Se han escrito excelentes artículos sobre el tema, en general resaltando el disparate jurídico/legal que resultaría de aprobarse tal iniciativa. Otros, en cambio, han destacado las consecuencias sociales y culturales de este tipo de avances contra la difusión de la información.

En definitiva, se trata de un tema por demás complejo, en el que confluyen cuestiones que tienen que ver con las leyes, la cultura, la tecnología y la sociedad. No es mi intención hacer un análisis exhaustivo ni mucho menos, sino simplemente dejar aquí un par de referencias para encontrarle la punta al ovillo.

A continuación, una conferencia del reconocido jurista estadounidense Lawrence Lessig, sobre cómo este tipo de leyes tienen exactamente el efecto contrario al que las inspira, matando y no promoviendo la creatividad y la cultura.

Lessig ha escrito un excelente libro sobre este tema, llamado Cultura Libre (no tema descargarlo, está disponible bajo una licencia libre). Su lectura es más que recomendable, ya que además de un brillante y claro análisis legal nos ilustra con varios ejemplos notables de la evolución de las leyes, las costumbres y la cultura a través de los años.

El siguiente vídeo corresponde a un discurso pronunciado por el reconocido director español Álex de la Iglesia, por entonces Presidente de la Academia de Cine española, en ocasión de la entrega de los premios Goya 2011. En aquel momento se había planteado un gran debate con relación a un proyecto de ley de regulación de webs y protección de la propiedad intelectual (conocido como “Ley Sinde“).

Este discurso tiene el enorme valor de ser pronunciado por uno de los supuestos perjudicados por la mal llamada “piratería”.

El mundo cambió. La tecnología posibilita formas de creación y acceso a la cultura dificilmente imaginables hace poco tiempo. Quienes ven derrumbarse sus pingües negocios alzan la voz pidiendo regulaciones y resarcimiento económico. Y, cuándo no, ponen como excusa para limitar lo que todos podemos hacer, los derechos de los artistas, a quienes en general nunca beneficiaron demasiado (excepto por unos pocos a los que hicieron millonarios y hoy son parte de la corporación).

No podemos limitar las posibilidades de las herramientas que hoy tenemos a nuestra disposición por tratar de mantener un modelo de negocio obsoleto. La cultura es, cada vez más, de todos.

Traducción (con algún comentario que no pude evitar):

“1 de cada 8 americanos (estadounidenses, querrán decir) lucha para tener suficiente para comer. Acelere el fin del hambre (en EEUU, claro está). Descargue Windows Internet Explorer gratis y donaremos 8 porciones de comida a Feeding America.“

Realmente, Microsoft debe estar desesperado por la constante caída en la utilización de Internet Explorer, además de haber perdido totalmente la línea.

Imagino a Philip Morris regalando cigarrillos bajo el slogan “Fúmese un cigarrillo y le regalamos una vianda a un pobre“.

Por lo pronto… ¿qué hacer? Yo descargaré IE8 desde tantas direcciones IP distintas como pueda. (Eso si, usarlo… ni con 5 whiskys encima.)

Ah, ¿qué? ¿todavía parece un chiste? Bueno… pase y véalo en el sitio de Microsoft.

Actualización: Como bien apunta Abel Chiola (¡Gracias por el dato, Abel!) la donación tiene un límite de u$s 1.000.000 (lo cual, según el importe de cada porción de comida, se logra con sólo 869.566 descargas. Ni vale la pena entonces ponerse a descargarlo. (Las cosas del marketing, vió?…)

La empresa de alojamiento web Vaserv utiliza un sistema de virtualización de servidores llamado HyperVM, que se complementa con un panel de gestión llamado Kloxo (anteriormente LxAdmin). Ambos productos (privativos) son desarrollados por la empresa india Lxlabs.

El 21 de mayo de 2009, un experto en seguridad apodado milw0rm descubre 24 problemas serios de seguridad en Kloxo. Inmediatamente (según informa luego), envía un email a Lxlabs (conteniendo un enlace al informe detallado), alertando sobre la existencia de vulnerabilidades graves. Dos días después, recibe una respuesta (sin firma) diciendo que a la brevedad lo verificarían.

Una semana después, reitera el aviso, recibiendo (al día siguiente) una respuesta en la que afirman que están trabajando en eso y que en un par de horas le informarían. Finalmente, el 4 de junio (14 días después del informe inicial), ante la falta de respuesta de Lxlabs (y notando que ni siquiera habían accedido al enlace con el informe detallado), se decide a hacer públicos los errores (y la historia).

4 días después (el 8 de junio) ocurre el desastre: un grupo de atacantes borra absolutamente todos los archivos de aproximadamente 100.000 sitios alojados en Vaserv (¡incluyendo las copias de respaldo!).

Al día siguiente, el jefe de Lxlabs (K T Ligesh, de 32 años), se suicida ahorcándose.

Algunas conclusiones

En varios sitios se han armado profusas discusiones sobre el tema (Slashdot, Barrapunto, ComunidadHosting, entre otros). Las opiniones se reparten entre las condolencias por la muerte de Ligesh, las condenas a la negligencia de Lxlabs y las imputaciones a los atacantes e incluso a milw0rm.

A la hora de repartir responsabilidades por lo ocurrido, según mi opinión (¡que por algo este es mi blog!), hay que separar varias cuestiones:

La estafa de Lxlabs

Basta contrastar la publicidad de Lxlabs respecto de las bondades de su producto en materia de seguridad, con el informe de los errores para darse cuenta de que se trata de una gran mentira: de los cinco puntos resaltados como grandes virtudes, los cuatro primeros son totalmente falsos y el quinto resulta totalmente irrelevante (y hasta cómico, en el contexto de lo sucedido).

Las reproduzco a continuación (resumidas y en castellano), ya que seguramente en breve serán quitadas del sitio web:

• Kloxo se ejecuta con el usuario ‘lxlabs’, que es un usuario normal del sistema, sin ningún permiso especial.
• El administrador de archivos nunca acepta un path completo proveniente del usuario.
• Un usuario no puede realizar ninguna operación sobre un archivo que no le pertenezca.
• Todas las ejecuciones de programas se realizan luego de cambiar al contexto del usuario que lo requirió.
• Kloxo registra cada cambio que se haya hecho en el sistema de archivos, así como también cada ejecucion de un programa externo.

