lunes, diciembre 25, 2017

Neil deGrasse Tyson explica sobre el asociativismo coercitivo y porqué se considera agnóstico

El divulgador científica Neil deGrasse Tyson es una persona muy interesante, no solo como astrofísico sino en sus distintas exposiciones públicas.

Basta mencionar que fue el que realizó "Cosmos: A Spacetime Odyssey" la secuela de la serie de documentales realizadas por Carl Sagan  "Cosmos: Un viaje personal".

En un video de la serie "Big Think" describe distintos aspectos interesantes relacionados a la religión, específicamente porqué el se considera agnóstico (aunque muchas veces lo asocian con el ateísmo).


Pero más allá de este tema me resulto sumamente interesante las palabras iniciales donde describe lo que se podría conocer como "asociativismo coercitivo", es decir, como la pertenencia a un grupo, colectivo o comunidad puede hacer que se nos prohíba o cercena algún pensamiento o reflexión propia, debido principalmente a la filosofía que este movimiento puede acarrear.

En sus palabras dice:
"Yo no me asocio a ningún movimiento... no me gusta ningún "-ismo", solamente pienso por mi mismo.
En cuanto alguien te encasilla en alguna filosofía o movimiento entonces te atribuyen todo el trasfondo y todo lo que va con dicha filosofía a ti.
Y cuando quieres conversar, te dirán que ya saben todo lo que importa acerca de ti por culpa de esa asociación.
Y así no se puede conversar lo siento, pero no.
Prefiero que exploremos mutuamente nuestras ideas en términos reales en vez de ponerle una etiqueta y decir que ya sabes lo que va a pasar."
 Ciertamente una definición de autonomía y libertad personal sumamente respetable.

sábado, diciembre 23, 2017

youtube-dl-gui : descargar videos de YouTube mediante interfaz gráfica

Ya hace un tiempo se comentó distintas alternativas para descargar videos de youtube, una de las alternativas es la herramienta youtube-dl.

Esta utilidad es por línea de comando (CLI) lo cual tiene sus ventajas, pero como contrapartida muchos usuarios no entienden como usarla.

Pues bien una opción más que interesante es youtube-dl-gui que permite utilizar esta herramienta mediante una interfaz gráfica amigable para el usuario.


Permite descargar canales completos así como enviar los distintos parámetros de youtube-dl.

Se puede descargar desde github para distintas plataformas ya que este software se encuentra escrito en Python.

jueves, diciembre 21, 2017

El Código Enigma (2014), la historia de Alan Turing

¿Cómo ayudar a ganar una guerra sin utilizar armas de fuego? ¿Para que sirve un grupo de matemáticos, lingüistas y académicos en medio de un conflicto armado?

El Código Enigma (The Imitation Game) muestra la historia de cómo Alan Turing y cómo su grupo de trabajo intentan descifrar la máquina que utilizaban los alemanes en la 2da guerra mundial: La máquina Enigma.

La historia es muy rica, prejuicios, tomas de decisiones, contrastes de entornos, conflictos personales, objetivos en común, etc.


Una carrera contra reloj, donde más allá de las diferencias, hay un objetivo mayor y el trabajo cooperativo es fundamental.

Luego de ver uno se queda con un sabor amargo, pero a la vez vislumbra el gran esfuerzo de muchos héroes anónimos diarios que buscan mejorar el mundo.

Se encuentra en la lista de películas que se deben ver, y que probablemente nos permitan ver las cosas de una forma distinta a antes de verla.

miércoles, octubre 25, 2017

Consejos al comprar un celular usado (o nuevo)

En caso de que compremos un celular de segunda mano (o porqué no también nuevo), es importante tener en cuenta algunos aspectos importantes para evitar cualquier inconveniente.

En primer lugar es importante verificar que el IMEI (que es un código único del celular) coincida en:
  1. La información de la factura (puede que no se haya incluido),
  2. La información de la caja (en una etiqueta),
  3. La etiqueta que está detrás del celular en donde va la batería,
  4. la información por software (se accede ingresando en el celular *#06#).
Pueden verificar en la web del gobierno por si el IMEI está denunciado como robado (pero leer atentamente los aspectos legales).

También deberán asegurarse de hacer un reseteo de fábrica, y en caso de que esté rooteado cargar nuevamente el firmware.

miércoles, octubre 18, 2017

Macrimetro: fiscalización colaborativa de las promesas presidenciales

Una sociedad en la que la tecnología está por todos lados ¿porque no hacer una fiscalización ciudadana gracias a Internet? Pues un proyecto busca realizar eso: controlar las promesas presidenciales y determinar cuales se cumplen y cuales no.


El sitio Macrimetro busca verificar todas las promesas del presidente argentino Mauricio Macri.

Esta idea fue utilizada también en Canada y es muy interesante para conocer si cumplen o no las promesas, así como que los ciudadanos poder colaborar en la construcción de este sitio de verificación del discurso político.

Este tipo de iniciativas probablemente nos puedan ayudar a votar a conciencia dado que si contamos con información objetiva y verificada nuestra elección podrá ser más certera.

De a poco hay cada vez más software que buscan transformar la realidad social y política de las personas, desde juegos hasta plataformas virtuales, buscan generar un impacto social movilizando y visibilizando distintas realidades, ¿será el amanecer de un nuevo forma de protesta?

miércoles, octubre 11, 2017

Cuando la ciencia y el conocimiento está aunque nosotros no lo sepamos

Con el correr del tiempo uno se va dando cuenta que mucha gente se queja y cuestiona verdades científicas desconociendo aspectos fundamentales de estas.

La realidad es que la ciencia nos permitió llegar donde estamos parados.


Si bien lo cierto es que no todo el mundo querrá ser científico, es fundamental que las personas no se dejen engañar con trampas, pseudociencias y engaños.

Por eso es importante saber que el conocimiento y en sí la ciencia, esta en todo lo que interactuamos.

miércoles, octubre 04, 2017

GNU Ring, alternativa a TOX y Bleep

Hace tiempo se comentó sobre las alternativas de mensajería descentralizada como Bleep y Tox, las mismas permiten realizar mensajería instantánea sin necesidad de servidores centralizados.

Actualmente está disponible en versión estable GNU Ring, una aplicación que permite usar una red DHT para realizar mensajería instantánea a la vez que soporta el protocolo SIP.

Este software permite hacer video conferencias y mantener conversaciones cifradas extremo-a-extremo.

Está disponible para múltiples plataformas como Windows, Linux, Android y Mac.

Si bien difícilmente en la actualidad resulte un rival a programas como Whatsapp o Telegram, el hecho de que sea una red descentralizada asegura que el control lo tienen los usuarios sobre la red.

Más información se puede ver en su web oficial.

jueves, septiembre 28, 2017

HTP: rompiendo el Voto Electrónico en Argentina ( @HackThePrinter )

En el marco de la Conferencia de Seguridad Informática Ekoparty, se armó un concurso denominado "Hack The Printer", el mismo busca encontrar fallas en el software utilizado en la máquinas de votación con medios electrónicos utilizado en la Argentina.


Con una gráfica acorde al estilo de este año de la Ekoparty, un video mostrando "hacking in progress" (con un estereotipo -con capa de faraday-), y la música de la película "Hackers" de fondo este concurso busca demostrar que las computadoras (incluso impresoras), son vulnerables a ataques informáticos.

Se pueden leer las reglas en este enlace.

Esta iniciativa se suma a otros concursos como el organizado por Blue Frost Security o lo realizado en la DEF CON en EEUU este año.

miércoles, septiembre 27, 2017

GTmetrix: para mejorar y optimizar un sitio web

Hace un tiempo se comento PageSpeed de Google, que es una herramienta que permite ayudarnos a mejorar el rendimiento de un sitio web mediante la optimización de archivos estáticos así como configuración del servidor.

Pues bien, en esta ocasión comentaré sobre GTmetrix, que es una herramienta que, junto con PageSpeed y con YSlow, permite dar información sobre distintas acciones a tener en cuenta para mejorar el rendimiento, así como proporciona un orden sobre las mejoras a realizar.


El sitio es muy intuitivo y claro, y proporciona información como comparativa con el resto de los sitios analizados así como históricos.

