Grave error en VMWare muestra fragilidad de modelo propietario

El día de hoy, múltiples servidores que usan la version VMWare ESX 3.5U2 (la última versión disponible), no podrán arrancar debido a un error en el sistema de licencias de WMWare que detendrá todos los servidores virtuales que estén usando el popular software, según he podido leer en el blog de Matthew Marlowe. Las soluciones propuestas por el momento son no reiniciar ningun server virtual hasta que el parche éste disponible, VMWare ha ofrecido subsanar el problema en 36 horas. Y si por alguna razón se debe rebootear el sistema, una alternativa es cambiar la fecha a el 1 de agosto, o cualquier otra fecha anterior al día de hoy.

La pregunta es, ¿por qué usar un software propietario cuándo hay otro equivalete Open Source?, al parecer el mito de que los productos pagados son de mejor calidad aún pesa demasiado en la mente de muchos jefes del área informática de muchas empresas. Como comenta Marlowe en su blog, el dueño del software es el dueño de tu servidor, si quiere incluso podría a voluntad apagar tu servidor si quisiera. De alli la importancia de proyectos Open Source como VirtualBox (recientemente adquirido por Sun Microsystem) y Xen (adquirido por Citrix), que traen el balance al mercado de la virtualización.

Lo mismo que ha ocurrido con VMWare pasa con Microsoft y sus dos productos estrella (Windows y Office), toda la data que se produce usando esa plataforma esta amarrada a los caprichos de Microsoft y su abusiva política de precios. Espero que éste tipo de eventos contribuyan a crear conciencia en los jefes del  áreas informática que piensan que usar Open Source es una medida altruista, pero no práctica para los negocios, sin embargo no ven que usar Open Source es la única vía si deseamos mantener el control sobre nuestra data.

Publicado el por volkan68 0

Windows Vista es tan inseguro como sus predecesores

En la última conferencia de hackers en Las Vegas (Black Hat), mientras todos los reflectores se enfocaban en Dan Kaminsky y su desubrimiento de una falla en los servidores DNS de cacheo, que de acuerdo a los medios pudo haber significado el fin de Internet (sobre ese tema posteare luego). Nadie ha prestado atención a un descubrimiento que ha hecho que la inversión de miles de millones de dólares por parte de Microsoft para mejorar la seguridad de Windows Vista y Windows 2008 a los largo de todo éstos años sea simplemente inútil.

De acuerdo a una nota publicada por SearchSecurity, los investigadores Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc., han descubierto una forma de saltar las dos mayores protecciones hardware/software que Microsoft ha incluído en Windows Vista y 2008, la ASLR (Address Space Layout Randomization) y la DEP (Data Execution Prevention), sin ese tipo de protecciones Vista es tan vulnerable a ataques externos como sus predecesores.

Aquellos que deseen leer el documento presentado por los dos investigadores pueden descargar el PDF desde aquí.

Lo importante del descubrimiento de Dowd y Sotirov es que no se basa sobre una vulnerabilidad, sino sobre la forma como Windows Vista trata los objetos .NET o ActiveX, osea aprovecha un fallo de diseño por parte de Microsoft, de esa forma cualquier vulnerabilidad que se descubra, podría usar esta técnica para subir troyanos a Vista a través del browser. Usando la técnica propuesta por los investigadores un atacante remoto podría descargar en la máquina afectada cualquier tipo de archivo, en cualquier localización y asignarle cualquier privilegio, con lo que Vista no presenta ninguna ventaja real con respecto a seguridad frente a Windows XP, y aún conserva todos los extras que le ha puesto Microsoft que lo vuelven terriblemente lento.

Muchas de las incompatibilidades y problemas que presenta Vista son el resultado de la "elevación" del nivel de seguridad a través de ASLR y DEP, la primera es una técnica de software que asigna aleatoriamente la memoria a los programas, librerias y espacios de datos, de esa forma es muy difícil para un atacante corromper la memoria y ejecutar código arbitrario en Windows Vista, al menos eso era en teoría hasta ahora. La segunda DEP, era un protección a  nivel de hardware que impedía que porciones declaradas como memoria de datos, sean usada para redireccionar el puntero de ejecución y de esa forma coneguir que se ejecute código que fue cargado originarlmente como datos, éste tipo de ataque es muy usuada cuando se inyecta código dentro de una imagen o video, en teoría DEP, protegía a Vista de éste tipo de ataques, lamentablemente ya no más con el descubrimiento de Dowd y Sotirov.

