El post de Securi provee todos los detalles técnicos de la vulnerabilidad. Pero la conclusión que debemos extraer es como siempre, no confiar en la entrada de datos por parte de un usuario y si es que debemos aceptar un texto. Siempre debemos usar una función que limpie la entrada de texto antes de escribir a la base de datos.

Primero (yo uso Debian, debe funcionar también en Ubuntu agregando sudo), debemos instalar el módulo de Perl:

# apt-get install libmail-spf-query-perl

Luego debemos agregar estas líneas a este archivo de configuración del SpamAssassin: /opt/zimbra/conf/spamassassin/local.cf

score SPF_FAIL 10.000
score SPF_HELO_FAIL 10.000

Finalmente reiniciar el Amavis que es quien controla el SpamAssassin:

su - zimbra
zmamavisdctl restart

Listo ya el SPF está activo en el servidor Zimbra, espero que este post haya sido de ayuda.

El miercoles pasado (14 de setiembre 2011), la ya muy venida a menos credibilidad del banco suizo UBS sufrió otro duro golpe cuando tuvo que admitir que un corredor "no identificado", en su cede en la ciudad de Londres había perdido nada más y nada menos de $2,300 millones de dólares. Con el correr de los días se ha sabido el nombre del "rogue trader" (corredor trúan), Kweku Adoboli, un graduado de Ciencias de la Computación de la Universidad de Nottingham y poseedor de un MBA, hijo de un trabajador retirado de las Naciones Unidas y cuyo casero calificó como una persona amable y tranquila. La foto de  la derecha la he tomado del falso perfil de Facebook que fue creado luego de LinkedIn removiera el perfil verdadero de Kweku.
 

Su padre ha dicho en una entrevista telefónica que su hijo es un "hombre íntegro", además uno de sus amigos ha declarado en el sentido de que Kewku era leal a UBS (fuente). No me cabe la menor duda de que Kweku es un buen amigo, leal trabajador, buen hijo, pero que tiene que ver todo eso con el hecho de que su error le haya costado al banco en el cual trabajaba $2,300 millones. Todos podemos cometer errores, incluso el mejor de los seres humanos puede cometer errores, es algo que sabemos desde hace mucho tiempo y por eso es que inventamos el sistema de separación de poderes. Sin embargo este es un caso más que se suma a los de Jérôme Kerviel que perdió € 4,900 millones para Société Générale a principios de 2008 o el famoso caso de Nick Lesson que quebrara al bicentenario Barings en 1995 llavado a la pantalla grande en el filme Rouge Trader.

Según un artículo aparecido en ComputerWorld, el problema está en que la gerencia de UBS decidió ahorrar en el software de seguridad y monitoreo:

"Es evidente que hay un problema con la separación de funciones y la necesidad de un 'doble control', así como la atribución de responsabilidades. Esto suena muy parecido a no tener ningún tipo de software de análisis de trading sospechoso, instalado. La parte triste es que toda esta tecnología existe", pero UBS pudo haber elegido ahorrar dinero en software en detrimento de la seguridad de sus accionistas, dijo.

Tal vez este fue un problema de falta de un software de alertara tempranamente del problema, pero esta explicación trata de llevar al lector a asumir la hipótesis planteada por el mismo banco de que el único culpable es Kweku. Algo difícil de creer además ya que según se ha sabido los $2,300 millones no se perdieron de una noche a otra, sino en un periodo de varias semanas.

Todo esto me hace recordar al libro de William Black "La mejor forma de robar un banco es ser dueño de uno", en donde explica su teoría del entorno crimogénico, es decir un entorno en el cual se recompensa la deshonestidad y se castiga el actuar conforme a lo normado. La razón es simple, sólo se asciende en la escala corporativa dandole buenas noticias a los jefes (incluso si esto significa cocinar libros o metir), decir la verdad es la forma más fácil de terminar desempleado en una gran corporación. Lo cual nos lleva a la lógica conclusión de que Kweku Adoboli, no es competamente inoscente, pero si el eslabón más débil de la cadena y el actual chivo expiatorio de todos los pecados de UBS.

Durante mucho tiempo la escalabilidad del blog era un problema que me tenía preocupado, siempre temía que por alguna razón un post llegara a ser popular y miles de visitantes saturen el server y lo traingan al piso. Algo que no ha pasado, pero que muchos calificarían como un problema que les gustaría tener. Por ello durante estos últimos años ensayé varias posibles soluciones, evalué moverlo a Blogger (pero era muy limitado, igual en los picos Blogger te limitaba el tráfico), probé con la optimización del Apache, del MySQL, instalé el eAccelerator para compilar-cachear los scripts de PHP, hice pruebas de varios plugins de cacheo para WordPress y finalmente me quedé con W3 Total Cache y lógicamente cada mejora implicaba hacer benchmarking del site con las herramientas que describí en el post "Midiendo la performance de un website". Sin embargo nada de eso parecía resolver el problema de que si más visitantes llegaban era necesario disponer de más RAM y más CPU. Es decir la escalabilidad se conseguía sólo a través de poner más hardware (en el caso de los VPS hacer un pago extra para poder acceder a más recursos). Pero desde el 2009 el nombre Nginx ya era comentado entre la cofradía de sysadmin y muchos ISP lo usaban para hostear websites, pero tenía un pequeño incoveniente, sólo soportaba PHP a través de FastCGI y usar PHP de esta manera requería de spawn-fcgi y lamentablemente existía un problema de confiabilidad (se caía muy frecuentemente).

