Un millon de wordpress websites vulnerables

El día de ayer (27 de febrero de 2017), el blog Securi publicó un post en el cuál detalla una vulnerabilidad que encontraron en el plugin NextGen Gallery. La vulnerabilidad que es del tipo de inyección de SQL es bastante severa ya que permite a un atacante remoto reescribir en la base de datos o descargar tablas enteras. Si usted tiene un website con WordPress y usa este plugin por favor actualicelo inmediatamente.

El post de Securi provee todos los detalles técnicos de la vulnerabilidad. Pero la conclusión que debemos extraer es como siempre, no confiar en la entrada de datos por parte de un usuario y si es que debemos aceptar un texto. Siempre debemos usar una función que limpie la entrada de texto antes de escribir a la base de datos.

Activar el SPF en Zimbra

Desde hace unos días un cliente comenzó a reportar spam recibido en su dominio que estaba hosteado en un Zimbra, el común denominador de todo el spam era que el usuario recibía el spam como enviado por el mismo, yo ya tenía configurado el SPF en el dominio y en teoría Zimbra estaba habilitado para rechazar este tipo de correos con cabeceras falsas, lo verifiqué revisando este archivo de configuración del Zimbra: /opt/zimbra/conf/spamassassin/init.pre. Buscando en los forums de Zimbra me dí con la sorpresa de que hay que instalar el módulo Perl del SPF y hacer unos cambios en la configuración del SpamAssassin para tenerlo activo. Aquí los pasos, para tenerlo presente en un futuro y para ahorrar el trabajo de googlear en un futuro:

Seguir leyendo

Perder 2,300 millones de dólares es fácil con computadoras

Tú lo sabes, las computadoras son una potente herramienta que permite amplificar el poder de la mente humana, pero si suministras datos o algoritmos incorrectos lo que obtienes es un magnificación del error. De alli el famoso término GIGO (Garbage In, Garbage Out) acuñado por George Fuechsel, durante los primeros años de la intruducción de las computadoras en nuestra sociedad. Pero parece ser que estamos tan acostumbrados a que la computadora se autoregule que olvidamos que las computadoras no piensan. Al parecer ese fue el caso del corredor de valores Kweku Adoboli, del banco suizo USB, que perdió 2,000 millones de francos suizos ($2,300 millones de dólares), haciendo riesgozas apuestas en el mercado de divisas. El qué, cómo, cuándo y donde de esta sorprendente historia a continuación.

Seguir leyendo

De LAMP a LEMP

Ud. probablemente ya sabe lo que es LAMP (Linux Apache MySQL PHP) el stack sobre el que corren los más populares CMS Open Source como Drupal, Joomla o WordPress, pero probablemente aún no haya escuchado de LEMP (Linux Nginx MySQL PHP), ya que incluso en Wikipedia el término aún no está definido. La diferencia es pues el servidor web. La idea detras de LEMP es muy simple reemplazar el muy flexible y casi omnipresente servidor Apache por el más liviano y ágil Nginx. Si esa fuera la única diferencia, pues no valdría la pena el cambio. Pero que pensaría si le dijera que hacer ese cambio puede transformar radicalmente la performance de su página web y permitir que por ejemplo con un pequeño VPS se pueda atender decenas de miles de visitas diarias. Pues bien en este post les contaré la historia destras de la migración de LAMP a LEMP y como este blog pudo reducir increíblemente su tiempo de carga.

Seguir leyendo

Practicante o esclavo

En los últimos meses debido al desempleo estructural en los países desarrollados, a la gran cantidad de universidades y el gran número de adultos que vuelven a las aulas con la esperanza de adquirir nuevos conocimiento que los vuelvan competitivos en este difícil mercado laboral y a los altos niveles de desempleo juvenil como resultado de  que la mayor parte de trabajos que no requieren mucha experiencia han sido externalizados (outsoursing), está surgiendo un fenómeno que sólo se veía en países subdesarrollados, el practicante esclavo.

La primera voz de alerta de esta situación la dio un artículo de Ross Perlin en el New York Times titulado "Practicantes sin sueldo, Universidades complices", de abril de este año, en el cual el autor describe como el alto desempleo estructural que afecta a las economías desarrolladas, la legislación que obliga a los estudiantes a realizar practicas mientras cursan los últimos semestres de sus carreras han creado el terreno propicio para que las empresas consigan mano de obra gratuita, lo cual lógicamente agrava el problema el desempleo, porque las empresas no necesitan contratar a alguien para cubrir un puesto de trabajo cuando pueden rotar practicantes en alguna determinada posición.

