miércoles, febrero 28, 2018

Alemania: Robo de información por crackers rusos al Gobierno

(vía DragonLadyU2, enlaces gracias a Luís I. Gómez) Se ha publicado en varios medios de comunicación que crackers rusos han logrado acceso a varios sistemas del gobierno alemán, robando información al menos del Ministerio de Exteriores y del de Defensa. El ataque se detectó en diciembre y se estima que los crackers se infiltraron al menos durante un año en los sistemas alemanes. El grupo, llamado APT28 o Fancy Bear, se le relaciona con agencias de inteligencia rusas.

Los procedimientos para dejar limpios los sistemas, así como recuperar copias limpias de todo y analizar que no se han implantado ninguna puerta trasera serán lentos. También será complicado estimar la cantidad de información robada y lo sensible de la misma. Alemania está teniendo serios problemas en Defensa convencional y parece ser que también en el tema de la ciberseguridad.

La ciudad que te vigila

(vía El Perdiu) Las tecnologías de machine learning y visión por computadores se están combinando para analizar los patrones de comportamiento de las personas que se mueven en las ciudades. En el artículo Your city is watching you se describe el uso que están haciendo varias empresas de los datos que recogen a través de cámaras para mejorar los diferentes aspectos de la ciudad. Pero también para analizar cuál es el comportamiento de las personas en la misma y poder, en un momento dado ofrecer servicios de acuerdo a las mismas:

As Aggarwala’s company begins outreach, planning, and eventually design for its smart city project in Toronto, the most high-profile effort to build a neighborhood “from the internet up,” he says one of the guiding factors is designing a natural space for pedestrians. Crossings should feel safe. Pavement with embedded LED lights could change color based on changing uses, offering subtle cues. Dynamic wayfinding and signage, which showed directions to coffee shops in the morning, will switch in the evening to highlight nearby restaurants and bars. Adaptive traffic signals will recognize pedestrians, cyclists, and transit vehicles at intersections to improve safety, and an autonomous shuttle might ferry residents across the neighborhood. He wants to design something so interactive and understanding that people will put down their phones.

Las posibilidades que empiezan a abrir estas tecnologías, especialmente si son usadas por gobernantes que creen que su misión es es imponer un determinado modelo de ciudad, son cuanto menos inquietantes.

martes, febrero 27, 2018

Hacking de tractores: El derecho a reparar

Suponed que hacéis una inversión en un novísimo tractor de John Deere. Todo va bien hasta que un día tienes un problema mecánico. Pero el mecánico local no puede repararlo porque no tiene acceso al software de diagnóstico necesario ni a la documentación técnica. Lo que antes hacías en un tu pueblo, ahora es necesario meter un tractor en un camión y llevarlo al servicio técnico oficial. Lo que antes podías reparar en tu taller, ahora necesita de un software que el fabricante sólo permite usar a sus distribuidores oficiales. Que añadir un equipamiento al tractor de segunda mano tampoco funciona porque los números de serie programados no coinciden. ¿Suena a fantasía?. Pues está ocurriendo en Estados Unidos ahora mismo. Es tal el problema, que ya hay varios estados trabajando en legislaciones que permitan obtener esta información y software a talleres independientes

Podéis ver un pequeño reportaje sobre este asunto publicado por Motherboard a principios de febrero

En Estados Unidos, cada vez hay más legislaciones estatales que intentan dar ese derecho a reparar a los consumidores de los productos. Por supuesto, esto no ha sentado demasiado bien en las compañías tecnológicos, como Apple, que desean tener una integración y control total de la cadena de valor, incluyendo a quien les dan los manuales y el acceso a las piezas de repuesto. Como siempre, las excusas que se utilizan para estar en contra de estas legislaciones son la protección de la propiedad intelectual o la seguridad de los datos de los consumidores. Pero esto no sólo afecta a la electrónica de consumo. Toyota, por poner un ejemplo, también presiona para que este tipo de legislaciones no se aprueben en Estados Unidos.

En el caso de vehículos, en la Unión Europea el acceso a dicha información debe estar permitida sin discriminación.

domingo, febrero 25, 2018

ssh-add en Mac OS X

El conjunto de programas OpenSSH incluye un agente, ssh-agent cuya misión es almacenar las claves privadas del usuario. A este agente puede preguntarle los comandos que necesiten acceso a las mismas para autentificarse con otros sistemas. El agente se controla con la ayuda del programa ssh-add. Llamamos al comando pasando como parámetro la ruta al fichero donde está la clave privada que queremos añadir al agente. En caso de que dicha clave esté protegida por una contraseña, el programa nos preguntará por la misma y la usará para poder acceder a la clave privada

Una particularidad que tiene el comando ssh-add en OS X es que se le ha añadido la opción de permitir almacenar las contraseñas de acceso a las claves privadas en el gestor de contraseña - keychain - que tiene Mac OS X. De esta manera, no es necesario estar desbloqueando las mismas usando las contraseñas cada vez que se desee añadir al agente, el sistema lo hará por tí

jueves, febrero 15, 2018

Comisión parlamentaria en el Congreso sobre el accidente del JK5022

Se cumple en agosto de este año el décimo aniversario del del accidente del Spanair JK5022, (en español) que se estrelló justo después de despegar del aeropuerto de Madrid - Barajas tras entrar en pérdida. Fallecieron 154 personas y sobrevivieron 18.

