La web del APRA hackeada desde el jueves pasado

En el blog de Necudeco, encontre una referencia a que la web del APRA (actual partido de gobierno en el Perú) había sido hackeada. La fecha del post de Necudeco era del jueves pasado (12 de marzo), razón por la cuál creí que el problema ya estaba solucionado. Cuál no sería mi sorpresa cuando al intentar seguir el URL dado por Necudeco http://www.apra.org.pe/index.asp encuentro el defacement fallido. Al parecer el hacker consiguió acceso al directorio raíz del web pero fallo en el nombre de la página de incio, pues la nombro index.asp, siendo la página de incio de dicho server default.asp.

Como dice Necudeco, el hacker fallo en el nombre, pero consiguió accesar a dicho server y poner una página en el directorio raíz. Lo peor de todo es que al parecer el encargado de la página web aún no se ha dado cuenta de que la seguridad del server ha sido vulnerada, pues la página subida por el hacker esta todavía alli. Aquí les dejo un screenshot que realice el día de hoy  la 12:15 PM hora de Perú.

Web APRA hackeada

La actual crisis económica fortalezará Linux

En un interesante artículo aparecido en Network Computing, se comenta una encuesta realizada por IDC entre 330 gerentes de departamentos TIC, en dicha encuesta la gran mayoría indica que incrementaría el uso de Linux tanto en el data center como en los escritorios, en al menos 10% este año y el 49% de los encuestados expresó que planean tener Linux como su sistema operativo principal dentro de 5 años. Las razones que están impulsando este cambio es básicamente la reducción de los presupuestos TIC que la mayoría de los gerentes están enfrentando como resultado de la actual recesión de la economía mundial.

Los gerentes entrevistados señalaron también que la adopción de Linux sería más rápida si hubiera una reducción mayor de costos de soporte y una mejor integración con la plataforma Windows. Como todos sabemos aunque el código y uso del sistema operativo Linux es gratis, no lo es su costo de soporte por parte de empresas establecidas como RedHat o Novell, que por lo general realizan un cargo anual para brindar soporte a los usuarios de sus distribuciones Linux, si empresas como estas redujeran sus costos, la mayoría de gerentes de departamentos TIC dicen que acelerarían su migración a Linux.

Otro factor importante para el aumento de la adopción de Linux ha sido la virtualización, ahora es común por ejemplo que existan servidores Windows que corren entornos virtualizados Linux para aplicaciones específicas, lo cuál significa un ahorro en el costo de las licencias de las máquinas virtuales. La tecnología de virtualización al parecer será la pieza clave para la reducción de los presupuestos TIC, pues permiten la consolidación de equipos y de esa forma reducir el consumo de energía y espacio físico en los data centers.

No quiero parecer aguafista, es más en lo personal uso exclusivamente Linux en mis servers y en mi escritorio, pero me parece que migrar a Linux sólo debido a un problema de reducción de costos es la razón incorrecta para hacerlo. Linux como cualquier otro Unix, ofrece características que están mucho más alla de las ofrecidas por cualquier Windows Server, sin embargo el intentar hacer un remplazo uno a uno, puede ser la idea incorrecta y tal vez la peor forma de ahorrar dinero, pues necesitaremos además del soporte del entorno Windows, el soporte del entorno Linux, lo cual diluye todo ahorro en licencias. Una migración a Linux debe ir más alla que un simple remplazo, debe de pasar por un rediseño de los procesos y remplazo del código Windows, e ir a una plataforma 100% web based. De lo contrario veremos como en 3 años o más cuando esta crisis termine, todos terminan volviendo a Windows, a seguir haciendo lo mismo.

Haciendo una analogía sería como lo sucedido a finales de los 70s, que todos los grandes fabricantes de automóviles comenzaron a producir carros más económicos debidos al aumento de los precios del petróleo, luego de que la crisis terminó y los 90s trajeron la bonanza nuevamente, aparecieron mounstruos como los Hummer que consumían mucho más que lo que una F-100 de finales de los 70s.