La explotación de practicantes, es decir obligar a alguien a que trabaje por nada por un periodo de tiempo a cambio de que gane experiencia es algo común en países en vías de desarrollo, o al menos es el statu quo en países como el Perú donde crecí y fui objeto de dicha práctica, aunque tembién debo aclarar que cuando estuve a cargo de practicantes, en lo posible intenté enseñarles algo de lo poco que sabía. Pero esta abierta política de explotación de los practicantes en países desarrollados como Estados Unidos o la Comnidad Europea, es algo nuevo para mi. Y al parecer también lo fue para el emprendedor y diseñador web Stu, que en su blog personal, escribió un muy combativo post llamado "Llamando mierda a las prácticas sin salario", en el cual comenta muy caústicamente dos anuncios de empleos de empresas que también se dedican al diseño web, que buscan practicantes con cierta experiencia (lo cual sabemos es una contradicción), pero que es un eufemismo para decir que se busca a alguien para que haga un trabajo de manera gratuita con la promesa de que "pronto" podría pasar a formar parte de la planilla.

¿Qué tan grande es el problema en los Estados Unidos de los practicantes sin salario?, según estadísticas publicadas en el libro Intern Nation, el porcentaje de practicantes que hacen labores por las que deberían recibir un sueldo y no lo están percibiendo subio de un 17% en 1992 a 50% en el 2008, y probablemente sea mucho más ahora. Tengamos presente que estas prácticas de hacer que los practicantes hagan un trabajo por el cual la empresa cobrará y no reciban nada por el fruto de su trabajo es ilegal en los Estados Unidos según el Acta Para Estándares de Trabajo Justo, pero desde que la "presidencia imperial" ha comenzado a ganar cada vez más poder desde las leyes pasadas por la administración Bush para otorgarle poderes al ejecutivo con el pretexto de la guerra contra el terror, cada vez se respetan menos las leyes y gracias a la complicidad de los grandes medios de comunicación, muchos de estos escandalosos abusos pasan ignorados por la gran mayoría del público a pesar de que en teoría estamos en la "era de la información".

Pero no sólo son los practicantes los afectados por este tipo de abusos, que en muchos casos es realizado por grandes empresas como General Electric o Disney, sino que las medianas o pequeñas empresas que respetan la ley y pagan lo justo, no pueden competir ante las empresas que gracias a la complicidad de un estado que tiene favoritismos, pueden ganar la mayoría de trabajos por ofrecer un menor precio (debido en su mayor parte a tener practicantes sin sueldo realizando el trabajo) y sacar del mercado a las empresas que tienen un buen comportamiento con sus trabajadores, es decir estamos ante un circulo vicioso que tiene por objetivo precarizar el empleo de la gran mayoría de la población y empujar hacia abajo los estándares de vida en los países desarrollados.

El consuelo de los practicantes del tercer mundo ahora, es que ya no están solos en la explotación. Pero esto está abriendo la puerta a una terrible guerra generacional, en la cual una gerontocracia de baby boomers, desea preservar sus prerrogativas y derechos "adquiridos" negandoselos a las nuevas generaciones. Lo más ridículo es que en el colmo del cinismo, Alan Greenspan uno de los principales autores de la presente crisis sistémica, no culpa al rescate de 4 billones (millones de millones) de dólares que los países desarrollados han tenido que inyectar al sector financiero para impedir el colapso de los grandes bancos, sino a falta de capacidad de las nuevas generaciones. Esto es lo que dice Greenspan con respecto a las nuevas generaciones:

"El ingreso promedio de los hogares de los EE.UU. cuya cabez de familia tiene 25 años de edad o menos ha ido disminuyendo en relación con el ingreso promedio de la población de baby boomers. Esta es una indicación bastante buena que la productividad de la parte más joven de nuestra fuerza laboral está disminuyendo en comparación con el nivel de productividad alcanzado por la generación de baby boomers a punto de retirarse. Esto plantea algunas preocupaciones importantes acerca de la capacidad productiva de nuestra fuerza laboral en los EE.UU. de cara al futuro."

La pregunta es si no te pagan por el trabajo que haces, como se puede esperar que los ingresos aumenten. La honestidad, de cualquier tipo intelectual, moral o humana es una de las virtudes de las que adolesce el señor Greenspan, que confrontado un sinnumero de veces contra hechos que falsifican completamente sus creencias en dogmas económicos, insiste en que el problema no está en sus modelos y teorías económicas, sino que la naturaleza no se está comportando "normalmente".

El escenario está puesto, tendrán las nuevas generaciones el valor y la entereza moral de iniciar una batalla por sus derechos, o sencillamente se asustaran y correran a esconderce en las casas de sus padres llorando por la falta de oportunidades, si esto último es lo que ocurre, es el fin de occidente y el final del progreso social como lo conocemos.