La intención inicial del ACTA que ha de ser aprobada por el Parlamento a finales de febrero, hace responsable de la vulneración de derechos digitales a los proveedores de los mismos. De esta manera, quieren forzar a que sean los proveedores de contenidos los que censuren y controlen los contenidos que se ofrecen rompiendo con la neutralidad de la red y erigiéndose en auténticos censores de contenidos bajo pena de sanciones.

La Unión Europea y 22 de sus estado miembros, entre ellos España, han firmado hoy en Japón el tratado ACTA, cuya inicial negociación en secreto sublevó a la comunidad de Internet. Se trata de un acuerdo comercial que pretende combatir el tráfico de falsificaciones y la violación de la propiedad intelectual. [...] ACTA admitiría nuevas sanciones penales para obligar a los proveedores de Internet a vigilar los contenidos en Internet, lo que supondría, según sus oponentes, una merma en la libertad de expresión y un incremento de la inseguridad jurídica [...]

Frente a esta postura, la propia Asociación de Internautas defiende que la responsabilidad sobre los contenidos publicados recae en el autor y no en el medio y que por tanto las medidas no pueden ni deben centrarse en tomar represalias contra el canal utilizado.

El presidente de la Asociación de Usuarios de Internet, Miguel Pérez, coincide en lamentar que se “siga intentando que los operadores de red tengan la labor de policía”. “Nos preocupa mucho, ya que entendemos que no se está comprendiendo el funcionamiento de Internet”, declaró Pérez a Europa Press. Para éste, sería como pretender hacer responsable a un peaje de autopista de lo que se lleva en un coche que pasa por él.

• http://tecnologia.elpais.com/tecnologia/2012/01/26/actualidad/1327601242_933321.html
• http://www.adslzone.net/article7806-espana-dice-si-al-polemico-acta.html
• http://www.adslzone.net/article3919-internautas-y-operadores-muestran-su-rechazo-al-acta.html
• http://www.impre.com/la-gente-dice/viewArticle.action?articleId=281474978933421

Veamos pues, las fuentes  más recomendables que suelo referenciar en mis clases y que son un buen punto de partida para recabar información actual sobre Redes, Seguridad, Comunicaciones y Legislación en el ámbito de las comunicaciones informáticas y de datos. A ver si con este listado, los más despistados se ponen las pilas y se enteran de lo que se cuece en nuestro sector.

• http://bandaancha.eu/
• http://barrapunto.com/
• http://www.kriptopolis.org/
• http://www.genbeta.com/
• http://www.internautas.org/
• http://www.elladodelmal.com/
• http://www.securitybydefault.com/

La Casa Blanca acaba de anunciar que no apoyará una legislación que pueda servir para censurar actividades legales o inhibir la innovación, que rechaza cualquier legislación que incluya el bloqueo o filtrado de DNS, y que reclama la participación de todos los estamentos implicados.

Además, y muy relacionado con este tema de leyes que validan la censura, en nuestro ámbito contamos con la ya tristemente famosa Ley Sinde que entrará en vigor a partir de marzo. Para prepararnos, se anuncian unas cuantas medidas interesantes que nos ayudarán a evitar la censura del Estado (de Derecho?) sobre nuestras comunicaciones (privadas?). mencionamos a continuación los principales mecanismos:

• Cambio de DNS: Utilizar un DNS externo al estado español y que no esté bajo el control de compañías que puedan recibir presión por parte del gobierno.
• Navegación privada: A través de redes de anonimato como Tor o a través de servicios de proxy que eviten el bloqueo de ciertas direcciones IP desde territorio español.
• Recordar que la red no es Internet: Mediante el uso de aplicaciones P2P se integran diferentes servicios que al final construyen la red, de manera que su propia estructura no permite bloquear estos usos. Contamos con aplicaciones para intercambio de ficero e incluso buscadores que usan esta tecnología.
• Externalizar servicios: Una manera fácil de evitar legislaciones es llevar fuera de las fronteras de la censura los servicios web ofrecidos y por tanto entrar en legislaciones más permisivas con los derechos de los usuarios.

