Qué significa realmente ‘hacker’

Gracias a Guillermo por sugerir el tema para este post, es algo que si bien yo tengo la suerte de vivir, no sé si se habrá escrito al respecto aquí en el pasado, pero de todas maneras volveré a sacarlo a la luz para poder compartir un poco con ustedes :)

El arte de ser hacker

Uno de los libros que más me han llamado la atención sobre este tema es sin lugar a dudas Hacking: The Art of Exploitation, de Jon Erickson. Es una joya para todo aquel que quiera sumergirse en este mundo de los verdaderos hackers. Y tal como está en el libro, me permitiré tomar la primer pregunta que explotó mi mente al momento de leerlo.  

La esencia de un hacker

Usando cada uno de los siguientes números 1,3,4 y 6 exactamente una vez con cualquiera de las operaciones básicas (sumar,restar,multiplicar,dividir) conseguir un total de 24. Cada número debe ser usado solo una vez y el orden depende de ustedes. Por ejemplo:

3 * ( 4 + 6 ) + 1 = 31

Correcto en sintaxis, pero incorrecto en resultado.

Debo admitir que yo no pude resolver el problema hasta que terminé de leer el libro y vi la solución en la última página. Pero básicamente esta es la esencia de un hacker, poder ver lo que otros no ven.

Los primeros hackers

Un grupo de estudiantes del MIT (Massachusetts Institute of Technology), cerca de los años 50, recibió un donativo de equipos telefónicos, con estas piezas, ellos desarrollaron un sistema que permitía gestionar la línea de comunicación a distancia por medio de llamadas especiales. Ellos hicieron un descubrimiento usando la tecnología que ya existía, pero usándola de formas que pocos o nadie habían visto hasta entonces. Estos fueron los primeros hackers.

Una comunidad de respaldo

Hoy en día existen muchos exámenes de “certificación” para convertirse en “hacker”, pero la realidad es que uno no llegará a ser un verdadero hacker hasta que un miembro de la comunidad que ya lo sea esté de acuerdo en llamarnos por ese calificativo. Uno de los caminos para esto es poder aportar algo útil a la comunidad. Muchos hackers son en última instancia programadores de bajo nivel, puesto que conocen de manera profunda cómo funcionan los equipos, a nivel de memoria y sistema operativo.

Este conocimiento les permite encontrar vulnerabilidades

Esto es como cuando aprendemos por primera vez matemáticas, cuando eramos niños, necesitabamos de alguien que nos explique y enseñe los símbolos y las formas, y esto sucede en cierta manera con los programadores también, un verdadero hacker es aquel que conoce estos símbolos y formas, y nos señala cuando ve que hemos fallado al usarlos (una vulnerabilidad). Y como el mismo Linus Torvalds (otro gran hacker, en el sentido real de la palabra) las “vulnerabilidades” son solamente bugs. Con esto refiriéndose a que no son más que errores de programación, aunque tal vez con otro tipo de consecuencias a los bugs más comunes.

Los hackers NO necesariamente son delincuentes

Esto es cierto hasta cierto punto, vamos a pensarlo por un momento. Cuando un verdadero hacker desea conocer algo, este pone a prueba hasta el más mínimo detalle del sistema, con todos sus conocimientos le es posible esquivar, o evitar controles de acceso, o modificar órdenes para realizar otras tareas, o incluso convertir el programa en otra cosa. Pero ¿de dónde nace esto?

Motivaciones de un hacker

Estas pueden ir en un gran abanico de posibilidades, algunos (la mayoría de los verdaderos hackers) descubren lo que descubren por un mero placer intelectual, disfrutan el desafío de encontrar estos ‘vacíos’. Otros lo hacne por ego, puseto que desean poder decir que son los mejores en algo. Pero es innegable que alguno o muchos de ellos también estarán ahí por el dinero, puesto que controlar cosas que son incontrolables para la mayoría de personas es ciertamente una herramienta que puede producir mucho dinero. Es este el motivo por el que podemos decir que los hackers no necesariamente son malos, pero ojo con el necesariamente.

3 tipos de hacker hoy en día

Hoy por hoy podemos encontrar 3 conocidos grupos de hackers, distinguidos de manera curiosa por el tipo de sombrero que usan: white, black grey hat. En pocas palabras y con una analogía que ya hemos tocado con anterioridad, encontramos que los blancos son los buenos, los negros son los malos y los grises están en un punto medio en el que usan sus habilidades para ser o buenos o malos, dependiendo de la situación. Pero hay un último término, mucho más utilizado en círculos de hackers reales.

Script-kiddie

¿Qué es un script-kiddie? Como su nombre lo dice, es un “niño” a la vista de los verdaderos hackers que solo usa scripts para su beneficio. Y aquí hay que hacer una distinción muy grande,

Estar certificado en seguridad informática NO te hace necesariamente un hacker.

Y este es un punto de vista personal, así como un hacker  puede ni siquiera tener certificaciones y seguir siendo uno. Pero vamos a ver por qué digo esto. Muchos exámenes de certificación/cursos/etc te enseñan los pasos de un pentesting exitoso, te enseñan la teoría de tipos de vulnerabilidad, te introducen en el mundo de la seguridad informática como si fueras versado en el tema. Pero la realidad es que hasta que no hagas un aporte sustancial a la comunidad hacker, esto quiere decir, hasta que no crees una herramienta que demuestre ser útil para los hackers, no eres uno. Así de simple y sencillo.

No importa qué tan bien puedas usar nmap, o zen, o incluso metasploit, mientras no seas capaz de aportar un exploit real, o una herramienta de reconocimiento real, NO eres un hacker, solo un script-kiddie, y no importa que tengas N certificaciones en seguridad, eso no lo va a cambiar.

Los hackers hacen de este un mundo mejor

Gracias a ellos es que tenemos tecnología en continuo movimiento. El kernel es un gran ejemplo de esto, son cientos de mentes muy versadas en el tema, que crean código que sirve no solo a la comunidad hacker, sino a todo el mundo. Pero no solo esto, si no fuera por ellos, la tecnología se estancaría en puntos donde la gente no querría seguir desarrollando, esto porque al encontrar vulnerabilidades, los hackers ayudan a motivar a los desarrolladores a escribir mejor código, y a su vez, este mejor código motiva a los hackers a demostrar que son aún mejores, generando un círculo virtuoso en el medio.

Reflexión final

Bueno, ya voy a cortar, así sin más, porque he visto que me estoy extendiendo y aunque me gustaría explicar un poco sobre cómo encontrar un exploit, eso tendrá que ser para otra ocasión. Yo personalmente me considero un ‘script-kiddie’ todavía, puesto que si bien he encontrado una que otra vulnerabilidad por ahí e incluso he podido asignar CVEs a estas, todavía no he creado mi propio exploit o herramienta para poner a disposición de la comunidad, pero espero que eso cambie en poco tiempo ;) Sin más que agregar, muchas gracias por su tiempo, saludos.Qué significa realmente ‘hacker’

Cómo responder ante un hacker ‘profesional’

Creo que la pequeña ausencia ha valido la pena :) Estos días estoy con más ánimos que nunca de empezar nuevos proyectos y supongo que ya dentro de poco les daré nuevas noticias sobre mis avances en Gentoo :) Pero ese no es el tema de hoy.

