Google, un Operador Dominante que "ha hecho un daño real a usuarios e innovación"

La agresividad y la competencia que tienen las grandes empresas tecnológicas es mítica. Como las moléculas luchando por los átomos se atacan y se defienden empleando al máximo posible sus recursos. Estos pueden ser tecnologícos, proponiendo cada día nuevos servicios y productos que consoliden su posición, económicos, fagocitando cualquier empresa tecnológica de buen ver o con una propuesta de innovación distinta, y políticos, aprovechando cualquier escenario posible para hacer lobby.

Figura 1: Google ha hecho un daño real a los usuarios y la innovación

Cuenta la historia que cuando Mark Zuckerberg adquirió uno de los edificios de la antigua Sun Microsystems para poner un cuartel de su Facebook, no quitó el logo y solo le dio la vuelta para que nadie se olvide de que mañana otro puede llegar y poner su logo ahí.

Figura 2: El logo de Sun Microsystems oculto tras el de Facebook

Google no es menos que los demás, y aprovecha sus armas igual que los demás. Igual que Microsoft, igual que Apple, igual que Facebook. Esa guerra brutal es la que lleva a que los servicios de valor sean cada vez menos interoperables, y a que cada uno de los grandes esté viendo cómo montar su jardín privado donde cultivar sus beneficios, con dispositivos, clientes de Internet y servicios en la red que permita crear un círculo virtuoso de generación de beneficios. Así es la ley de los nuevos negocios sostenibles a largo plazo.

Google y la competitividad

Centrándonos en caso de Google, la compañía lleva años peleando por crecer utilizando estrategias curiosas, antaño no esperadas por los expectantes admiradores de la compañía "que era solo un buscador sin publicidad ni más distracciones en los resultados", que se resumieron en el famoso Google, don´t be Evil de la compañía, que hubo que acabar por ocultar.

Su negocio, aunque han crecido mucho en otros sectores, siguen siendo los ads. La publicidad que ponen en todos los medios que les es posible. Ads en el buscador, ads en el correo electrónico, ads en los blogs, ads en los vídeos de Youtube, ads en las apps de Android, ads en las apps de gestionar ads. Poner anuncios sobre todo lo que sea posible, para lo cual necesitan controlar los grandes nichos de publicación de contenido donde poner los ads. Es decir, de nada te serviría poner muchos ads si nadie va a visitarlos, y nadie irá a visitarlos si no hay buen contenido ... o alguien los re-dirige allí.

En el caso de los contenidos, Google comenzó a generar sus propios sistemas de contenidos para controlar que en ellos no se pusiera otra publicidad que no fuera la suya. Por ello lanzó Gmail, al que seguirían proyectos como Google Maps, Google Earth, o la adquisición de Youtube, para controlar el mercado de los vídeos en Internet y tener una buena posición en el mercado de los contenidos a la carta servidos con ads, aunque estos ads se pongan sobre películas subidas ilegalmente que estén alimentando a los piratas a hacerlo más y haciendo daño a los creadores de contenido - que más da, son ads -. 

Figura 3: Ads en copias piratas de películas subidas en youtube 

Otros temas más polémicos de "adquisición" de contenido para controlar datos y hábitos fueron el caso de los Orphan Books, que al final consiguieron sacar adelante gracias a trabajo de lobby, y Google News - que les acabaría generando problemas con los medios de publicación a los que atajaría el presidente Barack Obama hablando de "Neutralidad en la red" la misma semana que sucedió todo -. En este último caso no ponían adds, pero sí que generan tendencias y podrían - y está por ver si lo hacían o no según el último informe de la FTC - dirigir el tráfico hacia medios que usaran sus ads y no los de otros.  Sí, a Google le preocupa muy mucho qué ads tiene tu sitio, por eso cuando navegas con el User-Agent del Bot de Google en un sitio, procura no servir ads de sus plataformas para no perder dinero pagando a otros. 

Con la irrupción del mundo de los blogs, también adquirieron las plataformas donde se gestionaba el contenido, como el caso de Blogger y Feedburner, y potenciaron el famoso Google Reader, un gestor de feeds RSS que a todos nos encantaba, pero que decidieron sacrificar en pro de intentar coger la ola de los ads en las redes sociales que ya tantas veces se le ha escapado. Se les adelantó en las plataformas de mensajería primero Microsoft Messenger, luego Skype con la vídeoconferencia, luego Facebook con las redes sociales, luego WhtasApp en el mundo del móvil, y ellos no consiguieron estar ahí ni con GTalk, ni con Orkut, ni con el actual Google+ que la gente utiliza muy poco y solo como forma de garantizar que el buscador de Google dé un mejor trato al contenido que se publica en esas redes.

La guerra por el navegador: Batalla en el subcomité ECMA T39

Poner los ads y que otros no te lo pongan, esa es la clave. Para ello, hay que cerrar el camino entre el usuario que ve ads y los ads que sirve la compañía sin que nadie te intermedie en el futuro. Con ese objeto lanzaron su navegador Google Chrome, justo después de que impulsaran un cambio en el estándar de ECMA Script que hizo saltar la banca por los aires y generar un conflicto que duro años e hizo la vida de todos los programadores web mucho más complicada.

Ellos apostaron por impulsar una versión de ECMA Script que NO era compatible hacia atrás 100% con todas las aplicaciones de Internet que se habían creado ya mientras que Yahoo! y Microsoft apostaron por diseñar ECMA Script 3.1 (que sería cerrado en 2009) para dar compatibilidad hacia atrás de forma estable. Durante años los desarrolladores tuvieron que hacer una página web para Internet Explorer - ECMA Script 3.0 - y otra para Google Chrome que apostó por la versión previa de ECMA Script 5.0 - ya que ECMA Script 4.0  estaba denostada - sin que entendieran muy bien por qué pasaba esto.

Lógicamente, todo esto se fraguó meses antes de que Google anunciara Google Chrome (Septiembre de 2008), porque puestos a conseguir usuarios que mejor que obligar a migrar a todo el mundo las aplicaciones web. De hecho, aún sabiendo que Internet Explorer no implementaba ECMA Script 4.0/5.0, los creadores del test ACID3 (Lanzado en Marzo de 2008) - empleados de Google - que estaba basado en ECMA Script 5.0, se empeñaban en lanzarlo sobre Intenter Explorer para señalarlo con el dedo, lo que generó mucha polémica en contra de la compañía. Con Internet Explorer 9 e Internet Explorer 10 Microsoft decidió implementar ECMA Script 5.0 y más estándares acabados (no en draft) con un modo de compatibilidad hacia atrás en el navegador que permitiera ejecutar aún ECMA Script 3.0 y dar soporte a las aplicaciones. No sería hasta la llegada de HTML 5 y los estándares de ECMA Script 6.0 cuando se cerraría este capítulo de problemas para todos generado por una decisión de competencia.

Hay que tener en cuenta que si un fabricante tenía una app que funcionaba con Internet Explorer no se vería obligado a migrar su aplicación a los nuevos estándares, lo que haría que no se pudiera usar un nuevo navegador. Si se forzaba el cambio, se podría introducir el nuevo navegador, aprovechando el cambio - y más cuando Google Chrome ya estaba cuasi preparado para salir cuando se debatía todo esto-

La guerra por el navegador: Elección de navegador pero no de Proxy

En este capítulo por la lucha y la supervivencia, vimos como el lobby de Google consiguió ganar otra batalla a Microsoft. Consiguió que en el sistema operativo Windows se obligara a elegir qué navegador se quiere utilizar por defecto, haciendo que la compañía de Redmond tuviera que lanzar una alerta a todos sus usuarios con un selector de navegador por defecto.

Figura 4: El banner que tuvo que poner Microsoft en todos los Windows

Me gustaría ver a Google hoy en día haciendo algo similar en Android, o dejando seleccionar con un cuadro de dialogo al inicio qué buscador se quiere configurar por defecto. No, eso no va a pasar. Para que os hagáis una idea, con la llegada de HTTP 2.0 (basado en SPDY), Google no pretende dar a elegir para nada cuál debe ser el proxy que se llevará el tráfico no cifrado, lo que hace que si tú te conectas desde tu casa a la web de tu empresa y no lleva HTTPs y está en tu misma ciudad, todo el tráfico desde Google Chrome vaya directamente a los servidores Proxy de Google (ahora en USA) y luego al servidor de tu empresa. ¿Podrá elegir el usuario el servidor Proxy al que se enviará? Por ahora no y parece que será así.

