Buscando

Ando buscando por quién votar… y parece que no soy el único.

Joomla! Security Scanner

Joomscan es un proyecto hosteado en sourceforge, que consiste en un script de Perl que hace un chequeo sobre vulnerabilidades conocidas del popular CMS Joomla!.

¿Para qué me sirve? Bueno, si somos “chicos(as) buenos” y administramos un sitio que está montado en Joomla! puede que nos disguste que nos lo boten o realicen un defacement como el ocurrido a la Casa Presidencial que por cierto a la fecha de hoy (13/11/2009) continúa caído. Pues bien, con un escáner de este tipo podemos verificar si con la versión que tenemos instalada de Joomla!, corremos algún riesgo de seguridad.

¿Y si mi sombrero es de otro color? También funciona muy bien.

¿Cómo lo uso? Se descarga de sourceforge y se descomprime el archivo .zip. En este momento el archivo se llama joomscan-latest.zip, algo completamente circunstancial y que podría cambiar en el futuro. Al descomprimirlo se crea un directorio que contiene un archivo llamado joomscan.pl al que debemos asignar permisos de ejecución y ejecutarlo sin parámetros para probar qué sale.
En mi caso obtuve una salida como ésta:
Can't locate HTTP/Request/Common.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.1 /usr/local/share/perl/5.10.1 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at ./joomscan.pl line 17.
BEGIN failed--compilation aborted at ./joomscan.pl line 17.

que se corrige instalando el paquete libwww-perl. Luego obtuve otro error:

Can't locate WWW/Mechanize.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.1 /usr/local/share/perl/5.10.1 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at ./joomscan.pl line 2673.
BEGIN failed--compilation aborted at ./joomscan.pl line 2673.

que se corrige instalando el paquete libtest-www-mechanize-perl.

Listo. Una vez instalado eso, al ejecutarlo debería mostrarnos un mensaje de bienvenida:
Welcome to the
OWASP Joomla! Vulnerability Scanner End-User License Agreement!...

Se usa así: ./joomscan.pl -u http://[sitio_joomla].[com|net|org|...etc] y empieza a mostrar resultados más o menos así:

# 1
Info -> Generic: htaccess.txt has not been renamed.
Versions Affected: Any
Check: /htaccess.txt
Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed.
Vulnerable? Yes


# 2
Info -> Generic: Unprotected Administrator directory
Versions Affected: Any
Check: /administrator/
Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf
Vulnerable? Yes
...


¿Al ejecutarlo una vez me aseguro de no tener vulnerabilidades? Respuesta corta: No. Respuesta larga: No. La seguridad es sólo una sensación. Uno usualmente pone en la casa la cantidad de puertas que considera adecuadas para sentirse seguro; ni más, ni menos. Lo cual detendrá a la mayoría de ladrones, pero no a todos.
Además, la fecha en que se actualizó por última vez el joomscan que yo tengo fue el 18-08-2009 y cuenta con 466 pruebas, lo que según el Joomla! Security Center ya es algo desactualizado. Lo bueno es que como joomscan es GPLv3, todos podemos actualizarlo y analizar el código.

¿Entonces la conclusión es que como Joomla! “es barato” también es inseguro? No. Eso sólo se le pudo haber ocurrido a alguien que no sabe nada de computación o que pertenece a CAMTIC.
Un software es vulnerable cuando no se instala correctamente, no se usa correctamente o no se actualiza periódicamente; y el precio no afecta en nada ninguno de esos tres aspectos. De hecho, el sistema operativo (cuyo nombre no quiero mencionar) con la peor fama en seguridad es “caro” (además de feo) ¿y eso qué?

