And the winner is…

19Nov08

Si fuera una atolondrada miss respondería que “ha ganado la Ciencia” (¿a los misters les hacen preguntas trampa también? no sé, no veo concursos de belleza), pero la verdad es que me he quedado más feliz que una perdiz ganando el primer premio en el concurso de fotografía “Reflejos de la Ciencia - Zientziaren Islak” :-)

Entre dos mares / Itsaso biren artean

Entre dos mares / Itsaso biren artean

La foto que envié no es per se merecedora de ningún premio, sacada en automático, a mano alzada, en mitad de un paseo por Azkorri (hay fotos con una calidad muy superior). Pero como ocurre en los exámenes, hay que leer bien el enunciado, y en este concurso no se premiaba la calidad artística de la foto (que solamente influía en el 20% de la calificación), sino la composición del mensaje científico (el 40% de la calificación) y ahí es donde intenté dar el do de pecho explicando algunas cotidianidades interesantes:

También envié un vídeo que gustó al jurado, pero me dijeron que no podía optar a dos premios, algo que vi normal. Aún así, me alegró que les pareciera interesante:

Así que lo dicho, estoy encantado con el premio, sobre todo porque tiene que ver con algo que me apasiona: la ciencia :-)

Desde aquí mi agradecimiento al jurado, los organizadores y los patrocinadores ;-)


Filed under: Ciencia, Personal   |  Comments
Tags: , , , , , ,

Lessig en Euskadi

11Nov08

El pasado 17 de octubre, Araba Enpresa Digitala invitó a Lawrence Lessig a dar una conferencia en Euskadi. Gracias a David Montero, tuve la oportunidad de presentar el evento y de hablar distendidamente con el ponente al finalizar la conferencia :-)

Lessig en Euskadi

Lessig en Euskadi

Lo cañero del asunto es que Lessig podría ser nombrado “director informático” del gobierno de Barack Obama, así que ahí me tienen, comentando la jugada con quien puede liderar el futuro tecnológico de EEUU :-O La charla que tuvimos después de la conferencia fue muy agradable. A pesar de que las diferencias entre Stallman y Lessig son evidentes, Lessig me pareció una persona muy agradable, correctísimo en sus formas y atinado en sus comentarios. Hablamos de su trabajo en Stanford, de su estilo de presentación y de DRM… bufff, igual Lawrence venía demasiado cansado después de más de 24h de avión como para sufrir mi conversación. Yo lo disfruté un montón, pero no sabría decir si el sentimiento fue mutuo :-D

Esto es lo que dije en el texto de presentación (tengo que agradecer la traducción a Mikel Olasagasti ;-) ):

Gaurko eguna Lawrence Lessig maixuak akademikoki zein profesionalki lortu dituen arrakastak zerrendatzen hasi gintezke (Standford, Harvard, Yale, Cambridge…), baino guzti hori Wikipedian dugu eskuragarri. Ez dago inolako zalantza izpirik Lessig maixuaren gorentasuna kolokan jarriko duenik.

Hala ere, berarengan zerbait nabarmendu beharko banu bere hacker alderdia izango litzateke. Mende honetako hackerrak ez doaz patinetan eta ez dituzte letra berdez betetako eta fondo beltza duten terminalik erabiltzen. Lawrence Lessig ondoen ezagutzen duen kodearen hacker bat da, kode juridikokoa alegia. Bere ekintza hackerrik aipagarriena Creative Commons lizentziak dira, lan artistikoen askapenean izugarrizko iraultza sortu dutenak. Baina hacker on baten moduan ez da horretan geratu eta kultura libre baten aldeko borrokara softwarearen patenteen aurkako kritikak edo espektro radioelektrikoaren askapena gehitu ditu. Gaur egun korrupzio politikoaren aurkako borroka sustatzeko sortu duen “Change Congress” proiektuan buru belarri dabil.

Hemen bildu garen ‘copyfighter’ askorentzat inspirazio iturri bat da, ez soilik mezuan, baita moduetan ere. Ikusiko duzue zertaz hari naizen Lessig aurkezpen metodoa ikusten duzuenean.

Podríamos comenzar la jornada de hoy enumerando los abundantes logros académicos y profesionales de Lawrence Lessig (Stanford, Harvard, Yale, Cambridge…), pero para eso ya está la Wikipedia. Que el profesor Lessig es toda una eminencia es algo fuera de toda duda.