Figura 5:  Funcionamiento de SPDY (y HTTP 2.0)

Batalla en el dispositivo: Android, Google Play y el Wardriving

En el mundo de los sistemas operativos móviles, de iOS es el que se lleva el dinero mientras Android se lleva el grueso de los usuarios, ha estado utilizando una estrategia de dejar que se suban apps de cualquier tipo - solo con el objeto de conseguir números de apps similares a las de iOS - pero la calidad de las mismas dista de ser ni parecida y los controles automáticos son saltados día sí y día también por gente que quiere hacer negocio con viejos esquemas de fraude online como los dialers, las suscripciones a mensajes SMS Premium, los clics en la publicidad o las botnets en Google Play. Ahora han anunciado que desde este año revisan manualmente las apps para que lleguen apps de calidad a los usuarios. Yo os dejo esta aquí para no comentar mucho más sobre el tema de la calidad de las apps.

Figura 6: App publicada en Google Play sobre cómo descargar WhatsApp gratis

En el orden de polémicas con la justicia, más allá de las peleas con la competencia, hay que recordar el caso del Google Car haciendo Wardriving y llevándose los datos de las redes WiFi. En ese momento lo que trataba la compañía era de tener un mapa de redes WiFi para poder usarlos en proyectos de triangulación y posicionamiento. Luego se darían cuenta de que no tenía sentido usar el coche como Wardriver cuando podían utilizar directamente el sistema operativo Android - tal y como hace también iOS de Apple - para llevarse toda esa información y saber dónde estás solo por las redes WiFi que ves. El caso del Google Car le generó registros en sus oficinas y demandas en países como España que al final se saldaron con poco ruido.

Google y el Espionaje publicitario saltándose estándares

Otro incidente que sí que afectó directamente a su línea de negocio fue el escándalo destapado por el Wall Street Journal en el que se demostraba que Google estaba saltándose los estándares de Do not Track en los navegadores con el fin último de poder entregar a las empresas de publicidad que contratan sus servicios de ads datos de navegación cruzada. Es decir, para poder pasarle a una empresa los datos de por donde ha navegado un usuario a través de los ads que le ha ido sirviendo. Esto le costó un denuncia y un multa ínfima, comparada con los réditos económicos que le sacaría a la venta de esa información a las empresas. Ads con tus datos y con tu información de navegación. 

Figura 7: El escándalo de Google saltándose Do not Track destapado por el Wall Street Journal

Google y la manipulación de resultados

La lista de casos es larga, pero el que ahora nos ocupa es de supina importancia, ya que el operador que recibe más del 90% de las búsquedas en Internet (Google, Youtube, Android, Google Now, Maps, etcétera) en muchos países, ha podido estar manipulando los resultados para mejorar sus servicios. Así lo piensan los miembros de la FTC (Federal Trade Commission) tras 19 meses de análisis y deliberaciones. Según documentos publicados por el Wall Street Journal, Google podría haber estado posicionando mejor en los resultados sus servicios, por encima de otros con mejor información, mejores datos o más ajustados a los objetivos de los usuarios, dañando a los usuarios, a la libre competencia y a la innovación.

Figura 8: Google ha hecho "daño real a los usuarios y la innovación"

Es decir, que Google, bajo supuestos cambios en su algoritmo y supuestas características, habría hecho que sus servicios estuvieran mejor situados para competir aprovechando su posición dominante en las búsquedas. Algunas casos, como los de Yelp o TripAvisor especialmente, donde Google ha estado copiando críticas de usuarios sobre hoteles y restaurantes para alimentar su propia base de datos - copiando contenido para mejorar su sistema.  Lo que debería hacer la compañía es tratar su enlaces de sus servicios como ads y no como resultados si no están bien situados.

Neutralidad en la red

Al final, esto se saldará con una denuncia y a otra cosa, porque tampoco vamos a rompernos las vestiduras con estas cosas, pero lo que sí que es cierto es que empecemos a entender que una empresa que tiene más del 90% de las búsquedas en Internet en muchos países, que se ha convertido en la puerta de entrada a la red de muchos usuarios, tiene que empezar a ser tratado como lo que es, como un Operador Dominante. La falta de transparencia hace que, como muchos sospechan, el gobierno de USA y la NSA pudieran llegar a manipular - con un ligero cambio en el algoritmo - qué noticias de un determinado tema salen antes en los resultados, las de un medio con una línea editorial cercana a un partido político o las de un medio con una línea editorial cercana a otro partido político. 

Figura 9: Google dio beneficios este año (antes es que estabamos en crisis y no podían ayudar)

Si estamos a favor de la neutralidad en la red, tenemos que estarlo a favor en todo su significado. Si a Microsoft se le hace sacar una versión de su Windows sin Media Player para permitir la competencia, un operador que gestiona el 90 % de las búsquedas y el 90 % de los ads de la mayoría de los países es un operador dominante que no tiene competencia, y por tanto debe ser tratado como tal. Sí, sabemos que la pobre Google no va bien económicamente y que a pesar de que en España controla las búsquedas y los ads, la pobre compañía solo ha pagado impuesto de beneficios este año (1.75 M€) porque los otros tres años atrás ha dado pérdidas - menos mal que autónomos y pequeñas empresas les han ayudado los anteriores en España pagando los impuestos solidariamente que parece que la crisis en España afectó mucho a Google, no te preocupes Google, ya irá mejor -.

Si una empresa controla el 90% de un servicio, sea cual sea ese servicio debe ser tratarse como tal, ya que en muchos países Europeos, una compañía con el 30 % del mercado puede ser considerado como tal y obligado a muchas cosas.

Saludos Malignos!

Java: 4 años de actualizaciones inseguras

Hace tiempo que usar Java en una empresa da la impresión de que es para valientes. Desde que se levantó la libre de que los kits de explotación estaban haciendo más uso de vulnerabilidades en Java que de productos Adobe para distribuir malware, todo el mundo comenzó a preocuparse un poco más por esta plataforma tan popular y extendida de desarrollo de aplicaciones.

Entre los movimientos relativos a Java más llamativos estuvo el cambio de política de Apple que hasta la versión Mac OS X Snow Leopard había llevado Java como bandera y que con el lanzamiento de Mac OS X Lion este verano decidió convertirlo en un Opt-in, al mismo tiempo que discontinuó el soporte para Mac OS X Leopard - SO que se vendió hasta hace 2 años -, dejándolo también sin soporte para parches de seguridad Java. 

El uso de Java en una plataforma Mac OS X o Linux es usado también como base para el lanzamiento de exploits con metasploit contra estas tecnologías, ya que este trae un meterpreter escrito en Java que ayuda a unificar el proceso de explotación, que aunque no es igual que la versión de Windows, sí que trae un buen número de comandos.

Sin embargo, en el uso de esta plataforma dentro de la empresa, y dejando de lado que haya vuelto a quedar mal en un estudio centrado en análisis de vulnerabilidades en programas, la plataforma Java tiene un problema con las actualizaciones que conoce desde el año 2007 y que no ha solucionado: Es vulnerable a Evilgrade.

Las técnicas de evilgrade fueron publicadas por Francisco Amato en la Ekoparty del año 2007 en una charla a la que tuve el gusto de asistir. A grandes rasgos, la vulnerabilidad radica en que el actualizador del software de un programa que se tiene instalado en la máquina no comprueba correctamente el software a instalar, y un atacante puede ejecutar un troyano, o un meterpreter. Aquí, tenéis un ejemplo con MacPorts, que también es vulnerable a evilgrade.  Son muchos los programas vulnerables a evilgrade, y es por ello que unimos la técnica de DNS Cache Snooping a FOCA para mirar qué software era vulnerable a evilgrade en una empresa de forma remota.