Esto es, lisa y llanamente, una estafa. Pero una estafa bastante común en el mundo del software privativo, en donde el cliente no tiene más remedio (si acepta el trato) que confiar ciegamente en las propiedades que el proveedor asegura que su software tiene.

La estupidez de Lxlabs

Los errores en Kloxo son realmente patéticos. Lamentablemente nadie fuera de Lxlabs puede ver el código, pero basta analizar cada bug para darse cuenta de que el programa está escrito por gente que no tiene la más somera idea sobre seguridad.

La estupidez de Vaserv

Esto es menos evidente (y bastante más común), pero… ¿no hay bastante de estupidez en una empresa que utiliza un programa crítico para mover todo su negocio y confía ciegamente en el proveedor que se lo ofrece? Yo digo que sí.

La negligencia de Lxlabs

Recibir un email informando sobre 24 problemas graves, luego un segundo aviso, responderlos a ambos, y en 14 días ni siquiera dignarse a mirar de qué se trata merece, cuando menos, este calificativo.

La negligencia de Vaserv

La estupidez y negligencia de Lxlabs no excusan de ninguna manera a Vaserv de su responsabilidad, adquirida ante sus clientes al venderles un servicio como “seguro” y “estable”, y luego no tomar los recaudos para evitar semejante desastre.

Ante sus clientes, es claro que son ellos los únicos responsables (a estos, poco les importa si Vaserv eligió contratar el servicio de Lxlabs o de quien sea…).

La malicia de los atacantes

Casi por descontado, el o los atacantes, que causaron un daño terrible (e incalculable a priori) no tienen ningún justificativo para lo que hicieron.

Cabe destacar que, si bien hicieron un desastre, no lucraron con la vulnerabilidad (pudieron haberla usado para realizar estafas, robar información, y un largo etcétera.).

Otra aclaración: como puede verse en el informe de los problemas, la ejecución de las técnicas de ataque no requieren demasiados conocimientos. Bien podría haberlas realizado un niño con un poco de tiempo, ganas de experimentar y, claro está, una gran desaprensión por la información de terceros.

El rol de milw0rm

Amén del tiempo que dedicó para descubrir todas estas vulnerabilidades (seguramente, sin que nadie le pagara a cambio), tuvo la mejor disposición posible: Notificó detalladamente al responsable del software, esperó un tiempo prudencial, volvió a notificarlo. Fué sólo ante la inactividad de éste que se decidió a divulgar públicamente el problema.

Muchos critican esta actitud (hasta llegar al extremo de culparlo por el ataque). Hay que tener en cuenta, antes que nada, que habiendo encontrado semejantes errores bien podría haberlos vendido (en una buena suma) a alguna organización delictiva. ¿Qué más podría haber hecho, al no tener respuesta? Guardar silencio no es una opción, en el caso de querer hacer algo positivo: estaría siendo cómplice de la desidia (y la estafa) del proveedor, y seguramente el problema sería detectado por alquien más, quién sabe con qué actitud.

Aunque suene contradictorio (y esto es conocido y aceptado en los ámbitos relacionados con la seguridad), cuando el responsable de un programa es informado de un problema y pasado un tiempo razonable no hay respuesta, lo mejor que puede hacerse es divulgarlo, con el fin de evitar un mal mayor (y de paso, para que la negligencia de dicho proveedor quede puesta de manifiesto).

Conclusiones

Como puede verse, la salida simplista de cargar las tintas sobre el atacante que “volteó” 100.000 sitios de un plumazo (y que bien puede haber sido un adolescente desaprensivo) oculta a los mayores responsables del problema y las pérdidas de las víctimas.

Una buena forma de comenzar a reducir la frecuencia de ocurrencia de estos incidentes (y su impacto) es tomar conciencia de por qué ocurren.

Cuestiones éticas aparte, si hubiera tomado control de riocuarto.gov.ar no se me hubiera ocurrido hacer algo tan tonto como simplemente eliminar los datos de delegación. Por eso me quedé pensando (y dejo este artículo abierto a ideas y sugerencias): “¿Qué haría si tomara el control del dominio de la Municipalidad?”.

Disclaimer

Como está visto que hace falta, aclaro: No estoy proponiendo a nadie que ataque nada (ni el DNS de la Municipalidad, ni ninguna otra cosa). Este es un artículo humorístico.

Algunas ideas….

Cambiar el MX

Apuntar el registro MX a un servidor controlado por mí, derivando hacia él todo el tráfico de correo electrónico (SMTP). Luego, posiblemente, volver a inyectarlo hacia el servidor real. Si en 5 días no se dieron cuenta de que el dominio no estaba funcionando, imagino que en 1 año tampoco notarían esto.

¡Ah, por cierto! También estaría bueno tomar los mensajes más interesantes y publicarlos en un blog, justo en época de elecciones. :)

Agregar una entrada TXT

Agregar una entrada TXT en el DNS, usando SPF, para indicar que el único servidor SMTP válido del dominio riocuarto.gov.ar es W.X.Y.Z (alguna IP arbitraria de por ahí…). Apuesto que se hubieran pasado meses preguntándose por qué cuernos todo el correo enviado desde cuentas de riocuarto.gov.ar es tachado como spam por todos los servidores de Internet.

Cambiar el host www

Apuntarlo a www.cordobesitas.com.ar o algún sitio por el estilo (desconcertado va a quedar aquel que busque una foto del Intendente municipal…).

Otra muy buena sería redirigirlo a un servidor proxy que haga algunas modificaciones sobre el contenido original, como por ejemplo reemplazar todas las ocurrencias de “Jure” por “Jure en falso”, “Juez” o algo por el estilo. También se podría hacer algo más gracioso (e inofensivo) como dar vuelta todas las imágenes.

Definir hosts nuevos

Cosas como, por ejemplo, quienlevantalabasuraen.riocuarto.gov.ar, deremate.riocuarto.gov.ar o lasgaritasmascarasdelmundo.riocuarto.gov.ar. Algo más divertido podría ser darle algo de contenido a estos sitios…

¿Ideas?

Escucho ocurrencias… :)

¿Esto fue hecho adrede por los administradores informáticos de la Municipalidad? ¿Fue un error involuntario? ¿Se trata acaso de un nuevo ataque conducido contra los sistemas de la Municipalidad de Río Cuarto? Es difícil determinar la causa, lo que más llama la atención es el absoluto silencio de los medios locales con respecto al tema.