El problema de spawn-fcgi era tan serio que Andrei Nigmatulin creo PHP-FPM como un parche al código de PHP para permitirle operar de manera confiable sin tener que depender de spawn-fcgi. Lo cual era una solución pero requería parchar el código de PHP, esto era desde mi punto de vista poco confiable porque no tenía la certeza de que el proyecto podría tener larga vida, especialmente luego de que su creador declarara públicamente que no podía darle soporte por más tiempo. Pero desde noviembre del año pasado el código de PHP-FPM pasó a formar parte del core de PHP, con lo cual ya se podía usar de manera confiable en producción porque la continuidad estaba garantizada por la propia continuidad de PHP.

Finalmente animado por todos los buenos comentarios de Nginx y de PHP-FPM, decidí probarlos. Debo decir que no me ha decepcionado, el uso de CPU y RAM fue casi plano independientemente de la carga que se le ponga al server, pero el sólo hecho de reemplazar LAMP con LEMP no mejora la velocidad con la que se muestran las páginas de WordPress. Después de todo tenía mi LAMP optimizado para mi WordPress y lo estaba comparado contra un LEMP de paquete. Así que era necesario nivelar el piso a través de la optimización de LEMP.

La primera y obvia mejora era usar un compilador-cache para PHP, había usado eAccelerator en LAMP y me ha funcionado bien, pero en todas las páginas que encontré todas mencionaban a APC (las dos razones más citadas son que es parte de los repositorios PEAR y que Facebook lo usa), así que decidí seguir a la mayoría e instale APC. La compilación y cacheo de los scripts definitivamente mejoró la velocidad de rederizado de las páginas pero aún se podía optmizar un poco más. Así que instalé memcache (para reducir el número de queries a MySQL) y habilité el soporte de memcache en WordPress, lo cuál le dio un boost adicional a la carga de las páginas.

Pero moviendome de tutorial en tutorial encontré a Varnish, un proxy inverso que hace cacheo de contenido estático, es decir guarda en disco/memoria las páginas generadas dinámicamente por WordPress para no tener que volver a ejecutar un script si la página ya está cacheada y eso fue la cereza sobre el pastel, no solamente las páginas cargaban más rápido sino que el uso de CPU y memoria se fueron al piso. Como resultado reduje la RAM del VPS de 1GB a 512MB con el ahorro que se deriva de ello, pero me he dado cuenta de que incluso con 256MB el VPS va bien. Pero de momento no tomaré riesgos y veré que tal va durante el próximo mes con 512MB, si veo que no hay picos y todo opera normalmente bajaré la memoria a 256MB.

Si deseran hacer lo mismo les recomiendo este howto de CryptkCoding que sintetiza varios otros que he visto en la red y funciona para Ubuntu, aunque con pequeños cambios tambien es útil para Debian. Si es que me doy un tiempo preparé uno en español específicamente para Debian y lo publicaré en la sección de Tutoriales y Howtos.

Como prueba de los increíblemente lineal de la mezcla LEMP + APC + memcache + Varnish, aquí les dejo una gráfica de Load Impact de un stress test a este blog y como el tiempo de carga es independiente del número de clientes conectados concurrentemente:

Aquí el resultado de una prueba con Apache Benchmarking (ab) desde otro server en el mismo switch (10,000 solicitudes con 100 clientes concurrentes), el benchmarking arroja la sorprendente velocidad de casi 3000 solicitudes por segundo:

La primera voz de alerta de esta situación la dio un artículo de Ross Perlin en el New York Times titulado "Practicantes sin sueldo, Universidades complices", de abril de este año, en el cual el autor describe como el alto desempleo estructural que afecta a las economías desarrolladas, la legislación que obliga a los estudiantes a realizar practicas mientras cursan los últimos semestres de sus carreras han creado el terreno propicio para que las empresas consigan mano de obra gratuita, lo cual lógicamente agrava el problema el desempleo, porque las empresas no necesitan contratar a alguien para cubrir un puesto de trabajo cuando pueden rotar practicantes en alguna determinada posición.

La explotación de practicantes, es decir obligar a alguien a que trabaje por nada por un periodo de tiempo a cambio de que gane experiencia es algo común en países en vías de desarrollo, o al menos es el statu quo en países como el Perú donde crecí y fui objeto de dicha práctica, aunque tembién debo aclarar que cuando estuve a cargo de practicantes, en lo posible intenté enseñarles algo de lo poco que sabía. Pero esta abierta política de explotación de los practicantes en países desarrollados como Estados Unidos o la Comnidad Europea, es algo nuevo para mi. Y al parecer también lo fue para el emprendedor y diseñador web Stu, que en su blog personal, escribió un muy combativo post llamado "Llamando mierda a las prácticas sin salario", en el cual comenta muy caústicamente dos anuncios de empleos de empresas que también se dedican al diseño web, que buscan practicantes con cierta experiencia (lo cual sabemos es una contradicción), pero que es un eufemismo para decir que se busca a alguien para que haga un trabajo de manera gratuita con la promesa de que "pronto" podría pasar a formar parte de la planilla.

¿Qué tan grande es el problema en los Estados Unidos de los practicantes sin salario?, según estadísticas publicadas en el libro Intern Nation, el porcentaje de practicantes que hacen labores por las que deberían recibir un sueldo y no lo están percibiendo subio de un 17% en 1992 a 50% en el 2008, y probablemente sea mucho más ahora. Tengamos presente que estas prácticas de hacer que los practicantes hagan un trabajo por el cual la empresa cobrará y no reciban nada por el fruto de su trabajo es ilegal en los Estados Unidos según el Acta Para Estándares de Trabajo Justo, pero desde que la "presidencia imperial" ha comenzado a ganar cada vez más poder desde las leyes pasadas por la administración Bush para otorgarle poderes al ejecutivo con el pretexto de la guerra contra el terror, cada vez se respetan menos las leyes y gracias a la complicidad de los grandes medios de comunicación, muchos de estos escandalosos abusos pasan ignorados por la gran mayoría del público a pesar de que en teoría estamos en la "era de la información".