Y a esto es vulnerable Java.

Supongamos una máquina con el actualizador de Java comprobando periodicamente si existe alguna nueva versión de Java. Para ello, este programa se conecta a un servidor web que le dice si existe o no, y qué fichero contiene la nueva versión. Así, cuando aparezca una nueva versión, el actualizador de Java se conecta a la URL indicada, se descarga el programa y lo ejecuta en la máquina cliente.

Ahora supongamos un entorno atacado con evilgrade en el que el atacante, mediante un esquema de man in the middle intercepta las peticiones del actualizador y le contesta indicándole que sí que existe una nueva versión, redirigiendo a la víctima hacia un servidor controlado desde el que se le va a entregar no una actualización sino un software malicioso que le permita tomar control de la máquina de la víctima (un ejecutable con una reverse shell, un meterpreter o un troyano).

Esto sucedía con Java allá por el año 2007 y Francisco Amato lo reportó a la entonces Sun Microsystems, que lo "intentó parchear" en Diciembre de 2008.

El intento de parche fue en comprobar que el programa que iba a ejecutar el actualizador viniese firmado por Sun, algo que Francisco Amato se saltó de la forma más sencilla posible: Utilizando el propio Java para ejecutar los programas maliciosos. De esta forma solo hay que ejecutar cualquier programa en Java en la actualización maliciosa, ya que la maquina virtual de Java siempre está firmada por Sun. Aquí el vídeo de la demostración.

Así se quedó la cosa. Sin embargo, tras la publicación de que FinFisher, el troyano que usaban algunos gobiernos, utilizaba como esquema de infección una vulnerabilidad de evilgrade en iTunes que el propio Francisco Amato reportó a Apple hace 3 años y que solo había sido parcheada en la última versión 10.5.1., decidó comprobar si Java todavía era vulnerable a lo que él reportó en el año 2007, para descubrir que sí.

Así que, mucho cuidado con las actualizaciones de Java de tus equipos. Deshabilita el Java Updater y hazlo manualmente en tu casa desde una red de confianza y en tu empresa utilizando algún software de distribución de paquetes, como System Center Configuration Manager, por ejemplo. Por supuesto, ten cuidado con los equipos "perdidos" en tu red, y evita que un usuario fuera del control de tu System Center actualice Java y se metan en tus sistemas de red.

Saludos Malignos!

Spectra tiene un color especial

Hay que reconocer que Bill Gates consiguió unir a todos. Es un mago haciendo eso. Con él es fácil poner a todos de acuerdo: La culpa es de Spectra y de Bill Gates, que es el demonio. Cualquier cosa que ha sucedido en la historia con su persona o la compañía de la eme y la ese ha recogido las más duras críticas y las menores de las defensas. En eso hay que reconocerle que llegó al límite del éxito.

Sin embargo, con el resto de empresas la cosa es como que más pasable. Si Microsoft hubiera sido la empresa que hubiera comprado Sun Microsystems en lugar de Oracle, y hubiera hecho lo que ha hecho la compañía de la base de datos con MySQL, OpenOffice y Solaris seguramente estaríamos hablando de un cambio en la legislación para dictaminar en contra del uso de Microsoft a nivel mundial.

Si Microsoft hubiera hecho lo que ha hecho Sony con Geohot, denunciándole y persiguiéndole por crackear la PlayStation o tener los servidores de juegos caidos, en lugar de enviar una bonita camiseta al hacker, entonces los ejecutivos de Spectra hubieran sido ejecutados públicamente para después ser juzgados y, por supuesto condenados, en un tribunal Internacional que cambiaría la legislación para permitir la penitencia sumarísima.

Y cómo no, si Microsoft hubiera sido la empresa que hubiera grabado los datos GPS de las conexiones de los usuarios de Windows Mobile o Windows Phone 7, en lugar de ser Apple quién lo hizo con ay!fon o Google con Android, estaríamos viendo como el mundo entero se hubiera echado a la calle, con antorchas y guadañas para ejecutar, no solo a Bill Gates y cualquier trabajador pasado, presente o futuro de la compañía, a todos los MVPs, se hubieran derribado los edificios donde estuvo alguna vez una sede de la compañía. En el futuro tendríamos películas al estilo de Poltergeist con edificios fantasmagóricos creados sobre alguna sede de Microsoft, en la que los fantasmas viven una penitencia eterna instalando Window 95 en disquetes … ¡de cinco y un cuarto pulgadas!

Como es de suponer, El lado del mal hubiera sido cerrado sin esperar a orden judicial, yo habría tenido que cambiar de nombre, y abandonar el país con el pelo corto, afeitado y… ¡duchado!,para vivir un atroz exilio bajo un nombre como i-Smael, y poder simular ser un Apple fanboy.

Pero no, ha sido Steve Jobs, y aquí no ha pasado nada. No os espiamos, lo hace Google.

Así dice un supuesto correo, enviado desde un ay!fon, que se dice envió el propio Steve Jobs. Y todos le hacemos la ola… “oe, oe, oe,oe, ¡Qué no nos espían tontos! ¡Qué sólo se guardan esos datos para… para… bueno, aún no nos lo ha dicho, pero seguro que es para alguna cosa útil, como conocer la potencia y la cobertura de los teléfonos! ¡Qué no te enteras!”

Y a todo el mundo le parece bien. Le parece bien que Apple pueda, guardando las conexiones de las antenas acceder a los datos de posicionamiento de los usuarios por medio de triangulaciones. Le parece bien que Apple no tenga que requerir un orden judicial a España para solicitar esos datos: “Si total, ya los tiene Telefónica y Orange”. Les parece bien que el gobierno de los Estados Unidos pueda saber dónde están todos los usuarios del mundo que usen ay!fon sin pedir ninguna orden judicial a ninguno de los países donde estos usuarios sean ciudadanos, incluso muchos que han luchado contra la Ley Sinde solicitando que nadie cierre una web sin orden judicial.

Total, Steve y Google son buenos. El primero nos da dispositivos muy chulos y el segundo nos da cosas gratis, así que… ¿por qué quejarse o preocuparse?

Con los datos que recolecta Apple se puede identificar de forma única un teléfono a una cuenta iTunes en el 99% de los casos, y eso implica a una persona. Esos datos, quiera Apple seguir o no a los usuarios, quiera Apple tomar los datos de las antenas o preparar servicios de cupones por posicionamiento geográfico, sirven para identificar los movimientos de los usuarios. Atentan contra la privacidad de los usuarios.

Que ya la base de datos, que habrá que analizar en detalle, porque ese nombre de “consolidated” sugiere que se guardan datos de varias cosas, esté sin cifrar en el dispositivo y la pérdida o robo del mismo pueda suponer el acceso a todos los movimientos, es ya una bonita guinda para el pastel.

Que Android haga lo mismo y la gente esté tan contenta, y no se haya reaccionado en España desde el gobierno y la justicia para meterle mano me deja sorprendido. En Estados Unidos ya les han denunciado, los congresistas han requerido explicaciones a Apple y aquí… no pasa nada.

Total, el Esquema Nacional de Seguridad y la LOPD la escribimos, pero no para iPhone/iPad ni Android. Para ellos hay un bulo oficial, que va en el apendice 3, que dice: "Apendice 3: Me la suda la privaciad, y yo uso el iPhone en mi trabajo, aunque tenga un puesto público de seguridad, o sea un juéz"

En estos momentos me acuerdo de los programas de compartición de código con gobiernos que empujó Bil Gates para que los países inspeccionaran y tuvieran acceso al 100% de código de Windows y Office. ¿Dónde están los adalides políticos de la libertad para solicitar a Apple una inspección del código de iOS? ¿Por qué no exigen certificaciones Common Criteria para que sean evaluados por los comités que garanticen el tratamiento que hacen con los datos?

Por favor, tratad a Apple, Oracle, Google y Sony, al menos, como a Microsoft.

Saludos Malignos!

