DreamHost migra de Debian a Ubuntu

La semana pasada recibí un mail de DreamHost (donde tengo alojada esta página y algunas otras) avisándome que el servidor donde está alojada mi cuenta se iba a actualizar a Ubuntu 12.04.

DreamHost es un proveedor de hosting compartido muy barato (cuanto más lo usás, más barato es ya que tiene un precio fijo de alrededor de US$9 por mes y no tiene límites en cuanto a cantidad de dominios, cuentas de mail, bases de datos, espacio en disco, etc). Una de las cosas que siempre me gustó es que tienen una política bastante abierta en cuanto a problemas generalizados en su sitio DreamHost Status y que los servidores tenían instalado Debian (que era la distribución que yo usaba) y te daban acceso a un shell y no sólo a través de FTP.

Dada la cantidad de servers que tiene DreamHost (entiendo que son decenas de miles), los upgrades de los sistemas operativos de cada uno de estos servidores (que, a su vez, tienen varios cientos de usuarios cada uno) es algo que encaran con bastante cuidado.

Yo recuerdo el upgrade de Debian 3.1 (sarge) a Debian 4.0 (etch) que fue el primero que me tocó vivir y que se hizo bastante tiempo después del release original de etch. Luego hubo otros upgrades a los que les presté menos antención.

La sorpresa este fin de semana fue que en lugar de avisarme que hacían el upgrade de Debian 6.0 (squeeze) a Debian 4.0 (wheezy), el upgrade era a Ubuntu 12.04 (Precise Pangolin).

From Debian To UbuntuMe puse a revisar el blog de DreamHost y encontré esta entrada de hace más de un año donde explican los motivos del cambio.

Uno de los problemas que tiene Debian es que su ciclo de lanzamientos (release cycle) es irregular y el lanzamiento se hace «cuando está listo». El otro problema (y el más grave para DreamHost es que una vez que sale una nueva versión de Debian, la versión anterior tiene soporte durante alrededor de un año.

Por el contrario, Ubuntu tiene un ciclo regular de lanzamiento de versiones cada seis meses (en abril y octubre de cada año) y, si bien el tiempo de soporte de una versión «común» es de sólo nueve meses luego de publicada, cada dos años (en abril de los años pares) se publica una versión que se llama de Soporte por un largo período (Long Term Support – LTS). Ubuntu garantiza el soporte de cada release LTS por cinco años desde el lanzamiento, con lo cual, una vez que sale una nueva versión LTS, la versión anterior todavía tiene una vida útil con soporte por tres años más. Esto le brinda a DreamHost un período largo y previsible para hacer los upgrades en forma pausada y controlada.

De hecho cuando el 14 de septiembre de 2014 comenzaron las migraciones de Debian 6.0 a Ubuntu 12.04, ya existía una nueva versión 14.04 LTS (Trusty Tahr), sin embargo, la versión que DreamHost tiene probada (porque empezó a hacerlo a mediados de 2013) es la 12.04.

El domingo pasado se produjo la actualización de mi host y, a propósito, dejé una terminal abierta con un par de comandos significativos el domingo a la tarde:


baby@dellores:~ $ ssh upson.dreamhost.com
                         
  _  _ _ __ ___ ___ _ _  
 | || | '_ (_-</ _ \ ' \ 
  \_,_| .__/__/\___/_||_|
      |_|                
 Welcome to upson.dreamhost.com

Any malicious and/or unauthorized activity is strictly forbidden.
All activity may be logged by DreamHost Web Hosting.

baby@upson:~ $ w
 13:19:28 up 209 days, 26 min,  1 user,  load average: 3.17, 5.78, 7.80
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
baby@upson:~ $ cat /etc/issue
Debian GNU/Linux 6.0 \n \l

baby@upson:~ $ lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 6.0.6 (squeeze)
Release:	6.0.6
Codename:	squeeze
baby@upson:~ $ uname -a
Linux upson 2.6.32.45-grsec-2.2.2-r3 #8 SMP Mon Oct 10 13:33:17 PDT 2011 x86_64 GNU/Linux
baby@upson:~ $ 
Broadcast message from root@upson (Sun Oct  5 20:42:19 2014):

The system is going down for reboot NOW!
Connection to upson.dreamhost.com closed by remote host.
Connection to upson.dreamhost.com closed.

y el lunes a la mañana volví a conectarme y probé los mismos comandos:

baby@dellores:~ $ ssh upson.dreamhost.com
                                   
                                   
 m   m  mmmm    mmm    mmm   m mm  
 #   #  #" "#  #   "  #" "#  #"  # 
 #   #  #   #   """m  #   #  #   # 
 "mm"#  ##m#"  "mmm"  "#m#"  #   # 
        #                          
        "                          

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

baby@upson:~ $ w
 09:24:32 up  8:03,  1 user,  load average: 5.28, 5.06, 5.05
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
baby@upson:~ $ cat /etc/issue
Ubuntu 12.04.5 LTS \n \l

baby@upson:~ $ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 12.04.5 LTS
Release:	12.04
Codename:	precise
baby@upson:~ $ uname -a
Linux upson 3.2.61-grsec-modsign #1 SMP Tue Aug 12 09:58:26 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
baby@upson:~ $ 


En principio todo lo razonable funciona OK. Tuve (como con cada upgrade) algún problema con la wiki que instalé a mano y que es afectada por los upgrades de Python (esto me pasaba también con los upgrades de Debian), pero supongo que lo arreglaré en estos días.

¿Pásguord? ¿Guat pásguord?

Aprovecho que mi amigo Mauricio me conminó a escribir algo por él utilizando el clásico método del halago en un comentario de féisbuc para revivir este blog con un articulito corto y conciso. password security

La pregunta es ¿cómo elegir una buena password? Si uno no está utilizando ninguna ayuda tecnológica para guardar las claves que uno utiliza en distintos lugares como KeePass, LastPass o 1Password (cosa que recomiendo fervientemente, pero es tema para otro artículo), las passwords deberían ser fáciles para uno de recordar (y tipear) y difíciles de adivinar para una computadora que podría tener alguna información sobre vos.