Pero no sólo son los practicantes los afectados por este tipo de abusos, que en muchos casos es realizado por grandes empresas como General Electric o Disney, sino que las medianas o pequeñas empresas que respetan la ley y pagan lo justo, no pueden competir ante las empresas que gracias a la complicidad de un estado que tiene favoritismos, pueden ganar la mayoría de trabajos por ofrecer un menor precio (debido en su mayor parte a tener practicantes sin sueldo realizando el trabajo) y sacar del mercado a las empresas que tienen un buen comportamiento con sus trabajadores, es decir estamos ante un circulo vicioso que tiene por objetivo precarizar el empleo de la gran mayoría de la población y empujar hacia abajo los estándares de vida en los países desarrollados.

El consuelo de los practicantes del tercer mundo ahora, es que ya no están solos en la explotación. Pero esto está abriendo la puerta a una terrible guerra generacional, en la cual una gerontocracia de baby boomers, desea preservar sus prerrogativas y derechos "adquiridos" negandoselos a las nuevas generaciones. Lo más ridículo es que en el colmo del cinismo, Alan Greenspan uno de los principales autores de la presente crisis sistémica, no culpa al rescate de 4 billones (millones de millones) de dólares que los países desarrollados han tenido que inyectar al sector financiero para impedir el colapso de los grandes bancos, sino a falta de capacidad de las nuevas generaciones. Esto es lo que dice Greenspan con respecto a las nuevas generaciones:

"El ingreso promedio de los hogares de los EE.UU. cuya cabez de familia tiene 25 años de edad o menos ha ido disminuyendo en relación con el ingreso promedio de la población de baby boomers. Esta es una indicación bastante buena que la productividad de la parte más joven de nuestra fuerza laboral está disminuyendo en comparación con el nivel de productividad alcanzado por la generación de baby boomers a punto de retirarse. Esto plantea algunas preocupaciones importantes acerca de la capacidad productiva de nuestra fuerza laboral en los EE.UU. de cara al futuro."

La pregunta es si no te pagan por el trabajo que haces, como se puede esperar que los ingresos aumenten. La honestidad, de cualquier tipo intelectual, moral o humana es una de las virtudes de las que adolesce el señor Greenspan, que confrontado un sinnumero de veces contra hechos que falsifican completamente sus creencias en dogmas económicos, insiste en que el problema no está en sus modelos y teorías económicas, sino que la naturaleza no se está comportando "normalmente".

El escenario está puesto, tendrán las nuevas generaciones el valor y la entereza moral de iniciar una batalla por sus derechos, o sencillamente se asustaran y correran a esconderce en las casas de sus padres llorando por la falta de oportunidades, si esto último es lo que ocurre, es el fin de occidente y el final del progreso social como lo conocemos.

Cómo poder hace frente a este tipo de ataques que ha sido efectivo contra websites tan importantes como los de la CIA, WordPress.com y los de las tarjetas de crédito Mastercard y Visa. Lo primero que necesitamos es la colaboración de nuestro ISP (siempre y cuando éste disponga de suficiente ancho de banda y un personal técnico de soporte 24/7 que nos ayude a bloquear ciertas rutas), pero si este no puede ayudarnos hay dos caminos. El primero consiste en tener nuestro propio data center con varias conexiones a diversos ISPs y hacer nosotros mismos nuesto ruteo BGP, esto lamentablemente sólo lo pueden hacer gigantes de Internet como Amazon, Google o Facebook, para el resto de empresas nuestra única alterniva es buscar los servicios de una empresa que nos ayude a filtrar el tráfico de las botnets.

Aunque hay bastante oferta de empresas de seguridad que se dedican a proteger websites contra DDoS, he encontrado tres a lo largo de mi ejercicio profesional que tienen un buen servicio a precios bastante aceptables, los cuales son:

• BLOCKDOS
• ServerOrigin
• RioRey

Estos servicios de protección contra DDoS básicamente son grandes agregadores de ancho de banda que aceptan todo nuestro tráfico y luego filtran el tráfico proveniente de las botnets y redirigen a nuestro server sólo el tráfico válido. Por lo general la mecánica es siempre la misma apuntamos nuestro DNS a alguno de dichos servicios y les proveemos a ellos de una IP a la cual dirigir el tráfico limpio.

Los tiempos de respuesta de dichas empresas son bastante buenos, por lo general nuestro website si es atacado puede estar de vuelta en una hora o dos luego de contratado el servicio.

Una alternativa mucho más costosa es usar algún servicio de cloud computing como Amazon o RackSpace, el problema con ellos es que deberemos pagar por los picos en el tráfico a nuestro servidor, lo cual puede resultar en grander pérdidas económicas aunque la disponibilidad del website estará siempre garantizada.

Espero que esta información haya sido de utilidad para otros sysadmin que tienen que lidiar con ataques DDoS, que debido a grupos como Anonymous se están popularizando ultimamente.