Informe X-Force Seguridad Semestral 2010

Hace unos años, cuando IBM se hizo con ISS, se llevó entre otras buenas cosas, el equipo X-Force que tantos papers e información de seguridad habían publicado a lo largo de años. Continuamente hacen trabajar a los equipos de seguridad de Microsoft, Google u Oracle con el descubrimiento de nuevas vulnerabilidades en el sistema, y es fácil encontrarlos en BlackHat presentando cosas nuevas.

Como la mayoría de los laboratorios, periódicamente sacan un informe de seguimiento y estado de la seguridad. El informe que ellos han hecho público, y puedes descargarte si tienes o te sacas una cuenta en IBM, es relativo al estado de las vulnerabilidades descubiertas en estos primeros 6 meses de 2010. Y los datos son curiosos.

Según el informe, aunque a día de hoy se desarrolla código mucho más seguro, cosa que tendríamos que revisar cuando seguimos encontrándonos con demasiada frecuencia advisories de seguridad de este tipo [Cisco SQL Injection], el número de vulnerabilidades descubiertas en 2010 durante estos primeros seis meses ha alcanzado el escalofriante número de 4.396. Es decir, que salen algo así como más de 730 vulnerabilidades al mes.

Este número supone un incremento de más de un 35% con respecto al peor de los años en los primeros seis meses. Y eso debe ser porque hay mucha más gente interesada en encontrarlas, por lo tanto más dinero en el negocio, y más gente con ganas de coger la caravana e irse a agitar el agua de los ríos en busca de pepitas.

Respecto a los mecanismos de parcheo de las vulnerabilidades, la cosa está fatal. Más de la mitad de ellas están aún sin parchear, y si se mira a las críticas o más peligrosas, el número alcanza el 71 % aun sin parchear. En este caso, el que peor lo hace es Google, que tiene el 33% de las críticas sin parchear. Si se mira quién tiene más vulnerabilidades, de todos los niveles, sin parchear, el ganador es SUN.


Gráfico porcentual de vulnerabilidates totales y críticas sin parchear
Por sistemas operativos, Microsoft se lleva la palma en vulnerabilidades críticas, pero si se miran todas las vulnerabilidades, este está siendo el peor año en seguridad para Apple y va muy cerquita de él Linux.

Como se puede ver, el tema de las protecciones de software necesita mejorarse, y a marchas agigantadas, o dentro de poco vamos a pasar 23 horas al día parcheando los sistemas, y 1 hora conectados a Internet acojonados perdidos.

Saludos Malignos!

OpenSolaris: Y esto es to..to..todo amigos

En el año 2006 se especulaba con la liberación como GNU del kernel de Solaris, después de un montón de tiempo discutiendo sobre la famosa GPL2/GPL3 y todo lo que aconteció en aquella guerra. Después, a principios del año 2007 se anunció el fichaje de Ian Murdock para OpenSolaris.

El señor Ian Murdock, aparte de tener un apellido que a los más fanáticos de la serie del Equipo A os sonará a cachondeo, es famoso por dos cosas principalmente. La primera de ellas, y más importante, por ser uno de los fundadores de Debian Linux. La segunda de ellas, por haber montado un lio en España dando su charla de un congreso de Hispalinux con un Tablet PC con Windows XP, de lo que tuvo que responder al final públicamente.

He de reconocer que mis gustos por Solaris me hizo pensar que OpenSolaris iba a ser una buena alternativa para algunos servidores, ya que parecía que Sun estaba apostando por él. Sin embargo... las cosas no iban a ir bien.

En Septiembre de 2007 Sun Microsystems anunciaba su gama de servidores con Windows Server, tal y como ya hacía IBM tiempo atrás. El mercado se lo demandaba, y ellos acabaron entrando en las plataformas Windows de servidores.

Sin embargo, el proyecot OpenSolaris tendría su oportunidad en Mayo de 2008, cuando salió su primera gran versión a ver si había suerte y se ganaban la confianza de los clientes. Y a muchos gustó, pero no consiguió generar sufientes dinero para una compañía como SUN que, metidos ya en la crisis, en Noviembre de 2008 anunciaba 6.000 despidos.

Meses después, con la compañía a la deriva, durante el mes de Abril de 2009, Oracle toma el control de la compañía y ya se olisqueaba, "con malicia" a ver lo que podía pasar con los proyectos menos rentables de la compañía y aquellos que podían serlo más. James Gosling, conocido como el padre de Java, abandonaba el barco a las primeras de cambio.

Y ahora... le toca el turno a OpenSolaris. Steven Stallion, uno de los miembros del equipo de OpenSolaris lo anuncia en su blog con un aplastante título: OpenSolaris is Dead. En ese post ha publicado un mail enviado a los trabajadores internos donde se les explica que todo lo que hay hecho habrá que realinearlo con el negocio y enfocarlo en Solaris 11. La wikipedia ya recoge el proyecto OpenSolaris como descontinuado. Lástima.

Saludos Malignos!

¡Suelten a los Abogados!

Cambiando un poco el tercio de los posts, por petición expresa de un fiel anónimo, he decidido dejar el tema del Google Street View para hablar de teléfonos móviles. En concreto de Android.

Según se informa en Yahoo! News, Oracle ha confirmado que ha interpuesto una demanda a Google por infringir la licencia de Java en su sistema operativo Android. La cosa se pone fea porque según el interlocutor autorizado de Oracle, Google ha hecho esto sabiendo que lo hacía mal. Según la noticica, cada día se venden unos 200.000 teléfonos basados en Android y claro, Oracle quiere su parte en el business.

Parece que la gente de Oracle está dispuesta a hacer business con Java, "mucho más mejor" de lo que supo hacer Sun Microsystems (ya echo de menos a SUN - sniff! -) y que la cosa va a ser una autententica guerra en los tribunales. Vamos, una pelea de gallos de corral.

Así que, como diría el señor Barns: "Suelten a los abogados!".

Google se está volviendo una profesional en la disputas legales y Oracle no es una hermanita de la caridad delante de un juez y un jurado, así que será divertido ver en que termina todo esto.

Lo que está claro es que es un poco carajal todo el tema de las licencias y la no existencia de legislación mundial hace que esto sea la corrala del tio Paco, haciendo que cada día tengamos noticias de este tipo.

Además, visto lo visto, parece que en la actualidad, y en el futuro, es y será más fácil acabar en una multinacional de tecnología siendo abogado que informático. En fin.

Saludos Malignos!

El espíritu del sol

Parece que con la llegada de Oracle a Sun muchas cosas van a cambiar y algunas de ellas van a tocar las bases más enraizadas del espíritu corporativo de SUN.

No es que sea yo un analista de empresas, pero por como iba SUN parece que su estrategia no dio frutos y por eso los inversores se decantaron por vender. Así que, como algo no funcionó, Oracle ha venido a imponer su modelo.

He de decir, que después de pasar algunos años trabajando con Solaris y las máquinas Sparc, ese UNIX me encantaba. Me sentía cómodo con él, lo disfrutaba. Sin embargo, los movimientos posteriores de SUN, esa persecución a MS Office son Star Office que le hizo gastar pasta y recursos sin nunca conseguir desbancar a MS Office en la empresa, la errática política con Java, de la que supieron sacar pasta otras empresas como IBM con su WebSphere y BEA con su WebLogic más que ellos mismos, y la apuesta por OpenSolaris sin estar del todo convencidos, les hicieron perder foco. Al final, acabaron haciendose partners de Microsoft, para poder vender Windows Server en sus servidores, tal y como ya hacía IBM. Un camino, cuanto menos,... peculiar.

Cuando llegó Oracle a SUN sabía lo que compraba. Entre sus anuncios continuados, se veía claro que la compañía estaba interesada en lo que realmente era diferenciador en SUN. Su tecnología Sparc, con toda la base instalada y todas las patentes de hardware asociadas a ella, su Solaris para Sparc, que tanta confianza tiene ganada en sus clientes y, la tecnología JAVA, en la que Oracle ha basado tantos de sus prectos, por otro lado, muy rentables económicamente.

Con la llegada de Oracle, uno de los activos de la compañía, James Gosling, conocido como el padre de Java, ha anunciado en su blog personal, con este escueto post, que ha abandonado la compañía.