Sin hacer ni remotamente un análisis serio sobre el tema, valga decir que, en principio, cuanto más larga es una clave, más difícil es de adivinar por una computadora, al menos utilizando un mecanismo de fuerza bruta (esto es, probar a lo bestia combinaciones de caracteres hasta dar con uno que funcione).

¿Cómo adivina una clave una computadora?

Si bien hay varias formas, el método más simple para una computadora para adivinar claves es aprovecharse de la velocidad de cálculo de la computadora y utilizar lo que se llama mecanismos de fuerza bruta.

En su forma más básica sería ir probando en orden:

  • A
  • AA
  • AB
  • AC
  • AD
  • AZ
  • B
  • BA
  • BB
  • ..

Eventualmente, va a encontrar todas las combinaciones posibles. Podría empezar en «AAAAAAAA» suponiendo que la longitud mínima es ocho caracteres. Con este método, utilizado en forma pura queda claro que, cuanto más larga es nuestra clave, más difícil es de descubrir.

Con una ayudita del atacado

En general el mecanismo de fuerza bruta puro casi no se utiliza o se deja como último recurso, ya que la gente tiende a utilizar palabras comunes o datos más o menos personales.

Posiblemente lo peor que uno pueda hacer es utilizar una palabra común como password ya que, por más larga que sea, lo más posible es que esté en un diccionario, ya sea «gastroenterologo», «prestidigitation», «Иллюзионист» o «טראַפּעז» y la computadora puede probar con todas las palabras de todos los diccionarios que tenga, rápidamente.

Muchas computadoras cuentan, además, con información que nosotros les dimos, ya sea directa o indirectamente, consciente o inconscientemente como ser, nuestra fecha de nacimiento, nuestro aniversario de bodas, nuestro número de documento, los nombres de nuestros hijos, mascotas, cónyuges, amantes, padres, primos, etc.

Una clave más larga que…

Una primera opción sería poner claves muy largas pero que nos sean fáciles de recordar, como ser un par de versos de una canción o una poesía que nos gusta, una línea de un personaje en una película, etcétera, por ejemplo: «Muchacha ojos de papel, no corras mas, quedate hasta el dia» o «Me parecio ver un lindo gatito, Es cierto! es cierto! He visto un lindo gatito».

Una condición para poder utilizar este tipo de claves es ser un buen tipista, como su servidor, ya que si uno no fue a la Pitman y sólo tipea con dos dedos buscando durante dos segundos la mitad de las letras en el teclado, ingresar la clave va a ser una tortura. Por otra parte, aun tipeando treinta palabras por minuto o más, si la clave se utiliza con cierta frecuencia o se debe ingresar en un dispositivo móvil con un teclado virtual en una pequeña pantalla que no se presta a la velocidad, termina siendo también una tortura.

En mi caso, yo utilizo estas claves muy largas para guardar otras claves dentro de KeePass o para guardar las claves privadas que me dan acceso desde mi computadora a otras sin tipear la clave, es decir, que una clave muy larga tipeada una vez, me da acceso a un montón de lugares sin volver a tipear una clave durante una sesión.

Cortala un poco, querés

Otra posibilidad, para no desgastar tanto los dedos es utilizar una clave más corta (sin exagerar, en principio una clave jamás debería tener menos de ocho o diez caracteres) es utilizar el mismo mecanismo de memoria, pero abreviarlo como proponía Mauricio en su comentario, poniendo sólo las letras iniciales de esas palabras. Así nuestros ejemplos podrían pasar a ser «Modp,nc+,qhed» y «Mpv1lg_Ec!ec!hv1lg». Notar que estas claves, si bien tienen una longitud más corta que las otras, sólo pueden ser atacadas con un mecanismo de fuerza bruta en el que las «ayudas» que pueda tener dicho mecanismo que vimos más arriba como ser: buscar palabras comunes de un diccionario primero, o utilizar datos significativos si se sabe algo de ustedes como fecha de nacimiento, aniversarios, números de documentos o nombres de las mascotas; serían inútiles.

Qué teclas usar (y cuáles no)

Conviene que la clave tenga una combinación de letras mayúsculas y minúsculas, números y quizás algun símbolo (como un punto, un espacio en blanco, un guión, etc). En algunos casos, hay sitios de internet que nos obligan a utilizar esto; cada vez es más común que si la clave no tiene al menos una letra mayúscula, una letra minúscula, un dígito numérico y al menos ocho caracteres, el sitio no la acepte cuando la tratamos de crear.

Dicho esto, hay caracteres que es conveniente evitar ya que no todos los sistemas los interpretan igual: las letras con acento, la eñe, los símbolos de apertura interrogación y admiración y otros que no están entre los que son comunes a todos los idiomas.

El problema con estos caracteres es que si bien existe y normalmente se utiliza un estándar internacional que soporta todos los caracteres utilizados en todos los idiomas en uso, no siempre esto está bien configurado en los servidores y en los clientes, y la posibilidad de que en algún momento tengamos que tipear la clave en una computadora, tableta o teléfono que no esté bien configurado y en consecuencia no podamos ingresar la misma correctamente es motivo suficiente para evitarlos.

Una lista razonable de los caracteres que conviene usar en una password es:

  • Todas las letras mayúsculas y minúsculas del alfabeto inglés (o, si preferimos no hacer referencia a otro idioma, del alfabeto español sin la eñe)
  • Los diez dígitos del 0 al 9
  • El punto, la coma, punto y coma, dos puntos, paréntesis, corchetes, llaves, guión bajo, signos más, menos e igual, barras diagonales y vertical, asterisco, porcentaje, numeral, signo pesos, arroba, signo de admiración e interrogación que cierra (no el que abre), signos de menor y mayor, el símbolo ampersand y el espacio en blanco

Hay que tener cuidado con las comillas dobles y simples (ya que, a veces se transforman en comillas orientadas, que diferencian la que abre de la que cierra), los guiones, que a veces se transforman en guión «ancho» o doble, etc.