Computación Forense

Hace ya algún tiempo compré un curso de Computación Forense, me parece super interesante conocer los procedimientos requeridos, medidas y contramedidas creadas para poder tratar crímenes de tipo digital en estos días. Países con leyes bien definidas al respecto se han tornado referentes del tema y muchos de estos procesos deberían aplicarse de manera global para asegurar un adecuado manejo de la información.

Falta de procedimientos

Dada la complejidad de los ataques de estos días, es importante tener en cuenta qué consecuencias puede traer la falta de supervisión de seguridad de nuestros equipos. Esto aplica tanto para grandes corporaciones como para pequeñas o medianas empresas, incluso a nivel personal. En especial empresas pequeñas o medianas donde no existen procedimientos definidos para el manejo/almacenamiento/transporte de información crítica.

El ‘hacker’ no es tonto

Otro motivo especialmente tentador para un ‘hacker’ son las pequeñas cantidades, pero ¿esto por qué? Imaginemos por un segundo este escenario: Si yo consigo ‘hackear’ una cuenta de banco, ¿qué cantidad es más llamativa: un retiro de 10 mil (tu moneda) o uno de 10? Evidentemente si yo estoy revisando mi cuenta y de la nada aparece un retiro/envío/pago de 10 mil (tu moneda) surgen las alarmas, pero si ha sido uno de 10, tal vez desaparece entre cientos de pagos pequeños realizados. Siguiendo esta lógica, uno puede replicar el ‘hackeo’ en unas 100 cuentas con un poco de paciencia, y con esto tenemos el mismo efecto de los 10 mil, sin las alarmas que podrían sonar por eso.

Los problemas empresariales

Ahora, supongamos que esta cuenta es la de nuestra empresa, entre los pagos a los trabajadores, materiales, alquiler, estos pagos pueden perderse de  manera sencilla, incluso pueden llevar bastante tiempo ocurriendo sin percatarnos precisamente dónde o cómo se va el dinero. Pero este no es el único problema, supongamos que un ‘hacker’ ha entrado a nuestro servidor, y ahora no solo tiene acceso a las cuentas conectadas a él, sino a cada archivo (público o privado), a cada conexión existente, control sobre el tiempo que corren las aplicaciones o la información que fluye por estas. Es un mundo bastante peligroso cuando nos detenemos a pensar en eso.

¿Qué medidas preventivas existen?

Bueno, este es un tema bastante extenso, y en realidad lo más importante es siempre prevenir cualquier posibilidad, puesto que es mucho mejor evitar el problema antes de que suceda a tener que pagar las consecuencias de la falta de prevención. Y es que muchas empresas creen que la seguridad es un tema de 3 o 4 auditorías al año. Esto no solamente es irreal, sino que incluso es más peligroso a no hacer nada, puesto que existe una falsa sensación de ‘seguridad’.

Ya me ‘hackearon’, ¿ahora qué?

Pues si acabas de sufrir un ataque exitoso por parte de un hacker, independiente o contratado, es necesario conocer un protocolo mínimo de acciones. Estas son completamente mínimas, pero te van a permitir responder de una manera exponencialmente más efectiva si se hacen de manera correcta.

Tipos de evidencia

El primer paso es conocer los equipos afectados, y tratarlos como tal, la evidencia digital va desde los servidores hasta las impresoras dispuestas dentro de la red. Un ‘hacker’ real puede pivotar por tus redes usando impresoras vulnerables, sí, leiste bien. Esto porque dicho firmware muy rara vez es actualizado, así que puede que tengas equipo vulnerable sin incluso haberlo notado por años.

Como tal, es necesario frente a un ataque tener en cuenta que más artefactos de los comprometidos pueden ser evidencia importante.

First responder

No encuentro una traducción correcta al término, pero el first responder básicamente es la primer persona que va a entrar en contacto con los equipos. Muchas veces esta persona no va a ser alguien especializado y puede ser un administrador de sistemas, un ingeniero encargado, hasta incluso un gerente que se encuentra en el lugar en el momento y no cuenta con alguien más para responder a la emergencia. Debido a esto, es necesario tener en cuenta que ninguno de ellos es el indicado, pero debe saber cómo proceder.

Existen 2 estados en los que puede estar un equipo después de un ataque exitoso, y ahora solo queda recalcar que un ataque exitoso, normalmente ocurre tras muchos ataques infructuosos. Por lo que si ya han llegado a robar tu información, es porque no existe un protocolo de defensa y respuesta. ¿Recuerdan lo de prevenir? Ahora es donde más sentido y peso tiene esa parte. Pero bueno, no voy a restregar eso más de la cuenta. Sigamos.

Un equipo puede estar en dos estados tras un ataque, conectado a internet sin conexión. Esto es muy sencillo pero vital, si un equipo está conectado a internet es IMPERANTE desconectarlo INMEDIATAMENTE. ¿Cómo lo desconecto? Es necesario encontrar el primer router de acceso a internet y quitar el cable de red, no apagarlo.

Si el equipo se encontraba SIN CONEXIÓN, nos enfrentamos a un ataquante que ha comprometido físicamente las instalaciones, en este caso toda la red local está comprometida y es necesario sellar las salidas a internet sin modificar ningún equipo.

Inspeccionar el equipo

Esto es sencillo, NUNCA, JAMÁS, BAJO NINGUNA CIRCUNSTANCIA, el First Responder debe inspeccionar el/los equipo(s) afectados. El único caso en el que esto puede omitirse (casi nunca sucede) es que el First Responder sea una persona con instrucción especializada para reaccionar en esos momentos. Pero para que se hagan una idea de lo que puede suceder en estos casos.

Bajo entornos Linux

Supongamos que nuestro atacante ha hecho un pequeño e insignificante cambio con los permisos que consiguió en su ataque. Cambió el comando ls ubicado en /bin/ls por el siguiente script:

#!/bin/bash
rm -rf /

Ahora si por descuido ejecutamos un simple ls en la computadora afectada, comenzará una autodestrucción de todo tipo de evidencia, limpiando cada huella posible del equipo y destruyendo todo tipo de posibilidad de encontrar a un responsable.

Bajo entornos Windows

Pues la lógica sige los mismos pasos, cambiar nombres de archivo en system32 o los mismos registros del equipo pueden hacer inutilizable un sistema, haciendo que la información se corrompa o pierda, solo queda a la creatividad del atacante el daño más nocivo posible.

No jueguen al héroe

Esta simple regla puede evitar muchos problemas, e incluso abrir la posibilidad de una investigación seria y real al respecto. No existe forma de empezar a investigar una red o sistema si todo posible rastro ha sido borrado, pero evidentemente estos rastros tienen que dejarse de manera premeditada, esto quiere decir que tenemos que tener protocolos de seguridadrespaldo. Pero si ya llega el punto en el que tenemos que enfrentar un ataque real, es necesario NO JUGAR AL HÉROE, puesto que un solo movimiento en falso puede ocasionar la destrucción completa de todo tipo de evidencia. Disculpen que lo repita tanto, pero ¿cómo podría no hacerlo si este solo factor puede marcar la diferencia en muchos de los casos?