Anonymous ya había anunciado a principios de esta semana un ataque a los websites de los gobiernos de Perú y Chile llamado "Operation Andes Libre Peru/Chile", video que tuvo repercución en los medios de comunicación masiva, sin embargo el video del viernes último que anunciaba una segunda fase de ataques tuvo menos recepción en los medios, aquí el video anunciando la segunda fase de ataques para el día de ayer Sábado 25 de junio de 2011:

Pero el problema de seguridad no sólo es de las webs peruanas, el día miercoles pasado (22 de junio 2011) en el periódico británico The Guardian, se informaba que el repositorio de plugins del popular CMS WordPress había sido comprometido y varios populares plugins entre ellos AddThis, WPtouch y W3 Total Cache, habían sido reemplazados por versiones que contenían backdoors que permitirían a los crackers tener acceso a los servidores que hostearan los websites. En abril de este año el servicio WordPress.com fue comprometido y los atacantes tuvieron acceso a las modificaciones del código fuente hechas para acomodar las funcionalidades sociales de dicho website, así como a las claves API de aquellos usuarios que integraron Twitter/Facebooks con sus blogs. Pero al menos la gente de WordPress.org actuo proactivamente y removió los plugin infectados y está obligando a todos los desarrolladores a cambiar sus passwords.

Pero tal vez el caso más espectacular de falla de seguridad de la semana que terminó fue el hecho de que durante 4 horas el servicio de almacenamiento en la nube Dropbox, permitió que sus usuarios se loguearan sin validar passwords, lo cual permitía a cualquier persona tener acceso a cualquier cuenta de Dropbox con sólo saber el nombre de usuario. Lo cual indica de que si se va a utilizar un servicio en la nube es mejor encriptar nuestros documentos ya que no se puede confiar en la seguridad de los proveedores de servicio.

Y también en la semana que pasó un ataque a Bitcoin (la moneda criptográfica de la red, que algunos legisladores tratan de prohibir), hizo que la cotización de dicha moneda cayera de 17 dólares por Bitcoin a apenas unos centavos en cuestion de minutos. Todo por el simple hecho de que la base de datos en el disco que contenía la billetera digital de los usuarios en el agente de intercambio de monedas MtGox  no estaba encriptada.

Bueno, uno puede entender que haya cierto interés en hackear a WordPress.org y poder accesar a literalmente millones de hosts en Internet para lanzar ataques DDoS o simplemente hacer Phishing, en el caso de Bitcoin el interés monetario es obvio se sustrajeron varios millones de dólares; pero en el caso de las Aguilas Negras, que sentido tiene exponer la vida de policias y sus familias por el sólo hecho de que protegen a instituciones bancarias, no que "Anonymous somos todos".

Lo que me sorprende es que hasta ahora la Policía Nacional no haya contactado a GoDaddy, la compañía que hostea la página web de Piratas de la Red para demandar la inmediata suspención de dicho hosting por violar claramente los términos del contrato de servicio y por otro lado contactar a Name.com, para exigir revele la identidad de quien ha comprado el dominio. En lo personal creo que la persona que ha lanzado este ataque contra la Policía Nacional del Perú y revelado la identidad de los agentes del orden es una persona joven, aún en sus veinte años, muy emocional y cree que este tipo de actitudes lo vuelven "cool", y no se ha dado cuenta de que al hacer esto está exponiendo a las familias de dichos agentes del orden a ser secuestradas. Además creo que debe haberle contado a algunos amigos su hazaña (así que comenzar a buscar en el twitter por pistas no sería una mala idea), me parece que es un miembro de la clase media alta (tiene acceso a una tarjeta de crédito) y puede estar en Lima o el extranjero.

Primero, aclaremos algunos terminos que usaremos; por ejemplo entendemos como neo-feudal a un sistema socioeconómico en el cual las relaciones entre el poseedor de los derechos de propiedad de un activo capaz de producir una renta (señor) y un siervo, alguien que necesita hacer uso de dicho activo para poder sobrevivir, se mantienen inalterables por generaciones. Uso intencionalmente el término activo, porque a diferencia del sistema feudal en donde todo lo que contaba era la propiedad de la tierra, en el sistema neo-feudal por ejemplo la patente de un medicamento (que es un activo), que puede extenderse bajo la actual legislación de manera casi perpétua, permite la generación de una renta cada vez que alguien necesite dicho medicamento para curar una enfermedad. Lo mismo pasa por ejemplo con las semillas genéticamente modificadas de Monsanto, donde la transnacional hace las veces de señor feudal, y toda empresa que desee sembrar debe pagar por las semillas de Monsanto, y no puede pagarle a nadie más, al más puro estilo de "arriendo" feudal.

El término casino, está relacionado con la actividad financiera especulativa, que basado en modelos matemáticos de dudosa efectividad convence a grandes y pequeños inversionistas a darles sus ahorros para multiplicarlos mágicamente, siendo por lo general un triste final en el cual el gobierno presionado por los grandes inversionistas tiene que correr al rescate de los bancos de inversión afectados. Como una vez leí en un blog que ahora no encuentro el marcador, la única diferencia entre Bernard Madoff y Lehman Brothers es que el último tenía mejores abogados. Pero lo que es evidente para la gran mayoría de personas que sigue la bolsa, es que esto ha dejado de ser un lugar donde personas con ideas van a buscar financiamiento para las mismas, para convertirse en un lugar donde todo lo que interesa es hacer dinero con dinero de otras personas, sin crear riqueza en el proceso.

Finalmente, Gulag eran los campos de trabajo forzado, creados por los bolcheviques en donde enviaban a todo opositor al régimen. Esta será la etapa final para mantener el orden social, una vez que se haya enterrado oficialmente a la democracia representativa en occidente y vivamos bajo un régimen dictatorial, que será inevitable para poder gestionar la escasez de los años del peak oil.