Tiempo de moverse

Sí, ciertamente, los rumores son ciertos: Yo dimití de Oracle hace una semana (El 2 de Abril). Pido disculpas a todos los que estuvieron en San Petersburgo en los TechDays el jueves esperando escucharme. Realmente odié no estar allí. Y por qué me fui, es difícil de responder: Simplemente podría decir que si hubiera sido formal y honesto haría más mal que bien. La parte más dura es no estar nunca más con toda la gente estupenda con la que he tenido el privilegio de trabajar a lo largo de estos años. No sé qué será lo próximo que voy a hacer, de momento tomar algo de tiempo de descanso antes de empezar a buscar trabajo.

Este es el hogar de mi nuevo blog. Contiene todas las entradas de mi antiguo blog en Sun. La política de bloggers en Sun daba a los escritores el derecho a poseer su propio trabajo. Las últimas entradas que hice en blogs.sun.com fueron escritas bajo políticas en algún término más estrictas. :-)

Ya se ha ido, en este periodo de tiempo, más gente de Sun. Le toco irse al co-fundador Scott McNealy, al CEO Jonathan Schwartz y a un largo etcétera. Oracle es un ganador, y ha venido ha hacer de los activos de SUN parte de las herramientas para triunfar.

De momento, en su post, Grosling, dejaba entrever los cambios en la política de bloggers, pero seguro que los cambios en la compañía se verán en la política de licencias, en las licencias de productos y los precios sin tardar mucho. Ya veremos como acaba la historia con OpenOffice, ¿será otro daño colateral? Ahora Sun es una Oracle Company.

Saludos Malignos!

Camino de perdición

Temblad malditos, que el mundo IT desaparecerá tal y como lo conocemos. El mundo del bien y el mal desaparecerá bajo una maraña de confusión en el que el linuxero ya no será bueno, ni el IT Pro el friki que te arregla el ordenador, donde ya no tendréis soporte informático en la empresa tal y como lo conocéis para pasar a un sistema donde la sociedad pueda hacer lo que siempre ha deseado, ocultar a los seres de inframundo que manejan los sistemas donde deben estar: En un sótano más allá de toda luz apartados de la sociedad.

Al final, parece que las premoniciones Mayas se han extendido hacia el mundo IT y la película de 2012 va a convertirse en realidad, ya que en España volverá a haber elecciones presidenciales y, tal vez, sólo tal vez, suceda el desastre….

Miguel de Icaza nombrado MVP

Ya os comenté tiempo ha que ser MVP no suele ser contagioso, y que hay gente muy buena nombrada como MVP, pero parece que a mucho talibán le ha sentado como una patada en los huevos que Miguel de Icaza aceptara el premio. La pregunta es…¿a quién le extraña que un tipo que ha apoyado y difundido tanto las tecnologías .NET sea nombrado MVP? Pero… muchos ven la sombra del mal extendiéndose dentro de sus reinos… .Net corriendo en servidores Linux…¿Habrá en el futuro Internet Explorer corriendo de forma nativa en los desktops con Ubuntu? ¿Se pondrán las extensiones de Frontpage en los servidores web de Debian?

- Miguel de Icaza nombrado MS MVP en C#

En el 2012 la quinta parte de los IT a la puta calle

Que si la nube y la virtualización y el perrito piloto de los servicios descentralizados y externalizados del famoso software como servicio hará que, según Gartner, una quinta parte de los informáticos se vayan a la cola del paro. A chupar desempleo en las oficinas de colocación. Ya sabéis que los chicos de Gartner con las presiones son como los ministros de economía con la previsión de la salida de la crisis, pero parece que los de IT lo vamos a llevar chungo cubata. Además, nosotros, para dar por saco a los pobres técnicos de aulas, decidimos sacar las Virtual Classrooms y creo que hemos matado algún gatito.

- Una quinta parte de los IT pro desaparecerán en 2012

Y el primero que se fue al paro fue Mark Shuttleworth

Siguiendo los pasos de Willian Gates III que abandonó la dirección de Spectra, el amigo Mark debe ser el primero que viendo las predicciones de Gardner cortar puso su puesto de CEO a remojar y ya no es el mandamás en la casa del Linux aeroespacial hecho para seres humanos. Se fue, pero seguro que seguirá dando la tabarra desde algún grupo/asociación/comunidad/lobby. Como suelen hacer todos los que tienen mucha pasta mientras los pobres discuten en los foros con vehemencia. As usual.

- Mark Shuttleworth deja de ser CEO en Cannonical

Oracle se cepillará a unos miles de trabajadores de SUN

Si a los de Sun ya no les salían las cuentas, con la llegada de ELCARO, las cuentas salen menos. No, no es porque el dinero y los bienes desaparezcan sino porque a ORACLE le gusta que la cuenta de beneficios sea un poco más grande. Así, ha decidió que se va a cepillar a una buena parte de la plantilla. Vamos que parece que se olvidó comunicar a los clientes de SUN que entre sus planes estaba hacer una limpia. Lo que me preocupa es que, después de haber dejado a StarOffice/OpenOffice para el final en sus planes y haberle dedicado sólo 1 parrafito, tal vez le dé por convertir OO en un proyecto totalmente desligado de Oracle y, cuando digo eso, quiero decir, en el que no pague los sueldos del 95% de los desarrolladores como ahora. Lástima, si al final les afecta a los chicos de OO vamos a tener que esperar un poco aun para tener ASLR activo.

- Oracle despedirá millares de trabajadores de SUN

Pero Linux da trabajo Online

Con unos sueldos que no dan para comprarte una casa en España, pero sí para que Mark, una vez desligado de su estresante vida como boss, pueda dedicarse a frikear desde casita. No será mucha pasta, pero parece que el futuro IT que nos espera va por estos lares. Tendremos que apretarnos el cinturón y ayudar al mundo a salir de la crisis quitándonos sueldo. Y mientras otros montando fiestas con dineros de fundaciones con el único objetivo de ligar…. En fin.

- Linux Jobs

Triste futuro el que se presenta en el que los linuxeros son premiados por Spectra, los IT pros desaparecen, los visionarios nos abandonan, los puestos de trabajo se recortan y las oportunidades de crecimiento están como están. Espero que regrese pronto el Jedi para arreglar el desequilibrio en el universo.

Saludos Malignos!

MyOracle

Esto de sacar el pito al aire, olisquear el ambiente y convertirse en el pitoniso de turno sobre que pasa tras la fusión,…no, coño, tras la compra con dos cojones y un palito de Oracle hacia Sun se ha puesto muy de moda y he visto los comentarios de, como diría Rosendo Mercado, “los de siempre” con visiones como “las de siempre”.

Estas visiones han sido de lo más guay dónde se han dado algunas pautas graciosas como A) esto es una apuesta por el mundo libre por parte de Oracle para moverse hacia los servicios, B) esto hará que Java, OpenSolaris y MySQL sea mucho mejor y C)Arrasará a la malévola competencia de Spectra. Les ha faltado decir que es un paso para sacar un desktop, pero... todo se andará.

La verdad es que no tengo ni puta idea de las implicaciones que tendrá esto, pero lo de jugar a ser pitonismo mola. Yo tengo en mi blog algunos comentarios graciosos, como “cuando lleve un año Ubuntu vendiéndose en DELL ya veremos la cuenta”, la famosa predicción de Novell “nos queda poco para terminar la migración a Linux de todos nuestros puestos de trabajo” o la de “dentro de un año seremos el único jugador Linux” del presidente de Red Hat a raíz de otro movimiento de Oracle con el Software libre.

Lo dicho, no tengo ni puta idea de que deparará el futuro, pero vamos a jugar a la teoría de la conspiranoia en el otro lado, como lo vería “El lado del Mal”. Vamos allá que dicto.