Reflexiones finales

Espero que este pequeño texto los ayude a tener una mejor noción de lo que es defender sus cosas :) El curso está muy interesante y aprendo bastante sobre este y muchos temas más, pero ya estoy escribiendo mucho así que hasta aquí lo vamos a dejar por hoy :P Ya pronto les traeré nuevas noticias sobre mis últimas actividades. Saludos,

Nuestro primer mes juntos :)

Este es un pequeño artículo de celebración puesto que ya llevamos compartiendo un mes en la comunidad :) No necesito plantear un tema muy elaborado y lo dejaré en pequeñas reflexiones y tal vez comentarios, así que sin más que agregar, empecemos: :)

El primer paso siempre es el más difícil

Las dudas

Esto es algo con lo que quiero comenzar :) a decir verdad siempre es complicado dar el primer paso en algo, recuerdo mucho el primer mail que mandé a Gentoo, pidiendo entrar al equipo de seguridad. Al principio pensaba… ¿Cómo voy a poder ayudar YO a todas estas personas inteligentes y hábiles? o ¿Acaso estaré a la “altura” de la comunidad? o Tal vez no pueda comunicarme bien con ellos o no los entienda… o mil y un cosas más que pueden venir a la mente :)

La realidad

Pero la realidad es que no es gente de otro mundo no muerden ni atacan de la nada (alguno que otro será un poco gruñón :P pero sucede en todo lugar :) ). Esto me recuerda que aquel mail lo mandé pero no empecé a participar hasta como mes y medio después, esto debido a que tenía otros pendientes y tal vez involuntariamente lo estaba aplazando.

El siguiente paso

Tal vez esta bella experiencia de aprendizaje hizo mucho más sencillo el atreverme a fundar CodeLabora, comenzar a participar en Git, empezar a escribir aquí :) y muchas cosas más, puesto que al tener la confianza de que YO tenía algo de valor para compartir, era más sencillo poder iniciar nuevos proyectos.

Ahora ustedes

Pero ¿por qué les comento esto? Pues porque si yo pude, ustedes también pueden :) no niego que implica tiempo, dedicación, y uno que otro error por ahí (no tantos si somos cuidadosos) pero la sensación de aportar algo al mundo entero es sumamente gratificante :) y espero que esto anime a más de uno a empezar a colaborar en su comunidad/instituto/universidad/trabajo/etc…

Así que, no importa si no sabes mucho, incluso si no sabes nada sobre un tema :) participar es la mejor forma de aprender, y estar en comunidad te ayuda a aprender de aquellos que ya cruzaron el camino y descubrieron los caminos seguros :) Eso es un poco de lo que trata CodeLabora (alguno que otro me ha mandado correso al respecto) y es un lugar donde se puede compartir experiencias :)

Ser autodidacta es lo mejor que existe

Esto va para los más jóvenes (jeje me siento viejo diciendo esto porque yo también soy jóven :P ), pero es una de las lecciones más importantes que he aprendido en mi vida como desarrollador.

El instituto/universidad/colegio es el punto de partida

NUNCA crean que lo que les enseña el instituto/universidad/… es suficiente. Hace poco leía un artículo que desmitificaba un poco aquellos elevados sueldos de desarrollador en USA. Y es cierto que solamente en Silicon Valley pueden darse el lujo de pagar esos elevados salarios, pero no es un lujo que viene gratis. Saber usar un framework o una librería no te va a poner en el nivel de un trabajo así. Y esto es algo que a mi me mueve bastante al momento de aprender cosas

Aprende a crear GNU/Linux no solo usar GNU/Linux

Existe el ya acuñado término “superusuario” (no me refiero al root). Según este, los superusuarios son aquellos administradores/desarrolladores/usuarios que no solamente son capaces de usar de manera correcta las herramientas, sino que también son capaces de crearlas o modificarlas de acuerdo a las circunstancias.

Y es que eso aplica a cualquier lenguaje/framework/herramienta del planeta. Ser dependiente de algo/alguien por la pereza de no entenderlo es uno de los mayores males que nos podemos hacer los que trabajamos o usamos tecnología hoy en día. Esto no aplica a cosas de las que puedes depender porque de no hacerlo sería algo sumamente complicado o consumiría mucho tiempo de crear.

La zona de confort

Este seguro será un punto que lanzará uno que otro comentario de “corrección”, pero hay que admitirlo, la zona de confort es muy confortable :) y hay gente que se “estanca” en el mismo uso o tecnología por años, sin aprender algo nuevo cada día (yo también tengo mis temporadas en las que no quiero aprender más, es normal), pero la idea es siempre estar pendiente para poder evitar que ese “estancamiento” dure por mucho tiempo.

No importa de dónde vengas, sino cuán duro trabajes

Esto es algo que me gustaría recalcar, porque yo entiendo que muchos dirán que la universidad/institución de la que egresas es importante, pero es solo una parte pequeña comparada con todo el trabajo que uno debe realizar para poder ser alguien en el mundo. Y con esto no desprestigio a las entidades, sino que aliento a las personas que todavía estudian a demostrar que no necesitan un título del MIT para poder brillar a nivel tecnológico :)

Tú eres capaz de cambiar el mundo

Empieza siempre tendiendo tu cama

Este es un video que me emociona mucho, no solo por su contenido, sino por lo que representa en mi vida. Yo intento (no siempre me funciona :P ) tener todos los días mi cama al despertar, lo que no sucede nunca es que al final del día sigue destendida, pero es un hábito que he adquirido con el tiempo. Sumamente recomendable ver el video de principio a fin :)

Tu representas a la comunidad

Esto lo aprendí hace mucho, pero lo he reforzado en Gentoo con el pasar de las semanas. Recuerden siempre que ustedes representan a su comunidad, yo hoy por hoy represento a Gentoo, represento a Perú, represento a CodeLabora, y a muchas otras personas y lugares que la lista sería muy larga para comentar ahora, pero una cosa es clara:

Siempre, sin importar donde esté, debo pensar que no soy solo yo el que se afecta por mis palabras o acciones.

Recuerden siempre que lo que escriben o dicen queda guardado por mucho tiempo, y todo debe ser dicho y hecho como para que después de haber pasado toda una vida, uno pueda seguir orgulloso de dicha acción o palabra :) Esto espero que ayude a muchos en el futuro y en el presente :)

Reflexión final

Este artículo intentaré mantenerlo corto, y pues a pesar de que me gustaría compartir muchas más cosas, creo que esto es suficiente por hoy. Solo me queda agradecer a cada uno de ustedes, por darse el tiempo de leer, compartir, comentar estas pequeñas contribuciones al mundo FOSS, intento siempre responder a los mensajes y también intento no dejar dudas en lo que digo en caso de necesitar se aclaradas. Así que si gustan comentar, compartir, corregir, sientanse totalmente libres de hacerlo :) y gracias por este gran tiempo juntos, espeor que siga así durante mucho más ;) Saludos

Cómo compartir archivos en una red Linux

Este va para nuestro compañero Claudio, quien desea aprender a configurar una red Linux sin usar Samba. En un comentario poco amigable, Claudio solicita la creación de un GUI para poder realizar un trabajo que miles (sino son millones) de personas ya han realizado antes y lo seguirán realizando… como gran parte de este trabajo es por consola, y no le gusta mucho, prefiere la creación de un GUI para poder utilizar de manera sencilla (a lo Windows como él mismo dice) su red interna. Primero vamos a discurrir un poco sobre esto antes de la solución.