Una de las características de una sociedad feudal es la nula movilidad social, quien nace siervo muere como tal y quien nace señor muere como tal y hereda a sus descendientes dicha condición. Una sociedad feudal es una respuesta a un modelo económico de crecimiento cero (o próximo a cero), a pesar de la gran revolución industrial y toda la tecnología que tenemos hoy en día, gracias al consumo casi predatorio de los recursos naturales del planeta hemos llegado a un pico de consumo que hace imposible que la economía mundial siga creciendo, puede que alguna economía nacional crezca, pero será a costa de que otra se contraiga, es decir estamos gracias a la globalización en un juego de suma cero, en le cual cualquier mejora en los estándares de vida en algun lugar del planeta es a costa a la reducción de los estándares de vida en otro. En ese entorno económico el crecimiento es casi cero y el terreno está preparado para que la sociedad entre en este modelo de rígido orden social que denominamos feudalismo, pero que debido al cambio tecnológico y a las muy diversas formas de generar riqueza actualmente debemos llamar neo-feudalismo.

Otra característica de los sistemas feudales es su alta inercia económica, se sabe por ejemplo que durante la edad media se usaba un sistema de bombeo de agua de las minas que consistía en generar vapor y enfriarlo rápidamente para generar vacío y succionar agua, algo que debió haber conducido a la creación más temprana de una máquina de vapor, pero justamente en un sistema donde el crecimiento es cero durante siglos, invertir en la creación de un dispositivo que promete maximice la productividad, siendo la mano de obra tan barata es algo que va contra el pensamiento convencional de dicha época. Así que algunas de las conclusiones que podemos sacar de este nuevo sistema que está por venir son las siguientes:

1. El nuevo sistema durará mucho más el presente (si consideramos el inicio del presente en la revolución industrial inglesa 1769), debemos esperar que el nuevo sistema post global del estado neo-feudal casino gulag, dure mucho más que los 250 años del presente.
2. La movilidad social se reducirá a cero y un sistema de clases se instituirá para justificar la diferencia de derechos entre un tipo de ciudadanos (los que poseen activos) y otros (los que no poseen activos).
3. Revivirá el fervor religioso, no me sorprendería para nada que el Islam (y su visión feudal del universo) se convierta en la nueva religión oficial de occidente, logicamente para servir como medio de control mental de la gran mayoría de la población y hacerlos aceptar el statu quo.
4. Militarización de la sociedad y contínuos conflictos sociales. Como resultado de la nula movilidad social, la injusta (y legal) forma de cobrar impuestos y la casi nula redistribución de la riqueza, las revueltas y el alto nivel de violencia obligará a una militarización de la sociedad.
5. Como resultado de todo lo anterior los estándares de vida se reducirán para la mayoría, con lo cual la expectativa de vida comenzará a a bajar, es decir lo que hasta ahora era un contínuo aumento en la expectativa de vida, se revertirá en los años por venir hasta alcanzar niveles pre-industriales cuando el nuevo sistema neo-feudal casini gulag esté instaurado.

Es una visión pesimista de futuro, pero bajo las actuales circunstancias y el alto nivel de egoísmo presente en la gran mayoría de los miembros de las sociedades occidentales, es inevitable que las actuales políticas de que querer posponer para las siguientes generaciones el resolver los problemas sociales y económicos presentes, resultará en un gobierno autoritario que será elegido justamente porque prometerá restaurar la gloria pasada, pero sólo será una promesa, ya que la gloria pasada la construyeron millones de europeos que salieron huyendo del sistema feudal, y no un líder que te ofrece una solución a tus problemas, sin pedirte un sacrificio real.

Realmente, las reflexiones que hace sobre la naturaleza humana y su rol en las Startups me parecen fundamentales para entender el comportamiento en las grandes organizaciones, desde medinas empresas a grandes transnacionales. Es por ello que me he tomado el tiempo de traducirlo al español en la esperanza de que encuentren este artículo tan aleccionador como me ha parecido a mí, espero sus comentarios.

En una Startup "Las buenas noticias tiene que viajar rápido, pero una mala noticia tiene que viajar mucho más rápido."

Hay algo en la combinación de la naturaleza humana (la racionalización y el autoengaño) y la jerarquía de las grandes organizaciones (empresas, gobierno, ejercito, etc) que conspira activamente para ocultar el fracaso y los errores. El encubrimiento institucional es algo tan arraigado que lo asumimos como un hecho más de la vida.

Sin embargo, para una Startup la cultura del encubrimiento es como la muerte. En una Startup sus fundadores y el directorio, necesitan hacer exactamente lo contrario a lo que hace una gran empresa – las fallas deben ser compartidas, discutidas y analizadas en profundidad para extraer "lecciones aprendidas" para que un nuevo curso puede ser tomado.

Mienteme en mi cara.

La primera vez que vi un encubrimiento corporativo fue como un nuevo miembro de la junta directiva de una compañía de tamaño medio público. El vicepresidente de una división operativa había tenido problemas en el desarrollo de productos, el producto estaba demorado y se demoraría aún más en estar listo. El plan de ingresos tenía al nuevo producto incluído en sus estimaciones y estaba claro que esta división del Director General iba a fallar en su pronóstico (sucede todo el tiempo, nada nuevo aquí.) Yo sabía de todo esto desde antes de la reunión de la junta, ya que había hablado con varias personas involucradas, para mi nada de esto fue una sorpresa. Lo que realmente me sorpredió, fue la audacia que mostro el vicepresidente de la división que nos dijo en la reunión del consejo directivo. "El producto está a tiempo. No hay problemas. Vamos a hacer que los números cuadren". La desconexión entre la realidad y la voluntad de tener éxito a toda costa de un alto ejecutivo que lo lleva a mentir descaradamente a su director general y el directorio en pleno, me dejó impresionado.