MyOracle
***************************************************************************************************
La reciente adquisición de Sun Microsystems por parte de Oracle demuestra un claro fracaso en la política de hacer negocio con el software libre. De nuevo una compañía que basa su éxito en la política de protección de su código, el software de calidad y la venta de licencias (nada baratas por cierto) se come a una empresa que jujanea con el mundo del Software Libre. De nada le ha servido a Sun haber creado un lenguaje que muchos adoran como es Java ya que el negocio lo sacan de él empresas como IBM con su Websphere o BEA con su WebLogic. De nada le sirvió la compra de MySQL que no generó ni un incremento en las acciones de la compañía que se quedaron en su mínimo valor todo el tiempo. De nada le sirvió a Sun liberar StarOffice para conseguir una comunidad inexistente de desarrolladores externos a su lado como denunciaba el año pasado uno de los desarrolladores y de la que intentan sacar negocio Novell con uno servicios e IBM con su Symphony en licencia comercial.

Oracle ya demostró cual es su interés en el software libre: vender licencias de Oracle. Esto lo hizo público con su famoso soporte de 100 dolares de Linux en servidores que llevaran Oracle Linux y Oracle Database Enterprise, el de ….”son 60.000 € la licencia”.

¿Va a apostar Oracle por StarOffice? La respuesta la haría desde otra punto de vista…¿alguien cree que Oracle ha comprado Sun por StarOffice? Yo creo que no, creo que va a dejar de gastar pasta en los desarrolladores pagados por Sun actualmente y les va a llevar a programar cositas chulas con Java alrededor de su business: Oracle Database, pero no hay problema, seguro que alguno otro de la comunidad se pone a implementar estándares en OpenOffice…

¿Va a apostar Oracle por Java? Por supuesto que sí, creo que va a apostar y a sacar muchas cosas chulas, pero con una c dentro de un circulito al más puro estilo arroba y con una letra ese mayúscula tachada verticalmente por dos tuberías.

¿Va a apostar Oracle por MySQL? Sí, limitando sus funcionalidades y haciendo un movimiento muy paulatino hacia…¿Oracle Database? ¿De verdad alguien se piensa que Oracle quiere ganar pasta vendiendo servicios de MySQL cuando Sun no ha sacado un pavo de eso?

La realidad es que después de esto parece como que para ganar pasta con el software libre hay que convencer a muchos de que eso va a dar mucha pasta y venderlo a una empresa comercial por mucha pasta y luego… ya si eso… Y si no que se lo digan a Sun que ni con Java, ni con StarOffice, ni con OpenSolaris, ni con su intento del SunLinux, ni con nada así se libró de intentar ganar pasta con la venta de licencias de Windows Server en sus hierros...

Saludos Malignos!

***************************************************************************************************

¿Os ha gustado? ¿No? Joder!, no os preocupéis, es sólo un ejercicio de conspiranoia hacia el otro lado, ¿habéis visto que fácil es hacerlo? Venga, sácate un dedito y haz tu propia predicción que no es tan difícil.

OpenOffice.org, echando cuentas

Cuando yo estudiaba informática de joven, con 12 años, escuchaba historias de ingenieros informáticos diseñando sistemas y veía películas como Superman III o Tron dónde los programadores eran personas especiales, respetadas y valoradas por hacer software. Eran creadores. Sin embargo, con la economía de la cancamusa aplicada al software a veces pasan cosas que no entraban en las historias que oía en mi juventud y hoy en día es fácil encontarse con estudiantes de informática que no quieren programar por una simple cuestión de estátus social o economía. Eso es lo que me he encontrado ya en bastantes universidades.

En este post vienen las quejas de un programador de OpenOffice.org que se queja de la falta de desarrolladores en el proyecto. A finales de año tuvimos la queja de los programadores de Compiz, dónde ponían de manifiesto la precaria situación en la que se encontraban ellos y el proyecto pero no eran los únicos que por esas fechas se encontraban así de mal y se quejaban.

A finales de año Michael Meeks, programador de OpenOffice y empleado de Novell, mostraba una lamentable foto de cómo se encontraba OpenOffice.org. Hay que recordar que OpenOffice.org nació de la liberación del código de StarOffice para que se produjera un cambio de papeles, es decir, para que StarOffice naciera de OpenOffice en subsiguientes versiones.

Sun ha sido una de las principales promotoras de OpenOffice.org desde ese momento pues el objetivo ha sido competir contra Microsoft Office intentando suplir la distancia entre ambos por medio de la comunidad. En su momento álgido, el proyecto OpenOffice consiguió alcanzar una cota de 70 programadores aportados por múltiples empresas entre las que, lógicamente, Sun Micrososystems era y es la que más desarrolladores ha aportado.


Líneas de código agrupadas por organizaciones
Sin embargo, como se puede ver en el gráfico de actividad que aporta Michael, el número de aportaciones por desarrolladores aportados por estas organizaciones ha ido decreciendo hasta quedarse en el número de 24 que se encontraban en el momento de la publicación. 24. No sólo no ha crecido sino que se han quedado menos de la mitad.

Esos movimientos de Sun pueden tener que ver con el lanzamiento de StarOffice 9, con la precaria situación económica de la compañía o simplemente con la crisis mundial pero, la situación en el lanzamiento de OpenOffice 3.0.0 no ha sido la mejor de la historia del proyecto.

Esto no sería un problema mayor como Michael reflexiona, si se hubiera conseguido atraer a suficiente número de programadores externos al proyecto que puntualmente trabajaran y aportaran código, innovación y evolución pero, como muestra el gráfico esto no ha sido así y el número de estas aportaciones ha decrecido.


Programadores activos
Con esta situación, el 13 de Octubre salía la versión final. La versión Ubuntu 8.10 que salió el 30 de Octubre, no llevó de serie dicha versión. Ubuntu tiene una cuota de mercado alta en Linux y a mucha gente le pareció extraño que no estuvieran un poco más coordinadas las versiones para que hubiera podido venir con la versión 3 de OpenOffice. Sin embargo, la versión 3 de OpenOffice fue a los repositorios para que la pudiera instalar quién quisiera. Aun así, debido a problemas tuvo que ser retirada temporalmente mientras que se arreglaba. Al final un lanzamiento a medias.

StarOffice 9, que se lanzó a finales de Noviembre del año pasado, por el contrario, con la cambiante política de Sun, apareción sin licencia de educación gratuita de StarOffice 9.

¿Está apoyando realmente Sun a OpenOffice.org? La respuesta es sí, con peros. Es decir, Sun apoya a OpenOffice pero no está consiguiendo el retorno de inversión que esperaba del proyecto y parece que está forzando un poco más la máquina apretando al proyecto.

Michael termina su disertación en el blog con un resumen:

“Crude as they are - the statistics show a picture of slow disengagement by Sun, combined with a spectacular lack of growth in the developer community. In a healthy project we would expect to see a large number of volunteer developers involved, in addition - we would expect to see a large number of peer companies contributing to the common code pool; we do not see this in OpenOffice.org. Indeed, quite the opposite we appear to have the lowest number of active developers on OO.o since records began: 24”

“Crudo como es – las estadísticas muestran una imagen de una lenta desconexión de Sun, combinada con una espectacular falta de crecimiento en la comunidad de desarrolladores. En un proyecto sano se esperaría ver un gran número de desarrolladores voluntarios implicados, además de esperarse ver un gran número de compañías contribuyendo al repositorio de código; No vemos esto en OpenOffice.org. Por el contrario parecemos tener el menor número de programadores activos en OpenOffice.org desde que se cuentan: 24"

Y la realidad en estado puro:

“Why is my bug not fixed ? why is the UI still so unpleasant ? why is performance still poor ? why does it consume more memory than necessary ? why is it getting slower to start ? why ? why ? - the answer lies with developers: Will you help us make OpenOffice.org better ?”

“¿Por qué no está mi bug arreglado? ¿Por qué el interfaz grafico es aun tan incómodo? ¿Por qué el rendimiento es aún tan malo? ¿Por qué consume más memoria de la necesaria? ¿Por qué es tan lento en arrancar? ¿Por qué? ¿Por qué? – La respuesta la tienen los desarrolladores: ¿Nos ayudarás a hacer OpenOffice.org mejor?”

Sin palabras me deja.

Saludos Malignos!