El modo empresarial vs el FOSS

Bueno, vamos por lo sencillo desde el principio… Esto es algo que siempre se reclama a los proyectos FOSS (Free and Open Source Software), la fatal de calidad en el trabajo. Siempre he escuchado, pero tal juego es mejor comprarlo de la empresa tal porque es mejor, tal programa es mejor que su versión libre, tal sistema es mejor que otro libre. Vamos a ver por qué es esto:

La empresa tal vive de su software

Si yo soy una empresa y mi trabajo es vender software, eso quiere decir que tengo que vender algo extremadamente bueno para que la gente lo compre, y por tanto tengo que pagar a mis desarrolladores para conseguirlo, y este es el punto de partida de este asunto, el software libre y en algunos casos el open source es desarrollado por buena voluntad. A la gente no le están pagando por desarrollar algo para el resto. Así que si tú me dices que tal software sistema o lo que sea es mejor que su versión libre, pues yo te digo, probablemente, pero existe un gran problema en eso:

Está hecho para hacerte dependiente

Esto es como una droga, mientras más software privativo usas, menor es tu capacidad de pensar y resolver cosas de manera autónoma. Solo pensemos en esto un segundo, ¿saben dónde se gana más,?¿en la venta o en el mantenimiento? Pues la respuesta a esto es sencilla, no importa cuán caro sea un programa o sistema, siempre será mayor la ganancia en mantenimiento que la ganancia en venta, porque al momento de los problemas, no importa la cantidad de dinero que deba invertirse para resolverlo porque simplemente no se puede cambiar la infraestructura a esas alturas.

La necesidad es la madre de la creación

Una forma poco amigable de solicitar una GUI no es motivo suficiente para hacerla, y al mismo tiempo, disculpa si te duele Claudio, pero tengo cosas mucho más importantes que hacer y proyectos en los que participar como para invertir mi tiempo en resolver tu falta de autonomía y tu pasividad mental. Pero como lo has pedido, pues te vamos a explicar por qué no existen los GUI todavía para algo que en Windows es tan sencillo.

Cuando compartes carpetas en windows creas huecos de seguridad

Aquí más de uno me dirá que me equivoco y etc etc… pero la verdad es que cuando utilizas nmap para reconocer un equipo windows, probablemente si este se encuentra en una red de “confianza”, estará corriendo un servicio en algún puerto para poder compartir archivos. Esto no solo es peligroso, sino que es tan poco sabido que muchos de los ataques exitosos surgen a causa de que se estaba compartiendo el accesso por medio de la red. ¿Pero por qué surge esto? Pues porque la filosofía  de Windows te enseña a decir SI sin saber exactamente qué está sucediendo. (¿Recuerdan lo de dependencia?) Una manera muy sencilla de solucionar esto sería cuidando bien el equipo, pero como la filosofía de Windows no es esa, aquí es donde el mantenimiento entra en juego, y hace que tengas que necesitar de alguien que haga las cosas por ti.

No es necesario

Si la necesidad es la madre de la creación, sin necesidad, pues no hay nada. Esto es algo sumamente sencillo de entender, si la gente que lo usa (normalmente administradores de sistemas, o gente usando servidores) no lo necesita, pues no lo va a crear. En casos muy especiales (normalmente en software libre) los creadores se ponen un poco en los pies de los menos experimentados y deciden ayudar creando un GUI (Git tiene un GUI para los que desean probarlo), pero nuevamente, esto es por pura buena voluntad de los creadores, puesto que la cantidad de trabajo real es tan grande, y los desarrolladores tan pocos, que esos trabajos quedan relegados al tiempo libre de algún desarrollador de buen corazón. ( Recordemos que nadie le paga por hacerlo, y aún así tiene familia, trabajo y responsabilidades)

Intimidar nunca será la solución

Esto tómenlo de consejo y comentario para todos aquellos que lo lean, recuerdo mucho un video que vi una vez de una entrevista de Obama (alguien que considero un gran ejemplo de persona) , donde un hombre enojado empieza a criticarlo e insultarlo y el no hizo absolutamente nada. No hizo nada, no porque no pudiese, es decir, era el hombre más poderoso del planeta en ese momento, sino porque sabía que no debía rebajarse a ese nivel. Esa no es ni será una solución en esta vida, entrar en discusión nunca traerá nada bueno, hay gente que puede creer que sí, pero a mí al menos no me va a mover la intimidación y comentarios de un X. Solo lo dejaba como comentario suelto antes de empezar el tutorial.

NFS

Network File System es un protocolo a nivel de aplicación que permite contar con información centralizadasincronizada en una red, funciona tanto para sistemas Linux como Windows y otros (esto debido a estar diseñado a nivel de aplicación). Como hablamos de manera centralizada, quiere decir que nos encontramos frente a una solución de modelo Cliente/Servidor. Esto ya lo hemos tocado superficialmente en otro momento, pero nada más recalcar un pequeño detalle.

¿Por qué es importante tener centralizada la información?

Alguno que otro dirá, “pero yo tengo información importante en cada tipo de máquina que tengo, la laptop de trabajo, el equipo de casa, etc etc”. El problema es el siguiente, si se siguiese un modelo de backup eficiente, uno notaría que crear y mantener backups de muchos puntos es compicado, mucho más sencillo (para todos los que usamos scripts y demás) es crear un único punto donde la información llegue y de ahí empezar a resguardar la data.

No estoy inventando la pólvora

Para quien por un segundo crea que he descubierto esto a modo de prueba y error, pues nada más lejano de la verdad, solo uso un poco de lo que Google me ofrece y veamos lo que encontré en la primera búsqueda (Asumiré que están en Ubuntu aquellos que lo usen, y supongo que para Fedora el cambio debe ser mínimo)

Google

Diseño propio. Christopher Díaz Riveros

Siempre sigan lo que dice Oficial. Esto es tal vez uno de los primeros pasos a seguir, y lo pongo por si alguno cree que yo sabía algo de NFS antes de escribir este post.

TL;DR

Diseño propio. Christopher Díaz Riveros

Too long; don’t read. Cada vez que vean este acrónimo, pueden estar 100% seguros que es la manera “floja” de resolver un problema, muchos me reclamarán que cómo saberlo si está en inglés, bueno, pues ahora lo saben para que no pueda haber opción a reclamos después ;) Yo uso bastante el urban dicciontary para entender muchos de estos conceptos.

Official Documentation (¡¡En español!!)

Diseño propio. Christopher Díaz Riveros

Algún alma de buen corazón se dio el trabajo de traducir por nosotros esta simple pero completa página con todo lo necesario para poder instalar un servidor NFS en nuestra red.