Una gran herramienta para ayudar a aspectos relacionados con el SEO, pero también al ahorro de recursos en servidores lo que proporciona un ahorro monetario como también una mejor experiencia a los usuarios al tener las páginas con una carga mucho más rápida.

sábado, septiembre 23, 2017

ProtonVPN: VPN gratuita de la mano de ProtonMail

La gente del CERN que nos trajo ProtonMail ahora nos trae una nueva opción para proteger nuestras comunicaciones: ProtonVPN.


Como se comentó hace un tiempo, las conexiones que realizamos desde distintos lugares pueden estar siendo monitoreadas ya sea por un proxy o por otras tecnologías, entonces una conexión VPN nos permite hacer un túnel cifrado hacia un servidor en otra locación y poder salir ahí hacia las conexiones que deseemos de internet.

Pues ProtonVPN trae una solución con servidores alojados en Suiza. Lo interesante es que ofrece una opción gratuita, es decir podremos usar el servicio sin costo, eso si con ciertas limitaciones.

Más información en la web oficial.

miércoles, septiembre 20, 2017

Dato, información y conocimiento

En la "era de la información" muchas veces confundimos distintos términos y no podemos separar tres conceptos fundamentales: datos, información y conocimiento.


Cada uno tiene una relación entre si, pero fundamentalmente los datos es la mínima unidad de información que son obtenidos a partir de mediciones (por ejemplo), la información es la correlación entre estos datos es decir el procesamiento de los datos con un significado determinado. Mientras que el conocimiento es la relación de los datos, con la información, así como los valores, la experiencia y otros factores en pos de la toma de decisiones.

Se puede leer más al respecto en este enlace.

sábado, septiembre 16, 2017

Ahorrar energía con lámparas LED

Si actualmente está utilizando lamparas incandescentes (los clásicos bombillos), fluorescente o halógenas vale aclarar que ya hay tecnologías más eficientes: la iluminación LED.

Estas lamparas permiten ahorrar hasta un 80% de energía, al tener la misma cantidad de lumens a un costo energético mucho menor.

Lo interesante es que actualmente se comercializan modelos con rosca E27 que se conecta directamente a los conectores tradicionales de 220 v. De esta forma podremos cambiar nuestros viejos bombillos por unos nuevos y con un ahorro considerable sin necesidad de realizar un cambio de apliques.

Estas alternativas son muy interesantes, más que nada porque en el mercado se encuentran disponibles distintas marcas con diferentes costos. En cuanto a color hay blancas y "cálidas".

Esta realmente es una opción a considerar para de a poquito ahorrar en energía.

miércoles, septiembre 13, 2017

RationalWiki disponible en formato ZIM para ser leído offline con Kiwix

Se suman nuevos contenidos para ser leídos offline, en este caso el wiki RationalWiki.
RationalWiki es un wiki que trata sobre pseudociencias realizando un análisis racional de las mismas con diversas fuentes.

Hay gran cantidad de contenido y si bien el mismo está en inglés es un interesante material para compartir con personas sin acceso a Internet.


Kiwix es un proyecto que permite acceder a archivos ZIM que son contenedores para poder compartir y acceder de forma offline.

sábado, septiembre 09, 2017

Optimizando recursos sin afectar el rendimiento ni las ganancias en una PyME

En la Argentina (como probablemente puede pasar en otros países) hay gran cantidad de PYMEs, estas son pequeñas y medianas empresas. Las mismas suelen utilizar recursos pero no de forma óptima y esto se puede deber a varias razones, ya sea por desconocimiento, por mal asesoramiento o porque directamente alguien los ha engañado.

Vamos a tratar algunos puntos por los se puede analizar de que forma una empresa puede estar mal gastando sus recursos y luego algunas ideas para optimizarlos. Todo esto sin afectar las ganancias ni reduciendo personal.

Veamos algunos de los problemas frecuentes:
  • Falta de planificación: es común que no se determine las acciones a realizar en corto, mediano y largo plazo. Muchas veces las empresas actúan en automático y no tienen vistas a futuro. Esto hace que ante imprevistos no sepan que hacer. No sondeen el mercado ni busquen la mejora continua.
  • Falta de organización: otra cuestión muy frecuente es la falta de organización del trabajo. Esto hace que hay veces que todo sea caótico. Depende la cultura hay veces que es mejor o peor el caos, pero a lineas generales siempre que se pueda dividir ciertas tareas y ordenar un poco es mejor, ya que la asignación de roles hace a la vez la asignación de responsabilidades.
  • Falta de documentación: este es otro problema que lo vimos hace un tiempo, documentar es primordial. En empresas de servicios el conocimiento (know how) hace a la empresa.
  • Falta de relevamientos: no se suele relevar el estado actual ni se planifica relevamientos periódicos. Esto hace que no se puedan tomar decisiones sobre como asignar ciertos recursos o que acciones tomar.
  • Decisiones poco acertadas: con relación al punto anterior, ante la falta de datos difícilmente se pueda tomar mejores decisiones. Es por esto que es importante tomar buenas decisiones orientadas al negocio.
Y ahora algunas soluciones posibles.
  • Uso de herramientas adecuadas: es común usar herramientas no adecuadas como paquetees ofimáticas para todo. Hay software mucho más específicos que nos pueden ahorrar muchos dolores de cabeza. Es importante no casarse con ninguna solución y siempre estar investigando nuevas soluciones que nos hagan ahorrar tiempo y a la vez dinero.
  • Estimación de tiempos: Siempre estimar tiempos, esto nos permite planificar y organizar las jornadas. Se puede tener parámetros de acuerdo a otros trabajos realizados. Esto ayuda a saber si se llega o no con ciertas tareas y a re adecuarlas.
  • Documentación de procesos de forma colaborativa: como se comentó el conocimiento es primordial, es por eso que la documentación se tiene que  hacer siempre. Los wikis pueden ser una buena solución. Y es importante que todos puedan documentar.
  • Capacitación: Sin el conocimiento adecuado se puede tardar muchas más veces en tratar de llegar a una solución. La capacitación del personal es algo sumamente necesario. Pensar que es mejor no capacitarlo hace que las personas no puedan cumplir adecuadamente su función y no puedan desarrollarse mejor en la empresa. El plan de capacitación de una empresa, incluso una pequeña o mediana empresa, es importante. Porque esto  hace que los empleados puedan hacer las cosas de la mejor forma según las prácticas ya estudiadas y eviten el "prueba y error".
  • Buscar especialistas: si hay algo que no se sabe y no se puede saber en un pequeño periodo buscar a las personas que lo puedan hacer. Se puede focalizar en una transferencia de conocimiento. Esta persona puede ser externa, a tiempo parcial, etc. Pero sepamos que siempre es mejor que algo lo haga alguien que sabe más sobre el tema.
  • Focalizar en una visión orientada a procesos: esto significa que toda la empresa tenga en vistas los objetivos de la empresa en su conjunto (visión holistica) y no solamente a las funciones de su competencia. Es decir que comprendan sus "entradas" y "salidas".
  • Realizar procedimientos: la revisión constante de los mismos puede ayudar a encontrar la mejor forma de hacer las cosas sin repetir errores ya conocidos.
En fin, como conclusión siguiendo algunas buenas prácticas y desarrollando ciertos aspectos se puede mejorar el rendimiento de forma considerable, para esto es importante tener en cuenta que los recursos son limitados y por esto es importante considerar la buena gestión de los mismos.

La optimización se basa en no solo encontrar la mejor forma de hacer las cosas sino con la menor cantidad de recursos posibles. Es decir ser eficaz y eficiente.
Para poder lograrlo es importante tener una visión crítica, conocer distintas experiencias y soluciones y constantemente considerar las mejoras que se pueden implementar.

No hay duda que ciertos cambios pueden ser difíciles de cambiar en la organización, pero de forma gradual y con la demostración de los resultados (y sus beneficios), todo puede ser más rápidamente aceptado.

miércoles, septiembre 06, 2017

Analizando aplicaciones de Android (APK)

Las aplicaciones de Android son programas realizados en Java. Esto quiere decir que pueden ser analizadas, o dicho de otra forma poder analizar el código fuente.

Para esto se requiere los siguientes pasos:
  1. Obtener el APK: para esto podemos usar APKPure.
  2. Descomprimir el APK: para esto podemos usar 7zip.
  3. Transformar el archivo DEX a JAR.
  4. Analizar las carpetas (algunos programas pueden estar programados con JavaScript) y decompilar el JAR, por ejemplo con Java Decompiler.
Y de esta forma podremos analizar muchas aplicaciones, vale aclarar que es importante tener en cuenta de no infringir alguna licencia de uso de las mismas.

miércoles, agosto 30, 2017

Como reportar una vulnerabilidad en un software o una web de forma efectiva

Muchas veces al navegar una web podemos encontrar errores, estos pueden ser simplemente de ortografía, un enlace roto o algún problema de seguridad.