Locos por el Uptime II

Durante el año 2007 estuve contado como iba el uptime de 14 sitios web elegidos de una manera totalmente partidista y pendenciera. Fueron 14 sitios relativos a empresas de tecnología. La clasificación el año pasado la encabezó Google que con 50 minutos consiguió que su web fuera la que más tiempo estuvo dando servicio de las 14 elegidas. Sin embargo, Yahoo!, que no estaba entre las elegidas sólo falló 1 minuto y 16 segundos el año 2007, así que la he puesto en la lista del 2008. Durante el 2008 ni Yahoo! ni Google han sido los que mejor lo han hecho, siendo dos de las tres únicas webs que han empeorado sus resultados.


Tabla de Resultados Uptime 2008
Cómo ya sabéis, estos resultados se sacan realizando comprobaciones del servicio web mediante la respuesta de la página principal. Esto no habla de mejor uptime de máquinas sino de servicio, así que, para conseguir estos resultados se implementan arquitecturas complejas y con servicios de respaldo intentando dar el mejor porcentaje de servicio.

Sólo Spectra e IBM llegan a obtener 4 nueves en porcentaje de Uptime, HP y Apple consiguen que su web deje de responder menos de 1 hora al año y llama poderósamente la atención el hecho de que la web de CISCO haya estado sin dar servicio más de 2 días. Ubuntu ha conseguido bajar del día de parada con lo que habrá que pensar en dejar de rezar a San Ubuntu y volver a rezar al gran dios Sol, que además da 2 días de dencaso en lugar de uno.

Los links a las tablas de Uptime los tienes en:

[www.ubuntu.com],[www.youtube.com],[www.sun.com],[toshiba.com],[cisco.com],[www.dell.com],[www.redhat.com],[www.oracle.com],[www.ibm.com],[www.hp.com],[www.amd.com],[www.apple.com],[www.microsoft.com],[www.google.com], [www.Yahoo.com]

Saludos Malignos!

Los peligros de la navegación

Durante estos siete días el aluvión de trabajo para el equipo de Windows e Internet Explorer ha sido ingente, se han encontrado con una vulnerabilidad que permitía al atacante ejecutar código arbitrario en el sistema en el espacio del usuario y que según parece contaba con una prueba de concepto que dio lugar a una cadena de exploits de lo más elaborados. Algunos stos exploits hacían uso de la técnica de heap spray que publicaron Sotirov y Mark Dowd como ya anunciaba HD Moore en su primer análisis para poder saltarse las protecciones extras de DEP y ASLR que pudieran estar activadas.

Durante siete días las precauciones a la hora de navegar con IE han sido altas. No hacerlo con usuarios privilegiados y proteger bien el uso de Javascript para que sólo se active en la lista de sitios de confianza, utilizando una política de lista blanca. Ahora ya, si tienes el Windows Update activado, tendrás un parche instalado, listo para instalar o a punto de ser instalado.

Hacer uso de las zonas de seguridad es una de las recomendaciones que más veces he oído contar a “Pajarraco” de los Santos cuando da recomendaciones de seguridad para no ser infectado por exploits en el navegador web. Sin embargo, vivir sin javascript en la mayor parte de Internet implica no ver las páginas correctamente en la mayoría de los casos o perder funcionalidad. Pero también vivir con menos riesgos y con menos publicidad.

Crear una lista blanca de seguridad es muy jodido de mantener, ya que al final, el número de sitios en la lista puede crecer y crecer y crecer, con lo que al final hay que optar por soluciones intermedias. La mejor metáfora que he leído sobre esto es la que realizó Bernardo con las discotecas y los porteros.

Si se consiguiera que todos “los buenos” estuvieran en una lista blanca sería genial, pero parece complicado. A nivel de sistema operativo ha habido y hay diferentes soluciones que han intentado o intentan realizar un mantenimiento de la seguridad en base a listas blancas de programas ejecutables en el sistema.

En los sistemas Windows, las Software Restiction Policies han sido una solución en entornos corporativos que han ofrecido algunas herramientas para el control de aplicaciones pero ni mucho menos ha sido una solución completa de listas blancas.

Secuware en España tiene una solución basada en listas blancas para evitar la ejecución de programas no deseados en la máquina dónde todos y cada uno de los ficheros deben ser aprobados. Otra empresa que trabaja sobre este paradigma es Bit9, una empresa norteamericana que desarrolla software de control de ejecuciones en entornos de red.

Al final, todas los soluciones basadas en listas blancas no dejan de tener las ventajas e inconvenientes que describía Bernardo: Más seguro, más incómodo, más falsos positivos, más administración y listas que pueden crecer al infinito que se optimizan como se puede.

Esta misma gente de Bit9, como empresa que se dedica a hacer listas blancas de software, debe conocer quiénes son los “sospechosos habituales” es decir, cuales son los programas que se despliegan en una red que suelen ser caldo de cultivo por diversas razones. Para ellos, los “sospechosos habituales” son aquellos que:

1.- Se ejecutan sobre Windows: Por eso de la cuota de mercado que tiene esta plataforma en el desktop.

2.- Se lo suelen instalar los usuarios y No los administradores de sistemas: Ya sabéis, para hacer “sus cositas” y que por tanto suelen estar fuera de la administración corporativa.

3.- Son programas que no están catalogados como maliciosos y por tanto pasar los firewalls, los antivirus, etc….

4.- Contienen vulnerabilidades de menos de 1 año y con nivel de criticidad de 7 a 10 según Common Vulnerability Scoring System (CVSS)

5.- La actualización de los mismos recae en el propio usuario normalmente, ya sea mediante un programa en el cliente que él usuario debe utilizar o bien visitando una web para descargar la nueva versión. Vamos, que debe estar atento el usuario a las novedades en seguridad

6.- La aplicación no puede ser automáticamente integrada en el software de despliegue de actualizaciones, tipo System Center Configuration Manager, y se necesita una labor de administración para integrarla en el control corporativo.

Según ellos, estas son las aplicaciones más peligrosas en las redes corporativas con entornos Windows:



Top Ten de los Sospechosos Habituales
Cómo se puede comprobar, la clasificación no ha cambiado significativamente con respecto a lo que publicaron en el 2006.

Sí, hemos tenido 7 días de precaución máxima con IE7, pero debemos tener 365 días de precaución máxima con todo. Para usuarios individuales en su casita estaría bien tener configuradito Windows Update y Secunia Personal Inspector y para las “empresitas” con redes Windows, tener up and running algo como Window Software Update Services y System Center Configuration Manager.

Saludos Malignos!

Calendario de Festividades

El año pasado, en una de las muchas apiroladas que me pasan por la cabeza, me dio por mirar el uptime de un grupo de webs que me pareció bien. Las webs elegidas fueron estas [si haces clic te lleva a su tabla de uptime]:

[www.ubuntu.com],[www.youtube.com],[www.sun.com],[toshiba.com],[cisco.com],[www.dell.com],[www.redhat.com],[www.oracle.com],[www.ibm.com],[www.hp.com],[www.amd.com],[www.apple.com],[www.microsoft.com],[www.google.com]
Esto me entretuvo durante bastante tiempo, pues los amigos de Ubuntu instauraron el día de San Ubuntu, dando un día de descanso al CPD, es decir, el CPD estuvo más de 1 día sin servicio al año. No fue el CPD de Ubuntu el único que disfruto de esa festividad pues Sun y Youtube también se lo tomaron.

Pasado ya medio año, y, viendo que está el Tour de Francia con las tablas de tiempos, me he acercado a ver como va el tema por "mi lista". Y mira tú por dónde, ¡qué sorpresa! Ubuntu, luser el año pasado en mi lista, no es el que peor va.

Resultados Ene-Jun 2008
Parece ser que nuestro querido Ubuntu no quiere festejar la fiesta que lleva su nombre y que muchos se han puesto las pilas en comparación con los resultados del año anterior:

Datos según Pingdom año 2007.
Haz click en la imagen para ver detalles por meses
Sin embargo, llama la atención como Google ha estado caido más tiempo estos seis meses que el año pasado entero, o cómo SUN sigue por los mismos derroteros del pasado siendo el único a priori, con posibilidades reales de festejar San Ubuntu. Apple también sorprende, pues han debido instalar ey ay!fon "Server Edition" en cluster para que les vaya mejor.