Me pregunto por qué los medios no cubren con igual extensión ésta tremenda falla en el diseño de la seguridad de Vista y Windows 2008, y deben ser los pequeños blogs y entusias quienes alerten sobre el problema a la comunidad. Por el contrario la falla que encontro Kaminsky ha estado en todos los medios masivos. Supongo que ese es otro de los misterios de éstos tiempos modernos.

Publicado el por volkan68 0

Gmail y Google Apps estuvieron caídos por 2 horas

Hoy (11 de agosto) antes de salir de la oficina, a las 5:45 PM (hora de NY, 4:45 PM hora peruana), mi jefe me informó que no podía entrar a su cuenta de Gmail y tampoco a su dominio alojado en Google Apps, verifique si yo podía entrar a mi cuenta de Gmail y descubri que tampoco podía hacerlo, busque en el Gmail Help Center y encontré la explicación:

"From about 2 p.m. to 4 p.m. Pacific Time today, many Gmail users were unable to access their email. The issue is now resolved. We’re very sorry for the interruption in service. The issue was caused by a temporary outage in the contacts system used by Gmail which prevented Gmail from loading properly. All mail is safe, though there may be minor delays with delivery."

Traducción:

"Desde las 2 PM a las 4 PM hora del Pacífico (-8 GMT), muchos de los usuarios de Gmail estuvieron inhabilitados de acceder sus correos. El problema está ahora ya resuelto. Lamentamos la interrupción en el servicio. El problema fue causado por un corte temporal en el sistema de contactos usado por Gmail el cuál impidió que Gmail cargue apropiadamente. Todos los correos están a salvo, aunque tal vez pueda haber una demora mínima en las entregas."

Éste es el segundo incidente a lo largo del presente año, al parecer Google está creciendo mucho más alla de sus posibilidades de mantener la expansión de sus data centers. Todo parece indicar que ofrecer 7GB de espacio gratuito a todos sus usuarios, puede ser muy bueno para los usuarios, pero definitivamente el mantener una infraestructura capaz de lidiar con esta carga no es ni sencillo, como tampoco barato, ¿motivará ésto a Google a ponerle un alto a su política de ir incrementando segundo a segundo el espacio asignado para los buzones de correo de sus usuarios?. Habra que esperar que tiene que decir Google sobre el asunto, y como piensa impedir que ésto vuelva a ocurrir.

UPDATE: Google ha informado que cuando no se pueda acceder a través de la interface Ajax, que es la que casi todos usamos, siempre es posible acceder a los e-mail a través de la interface HTML en éste URL: http://mail.google.com/mail/h/

UPDATE2: Google pidio disculpas oficialmente y ha dado como justificación oficial el problema con el systema de contactos, pueden leer sobre ésto en el reciente post que han hecho en el blog de Gmail.

Publicado el por volkan68 1

Hasta la vista PHP4

El pasado viernes 8 de agosto, marcó el final de la vida para el popular lenguaje de scripting PHP4, con el lanzamiento del último release estable de este popular lenguaje el 4.4.9, un completo análisis sobre las alternativas para migrar aplicaciones a PHP5 puede ser encontrado en la página web de la revista ComputerWorld.

Después de haber estado en el mercado por más de 10 años (su release como estable fue el 22 de mayo del 2000), el lenguaje que potencia la mayor cantidad de aplicaciones web, continúa su evolución. Hay que recordar que aunque PHP5 es el actual estable, la comunidad PHP sigue activamente trabajando en la siguiente versión PHP6 que estará completamente orientada a objetos, y espero que pronto la veremos lista para el gran público.

Tal vez una de las aplicación populares que ha ofrecido mayor resistencia al cambio a PHP5 ha sido OsCommerce, aunque ya podemos ver que anda en su OsCommerce 3.0 Alpha 4, y tal vez en unos meses más tendremos una versión estable del popular programa de sitios de comercio electrónico, la verdad es que aquellos que no migren sus aplicaciones a PHP5, perderán por completo el soporte del lenguaje y tendrán que parcharlo por ellos mismos.

Si tiene que migrar su aplicación web a PHP5, hágalo usando un framework que le ahorre el trabajo, y como siempre he dicho mi candidato número uno para el desarrollo rápido de aplicaciones web es CodeIgniter.