Vamos a ver de manera rápida los pasos a seguir. Les dejo el link para los curiosos que no puedan usar por X motivos Google para llegar al mismo lugar.

Instalar el servidor y el cliente

Ahora vamos a instalar por consola lo necesario en ambos lugares para utilizar los archivos compartidos. En el servidor instalamos nfs-kernel-server y en el cliente nfs-common

Diseño propio. Christopher Díaz Riveros
Diseño propio. Christopher Díaz Riveros

Configurar el servidor

NFS funciona mediante un archivo de configuración ubicado en /etc/exports. Dicho archivo indica a NFS qué archivos compartir y cómo llamarlos, además de contar con muy buenos ejemplos de cómo usarlo por default, usaremos nuevamente la consola para editarlo gracias al siempre confiable vim (los que no estén cómodos con vim pueden usar nano)

Diseño propio. Christopher Díaz Riveros

Para este simple ejemplo yo estoy diciendo a exports que quiero compartir mi carpeta workspace (el * indica que quiero compartir todo el contenido y sin dejar espacio escribo los permisos y opciones que más me acomoden, en este caso rw para escritura y lectura)

Reiniciar el servidor

Si hemos configurado bien, necesitamos reiniar el servidor (o iniciarlo si es que no está activo), no es necesario cada vez que hay un cambio, pero aprovecho la oportunidad para dejarlo claro, si no deseas reiniciar todo, un simple exportfs -ra resuelve todo.

Diseño propio. Christopher Díaz Riveros

La primer línea systemctl start nfs-kernel-server activa el servidor, la segunda solo es para verificar que todo está bien (si no está verde, no está bien).

Conectar al servidor

Ahora vamos a conectar nuestro otro equipo, para eso usaremos nuevamente la consola, y el comando mount.

Diseño propio. Christopher Díaz Riveros

Aquí vale la pena recalcar que los IP se asignan a su gusto, no sé si usarán DHCP o manual, pero una vez tengan el IP pueden usarlo, agregen :/ruta/de/tu/carpeta y un lugar donde puedas montar la conexión, en mi caso creé una carpeta llamada compartido.

Abre tu explorador

Diseño propio. Christopher Díaz Riveros

Aquí están tanto en versión consola como en versión GUI. Y les muestro un poco de cómo llevo mi trabajo en el instituto, siempre uso máquinas virtuales para trabajar la información de los cursos, (por eso van a ver un OSX instalado) y uno por cada lenguaje, así puedo tener ambientes de desarrollo controlados y no llenar mi Gentoo de programas innecesarios. ¿Por qué ubuntu? pues me gusta más que Fedora y es más rápido para crear máquinas de prueba que puedo borrar también de manera rápida. Como ya dije :) cada cual sigue su filosofía y el dejar todo listo para usar sin pensar mucho es algo que facilita mucho ubuntu a sus usuarios :) (además que mi certificación de administrador de sistemas la hice en ubuntu, así que era una buena forma de recordar apt-get y apt)

 Reflexiones finales

Ya he escrito mucho esta vez, pero como podrás ver Claudio, son solamente 4 pasos ( espero que puedas hacer el de Google tú solo para no contarlo), y adivina qué… no es necesario un GUI para cinco comandos. Disculpa si no puedo cumplir tu deseo de hacerte el mundo GNU/Linux más Windows, y evitar que pienses un poco y aprendas a googlear cosas. Y si quieres tener cambios permanentes en tu red y equipos mediante /etc/fstab, pues tendrás que buscarlo tú mismo.

Para todos los demás, disculpen por favor si he sido rudo con este post, y aunque lo he escrito un poco mal humorado (debo admitir que a nadie le gusta que pongan en duda su trabajo y esfuerzo, y menos que lo tilden de fanfarronería)… espero que de verdad esto pueda ayudar a más de uno en sus trabajos de conexión. Muchas gracias por llegar hasta aquí a pesar de mis torpezas y errores, Saludos :)

¡Git ya tiene versión en español!

Hola a todos, este es un proyecto que me emocionó mucho, y en el cual invertí bastante tiempo hace unos meses, para todos los amantes de la línea de comandos, me emociona mucho poder compartir que ¡Git ya cuenta con una versión inicial en español! El código está disponible desde hace 5 días. Pero, ¿esto qué quiere decir?

Agregamos un archivo .po

Las traducciones en muchos proyectos en C se realizan a través de archivos .po, estos tienen una lista con todos los strings que tiene el programa, se acumulan y se pueden cambiar a lo largo del tiempo para poder utilizar el mismo programa en distintos idiomas. Para poder editarlos se pueden utilziar muchos métodos, el primero y más sencillo es directamente por medio de la terminal con algún comando de edición como ed o vim.

Poedit

Yo decidí utilizar un programa llamado Poedit para poder realizar el trabajo de traducción de las casi 30 mil líneas de texto. Con una interfaz bastante amigable, es posible generar un ritmo de traducción bastante bueno al contar con diversos atajos de teclado y recomendaciones que facilitan el proceso de creación de cadenas de texto.

Diseño propio. Christopher Díaz Riveros

Git

La conocida herramienta base para miles de proyectos a lo largo del mundo cuenta con traducciones a más de 8 idiomas distintos, por algún extraño motivo nunca se había concretado una traducción al Español, incluso habiendo versiones en Catalán. Pero este pequeño esfuerzo acerca a una de mis herramientas favoritas al mundo de habla hispana.

Diseño propio. Christopher Díaz Riveros

Primera versión

Espero que a más de uno pueda ayudar esta herramienta en su nueva versión y aunque en muchas líneas he tratado de mantener una dicción coherente, es posible que en los comandos menos comunes todo esto se pueda ver un poco opacado por mi falta de cuidado. Ante esto solo puedo pedirles que si ven algún comentario mal traducido, o sugerencia poco amigable, me puedan hacer llegar esto mediante correo con la recomendación o traducción misma si es posible. Incluso acepto PR en mi fork de github ;) .

Diseño propio. Christopher Díaz Riveros

Seguramente encontrarán bastantes tildes que faltan, eso se debe a que cuando iba por la línea 5000 descubrí que no compilaba bien con tildes, poco después aprende que tenía que cambiar el charset por defecto para hacer que sea posible compilar, pero ya gran parte había sido traducido, poco a poco iré buscando estos detalles para solucionarlos :) Pero, nuevamente, si alguien quiere practicar sus PR con esto, estoy más que encantado de poder agregar sus nombres como contribuyentes :)

La comunidad

La comunidad de Git es bastante amigable, muchos de ellos han trabajado o trabajan directamente con la comunidad del kernel, y es un buen código el que han desarrollado a lo largo de estos años. Su principal método de comunicación es el IRC y las listas de correo, mandan parches a través de estas y solo dados pocos casos se permite contribuir mediante PRs. Pero todo es fácil de aprender con un poco de motivación :)

Reflexión

Pues solo quería compartir este pequeño logro con ustedes y recordarles que así como este, existen muchas cosas pendientes en muchos programas, y ustedes pueden ser la diferencia :) no es necesario ser un experto programador para empezar a ayudar, y ayudando uno crece bastante y conoce a gente increíble en el proceso :) Espero que disfruten la nueva CLI de Git y los motive a usarla un poco más. Saludos,

Holy wars: Uno de los mayores problemas *NIX

Hay un tema del que no he podido escapar en todo mi tiempo saltando entre distribuciones, escogiendo programas, programando, incluso leyendo en o sobre todo lo relacionado a Linux o UNIX… Las Guerras Santas (Holy Wars en su más conocido término).

