Desde hace bastante tiempo se debate entre diferentes filosofías o planteamientos en las que basarse y alojar la creación de cada uno de nosotros, que si Copyright, que si Creative Commons, que si Copyleft, y centenares de miles de millones de vertientes en cada uno de estos apartados o lo que es lo mismo, un pollo de padre y muy señor nuestro que solo los gurús en artes de abogacía, frikis redomados, o personas muy cultas y con mucho, no, muchísimo tiempo libre entienden, en ningún caso un perfil remotamente parecido al mío

Debido a que últimamente hago referencias casi constantes al sentido común he unido un par de ideas para “crear” un nuevo tipo de copyloquesea el

Con tortuguita incluida

Aún no tengo diseñado el texto “legal” que hará de este el mejor de todos los copyloquesea. Será sencillo, fácil, no habrá excepciones ni variantes ni bifurcaciones ni sentidos dobles ni párrafos ingentes que básicamente ni Dios lee y el que lo hace se queda sin comprender casi nada, algo puramente práctico.

Quizá esto de irme una temporadita me siente mejor de lo que pensaba, de todas formas, desde hoy todo el contenido de noslan.com está bajo licencia Common Sense en su estadio Alpha.

Queda dicho

noslan.com Suscribete a mi FEED!

Ni en medicina ni en informática. En lo primero por el mismo motivo que a much@s, lo reconozco, me dan yuyu y desde bien enano daba guerra a al hora de vacunarme aunque creo que he madurado un poco y ya no se me saltan los ojos y le digo al médico "Pero, pero esa aguja es de hierro señor!" de todas formas lo pienso…

En informática ¿dónde hay agujas? Físicamente en ningún lado, pero metafóricamente si y no se usan para vacunar, todo lo contrario, se usan para dar caña a los servidores, sobretodo los que usan algun sistema Windows, para inyectar código malicioso entre sentencias de SQL (lenguaje muy extendido que se utiliza para crear búsquedas, modificar y en definitiva, trabajar con bases de datos). Este sistema es bastante visual y por lo tanto se puede "leer a pelo" y entender más o menos qué es lo que buscamos:

"SELECT * FROM usuarios WHERE nombre = ‘" + nombreUsuario + "’;"

Selecciona de la tabla "usuarios" el que tenga en el campo nombre el nombre introducido.

Así de sencillo, claro que se puede complicar y mucho, pero no es esto a lo que voy.

¿Por dónde andan las agujas?

En un ataque que se ha puesto en los últimos tiempos muy, pero que muy de moda, la Inyección SQL que no es más que introducir parte de código entre lineas, así como suena, esas porciones se van almacenando en el servidor para finalmente ejecutarse y liarla: modificar la base de datos a su antojo, eliminar datos, crear nuevos, modificarlos, moverlos…. sin consentimiento por parte de nadie, claro está. Se trata de uno de esos sistemas que de sencillos que son y presuntamente fáciles de evitar que rozan la perfección, sobretodo teniendo en cuenta la ,mas que probable, ingente cantidad de paginas web creadas por cuñados que saben un montón y son unos cracks que controlan más que el que se dedica a ello y cobran o poco o nada. Poca broma con las inyecciones de marras, que en abril más de medio millon de sitios web fueron inyectados con este sistema y ni se sabe la cantidad de usuarios que pudieron verse afectados, de nuevo en esto los números son a lo grande.

¿Y que puedo hacer yo?

Pues, también de nuevo, tratar de usar el sentido común, si no sabes de que va pero te suena y has de hacer un proyecto importante, no lo hagas a lo loco, investiga, pregunta y aprende.

Si tu web se basa, como por ejemplo la mía, en un script popular, actualiza y trata de pasarle herramientas de testeo de seguridad, HP ha diseñado Scrawlr,   una pequeña aplicación  para chequear  vulnerabilidades de inyección de SQL, sencilla y gratuita, sólo* hay que rellenar el formulario para descargarlo y analizar la web deseada.

Si encuentras problemas relacionados con la Inyección SQL en tu web, ponte en contacto inmediatamente con tu proveedor de Hosting!

*Curiosidad hablando de bases de datos, al tratar de descargar el programa hay que introducir una serie de datos, típicos de formulario de registro, entre ellos el país y un número de teléfono. En la combinación que me tocaba, España y nueve números (u once si pones el prefijo) hay un error tonto pero que me ha dado mas guerra de la que esperaba de un simple formulario de registro: Please enter a valid phone number.  This Field is Required. Una y otra vez, lo he probado todo, hasta que he unido tres factores:

- Factor humano: por muy ingeniero de HP que seas puedes equivocarte

- Factor informático: por muy bien programado que estés, si el que te ha programado ha fallado….

- Formato de número de teléfono americano.

Lo cual me ha llevado a poner un número de 10 dígitos (el americano) que en España no tiene sentido alguno, y por fin me ha permitido descargar el programa…..

PD:  Tras el análisis completo de noslan.com los resultados son los esperados:

Fuentes |

• kriptopolis.org
• Wikipedia
• HP

noslan.com Suscribete a mi FEED!