Sobre los primeros problemas no habría mayor inconveniente, históricamente las webs tenían su famosa dirección "webmaster@...". Pero sobre los problemas de seguridad es un agujero negro en donde cualquier cosa puede pasar.

Al hablar de seguridad nos referimos a muchas cosas. Puede ser de una vulnerabilidad o problema inofensivo hasta algo realmente grave. Y hay muchas historias no muy agradables que hacen que muchos sean reticentes a reportar o que al hacerlo realicen ciertas acciones que generen más sospechas que tranquilidad.

Si bien no hay algo claro, definido y estándar, muchos aconsejan no reportar por experiencias negativas. Otros deciden hacerlo igualmente, pero en pocas palabras, todo depende de la situación.

Se puede recibir la grata respuesta de un agradecimiento, hasta una desagradable noticia de una acusación.

En principio no se debe considerar a la persona que reporta como un enemigo, ni tampoco como alguien que busca un perjuicio. Claro está todo depende de que es lo que reporta y que acciones realizó para llegar a esas conclusiones, si esas acciones son legales o no o en que circunstancias.


Una interesante guía para el reporte de vulnerabilidades es la que se encuentra en el GitHub de la Fundación Sadosky, la misma se denomina "Procedimiento para el reporte y difusión de vulnerabilidades" y permite aclarar un poco como manejarse de forma "correcta" evitando cualquier susceptibilidad.

Vale también aclarar que esto no quita que nuestra acción delate algún problema mayor o permita ser utilizada mal intencionadamente como chivo expiatorio de otra cuestión, es por esto que ya muchas personas han dejado de reportar, y de cierta forma termina volviendo todo más inseguro.

En 2011 Chema Alonso ha publicado algo al respecto muy interesante, crear un archivo similar a robots.txt pero para avisar las intenciones del administrador del sitio.

Por último una interesante guía es "The CERT Guide to Coordinated Vulnerability Disclosure", donde se desarrolla de forma bastante técnica el proceso de reporte de vulnerabilidades.

En conclusión, es importante entender las circunstancias y poder evaluar que es lo que corresponde, no hay de momento una receta ni esta todo tan estructurado de forma tal que otorgue garantías a ambas partes. Es por esto que si bien existen algunos documentos de referencia lo importante es la decisión que tome cada uno.

miércoles, agosto 23, 2017

Cómo informarse de forma alternativa: por las redes sociales, por RSS y vía P2P

Tristemente los medios masivos de comunicación han caído en una decadencia de un nivel tan escandaloso que preocupa hasta al más desprevenido.

Ya las noticias relevantes se mezclan en una serie de noticias irrelevantes pero que llaman la atención, que generan click-bait o que simplemente están pensada para los anunciantes.

Esta realidad (terrible) está poco a poco afectando a los sitios de noticias en la web. Es decir, si bien uno podía escapar a la televisión de a poco las mismas técnicas se están utilizando en los principales portales de noticias.


¿Que alternativas tenemos?

Pues la solución es simple: participar.

Daré algunos ejemplos.
  1. Podemos tener nuestro propio blog (se puede hacer gratis en Blogger o Wordpress.com), donde nos generamos nuestro recorte de las noticias que consideramos relevantes. Acá simplemente podemos compartir el titular con una síntesis y una reflexión propia, y el enlace a la noticia.
  2. Participar en redes sociales (o agregadores de contenidos como reddit o meneame), donde compartimos lo del punto 1 y/o las noticias relevantes de los medios. Esto implica usar las redes para debates importantes y no superfluos o inconducentes.
  3. Ayudar a otros bloggers a compartir su material relevante, esto lo podemos hacer con distintos sitios tomando su RSS y re publicándolo automáticamente en las redes de esta forma estamos dando una ayuda muy grande a estos usuarios. Claro está debemos confiar en el criterio de lo que publican.
  4. Pensar en las redes sociales como el lugar donde está la gente, pero que el debate se de en nuestro sitio. Esto es así porque dado los algoritmos que utilizan las redes sociales para publicar el contenido algún material puede ser poco relevante y por lo tanto no publicarse. Si nosotros nos "aseguramos" un canal alternativo como RSS y/o la suscripción a una lista de correos es más probable que puedan acceder.
  5. No alimentar sitios que no benefician la libertad de expresión, ni priorizan contenidos de calidad. Con esto me refiero a que pensemos que mucho contenido relevante puede estar perdido por no ser un sitio conocido, y a la vez se priorizan sitios "importantes" que no cuentan con contenidos de calidad u originales donde muchas veces solo buscan generar visitas.
En fin, esta pequeña lista nos puede ayudar para encontrar otra forma de ver la web, en la actual era de las redes sociales y los portales con contenido pobre.

lunes, agosto 21, 2017

Filtran el código fuente del sistema de Voto Electrónico utilizando en Salta (Argentina) y lo auditan públicamente usuarios de Twitter

Tal como se lee en el diario La Nación, han filtrado el código fuente del sistema de Voto Electrónico utilizado en la provincia de Salta.

Lo mismo dio pie a que muchos usuarios estudien el código en búsqueda de fallas.




Si bien es correcto que los elementos utilizados en una elección puedan ser auditables por toda la ciudadanía, al parecer esto no fue algo oficial, pero de cualquier forma plantea distintas cuestiones referentes al manejo de información que sufren los votantes de este tipo de sistemas.

domingo, agosto 20, 2017

Desafío para romper el "sistema a de Voto Electrónico inviolable" por parte de Blue Frost Security

Se acerca la conferencia de Seguridad Informática Ekoparty y uno de los sponsors ha decidido regalar entradas a quiénes realicen correctamente un desafío.

Se trata de un "sistema de Voto Electrónico inviolable" y se basa en realizar ingeniería inversa sobre un binario proporcionado en su sitio web.



Los guiños están por donde se los mire:
  • Los candidatos son Trump, Menem y Zulma Lobato (?).
  • El sistema es "inviolable" pero el desafío es romperlo.
  • Hay una referencia a un sistema "sin memoria".
La empresa ya ha anunciado los ganadores en Twitter, los que accedieron a una entrada gracias a su capacidad de resolver este tipo de desafíos.

miércoles, agosto 16, 2017

La historia de los legisladores antivacuna homeópatas en la Argentina

Cuando la ignorancia es grande, fácilmente la gente es engañada.
El tema surge cuando los que son engañados (o son participes del engaño) son nuestros representantes: los legisladores de un país.

Ese fue el caso que surgió en Argentina. A fines de Junio del 2017 se debatió en las redes sociales sobre un proyecto de ley presentado por la legisladora Paula Urroz en el cual la vacunación se transformaba en algo opcional por parte de los ciudadanos.

A ver, analicemos un poco.
La vacunación tiene la finalidad de proteger no solo al individuo que se la aplica sino a toda la población, es decir protege aspectos de la Salud Pública.
Si todos nos vacunamos hacemos que la población en general sea menos propensa a enfermarse.

Es ahí donde deja de ser un acto individual y pasa a ser algo colectivo en pos de toda la sociedad.

Bueno, los medios han tomado el debate y muchos médicos describieron el problema de hacer "opcional" la vacunación.

Los legisladores que avalaron esto, según la información de la entrada de Javier Smaldone, son los siguientes:
  • Urroz, Paula Marcela.
  • Acerenza, Samanta María Celeste.
  • Villavicencio María Teresita.
  • Nuñez, José Carlos.
  • Schmidt Liermann, Cornelia.
  • Barletta, Mario Domingo.
  • Hernández, Martín Osvaldo.
  • Goicoechea, Horacio.
  • Wisky, Sergio Javier.
  • Wechsler, Marcelo Germán.
  • Lopardo, María Paula.
  • Pretto, Pedro Javier.
  • Sorgente, Marcelo Adolfo.
  • Raffo, Julio.
  • Poggi, Claudio Javier.
  • Conesa, Eduardo Raúl.
  • Martínez, Ana Laura.