Delegación de dominio dada de baja

En el sitio del NIC Argentina (el organismo oficial que administra los dominios .ar), puede verse (en la opción “Trámites vía web” -> “Trámites por nombre de dominio”) que la delegación del dominio riocuarto.gov.ar ha sido dada de baja:

La situación es clara: El día 21 de mayo de 2009 a las 13:11 horas, mediante el trámite administrativo DEL3743701 la delegación de DNS del dominio riocuarto.gov.ar fue dada de baja. Esto significa que fueron eliminados los datos de los servidores de nombres encargados de la resolución de dicho dominio. A partir de ese momento dejaron de funcionar, por ejemplo, tanto los sitios web de la Municipalidad y del Consejo deliberante como las direcciones de correo de los funcionarios y dependencias municipales.

Posibles causas

La misteriosa desaparición del dominio puede deberse a alguna de las siguientes causas:

• Error de NIC Argentina: Algún administrador desprevenido, o alguna falla en el sistema del NIC ocasionaron la baja de la delegación. Esto es muy poco probable, ya que existe un trámite identificado mediante el cual se realizó la baja (DEL3743701).
• Error de un administrador de la Municipalidad de Río Cuarto: Algún administrador desprevenido realizó el trámite de baja de la delegación. Esto requiere la realización de un trámite vía web más la confirmación a través del correo electrónico. Cuesta creer que alguien pudiera cometer un error tan grosero (pero bueno, todo es posible…).
• Ataque a la Municipalidad: Alguien deliberadamente realizó el trámite de baja de la delegación. Esto requeriría de, al menos, acceso a la cuenta de correo electrónico utilizada ante NIC Argentina para la realización de trámites administrativos del dominio riocuarto.gov.ar. Si este fuera el caso, significa que alguien tomó control de dicha cuenta (o del servidor de correo), lo que implica un incidente bastante más grave aún.

Silencio de radio

A la fecha de publicación de este artículo ya han transcurrido cinco días. Seguramente cualquier ciudadano que haya querido acceder a un sitio de la Municipalidad de Río Cuarto, o comunicarse por email con alguna autoridad, habrá notado la existencia del problema (ni hablar de quienes trabajan en el ámbito municipal). Sin embargo, no ha habido (hasta donde sé) ninguna comunicación oficial, ni medio de prensa que se haya hecho eco del incidente.

Cinco días sin sitios web, sin email (y vaya a saber con qué otros inconvenientes) no constituyen un incidente menor; máxime teniendo en cuenta el abultado presupuesto que nuestra Municipalidad destina al área informática (prometiéndonos “ciudades digitales” y “conectadas” cuando en este momento ni siquiera pueden recibir un mensaje de correo electrónico).

Una vez más, el resultado es lamentable.

Actualización 1: (para los “técnicos”)

Para comprobar que riocuarto.gov.ar en la práctica no existe como dominio en Internet, podemos hacer la siguiente prueba (en GNU/Linux):

dig @ns1.retina.ar ns riocuarto.gov.ar

Con esto, le estamos preguntando al servidor DNS ns1.retina.ar (una de las autoridades de la zona gov.ar) cuál es el servidor de nombres del dominio riocuarto.gov.ar. La respuesta es nula. (Puede reemplazarse ns1.retina.ar por cualquiera de los otros NS de la zona gov.ar, que pueden a su vez obtenerse con el comando “dig ns gov.ar“.)

Actualización 2: (26 de mayo de 2009, 11 hs)

Según me comenta un amigo, los administradores acaban de enterarse del problema (porque alguien les avisó). Parece increible que hayan pasado 5 días sin siquiera notar el “inconveniente”. Veremos cuánto más tardan ahora en solucionarlo…

Actualización 3: (fui yo)

Ahora, según dice gente de la Municipalidad, parece ser que el culpable del incidente fui yo. Según afirman, media hora después de dado de baja el dominio yo ya lo sabía (¿cómo lo sabrán, si ellos se enteraron recién hoy?). ¿Cómo lo hice? Supuestamente accedí a una de las cuentas de correo habilitadas para las gestiones ante el NIC.

No se si se habrá notado, pero en todo el artículo traté de utilizar terminología bastante neutra, sin calificativos que pudieran resultar ofensivos para los responsables del problema. Como todavía me queda media vuelta de rosca, antes de que se me zafe la tuerca del todo, voy a esperar los acontecimientos de las próximas horas (a ver si siguen echándome la culpa de su incompetencia), antes de despacharme con el arsenal de adjetivos que tengo en la punta de los dedos.

Por ahora, agradecido, señores. Si se enteraron de este problema fue por mi artículo (como ya antes se enteraron de varios problemas de seguridad en reuniones personales y sin que les haya cobrado un centavo). Denle nomás, échenme la culpa, trátenme de “bobo”, vienen bárbaro…

Actualización 4: (en vía de solución)

Hace unos momentos uno de los administradores de la Municipalidad (a quien conozco, y que como suponía no fue el babieca al que se le ocurrió matar al cartero) me comunicó que ya fue iniciado el trámite en el NIC Argentina para restablecer el funcionamiento de riocuarto.gov.ar.

Por mi parte (como ciudadano riocuartense), espero que se solucione a la brevedad, se aclare qué y cómo ocurrió, y no vuelva a suceder.

Actualización 5: (la prensa se hace eco)

Finalmente, a las 20 horas del día 26 de mayo, el diario Puntal publica una nota sobre el incidente. Claro que, como lamentablemente era de esperarse, se trata de minimizar el problema. Según declara un responsable técnico al diario:

“Esto provoca que al cargar la dirección www.riocuarto.gov.ar en el navegador no se encuentre el servidor, hasta tanto se realice el trámite que vuelve a relacionar el nombre con nuestro IP, que ya fue iniciado”.

Claro, provoca eso… y varias cosas más. Entre ellas, que otros dominios como emos.gov.ar y concejoriocuarto.gov.ar tampoco funcionaran (ni para acceder a los sitios web, ni para el envío de correo electrónico, “pequeño detalle” que omiten). Por supuesto, tampoco dicen que el problema se produjo un jueves y fue detectado recién el martes siguiente.