En junio del 2011, tras años después del accidente, la CIAIAC publicó el informe A-032/2008, con las conclusiones de la investigación y las causas probables del accidente.

Como bien se sabe, la misión de la CIAIAC no es buscar culpables judiciales cosa que recuerda en la página web desde donde se pueden descargar esos informes:

El propósito de las investigaciones que realiza la CIAIAC no es la determinación de culpabilidades o responsabilidades, ni prejuzga la decisión que se pueda tomar en el ámbito judicial. Las investigaciones tienen el objeto de determinar las causas y las circunstancias en las que se producen los accidentes e incidentes de aviación civil con la finalidad de prevenirlos en el futuro, y la formulación de recomendaciones que eviten su repetición, de conformidad con el Convenio de Aviación Civil Internacional (Chicago, 1944) y su Anexo 13.

Hace cinco años,leí que las familias seguían si aceptar las conclusiones del informe realizado por los técnicos del Ministerio de Fomento. El informe fue realizado por las personas que examinaron los restos del aparato y leyeron los contenidos de las cajas negras, por peritos especializados en accidentes aéreos y con un representante de National Transportation Safety Board, el cual fue asistido por representantes de la compañia Boeing, Pratt & Whitney, la NTSB y la FAA. siguiendo las pautas detalladas en el Annex 13 de ICAO.

A principios de este mes de Febrero, se ha sabido que se va a crear una comisión parlamentaria en el Congreso, tras las recogida de 60000 firmas en la Plataforma Change.org. Según los promotores de la misma, la Asociación de Afectados del vuelo JK5022, les ocultaron la verdad de lo que pasó.

Llegado a este punto, es necesario leer el texto de la petición en Change.org:

Casi diez años después, el Congreso de los Diputados aún no ha abierto una Comisión de Investigación para esclarecer las causas del accidente, depure responsabilidades, extraiga conocimientos para la seguridad y prevención de accidentes aéreos y repare a las víctimas y sus familiares con la verdad/justicia.

Dudo mucho que los firmantes de dicho manifiesto, mucho menos los partidos políticos que han votado a favor de la creación de dicha comisión de investigación, se hayan leído el informe de la CIAIAC sobre el accidente. En el informe, como comentaba en esta entrada, se da una detallada lista de probables causas del accidente y un conjunto de recomendaciones a diversos estamentos dentro del mundo aeronaútico para aumentar la seguridad de los vuelos recogidas en el capítulo cuatro del informe.

La petición termina con este párrafo:

Las familias de más de 70 canarios fallecidos y las de las 172 personas que se subieron al Vuelo JK5022 exigen saber la verdad y que se haga justicia.

Tengo todas mis dudas que sus Señorías en el Congreso de los diputados lo vayan a hacer mejor que los técnicos que analizaron los restos del avión y todos los parámetros que causaron el accidente. De lo que estoy seguro es que de su misión no es hacer justicia, de eso se han encargado los tribunales de justicia. En todo caso, delimitar responsabilidades políticas, que hasta donde sepamos, ningún representante político iba a los mandos del MD-82

Entiendo, que poniéndome en la piel de los familiares de los fallecidos o de los supervivientes que es durísmo asumir que el avión no despegó porque no se metieron los slats / flaps y los pilotos se olvidaron de verificarlo en las check list correspodientes además de que el indicador de TOWS pudiese no funcionar. Pero ahora mismo, cuando leo todas las noticias y lo que dicen las asociación de afectados, no puedo dejar de pensar que se está tirando mierda sobre la labor realizada por un montón de técnicos y de agencias de dos países, acusándolos de mentirosos. Y esas cosas, hay que demostrarla con pruebas.

Otra cosa importante: La investigación penal fue archivada por la Audiencia de Madrid en Septiembre del 2012, el Tribunal Constitucional rechazó el recurso de amparo y el Tribunal de Estrasburgo i tampoco admitió a trámite el recurso presentado ante el mismo. Es decir, con todas las pruebas presentadas por la asociación, la investigación, las declaraciones de los peritos, todo presentado de acuerdo a la ley, no se ha apreciado conducta delictiva.

Me hago las siguientes preguntas:

  • ¿Alguien me puede decir que tipo de justicia puede dar el Poder Legislativo? ¿Qué puede aportarme sus Señorías cuando el informe técnico da una detallada lista de causas y recomendaciones para evitar accidentes similares?.
  • ¿Por qué se oculta - siendo benévolo - eso en las peticiones en Change.org - la existencia de una causas y una serie de recomendaciones de seguridad que se publican en el informe de la CIAIAC
  • ¿Por qué todas las declaraciones que leo hablan de ocultación de información?. ¿Qué pruebas hay para defender esa postura?
  • Y lo que me parece más importante, ¿es gratis afirmar en medios, que los Órganos Colegiados, como CIAIAC, compuestos por técnicos no tienen ni idea de su trabajo y que todo el informe es mentira? ¿Se es consciente de la desconfianza,?
  • ¿Se puede acusar de ser parciales a tribunales que hacen su trabajo?