En multitud de ocasiones la pregunta más recurrente de un usuario en una tienda de informática es la típica: “¿Cuál es el mejor anti virus?” Espera con cara de estar pre dispuesto a no entender absolutamente nada de la respuesta, lo cual no quita que la quiera. A nivel comercial hay que dársela, que si uno, que si el otro que si el de la moto, están todos ahí, unos mejores que otros, algunos gratuitos y otros de pago, éstos últimos se han bajado los pantalones y dan, por lo menos este año, más licencias (3) por el mismo precio o incluso menos que en versiones anteriores. Unos le tienen manía a Panda (si pudiera lideraría ese grupo y trataría de hablar con los encargados del osito…), otros a Mcafee (personal y profesionalmente es el que me parece, de los comerciales, el más estable) mientras otros alaban a Norton (mucho lujo visual, aunque en las últimas versiones se ha “dejado influenciar” demasiado por el malware que lo ataca). Luego están los cuñados que aman acérrimamente a Kaspersky: de los pocos AntiVirus que han cedido a los deseos de cualquier creador de virus o malware. Avg. Nod32, Avast(que detecta el activeX de Pandasecurity online como un virus), Zone Alarm, Comodo Firewall (lástima ese cambio de concepto, ahora tienen una versión de pago) y una interminable lista que día si día no aumenta. A esta lista cabe sumarle otra, más larga si cabe, de programas especializados en la detección de spyware (SpywareDoctor, SpySweeper, AdAware….). Toda una facilidad a la hora de escoger, pero a lo que iba…¿cuál es el mejor?

La respuesta es sencilla a más no poder: N I N G U N O

Esa es la única respuesta válida a dicha pregunta y lo explicaré con un ejemplo práctico:

Hace algún tiempo montamos la red de una oficina desde cero, es decir, desde los ordenadores y sus instalaciones de Windows hasta la instalación de los mismos in situ, la red y, obviamente, la seguridad. En este apartado nos decantamos por McAfee Security suite en cada PC y un Firewall de Hardware, básico, pero que aliviaría el tráfico potencialmente dañino en la red interna, realmente era redundante, pero en esa época ya sabíamos que el factor humano en la informática es capaz de ejercer una magia inverosímil en cualquier ordenador…

Lo dejamos “nikelao” red ágil, limpia e incluso con cierto nivel de seguridad, “target accomplished, mission completed!”.

Pasados unos meses sin ningún tipo de incidencia el cliente llamó al taller: uno de los ordenadores hacía cosas raras “La cagamos Luís” Me planté delante del raro del grupo un rato después y, efectivamente, el comportamiento del mismo era un tanto errático, lo llevé al taller e indagué un poco en sus entrañas y lo encuentré, virus malo maloso detectado, que raro, ¿no? McAfee estaba encendido y actualizado, de hecho la definición (nombre y apellidos) del virus en cuestión la saqué de la web de McAfee,. El caso era que el sistema ya estaba limpio y podía volver a ponerse a trabajar. Al llevar de nuevo el ordenador a las instalaciones del cliente no pude callarme la pregunta que tenía dentro de mi: ¿Qué ha ocurrido? La respuesta me dejó a topos y más teniendo en cuenta que ese equipo formaba parte de una red de trabajo, con datos confidenciales de otros clientes y demás información “sensible”:

-Fulanito recibió un correo, al tratar de abrirlo se quejó porque el antivirus le bloqueaba el archivo adjunto, tantas veces lo intentó y el antivirus lo canceló que optó por desactivar temporalmente el antivirus y ahí fue cuando te llamamos….

¿Qué tal? Bien, ¿no? Pues en esa ocasión comprendí de primera mano que no hay antivirus perfecto, pero si una falta crónica de sentido común que, tres años después aun padezco a diario.

No existe el antivirus perfecto, pese a los sistemas heurísticos que tratan de prever si el código de un archivo es dañino la defensa que ejerce es a “toro pasado”, en la eterna lucha  virus/spyware - antivirus el pro activo es el primero y el segundo el que le va a la cola, pero es que además el primero se las ingenia para lograr que el ser humano que controla al segundo lo desactive o permita conexiones pese a los insistentes gritos de “NO LO HAGAS!” que el cortafuegos muestra en pantalla con multitud de colores y formas….

De hecho si existe otra respuesta, el mejor de todos, con santa diferencia, es el Sentido común, que es gratis, se puede instalar en cualquier lado, no está sujeto a ningún tipo de licencia y además se puede aplicar en multitud de casos que no tienen porque ser de carácter informático: todo un invento oiga.

PD: En la anécdota cabe destacar que el virus solo tenía un propósito, eliminar todos los archivos *.xls y *.doc que se encontrase, es fácil hacerse a la idea de como se puso las botas en un PC de oficina….