Y luego, para colocar la guinda sobre la torta, dicen que:

“se encuentran investigando … para intentar dilucidar si alguna persona ingresó con la contraseña intencionalmente o si se trata de algún error en los sistemas de NIC ARGENTINA”

Claro, si, seguro. NIC Argentina tiene registrados más de un millón de dominios. Y tiene un error que permite a alguien modificar un dominio a su antojo. Y solamente le ocurre a la Municipalidad de Río Cuarto. Perfectamente probable, cómo no. (Me cerraba más la hipótesis de que había sido yo que accedí a la cuenta de correo.)

Actualización 6: (¿final?)

En este momento (27 de mayo de 2009) el dominio riocuarto.gov.ar está funcionando nuevamente.

El diario La Voz del Interior también publicó la noticia (de forma mucho más detallada y cercana a la realidad que Puntal). Nobleza obliga, tengo que agradecer a Nicolás Llamosas por haberme librado de los rumores difamatorios que circularon ayer por la Municipalidad (y, Nicolás, no era necesario el reconocimiento público por algún aporte previo, pero se agradece doblemente).

Ojalá NIC Argentina coopere brindando la información necesaria para intentar descubrir el origen de este incidente y ojalá se tomen las medidas para que este (u otro) ataque no pueda tener éxito en el futuro.

Un “hacker” riocuartense

El primer entrevistado es un autoproclamado “hacker” que dice dedicarse a la seguridad informática (sería todo un hallazgo encontrar a un experto en la materia en la ciudad de Río Cuarto), quien hace afirmaciones como la siguiente:

“Se­ría me­jor si no hu­bie­ra hac­kers. Por­que los hac­kers son la con­se­cuen­cia de la so­cie­dad.”

Tal sinsentido se contradice con lo expresado por él mismo en otra parte de la entrevista, donde explica que:

“Ser hac­ker sig­ni­fi­ca for­zar los sis­te­mas a lo má­xi­mo, eso im­pli­ca co­no­ci­mien­tos y ver si hay fa­llas de se­gu­ri­dad y có­mo es­tá he­cho, sim­ple­men­te eso. No ha­cer da­ño, ni nin­gu­na ac­ti­vi­dad ile­gal.”

“Una de las mo­ti­va­cio­nes de un hac­ker es el de­sa­fío mis­mo de ha­cer es­to y la bús­que­da de co­no­ci­mien­tos. Hay mu­chos hac­kers que vi­ven de eso, de la se­gu­ri­dad, con los co­no­ci­mien­tos que se van ad­qui­rien­do. Otro mo­ti­vo es el pen­sa­mien­to de que las co­sas de­ben es­tar bien he­chas. Y, cuan­do es­tán mal, se tra­ta de de­rri­bar­las pa­ra que se vuel­van a ha­cer bien.”

Queda de manifiesto que el tal “Zar” (así es como se hace llamar) ni siquiera tiene bien en claro qué es ser un hacker. Si bien es cierta su definición, no se entiende por qué para él sería mejor que no hubiera personas con esa disposición, ni por qué son una consecuencia supuestamente indeseable de la sociedad (y menos se entiende cuando compara el “hackeo” con vender marihuana).

Para finalizar, con respecto al ataque al sitio de LV16 este personaje se despacha diciendo que:

“Yo ubi­qué a es­te hac­ker, a par­tir de in­di­cios. Cru­zan­do da­tos se con­si­gue. Es un chi­co de 17 años, que vi­ve en Mar del Pla­ta, que per­te­ne­ce a un gru­po que se co­no­cen por Fa­ce­book y Mes­sen­ger, que con­si­guie­ron una re­ce­ta pa­ra hac­kear una pá­gi­na y que­rían ver si ser­vía. Fue ca­sual. Uno de ellos es de Ve­na­do Tuer­to. Pe­ro, al chi­co no le va a pa­sar na­da.”

No se que datos habrá cruzado el tal “Zar”, pero el autor de dicho ataque dejó un comentario en mi artículo sobre el tema invitando a cualquiera a agregarlo a MSN. En breve publicaré una entrevista que le realicé, y donde queda de manifiesto lo errado de las especulaciones de este supuesto experto en seguridad.

La guinda sobre la torta (y el helado en la frente)

Más allá de lo anecdótico de las contradictorias y hasta simpáticas afirmaciones del supuesto hacker “Zar”, realmente preocupa ver que el Dr. Oscar Taurian (Director del Centro de Cómputos de la Universidad Nacional de Río Cuarto) haga afirmaciones como esta:

“Por ejem­plo, Cien­cias Eco­nó­mi­cas tie­ne el ser­vi­dor de­sac­tua­li­za­do y se lo pue­de usar pa­ra ata­car a las otras má­qui­nas.”

El Dr. Taurian (que no es doctor en informática, sino en alguna otra cosa) parece desconocer una norma básica de la seguridad informática. Utilizando un medio público acaba de dar una excelente pista a cualquiera que desee atacar la red de la UNRC, apuntando con el dedo al servidor de la Facultad de Ciencias Económicas. Imagine el lector a un comisario declarando en un periódico que el Banco X tiene un pésimo sistema de seguridad. Totalmente ridículo.

Fuentes confiables…

Así cubre uno de los principales medios periodísticos de Río Cuarto el problema de la seguridad informática. Lo hace consultando a supuestos expertos que no son tales y publicando sus afirmaciones como hechos. ¿Se conducirán de la misma manera en otras áreas como la economía y la salud? Da que pensar.

A continuación, una captura del sitio http://productos.arnet.com.ar tal como se veía a las 3am del 21 de abril de 2009 (en este momento ya lleva varias horas y los dominios afectados son varios, pero se ve que los técnicos de Arnet están durmiendo…)

(clic en la imagen para ampliarla)

La lista de sitios atacados (todos con el mismo “deface“) incluye:

• contenidos.arnet.com.ar
• productos.arnet.com.ar
• formularios.telecom.com.ar
• prensa.telecom.com.ar
• www.arnetbiz.com.ar
• www.personalfest.com.ar
• productos.arnetbiz.com.ar
• moda.arnet.com.ar
• blogdelpadre.arnet.com.ar
• concursos.arnet.com.ar
• diadelamigo.arnet.com.ar
• agentes.arnet.com.ar
• che.arnet.com.ar
• musica.arnet.com.ar
• cultura.arnet.com.ar
• cine.arnet.com.ar
• radios.arnet.com.ar
• babasonicos.arnet.com.ar
• elcapricho.arnet.com.ar
• buscador.arnet.com.ar
• home.arnet.com.ar
• mailing.arnet.com.ar
• quiereme.arnet.com.ar
• fiestas.arnet.com.ar

Los autores aparentemente son los mismos que atacaron (con todo éxito) Poringa, el sitio de Cumbio y la página de la presidencia de México.