Hay que recordar que la aviación es uno de los medios de transporte más seguros que existen. Que España es uno de los destinos turísticos mayores del mundo y que recibimos multitud de aeronaves a lo largo de estos años. Que con base en España operan varias compañías y que la mayoría de los accidentes aéros en España tuvieron lugar en los años 70 y los 80. Esto último, a tener en cuenta cuando se habla tan alegremente de la inseguridad de la aviación en España.

Caduca la última de las patentes del standar MPEG-2 (excepto en Malasia y Filipinas)

(vía Slashdot) Ayer caducó en Estados Unidos la última del conjunto de patentes por las cuales estaba protegido el estándar MPEG-2 y por la cual había que pagar royalties a su creador - Thompson - en caso de que se decidiera desarrollar software o hardware que manejara dicho formato de vídeo.

¿Por qué es importante este formato?. Para empezar, es el usado en los DVD, la televisión digital - ya sea por cable, satélite o aérea - , con lo cual cualquier aparato o software que lo implementase debía de pagar. De hecho, Microsoft retiró de Windows 10 el reproductor de medios que permitía el uso de dicho formato, por los costes de licencia que tenía que pagar a los propietarios de las patentes.

A partir de mañana, cualquiera podrá implementar este estándar sin pagar royalties.

º

martes, febrero 13, 2018

Sistemas Distribuidos (3ª edicción) disponible de manera gratuita

El libro Distributed Systems 3rd edition (2017), escrito por Maarten van Steen y "Andy" Tanenbaum, puede descargarse de manera gratuita, acompañado de las figuras y presentaciones del mismo. Ojo, porque a día de hoy, dado la cantidad de peticiones que ha recibido, no están procesando peticiones de descarga del libro, dada la avalancha que han recibido.

Está dividido en nueve capítulos:

  • Introduction
  • Architectures
  • Processes
  • Communication
  • Naming
  • Coordination
  • Replication
  • Fault tolerance
  • Security

Puede comprarse por unos 33 dólares en Amazon una copia en papel.

jueves, febrero 08, 2018

Borrado seguro en macOS Sierra

Hasta la versión 10.11 de macOS (El Capitan), el sistema operativo instalaba el comando srm, el cual se podía utilizar para hacer un borrado seguro de los ficheros,usando el métido Gutmann (opción -G). Apple partió de una versión semiabandonada de srm que fue actualizando en sus propias fuentes. Actualmente la versión de Sourceforge tiene los cambios y mejoras introducidos por Apple.

Si se quiere instalar en Sierra, se puede bajar las fuentes (última versión 1.2.15) , compilar e instalar de la siguente manera:

$ ./configure --prefix=/usr/local
$ make
$ sudo make install

A partir de macOS Sierra (OS X 10.11) Apple ha añadido una nueva opción al comando rm que realiza tres sobrescrituas del fichero antes de eliminarlo del disco:

-P    Overwrite regular files before deleting them. Files are
      overwritten three times, first with the byte pattern 0xff,
      then 0x00, and then 0xff again, before they are deleted.

¿Por qué se ha eliminado el comando srm?. Porque a día de hoy, las unidades de disco sólido (SSD) que traen de serie los Mac soporta el comando trim, donde el sistema operativo le indica a la unidad que bloques han quedado libres, encargándose la unidad de borrarlos internamente. De esta manera se evitan escrituras innecesarias a los bloques de datos.

Bajar el JDK desde Oracle en la línea de comandos

No entiendo demasiado la postura de Oracle a la hora de bajar el Java Developer Kit, que hace ir a página de descargas y asegurarse que se ha pulsado el botón de que se acepta la licencia del JDK. Sin embargo, hay una manera muy sencilla de bajarse el JDK sin necesidad de ir a dicha página y usando curl o wget. Se trata de añadir la siguiente cookie a la petición:

Cookie: oraclelicense=accept-securebackup-cookie

Por ejemplo, para bajarnos el JDK para Linux 8u162, bastaría usar esta orden:
curl -C - -L -O -# -H  "Cookie: oraclelicense=accept-securebackup-cookie" http://download.oracle.com/otn-pub/java/jdk/8u162-b12/0da788060d494f5095bf8624735fa2f1/jdk-8u162-linux-x64.tar.gz

¿Por qué esto es útil? Porque permite realizar instalaciones y provisionamientos de máquinas desde scripts o usando sistemas como puppet o ansible. En mi caso, lo utilizo para tras desplegar una máquina en un servicio EC2 de Amazon, ejecutar un script que lo deja con el software instalado que necesito.