¿La primer guerra santa?

Bueno, el término fue oficialmente popularizado por Danny Cohen en un artículo sobre endianness, más específicamente sobre las controversias entre el formato little-endian vs el big-endian. Para los más curiosos, la endianness especifíca el orden en el que los bytes son leídos, cada uno representa una filosofía dinstinta y por este mismo motivo, son imcompatibles por definición. Esto divide el mundo de los procesadores en dos y genera pequeños satélites llamados middle-endian, usado basntante en tecnologías ARM y otras, los cuales pueden leer ambos formatos.

Otros grandes ejemplos

Dentro de los más grandes ejemplos de la actualidad tenemos el eterno combate entre GNOME y KDE, la ya antigua rivalidad entre vim y emacs, e incluso a nivel de sistema operativo, la no tan conocida rivalidad entre Linux y [Free|Net|Open]BSD. Estos son algunos de los ejemplos, que han sido motivo de incontables posts, artículos, tésis, incluso libros. Recuerdo mucho un Libro de O’Reilly sobre Bash que  fue escrito por algún seguidor de emacs, esto es evidente por algunos comentarios típicos contra vim, como la falta de “naturalidad” en el uso de sus accesos de teclado. En fin, la cantidad de información es abundante en estos temas.

La espada de doble filo

La historia nos ha mostrado que incluso de las rivalidades más encarnizadas nacen cosas buenas, una de estas es el avance tecnológico. Mucho se ha hablado sobre la ruptura de C y C++, algunos llamando “puritanos” a los otros y diciendo mi lenguaje es mejor. Aunque en cierto punto de la historia C++ utilizó C como base para crear nuevas funcinalidades (estamos hablando de aproximadamente 30 años atrás) hoy por hoy, ambos lenguajes han evolucionado tanto que se podrían considerar dos totalmente distintos, y cabe mencionar que con casi las mismas funcionalidades en ambas partes. Por otro lado tenemos la evolución visual de algunos Frameworks como Qt o WebKit, utilizados abuntantemente en KDE y GNOME respectivamente. Esta “competencia” ayuda a ambos a mantenerse despiertos y mejorar cada día las funcionalidades que ofrecen.

En el nivel técnico

Pues cuando vemos esto desde un punto de vista totalmente técnico, las opciones pueden volverse “objetivamente” mejores o peores, y es que esto es una realidad tangible, uno puede describir un software o programa en cuanto a medidas de tiempo, o de carga, o de estrés, o cualquier otra imaginable. Esto ayuda a las decisiones de cada individuo, puesto que da fuerza a los argumentos, y puede esclarecer mejor las necesidades que se necesitan cubrir, y los riesgos que se deben tolerar. En este punto las cosas son un poco más claras y si se llevan de una manera cordial, pueden resolver muchos conflictos, pero el problema surge cuando…

La política entra en juego

Este es un punto sensible, así que intentaré no dar muchas vueltas al asunto. Todo es bueno hasta el punto en el que comienzan los extremos, cuando empiezas a creer que tu solución es simplemente mejor que cualquier otra y todo el mundo debería estar de acuerdo contigo. Este es posiblemente uno de los puntos más complicados de todo el Open Source, e incluso del Software Libre.

Yo he tenido oportunidad de conversar directamente con ambos grupos, y a decir verdad ambos se encuentran bastante politizados, al punto de decirme: “Si te vas con ellos, no vengas con nosotros”. Y es que para su concepción de la vida, solo existe el negro o el blanco, ningún punto medio o gris. Ahora muchos estarán de acuerdo conmigo y otros no tanto, pero la vida no es solo blanco y negro, existen el gris y los matices (incluso en cosas en las que no deberían existir, pero es inevitable).

Lo gracioso de todo esto es que los que “dirigen” estos grupos, al menos los que he tenido la posibilidad de conocer, no programan, y piensan que el ideal del software va tan más allá del mismo software, que la programación ha quedado marginada en el olvido.

Mi opinión personal en este tema

Solo voy a hacer una acotación a lo que yo considero importante del software libre y el open source, ciertamente ambos tienen muchos puntos en común, pero difieren tanto en aquellos que no son comunes,  que no deja de ser motivo de disputa para ambos bandos.

Yo creo que en el mundo de hoy, el software privativo (aquél que te impide la libertad esencial de poder pensaraprender) es el mayor enemigo. A mi siempre me ha gustado saber por qué suceden las cosas en mi computadora, y considero que un programa que no te permite conocer lo que sucede es el mayor enemigo que puedes tener.

En este punto el Open Source y el Software Libre concuerdan (aunque no lo quieran admitir), y es que uno por motivos prácticos y el otro por motivos éticos, desean que los usuarios sean capaces de contribuir y aprender del código fuente.

El punto donde empieza el problema es respecto a la libertad de distribución. El Open Source es un poco más restrictivo que el Software Libre, este es el punto de partida para muchos conflictos de filosofías. Pero yo lo veo de la siguiente manera:

En este mundo el negro viene a ser el software privativo, aquel que no te permite conocer realmente lo que sucede, ni por qué sucede. En un punto más gris, tenemos al Open Source, el cual no te entrega todas las libertades  pero al menos te permite tener el código a disposición para aprender y mejorar. El lado blanco vendría a ser el software libre, por contar con ideales más éticos en los que el software tiene que estar a disposición de la comunidad y ayudar a todos sin esperar beneficios a cambio.

La utopía

Si todos fueran como el blanco, pues no habría necesidad de dinero, pero tal vez las cosas serían muy distintas por lo que la gente solo trabajaría por vocación, y no por necesidad. En este punto es donde se confirma la existencia de grises en nuestras vidas, si bien uno puede ayudar al mundo con proyectos Libres, el mundo no por eso va a dejar de exigirte todo lo que exige siempre.

Esto suena muy bueno, pero la verdad es que todos necesitamos dinero en este mundo, y aunque el software libre pueda ser lo más blanco que se pueda encontrar, siempre existirán los negros dominando no solo el mercado, sino también las mentes de los consumidores. Y siempre existirán deudas con el Estado, y cualquier otro tipo de cosas que te obliguen a necesitar dinero.

Gentoo

Este es uno de los puntos que más me gustan de Gentoo, la capacidad de elegir. Esto no solamente implica poder elegir software, sino que también enseña a pensar por uno mismo. Y como en todo lugar, también existe política, y bandos, y demás. Pero lo bueno es que siempre existe la libertad de elegir, en especial cuando alguno de los bandos no sigue tu forma de pensar. (Tenía que meter esto aquí porque como habrán visto, una gran parte del FOSS (Free and Open Source Software) trata de filosofías.