Sin embargo, lo que más me gustaría es resaltar su faceta hacker. Los hackers de este siglo no van en patines en línea ni usan terminales en verde sobre negro. Lawrence Lessig es un hacker del código que mejor conoce, el código jurídico. Uno de sus hackeos más conocidos se plasmó en las licencias Creative Commons que han provocado una auténtica revolución en la liberación de obras artísticas. Pero como buen hacker, no se ha limitado a eso sino que ha sumado a su lucha por la cultura
libre la crítica a las patentes de software o la liberación del espectro radioeléctrico. Actualmente se ha centrado en combatir la corrupción política impulsando su proyecto “Change Congress”.

Lessig es fuente de inspiración de muchos de los copyfighters que hoy nos reunimos aquí, no solamente en el mensaje, sino también en la forma. Ya sabréis de qué hablo cuando veáis en vivo el método Lessig para presentaciones.

Tenéis el resto de fotos de la jornada aquí (cortesía de David Montero), y lo más interesante, el audio de la charla, aquí (cortesía de Euskadi Digital).


Filed under: Personal, Software Libre   |  Comments
Tags: , , , , , , , , , , ,

Tempestades electromagnéticas desde tu ordenador

04Oct08

Hace un par de semanas organizamos en Deusto el Asegur@IT III, un evento relacionado con la Seguridad Informática, con la participación de empresas punteras a nivel estatal: S21sec, Panda Security, la Universidad de Deusto, Informática64 y Microsoft.

Yo participé con la charla más marciana de todas, sin desmerecer la atrapada de Mikel Gastesi e Iñaki Etxebarría con Windows Internals a tope, hablando sobre TEMPEST.

Podría escribir un artículo sobre TEMPEST, pero es más fácil poneros un par de enlaces a la presentación que utilicé y al audio de la charla.

He intentado hacer un slidecast con slideshare, sincronizando transparencias y audio, pero parece que solo admite ficheros de audio hasta 32 minutos. El resto, lo tendréis que sincronizar a mano O;-)

Espero que os resulte de interés ;-)


Filed under: Informática, Seguridad Informática, Software Libre   |  Comments
Tags: , , , , , , , , ,

La banca no gana

30Ago08

Esta semana ha sido la primera vez que he ido a un casino. Tengo bastante respeto a todo el asunto relacionado con las apuestas y demás, pero puestos a tirar el dinero, será mejor no tirarlo a lo tonto. Así que con esa idea en la cabeza, me dejé engañar por mi colega Ender para ir al Gran Casino Nervion a perder unos cuantos euros al Blackjack.

¿Por qué al Blackjack? Porque me parece uno de los juegos menos abusivos dentro de un casino. Las probabilidades de perder no son tan espectaculares como en la ruleta, se puede decidir qué hacer (odio los juegos en los que te encomiendas a tu suerte y ya está) y la banca juega siempre de un modo determinista.

Humm, azar, determinismo, probabilidades… si nos van los números, puede molar, ¿no? Parece que no soy al primero que se le ocurre, de hecho hay hasta una peli sobre el tema:

Pues bien, estuve un rato practicando la estrategia básica con el Gnome Blackjack y al lío.

¿El resultado? Entré con 50 euros en el casino y salí con 115 :-)

Pensándolo bien, quizá haya sido verdadera mala suerte haber ganado el primer día. Pensándolo mal, tengo 65 euros para jugar sin que me dé toda la rabia perderlos :-D

Disclaimer: no soy un flipao, sé que ha sido muuuuuucha potra, pero jugando más o menos bien al Blackjack no tienes que tener tanta potra como con la ruleta o la lotería. Hay auténticos profesionales del tema, aunque en Europa es bastante complicado ganar mucho dinero porque hay más reglas que favorecen a la banca.


Filed under: Personal   |  14 Comments
Tags: , , , ,

ssh root@hackit && make world

31Jul08

Antiguamente, en sistemas FreeBSD, cuando hacíamos “make world”, actualizábamos todo el sistema. Siempre me ha gustado llamar al comando make pasandole todo el mundo como argumento y hoy me apetece especialmente porque me gustaría cambiar radicalmente uno de mis proyectos, el “hack it”.

Después de la resaca del “hack it” de este año en la Euskal Encounter, y de la llamada a la participación previa, he pensado que lo mejor sería abrir todavía más la organización del concurso a más gente.