Finalmente se terminó haciendo un poco largo, pero espero que la nota todavía sea legible por cualquiera.

The Oatmeal – «una de abogados»

Esta nota comenzó como un pequeño post en Google+ hace unos días, sin embargo, la historia sigue creciendo alocadamente. Como ya no daba para seguir agregando información en ese post, me decidí a escribir un resumen de lo que voy leyendo del tema.

No sé si conocen The Oatmeal. Es una página de humor (en inglés y usualmente intraducible) que tiene desde comics tontos (pero divertidos) hasta observaciones agudas sobre el manejo del copyright en internet, pasando por alabanzas a científicos que lo merecen.

Capítulo 1: Masticando bronca

El autor, Matthew Inman, se quejó hace alrededor de un año (mediados de 2011) de que un sitio llamado FunnyJunk.com, cuyo contenido consiste en cosas graciosas subidas por sus usuarios, tenía copia de prácticamente todo el contenido de The Oatmeal, sin links al sitio de origen y, en muchísimos casos, con el texto que referencia a su autor borrado (esto es generalmente en un dibujo, para lo cual es necesario editar la imagen y borrarle las referencias, no es algo que «te olvidaste de copiar«.

En ese post, Inman describe el «modelo de negocio» de FunnyJunk.com de la siguiente manera:

  1. Buscar imágenes divertidas en internet
  2. Alojarlas en FunnyJunk.com
  3. Desparramarle publicidad por todos lados
  4. Si alguien reclama por infracción al derecho de autor (Copyright) levantar los brazos al aire y exclamar «¡Fueron nuestros usuarios quienes subieron tus imágenes! ¡Nosotros no tenemos nada que ver! ¡Somos inocentes!«
  5. Cobrar cheques de seis dígitos (en dólares) por poner publicidad sobre el material de otros artistas

En esa misma nota dice que alrededor de un año antes (supongo que a mediados de 2010) se puso en contacto con los administradores de FunnyJunk.com quejándose de varios comics de su autoría que habían sido subidos allí sin darle crédito ni poner un link hacia su sitio. Si bien sacaron esas imágenes, durante el año transcurrido desde entonces hasta el momento de ese post, habían subido practicamente todo el contenido de The Oatmeal a FunnyJunk.com.

Aquella queja de Inman era más bien retórica… se preguntaba si debía enviar órdenes de «cesar y desistir» cada vez que encontrase imágenes cuyos derechos le pertenecían, pero termina diciendo (más o menos): «Entiendo que tratar de atacar las violaciones del derecho de autor en internet es más o menos como adentrarse en la jungla vietnamita en 1964 y pedirles a todos que por favor utilicen pistolas de agua. Sé que si FunnyJunk desaparece, apareceran otros cincuenta clones del sitio al día siguiente, pero sentía que tenía que decir algo acerca de lo que están haciendo«.

Capítulo 2: La venganza de FunnyJunk

A los pocos días de publicado ese post, Matthew Inman publicó otro, contando que el administrador de FunnyJunk envió un mensaje a cada uno de sus usuarios que decía más o menos lo siguiente:

¡The Oatmeal quiere demandar a FunnyJunk y cerrar el sitio! Él cree que sólo somos sucios ladrones de contenido, que FJ no tiene miembros reales y que sólo es un robot que roba contenidos.

Andá a http://funnyjunk.com/funny_pictures/2156824/The+Oatmeal+hates+us/

¡Contactá a Oatmeal de la manera que puedas!

aquí http://theoatmeal.com/pages/contact
y aquí http://www.facebook.com/theoatmeal

¡Mostrale estos links!

Inman cuenta que su casilla de mensajes y su cuenta de facebook se lleno con miles de mensajes de usuarios de FunnyJunk puteándolo en todos los idiomas. Contestó los mensajes con esta carta.

El administrador de FunnyJunk quitó todo el contenido que decía «The Oatmeal» en el título, pero no las copias que que no lo tenían (es decir, las que ni siquiera nombraban el origen del contenido). En el post, Inman le pasa una lista del material copiado de su sitio que en ese momento permanecía alojado en FunnyJunk.

A los usuarios de FunnyJunk les dice: «Nunca tuve planes de demandar a FunnyJunk ni cerrarlo; sólo pedí que borren los comics que me robaron – su administrador es un tarado que elige sus palabras con el mismo cuidado que una mula elige dónde cagar«.

Capítulo 3: La carta de Carreon en nombre de FunnyJunk

Los primeros días de junio, Matthew Inman recibe una carta de Charles Carreon, abogado teóricamente especialista en internet que obtuvo fama en el caso del dominio sex.com.

La carta acusa a Inman de difamación (debido a los posts anteriores) y lo intima a borrar toda referencia a FunnyJunk de su sitio y ¡pagarle a FunnyJunk la suma de US$ 20.000! en concepto de resarcimiento o algo así.

Capítulo 4: «Mirá lo que hago con tu carta y la guita»

Si bien, cualquier estadounidense medio habría reculado ante una amenaza legal así, dado que está en un sistema donde aun cuando tengas razón, tenés que gastar un fangote de guita en honorarios de abogados para defenderte de un ataque así, el amigo Inman, por decirlo de algún modo, se la mandó a guardar.

Inman, en ese post comienza comentando el contenido en general de la carta (y pone el link a la misma) y dice:

No quiero entramparme en el sinsentido de los tribunales. No quiero pagarle guita a mi abogado. ¿No extrañan la época en la que posteaba dos comics por semana en lugar de estar refutando a Forbes y tratando con mierda como esta?

Yo también.

A continuación anota y comenta el contenido de la carta para pasar a la sección en la que explica cómo va a tratar este tema:

¿Ustedes quieren que YO les pague a USTEDES US$20.000 por hostear MIS comics sin licencia en SU sitio de mierda durante los últimos tres años?

