidieron aceptar estos certificados?

Digo, porque uno que estudió el protocolo HTTPS entendía que el hecho de que los certificados se debían abonar (incluso a veces con costos realmente accesibles), era en parte una legitimidad para los sitios que lo utilizaban, entendiendo que realmente la información que se traficaba justificaba adquirir un certificado. Siguiendo esta lógica, la respuesta es: a los navegadores les interesa la usabilidad, y no la seguridad.

Sin embargo, por otro lado, se puede pensar de otra forma. Como ya se explicó, si un atacante quiere hacer un sitio falso con HTTPS, ya podía hacerlo abonando costos bajos de dinero. Entonces, el hecho de que ahora lo pueda hacer de forma gratuita no cambia un riesgo que ya existía. Además, el hecho de pensar en la usabilidad no significa no importar la seguridad, y la realidad es que si un usuario entiende qué es HTTPS, esto no representa un problema de seguridad. ¿Me explico? Por si no quedó claro, el potencial problema de seguridad que se abre con los certificados gratuitos es tal, justamente por la existencia de un mito, y de personas que erróneamente creen que con ver el protocolo es suficiente para estar tranquilo. Pero los navegadores, ¿tienen que preocuparse de la gente que tiene un concepto equivocado? Cualquier persona que entienda qué es y para qué está HTTPS, sabrá que hay otras medidas de protección para ver si un sitio es o no seguro.

En fin, tiendo a inclinarme por esta última alternativa luego de haber pasado un par de días ubicado en la primera.

Ustedes, Si llegaron hasta acá… ¿qué piensan? 

Les dejo los enlaces que quedaron colgados del Webeando de ayer. Acá tienen seguridad, más “otros”, más humor, y algunos bonus como siempre.

Seguridad

• Que revisar si hackean tu WordPress, siempre es bueno tenerla a mano.
• Top Ten de los virus informáticos más trascendentales, eso.
• Análisis forense de Mozilla Firefox 3.X., un interesante tutorial con los aspectos más importantes en la materia.
• Los Twitters de seguridad, un interesante listado realizado en Security By Default. Se olvidaron de mí.
• “Crackea” cuentas de Facebook por 70 euros. Barato, ¿no?
  

Otros

• ¿Se puede recuperar un iPhone mojado?, aquí la respuesta.
• Cambios en la perspectiva, vía Daniel Krichman. Y acá, más cambios en la perspectiva.
• No se puede multiplicar la riqueza dividiéndola. No, no se puede.
• Cómo jugar en el trabajo sin que se den cuenta, sssshhhh.
• Olor a pobre, hay gente que da asco y no se asusten que no me refiero a los pobres. Entre y vean.
  

Humor

• Chiste de mal gusto. Están avisados.
• Macanudo de Liniers, un chiste pavote.
• Amor entre una polilla y una luciernaga, vía Montt.
• Fórmula para saber cuánto te tocas los huevos en la oficina

Bonus

Did You Know 4.0, no se pueden perder este video por su realización y los datos que otorga.

Bonus II

Morirse es más probable a que te toque la lotería primitiva, por si no lo sabían.

Siendo hoy feriado aquí en Argentina, dejo los links recomendados que además me doy cuenta que hace muchísimo que no comparto. Incluso quizás lo deje en dos partes para que sea más armonioso y de paso lo hago temático. Vamos…

Software libre y cultura

• Entrevista a Richard Stallman, vía Pagina/12
• Descarga la Wikipedia en tu PC, no me resulta muy interesante, pero si a ustedes sí, acá está.
• Imprimiendo Internet, ¿se imaginan cuánto sería?
  
• Controlar el ancho de banda desde la consola en GNU/Linux, vía PuntoGeek.
• ¿Cuántos dominios hay registrados?, piensen un número antes de entrar.
• Los posts patrocinados no son para hablar bien de tu marca, vía Ciber Prensa.
• Las 500 palabras más frecuentemente usadas en Twitter

Otros

• 19 wallpapers de “8 bits”, eso.
• Divertidos símbolos ASCII para usar en Twitter o el MSN, muy útil.
• Una buena noticia: El Tetris ayuda a ejercitar las neuronas.
• Cubeecraft: personajes de papel, divertido e inútil, una combinación espectacular.
  
• El problema de cobrar poco, una interesante reflexión vista en Kabytes sobre algo que mucho hemos vivido.
• Cinco pecados periodísticos, vía Lucho Dolber.

Humor

• Guía de Soporte Técnico, chiste vía xkcd.com
• Mala suerte, chistaso vía El Pito Doble.
• Uno de Dilbert, cuando no.
• Otro de Dilbert: Primer día en el trabajo.

Bonus

“La locura es como la gravedad, ¿sabes? Todo lo que hace falta es un pequeño empujón” The Joker, vía Microsiervos.

Bonus II

¡Qué noticia friki!

Un universitario mata con su espada samurái a un ladrón que le había robado la PlayStation