Parece que en Arnet (Telecom Argentina) también cuecen habas. Esta vez sí, es para reirse un rato.

Al volver a estar en línea apareció un artículo relatando lo acontecido, acompañado de varias adhesiones de políticos y distintas organizaciones, todas condenando lo que consideraban un ataque a la libertad de prensa y hasta hablando de censura.

Ahora bien, analizando algunas cuestiones técnicas (y sin tener mayores detalles sobre lo acontecido), la cosa se parece más al producto de la negligencia y la ignorancia de quienes llevan adelante dicho sitio web que a un ataque orquestado con el fin de acallar la voz de un medio de prensa.

En el comienzo de la nota de LV16 puede leerse lo siguiente (el énfasis ha sido agregado por mí):

La libertad de prensa es un bien muy preciado, que no se dimensiona su grandeza hasta que uno es callado, borrado, hasta que nuestra palabra no puede llegar al otro lado… Este martes LV16.com no pudo actualizar su página debido a la ignorancia de un personaje, que oculto tras las sombras y sus “pseudos conocimientos” hackeo nuestro sitio web.

Si bien el ataque a un sitio web es una actitud destructiva y reprochable, rasgarse las vestiduras hablando de un ataque a la libertad de prensa no me parece apropiado en este caso. Con respecto a la ignorancia y los “pseudos conocimientos” (si en castellano existe tal término) de quien produjo el daño, más bien parece que lo que impidió a la gente de LV16 operar con su sitio web fue la ignorancia del programador de mismo. El atacante (aunque con malas intenciones), parece haber usado bien sus conocimientos.

He aquí por qué: el sitio web en cuestión es susceptible (“es“, aún lo sigue siendo) de ser atacado mediante una técnica básica de extracción y/o adulteración de información en sistemas web, conocida como “inyección SQL” (“SQL Injection“, en inglés). Básicamente dicha técnica consiste en manipular los parámetros que envía el navegador para acceder a las distintas funciones de un sitio (notas, fotos, etc., en este caso), logrando alterar el funcionamiento normal del mismo.

Cómo construir una aplicación web evitando ataques por Injección SQL no requiere de un doctorado en informática: es una cuestión básica, que debiera conocer cualquier programador que se dedique a dicho rubro (aunque, lamentablemente, son muchísimos los casos de páginas con errores de este tipo).

¿Podemos echar toda la responsabilidad sobre, quizás, un adolescente dañino que, en sus experimentos aprendiendo sobre seguridad de aplicaciones web, saca de operación el sitio web de una empresa? ¿No recae gran parte de la culpa en el programador desaprensivo e ignorante que no toma los recaudos mínimos para que su aplicación sea segura? Pero claro, siempre es más fácil (y tiene mejor difusión) hablar de conspiraciones, censura y libertad de prensa; ya que nunca faltarán quienes se sumen en apoyo de la supuesta víctima.

En otro párrafo de la nota de LV16 puede leerse lo siguiente (nuevamente, el resaltado es mío):

Debido al accionar de esta persona LV16.com ha perdido todo su archivo informativo, fotográfico y documental, fruto de cinco años de mucho trabajo y esfuerzo.

Nuevamente, se responsabiliza exclusivamente al atacante por la pérdida de cinco años de trabajo, sin hacer un mea culpa y reflexionar sobre estupidez mayúscula de no tener una copia de respaldo de la información que se encuentra en el sitio web (¡en cinco años!). Cualquier administrador de sistemas (por pobre que sea su formación o escasa su experiencia) sabe que jamás puede prescindirse de copias de respaldo, realizadas periódicamente. De haberse roto el disco duro del servidor, seguramente LV16 estaría hablando a los cuatro vientos del malévolo disco que se llevó el fruto de su esfuerzo y acalló la voz de la prensa.

Pasando en limpio: Si el programador hubiera tenido las nociones básicas, el ataque no habría sido posible. Aún sin contar con esto, si hubieran tenido copia de respaldo de la información, el problema se hubiera solucionado en una hora (sin las repercusiones, las adhesiones y demás…)

Para finalizar (y por si aún es necesaria la aclaración): no estoy negando lo reprochable del acto de atacar un servidor y aprovecharse de la vulnerabilidad de un programa para causar daño. Tal accionar es condenable, y el culpable debería ser individualizado y castigado. Pero esto de ninguna manera justifica la falta de profesionalismo de quienes llevan adelante el sitio lv16.com, ni mucho menos los habilita a utilizar la bandera de la libertad de expresión para justificar su ignorancia.

PD: Antes de publicar este artículo intenté comunicarme con LV16 por email y a través de su sitio, para ponerlos sobre aviso del problema de seguridad, que aún persiste. No tuve ninguna respuesta de ellos.

Actualización (12 de marzo de 2009): En la mañana de hoy se comunicó conmigo el encargado del area técnica de LV16, mostrando una buena predisposición e interesado por conocer los detalles del problema. Aparentemente, la vulnerabilidad por inyección SQL ha sido solucionada.

Aunque en algún momento estará disponible en el sitio del evento (junto con el video de la charla), no resití la tentación de publicar la presentación que utilicé.

Experiencias en la implementación de un ISP con software libre

• Presentación en formato PDF
• Presentación en formato ODP (OpenOffice.org)

Hace ya unos meses, escribí un artículo sobre el horrible proxy transparente que utiliza Fibertel (cuya existencia es negada por los responsables de soporte técnico una y otra vez). Ocurre que desde hace unos días a esta parte, la situación es realmente insostenible: el proxy falla continuamente, obteniendo resultados de 0 bytes para recursos existentes en la web (que “mágicamente” luego de varios intentos aparecen).

Mi sugerencia: si está por contratar el servicio de un ISP, ni se le ocurra pensar en Fibertel. Su servicio es de pésima calidad. En un par de horas pediré la baja.