No, Tengo una idea mejor:

  1. Voy a tratar y juntar US$20.000 en donaciones
  2. Voy a sacarle una foto al dinero obtenido
  3. Les voy a enviar por correo esa foto junto con este dibujo de su mamá seduciendo a un oso Kodiak
  4. Your mother and the kodiak bear

  5. Voy a agarrar el dinero y donar la mitad a la National Wildlife Federation (Federación Nacional por la Vida Silvestre) y la otra mitad a la American Cancer Society (Sociedad Norteamericana del Cáncer).

FunnyJunk:

No quiero escribir replicas como esta nunca más.

No quiero pasar el próximo año atado en mierdas legales con ustedes.

Sólo quiero hacer comics.

Consideren que esta es mi forma filantrópica y de espíritu amable de decirles: ¡Váyanse a la mierda!

Y armó una colecta en indiegogo a la que llamó: «AmarOsos Bueno. Cáncer Malo (BearLove Good. Cancer Bad)» en la que solicita donaciones para juntar los US$20.000 y hacer precisamente lo que dijo.

Éxito de la colecta

Los US$20.000 que eran el objetivo de la colecta los juntó en los primeros… ¡¡64 minutos!!. Uno o dos días después ya había juntado más de US$100.000 y mientras escribo esto (el 20 de junio) lleva más de US$200.000 (la colecta termina a medianoche del 25 de junio).

Capítulo 5: El boga se puso de la chapa

Si bien el abogado Charles Carreon se define a sí mismo como especialista en internet, claramente no conoce cómo funciona internet socialmente. En lugar de joderse, callarse la boca y esperar que el asunto se desvanezca lentamente, ignorante del llamado «Efecto Streisand«, echó más leña al fuego e inició él mismo en su nombre (no ya de su cliente, FunnyJunk, que posiblemente haya preferido recular antes de meterse en un berenjenal inmanejable) una demanda insólita en donde no sólo demanda a Matthew Inman y el sitio The Oatmeal, si no también a indiegogo y (descabelladamente) ¡a la National Wildlife Federation y la American Cancer Society! amén de «otros no nombrados aún» que incluye a quienes, según él, han intentado hackear su sitio y le han enviado mensajes de odio y amenazas y hasta creado perfiles apócrifos en twitter (@Charles_Carreon, @CharlesCarreon, etc).

Carreon publicó la demanda en su propio sitio y sigue adelante con ella contra toda lógica.

Decenas de abogados se ofrecieron a defender a Inman pro bono, sin embargo, silenciosamente, Inman convocó a Venkat Balasubramani para responder legalmente a la demanda.

Bibliografía

La historia, desde el punto de vista legal, la están siguiendo varios blogs dedicados al (abuso del) derecho.

En particular, Ken White, un abogado de California que mantiene un blog que solía ser anónimo llamado PopeHat escribió una serie de (hasta hoy) cinco artículos sobre el tema (lamentablemente, están en inglés y no tengo el tiempo ni la capacidad para traducirlos):

  1. The Oatmeal v. FunnyJunk, Part I: Hey, Did Somebody Say Something Was Going On With The Oatmeal? (Hey ¿Alguien dijo que pasaba algo con The Oatmeal?)
  2. The Oatmeal v. FunnyJunk, Part II: How Dare You! That’s The Wrong Kind of Bullying! (¡Cómo te atrevés! ¡Esa forma de acoso está mal!)
  3. The Oatmeal v. FunnyJunk, Part III: Charles Carreon’s Lifetime-Movie-Style Dysfunctional Relationship With the Internet (La relación disfuncional de toda la vida «como en las películas» de Charles Carreon con internet)
  4. The Oatmeal v. FunnyJunk, Part IV: Charles Carreon Sues Everybody (Charles Carreon demanda a todos)
  5. The Oatmeal v. FunnyJunk, Part V: A Brief Review of Charles Carreon’s Complaint (Una breve reseña de la demanda de Charles Carreon)

Kevin Underhill tiene un blog llamado Lowering the bar (Legal humor. Seriously) que podría traducirse como «Bajar la barra (Humor legal. En serio)» (también incluye un juego de palabras porque la Barra es el equivalente estadounidense al Colegio de Abogados). En su blog publicó estas notas acerca del caso:

Esta historia ya tiene una entrada en Wikipedia (bien podría ponerme a traducirla para Wikipedia en español).

Bang Beng ¿BING? Bong Bung

OK, yo no entiendo el negocio… nunca supe de negocios, pero Microsoft parece determinado a tener su propio motor de búsqueda en Internet.

El nombre es BING. Lo probé un ratito y no parece tener nada muy emocionante ni ser más práctico que el de Google.

Es posible que sea una gran mejora para el Live Search (el motor anterior de búsqueda de Microsoft), pero, al menos a simple vista, no parece agregar mucho (más bien nada) a quienes usamos Google como nuestro principal motor de búsqueda.

Quizás eso es todo lo que Microsoft necesita… tener un motor aceptable (no malo), ponerlo como página por default en todos los Internet Explorer (inclusive que en cada upgrade el usuario deba manualmente deshabilitar que le cambie la página home a www.bing.com) y listo… una estrategia semejante a la que utilizó el Internet Explorer para desplazar a su entonces archirrival Netscape Navigator siendo este un producto bastante mejor a la vista de quienes probábamos ambos navegadores.

Sin embargo, lo que me preocupa es otra cosa. Desde hace unos 10 años se conocen los googlebombs que es un mecanismo que, dado un grupo de webmasters o bloggers que se pongan de acuerdo (o bots que trabajen bastante bien), consiguen hacer que la búsqueda en google de una frase en particular de como primer resultado una página determinada.

En 2003, la búsqueda de “armas de destrucción masiva“ apuntaba a una página que simulaba un error de explorer diciendo que no podían encontrarse armas de destrucción masiva.

Pero este proceso requiere de un esfuerzo combinado y un par de semanas para lograr el resultado deseado.

No tengo idea de cuál es el algoritmo de indexación de Bing, pero evidentemente es mucho más fácil de subvertir que el de google.