Lo interesante de todo esto es lo que está detrás. En el fondo, la ignorancia de la gente y sus enfermedades terminaba siendo un nuevo negocio para una gran estafa de la homeopatia (una pseudociencia).

martes, agosto 15, 2017

10 cosas que debes hacer para que tu trabajar en equipo sea tremendamente ineficiente

El trabajo en grupos de trabajo es muy enriquecedor, pero  ciertamente muchos no lo consideran así, y empiezan a tomar actitudes egoístas sin tener en cuenta que se perjudican a ellos también.



Una lista de NO recomendaciones al trabajar en equipo. Es decir, cosas que nunca deberías hacer, pero que (por desgracia) se  hacen frecuentemente:

  1. Arma tu "quintita": aprende a hacer algo pero que solo tu lo puedas hacer y nadie más. Todos dependerán de vos. No habrá independencia y te asegurarás tu trabajo.
  2. Genera la necesidad: no hay nada mejor que la gente sepa que necesita de vos. Para eso, puedes apagar uno o dos servidores de vez en cuando, total nadie entiende del tema.
  3. ¡No Documentes!: documentar es para gente que quiere compartir su conocimiento en pos de la mejora de todo el grupo de trabajo... ¡uds. es egoísta!, revise el punto 1.
  4. No hagas las cosas de inmediato: ya que si así lo hace le pedirán que tenga el mismo tiempo de respuesta ante incidentes similares. Demore más de lo necesario para que aprendan a valorar tu trabajo.
  5. Nunca explique lo que hace o como soluciono el problema: no vaya a ser cosa que luego lo puedan resolver solos.
  6. Cobre según el cliente: porque nosotros somos más listillos que ellos y sabremos que nunca se darán cuenta si hacemos estos cobros diferenciales.
  7. Utilice palabras técnicas: sirve para que el cliente piense que sabemos mucho.
  8. Di las cosas, pero no de forma completa, que tus compañeros no terminen de entender como se hacen las cosas: así siempre nos volverán a preguntar.
  9. Muéstrate colaborador cuando te vean los superiores: por supuesto que ellos tampoco se darán cuenta, porque nosotros somos más inteligentes que todos.
  10. Nunca piense en el cliente, solo piense en uds: porque como nosotros somos indispensables no vale la pena pensar en la calidad del servicio.
 Así que fácilmente con esta pequeña lista podrás ver como la empresa donde trabaja se desarrolla de forma muy lenta en comparación de otras donde la información fluye y realmente se trabaja en equipo considerando que TODOS ESTAMOS EN EL MISMO BARCO.

miércoles, agosto 09, 2017

Malware en GNU/Linux

Uno de los grandes mitos informáticos es que en GNU/Linux no hay malware. La realidad es que esto no es así. En este sistema operativo hay malware. En otras palabras, cualquier sistema operativo puede ser susceptible a tener malware.

Se entiende como malware a cualquier programa "mal intencionado" es decir, que no hace las acciones esperadas o deseadas por los usuarios.

Linux no es la excepción, pero hay dos factores interesantes a considerar de porqué esto no sucede.

En primer término el sistema operativo no es usado de forma tan masiva como si lo son los sistemas de Microsoft (Windows), esto hace que para los atacantes no sea tan atractivo atacar sistemas operativos Linux.

Por otro lado hay otro factor a considerar. Dadas las propias características de como se estructura el sistema operativo desde su diseño, así como los sistemas de permisos en el sistemas de archivo, hacen que (en caso de que se use de forma correcta) sea bastante complejo que el malware genere ataques efectivos.

¿Pero porqué se dice "en caso de que se use de forma correcta"? Pues porque se debe contar con cierto conocimiento para poder hacer las cosas bien. Esto, por ejemplo, implica que cada aplicación que ejecuta un "daemon" lo realice con un usuario propio sin privilegios especiales, de esta forma nos aseguramos que solo podrá acceder a los lugares del sistema que debería acceder. Un error muy común es ver servicios ejecutas como "root".

En resumen, no hay que confiar ciegamente en cualquier programa de Linux, como tampoco en cualquier otro sistema operativo.

Una cuestión interesante es que los sistemas GNU/Linux soportan el comando chroot el cual permite "enjaular" un proceso para que no afecte al resto del sistema.

A su vez existen programas antivirus como ClamAV como antirootkit como rkhunter.

domingo, agosto 06, 2017

Saber paquetes instalados en distribuciones Debian / Redhat (y cantidad)

Las distribuciones de Linux manejan sistemas de empaquetados. Los mismos son utilizados para instalar el software desde los repositorios.


Un aspecto interesante a tener en cuenta es que es recomendable tener solo los paquetes necesarios, principalmente en servidores "en producción". ¿Porqué?, para tener el mínimo punto de exposición. Es decir que cuanto menos software se encuentre instalado o ejecutándose menos probabilidades de que existan fallas. Algo relacionado al concepto KISS.

Pues bien, para distribuciones basadas en Debian (paquetes .deb) podemos ejecutar lo siguiente:
dpkg --get-selections | grep -v deinstall

Ahora para distribuciones basadas en Red Hat (RPM) el comando es el siguiente:
yum list installed
Si a e estos comandos le agregamos " | wc -l " podremos obtener la cantidad de paquetes instalados.

miércoles, agosto 02, 2017

¿Qué es la Capa 8?

La capa 8 es ud.
Si, si le dijeron que hay un problema en la capa 8, le quisieron decir que hay un problema entre la computadora y la silla.

En otras palabras.
Los sistemas no siempre están pensados para que sean usados por cualquier persona, en efecto... CUALQUIER PERSONA usa los sistemas, y eso los vuelve impredecibles.

Tal vez una de las cuestiones más complejas al desarrollar es entender que tantos errores puede cometer el usuario al usar el sistema para preverlos (por ejemplo en validación de campos).

En fin, no se ofenda si le dicen que el problema es de "Capa 8", es lo más común.

¿Y porqué capa 8? pues, por el modelo OSI, que es el que se utiliza para la arquitectura de las redes de computadoras.

viernes, julio 28, 2017

Día del Administrador de Sistemas Informáticos

Hoy 28 de Julio de 2017 se celebra el Día del Administrador de Sistemas Informáticos.

¿Quiénes son estas personas? Básicamente Dios. Bueno, a ver... tratare de explicarlo en otros términos... ellos son los que están detrás de todas la infraestructura para que funcione todo los sistemas que utilizas cuando prendes una computadora y te conectas a un servicio.

Saben de redes, programación, base de datos, pero básicamente administran servidores y la infraestructura asociada a estos. Permiten que todo funcione.

La información sobre este evento se puede encontrar en SysAdmin Day a la vez que distintos grupos de administradores organizan eventos como Sysarmy.


Con el tiempo los Sysadmins fueron socializando más y ya se dejó el BOFH... o no tanto :)

miércoles, julio 26, 2017

No te olvides de poner el Where en el Delete From

Un clásico: "No te olvides de poner el Where en el Delete From"


"Amigo programador, puedes cometer muchos fallos.
Pero nunca, nunca, nunca olvides el where en el delete from.
Las consecuencias pueden ser terribles"

Así es, una linda canción para cualquier persona que trabaje con bases de datos.
Es tan pegadiza que luego de escucharla un par de veces no nos vamos a olvidar de poner el Where en el Delete From.

miércoles, julio 19, 2017

¿Porqué se ha perdido la guerra contra las descargas no autorizadas? Y porque ahora se está ganando.

Corría el año 2000 y muchas personas encontraron un software que les permitía acceder a la música simplemente ingresando en nombre de la canción. En este programa muchos encontraron un excelente servicio y una muy buena alternativa a la forma en la cual comúnmente se accedía a la música.

El software era de por sí muy sencillo, permitía buscar canciones descargarlas y compartir las que ya se tenían.
Pero si bien para la gran cantidad de la población era realmente excelente, a varios artistas como gestores de contenidos protegido por propiedad intelectual no les gustó mucho la idea.

Estamos hablando de software Napster. Que fue el ícono de las descargas no autorizados.

Si bien este programa P2P era el más conocido no fue el único. Hubo otros software no tan conocidos tales como scripts de mIRC, NeoModusDC (DirectConnect), HotLine, Soulseek, red FastTrack, Gnutella, eDonkey2000, BitTorrent, etc.


¿Pero que hacía que la gente acceder al contenido esta forma y no comprándolo en tiendas en formato físico? ¿La gente buscaba violar la propia intelectual o simplemente le era más cómodo acceder un programa buscar la canción y bajarla?
10 o 15 años se necesitaron para que la industria entendiera que la piratería no es un problema de precios sino un problema de servicio.