Actualización del 4/7/2007

¡Para qué hablo! Ahora no solamente el proxy transparente sigue funcionando tan mal como siempre, sino que la conexión se me corta a cada rato (físicamente, el modem deja de recibir señal).

Y como si todo esto fuera poco, también descubro que el DHCP de Fibertel me asigna un MTU (el tamaño máximo de paquetes) a 576 (cuando debiera ser de 1500). ¡Como si necesitara más ineficiencia!

Puedo decirlo más fuerte, pero no más claro: El servicio de Fibertel es lamentable. Es increible el nivel de incompetencia y la falta de consideración por los usuarios.

Como podrá verse a continuación, este slogan es totalmente engañoso, ya que Fibertel sí impone límites a sus clientes/usuarios.

Pues bien, analicemos lo que significa “sin límites” para esta empresa.

Filtrado de puertos

Mediante una conexión de Fibertel es imposible recibir conexiones en los siguientes puertos TCP:

• 25 (usado para recibir correo electrónico por SMTP)
• 135 al 139 (relacionados con el protocolo NetBios)
• 445 (usado por Active Directory y recursos compartidos de Microsoft)
• 1080 (usado para proxy socks)
• 1720 (protocolos H.323 y Q.931, usados para VoIP y videoconferencia)
• 3128 (usado por el proxy Squid)
• 4480 (usado por el proxy ProxyPlus)
• 6588 (usado por el proxy AnalogX)

En caso de que querramos usar aplicaciones que utilicen exclusivamente algunos de esos puertos (por ejemplo, montar un servidor de correo para recibir nuestros mensajes directamente), nos veremos imposibilitados de hacerlo. Este es un límite arbitrario impuesto por Fibertel.

Proxy transparente

En un artículo anterior me ocupé de analizar a fondo este tema. En síntesis, y en terminos técnicos, es imposible establecer conexiones TCP al puerto 80 de ningún host de Internet. Este es un límite arbitrario impuesto por Fibertel.

Conclusión

Al promocionar “Internet sin límites” y luego imponer las limitaciones arbitrarias que hemos visto (que para colmo son técnicamente muy fáciles de demostrar y muchas veces son negados por el personal de la empresa), Fibertel está estafando a sus clientes.

Hace un tiempo escribí un artículo quejándome de las barbaridades que hacen muchos ISPs con el pretexto de “mejorar la experiencia del usuario“, cuando en realidad lo único que quieren es reducir sus costos. Aquí va algo más sobre cómo nos estafan…

¿Qué es un proxy transparente?

En pocas palabras, un nodo de la red desvía los requerimientos HTTP (el protocolo de la web) a través de un servidor especial encargado realizar el requerimiento al servidor original, y entregándonos luego el resultado. El objetivo de esta técnica es acelerar el acceso a los contenidos, disminuyendo el tráfico real desde nuestro ISP hacia el servidor de destino, ya que de esta manera se pueden mantener los contenidos frecuentemente solicitados en una caché.

¿A quién favorece?

El supuesto aumento de velocidad no es sensible para el usuario final (quien solicita los contenidos), ya que nunca superará el ancho de banda que le vende el ISP. El único ahorro real es para el proveedor, quien disminuye el tráfico de su red hacia el exterior (su mayor costo).

Fibertel lo niega, pero…

Al consultar al servicio técnico de Fibertel ellos niegan la existencia de un proxy transparente, pero un simple experimento demuestra su existencia.

Usando la herramienta tcptraceroute, que traza el recorrido de los paquetes IP, puede notarse que hay algo raro. El siguiente es el camino inicial hacia www.google.com desde mi PC, conectada a Fibertel, enviando paquetes tcp hacia un puerto distinto del 80 (probé con varios valores y el resultado no varía):

 1  * * *
 2  * * *
 3  24.232.1.3  89.078 ms  28.152 ms  23.339 ms
 4  * * *
 5  195.22.220.37  30.635 ms  35.900 ms  25.926 ms

Ahora, probando con el mismo destino, pero con paquetes dirigidos al puerto 80 (utilizado por el protocolo HTTP), el resultado es el siguiente:

1  * * *
 2  * * *
 3  24.232.1.3  76.581 ms  25.931 ms  23.040 ms
 4  64.233.187.99 [open]  23.817 ms  24.276 ms *

No sólo el camino es distinto, sino que “mágicamente” los paquetes saltan desde el host 24.232.1.3 (que es de Fibertel) al host 64.233.187.99 (www.google.com).

¿Cómo es esto posible? La respuesta es simple: Fibertel interpone un proxy transparente que “silenciosamente” reenvía todo el tráfico de la web por otra vía (haciendo uso de su caché y quién sabe qué otras cosas…).

¿Cuál es el inconveniente?

El principal problema es que Fibertel miente a sus clientes negando la existencia de su proxy transparente.

El segundo problema es que funciona mal. Cada vez que los probadamente inútiles técnicos de Fibertel se ponen a meter manos en el proxy transparente (y esto ocurre muy a menudo), acceder a la web se vuelve casi imposible.

El tercer problema es que no ofrecen opción de saltarse su proxy transparente (claro, cómo lo van a hacer si niegan su existencia…).

¿Qué sería lo correcto?

Lo apropiado sería ofrecer el proxy como un servicio diferenciado y opcional (que el usuario pueda elegir usar o no), decorándolo con filtros, antivirus y todo chiche que pudiera hacer que alguien quiera depender de un servidor que no funciona.

O quizás, aunque sea a modo de consuelo, podrían responder: “Sí, obligamos a todos nuestros usuarios a pasar por un proxy transparente, quieran o no.”

¿Por qué lo ocultan?

Tal vez lo oculten para evitar quejas por lo mal que funcionan, pero al negarlo abren las puertas a la duda…

¿Es que Fibertel “espía” a sus usuarios, registrando los sitios que visitan y la información que transfieren?

Todo comenzó a partir de una noticia publicada por el periódico digital The Inquirer:

La nota dice que una actualización del programa Norton Antivirus 2006 incorporaba un “bug” (error). Más adelante explica cómo este error deshabilitaba algunas funciones del programa.