Rehagamos el “hack it”, actualicemos su formato a algo más distribuido, socialicemos su organización. Creemos una comunidad de “hackitistas” que decidan cómo será la siguiente edición, colaboren en la organización, propongan retos y expliquen ediciones anteriores.

Así que esto es una nueva llamada a la participación :-)

Sería genial que el “hack it” de la Euskal no dependiera de una sola persona (con sus manías, sus limitaciones, sus errores), sino de más gente. Pensemos cómo entre todos ;-)

Para intentar formar esa comunidad de la que hablo, he creado el sitio http://hackit.txipinet.com, donde he colgado un mirror de las últimas ediciones del concurso por si alguien quiere volver a jugar, instalárselo en sus servidores o hacer modificaciones (todo está bajo licencia CC by-sa hasta el momento). También he colgado enlaces a algunas soluciones explicadas y por último, un instrumento importante para ir sugiriendo ideas desde ya es la lista de correo. Suscribíos y que empiecen a llover las ideas :-)

Lo dicho, os animo a que colaboréis en la medida de vuestras posibilidades (si no tenéis tiempo, conocimientos o ideas nuevas, no pasa nada, no hay “cuota” mínima en ninguna de estas tres cosas).

Happy hacking!


Filed under: General   |  Comments
Tags: , , , , , ,

Bombas fork(): un snowcrash para tu shell

21Jul08

Es conocido desde hace tiempo que hay una vulnerabilidad de DoS (Denial of Service, Denegación de Servicio) que afecta a muchos UNIX (¿cuál es el plural de UNIX? UNICES suena fatal :-D), así como en GNU/Linux. Con simplemente escribir este conjuro en una shell, terminamos por colgar el sistema:

:(){ :|:&};:

Menuda movida, ¿no? :-O

Lo primero de todo, ¿qué significa ese código? Bien, si sustituimos “:” por “función” e indentamos bien, se entiende mejor:

:(){ :|:&};:

funcion () { funcion | funcion & }; funcion

funcion () {
  funcion | funcion &
};
funcion

Es decir, primero definimos una función y luego la llamamos. Dentro de esa función, se llama de nuevo a esa función (recursión) dos veces y se une esos dos procesos por una tubería (pipe). Además se pone un & al final para que todo eso se ejecute en segundo plano.

A fin de cuentas lo que tenemos es un proceso que se llama a sí mismo (lo que ocasiona un bucle), pero que no tiene condición de finalización (bucle infinito) y lanza dos procesos hijos cada vuelta del bucle y los une por una tubería (más del doble de recursos necesarios cada vez).

Lo dicho, esto es más viejo que el picor, aunque hay scripts realmente sencillos que hacen cosas parecidas con distinto código. En Journey’s End nos plantean uno:

#!/bin/sh
$0 &
exec $0

Así que el problema no está en el conjuro en sí (no tendría sentido poner en nuestro IDS esa cadena para detectarla como maliciosa, porque habría infinitas cadenas que harían lo mismo), sino en la teoría que subyace: un usuario con un límite demasiado amplio de procesos de usuario creados, puede acabar los recursos del sistema.

¿Cuál es mi límite de procesos? Lo podemos conocer fácilmente con el comando ulimit:

ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 12273
max locked memory (kbytes, -l) 32
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 12273
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited

El número máximo en este sistema es 12273 para mi usuario, más que suficiente para dejarlo tuerto :-(

Si quisiéramos evitar este problema, bastaría con cambiar ese límite, así:

ulimit -u 1000

De esta manera, evitamos el problema, aunque solamente para la shell en la que hemos ejecutado este comando. Podríamos lanzarlo en el /etc/profile o en algún script de inicio de sesión, pero es bastante más elegante modificarlo en el fichero limits.conf.

grep "nproc" /etc/security/limits.conf
# - nproc - max number of processes
#@student hard nproc 20
#@faculty soft nproc 20
#@faculty hard nproc 50
#ftp hard nproc 0

Como vemos, tenemos varios ejemplos que limitan los procesos a 20 o a 50 en función del grupo al que pertenezcan. También se pueden definir límites por usuario o se puede establecer un límite general:

% hard nproc 1000

Con esto limitamos el número máximo de procesos a 1000 para todos los usuarios.