Bing salió a la calle oficialmente el miércoles 3 de junio de 2009. Ese mismo día leí en Tecnozona una nota que hacía referencia a ciertas búsquedas que daban resultados graciosos o indignantes según de qué lado del mostrador estuviese uno parado.

Si buscamos (en páginas de Argentina) ciertas palabras o frases da los siguientes resultados:

Lo sorprendente no es que hayan logrado hacer una especie de bingbomb si no que haya requerido tan poco trabajo (estuvo en línea en forma prácticamente simultánea con el lanzamiento oficial del buscador) y luego de cinco días, hoy (lunes 8 de junio) siguen todas las búsquedas funcionando tal cual… es más, muchas de ellas llegan al primer puesto aun cuando no se busquen específicamente en páginas de Argentina.

La historia (de internet) por sus protagonistas

Pete (un pibe a la que alguna gente se refiere como Jorge Amodio) es una de las cinco o seis personas profundamente involucradas en el nacimiento de internet en Argentina… en la época en que ni siquiera se podía bajar pornografía… de hecho, no existía la web… en esa época usábamos internet para escribir mails, compartir información en los grupos de usenet o subir y bajar archivos y software via ftp.

El tema es que Pete está armando un site con la historia de Internet en Argentina (por ahora sólo está en línea el blog)… por suerte cuenta con un padre que le ha guardado papeles, cintas y cachivaches durante añares y ahora se puso a desempolvarlos y armar una historia fascinante

Recomiendo a los interesados en la ciberarqueología, suscribirse al canal RSS yo ya lo hice, y es una alegría cada vez que encuentro novedades allí.

Discutiendo sobre el cambio de hora

En base a lo que está pasando con el cambio de hora en Argentina y su aplicación en computadoras con unix o linux, apareció esta nota en el blog de Ricardo Goldberger que incluía un comentario del Buanzo que yo contesté más abajo.

Hoy Ricardo publicó una respuesta de Buanzo en la que dice que la única forma razonable de publicar información en tzdata es hacerlo únicamente cuando se esté totalmente seguro de que la información es cierta.

¿Pero quién tiene que estar seguro y quién se ocupa de que la información segura llegue a tiempo a los equipos?

Por suerte, tanto Buanzo como yo usamos sistemas abiertos con lo cual podemos ocuparnos nosotros mismos y cagarnos en el resto del mundo

Supongamos que Olson y Eggert (a quienes no conozco personalmente, pero los respeto por el laburo que hacen y les tengo aprecio porque hacen un laburo que a mi me sirve sin que yo se los pida o les pague por ello), deciden seguir la recomendación que Buanzo (y otra gente en distintas listas y sitios de seguimiento de bugs) recomienda…

Es más, supongamos que Olson y Eggert viven día y noche pendientes de todos los Boletines Oficiales de todos los países (y divisiones políticas en el caso de los países federales como el nuestro) y aparte entienden todos los idiomas (incluídas las versiones legaleese de cada uno de ellos)… en ese caso, podemo suponer que ayer (jueves 16 de octubre) a la mañana (hora argentina) leyeron el Decreto 1693/2008 en el Boletín Oficial y recién ahí modificaron en el tzdata los datos para este verano para toda la Argentina (es lo que dice el Decreto ese) y lo publicaron.

Eso pone (o debería poner) en marcha las actualizaciones de los paquetes en las distintas distros de unix, linux, etcéteras… Por más crítica que consideremos la hora de nuestros servidores, sospecho que los maintainers del paquete tzdata de cada distro no van a dejar todas sus ocupaciones por un update que no consideren crítico ellos (al menos desde el punto de vista de seguridad/intrusión/etc)… con lo cual, la modificación podría aparecer en los repositorios de cada distro con viento a favor durante la semana que viene… o sea, que a partir de las 0 de este domingo, todos los equipos tendrían mal la hora.

Ahora bien, hoy (17 de octubre, un día peronista) a la mañana, resulta que por suerte Olson y Eggert tampoco tienen nada mejor que hacer que leer el Boletín Oficial de Argentina, se encuentran con el Decreto 1705/2008 que dice que doce provincias no van a aplicar el horario de verano… supongamos que en el medio tuvieron la suerte de no leer el Boletín Oficial de Mendoza de ayer jueves 16 de octubre, donde salió la Ley Provincial N° 7.955 que establece que Mendoza utiliza los husos horarios UTC-03:00 y UTC-04:00 y le deja al Poder Ejecutivo Provincial la elección de cuándo usa cuál (no se gasta en aclarar qué piensan hacer esta misma semana, por ejemplo)…

Entonces hoy agarran y vuelven a modificar los datos y sacan una nueva versión de tzdata… y vuelta a comenzar la ronda de updates en el downstream de cada distro… ¿cuándo estarán listas? ¿hoy a la tarde? ¿mañana? ¿el lunes? (ya nos pasamos de las 0 del 19).

La cuestión es que, sea su potestad o no, mientras las autoridades sigan publicando la información oficial con 30 nanosegundos de anticipación a los hechos, la probabilidad de tener mal los datos, por demoras de implementación o por haber hecho una mala presuposición es significativamente cercana a 1.

La gente que está enojada con alguien más que no sean ellos mismos porque el 5 de octubre les cambió la hora de las máquinas, si las cosas se hubieran hecho como ellos dicen, tendrían mal la hora el próximo domingo. ¿Por qué? Porque, claramente, es gente que delega la observación de los cambios de hora en los maintainers de su distribución, y estos maintainers, al menos una vez, demoraron más de quince días en actualizar esa información desde que la tuvieron disponible.

Si los maitainers del tzdata de la distro que estén usando hubiesen sido suficientemente diligentes, para el 5 de octubre ya habrían tenido distribuido el tzdata2008f que se publicó el 15 de septiembre y que corría la fecha del cambio.