Mientras llega el momento de ver cómo se aplica el reglamento en cuestión, seguimos dándole vueltas a su inutilidad y potencial peligro como censor de contenidos más que protector de los derechos de propiedad intelectual. No desesperéis que todo llegará…

• http://www.tuexperto.com/2012/01/15/sopa-aplazada-a-obama-no-le-gusta-y-el-congreso-no-se-atreve/
• http://bandaancha.eu/articulo/8240/compartecultura-mejor-antidoto-leyes-antidescargas
• http://bandaancha.eu/articulo/8238/casa-blanca-paraliza-stop-online-piracy-act
• http://www.opennicproject.org/en/publictier2servers
• https://www.torproject.org/
• http://www.proxy-list.org/en/index.php

Evidentemente, si disolvemos los equipos de desarrolladores no tendremos grupos organizados que adapten y desarrollen las aplicaciones a cada una de las distribuciones. Cosa que en poco tiempo conducirá al abandono de las versiones personalizadas en favor de la distribución matriz que en casi todos los casos resulta ser Debian. En valencia se disolvió el departamento de desarrollo vinculado a la Conselleria de Educación este curso haciendo retornar a la mayor parte del equipo vinculado a sus centros educativos de origen, y hace nada, el proyecto pionero que era Linex en Extremadura como paradigma de la apuesta por el software libre, ya ha anunciado que va a cambiar su funcionamiento en favor de la rentabilidad migrando a un Debian real.

Con la llegada del nuevo año, hemos conocido el fallecimiento del proyecto GNU/LinEX. Se transfiere su mantenimiento al Cenatic, en lugar de ser llevado desde el Cesje. No es que sea una muerte por KO o por kiki, básicamente ya le han quitado la sonda que le hacía respirar y está dando sus últimos coletazos. Lo que pasa es que van a cambiar a Debian, con lo que mantener un duplo de la misma sería un tanto innecesario.

La verdad, es que siempre he visto extrañas las maniobras políticas alrededor de las distribuciones regionales de Linux. Con la excusa de proporcionar software libre, se han invertido muchos millones de € en personalizaciones de Debian de forma que en vez de aunar esfuerzos se ha dividido el esfuerzo y duplicado los gastos de gestión del producto. Ahora se ve el plumero del despilfarro y la tendencia es pasar a utilizar Debian directamente.

Como comenta Fernando Acero, España debería retomar el proyecto Rhodas tal y como otras naciones están haciendo. El caso mencionado es el de Rusia, que acaba de anunciar unas medidas para el  impulso de sistemas Debian con el objetivo de ahorrar a nivel de administración en coste de licencias. Un proyecto centralizado resulta más económico y sostenible, a la vez que unificamos sistemas y ahorramos en costes de mantenimiento y gestión de sistemas.

Para no dispersar los esfuerzos, algo que no hicimos bien en España, al “politizar” el software libre y dispersar esfuerzos por Comunidades Autónomas, los rusos han comenzado con lo que denominan Plataforma de Software Nacional (PSN), plataforma libre que sustituirá a Windows en los ordenadores de su Administración Pública y de las escuelas de enseñanza media obligatoria.[...] La idea del MAP era usar Debian GNU/Linux y aplicaciones libres o GPL, en lugar de las onerosas aplicaciones privativas que poblaban y pueblan las estaciones de trabajo de la Administración y en aquel momento censaron más de 8.000 paquetes de software. Con ello, se pretendía reducir los costes de las licencias a 0 €uros e invertir una parte del ahorro para la instalación, mantenimiento y adaptación de las aplicaciones.