Si los departamentos TIC desean hacer una mejora real de la productividad, deberían de pasar todo el código diseñado para PCs a un código que sea web-friendly y por lo tanto fácilmente migrable a la cloud computing. Lamentablemente eso lleva a romper muchos de los actuales paradigmas de desarrollo que han sido establecidos a lo largo de los 15 años de reinado absoluto de Windows en los escritorios.

Google listo para entrar al mercado VoIP

El año 2007 Google compró la compañía de VoIP GrandCentral por $95 millones, ahora Google anuncia en su blog el lanzamiento de su nuevo servicio en beta Google Voice, que está basado sobre la idea propuesta por GrandCentral, es decir una PBX basada en web a la que Google ha añadido estas características:

  • Call screening.
  • Listen in.
  • Block calls.
  • Envío/recepción/almacenamiento de SMS.
  • Búsquedas en los mensajes SMS.
  • Llamadas a números en USA de manera gratuita.
  • Redirección de llamadas.
  • Voicemail.
  • Transcripción de los mensajes de voz.
  • Búsqueda dentro de las transcripciones de los mensajes de voz.
  • Notificaciones a través de SMS
  • Mensajes de bienvenida personalizados dependiendo de quien llama.
  • Los mensajes de voz se pueden descargar o reenviar a alguien más.
  • Llamadas en conferencia.
  • Registro de todas las llamadas efectuadas/recibidas.
  • Recibir más de una llamada en simultáneo.
  • Accesar a los voicemail desde el web o el celular.
  • Administración de grupos

Es decir todas las funciones que usualmente están disponibles sólo si adquirimos una PBX de última generación ahora están disponibles de forma gratuita a traves del servicio Google Voice. Como se puede observar servicios como Skype o Vonage tienen mucho que mejorar para poder mantener el ritmo de Google que está entrando al mercado haciendo una apuesta muy alta.

Aún no he podido probar el servicio, debido a que por el momento no está disponible al público en general, actualmente sólo los usuarios de GrandCentral pueden probar Google Voice, pero estoy atento y lo probaré en cuanto pueda loguearme a él y ya les estaré contanto que me pareció.

Vulnerabilidad confirmada en DJBDNS y reflexiones sobre seguridad

El hasta ahora invulnerable servidor de nombres de dominio DJBDNS, escrito por Daniel J. Bernstein, cuya última actualización 1.05 data de febrero de 2001, fue exitosamente vulnerado por Matthew Dempsky, y el fallo confirmado por el mismo Bernstein. Bernstein estaba tan seguro de la seguridad de sus programas que ofreció un premio de $1000 a la primera persona que encontrara una falla de seguridad verificable en DJBDNS y $500 a quien lo hiciera en qmail, la famosa garantía Bernstein. La vulnerabilidad encontrada por Dempsky permite a un atacante bajo ciertas condiciones crear falsos registros en el servidor DNS, no es una condición general, ni común del programa, pero no debería permitirlo, es decir fue un error verificable del programa y por ello Bernstein pagó el premio. No ha pasado lo mismo con las vulnerabilidades encontradas con qmail, pues Bernstein alega que en condiciones normales nadie asigna más de 2GB de RAM a un proceso qmail-smtp, pues bajo esas condiciones se puede tener ataques exitosos por desbordamiento de memoria en qmail.

Lo que queda claro luego del incidente, es que no se puede crear el software perfecto, es decir aquel que no presente ningún error. Nadie puede predecir por adelantado todas las variables que intervienen en un sistema. Además a más "perfecto" aparente ser un software, habra mucho más interés en encontrarle una vulnerabilidad, es decir más alla del premio que haya esta el hecho de demostrar ser más inteligente que el tipo inteligente que creo el software, y esta demostrado que el principal motor de los hackers muchas veces no es el dinero sino la vanidad de ser el chico más listo. Lamentablemente un efecto colateral de un software perfecto es que si se vuelve de uso masivo un pequeño error puede compreter a un gran número de seres humanos que dependan de los servicios ofrecidos sobre él.

