jueves, 3 de diciembre de 2009

[Informática] Manifiesto “En defensa de los derechos fundamentales en internet”

La nueva Ley de Economía Sostenible e Internet, aparte de otros problemas, nos dedica a los usuarios de internet algunos que nos afectan de lleno a todos.

Aqui pongo el manifiesto que se ha elaborado como protesta ante estas medidas. Parece mentira que tengamos que defender temas tan obvios, pero así están las cosas.

--------------------------------------------------------------------------------

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red, en España ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Se ha publicado en multitud de sitios web. Si estás de acuerdo y quieres sumarte a él, difúndelo por Internet.

----------------------------------------

Ver la entrada completa

martes, 6 de octubre de 2009

[Seguridad] Consejo sobre contraseñas

He vuelto después de unos meses sin publicar nada para plasmar aquí un consejo que será útil para la mayoría de usuarios de internet. Aunque espero que los que me visitáis, que la mayoría sois "ingenieros informáticos" (lo de las comillas es porque estamos en proceso aún), ya sepáis de qué hablo.

Me he pasado gran parte del verano indagando en el tema de la seguridad informática (sobre todo de redes), y uno de las conclusiones más inmediatas que se sacan al entrar en este mundillo es que las contraseñas que protegen las redes (y los correos electrónicos, y los ordenadores personales...), son malísimas. Así que me he propuesto aportar mi granito de arena para que esto deje de ser así.



Lo primero es responder a la pregunta: "¿Cómo puedo hacer que mis contraseñas sean seguras?"

Para construir contraseñas fuertes (seguras), sólo hacen falta tres cosas:
- Que sea larga (más de 10 caracteres)
- Que no tenga relación con nuestro nombre,familiares,cumpleaños, aniversarios...
- Que contenga letras mayúsculas y minúsculas, además de números (e incluso símbolos como !, ?, etc).
(este último detalle se podría obviar para contraseñas realmente largas)

Una contraseña que cumpla estas tres reglas es, casi con toda seguridad, una contraseña segura. Y digo "casi" con toda seguridad, porque habrá algún espabilao que para dejarme en mal lugar me diga que la contraseña: "aAaAaAaAaAa1234", cumple las regla y no es muy segura. Pero incluso esta contraseña tan simple es muy fuerte comparada con las mas usadas en internet: "1234", "asdasdasd", "matrix", etc.

La contraseña del "espabilao" sería mucho mas segura si intercalara los números entre las letras, y por supuesto, si usara mas variedad de letras.

Ahora que tenemos una contraseña fuerte, queda resolver el segundo problema que hace que todo aquello que protegemos con contraseña esté a merced de los villanos que hay sueltos por la red: "Mira que contraseña mas chula me ha quedao, esta la uso pal correo, pal tuenti, pa la uni... Y por supuesto, no la cambio hasta que me muera."

En una de las exposiciones que hice el curso pasado, decidimos incluir una frase que encontramos por internet que describe bien cómo manejar nuestras contraseñas:

"Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla con frecuencia y no debes compartirla con extraños."

Esta frase nos deja claro que las contraseñas no hay que compartirlas y hay que cambiarlas cada cierto tiempo. Con esto no quiero decir que cada dos dias te estés inventando contraseñas para todo, pero si que es bueno cambiarlas de vez en cuando. Asi, cuando un villano te la descifre una vez, por una parte no la tiene para todas tus cosas (correo, facebook, etc) y por otra parte, se tendrá que pelear con aquella que averigüe cada vez que la cambies.

---------------------------
EXTRA:
Como extra para este post, os presento un complemento del navegador Mozilla Firefox (si aún sigues con Internet Explorer, en fin, aquí tienes un link), con el que lograréis buenas contraseñas fáciles de recordar.
Se trata de ObPwd, un pequeño plug-in que genera contraseñas a partir de imágenes de internet. Modo de empleo:
- Elegir una imagen de internet que sepas que siempre va a estar ahí. [Te aconsejo subir tú una a ImageShack, por ejemplo].
- Con este plug-in instalado, le das "botón derecho sobre la imagen->Menú ObPwd->Get ObPwd from Image"
- Y ahí la tienes, una contraseña imposible de adivinar, ni siquiera por tí mismo.
La pregunta es: ¿Y cómo recupero luego la contraseña si se me olvida?. Fácil, vuelves a la misma imagen, vuelves a generar la ObPwd, y listo, es la misma de la otra vez.

Una aplicación útil para los que tenemos muchos sitios que proteger, y somos muy vagos para crear tantas contraseñas distintas xD.
---------------------

Conclusión: Las contraseñas que usemos deben ser fuertes, debemos tener una para cada cosa importante que queramos proteger, cambiarlas cada cierto tiempo y ¡no compartirlas con nadie!.

PD: Aunque estas contraseñas son aplicables para proteger tu wifi, estas redes pueden seguir siendo vulnerables. Pero eso es tema de otro post que vendrá en breve ;).

NOTA: precisamente un dia después de publicar esto, me entero por un blog amigo de la siguiente noticia: "Unas 10.000 cuentas de Hotmail, publicadas en internet". Es un buen momento para poner en práctica los consejos que pongo aqui :P.