Así pues, veo muy negro el futuro de las distribuciones regionales e incluso el cercano Lliurex que sufrimos en las clases de Secundaria todos los días tiene sus días contados. Imagino que el próximo curso podremos continuar con las instalaciones actuales pero el siguiente tendremos que buscar si o si alternativas que pasarán por instalaciones de Debian con los paquetes de idioma correspondientes. Todo llegará…

• http://amedioentender.blogspot.com/2011/12/los-tres-errores-fatales-de-la.html
• http://fernando-acero.livejournal.com/85490.html
• http://www.kriptopolis.org/muere-gnu-linex
• http://www.debian.org/

Evidentemente, existen servicios comunes que en caso de parar van a causar serios perjuicios a las empresas que los vienen usando: Gmail, Google Docs… En mi opinión, la amenaza va a ser limitada y pienso que no afectará a los servicios de empresas que pagan por dichos servicios, ahora bien, aquellas pequeñas empresas que usan APIs, Gmail o servicios puntuales como si fueran particulares van a tener una jornada de trabajo muy light. Lo curioso del caso será ver y cuantificar cuantas empresas en España han vendido su alma, digo, han creado dependencia de servicios de terceros. Veremos lo que pasa al final, pero me imagino a Nelson señalando a los incautos y lanzando su famoso: Ja ja!

El próximo 23 de enero podría producirse un hecho sin precedentes en la historia de Internet. Las grandes compañías de contenidos han amenazado con interrumpir todos sus servicios en caso de que el Gobierno de EEUU apruebe la ley SOPA. ¿Qué suedería un día sin los servicios de un gigante como Google?

• http://www.adslzone.net/article7656-consecuencias-apocalipticas-en-caso-de-que-google-pare-todos-sus-servicios.html
• http://www.generaccion.com/noticia/136629/gigantes-internet-dejarian-funcionar-protesta-contra-ley-sopa

¿Cómo proteger nuestros sistemas ante estos ataques? La primera medida es proteger el Grub contra la edición, ya que modificando los parámetros de las diferentes lineas de arranque podemos conseguir lanzar un terminal como administrador del equipo. Para ello se debe modificar la configuración de forma adecuada en función del gestor de arranque y sistema operativo que tengamos instalado. Podéis encontrar un tutorial en Laboratorio Linux pero básicamente se crea un usuario con contraseña y se asocia a cada entrada del grub a proteger. .

set superusers=”user1″
password user1 password1
menuentry "$1" –users user1 {

Recordad también de la necesidad de establecer una contraseña para el usuario root que viene deshabilitada instalar un equipo Ubuntu de modo que podría ser una vía de entrada sencilla al sistema. Activarlo con una password fuerte podría atenuar los intentos de intrusión.

The SuperUser can do anything and everything, and thus doing daily work as the SuperUser can be dangerous. [...] By default, the Root account password is locked in Ubuntu. This means that you cannot login as Root directly or use the su command to become the Root user. However, since the Root account physically exists it is still possible to run programs with root-level privileges. This is where sudo comes in[...]

Ahora que ya conocéis el ataque y la defensa pertinente, me gustaría destacar que la seguridad es una mera traba en estos casos. Cuando tenemos acceso físico al equipo, además de poder hacer tropelías con el software instalado para escalar permisos, disponemos del hardware y simplemente abriendo la máquina podríamos acceder al disco o cambiarlo a otro equipo como esclavo para acceder a los datos y modificarlos a nuestro gusto.

• http://www.youtube.com/watch?v=1ghrPgYWp4Y&feature=share&fb_source=message
• http://www.mikejr1.es/linux/index.php/-aula-linuxera-/-aula-linuxera-/30-aula-linux/3672-como-proteger-grub-con-una-contrasena-linux.html
• https://help.ubuntu.com/community/RootSudo

 La razón no es aumentar la dificultad del sistema, ni entorpecer a los usuarios. El fundamento es conseguir aunar millones de esfuerzos en el reto actual de reconocer textos escaneados para su paso a formato digital. El tiempo de los usuarios es utilizado para validar palabras que desconocen inicialmente y que los OCR no son capaces de reconocer actualmente. En definitiva, el sistema de reCaptcha nos ofrece una palabra que sabe decodificar y otra que no tiene clara. Al introducir la respuesta, estamos alimentando y ofreciendo un feedback valioso que pueden utilizar para aprender a reconocer nuevas palabras que los OCR no podían detectar antes. Me parece una idea genial que explota la potencia de la masa.