Y entonces podemos preguntarnos ¿cómo la gente de GNU/Linux es tan torpe de poner un límite que nos puede colgar el sistema operativo? La respuesta tiene que ver no solo con la cantidad de procesos, sino con el peso de cada uno de ellos. Si fijamos a 1000 el número máximo de procesos por usuario, nos libramos de las dos bombas fork que hemos visto, pero modificando ligeramente la segunda, podríamos seguir tirando el sistema para muchos menos procesos:

#!/bin/sh
$0 &
find . &
exec $0

Quizá entonces no solamente haya que limitar el número de procesos, sino otros límites definidos en el fichero limits.conf.

Cuando leamos que tal malware permite ejecutar “código arbitrario” en nuestro sistema, nos podremos acordar de este torpe código y de cómo el solito es capaz de tumbar todo el servidor, desde una cuenta de usuario :-O


Filed under: Informática, Seguridad Informática, Software Libre   |  Comments
Tags: , , , , , , ,

Entrevista entre bestias

17Jul08

Bueno, no es un bestiario lo que recolecta M@k en su Blog de Blogs, pero se le parece un poco, porque por ahí han pasado algunos de los “monstruos” de la blogocosa :-)

Esta vez el turno me ha tocado a mí y me he tenido que fajar con una batería de preguntas que cuando la he visto casi me da un pasmo. La entrevista que me hicieron para el blog de Infogizarte (con foto de pecejasotzaile incluida :-D), fue casi lo contrario: pocas preguntas para que soltara buena chapa, así que he intentado ser breve esta vez :-)


Filed under: Personal   |  Comments
Tags: , , ,

Reflexiones sobre el cracktivismo

25Jun08

Hace unas semanas, Mercè Molist, periodista especializada en hacking, cracking y hierbas afines, me escribió para que le contara mis opiniones sobre los recientes actos de cracktivismo que se estaban dando en la red.

¿Cracktivismo? Sí, cracktivismo, algo diferente al hacktivismo. El término se lo he leído por primera vez a Manel Medina, director del equipo de seguridad esCERT, y me parece muy acertado: hacker + activista = hacktivista, cracker + activista = cracktivista.

Un poco a vuelapluma solté unas cuantas ideas:

  • Los defacement o los ataques DDoS no son propios de hackers. La motivación de los defacement no es la curiosidad, pura droga del cerebro hacker, sino el ego y la admiración, algo mucho más mundano, típico de mentes menos inquietas. Los DDoS atentan contra un pilar de la ética hacker: la información debe fluir, quiere ser libre, no se debe poner trabas a la libertad de expresión.
  • El hacktivismo bebe de la ética hacker y comparte su postura en gran parte. A pesar de que los Netstrikes pueden verse como DDoS, no son más que sentadas virtuales, hechas con medios tecnológicos sencillos, al alcance de cualquiera que desee sumarse. Sus razones y sus modos están muy lejos de las botnets empleadas por las cibermafias para tumbar casi cualquier sitio en la Red, a pesar de que aparentemente el resultado pueda parecer similar.
  • No es lo mismo estudiar la tecnología para evaluar su uso, protestar frente a abusos tecnológicos o legales y preparse para evitarlos (autodefensa digital), que conseguir por medios propios o ajenos técnicas y tecnologías que otorgan poder a unos pocos, les permite imponer sus criterios y deja indefensa a gran parte de la Red.
  • Tomando prestada la célebre frase de mi paisano Unamuno, los hacktivistas no pretenden vencer, sino convencer, mientras que los cracktivistas intentan lo contrario, vencer sin convencer. El hacktivista se centra en la batalla ideológica, realmente su pelea se da en las mentes de cada persona que participa o asiste a sus acciones. El resultado práctico no importa en absoluto. Su verdadero objetivo no es apropiarse o tumbar un servidor, sino llegar a las mentes de quienes acceden a él. A pesar de ser capaz de saltar barreras tecnológicas como cortafuegos o sistemas de detección de intrusos, el hacktivista tiene que sortear una capa más, la humana, llena de trincheras de preconceptos y alambradas de prejuicios. Por eso usa otras bazas además de las tecnológicas: el humor, la argumentación, la emotividad, la sorpresa… El cracktivista, en cambio, utiliza a las personas y a sus ordenadores como meros fines para incrementar su cuota de poder, establece sus criterios por la fuerza, alimenta su ego con el miedo de quien teme sus ataques.
  • Más que de ciberguerra puede hoy hablarse de cibermafia. Redes de extorsión cibernética tejidas gracias a la colaboración no voluntaria de miles de cibernautas. Un hacktivista declinaría todo ese poder, puesto que sabe que su uso y abuso destruiría lo más preciado de la Red, su libertad, y facilitaría la adopción de medidas cada vez más restrictivas. El cracker, y en igual medida el cractivista, tiene objetivos mucho más mundanos, más a corto plazo. No duda en demostrar su poder en cada ocasión y en imponer su ley.
  • ¿Irá a más esta cibermafia? Depende de sus resultados en cuanto a costes y beneficios. Actualmente el coste es prácticamente cero y los beneficios son altísimos, así que tiene sentido que aumente su incidencia. La buenas noticia es que es probable que no haya pastel para todos y que muchos de estos ataques se centren en otros grupos mafiosos, en guerras fratricidas. Si finalmente se convierte en una pelea de “perros grandes”, será más fácil combatirlos porque serán menos heterogéneos, aunque habrá que estar a la altura en conocimientos y medios.