Este año, el liderato se lo juegan IBM y Spectra... de momento, ¡qué aun queda la mitad del año¡. Y por la cola...¿Qué pasa con el CPD de SUN? ¿No revisan los datos de uptime del año pasado? ¿No es prioridad para ellos el Uptime de la web? ¿SUN?

Saludos Malignos!

OpenOffice 2.4 Writter & Ubuntu 8.04 Primeras impresiones malignas o Primeras malignas impresiones

Hola compañeros ubunteros!

Hoy le toca al OpenOffice Writter de StarOffice, uno que dicen que se "parece" al Word.

El miedo al cambio de formato

Llevo poco tiempo con mi Ubuntu y ya no sé si es que me pongo yo muy exigente o es que el pobre se estrella conmigo. Para escribir el blog no suelo usar Office, pero si voy a hacer un documento formal sí, pues me gusta que me vaya corrigiendo los errores tipográficos (y los que no lo son). Cómo os imaginaréis, gran parte de mi entorno utiliza Office 2003 u Offfice 2007 así que tengo que generar los documentos en .rtf o .doc. Tengo la opción de mandarles el doc y el link para el plugin de ODF para office, pero pudiendo grabar yo con mi OpenOffice en .doc... ¿para que molestarlos?

Digo yo que, estando disponible totalmente el formato .doc de Office 2003 la gente de SUN ¿lo habrá implementado bien, no?. Bueno, pues no lo sé, pero a mí me acojonan.

Haced la prueba vosotros en vuestro OpenOffice 2.4 sobre vuestro "flama" Ubuntu 8.04. La POC es:

1.- Nuevo documento.
2.- Escribid: Hola amigo![enter][Tabulador]¿Cómo estás?[Enter]Saludos Malignos!
3.- Dais a guardar como .doc 2000/XP/2003

Mensaje de Advertencia al guardar como
Bien,lo que aparece es un bonito mensaje de alerta que te dice que, esta puta mierda de documento escrito tiene información que no se puede guardar en un Doc. ¿cuál es esa información? ¿Es alguna información que guada OpenOffice? Yo no la he visto pues no he rellenado ninguna propiedad del documento en ningún sitio. ¿Será alguna información automática que guarda con el ODF?

Pues algo será. Si se prueba con cualquier otro formato que no sea ODT sale el mensaje de alerta. ¿El objetivo? Pues márketing, conseguir que todo el mundo guarde en ODT no sea que vaya a perder algo de información. Esto, cuando lo que se trata de conseguir es que usuarios de Office que, como yo, se relacionan con usuarios de Office, utilicen OpenOffice para su vida normal con tranquilidad consigue un efecto contrario. ¿Cuanta gente creeís que abandonará este programa sólo por no poder trabajar correctamente con sus clientes?

Idioma: La applicación

Otra de las cosas fundamentales en un procesador de textos es el idioma, por supuesto!. Si una aplicación para hacer textos se quiere introducir en España deberá estar adaptada para gente que escriba esos textos en Español.

Vale, pues la aplicación que viene por defecto viene en Inglés, y no he podido cambiarla a español porque no viene en el sistema.

Idiomas de Interfaz
A mi, personalmente me la suda un poco pq estoy acostumbrado a interfaces en inglés, pero me sé de muchas personas que de inglés saben "jelou" y "gudbai". La pregunta es, vamos, ¿Ubuntu se quiere meter en España de verdad? ¿Se lo ponemos a los funcionarios de este país para hacer los textos? ¿OpenOffice no es un proyecto lo suficientemente importante como para que se haya traducido el interfaz? Venga va, que un interfaz no es un tomo del Quijote. Lo mejor es que ... lo puedo traducir yo, porque en el botón de ayuda hay una opcion que pone Translate this application y lo que me lleva, iluso de mí, es a que la traduzca yo. Nada, se lo pongo a mi madre y que lo traduzca ella. He visto ofertas millonarias por instalar y dar soporte a OpenOffice (o era StarOffice) en la administración pública española. Ofertas muy gordas compitiendo con Office. ¿Lo tendrán en español? Yo creo que sí que tendrán los menús en castellano, pero... ¿por qué no están aquí? ¿Es que Sun sólo los quiere para la versión de pago? ¿Es que no existen? ¿Es que Canonical no ha hecho el trabajo? ¿Es que este producto es una beta?

Idioma: La corrección gramatical

No fui capaz de poner la aplicción en español, pero sí pude poner el texto en spanish, basta con ir a la opción de menú Tool/Language/For all text y ahí seleccionar para todo el texto spanish (spain). ¡Iluso de mi!. Esperaba que me corrigiera y marcara todos los "herrores" tras haber seleccionado que me hiciera autocorrección, y ... vamos, este sabe menos ortografía que yo.

Opciones de corrección
Hacer lo había puesto sin hache, pero.. tal vez, sólo tal vez, se me ha escapado algún otro error que le he dejado a ver si me los corrige.

El listo corrigiendo
Si Lazaro Carreter levantara la cabeza... bueno, por lo visto también cambia "nuebo" por "nuevo" así que estoy a salvo de meter esa cagada. BIBA LA HUSABILIDAD!!

Saludos Malignos!

Gana Google, Pierde Ubuntu

¿Resacos@s? ¿Jodido@s? ¿Hech@s fosfatina? !Haberlo pensado antes! Empieza el año, se acabó el remoloneo, basta de cachondeos y fiestorros y al lío, ¡qué hay que ser productivos!.

Yo, para poder dormir la resaca tranquilo, he dejado escrito este post el día 31 de diciembre del año pasado, antes de salir de fiesta (acabo de comprobar que los datos están bien), así que, incluso resacoso perdido y con las legañas en los ojos, voy a poder publicar el día de año nuevo, para que no falte la dosis diaria de basura....

Ya sabéis que a mí me gusta esto de los numeritos, de ir contando cosas, y que este año estabamos contando como iban los CPDs de algunas empresas que trabajan en esto que llaman "la tecnología". Seleccioné 14 compañías y he ido mirando como iba el uptime de su web para ver cuantos CPS hacían los deberes.

La famosa cuota de cinco nueves, 99,999 % servicio, es decir poco más de 5 minutos de caida al año, no ha sido alcanzada por nadie. El más cercano ha sido Google que ha sacado 4 nueves. Spectra se quedó segundo, después de ser el mejor CPD durante todo el año el 12 de diciembre, con una caida de servicio de 28 minutos perdió el primer puesto que fue a parar a manos de Google. A la postre este ha sido el único (de las empresas de la lista) con una parada inferior a 1 hora (acumluada) durante el año 2006.

En el otro lado de la lista se encuentran los que han tenido una caida de servicio de más de 1 día, es decir, que siguiendo los preceptos de San Ubuntu, se han tomado un día de descanso extra en el CPD. Eso sí, Ubuntu ha mejorado en la segunda mitad del año con respecto a su primera vuelta. Los otros dos que han pasado del día sin servicio han sido Youtube, que parece más normal y al mismo tiempo más peligroso (más normal porque es un servicio puramente online y eso le obliga a soportar más carga y al mismo tiempo más peligroso pues al ser una empresa puramente online se ven obligados a ser mejores) y Sun Microsystems. Llama la atención encontrar a Sun con una caida de servicio de más de 1 día y con caidas mensuales similares, es decir, que parece que "los males" son crónicos. Además, Sun se ve lejo de empresas competidoras directas como Spectra, IBM, HP, Oracle, Dell o RedHat.

Datos según Pingdom. Haz click en la imagen para ver detalles por meses
Como sabéis estos datos no hablan de la calidad del software sino de la gestión del servicio, el diseño, la planificación, el mantenimiento, los planes de contigencia, etc... Todos los datos están sacados de Pingdom y podéis comprobarlos aquí:

[www.ubuntu.com],[www.youtube.com],[www.sun.com],[toshiba.com],[cisco.com],[www.dell.com],[www.redhat.com],[www.oracle.com],[www.ibm.com],[www.hp.com],[www.amd.com],[www.apple.com],[www.microsoft.com],[www.google.com]

Venga, que empezó la "fiesta". Maligno año nuevo!