Al final la motivación de hacer el software perfecto es un deseo profundo de reconocimiento, coincidentemente el deseo de romper la seguridad del software perfecto es el mismo, por lo que ambos bandos entablaran una lucha sin fin, cuya moneda de cambio es la vanidad. En cierta forma es un deseo muy humano, y podría decir que hasta artístico. Pero contrapuesto a lo que es la ingeniería, que no es una ciencia sino una técnica, es más la suposición básica en ingeniería es que todo fallará en algún momento. Pero en cambio se usan otras métricas para determinar si algo cumple su misión o no. Factores ligados al costo/beneficio como pueden ser escalabilidad, flexibilidad, portabilidad son de lejos mucho más importantes que una seguridad al 100%, porque no importa que tan bello sea uno a los 20, siempre se llegará a los 70. No me mal interpreten no estoy diciendo que buscar la seguridad no sea bueno, por ejemplo buscar una flexibilidad ilimitada también es un despropósito, tal vez una frase que se la escuche por primera vez a mi abuela cuando tenía 6 años puede resumir la idea que trato de explicar: "Bueno es culantro (cilantro), pero no tanto". Es decir algo que puede parecer bueno si se busca en demasia puede terminar teniendo resultados contrarios a lo esperado, tal vez una frase perteneciente a la cultura americana puede ser aplicada en el mismo contexto "Ten cuidado con lo que deseas, porque se te puede cumplir".

Hago mencion a lo anterior pues se aplica al caso de los programas de Bernstein, ambos (qmail y djbdns) son de lo más seguros que existen en sus areas, pero no son los más populares porque carecen de la flexibilidad y escalabilidad de otros proyectos similares. Este también creo que es un argumento que apunta a que la diversidad existente en el mundo de las distribuciones Linux, suma en lugar de restar, pues está probado en la práctica como en el caso de Windows que una línea única, lleva a cometer errores difíciles de corregir, sino me creen basta con recordar los casos de Windows Me y Windows Vista.

Novedades con AdSense

AdSense, es sin duda la solución más socorrida para monetizar un proyecto web, ya sea este un blog, una red social o una versión digital de un periódico o revista, es decir cualquiera que produce contenido digital lo primero que piensa para hacer algo de caja es usar AdSense. El día de hoy me he enterado a través del blog de AdSense que ahora estarán disponibles anuncios expandibles, es decir anuncios que pueden crecer mucho más alla del tamaño original del clásico tamaño de los anuncio AdSense para desplegar contenido multimedia, estos anuncios serán porducidos por socios certificados por Google y tienen por misión ofrecer una mayor vistocidad. Hay que tener en cuenta que como siempre AdSense pagará si el usuario hace click en el anuncio y llega al landing page de la empresa que ha pagado por el mismo, no por el simple hecho de que el usuario expanda el anuncio que se contabilizará como una simple impresión.

Otra de las novedades que he observado el día de hoy es que la página de login de AdSense ha cambiado y ahora luce más atractiva, la página original era de los origenes de AdSense, aquí les dejo una captura de pantalla de como luce la página ahora:

New AdSense Login

Volviendo al tema de la introducción de los anuncios expandibles, si bien es cierto esto es bueno para los anunciantes que pueden disponer de más espacio para tratar de vendernos su producto o servicio, me pregunto hasta que medida esto afectará las visitas de nuestros proyectos, porque una de las razones por las cuales AdSense es tan popular es por ofrecer anuncios no intrusivos, es decir no se desplegaban sobre el contenido de nustras páginas, ahora que eso será posible me pregunto si Google estará por abandonar su lema "don’t be evil" y se transformará debido a la crisis en una empresa como las demas, que esta enfocada mayormente en mejorar sus margenes de ganancia y buscar el beneficio de sus accionistas y no de sus clientes, que fuera hasta ahora la razón de su éxito.