Ahora, en el mundo real, Olson y Eggert trabajan de otra cosa y le dedican el tiempo que pueden o quieren a mantener la base de datos tzdata (y el código que la procesa) actualizados… no sé cuántos idiomas hablan además de inglés, pero sospecho que no están leyendo diariamente el Boletín Oficial de la República Argentina. Entonces dependen de que alguien les pase información, intentan ver cuán razonable es y en base a eso deciden incluir una modificación en algún momento.

Si bien el sistema dista de ser perfecto, al menos tiene un buen punto de referencia que es la lista de correo donde se discuten todas estas cosas en forma pública y abierta.

Cualquiera puede participar por más que (como yo) no conozca el funcionamiento interno del paquete tzdata y apenas entienda el formato de la base de datos e inclusive gente que ni siquiera sabe eso, pero puede participar y dar su opinión acerca de la verosimilitud de una información que les concierne y la razonabilidad de aplicar un cambio o no en la base de datos.

La ventaja adicional de participar es que uno se entera de primera mano cuándo hay una actualización de datos y qué contiene y, en base a eso puede decidir aplicarla antes de que llegue a los repositorios de su distribución o puede decidir no aplicarla porque está en desacuerdo (y evitar hacer la actualización una vez que la actualización llegue a los repositorios de la distro).

De lo que yo me quejaba hace unos días no es de que la base tzdata estuviera mal o que la versión en el repositorio de Ubuntu estuviera desactualizada si no de que yo mismo me dejé estar y no estaba leyendo la lista por lo que no me dí cuenta del primer error (de tener el cambio del primer domingo de octubre) ni de que el mismo se había subsanado (mal para algunos) como para ponerme a romper para que el cambio llegue a mi Ubuntu y si no, de última, actualizarlo yo a mano y listo.

La situación hoy es la siguiente: todos los sistemas operativos que estén con la versión tzdata2008f, g, o h y estén en la Ciudad de Buenos Aires o en las Provincias de Buenos Aires, Córdoba, Chaco, Corrientes, Entre Ríos, Formosa, Misiones, Jujuy, Tucumán o San Luis, tienen la hora bien y la van a cambiar (o no cambiar en el caso de San Luis) bien el próximo domingo (suponiendo que entre los Decretos 1693/2008 y 1705/2008 cubren todo y no hay alguna Provincia que decida no acatarlos).

Quienes estén en las Provincias de La Pampa, Catamarca, Chubut, La Rioja, San Juan, Mendoza, Santa Cruz y Tierra del Fuego deberán hacer algo para que no les cambie la hora este domingo 19 de octubre.

Podrían poner a lo bestia la zona horaria Etc/GMT-3 o utilizar America/Argentina/San_Luis (aunque si miran datos viejos, van a estar mal los relojes entre enero y marzo de 2008 ya que San Luis volvió a UTC-3 antes que el resto del país).

La otra variante es utilizar temporalmente la receta que publiqué ayer y actualicé hoy hasta que se actualice tzdata y esa actualización llegue a cada distribución.

Llamado a la solidaridad

Este es un llamado a la solidaridad para con nuestros sysadmin hermanos de provincias cuyanas y otras del Oeste argentino que, por lo que leí, posiblemente no adhieran al cambio de huso horario el domingo 19 de octubre…

La base de datos de husos horarios al día de hoy (versión 2008h) implementa el cambio de hora en toda la Argentina.

Provincias de CuyoSi esto queda así y, como sospecho, Mendoza y otras provincias no cambian la hora, a las computadoras con unix y linux de estas provincias les pasará lo mismo que nos pasó en todo el país el domingo 5 de octubre.

Es por eso que les pido que si alguien tiene información fidedigna (si es posible con un link a información oficial o de medios de comunicación razonablemente serios), la envíe a la lista de correo timezone o, si lo prefiere, ponga un comentario acá abajo y yo lo mando a la lista.

Auxilio para administradores de sistemas

Escribí en mi wiki un machete con instrucciones para actualizar los datos con la última versión que exista de la base de datos (aunque no haya sido publicada por la distribución unix/linux que estés usando).

Entrevista completa acerca del spam para el diario La Nación

A continuación reproduzco el texto completo de la entrevista que me realizara Sol Amaya para el diario La Nación

Parte de la misma fue reproducida en la nota Los spams ya representan el 96,5% de los e-mails y no hay leyes que los castiguen publicada el 22 de septiembre de 2008 en la sección Información General .

La entrevista fue un cuestionario que me remitió la periodista el 2 de agosto de 2008 que yo contesté al día siguiente.

Mariano

Como te comentaba por teléfono, estoy haciendo una nota sobre el tema del spam en la Argentina y la falta de legislación al respecto. El contexto en el que se basa esta nota es la reciente modificación a la ley de delitos informáticos, y el último fallo en USA contra un spammer (link a la nota)

Lo que me interesa es saber cuáles son las últimas estadísticas sobre el envío de spam en la Argentina, cómo se puede regular, cómo se perjudica a los usuarios, si hay tecnología suficiente en el país para rastrear el origen del correo basura, etc. Te paso algunas preguntas:

La Nación: Además de algunos fallos, ¿hay alguna legislación que regule específicamente el tema del spam? ¿Cuáles son las penas, en caso de que las haya?

Mariano Absatz: Hasta ahora no hay una regulación específica acerca del spam en Argentina. Hasta donde yo sé, las acciones legales que se han realizado en contra de spammers se han basado en la Ley de Protección de Datos Personales (tambien llamada Ley de Hábeas Data), por la cual vos podés exigir que se borre tu dirección de una base de datos, pero en general no es mucho lo que puede hacer esta ley para combatir el spam (por otra parte, su objetivo no era ese).

En realidad, legislar el tema del spam en forma específica probablemente sea un error, creo que en ese sentido es mejor la Ley 26.388 recientemente sancionada acerca del “Delito Informático“ donde, en lugar de tratar de armar una legislación específica para la tecnología (que será obsoleta en poquísimo tiempo), se han adaptado las normativas generales (el Código Penal) a las nuevas modalidades delictivas.