PD2: Con todo esto no quiero decir, ni de lejos, que los antivirus/cortafuegos no sean necesarios, al contrario creo que, en sistemas Windows, son imprescindibles, pero no por ello hay que dejar de usar el sentido común, leer y cerciorarse mínimamente de qué es lo que se está haciendo, cómo, por qué y “con quién” (refiriéndome a webs o programas P2P).   ¿O a caso pondrías el coche a 150 km/h y te darías de bruces contra un muro de cemento porque llevas cinturón y te fías de los AirBags?

Actualizado: La eficacia de (todos) los antivirus, de nuevo en entredicho

noslan.com Suscribete a mi FEED!

Datos, palabra o concepto que en informática se confunde, se une intrínsecamente a algo físico, al ordenador. Si algún día se logra popularizar la realidad del término Dato, el mundo de la informática será mucho mejor.

Iré poco a poco, definiré la palabra, más que definirla la buscaré y encontraré la definición que busco:

El dato (del latín datum), es una representación simbólica (numérica, alfabética, etc.), atributo o característica de una entidad. El dato no tiene valor semántico (sentido) en sí mismo, pero convenientemente tratado (procesado) se puede utilizar en la realización de cálculos o toma de decisiones. Es de empleo muy común en el ámbito informático.

Fuente: Wikipedia

Aquí empieza la fiesta, un dato, lo mismo que un bit o un monema,  tiene un valor por si mismo casi nulo, es el procesamiento de muchos de ellos lo que crea la información. Ese procesamiento se realiza usando el ordenador y la información resultante crea un archivo de texto o un post (como es el caso). En la era de la información en la que nos encontramos el tiempo es uno de los bienes más costosos y el indispensable para procesar los datos y convertirlos en información.

Un ordenador ayuda en gran medida a gestionar y dar forma a los datos y almacenar la información resultante, pero es solo un eslabón más en la cadena (suponiendo que desde el momento en el que se quiere procesar datos y crear información se busca un fin o meta). Dejando por una vez de lado el sistema operativo usado o el procesador de textos escogido me centraré en los datos, sobretodo en lo resultante después de su proceso: información sin dejar de lado las responsabilidades que parecen no estar claras en su correcta manipulación.

Como decía, actualmente el tiempo es, quizás, lo más caro del mundo, incluso más que el oro negro, por ese motivo la informática nos ha ido tan bien a todos, puede que alguno se ría, pero hace unos años era inimaginable el poder redactar un texto (procesar datos), crear información y publicarla al mundo entero en cuestión de minutos, hoy en día es de lo mas cotidiano. Pero tampoco me voy a centrar  en publicaciones para la web lo voy a hacer en textos, imágenes o vídeos, ya sean de uso particular o profesional y sobretodo voy a intentar explicar que la creación de información lleva consigo una serie de responsabilidades que al parecer la gran mayoría o bien desconoce o bien prefiere no asumir.

Antes de seguir explicaré la peor de mis anécdotas en lo referente a no ser consciente de mis datos hasta….. perderlos.

Año 2004, ya llevaba una buena temporada entre “peceles” y nunca había tenido una mala experiencia con mis discos duros, aun así en alguna ocasión llegué a hacer algún CD “backup” de lo que consideraba más importante, la Campus Party se acercaba y tenía ganas de ir a ver que se cocía, faltaban los últimos retoques, dejar el sistema “up ‘n running” y claro está “tunearlo” un poco (que tiempos Así que me puse manos a la obra, por aquél entonces era amante de los sobremesa y además de los grandotes, mi torre era 100% de metacrilato así que algunas luces de neón quedarían chulas. Conecté en el mismo molex del disco duro un neón pequeño que iluminaría el frontal del equipo, perfecto! Conecté todos los cables y molex restantes para acabar pulsando el botón “ON”, en ese momento apareció un humo gris y un fuerte hedor a electrónica fundida, a toda prisa desconecté la corriente pero el mal ya estaba hecho: Disco duro frito y sin patatas.

Todo perdido sin posibilidad de recuperación (económica sobretodo). Esta experiencia me hizo pensar en lo efímero de los datos y en que momento se pueden perder horas de trabajo. Des de ese momento empecé a plantearme cómo lograr cierta tranquilidad y no morir en el intento….

Continuará….

noslan.com Suscribete a mi FEED!

Eso es lo que preguntan en realidad los clientes de un taller informático cuando inocentemente atosigan al técnico con preguntas como:

- ¿Cual es mejor, el Ares o el Emule?

- ¿Cómo hago para abrir puertos del router para sacarme la low ID, en el Emule?

- A mi primo le baja el Emule a tropocientosmil terabytes por milisegundo y a mi no, ¿por qué?

Traduciendo estas preguntas al tabaco…

- ¿Cual es mejor, Chester o Marlboro?

-¿Cómo hago para fumarme 4 paquetes diarios de Marlboro?

- Mi primo fuma un cartón al día y yo un paquete ¿Me sentará mal si hago lo mismo que mi primo?

No sé en otros talleres cómo lo harán o si entrarán al trapo, pero yo nunca aconsejaré uno u otro P2P, que luego el usuario me responsabiliza a mi de lo que pulula por esas redes de intercambio….

noslan.com Suscribete a mi FEED!