Luis von Ahn sigue metido en proyectos que aprovechen el esfuerzo masivo y su actual reto es conseguir una traducción válida de forma gratuita a través de cursos de idioma gratuitos. La idea básica es utilizar cursos gratuitos en los que los alumnos aprenden y a la vez, de vez en cuando, se incorporan algunas frases que deseamos traducir y que los alumnos completan como un ejercicio más. A través de las respuestas es posible conseguir mejores resultados de traducción para el objetivo de conseguir traducciones gratuitas de textos reales. El proyecto se llama Duolingo y os dejo el video con la charla. ¡Muy interesante!

• http://es.wikipedia.org/wiki/Captcha
• http://www.google.com/recaptcha
• http://duolingo.com/

Si analizamos los casos vemos una serie de características fundamentales en todos los casos expuestos. principalmente se da un entorno de empleado cabreado que usa su conocimiento de la empresa para hacer el mal.

• Conocimiento de contraseñas de administrador
• Conocimiento de la empresa y sus infraestructuras críticas
• Ejercicio de responsabilidades críticas sin supervisión
• Acceso y disponibilidad de material crítico sin supervisión

De hecho, desde un punto de vista técnico yo los definiría más de “accesos indebidos” que de hacks y nos sirven para ejemplificar algunas práticas necesarias que nos aportan seguridad:

• Establecer políticas estrictas de control y supervisión de actividades críticas. Depender de una persona te hace vulnerable y a más responsabilidad ejercida más dependencia.
• Establecer políticas de gestión de permisos de acceso y credenciales estrictos. Además de dar las altas deben cursarse las bajas y cambiar las contraseñas apropiadamente.
• Implantar sistemas o procesos que eviten puntos críticos en la información de la empresa. Guardar en diferentes sedes copias de seguridad, no permitir accesos físicos indebidos.
• Documentar y gestionar la información. Repartir las responsabilidades en grupos de trabajo de forma que el conocimiento del sistema no sea exclusivo y se minimice la dependencia. Forzar a que se documenten los cambios.

“/etc/init.d/”.$_ stop foreach (@coches); Sea una concesionario de coches de alquiler. Dichos vehículos están provistos por la empresa de un sistema que permite selectivamente apagar el motor de los coches si los compradores/o personas que los alquilan, no pagan a fin de mes las cuotas correspondientes. Un empleado de TI despedido decide que como medida de protesta, accede a los sistemas se la empresa (del cuál se sabe la contraseña) que permiten habilitar el mecanismo de corte de corriente de arranque de todos los coches de la flota.

Nuevo McMenu; ahora con WIFI (y celda) gratis: Otra compañía que despide a un individuo vengativo de malas maneras. El individuo decide atacar a su ex-compañía, intentando acceder mediante ataques de fuerza bruta o diccionario, a través de sistemas de conexión remota a las redes de la misma. Le cuesta tiempo y esfuerzo, pero finalmente logra acceder con un usuario válido. El tipo conoce perfectamente la infraestructura de la compañía y decide borrar del mapa 15 virtual hosts con información crítica de la compañía. Para realizar la fechoría utiliza una red wireless gratuita ofrecida por un McDonalds. De esta manera, el individuo pensó que sus acciones permanecerían en el mayor de los anonimatos. Quizá habría sido más fácil si hubiera pagado su McMenú con dinero en efectivo en vez de con su tarjeta de crédito, 5 minutos antes de llevar a cabo el ataque.