Si bien no sé si ya hay casos que estén actuando en el marco de esta Ley, creo que el Artículo 9° cubre la falsificación de remitente de un mail (que es una técnica utilizada en la gran mayoría de los spam). También podría interpretarse el envío de spam como entorpeciendo las comunicaciones, lo que está cubierto en el Artículo 12°.

LN: ¿Cómo se hacen estas denuncias? ¿A quién hay que dirigirse?

MA: Respecto de la Ley de Hábeas Data las denuncias hay que hacerlas en la Dirección Nacional de Protección de Datos Personales. Respecto de la nueva Ley de Delito Informático, supongo que hay que hacer la denuncia en la justicia o en una comisaría como con cualquier delito penal… habría que preguntarle a un abogado (si te sirve, conozco algunos que se dedican a estos temas y sin duda saben muchísimo más que yo al respecto).

LN: ¿Cómo obtienen las bases de datos?

MA: Las bases de datos salen de muchos lugares… en principio, parte del negocio de los spammers es vender bases de datos para enviar spam… puedo buscar en mi archivo de spam y encontrar ofertas de este tipo de a decenas por semana, de hecho, el famoso primer juicio a un spammer en Argentina fue por un caso de este tipo.

Estas direcciones pueden salir de distintos lugares:

  • búsquedas en Internet (robots que navegan por las páginas, del mismo modo que hacen los de Google o Yahoo! para indexar sus motores de búsqueda, pero que buscan direcciones de mail y las guardan)
  • campañas de márketing poco claras, muchas empresas, en línea o no te piden que dejes tu dirección de mail sin aclararte que pueden enviarte publicidad y sin contarte que la base de datos con las direcciones de mail la podrían vender (algunas avisan, pero la mayoría de la gente no presta atención y pone su dirección alegremente)
  • venta ilegal de bases de datos con direcciones de mail de bancos, tarjetas de crédito, organismos estatales y privados, etc. En general no es la empresa u organismo en sí que hace la venta, si no un empleado deshonesto. En general, y pese a la Ley de Habeas Data (que justamente protege esto), la mayoría de las empresas y organismos no tiene un control fuerte sobre qué pueden hacer sus empleados con acceso a esta información.

LN: ¿Qué se pone en riesgo a través del spam?

MA: Amén del derecho a la privacidad, hay varias cosas que están en riesgo. Como el costo del envio de spam es infinitamente inferior (para el remitente) que el envío de otro tipo de publicidad, muchas de las operaciones envían mensajes a millones de direcciones donde la mayoría de ellas ni siquiera existe.

El costo de envío, rechazo, almacenamiento, etc queda a cargo del receptor (esto es por el modo de funcionamiento intrínseco del mail en internet), es por esto que los proveedores de internet, empresas y organismos que manejan su propio correo, deben gastar grandes fortunas en equipamiento, comunicaciones, software para filtrado, horas hombre de administración, etc.

Es por esto que usualmente decimos que lo deshonesto del spam pasa por ser publicidad con costo al receptor… ¿qué pasaría si La Nación decide dejar de cobrarle a los anunciantes y pasar la mayor parte del costo del diario al precio de tapa? ¿Cuánta gente pagaría 20, 30, 50 pesos o más por un ejemplar? Eso es lo que pasa con el spam.

Los proveedores de internet (que me dan a mí conectividad y una casilla de correo y, usualmente, algún nivel de filtrado de spam) gastan miles de dólares en equipamiento, software y, sobre todo, operaciones para que a pesar del spam, yo reciba mi correo. Ese costo, el proveedor claramente lo tiene incorporado en el abono que me cobra a mí y a los demás usuarios todos los meses.

LN: ¿Cuál es la finalidad del spam?

MA: Esto ha cambiado un poco a lo largo del tiempo.

Originalmente (hace unos 15 años), la finalidad era meramente publicitaria. Se utilizaba para vender productos o servicios, o, a veces, para difusión de ideas políticas.

Hoy en día se ha transformado también, en muchos casos, en un medio indirecto de ataque o estafa. Se envían mensajes haciéndose pasar por un banco intentando convencerte de que sigas un link y carges tu usuario y clave (esto funciona muy bien y es fácil de hacer); se envían mensajes por cualquier tema (inclusive mensajes que parecen estar relacionados con el bien público o la solidaridad) y se invita a reenviar a todos los contactos incluyendo alguna dirección especial (que es la que recaba las direcciones) o a hacer click en un sitio que probablemente infecte la computadora de quien lo hace; etc.

LN: ¿Quiénes son los principales perjudicados?

MA: El público usuario de internet en general… me atrevería a decir que todos excepto los directamente beneficiados por el spam.

LN: ¿Hay algún antecedente como el caso del neoyorquino que debe ir a prisión por 30 meses por envío masivo de spam?

MA: Sí… en USA hubo varios casos a partir de la sanción de una Ley específica (la CANSPAM)… googleando rápidamente:

Seguro que si hablás con alguno de los abogados que se dedican al tema tienen información más específica.

LN: ¿La argentina es uno de los peores países en lo que es envío de spam?

MA: En ese sentido hemos mejorado relativamente en los últimos años, pero en realidad, creo que lo que pasó es que otros países han empeorado más rápido que nosotros (ya que, en valores absolutos, estamos siempre peor que antes).

Spamhaus tiene un ranking confiable en el que hace 4 ó 5 años teníamos el 5° lugar y ahora no aparecemos en el top ten: http://www.spamhaus.org/statistics/countries.lasso

LN: ¿Cómo se hace para detectar de dónde proviene? ¿Hay tecnología lo suficientemente avanzada?

MA: En general es muy difícil detectar el origen inicial de un spam. Mirando las cabeceras de un mensaje se puede saber por dónde pasó justo antes de llegar a nuestro proveedor, toda información de los puntos anteriores es fácilmente falsificable.

LN: ¿Hay penas para quienes venden las bases de datos?

MA: Creo que sí, están en la Ley de Delito Informático (ver Artículo 8°).

LN: ¿Qué significa que muchos spam se manden desde “Equipos secuestrados“?