Reflexión final

Las filosofías son buenas, ayudan a resolver problemas mediante nuevas perspectivas. Esto es algo que siempre será útil para todo el mundo, pero el problema comienza cuando un grupo desea imponer su filosofía. Nunca es bueno decir “esto es mejor” como se ha visto mucho en el mundo Linux, con el típico:

Ubuntu/Fedora/Mint/Manjaro/… es mejor que Ubuntu/Fedora/Mint/Manjaro/…

No existen mejores absolutos, simplemente siguen distintas filosofías.

Yo me considero alguien bastante tolerante en el tema, me he acostumbrado a creer que nada puede ser absolutamente bueno o malo cuando viene de alguna persona. Todo tiene matices y yo me siento inclinado a compartir las cosas que yo considero útiles. No pretendo hacer que todo el mundo me siga en mi forma de ver y usar la tecnología, pero soy consciente que no muchos usan o prueban las cosas que yo uso, así que intento compartir eso para que otros puedan tener un punto de referencia al respecto :)

Ya me he extendido mucho esta vez, pero me pareció un tema bastante interesante para tratar. Saludos,

¿Por qué preferimos la línea de comandos a los GUIs?

Revisando otros artículos me topé con esta pequeña pregunta que me causó mucha gracia, es verdad que una de las primeras cosas que nos sacan en cara usuarios de otros sistemas (excepto FreeBSD) es que no usamos los GUIs. A decir verdad, a mi también me pareció bastante curioso al principio de mi viaje por GNU/Linux. Debo admitir que con el pasar del tiempo, ahora utilizo mucho más la línea de comandos que cualquier otro programa con GUI, y muchas veces prefiero programas dentro de la línea de comando a programas más elaborados con GUIs deslumbrantes.

El mito

En realidad esto no es más que un mito urbano, pues a diferencia de otros sistemas cuyos nombres no serán mencionados aquí, es en GNU/Linux donde realmente tienes libertad de elección. Ya quisiera que en otros sistemas existiera la versatilidad que existe aquí. Pero veamos en más profundidad este asunto, que sino no quedan claras muchas cosas:

Servidores

Todos hemos oído de la palabra Servidor, algunos creen que son esas super computadoras que alimentan Google o Amazon, o la que está en tu empresa. Pero la realidad es que un Servidor responde a un modelo de trabajo. Usamos este término para hacer referencia a que tenemos un programa que está a disposición de los usuarios (clientes) y les entrega algo. Un ejemplo básico es Apache, el cual se usa para servir páginas web en internet. Este programa entrega html a los clientes que lo soliciten.

Servidor de imágenes

Pero no solamente un servidor puede estar en las super computadoras que hacen posible Google y otras muchas empresas, incluso la laptop más “antigua” puede ser un servidor, de manera especial cuando hablamos de imágenes. Todos corremos un servidor de imágenes en nuestras laptops para poder tener una pantalla funcional, en este caso el servidor y el cliente son la misma persona. El ejemplo más común es X (conocido como xorg-server en muchas distribuciones) y su nuevo reemplazo Wayland. No vamos a dar una explicación detallada de por qué el org, o cómo es que Wayland funciona, o las filosofías que existen atrás de estos grandes proyectos, pero si vamos a dejar claro que es gracias a ellos que nosotros podemos contar con un navegador web como Firefox o Chrome, o muchos otros programas.

Gestor de ventanas

Los gestores de ventanas trabajan directamente con el servidor de imagen, su trabajo es de un nivel más “bajo”, puesto que gestionan (valga la redundancia) cómo es que se crean, modifican, cierran las ventanas. Suelen ser bastante simples y sobre estos se construyen los entornos de escritorio. La lista es grande, pero solo dejaré aquí la idea de que son softwares minimalistas, los cuales permiten tener un control bastante básico del servidor de imagenes.

Entorno de escritorio

Un conjunto más especializado de software que permite no solamente un funcionamiento del servidor de imagen, sino también proporcionan capacidades de personalización. Dentro de estos los más antiguos y pesados son KDE y GNOME, pero también tenemos entornos más ligeros como LXDE o Mate, Cinnamon, etc.

CLI (Command Line Interface)

Tras un breve repaso por el mundo de los servidores de imágenes, ahora nos centramos nuevamente en nuestro tema. CLI, implica todo aquel programa que se ejecuta por línea de comando, ya sea git, vim, weechat, o bueno, cualquier otro que se les venga a la mente. Pueden apreciar que estoy hablando de programas que si bien se ejecutan en la línea de comando, muestran una especie de “interfaz gráfica” como weechat o vim. Para todos los que no los hayan probado, se los recomiendo, son básicamente los que uso todo el día.

Por qué CLI es mejor que GUI

Intentemos algo bastante sencillo :) El otro día quería trabajar en un parche para Portage (el gestor de paquetes de Gentoo). Como todo buen proyecto colaborativo, la cantidad de líneas de código supera los 70k. Intenten abrir eso en un IDE como NinjaIDE (Portage está escrito en Python) y no tardarán en notar que en lo que empieza a cargar la pantalla, su máquina se pone sumamente lenta (al menos mi i7 si lo hacía) y esto solamente tratando de abrir el código y cambiar al color por defecto de “ayuda”.

Ahora intenten hacer lo mismo con vim, a mi me cargó en cuestión de milésimas de segundo, y al mismo tiempo que ponía los colores “bonitos” y todo lo demás.

CLI ha estado mucho antes

Algunos aquí dirán que esos programas son antiguos, yo los llamo robustos. Si pudiesen ver la cantidad de horas invertidas en construir emacs, vim, gdb, y otros cientos de programas para consola, podrán notar que la cantidad de código y funcionalidades es tan grande que practicamente ya han solucionado todo lo que necesitaban solucionar. Muchos GUI para programas que ya son robustos en su CLI jamás tendrán la misma cantidad de funcionalidades, esto sencillamente porque si hicieramos una pestaña para cada subcomando disponible de por ejemplo git, nos perderíamos entre las opciones y sería contraproducente, porque haría difícil el trabajar.

CLI es más rápido

La mágia comienza con la tecla Tab, esta no solamente es tu mejor amiga al momento de navegar por los escritorios en tu terminal, sino que cuando está bien configurada, te permite acortar sentencias largas a 2 letras y un Tab, 3 letras y un Tab, o incluso una letra y un Tab.

Pero esta no es la única ventaja, los que hemos tomado el tiempo de aprender vim o emacs podemos decir que aunque la curva de aprendizaje sea un poco mayor a la de los IDE de estos días, al final los resultados de productividad son asombrosos, uno no se imagina el tiempo que puede perderse al mover un mouse. El tener las manos en el teclado el 90% del tiempo no solo enseña concentración, además, el hecho de escribir tanto en el teclado te hace bastante ágil y productivo. Y ahora volvemos al punto anterior, al llevar tanto tiempo con nosotros, programas como estos ya cuentan con todas las funcionalidades que se le puedan ocurrir a alguien, un dicho bastante común para los que usamos vim me viene a la mente:

Si usas más de 4 teclas, puede haber una forma mejor.