Hasta aquí, ningún problema (más allá del inconveniente para los pobres usuarios de Norton Antivirus 2006). Pero ocurre que en la edición en castellano de The Inquirer, la noticia apareció así:

El equipo de traductores del periódico (supuestamente con amplios conocimientos de informática y traducción inglés-castellano) reemplazó la palabra “bug” por “virus“, cambiándole totalmente el sentido a la noticia. Ahora, en vez de tener un error, Norton Antivirus 2006 se transformaba en un generador de virus. (Me pregunto: ¿cuántas personas leyeron la noticia antes de publicarse?). Una de las cosas que más preocupa: en el momento en que escribo esto la noticia lleva más de 13 horas de publicada y sigue igual…

¿Cuántas personas habrán leído esta noticia totalmente errónea? ¿Cuántas la habrán creído cierta? Bueno… al menos los editores de un par de sitios sí lo hicieron. Por ejemplo, la gente de Todo Linux publicó:

En el sitio Pilu.com podía verse:

¡Qué bien!, la gente de Pilu.com no sólo se hizo eco de la noticia, sino que añadió la correspondiente (y estúpida) cuota de paranoia. Pero también sitios de cierto “renombre” (sitios serios, de empresas bien establecidas) se sumaron a la pavada. Por ejemplo, en Datafull (cuyo principal objetivo, dicen, es “educar al usuario y brindar un buen servicio” podía leerse:

Como es de suponerse, algunos bloggers también se hicieron rápido eco de la falsa noticia. Uno de ellos la envió al sitio de noticias colaborativo Menéame:

Al menos hasta este momento, 22 personas la habían creído cierta y la habían votado para su publicación en la portada del sitio.

Pero afortunadamente en Internet hay navegantes con sentido común. El blog titulado Estugno (“Estupidez e ignorancia informática“, ¡excelente nombre!), nos sacó de las sombras:

En pocos minutos, la corrección estaba difundiéndose: alguien la envió a Menéame:

Ahí fue donde tomé conocimiento de todo este enriedo… (Hasta este momento la noticia ha sido votada por 48 personas y va rumbo a publicarse en la portada.)

Conclusiones

Algunas lecciones que nos enseña esta historia:

• Cuidado con lo que leemos (y creemos): Ya no basta la supuesta importancia o seriedad de un medio, ni la cantidad de veces que aparece una noticia. Hay que verificar lo que leemos (aunque a veces se hace muy dificil) antes de formarnos una opinión.
• Cuidado con lo que publicamos: Tanto los bloggers como los usuarios de sitios de noticias tenemos que tener especial cuidado antes de difundir falsedades o reproducir errores.
• Mucho cuidado con las traducciones: Las traducciones inexactas (o totalmente erróneas, como en este caso) nos pueden jugar más de una mala pasada. Siempre que esté al alcance de nuestras posibilidades, debemos consultar los textos en el idioma original. (Hoy por hoy, es indispensable para un informático el conocimiento del idioma inglés.)
• La web ha cambiado: En Estugno, en Menéame y en éste mismo blog, la noticia está corregida. The Inquirer, Datafull y otros todavía siguen propagando el error. Es curioso el caso de Menéame, en donde primero se hicieron eco de la falsa noticia y luego se desmintió. Esto muestra claramente el poder de la cooperación y colaboración de los usuarios. (¿Escuchó hablar de la “Web 2.0“?)

Aclaración: He incluido las capturas de pantalla de cada uno de los sitios mencionados, por la alta probabilidad de que en algún momento sean modificados.

Actualización (4 de agosto de 2006): The Inquirer ha corregido la noticia, y uno de los editores ha dado las explicaciones del caso (y pedido las disculpas correspondientes) tanto el el sitio original, como en Estugno, Menéame y en este blog. Esto, amén del error, denota la buena voluntad y la honestidad de este medio (otros, como Datafull siguen sin acusar recibo). Además, la noticia ha aparecido en la portada de Barrapunto, lo cual ha ayudado aún más a difundir la noticia (una muestra más del poder de la colaboración entre navegantes).

La idea es muy simple: un directorio de sitios, que es construido por los visitantes, quienes pueden agregar, comentar y puntuar sitios web de la Argentina. El sistema ofrece información adicional sobre los sitios, tales como capturas de pantalla en miniatura y el valor de PageRank de Google.

Potenciada por los conceptos de la llamada “Web 2.0“, promete ser una herramienta muy útil. ¡Desde aquí te deseo la mayor de las suertes, Santi!

La propuesta de Slashdot es muy simple: cualquier usuario puede proponer noticias que luego son revisadas por los editores del sitio y, de ser publicadas, luego son comentadas y discutidas por el resto de los usuarios. Éstos también pueden calificar el nivel de los comentarios emitidos, dando lugar a una especie de selección darwiniana.

El “cuello de botella” de este tipo de sistema son los editores. Ellos deben revisar cada uno de los artículos propuestos y, por más que intenten seguir los intereses de los visitantes del sitio, la elección de su publicación se realiza de acuerdo a su criterio arbitrario. Esto es lo que solucionan los nuevos sistemas como Digg: La publicación se decide por el voto de los visitantes.

Cuando un usuario envía un artículo, este es colocado en una cola. El resto de los visitantes tienen la posibilidad de votar por él, pero no todos los votos tienen el mismo peso: cada usuario tiene un nivel de importancia, determinado entre otras cosas por los artículos que él mismo ha publicado. Esto es más que razonable, ya que si un usuario tiene más artículos publicados, entonces de alguna manera refleja el interés de más usuarios.

De esta manera tenemos un sistema de publicación y valoración de noticias que funciona con la sola participación de sus usuarios, reflejando con mayor fidelidad sus intereses y opiniones. Gracias al trabajo de Ricardo Galli, un conocido desarrollador de software libre español, los hispanohablantes contamos con el equivalente de Digg en nuestro idioma: Meneame. ¡Visítelo, vale la pena!

En estos días se anunció que Google adquirió 2^96 direcciones IPv6 (algo así como un 8 seguido de veintiocho ceros, un bloque veinte trillones de veces más grande de direcciones que la Internet actual), y su red de servidores habría superado los 450.000 en todo el mundo.

Un artículo en Barrapunto de noviembre de 2005 intenta listar los servicios de Google, pero es muy dificil estar actualizados (hace un par de días, por ejemplo, acaban de lanzar un servicio de pagos online).

A modo de resumen, una lista tomada de Caballe.cat:

Sabías que Google…

• Controla lo que miras.
• Sabe qué tienes en tu PC.
• Sabe adonde vives.
• Sabe qué compras y cómo lo pagas.
• Sabe con quién hablas.
• Conoce tus gastos.
• Te muestra las noticias.
• Lee tu correo.
• Sabe cómo piensas y qué haces.
• Sabe a quién conoces.