MA: Significa utilizar equipos conectados a Internet donde el spammer ha logrado infiltrarse y ejecutar un programa que, de modo similar a un virus, corre sin la autorización o conocimiento del dueño de la computadora.

Dada la cantidad de equipos hogareños conectados 24 horas por día a internet, esto es una gran cantidad de computadoras que están a la merced de spammers y todo tipo de crackers que con mucha facilidad toman control del equipo y lo utilizan tanto para enviar spam como para atacar otros equipos en forma remota.

LN: Desde ya muchas gracias por la colaboración.

MA: Espero que te sirva, Saludos.

La Nación: Nuevos delitos en la Red – Los spams ya representan el 96,5% de los e-mails y no hay leyes que los castiguen

Hoy salió en La Nación la siguiente nota:

Nuevos delitos en la Red

Los spams ya representan el 96,5% de los e-mails y no hay leyes que los castiguen

allí hay algunos datos sacados de una entrevista que la periodista me hizo a través del correo electrónico a principios de agosto y que transcribí aquí con autorización de la periodista.

En primer lugar quiero aclarar que YO NO SOY ABOGADO (IANAL) y nada de lo que digo aquí debe considerarse más allá de la interpretación y visión de un lego interesado en la materia.

Creo que lo primero que hay que entender es que el spam no es sólo un problema tecnológico o legal, si no también un problema social. Hace unos cuatro años esbozamos una propuesta en iCauce.Ar (hoy desactualizada, en parte por falta de tiempo nuestro, en parte por el poco interés real que sucitó en la comunidad de ISPs). Allí dejábamos claro que no puede atacarse uno solo de los ejes. No alcanza con una legislación perfecta ni con un filtro perfecto si no que ambos debían ir acompañados por un compromiso social que debía involucrar a los interesados en el tema (esto incluye tanto a los ISPs como a los usuarios).

Es técnicamente imposible hacer un filtro de spam que no capture mensajes legítimos.

Es más si se lee bien la definición de spam que utilizamos en iCauce.Ar es claro que el mismo mensaje puede ser considerado spam por un usuario y legítimo por otro.

En perspectiva, estoy bastante conforme (como comento en la entrevista) con que no se haya hecho una legislación ad-hoc condenada a la obsolescencia casi inmediata como cada vez que se trata de legislar sobre una tecnología que es volátil. Una ley antispam hace cuatro años probablemente no habría contemplado el phishing o el spam a través de sms.

Desde el punto de vista de la tecnología la limitación más fuerte que hay es que los protocolos que se utilizan en internet para el envío de correo electrónico (SMTP) fueron pensados en un contexto de colaboración entre investigadores, docentes y estudiantes, donde no se pensaba que pudiera haber intención de dañar a los usuarios y las redes.

Internet es víctima de su propio éxito y pensar en una migración a un protocolo totalmente incompatible con los viejos servidores smtp es algo que simplemente no va a suceder (del mismo modo que todavía no es masivo el uso de la versión 6 del protocolo IP).

Hay muchos esquemas y técnicas que pueden mitigar el efecto del spam desde el punto de vista tecnológico, pero en general los spammers siempre están medio paso adelante.

Desde el punto de vista social, mientras no haya nada mejor, lo que podemos hacer es no adquirir bienes y servicios ofrecidos a través del spam.

La implementación de la transición a .gob.ar es inviable

El 9 de abril la Cancillería publicó la Resolución Ministerial 616/2008 acerca de la Incorporación de caracteres multilingües a los nombres de dominio.

Creo que el Anexo II tiene errores conceptuales, transcribo:

Anexo II

Cronograma de incorporación del subdominio .gob.ar

La incorporación del nuevo subdominio .gob.ar comenzará dentro de los ciento veinte (120) días corridos a partir de la publicación en el Boletín Oficial de la presente Resolución Ministerial.

Durante treinta (30) días corridos, a partir de la fecha de comienzo, se publicará en la página web de NIC Argentina la normativa y los procedimientos referidos al registro de nombres de dominio bajo el nuevo subdominio.

Concluida la etapa A, no se podrá realizar registros bajo el subdominio .gov.ar, ya que sólo estará habilitado para entidades de gobierno el subdominio .gob.ar.

Respecto de los dominios existentes al momento de la incorporación, bajo la denominación .gov.ar, serán redirigidos a los correspondientes en el subdominio .gob.ar.

Ej: www.cancilleria.gov.ar
será redirigido a
www.cancillería.gob.ar

Amén de lo que ya referí respecto de .gob.ar y .gub.ar, el último párrafo y el ejemplo están hechos claramente por alguien que no entiende lo suficiente de DNS ni de Internet al punto tal de creer que Internet es lo mismo que la WWW y suponer que todo se resuelve mágicamente con sólo arreglar una redirección en el DNS.

Si bien confío en todos los sysadmin que andan pululando por nuestras oficinas públicas… si uno de ellos no cambia la configuración de su web server para que en lugar (o además) de aceptar requerimientos para www.loquesea.gov.ar acepte requerimientos para www.loquesea.gob.ar, esa página no va a ser accesible.

De hecho, cancillería (o nic.ar) no pueden hacer esa redirección ya que, lo único que tienen es el servicio DNS… la redirección se hace a nivel http… ¿o acaso van a apuntar www.loquesea.gov.ar a un servidor web propio (de nic.ar) y hacer la redirección ahí? (aún así, si el servidor destino no reconoce www.loquesea.gob.ar, no va a funcionar…

¿Y los subdominios? nic.ar no tiene control alguno de ellos.

Por otra parte, ¿qué pasa con los otros servicios? ¿cómo van a redireccionar el mail a fulanito@loquesea.gov.ar? ¿cómo van a convencer al mail server para que acepte el nuevo dominio? ¿además van a reescribir todos los headers de los mails (violando los protocolos de mail que dicen que esto no se debe hacer)?

¿Cómo puede ser que nadie en Cancillería sepa lo suficiente de DNS como para escribir una resolución razonable desde el punto de vista técnico?