Hubiera sido mucho más sencillo para él decir: "Estamos jodidos, y necesitamos tu ayuda". No fue hasta después que profundizé y me dí cuenta de que toda la compañía tenía una "cultura del encubrimiento" – el CEO usualmente es castigado por el fracaso y las malas noticias. Dado que sólo las buenas noticias son premiadas (como se define en el plan de ingresos y productos compartidos con analistas de Wall Street), entendí por qué evitan las malas noticias y se encubren los errores, son la elección racional del gerente general en esta empresa. Debido a ello es que al principio de mi carrera un consejo directivo me golpeo sin sentido, cuando no pude cumplir una meta.

Encubrimiento o parecer un idiota.

En las grandes empresas los ejecutivos son contratados y compensados por la ejecución eficaz y eficiente. Si metes la pata, hay una suposición tácita de que te has equivocado en un proceso conocido – algo que era repetible y predecible. Es por ello que se encubren los errores, no sólo porque te hacen ver como un fracasado, pero sobre todo porque hace ver a la línea de mando (tu jefe, el jefe de tu jefe, etc) como unos idiota. Además, lo más probable es que la información que se oculta no será inmediatamente detectada o dañará a la empresa.

Digo esto no porque este post es sobre el encubrimiento en las grandes empresas, (yo lo dejo a los expertos en comportamiento organizacional y la teoría social), pero a diferencia de esta clase de comportamiento, la cultura que las Startup necesita ser muy diferente para sobrevivir.

La cultura del encubrimiento: El papel de la Junta Directiva.

Como fundador de una Startup rápidamente aprendí el grado de apertura que podía tener con mi junta directiva. Algunas veces tuve no tan buenos inversionistas que creían que una Startup debía desarrollarse como un caso de estudio de Harvard. Hicieron caso omiso de la realidad que la mayoría las Startup son un conjunto caótico de acontecimientos de los cuales los fundadores están tratando de extraer un patrón repetible y rentable. La primera vez que entregue una mala noticia me devolvieron mi cabeza en una bandeja. ¿La lección que este CEO castigado apredió de esa reunión de junta directiva? No le des al directorio una mala noticia.

En otras Startups tuve suerte y había grandes inversionistas que sabían cómo manejar y lidiar con el caos. Se dieron cuenta de que las condiciones cambian tan rápidamente que las hipótesis del plan de negocio original se vuelven irrelevantes. Estos inversores me enseñaron las métricas adecuadas para la búsqueda de un modelo de negocio, cómo explicarle a la junta directiva que no se pudo cumplir una meta, y la forma de detectar cuando es hora de cambiar la estrategia. Yo pensaba en estos miembros de la junta directiva como compañeros y compartía todo con ellos, lo bueno, lo malo y lo feo.

Estos miembros de la junta directiva me animaron a inculcar la cultura adecuada en la empresa. Me recordaron que las fallas las Startups les dicen a los fundadores que dirección no seguir, mientras te enseñan cómo tener éxito. Esto significa que encubrir el fracaso en una Startup era como tirar el dinero en la calle. Así que en lugar de una cultura del encubrimiento ellos alientan una "Cultura de las Lecciones Aprendidas".

Startups: Las buenas noticias necesitan viajar rápido, pero las malas noticias tienen que viajar más rápido.

Un elemento clave de la cultura de "lecciones aprendidas" es la difusión rápida de información. Toda la información, ya sea buena o mala, debe ser compartida con rapidez. Nos enseñó que para nuestra compañía era más importante la comprensión de por qué perdíamos ciertas ventas a por qué habíamos ganado otras; entender por qué los productos de la competencia eran mejores era más importante que la racionalización de las formas en que los nuestros eran superiores. Todas las noticias, pero sobre todo las malas, tenían que ser compartidas, disecadas, comprendidas y puestas en práctica. En cada reunión semanal de los departamentos de la compañía hablamos de lo que funcionaba y no funcionaba. Y cuando encontrábamos a empleados que acumulaban información o encubian problemas los despedíamos. Ellos eran un veneno para la cultura de la Startup.

Las conversaciones resultantes nos ha hecho más inteligente, más ágiles e imparables.

Lecciones aprendidas:

• Las startups se construyen alrededor de rápidas iteraciones de hipótesis. La mayoría de ellas a su vez resultan ser incorrectas.
• Asegúrese de que su junta directiva no lo golpeará por decir la verdad.
• Construir una cultura de rápida difusión de todas las noticias, buenas o malas
• Los fundadores deben predicar con el ejemplo en compartir las lecciones aprendidas
• Analice conjuntamente los fracasos, haga una iteración, cambie de dirección, y vuelva a intentarlo.
• La cultura del encubrimiento es la muerte para una Startup.
• Despedir a los empleados que acumulan información u ocultan las malas noticias.

 

Básicamente la persona o institución que desea hacer público su blacklist debe levantar un servidor DNS que acepte peticiones regulares de resolución y retorne un valor válido si el IP está listado, dando la opción questionar a través de una solicitud "TXT" la razón de la inclusión en la lista. En principio todo muy sencillo, pero aclaremos la cosa con un ejemplo.