En la actualidad se cuenta con distintas alternativas legales para poder acceder a contenidos con propiedad intelectual. Estas plataformas otorgan contenido de calidad a la vez que permiten acceder al mismo de forma sencilla sin tener que salir de la casa o comprar en formatos obsoletos como lo es, en ciertos casos el formato físico.

Simplemente basta con conocer algunos ejemplos para entender por qué esto es así:

  • Netflix: es un servicio de Streaming de video el cual cuenta con un gran catálogo y permite ver tanto películas como serias en su idioma original o dobladas al español con o sin subtítulos de forma instantánea y a un precio realmente muy accesible.
  • Spotify: servicio de streaming de música que permite tener acceso a un gran catálogo de canciones de distintos autores simplemente a un par de clips.
  • Steam: permite acceder a una gran cantidad de juegos a precios muy reducidos. Incluso se pueden obtener juegos antiguos compatibilizados con los sistemas operativos actuales.
Como se ve estos servicios presentan una gran cantidad de ventajas.

Una de las hipótesis es que estos servicios no hubieran existido si anteriormente no surgían los programas de descarga no autorizados. Entiendo es hipótesis como válida, no porque la industria no pudiese descubrir este tipo de tecnologías sino porque simplemente no le convenía manteniéndose en una postura conservadora y relegando la innovación.

En la actualidad cualquier persona puede acceder este tipo de servicios y a las distintas alternativas que existen también a nivel local... ¿deberemos agradecer a los mal llamados piratas?

miércoles, julio 12, 2017

Proxys Cache, HTTPS/HTTP: el cifrado y sus problemas

Parecería que la tendencia es hacia cifrar todo. Parece una buena idea, y en muchos aspectos tiene ventajas. Pero hay algunos casos en que trae más complicaciones que soluciones, pasaremos a contar.

El proyecto Let's Encrypt parece que ayuda a muchos a poder cifrar el acceso a su sitio sin necesidad de requerir el pago de un certificado. Pero uno de los inconvenientes ya comentados es que el hosting soporte SNI (Server Name Indication). Superando esta barrera hay otro aspecto no menos interesante: los proxys cache.

Cuando navegamos hay muchos intermediarios que almacenan copias del contenido para agilizar su acceso. Esto es realizado por ISPs pero también por empresas para reducir costos en ancho de banda. El tráfico SSL ronda el 50% de las páginas web según datos de Google. Esto implica que muchos sitios no sería cacheados (claro, excepto que se hagan algunos mecanismos poco seguros como hacer certificados raíz propios). En consecuencia el cifrado bajo la performance de la red y hace que se genere mayor tráfico (muchas veces a servidores fuera del país).


Por otro lado los navegadores están empezando a poner advertencias cuando se accede a un sitio si SSL/TLS indicando como "no seguro", lo que insta a los webmasters a aplicar el cifrado, sumado esto a que si uno pone un certificado pero tiene enlaces externos hacia recursos no seguro también mostrará una advertencia (en consecuencia se viraliza este requerimiento).

Muchos sitios como diarios (al menos en países de Latinoamerica) no utilizan cifrado, esto puede generar un ahorro en ancho de banda (dado que muchos intermediarios podrán cachear el contenido), pero de cierta forma puede generar un riesgo a la privacidad.

En conclusión. No toda solución es 100% y muchas veces puede traer algunos problemas, por eso todo se debe analizar con detenimiento.

miércoles, julio 05, 2017

Saber que Plugins y Temas utiliza un sitio con Wordpress

Hace ya un tiempo compartimos un sitio que nos da información sobre los plugins y temas que utiliza un sitio realizado en Wordpress, en esa ocasión comentamos la herramienta WhatWPThemeIsThat.

Pues bien existe otra alternativa interesante llamada WPThemeDetector.


Esta herramienta es similar y nos puede servir para poder saber que plugins utilizar en nuestro sitio. Sumamente útil.

miércoles, junio 28, 2017

¿ Qué es una denegación de servicio distribuido (DDoS) ?

La delegación denegación de servicio distribuido consiste en generar tráfico desde distintos puntos de Internet, es decir las distintas fuentes, para saturar un servicio (generalmente un sitio web).

Para cometer este propósito mucho software malintencionados (Malware) generan "botnets" y están a la espera de que un atacante determinado de instrucciones.


Este tipo de ataques es uno de los más complicados de mitigar. Esto es debido a que las conexiones de origen son muchas y no hay un patrón específico (como puede ser un país o un proveedor de Internet determinado).

Si bien con el correr del tiempo están surgiendo distintas soluciones a este tipo ataques, lo cierto es que en la actualidad son un gran problema para los administradores de sistemas y genera gran cantidad pérdidas a distintas empresas.

Es importante considerar este tipo de ataques y estudiar las distintas alternativas de solución dado que estando preparado se está, al menos, un paso adelante, y en el momento de crisis ya tener distintas alternativas de solución.

sábado, junio 24, 2017

Debian 9 "Stretch" ya disponible

La versión 9 del sistema operativo GNU/Linux Debian 9 ya se encuentra disponible para bajar.

Esta versión tiene soporte UEFI incluso la versión "live", da mayor soporte a los paquetes reproducibles (asegurando bit a bit su integridad), cuenta con algunas cuestiones de seguridad (como que el sistema de ventanas X no corre como root), y otras cuestiones detalladas en el anuncio.

El lanzamiento de una nueva versión de Debian es algo relevante más que nada por la gran cantidad de distribuciones que se basan en esta distribución.

Se pueden descargar los ISO via torrent desde este enlace.

miércoles, junio 21, 2017

Consideraciones en la contratación de servicios de Internet banda ancha

Los servicios de Internet banda ancha cuentan con distintas características. Dependiendo la ubicación geográfica en donde nos encontremos y si el lugar donde nosotros vivimos es un lugar poblado o no vamos a tener distintas opciones para elegir nuestro proveedor de Internet.

En la actualidad existen varias tecnologías, las más utilizadas son:
  1. Internet por cable: utiliza cable coaxil por el cual viaja la televisión por cable, para de esta forma poder dar acceso a Internet.
  2. Internet por ADSL: utiliza líneas telefónicas digitalizadas para proveer acceso Internet. Esto significa que se cuentan con dos proveedores, uno que otorga el servicio de Internet y otro que otorga la infraestructura de telefóníaa.
  3. Internet por satélite: para este tipo de servicios utilizan antenas satelitales, no son muy frecuente exceptuando en zonas rurales.
  4. Internet por telefonía celular (3G, 4G): utiliza las antenas de telecomunicación de telefonía celular para proveer acceso Internet.
  5. Internet por WiFi: este servicio es otorgado principalmente en zonas urbanas donde no hay mucha densidad poblacional, por ejemplo en ciudades pequeñas de las provincias. Este tipo de tecnología se denomina WISP. Generalmente el ISP utiliza algún tipo de servicio de los anteriormente mencionados como proveedor de este.
Cabe destacar que dependiendo de la tecnología que se utilice serán los elementos que uno deberá adquirir. Muchos proveedores entregan equipos en comodato o al contratar el servicio se solicita la compra de los mismos. Estos equipos pueden ser desde módems hasta antenas y routers Wi-Fi.

Cuestiones importantes a considerar al contratar un servicio de Internet banda ancha:
  • Hay que tener en cuenta cuanto ancho de banda otorga, tanto de subida como de bajada.
  • Si existe alguna limitación por cantidad de conexiones que se puede establecer.
  • Si cobra excedente por cantidades de datos transferidos.
  • Si permite configurar puertos de entrada (NAT Forwarding).
  • Si nos otorga una IP pública exclusivamente para nuestra conexión.
  • Si la IP pública es dinámica o estática.
  • Cuál es el UPTIME del servicio.
  • Cuáles son los canales de atención al cliente.
  • Cualquier otro tipo de SLA.
Este tipo de consideraciones son importantes más que nada en entornos medianos o grandes debido a una baja del servicios de Internet puede generar una perdida a la empresa. Si bien existen distintos métodos para solucionar este tipo de inconvenientes (doble WAN) lo importante es poder contratar un servicio de calidad.

lunes, junio 19, 2017

Ya se puede tener "Stack Exchange Network" de forma Offline (por ejemplo Stackoverflow) gracias a Kiwix

Ya hace tiempo se comentó el excelente proyecto Kiwix, tanto en su programa ejecutable multiplataforma así como su versión para Firefox y Chrome. Pues desde el proyecto han anunciado una muy interesante noticia: está disponible "Stack Exchange Network" para ser leída de forma offline (sin conexión a internet).