Me acaba de surgir la idea de una charla de seguridad ofensiva utilizando sólo herramientas libres… apuesto que sería muy interesante =)

Identicmaratón

La diferencia entre un “twittermaratón” y un “identicmaratón” es que en el segundo la gente no duraría 72 horas despierta; haría un script que envíe twitts notices leídos de un archivo de texto y fácilmente mucha gente ganaría :P

12-Oct

Ni “Encuentro de Culturas”, ni “Día de la raza”. Día para conmemorar a los verdaderos dueños de esta tierra.
Foto de la Asamblea Legislativa (2008/07/19)

Pasaron los JUNCOS

La semana pasada fue semana de JUNCOS. No encuentro nada decente (que pueda empotrar fácilmente aquí) para subir algunas de la partidas que jugué… creo que voy a terminar subiendo un gif animado con un enlace a las partidas en formato .png
Voy a intentar un poco más… si no encuentro nada, debería escribirlo… ¿python+gtk?… o tal vez mover el blog para algún servidor propio donde pueda meter javascripts… o dejarlo pasar… o irme a dormir.

Propiedad intelectual y software

Como parte de las actividades de la “Semana Compu”, el jueves por la tarde fui a la biblioteca del ITCR a una charla titulada “Propiedad Intelectual y software” impartida por el Lic. Otto Rivera de CAMTIC. Es curioso que cuando un abogado va a hablar de software siempre aclara que es abogado y que no entiende muchas cosas de software, al igual que cuando gente de computación (me incluyo) hablamos de licencias y propiedad intelectual, aclaramos que no somos abogados y que no sabemos muchas cosas de leyes.
Pues bueno, esta empezó de la misma manera y como yo no sabía que era de CAMTIC me quedé escuchando un rato. Más o menos para la cuarta diapositiva ya pude identificar la clase de charla que era… de esas que dicen que la “producción intelectual” se tiene que “proteger” (odio que usen esa palabra con este significado) para que nadie se las robe a uno.
La primera parte fue de conceptos y por lo menos no escuché nada sorprendente ni nuevo, sino definiciones de autor, titular, derecho moral y patrimonial, etc.
Cuando llegó a la parte de software libre confieso que me asusté cuando textualmente dijo que “…las licencias GNU no tienen derechos de autor” y que él no estaba seguro si dichas licencias eran una violación legal ya que toda creación debe tenerlos :-O++ ¡que no se podía reconocer la autoría de un producto licenciado con GPL! y como si eso fuera poco que “las licencias GNU”, refiriéndose a las GPL, “impiden vender el software”.
Curiosamente, a pesar de ser abogado, utilizó toda la terminología del campo de computación adecuadamente, lo que demuestra que tiene mucha experiencia en esta área, pero lastimosamente lo único en lo que se equivocó (y por mucho) fue en los aspectos legales del software libre.
Es clarísimo cómo esta cámara busca inculcar ideas erróneas a estudiantes de computación y tratan de manipularlos sin ninguna vergüenza aún delante de profesores, egresados y visitantes del ITCR.
Es claro también que este señor vive de registrar legalmente el software privativo que se produce en el país y está dispuesto a hacer lo que sea, incluso mentir, para asegurarse su trabajo.
No sé si la ASODEC o alguna otra de las nuevas asociaciones de estudiantes habrá grabado las conferencias, porque realmente me gustaría tener una copia de esta joya de charla.

Derechos de autor… en ajedrez

Después de dos años de inactividad volví a jugar ajedrez. Me llamaron unos amigos de Turrialba para preguntarme si estaba interesado en jugar con ellos el Torneo Nacional por Equipos; y acepté. La verdad me hacía falta volver a sentir eso que sólo se siente jugando un torneo. Estuve jugando tan tranquilo que creo que eso me ayudó a obtener buenos resultados; no me importaba quiénes eran mis rivales, ni cuánto elo tenía, ni de qué equipo eran, nada; sólo jugué.

…Yo sospecho que tengo algún tipo de déficit atencional, ya que normalmente puedo estar haciendo algo y a la vez estar pensando en otra cosa, a veces relacionada, a veces no. Pues estaba ahí jugando y anotando mi partida en la planilla cuando me quedé pensando sobre los derechos de autor de una partida de ajedrez.