Ver la entrada completa

sábado, 16 de mayo de 2009

[Seguridad] Cross-site Scripting (XSS)

Cuando el creador de una página web no tiene el debido cuidado, puede hacer su web susceptible a ciertos ataques de usuarios malintencionados.

Un ejemplo de este tipo de vulnerabilidades, derivada normalmente por la mala validación de los campos de texto disponibles en nuestra web, es el Cross-site Scripting o XSS. Este ataque consiste en introducir código malicioso en nuestra web cuando un usuario la visita y robar así, por ejemplo, la cookie del usuario (su nombre de usuario y contraseña, generalmente).

Existen muchas formas de hacer este tipo de ataque, pero pondré un ejemplo sencillo que servirá de ilustración.

Si accedemos a esta web: Web Débil, vemos su contenido sin problemas, una web absolutamente normal. Pues es una web susceptible a este tipo de ataques (aunque para esta web no tenga mucho sentido).

Para demostrarlo, vamos a construir un link personalizado que ponga un texto nuevo cuando se accede a la web.



Utilizamos uno de sus campos rellenables para introducir código HTML.

<H1> -> Sirve para poner el texto mas grande.
<MARQUEE> -> Sirve para que el texto se mueva.

[El link es inofensivo, tanto para el que entre, como para la web]

http://www.venezuelaesfutbol.com/categoria.php?categoria_id=<h1><marquee>Esto podria ser codigo malicioso. TecnoFreak</marquee></h1> -> Pincha aqui para probarlo o cópialo tu mismo en tu navegador.

Pero si un atacante quisiera sacar partido de esta vulnerabilidad, colocaría código JavaScript en este link para que recogiera información del usuario y la mandara a otro sitio remoto. Un ejemplo de código JavaScript sería el siguiente:

<SCRIPT> -> Sirve para escribir código JavaScript, lo que contenga este campo será interpretado como tal

alert('Mensaje') -> Sirve para mostrar un mensaje por pantalla.

[El link es inofensivo, tanto para el visitante como para la web. Sólo es un saludo]

http://www.venezuelaesfutbol.com/categoria.php?categoria_id=<h1><script>alert('Esto podria ser codigo AUN MAS malicioso.')</script></h1> -> Pincha aqui para probarlo o cópialo tu mismo en tu navegador.

Con códigos JavaScript más avanzados se puede incluso suplantar la web original para introducir otra completamente nueva.

Si todo ha ido bien (cuando creé este post todo funcionaba de perlas), se ha demostrado que una web con este tipo de vulnerabilidad no garantiza en absoluto la privacidad de los usuarios.

Este tipo de vulnerabilidades son fáciles de evitar, basta con hacer una buena validación de los campos y tener siempre controlados los valores de las sesiones de nuestros usuarios.

Así que todos los desarrolladores web que vean esto quedan avisados. Tened cuidado con esta vulnerabilidad, no cuesta nada evitarla.

EDIT: Si para algo me ha servido el comentario del Troll anónimo que comentó el primero a este post, ha sido para encontrar la fuente de donde saqué este ejemplo hace más de un año, además de para darme cuenta de que el que menos sabe es el que mas habla. Gracias troll anónimo.

Vía: Foros CanTV.

Ver la entrada completa

miércoles, 11 de marzo de 2009

[Criptografia] Números Aleatorios

Cuando uno investiga un poco sobre criptografía, se da cuenta de que una de las cosas que hacen falta para que tu sistema de encriptado (criptosistema) sea seguro, es poder generar valores aleatorios.Esto para un programador no supone ningún problema, salvo que debe tener en cuenta algunos detalles.

Por ejemplo, todos los que programen en C/C++ conoceran la función "rand", que genera un número aleatorio a partir de una semilla. Pasemos a describir qué es lo que hace esta función en concreto:

- En la primera llamada a rand se le pasa una semilla X0 y devuelve un X1 = (a * X0 + b) mod c.
- Para la siguiente llamada a rand, cogería X1 como semilla para calcular X2.
- Y así hasta que nosotros queramos.

Pero esta función tiene un problema, si en algún momento de Xi tienen el mismo valor, se repetiría la cadena. Es decir, podría darse el caso en el que todos los Xi valiesen lo mismo...¡Qué aleatorio!. Por ejemplo, si cogiéramos (a,b,c,X0) = (2,3,7,4) haría lo siguiente:

- X1 = (2 * X0 + 3) mod 7 = (2 * 4 + 3) mod 7 = 11 mod 7 = 4
- X2 = (2 * X1 + 3) mod 7 = (2 * 4 + 3) mod 7 = 11 mod 7 = 4
- ... (así hasta el infinito y mas allá...)

Con esto conseguiríamos una sucesión de números "aleatorios": [4,4,...,4]. Todos iguales.

Esto es un caso extremo, pero sirve para demostrar que esa función no produce números precisamente aleatorios, utilizan un patrón predecible.