Quiénes no conocen esta red de sitios, es un sitio del tipo preguntas y respuestas, el cual es de mucha utilidad. Especialmente el sitio Stackoverflow es de gran ayuda a programadores tanto porque se puede realizar consultas así como la posibilidad de encontrar una gran cantidad de respuestas realizadas por sus usuarios.

Gracias a que todo el contenido publicado ahí es de licencia libre según sus condiciones, y ya que se realizan volcados de la base a archive.org desde el proyecto Kiwix han realizado un desarrollo para tomar estos archivos y migrarlos al formato ZIM, el que es leído por Kiwix.

Así que ahora todas las personas, incluso sin contar con acceso a internet, pueden acceder a este contenido al obtener una copia de los archivos ZIM.

Dado que los archivos son bastante grandes es posible bajarlos mediante el protocolo BitTorrent agregando un .torrent a la URL de descarga que figura aquí. Es importante bajarlo por torrent, no solo porque ayuda a no sobrecargar los servidores, sino también porque cuenta con la verificación de la integridad de los archivos mediante los HASH que se encuentran en el torrent, y de esta forma evitando descargar archivos corruptos.

Más información en la lista de correo Offline-l.

domingo, junio 18, 2017

Formación académica vs. Experiencia en la Informática

En la informática, y en parte en otras profesiones, siempre se encuentra el debate de qué es lo más importante, si la formación académica o la experiencia profesional.

El debate sería anecdótico, al menos, si no fuera porque los profesionales ( en el sentido de las personas graduadas universitarias ) agrupadas en colegios profesionales quieren que las personas que se dedican a la informática sin contar con las credenciales correspondientes no ejerzan sus tareas, o en todo caso, no se consideren como tales ni se hagan llamar de esta forma.

Veamos.
La formación académica (en casi cualquier disciplina) cuenta con grandes ventajas, en primer lugar otorga un conocimiento amplio y estructurado sobre la ciencia que se trate. Esto implica que, a diferencia de las personas autodidáctas, se tuvo que aprender lo que gusta y lo que no, para poder llegar a un título.
El título dice, básicamente que se aprobó una serie de requisitos regulados por una Universidad y controlados por un Ministerio de Educación, los cuales dan fe (o al menos otorga cierta garantía) de esto.

La formación independiente, autodidacta, o no formal, otorga una gran cantidad de saberes en muchos casos más prácticos que teóricos, enfocados a tareas puntuales y concretas.
Muchas veces son estas tareas las que busca la industria, de cierta forma, operarios calificados y no necesariamente gente con títulos de grado (no porque no tengan valor, de hecho lo tienen y mucho, pero justamente ahí radica el problema: se le debe pagar más por algo que tal vez les sobre).

Ambas cosas son importantes, y se deben considerar. Las personas con experiencia práctica pueden resolver cuestiones puntuales del día a día y en muchas ocasiones las personas con formación académica pueden estar en puestos no tan operativos (aunque siempre hay visiones divergentes sobre esto).

Lo cierto es que es importante considerar el valor de ambas cuestiones, a la vez que no menospreciar ninguna de las dos.

Acá dejo dos videos interesantes donde justamente se charla sobre estos temas:

En el primer video Julio Lopez comenta en el programa de Lanata Sin Filtro la incongruencia que se ve en las normativas de los consejos profesionales y el gobierno de la Ciudad de Buenos Aires al realizar cursos de programación para incorporar a distintas personas a la industria de la informática.


En el siguiente video (desde el minuto 08:34) es muy interesante lo planteado por Juan María Segura en una entrevista realizada por Luciana Vázquez para el ciclo Conversaciones del diario La Nación. En el mismo se explica justamente el valor que cuenta el título pero cómo cada vez más el valor que tiene la experiencia así como otras cuestiones relacionadas con el conocimiento adquirido.

Se puede acceder al video desde el siguiente enlace.

Se pueden leer más análisis sobre estas cuestiones en algunos blogs, y realmente es un debate interesante.

A decir verdad creo que las cosas van a ir cambiando con el correr del tiempo y tal vez se definan más los roles de los profesionales graduados así como las personas que cuentan con un gran conocimiento práctico a partir de la experiencia pero les falta una pata teórica. En conclusión no creo que sea una guerra ni una batalla unos contra otros, sino más bien algo que se debe ir consensuando y acordando con el tiempo.

jueves, junio 15, 2017

Seguridad en comunicaciones Móviles

Si bien ya sabemos que nuestro teléfono celular es un rastreador permanente, lo cierto es que por un momento uno piensa que este rastreo está limitado a un selecto grupo de personas. La respuesta es no: en determinados momentos de la historia cualquier persona de cualquier parte del mundo con solo tener cierto conocimiento podía saber en que antena de celular estaba reporteando un móvil.

¿Pero cómo era posible esto? Pues por vulnerabilidad o mala configuración en el protocolo SS7.

Lo cierto es que en las distintas tecnologías de telefonía han existido vulnerabilidades.

En la siguiente presentación se ve un gran y muy interesante resumen al respecto:


Hay abundante información sobre este tipo de problemas y algunas soluciones en la web del autor.

miércoles, junio 07, 2017

Usar o no usar PGP/GPG, esa es la cuestión

La respuesta, como a casi todo, es depende.
Hay posiciones en contra y posiciones a favor.

Lo cierto es que tiene bastantes cuestiones complejas a analizar. Por ejemplo a interfaz de usuario no apta para nuevas tecnologías (web mails por ejemplo, más allá de los múltiples intentos), o el problema de los metadatos (fechas, datos del cliente de correo, título del correo, etc).

El análisis es cada vez más complejo y muchos optan por Signal, pero a ser verdad es un programa de Mensajería instantánea más que de correo electrónico.

El tiempo pasa, las cosas cambian... pero el PGP/GPG parece que aún algunos siguen resistiendo. Muchos ya han optado... el tiempo dirá.

miércoles, mayo 31, 2017

Descubrir el password detrás de los asteriscos en un programa

Muchas veces nos sucede que olvidamos el password que tenemos en un programa, entonces tenemos que realizar un proceso de recuperación de contraseña o en última instancia resetear a los valores por defecto.

Por suerte existen algunas aplicaciones que nos permiten revelar la clave detrás de los asteriscos en los programas la misma se llama BulletsPassView de Nirsoft.

Sencilla de utilizar, útil y de pequeño tamaño este programa servirá para salvarnos en esas ocasiones.

domingo, mayo 28, 2017

Miniflux, un lector RSS con el concepto KISS

Existen varios lectores RSS, cada uno con sus pro y sus contra. En general cada uno debe elegir el que mejor se adapte a su necesidad, o el que uno se sienta más cómodo. Para eso no queda otra opción que probar varios, leer comparativas y de esta forma poder elegir.

Hoy voy a comentar un poco de Miniflux, un lector RSS muy particular.
Su principal característica es que tiene una interfaz muy liviana, es responsive (se adapta sin problema a cualquier tipo de pantalla), y funciona desde un servidor (tal como tt-rss). En otras palabras es un lector de RSS minimalista.


El hecho que funcione en un servidor significa que quién actualiza los feeds es el propio servidor (generalmente mediante CRON), de esta forma uno se desentiende de perder algún feed por un día que no se olvide de prender la computador o abrir el lector de feed.

La configuración de CRON puede ser un poco complicada para usuarios no expertos pero todo se termina resolviendo (en mi caso tuve que adaptar una línea de código, donde se comparaba con 'cli' puse 'cgi-fcgi').

Tal vez lo que mas llama la atención de Miniflux es que no posee una búsqueda avanzada ni filtros (una función muy usada y útil en los lectores RSS), lo cierto es que -según se ven en los tickets de github-, no es algo que se considere hacer a futuro dado que la filosofía es "menos es más". Esto quiere decir que buscan hacer algo bien, y en este caso ese "algo" es solamente un programa que recupere los RSS, los almacene y permite una vista ágil. Esto es muy similar al concepto KISS y la filosofía UNIX.