Hay que tomar conciencia y estar atentos, no permitamos que algo como esto nos suceda.

Este es el Departamento de Computación de la UNRC visto desde el aire.

¿Qué sucede? Es que estoy conectado a Fibertel y ellos han interpuesto entre mi PC y el servidor en donde está mi blog un Proxy transparente, que evidentemente no funciona nada bien…

Esta es una de las tantas prácticas que utilizan los proveedores de acceso a Internet (ISP, por “Internet Service Provider“) para supuestamente mejorar sus servicios. En realidad, el objetivo de esta y otras tantas maniobras técnicas es reducir sus costos antes que favorecer a sus clientes (aunque como ya dijo Napoleón, no hay que adjudicar a las malas intenciones lo que es perfectamente explicable por la estupidez).

A continuación, algunas de las aberraciones a las que nos someten nuestros proveedores de Internet:

Proxys transparentes

Todo requerimiento a un servidor web (típicamente, protocolo TCP, puerto 80) es “desviado” hacia un servidor del ISP (llamado proxy). Éste verifica si dispone de una copia del recurso requerido en su caché y de ser así nos la envía (simulando una respuesta del servidor original). En caso contrario, reenvía nuestro requerimiento al servidor original y nos devuelve su respuesta.

El término “transparente” (quizás sería mejor llamarle “oculto“) se utiliza porque el cliente (quien realiza el requerimiento) cree estar comunicándose directamente con el servidor de destino, y nunca advierte que el proxy interviene en la comunicación.

Cuando esto funciona bien, la respuesta al usuario es más rápida y el proveedor ahorra ancho de banda; pero si el proxy no está bien configurado, puede convertirse una pesadilla para el usuario.

¿La solución? Que el ISP ofrezca al cliente su proxy como un servicio (hasta podría ponerlo en su publicidad) y deje que sea éste último quien decida cuándo y cómo utilizarlo. La realidad es que la mayoría de los ISP que utilizan proxys transparentes ni siquiera lo reconoce (aunque técnicamente es muy fácil comprobarlo).

Control de ancho de banda

Esta técnica consiste en privilegiar o penalizar cierto tipo de tráfico de datos. De esta manera, por ejemplo, un ISP puede dar mayor prioridad al tráfico de la web (conexiones TCP hacia puertos 80) o puede limitar a determinado ancho de banda el tráfico de cierta aplicación.

El problema aparece cuando los usuarios no son notificados de estas maniobras y empeora cuando se utilizan ciertas técnicas para lograr que no podamos evitar estos “controles“. Ocurre que muchas aplicaciones, por ejemplo la mayoría de los sistemas de comunicación “peer-to-peer” que se utilizan para intercambiar archivos, para esquivar este tipo restricciones utilizan puertos variables. De esta manera, el ISP debe inspeccionar el contenido de los paquetes, para analizar el protocolo y descubrir si se trata de una aplicación que quisiera limitar (el tráfico peer-to-peer parece molestar mucho a los ISP…). Esto es una verdadera aberración técnica, ya que destruye el principio de la separación de capas (modelo OSI), principal virtud del protocolo de Internet TCP/IP.

¿La solución? Simplemente, no hacer nada. A lo sumo, dar mayor prioridad al tráfico de aplicaciones de tiempo real (como VoIP), pero no penalizar ningún tipo de tráfico (y ni hablar de “destripar” paquetes para analizarlos…).

Filtrado de puertos

Muchos proveedores bloquean el acceso a determinados puertos de las IPs asignadas a sus clientes. Esto se hace con la supuesta intención de “proteger” al usuario de ataques, gusanos, etc. El problema se presenta cuando un usuario necesita que desde la red puedan conectarse a su PC a un puerto que está siendo filtrado. En otros casos, peor aún, impiden las conexiones salientes hacia determinados puertos (lo cual directamente imposibilita la utilización de ciertos servicios a través de Internet).

Personalmente, he perdido horas al teléfono, tratando de que un ISP elimine las reglas de filtrado para una conexión, llegando a un caso en que el técnico fue incapaz de encontrar cuál era la regla que impedía el correcto funcionamiento de mi sistema.

¿La solución? Nuevamente, que el ISP ofrezca el servicio de filtrado de puertos a sus clientes, dejando a éstos la posibilidad de elegir su contratación o la instalación de su propio firewall.

Venta de ancho de banda

Es común que en las publicidades se nos ofrezcan conexiones de determinado ancho de banda (512Kbps, 1Mbps, etc.). Muchos usuarios inexpertos, luego de firmar el contrato de servicio, descubren que el ancho de banda prometido no es el real, sino el máximo. En ningún lugar del contrato se establece cuál será el ancho de banda mínimo que el cliente tendrá a su disposición.

Sin duda, nadie compraría caramelos a un quiosquero que dijera: “Por $2 te puedo dar hasta 20 caramelos”, pero con las conexiones particulares a Internet, parece no haber alternativa.

¿La solución? Que en los contratos se estableciera claramente el ancho de banda mínimo, además del máximo.

Rompiendo Internet

En resumen, los ISP (como tantos otros participantes de Internet), deben comprender que estas prácticas (y varias otras que no he comentado), atentan contra los principios gracias a los cuales Internet se ha transformado en la poderosa herramienta que actualmente es. En términos más simples: no están mejorando Internet, la están rompiendo.

Además, ya que estamos pagando por un servicio, debemos tener en cuenta que si nuestro proveedor nos filtra puertos, nos demora (o descarta) paquetes o de alguna otra manera se mete con nuestro tráfico, lo que nos está vendiendo técnicamente no es una “conexión a Internet“.

Todos quienes intentan justificar estas prácticas deberían comenzar leyendo el artículo “Mundo de Extremos“, para comprender la simpleza y la potencia de Internet. Y, cómo no, más de un técnico debería buscar un buen libro de TCP/IP (o dos).

Pero lamentablemente debemos darnos cuenta de que ni los ISP (ni ninguna otra empresa) comenzará a hacer las cosas a nuestro favor. Tenemos que ser nosotros (los consumidores, el público), quienes tomemos conciencia y comencemos a exigir lo que nos corresponde.