Publicado el por volkan68 2

McCain a puertas de la Casa Blanca

Se aproxima la Convención Demócrata, que se realizará entre el 25 y 28 de agosto en la ciudad de Denver (Colorado), donde en teoría se debe de proclamar a Barack Obama como candidato del Partido Demócrata para la próxima contienda electoral, digo en teoría porque hasta el jueves pasado todo parecía indicar que Obama sería el candidato a presidente y John Edwards, el candidato a la vicepresidencia, pero el escándalo desatado por los medios al revelar que Edwards tiene un hijo extra matrimonial con una asistente de su campaña (Rielle Hunter, aunque ésta se ha negado a tomar ningún test de paternidad), cuando su esposa Elizabeth luchaba contra el cáncer, ha sepultado sus aspiraciones políticas para siempre, no por el hecho de que tenga un hijo extra matrimonial, sino porque negó el hecho desde que los medios comenzaron a cuestionarlo sobre el asunto.

Pero y eso como está relacionado a que McCain tenga el camino libre a la presidencia americana, permítanme explicarles mi hipótesis. Primero debemos de considerar de que Estados Unidos no es ni el estado de New York, ni el estado de California, la gran mayoría del país es aún bastante resistente a la idea de elegir a un presidente afro-americano, es por ello que poner a Edwards a su lado como compañero en la plancha presidencial, en teoría podría ayudar a inclinar el voto de la mayoría blanca y conservadora del interior de Estados Unidos a favor del partido demócrata, sin embargo ahora con el escándalo Edwards ha perdido las simpatías que despertaba.

Pero la pregunta sería ¿por qué destapar el escándalo ahora, antes de la nominación y no después?. Simple, cuando ya fuera candidato a la vice-presidencia, cualquier ataque sería atribuido a su oponente McCain, con lo cuál la efectividad de la campaña de desprestigio se vería reducida, hacerlo ahora antes de la nominación oficial, aparenta ser un "descubrimiento de la prensa", cuando lo cierto es que todos las grandes cadenas de comunicación apoyan a McCain. Adicionalmente haciendo la campaña de demolición a Edwards ahora, implica que los super delegados del Partido Demócrata, deban reconsiderar su voto, y quien sabe a lo mejor el 25 de agosto nos enteramos de que el candidato Demócrata es Hillary y no Barack, lo cuál sería tan desastroso, como seguir con Obama como candidato presidencial sin ninguna figura blanca que lo contrapese en la plancha presidencial.

Cómo si lo anterior fuera poco, ahora el gobierno está preparando un segundo paquete de "estímulo económico", para evitar el "deterioro de la economía", claro ellos piensan que todos somos descerebrados. Realmente lo que quiere hacer el gobierno es gastar otros 300 mil millones más porque los anteriores 300 mil millones se acabaron en junio y las elecciones aún son en noviembre, y la situación económica no parece mejorar, y tampoco mejorará hasta que se tomen políticas económicas serias (reducir el gasto público, o sea salir de Iraq, aumentar los impuestos a los más ricos, que sólo pagan 15% anualmente sobre sus ingresos cuando un ciudadano común y corriente, o sea los plebeyos como yo, debemos de pagar entre 25% y 35%).

Podrá la baja del precio del petróleo, un segundo estímulo económico, y una última reducción de tasas de interés (que probablemente terminen en 1% para permitir a todos los bancos seguir haciendo write-downs), salvar la candidatura de McCain, desde mi punto de vista, claro que sí. Después de todo, no importa cuánto cueste poner a McCain en la Casa Blanca, si luego de ello, se podrá echar mano a los fondos del Social Security a través de una privatización tipo las AFP peruanas o chilenas, se podrá darle el golpe de gracia a los sindicatos que aún sobreviven y conseguir una reducción adicional a los impuestos de los inversionistas (o sea las personas más ricas del mundo).

Un detalle extra a considerar es la intensa campaña proselitista que están realizando los republicanos, con los trabajadores de Walmart (que suman aproximandamente 1 millón de personas), a los cuales les están vendiendo la idea de que si Obama gana, ellos perderán sus trabajos. Supongo que ésto debe estar sucediendo en muchas otras grandes cadenas de tiendas nacionales, aunque sólo se ha podido confirmar por ciertos medios en el caso de Walmart (ver Bill Moyers Journal).

Así que para que hacer elecciones, mejor ahorremos el dinero de la farsa, digo del proceso electoral y proclamemos a McCain el nuevo "César", digo presidente.

Publicado el por volkan68 0