Otra opción interesante que tiene es que permite bajar los feeds completos más allá si solo se publica en el RSS el resumen o no. De esta forma se puede realizar la búsqueda por toda la noticia. Para esta opción cuenta con algunos filtros por defecto pero leyendo la documentación se pueden crear nuevos y adaptarlos según los feeds que uno lea.

Se encuentra programado en PHP y almacena la información por defecto en un archivo SQLite. Esto hace que sea muy fácil de instalar y la configuración sea mínima. A su vez si se desea añadir algún filtro se puede hacer directamente leyendo este archivo.

La aplicación es realmente ágil y muy sencilla.

Se puede descargar el código fuente para instalar en un servidor o se puede probar el servicio ya hosteado.

sábado, mayo 27, 2017

Kiwix sin instalar binarios gracias a HTML5

Hace un tiempo ya se comentó de la excelente aplicación Kiwix que permite acceder a contenido de forma offline, específicamente a la Wikipedia.
Esta aplicación es un lector de archivos ZIM, que es un formato especial para este tipo de archivos.

Pues bien, hay una alternativa muy interesante que es una extensión para navegadores como Chrome o Firefox, y nos permite leer archivos ZIM sin necesidad de instalar un nuevo programa, ni ejecutar un binario nuevo (esto es especialmente muy relevante cuando no tenemos permisos acordes).


Pueden descargar la extensión para Firefox o para Chrome o sino ver el código fuente en Github.

jueves, mayo 25, 2017

¿Podemos confiar en el Software Criptográfico?

Pregunta que parece simple pero no lo es. Una respuesta puede ser simplemente no. Otro respuesta es al menos una solución. A ciencia cierta es difícil aseverar que un software es seguro, en efecto ninguno lo es. Pero lo que si se puede aseverar es que pasó ciertos controles por parte de una auditoria o que cumple ciertas condiciones (claro si confiamos en las personas que realizan estas verificaciones).

En efecto en una de las primeras entradas de este blog se comentó cómo utilizar GPG4Win, una herramienta de GPG para entornos Windows.
GPG es uno de los software emblemáticos de cifrado, utilizado por millones de personas, pero la noticia sorprendió a todos allá por febrero de 2015 cuando un periodista dijo de forma contundente: "El cifrado del correo electrónico mundial depende de un tipo que va a la quiebra". Afortunadamente rápido muchas organizaciones decidieron apoyar el proyecto, pero el solo hecho que uno de los programas más críticos de cifrado dependan de una sola persona... ¿no es al menos peligroso?


Otras noticias existieron en el pasado como los problemas en los números aleatorios de Debian y más recientes los problemas con TrueCrypt.

El experto en Seguridad Informática Bruce Schneier publicó en su blog un listado con un análisis del software de cifrado desglosado por el país del fabricante. Cómo se puede ver alternativas hay muchas.

El hecho de que el código este disponible (código abierto o software libre) tampoco asegura nada, tal como se vio en los primeros tres casos.

En conclusión, el cifrado nos de una solución, una mejora o tal vez una capa más de problemas... "Se acerca el invierno".

martes, mayo 23, 2017

WannaCry: el ransomware que ha despertado las alertas mundiales

El Viernes 12 de Marzo de 2017 se han despertado las alertas mundiales por un ataque de un nuevo ransomware. Este malware que por las primeras noticias alertaban de empresas de telecomunicaciones y bancos de España, luego se conoció información de que también estaba atacando al sistema de salud de Reino Unido.

El ataque fue bastante astuto, aprovechó una vulnerabilidad muy reciente que se hizo pública en los sistemas operativos Windows y gracias a su capacidad de escanear las redes locales pudo infectar una gran cantidad de computadoras en distintas empresas.


Al momento, un poco más de 10 días del ataque, se estima que se han pagado más de 49 BTC (algo así cómo 110.000 dolares a cambio actual). Cada rescate rondaba entre los 300 y los 600 dolares en bitcoin.

Si bien lo cierto es que muchos plantearon los problemas que implica aplicar los parches en entornos corporativos, muchos expertos sugieren que el parche no debe ser la única solución a los distintos problemas que pueden surgir en los ataques informáticos. Por lo que distintas políticas de seguridad de la información se deben aplicar de forma complementaria.

Si bien está claro que este ataque mundial ha dado muchas enseñanzas, varios especialistas afirman que difícilmente se aprenda, y ataques similares probablemente vuelvan a ocurrir.

sábado, mayo 20, 2017

Físicos Argentinos objetan la "mística cuántica" desarrollada por Amit Goswami que es fomentada impulsada por el gobierno de la provincia de Buenos Aires

La pseudociencia es algo que encanta y atrapa. Los manuales de autoayuda también. Lo espiritual, lo místico, lo mágico es hermoso. Pero no es ciencia. Es una cruel burda mentira.

El gobierno de la Provincia de Buenos Aires, por parte del funcionario Alejandro Finocchiaro, ha impulsado una actividad de "capacitación" (de-capacitación) a docentes bonaerenses. Algo así como un alimento al espíritu. Para esto buscó a un físico (vamos, que esta gente parece seria) para que capacite a los docentes.

Pero no un físico cualquiera, sino uno que habla de la "mística cuántica" una distorsión absurda de la física cuantica.

Si bien este hecho fue advertido por algunos medios de comunicación, no generó mayor trascendencia en los medios masivos. Lo interesante fue la carta abierta que realizó la Asociación Física Argentina, en donde expone los problemas de considerar a estas personas como representantes valederos de los conceptos de la física.

miércoles, mayo 17, 2017

Instalar aplicaciones sin permisos de administrador en Windows

Es común en entornos corporativos la aplicación de restricciones a las computadoras, es decir que los usuarios la utilicen con permisos limitados. Esto suele servir para evitar distintos problemas principalmente orientados al malware pero también para evitar realizar constantemente tareas de mantenimiento.

A continuación se realizarán tres alternativas para poder instalar software sin poseer permisos de administrador.
  1. Utilizar programas que no requieran ser instalados. Y en caso que no posea revisar si alguien lo transformó en una versión portable.
  2. Ver si hay algún software alternativo al que uno quiere instalar y ver punto 1.
  3. Tener una máquina virtual e instalar las cosas dentro de esta (tal vez para la instalación de la máquina SI se requieran permisos, pero esto solo se realiza una vez).
De esta forma podremos correr nuestro software sin inconvenientes.

miércoles, mayo 10, 2017

WikipediaP2P: utilizando CacheP2P en Wikipedia

La fundación Wikimedia da soporte a distintos proyectos entre estos Wikipedia.
Wikipedia es uno de los sitios que más tráfico genera en internet, por más que sea de los más optimizados.

Dado que las conexiones tienen un alto costo, y debido a que Wikipedia se sustenta gracias a donaciones, es importante tener en cuenta porqué se busca optimizar al máximo posible la transferencia de datos.



La buena noticia es que cualquier usuario de Wikipedia puede ayudar a aliviar un poco el tráfico, simplemente utilizando una extensión en el navegador.

Se trata de WikipediaP2P y es una implementación de CacheP2P aplicado a Wikipedia. Basta con instalar y activar la extensión, de esta forma compartiremos en una red basada en Bittorrent nuestra cache de Wikipedia.

miércoles, mayo 03, 2017

QLink y PrivateBin alternativas a Privnote: mensajes cifrados autodestruíbles vía web

Así es, aparece con el correr del tiempo más alternativas al ya conocido Privnote.
En este caso una opción realizada por unos argentinos es QLink, esta web permite enviar mensajes teniendo distintas consideraciones importantes respecto a la privacidad como la generación de entropía.
También cuenta con la aplicación para celulares Android.


Otra opción también interesante es PrivateBin la cual es código abierto tal como otro software similar llamado Safe Webnotes comentado hace un tiempo atrás.

Estas alternativas son muy interesantes dado que por ejemplo PrivateBin puede ser instalada en un servidor propio.

Ambos, PrivateBin como QLink, realizan el cifrado y descifrado en el cliente (navegador web) .

¿Que grado de seguridad nos otorga? Es difícil determinar sin examinar por completo el código, pero de cierta forma la seguridad es aceptable. También vale aclarar cuales pueden ser los puntos flojos, por ejemplo que la web inyecte código que una vez mostrado el mensaje descifrado lo capture y lo reenvíe mediante JavaScript.

miércoles, abril 26, 2017

Chat Web Efímeros: para chatear sin dejar rastros (o al menos sin tatnos rastros)

Si uno desea chatear existen muchas opciones, pero todas en mayor o menor medida dejan rastros. Si bien es cierto que no existe la solución a todos los problemas, para determinadas circunstancias algunas herramientas son las más acordes.