Supongamos que deseamos saber si el IP "100.110.120.130"  está listado en la base de datos de fuentes de spam en SPAMHAUS, para ello debemos hacer una solicitud de resolución DNS al servidor sbl.spamhaus.org. La única particularidad es que debemos hacerlo poniendo el IP en orden inverso y añadirlo al nombre de host al cual estamos haciendo la solicitud de esta manera:

$ nslookup -q=A 130.120.110.100.sbl.spamhaus.org

** server can’t find 130.120.110.100.sbl.spamhaus.org: NXDOMAIN

Si el IP no está listado deberíamos obtener un listado como el anterior. Pero a que viene todo esto, pues simplemente a que yo uso una gran colección de blacklist para proteger a mis servidores de correo del spam, y siempre estoy vigilando que ninguno de mis servidores esté listado en ellas, para tal fin tengo un script que corre cada hora y verifica que ninguno de mis servidores está listado, de estarlo inmediatamente me notifica con un mensaje SMS a mi celular. Entonces resulta que el día de hoy recibí la alerta de que uno de mis servidores estaba listado en "bl.csma.biz", inmediatamente me puse manos a la obra para delistar mi IP del blacklist, pero grande fue mi sorpresa cuando encontré esto:

Si adivinaron el dominio expiro y a los chicos de Network Solutions no se les ocurrió mejor idea para monetizar el tráfico que crear una respuesta válida a toda consulta DNS sobre dicho dominio, resultado ha sido para los que usamos la solución DNSBL, toda internet está incluída como fuente de spam en la lista administrada por el servidor bl.csma.biz.

Para demostrarlo hagamos un experimento. Por ejemplo hay IPs que nunca deben estar en un blacklist, este es el caso específico de todas las IPs privadas como 10.0.0.0/8, 172.16.0.0/12,  192.168.0.0/16, demás del localhost 127.0.0.0/8. Preguntado sobre esos valores el DNSBL del servicio bl.csma.biz simpre responde afirmativamente apuntando a la página que ofrece el dominio en venta.

$ nslookup 1.0.0.127.bl.csma.biz
Non-authoritative answer:
Name:   1.0.0.127.bl.csma.biz
Address: 209.62.105.19

$ nslookup 1.0.168.192.bl.csma.biz
Non-authoritative answer:
Name:   1.0.168.192.bl.csma.biz
Address: 209.62.105.19

No interesa que pongan delante del nombre bl.csma.biz, el DNS atumáticamente apunta a la página de la publicidad. Esto me parece sorprendente de una compañía que tuvo la exclusividad de la venta de dominios .com, .net y .org durante muchos años. Acaso no hay nadie que sepa que hacer esto puede tener efectos colaterales como el hecho de generar rechazo de correos o el que muchos correos terminen en el "Junk Folder" de muchos servicios de correo, o simplemente no interesa la usabilidad y solo desean más tráfico para monetizar la publicidad en los dominios.

Espero que el propietario del dominio csma.biz lo habilite, por lo menos yo como contra medida lo ha retirado de la lista de servicios DNSBL que utilizo.

El procedimiento para ganar privilegios de root aún no es sencillo, pero está documentado con todo detalle en la wiki de NookDevs, los detalles técnicos del Nookcolor se pueden encontrar en el website de Barnes & Noble, pero hay que aclarar que la única desventaja de usar un Nookcolor como tablet es el hecho de que no tiene cámara de video, algo que al parecer no ha alejado a muchos del iPad, hasta la fecha el tables más vendido.

Como prueba de su logro la gente de xda-developers ha subido un video a YouTube en donde se puede apreciar un Nookcolor siendo usado para popular jugar Angry Birds. Aquí el video:

La pregunta es si Barnes & Noble no hará nada al respecto y dejará que sean los entusiastas quienes decidan el destino del Nookcolor, o tratará de cerrar las puertas a futuros hacks y mantendrá al eBook como lo que es, para evitar entrar en competencia con jugadores más técnicos como son los fabricantes de tablets, por sólo mencionar algunos Apple, Dell, Samsung o HP.

Lo que si está claro es que no hay razones ni técnicas, ni tampoco económicas para que las tablets con Android tengan precios tan elevados como los actuales, definitivamente si la Nookcolor con este hack gana popularidad, todos los demás fabricantes de tablets deberán de comenzar a reformular sus estratégias de mercado, recordemos que estamos en un entorno donde todos los compradores están buscando como maximizar el poder de compra de su dinero.

La funcionalidad se encuentra en TDL4, que es la última versión de un viejo rootkit también conocido como TDSS o Alureon. TDSS ha causado serios problemas para los usuarios durante más de dos años, y es un ejemplo de un tipo particularmente pernicioso de rootkit que infecta el sector de arranque de un PC. A este tipo de malware se le llama a menudo "bootkit" y puede ser extremadamente difícil de quitar una vez que se detecta. Las versiones anteriores de TDSS – TDL1, TDL2 y TDL3 – son detectados por la gran mayoría de los antivirus actualmente, pero el más problemático ahora resulta ser TDL4.

TDL4 tiene una función específica que está diseñada para evitar una protección en Windows 7 y Windows Vista que requiere que el código a nivel de kernel para ser cargado en una máquina debe estar firmado. Esta política de fima de código para todo programa en Windows en modo Kernel es también aplicable a las máquinas de 64 bits.

El rootkit TDL4 ha implementado una función que permite evadir esta protección, cambiando el proceso de arranque en máquinas protegidas, de acuerdo con un análisis del TDL4 de Sunbelt Software. El rootkit logra su cometido a través de la modificación de cuales programas Windows permite cargar como drivers sin firmar.

Aquí lo que escribió Chandra Prakash de Sunbelt Software en su análisis del TLD4:

"La opción de inicio es cambiada en la memoria del código ejecutado por un MBR infectado. Durante el arranque se configura el valor de una opción de configuración llamado ‘LoadIntegrityCheckPolicy" que determina el nivel de la validación de los programas de inicio. El rootkit cambia este valor de configuración y lo ajusta a un nivel bajo de la validación que efectivamente permite la carga de un archivo malicioso sin firma dll que resulta ser el rootkit y que se llama kdcom.dll, esta es una versión infectada de la normal kdcom.dll que se incluye con Windows."