Si incluso el software tiene derechos como los de un libro debido a que el código fuente de los programas se escribe, pues una partida de ajedrez debería tener los mismos derechos, ¿o no? ¿y de quién son los derechos? ¿del que gana? ¿de los dos jugadores?. Me encontré un video en el que Topalov (excampeón mundial de ajedrez 2005-2006) decía que los derechos deberían pertenecer al organizador del torneo… lo que para mí significa que el mae realmente no ha pensado mucho en el tema.

Existen más libros sobre ajedrez que sobre todos los demás deportes juntos, y apuesto a que también hay más DVDs y programas de tv acerca de cualquier otro deporte que sobre ajedrez; creo que esto sucede porque -como decía Alekhine- el ajedrez se parece más al arte que a un juego.

El punto es que casi todos los jugadores más importantes publican libros con partidas que no son suyas. Esto se puede justificar diciendo que lo que realmente están vendiendo son sus comentarios sobre las partidas ajenas, pero realmente las partidas son la columna vertebral del libro.

¿Cómo decidir la licencia de una partida? ¿Qué tal si un jugador quiere que sea CC-by y el otro CC-by-nd?

El vídeo, acá:

PD: Quedé seleccionado en el “dream team” de este año :)

“No queremos software libre”

Acabo de leer la noticia de que el MEP descarta adquirir software libre y además paga ¢350 millones a Microsoft en licencias (por año).

Dice el MEP “que si se pasa a otras aplicaciones habría que capacitar a miles de docentes”. Vamos a ver si entendí; ellos enseñan a usar herramientas privativas y se quejan de que no hay (suficiente) gente que sepa usar herramientas libres. Y sí, por increíble que parezca, ¡ellos son los encargados de la educación costarricense! ¿Debe cambiarse la enseñanza de la informática educativa? Cualquiera con un mínimo de capacidad analítica podría saber que sí. ¿Cómo? No enseñando herramientas, sino conceptos. Es decir, no enseñar a los alumnos a guardar archivos de Excel, sino enseñarlos a guardar archivos. ¿Archivos de qué? -¿Acaso importa?-. Enseñar a usar FrontPage. ¡No!. Enseñar HTML, el concepto de etiquetas y el despliegue web. Sólo por dar un par de ejemplos.

La educación, con el papel meramente social que desempeña, ha dejado de lado esto para volver la vista y arrodillarse ante quien, con piel de oveja, ocacionalmente le soborna con “regalos” de licencias para centros educativos y estudiantes (evidentemente, en el caso de la noticia no es así). Y cuando es gratis, ¿cuál es el problema? Como dicen por ahí, la primera dosis es gratis. Cuando ya hay adicción, hablamos…

Esta claro que ya somos farmacodependientes de la droga del software privativo, y hundidos en el vicio, según el MEP, no hay remedio que valga, debemos seguir consumiendo nuestra dosis por siempre. De este modo ¿a quién no le gustaría tener un vicio que sea costeado por la sociedad? ¿Y si el vicio cuesta ¢350 millones anuales? ¿Cuantas aulas se pueden construir con eso? ¿Cuántas capacitaciones en software libre se pueden costear con eso? ¿Será cierto que sale más caro pasarse a software libre?

Estoy conciente de que pasarse a software libre no es barato ni fácil, pero estoy seguro de que lo vale debido al impacto social que tiene y también por el aspecto económico, aunque no creo que sea lo más importante de este tema. A como yo lo veo, esto es una transferencia de mucho dinero de un país pobre hacia un país rico, mientras que con el modelo de software libre, el gasto en capacitaciones sería con empresas locales por lo que inclusive ayudaría a reactivar nuestra economía, y el costo de licencias sería muy muy bajo… ¿0?

Probablemente Leonardo Garnier no sea especialista en el área de informática educativa, ¿pero cuántos ministros son especialistas en su cartera? (doña Jeanina, ¿me equivoco?), pero yo esperaría que tuviera algún asesor competente en este tema. ¡Los altos funcionarios públicos aman las asesorias!

De esta manera, nuestro gobierno le da el dinero del pueblo a compañías transnacionales para que construyan un muro cada vez más alto que nos divida, la brecha digital se profundiza y a final de cuentas, nosotros perdemos.