Anteriormente se habían comentados sitios que permitías enviar mensajes que se auto destruían, que aunque son muy útiles, lo cierto es que también pueden ser engorrosos.

Ahora comparto dos alternativas que permiten chatear mediante un sistema de chats temporales, acá van los servicios:


Ambos funcionan sobre HTTPS y si se desea tener más seguridad se puede entrar en "modo privado" del navegador.

¿Sabemos si el servicio almacena la información? Realmente no ni tenemos forma de saberlo.

jueves, abril 20, 2017

FLISoL 2017: este sábado 22 de Abril

El 13º Festival Latinoamericano de Instalación de Software Libre se realizará el Sábado 22 de abril 2017.

Ya se comentó un poco de que va este evento y dado que es de entrada libre y gratuita muchos pueden estar interesados en ir a las distintas charlas convocadas en las distintas sedes así como animarse a instalar un sistema operativo libre (si aún no lo han hecho).

Toda la información con los enlaces a las distintas sedes se puede ver acá: http://flisol.info/

Bugs curiosos solamente con el teclado en GRUB, LUKS y BitLocker

Así es, simplemente utilizando el teclado se puede saltear protecciones de gestores de arranque como GRUB así como sistemas de cifrado como BitLocker y LUKS.

Veamos que se requería para explotar estos bugs:
  • GRUB: presionar 28 veces la tecla retroceso.
  • LUKS: mantener presionado por 70 segundos.
  • BitLocker: durante el proceso de actualización presionar Shift+F10.
La pregunta que todos se hacen... ¿estos son Bugs o Características (features)?

miércoles, abril 12, 2017

Cámaras IP el eslabón débil de los sistemas de CCTV

El Internet de las Cosas (IoT) cada vez está sonando más fuerte y pocos se ponen a analizar sus riesgos: sistemas embebidos con actualizaciones casi nulas conectados a internet.

Pues bien, ya existen varias muestras que al menos las cámaras de CCTV con tecnología IP trae más problemas que soluciones.

Distintos fabricantes como Avtech o Siemens tuvieron fallas, incluso algunos dispositivos permitían ser parte de una botnet.

Soluciones:
Aislarlos de Internet. O tenerlo bajo control en una red aislada. Distintas técnicas como VLAN, VPN, Port Knocking, Reglas de IP por Firewall, etc. permiten tener un mejor control para mitigar algunos de estos problemas que pueden traer este tipo de dispositivos.

sábado, abril 08, 2017

Mumuki: aprendiendo a programar desde 0

Mumuki es un interesante proyecto que busca enseñar programación desde distintos paradigmas.
Es muy interesante si uno quiere aprender a programar desde cero o al si quiere ver nuevas formas de programar.

Los capítulos son los siguientes:
  • Capítulo 1: Fundamentos (Gobstones)
  • Capítulo 2: Programación Imperativa(JavaScript)
  • Capítulo 3: Programación Funcional (Haskell)
  • Capítulo 4: Programación Lógica (Prolog)
  • Capítulo 5: Metaprogramación (Ruby)
Se puede acceder al material libremente así como también conocer las fuentes en Github.

Tal vez también te pueda interesar esta entrada.

miércoles, abril 05, 2017

TOX una alternativa a Bittorrent Chat / Bleep

Si bien hace un tiempo se comento sobre el nuevo programa de mensajería instantánea de bittorrent (hasta ese momento conocido como Bittorrent Chat pero actualmente renombrado como Bittorrent Bleep).

La cuestión es que surgió una alternativa llamada TOX las cuales tienen muchas características similares que este software, se enfoca al cifrado y tiene características de video llamada, una cuestión interesante es la utilización de UDP vs. TCP para poder realizar el llamado UDP hole punching.

Si bien no hay una versión final se puede descargar una versión aún con posibles bugs, eso si tiene un gran wiki con información y desarrollos para distintas plataformas. Ha lo más importante: es código abierto.

domingo, abril 02, 2017

Tu empleador probablemente te esté espiando con un proxy transparente... ¿cómo eludirlo?

Es verdad, la gran mayoría no es consiente de lo que sucede cuando navegamos por Internet. Pero trataré de explicarlo brevemente: es una gran red donde la información viaja entre distintas computadoras y cada una de estas tiene capacidad de almacene esta información.

La utopía de John Perry Barlow nunca se logrará, la independencia del Cyberespacio nunca existirá mientras tengamos que depender de terceros que fabriquen los equipos y que nos permitan la conectividad.

Y esos terceros existen, existieron y existirán.
Natalia Zuazo lo describió claramente en su libro "Guerras de Internet", la política está en el medio. Nos guste o no.


No ser ingenuo es un primer paso, conocer la tecnología otro importante, analizar contramedidas puede ser fundamental. Vamos al punto: es muy probable que tu empleador esté espiando lo que navegas.

No, no es una cuestión conspiranoia. Sino algo fácilmente comprobable.
Si estás trabajando en una empresa mediana o grande, en general se utilizan servidores proxy-cache que permiten ahorrarle bastante plata al empleador en lo referente a ancho de banda.

Esto trae una prestación adicional, y es que cada página que se visite queda almacenada en un registro indicando la dirección IP local así como otros datos relevantes.

Esta información de tráfico le permite a, quien tenga acceso, saber que sitios navegamos, que noticias leímos, e incluso hacer un análisis proyectivo para determinar medidas a tomar. El anonimato es difícil de lograr, y un excelente ejemplo es lo descripto por Adrian Paenza en su artículo para Página 12. Aunque si bien, también es cierto que esta falta de anonimato (y estas mismas herramientas) se pueden utilizar defensivamente.

El precedente establecido por el fallo Halabi en la Argentina ha sido muy importante, donde más allá de diferenciar la información de datos de la de tráfico (metadatos), trajo la Acción de Clase y nos permite entender que la privacidad afecta a todos por igual.

¿Que control por oposición de intereses se realiza sobre los datos almacenados en los proxys? ¿cómo nos permite saber que quién tiene acceso a esa información no la utilizará en contra de alguien? En general no es algo que se pueda vislumbrar.

¿Qué medidas podemos tomar?
Pues el cifrado puede ser una solución, y si bien en general no es más que una cuestión de confianza al momento no hay más cosas que uno pueda hacer.

Una alternativa es la utilización del navegador Opear habilitando el uso de VPN. En caso de estar en entorno corporativo y no poder instalar programas existe una versión portable.


De esta forma se tuneliza todo el tráfico y sale por una conexión externa, si bien esto puede levantar sospechas no es en sí algo ilegítimo a menos claro de incumplir con alguna normativa interna de la empresa.

Tampoco esto es la solución a todo, dado que no es más que la implementación de un Man-in-the-middle legítimo, que (en caso de que la web no vaya por HTTPS), podría modificar los contenidos y así añadir publicidad o capturar información (la cual podría ser menos relevante que a nuestro propio empleador).

Muchas veces se utiliza el argumento falaz de "si no has hecho nada malo, no tienes nada que esconder" para defender una intromisión potencial a la privacidad, incluso negando la posibilidad de una auditoría o la implementación de controles para asegurar el correcto tratamiento de dicha información.

En los tiempos actuales, si bien no se analiza desde la perspectiva de los derechos del empleado, tal vez a futuro si, más teniendo en cuenta su relación con la protección de los datos personales.

Si vamos a los ejemplos prácticos, la utilización de un proxy cache que loguee la información de navegación de los usuarios, puede permitir obtener un perfil de los intereses de estos. Si específicamente se focaliza en los diarios (por ejemplo hay muchos que no implementan SSL/TLS) podrán saber que noticias lee, a cuales les presta atención e incluso el tiempo de navegación de cada noticia.

Esto luego puede ser utilizado en su contra, o al menos para coaccionarlo.
¿Es posible que pase? ¿que probabilidades existe?. Si, es posible. Las probabilidades dependen del entorno.

La seguridad en defensa de la privacidad poco a poco se debe ir fortaleciendo y ser tenida en cuenta, sino llegará un punto en que muchos sepan más de nosotros que nosotros mismos.
Recibe las actualizaciones en tu correo