Pero no hay que desesperar, existen alternativas con las que podemos conseguir unas sucesiones de números aleatorios criptográficamente aceptables, es decir, que aunque no sean totalmente aleatorios, se acercan lo suficiente para considerarlos como tal. Estos generadores suelen venir implementados en las librerías de desarrollo de los distintos lenguajes de programación.

Links relacionados:
- Pseudo-aleatorios vs Alatorios:
Muestra dos imágenes que muestran el efecto de no disponer de números verdaderamente aleatorios.
- Un libro muy curioso:
Un libro en el que encontramos un millon de dígitos aleatorios.

Ver la entrada completa

miércoles, 4 de marzo de 2009

[Ing. Informática] Un paso adelante en la regulación de las Ingenierías Informáticas

Bueno, parece que al fin tenemos alguna buena noticia con respecto a la regulación de nuestra profesión. Hoy he visto esta noticia en Computer World Digital en la que se comunica que el "Consejo de Universidades ha aprobado un acuerdo sobre las condiciones que deben cumplir sus títulos universitarios" (Ingeniero en Informático e Ingeniero Técnico Informático).

Es bueno saber que las manifestaciones sirvieron para algo, aunque esto sea sólo un pequeño avance. Ya que aún queda mucho por andar para llegar a nuestros objetivos.

Ver la entrada completa

martes, 3 de marzo de 2009

[Informática] Hasta donde es beneficioso AdSense

Hoy, gracias a una conferencia que dieron en la escuela, me he enterado de un fenómeno cuanto menos original. Se trata de un grupo de... frikis ¿porque no?, que han creado el proyecto GWEI (Google Will Eat Itself). Sí, tal como se lee: "Google se comerá a sí mismo".

Y es que el proyecto consiste en atraer a mucha gente, para que pulsen en los anuncios de AdSense que tienen en su página. Con esto pretenden conseguir dinero, hasta ahí todo claro, pero lo curioso del tema es el fin que le quieren dar a dicho dinero: Comprar acciones de Google.

Definitivamente, no hay que ser muy listo para darse cuenta del truco pero... cuántos de vosotros no os habéis preguntado "¿Por qué no se me habrá ocurrido antes?". Pues bueno, a aquellos que piensen seguirle los pasos, decirles que Google los ha pillado y está emprendiendo acciones legales contra ellos. No sé muy bien como va eso del juicio, pero siendo Google vs "2-frikis-con-ganas-de-dar-la-lata", creo que se intuye quién va a ser el ganador.

Bueno, el caso es al menos digno de mención, ya que le han echado agallas, originalidad y mucho humor al asunto (y cara dura, claro).

Ver la entrada completa

miércoles, 25 de febrero de 2009

[Informática] La fábula del pastor y el jefe de proyectos

En una de las asignaturas que estoy cursando, nos han encargado informarnos sobre el término Peopleware, con la intención de debatir en clase sobre el tema. Se trata de uno de los aspectos principales del desarrollo de tecnología informática. Hace referencia a todo lo relacionado con el rol de las personas en el desarrollo de sistemas software y hardware.

Hay un libro: "Peopleware: Productive Projects and Teams", que es la principal referencia sobre este tema. En este libro se habla básicamente, sobre cómo ser un buen jefe de proyectos, y tiene algunas premisas interesantes como: "el trabajo del Jefe de Proyectos consiste no en hacer que la gente trabaje sino en hacer posible que la gente trabaje"

Esta frase me recordó que hace unos meses leí una historia muy curiosa que encajaba perfectamente en ese tema. Se trata de "La fábula del pastor y el Jefe de Proyectos" (publicado en el blog de Rodrigo Corral). Que habla de un Jefe de Proyectos que encuentra a un pastor y despues de un curioso incidente intercambian sus puestos durante un tiempo, asegurando cada uno que haría mejor el trabajo del otro, con un curioso final.

Es una historia muy divertida y con la que se comprende muy bien la importancia del Peopleware o, dejando aparte los términos extraños, la importancia de un buen Jefe de Proyectos para el éxito de los mismos.

Ver la entrada completa

[Diseño Web] Para comenzar, una de webs alucinantes.

Hace unos días encontré este top 50 de las webs mas impresionantes del 2008.

Son 50 webs con un diseño muy trabajado, usando la mayoría de ellas unicamente CSS para los efectos, lo cual tiene aún mas mérito. Hay también algunas hechas en Flash que, como no, hacen cosas muy curiosas.

Personalmente, le cambiaría el orden a la lista, sobre todo porque algunas además de un diseño impresionante, han cuidado muchísimo la usabilidad y tienen un acabado muy conseguido.

Disfrutad de los diseños y tomad ejemplo, que competir con esto no va a ser nada fácil.

Ver la entrada completa

Declaración de intenciones

¡Saludos a todos los visitantes que acaben en este rincón de la web!

Hoy comienzo este blog de tecnología y frikadas varias. Soy un estudiante de Ingeniería Informática en la Universidad de Sevilla, y como tal, soy un fanático de la tecnología en general. Intentaré publicar aquí la resolución de los problemas (informáticos, sobre todo) con los que me he encontrado y me encontraré dia a dia en mis estudios y mis ratos libres.

Espero que os sea de mucha ayuda.

Un saludo.

Ver la entrada completa