#./dominar_el_mundo.pl: Un empleado con solera, de los que llegó a ser la estrella de la compañía en su día, años atrás, harto de su actual situación en la que la sangre nueva lo ha ido apartando, piensa que próximamente va a ser despedido y decide planificar una venganza “le-gen-daria”.Durante el suficiente tiempo, el fulano en cuestión se va llevando a casa TODOS los backups realizados en cinta, y metódicamente va eliminando su contenido. Según se van haciendo backups nuevos, él los borra y vuelve a dejar las cintas en su sitio. Así, espera a que el momento del despido llegue… y éste, no tarda en llegar. Cuando esto pasa, antes de irse deja una bomba lógica (en 6 líneas) lista para activarse en determinada fecha y…. Fin de la historia. Efectivamente, se cepilló toda la información de valor de la compañía, y no hay backup. Por lo visto, fue el fin de aquella compañía… y bueno, también el del protagonista vengador de esta historia que se pegó tres años a la sombra y se le exigió el pago de una multa de – atención – “2 millones de dólares”.

• http://www.securitybydefault.com/2011/11/hackeos-memorables-it-crowd.html

El juez considera probado que Soto es el “autor de un producto tecnológico”, que pone a disposición de terceros “de forma onerosa o gratuita”. Un software que sirve para el intercambio de “datos de audio, instrumento no apto ‘per se’ para desproteger obra protegidas por los derechos de autor”.[...] Además, considera que “el hecho de facilitar [el intercambio de archivos] no es una actividad prohibida en nuestra legislación”, basándose en las sentencias de los casos Indice-web y elRincondeJesus. Fallos donde los magistrados consideraron que las páginas de enlaces no vulneran la propiedad intelectual. En este caso, sin embargo, no se considera a Soto prestador de servicio sino creador de un programa de ordenador.[...] David Bravo y Javier de la Cueva, abogados de Pablo Soto, han manifestado a este diario su satisfacción por la sentencia (disponible en sus páginas en este y este otro enlace): “Es importante que se vayan ganado casos contra empresas que quieren impedir el desarrollo tecnológico.

• http://www.elpais.com/articulo/tecnologia/Justicia/absuelve/Pablo/Soto/creador/programas/P2P/elpeputec/20111219elpeputec_7/Tes

Stop Online Piracy Act, para los amigos SOPA, es el proyecto de ley presentado en el Congreso de los Estados Unidos para poder cerra cualquier sitio web sospechado de contener material que viole los derechos de autor o propiedad intelectual de su propietario original y que estén siendo utilizados sin su consentimiento.[...]Ningún sitio quedará exceptuado de una posible infracción ya que el texto de la ley indica que los dos principales grupos de candidatos a ser bloqueados por infracción a esta ley serían, por un lado los infractores directos, aquellos sitios que distribuyan contenidos con copyright sin autorización de los propietarios (imágenes, música, videos, textos), quienes faciliten el uso de esos contenidos distribuídos (cracks, seriales, etc) y quienes provean herramientas que faciliten la descarga de estos contenidos ilegales (megaupload, megavideo, etc).

Como muestra de lo que podría acontecer, tenemos el famoso caso de Rojadirecta. A través de Verisign e ICANN se bloquea el acceso a una página no ubicada en terreno USA imponiendo su ley de censura a otras administraciones. Podemos ller toda la historia en un magnífico artículo de Enrique Dans:

El bloqueo a Rojadirecta se efectúa a través del sistema de registro de dominios, utilizando para ello a una empresa norteamericana, Verisign. Esta empresa es la entidad certificada por ICANN, la Corporación de Internet para la Asignación de Nombres y Números, una organización sin ánimo de lucro radicada en California y que opera bajo las leyes de dicho estado. Y de ahí procede precisamente el problema: dado que los Estados Unidos, a instancias de una serie de derechohabientes, no puede proceder contra los servidores que alojan a Rojadirecta, lo que han hecho es proceder a través del sistema de asignación de nombres de domino a través de Verisign e ICANN, que sí están bajo jurisdicción estadounidense.

• http://www.elpais.com/articulo/tecnologia/proposicion/ley/EE/UU/subleva/comunidad/mundial/Internet/elpeputec/20111117elpeputec_2/Tes
• http://www.fayerwayer.com/2011/11/ley-sopa-un-peligro-para-la-libertad-de-expresion-en-internet/
• http://americancensorship.org/infographic.html
• http://www.enriquedans.com/2011/02/rojadirecta-y-la-justicia-universal.html