Si eres usuario de Windows Vista o Windows 7, tal vez te convendría ver la presentación que hizo Joe Johnson de Microsoft sobre Alureon donde detalla la forma de operación del rootkit.

El resultado es que cualquier persona con unos pocos cientos de dólares podría tener acceso a un ataque de día cero al Internet Explorer, abriendo la puerta a un uso generalizada del ataque a este popular navegador. Un código de prueba de concepto ha estado disponible desde la aparición del boletín oficial de Microsoft, pero la inclusión de la vulnerabilidad en el Eleonore exploit kit hace que sea mucho más fácil para los hackers poco cualificados desarrollar exploits monetizable.

A pesar de que hubo reportes que los ataques iniciales fueron bloqueados por contramedidas tales como DEP y por lo tanto no podía ser aprovechado en Internet Explorer 8 en su configuración predeterminada, esto también podría cambiar a medida que la falla se combina con las soluciones DEP. El actual código de prueba de concepto deja como un ejercicio propuesto para el lector la solución a las contramedidas DEP.

Aunque Microsoft es consciente de la falla, un parche para la misma no ha sido incluido en los parches distribuídos por Microsoft el día de hoy martes (9 de noviembre 2010). Hasta el momento, la compañía no ha dicho cuándo un parche para esta vulnerabilidad estaría disponible, aunque la inclusión de un exploit en un kit de herramientas significa que va a estar bajo una presión adicional para liberar un parche en lugar de esperar a principios de diciembre fecha en que tocaría liberar los siguientes parches de los martes.

Una recomendación es que para evitar ser infectado de esta manera sería preferible usar otros navegadores como Firefox, Chrome u Opera.

En principio usar una webcam para controlar lo que pasa en la oficina o casa cuando no estamos puede parecer una buena idea para aquellos que son fanáticos del control total, algo que no existe, pero que muchos desean. El problema es que muchos de estos aspirantes a dictadores, son lo suficientemente listos para saber que producto comprar y como configurarlo, o al menos tienen el suficiente dinero para pagarle a alguien que sea lo suficientemente listo para hacerlo; sin embargo son lo suficientemente tontos para olvidar ponerle password a la cámara, con lo cual cualquiera que conozca el URL de la misma podría tener acceso a ver el contenido transmitido por la webcam. Es en este escenario donde entra en juego Google, el gran indexador de la web.

La verdad es que el método descrito aquí no permite hackear una webcam en si misma, sino que nos permite usar Google para encontrar todas aquellas webcams (miles al parecer) que están desprotegidas y sólo confían en que nadie accederá a ellas porque se esconden en puertos no estándares o crípticas direcciones URL. El problema es que Google sistemáticamente explora toda la web e indexa todas las direcciones que encuentra, entonces lo único que es necesario saber para encontrar estas webcams vulnerables es qué secuencia de caracteres buscar. En este URL encontré una primera pista, pero luego de averiguar un poco más encontré que se pueden ubicar estas cámaras desprotegidas usando estos criterios de búsqueda en Google:

inurl:"axis-cgi/mjpg"
inurl:"ViewerFrame?Mode="
inurl:"view/index.shtml"
inurl:"MultiCameraFrame?Mode="

Quiero resaltar que esto lo hago público con fines de divulgación, que no promuevo el hacking en ninguna forma y que sólo deseo despertar el interés público por la seguridad en la web, ya que es en nuestros días es una parte muy importante de nuestras vidas, recordemos que lo que pongamos en la web queda para siempre y el olvido ya no existe en el siglo XXI, algo que comenté en un post anterior de este blog llamado "El fin del olvido".

Aunque como dice tanto Jeff, no hay una respuesta simple y por el contrario en lugar de buscar este conflicto entre sysadmin y programadores, lo que dbe haber es una autoridad superior que defina objetivos claros para la empresa y los haga trabajar juntos en busca de un objetivo común, en lugar de que inicien discusiones unos contra otros. Jeff dice claramente que en muchos lugares donde esto ocurre es simplemente porque la división del trabajo no ha sido hecha adecuadamente y hay demasiado tiempo libre para perderlo en disputas sin sentido.

Por otro lado algo que no se discute en el post es que suscede en la empresas pequeñas, en donde los roles se vuelven más difusos debido a las limitaciones de presupuesto. Es en las pequeñas empresas donde por lo general el programador hace las veces de sysadmin o puede suceder que un sysadmin termina convertido en un programador por acceidente.

Yo, soy por definición un sysadmin, ya que tanto por vocación, como por formación soy un ingeniero (mecánico electricista para más señas). Es decir carezco del sentido estético del que muchos programadores se enorgullecen. Por el contrario yo estoy más enfocado en eficacia y eficiencia, es decir terminar el proyecto dentro del presupuesto, en el tiempo estimado aunque haya que aplicar ciertos ajustes (muchas veces recortes) en el camino, ya que una solución parcial es infinitas veces mejor que una solución perfecta en un futuro distante.

Por el contrario muchos de los programadores con los que me he topado, suelen por lo general querer inventar la rueda, no desean usar código de otros programadores y sienten un profundo rechazo a documentar su código, algunos dicen que eso les reduce su productividad y hay que casi amenazarlos de muerte para que lo hagan.

En fin, este es un debate abierto ya que cada lado puede señalar los defectos del otro, sin embargo hay que sobre todo ser tolerantes y aprender a convivir en una empresa que necesita que ambos roles trabajen juntos, en lugar de estar tratando de demostrar quien tiene la razón.