Y Mercè las ha juntado con las suyas propias, las de Manel y las que ha encontrado en la red para hacer un artículo muy chulo: “Crecen los ciberataques por motivos políticos” :-)


Filed under: Personal, Seguridad Informática, hacktivismo   |  Comments
Tags: , , , , , , ,

De charleta con Tiscar Lara

11Jun08

Con motivo de la Moodle Moot Euskadi 2008, Tiscar Lara se pasó por tierras vascas a contarnos cómo veía ella la Red. Su conferencia en la Moot estuvo muy bien, me encantó los puntos que trató y su enfoque escéptico y crítico. Cuando ya estábamos con el hamaiketako y los canapés, Josi Sierra, videoactivista de Aprendices, me comentó a ver si me apetecía hacer una pequeña entrevista a Tiscar. Yo acepté encantado porque no se presentan este tipo de oportunidades todos los días, así que la abordamos mientras hablaba con David y la convencimos para grabar un rato.

Fruto de esa conversación tenemos estos vídeos grabados por Josi con su estilo propio, que a mí personalmente me encanta:

Resumen de la conferencia de Tiscar:

Las dos caras de la Red:

¿Qué usos de Internet te gustarían que se dieran?

Gracias a Tiscar por sus opiniones y a Josi por su manera de ver el mundo en 4:3 ;-)


Filed under: General, Personal, Software Libre, TV, hacktivismo   |  Comments
Tags: , , , , , , ,

Curso de programación en C para GNU/Linux (final II)

08Jun08

Hace bastante tiempo escribí un curso de programación en C para GNU/Linux, unos años después lo publiqué en este blog, y finalmente colgué un PDF con el curso maquetado.

A la gente le gustó bastante y todavía recibo algunas dudas, correcciones o comentarios sobre el curso, lo que me hace bastante ilusión porque significa que se sigue utilizando :-)

A raíz de los premios startup2.0, recordé la existencia de bubok, una web en la que subes tu PDF, diseñas una portada y permites que la gente pida copias impresas de tus escritos. Muy buena idea si quieres difundir tus trabajos evitando gastarte mucho dinero al principio. Intenté subir mi documento desde el portátil del trabajo (Debian + Iceweasel) y no me funcionó muy bien la web, así que miré un poco por Internet y vi que Lulu hacía prácticamente lo mismo. Enredé un poco con la web y finalmente subí el curso.

Lo podéis descargar y comprar desde mi tienda en Lulu: http://stores.lulu.com/garaizar. El material es copyleft, la descarga gratuita y si queréis tener las 81 páginas en papel, tendréis que pagar 6 euros, precio amigo ;-D (de esos 6 euros creo que me llevo 0.30 o algo así, intenté poner lo mínimo).

Si alguien se lo compra, que mande una foto de cómo queda, ¿vale? ;-)

Actualización: A sugerencia de Angel María, he vuelto a probar en Bubok y de maravilla (ahora con Ubuntu 8.04 y Firefox 3beta5). Aquí tenéis el resultado: http://www.bubok.com/libros/1561/gnulinux-programacion-de-sistemas.


Filed under: Informática, Personal, Software Libre   |  10 Comments
Tags: , , , , , , ,
« Previous Entries