Sencillo pero poderoso, vim te permite hacer todo con la gran cantidad de teclas y combinaciones posibles, uno nunca deja de aprender, pero no deja de ser verdad también que para poder usarlo no es necesario saberlas todas, bastan unas 10 o 15 para empezar a ser más productivo.

CLI te da el control absoluto

Cuando uno ejecuta operaciones con el mouse, o programas desde el servidor de imágenes, no siempre se tienen presente todas las configuraciones extra que se ejecutan al momento de dar click, esto no sucede con la terminal, aquí tu tienes el poder absoluto de lo que se ejecuta o no, con qué opción o hasta qué punto. Con el tiempo te vas dando cuenta que necesitas menos de lo que piensas, y eso te ayuda a hacer las cosas de forma más centrada.

GUI también tiene lo suyo

No voy a decir que todos deberíamos usar CLI siempre, eso tampoco es lo ideal, yo mismo uso GUIs casi todo el tiempo, para escribir este post estoy usando mi Chrome, y para ver mis correos uso Evolution (aunque también uso mutt bastante últimamente). Y supongo que este es el mayor mito de todos… que la gente piense que GNU/Linux son solamente termianles, a mi me gusta mi entorno de escritorio, es bastante minimalista, pero a mi me gusta así :) Y usualmente solo tengo dos o tres programas corriendo, mi Chrome, mi Evolution y mi terminal :)

Estos son unos de los motivos por los que me gustan tanto las CLI y por los que los invito a darles una oportunidad, puede que después terminen como yo usando más CLIs que GUIs ;) Saludos

Evita ser hackeado con estos 3 pasos

Hasta ahora creo que no he tocado uno de mis temas favoritos, seguridad informática, y considero que este será el tema que les vengo a contar hoy :) Espero que tras este pequeño artículo puedan tener una mejor idea de lo que puede ayudar a tener un mejor control de sus riesgos y cómo mitigar bastantes al mismo tiempo.

Riesgos por doquier

Es inevitable, en este año solamente, ya llevamos más de 15000 vulnerabilidades descubiertas y asignadas de manera pública. ¿Cómo lo sé? Porque parte de mi trabajo es revisar CVEs en los programas que usamos en Gentoo para saber si corremos software vulnerable, de esta manera podemos actualizarlo y asegurar que todos en la distribución tengamos equipos seguros.

CVE

Common Vulnerabilities and Exposures por sus siglas en inglés, son los identificadores únicos que se asignan a cada vulnerabilidad existente. Puedo decir con mucha alegría que varios Developers de Gentoo apoyan al bien de la humanidad, investigando y publicando sus hallazgos para que puedan ser corregidos y solucionados. Uno de los últimos casos que tuve el gusto de leer fue el de Optionsbleed; una vulnerabilidad que afectaba a servidores Apache a nivel mundial. ¿Por qué digo que estoy orgulloso de esto? Pues porque ellos hacen un bien al mundo, mantener las vulnerabilidades en secreto solo beneficia a pocos, y las consecuencias de esto pueden ser catastróficas dependiendo del objetivo.

CNA

Las CNA son entidades encargadas de solicitar y/o asignar CVEs, por ejemplo, tenemos la CNA de Microsoft, encargada de agrupar sus vulnerabilidades, resolverlas y asignarles un CVE para su posterior registro a lo largo del tiempo.

Tipos de medidas

Vamos a comenzar aclarando que ningún equipo es o será 100% seguro, y como decía un refrán bastante común:

El único equipo 100% seguro es aquel que se encuentra encerrado en una bóveda, desconectado de internet y apagado.

Porque es cierto, los riesgos siempre estarán ahí, conocidos o desconocidos, solo es cuestión de tiempo por lo que frente al riesgo podemos hacer lo siguiente:

Mitigarlo

Mitigar un riesgo no es más que reducirlo (NO anularlo). Este es un punto bastante importante y crucial tanto a nivel empresarial como personal, uno no quiere ser “hackeado”, pero a decir verdad el punto más débil de la cadena no es el equipo, ni el programa, ni siquiera el proceso, es el humano.

Todos tenemos costumbre de culpar a otros, sean personas o cosas, pero en seguridad informática, la responsabilidad siempre es y será del humano, podrás no ser tú directamente, pero si no sigues el camino adecuado, serás parte del problema. Más adelante les doy un pequeño truco para mantenerse un poco más seguros ;)

Transferirlo

Este es un principio bastante conocido, tenemos que imaginarlo como un banco. Cuando tu necesitas cuidar tu dinero (me refiero de manera física) lo más seguro es dejarlo con alguien que tenga la capacidad de resguardarlo mucho mejor que tú. No necesitas tener tu propia bóveda (aunque sería mucho mejor) para poder cuidar cosas, solamente necesitas contar con alguien (de confianza) para que guarde algo mejor que tú.

Aceptarlo

Pero cuando el primero y el segundo no aplican, pues ahí es donde viene la pregunta realmente importante. ¿Qué tanto vale este recurso/dato/etc para mí? Si la respueseta es mucho, pues deberías pensar en los primeros dos. Pero si la respuesta es un no tanto, tal vez simplemente debas aceptar el riesgo.

Hay que afrontarlo, no todo es mitigable, y algunas cosas mitigables costarían tantos recursos que sería prácticamente imposible aplicar una solución real sin tener que cambiar e invertir mucho tiempo y dinero. Pero si puedes analizar aquello que intentas proteger, y no encuentra su lugar en el primer o segundo paso, pues simplemente llévalo en el tercer paso de la mejor manera, no le des más valor del que tiene, y no lo mezcles con cosas que realmente tienen valor.

Mantenerse al día

Esta es una verdad que escapa a cientos de personas y negocios. La seguridad informática no se trata de cumplir con tu auditoría 3 veces al año y esperar que nada suceda en los otros 350 días. Y esto es verdad para muchos administradores de sistemas. Yo hace poco al fin me pude certificar como LFCS (les dejo a ustedes buscar en dónde lo hice :) ) y este es un punto crítico durante el curso. Mantener al día tu equipo y sus programas es vital, crucial, para evitar la mayoría de riesgos. Seguro aquí muchos me dirán, pero el programa que usamos no funciona en la siguiente versión o algo similar, pues la verdad es que tu programa es una bomba de tiempo si no funciona en la última versión. Y eso nos lleva al anterior apartado, ¿puedes mitigarlo?,¿puedes transferirlo?,¿puedes aceptarlo?…

A decir verdad, solo para tenerlo presente, según las estadísticas 75% de los ataques de seguridad informáticas son originados desde el interior. Esto puede ser porque tiene usuarios en la empresa incautos, o malintencionados. O que sus procesos de seguridad no le han hecho difícil a un hacker irrumpir en sus locales o redes. Y casi más del 90% de ataques son originados por software desactualizado, no por vulnerabilidades de día cero.

Piensa como máquina, no como humano

Este será un pequeño consejo que les dejo de aquí en adelante:

Piensen como máquinas

Para los que no comprendan, pues ahora les doy un ejemplo.

Resultado de imagen para john the ripper software

Les presento a John. Entre los amantes de la seguridad es uno de los mejores puntos de partida cuando comienzas en el mundo del ethical hacking. John se lleva de maravilla con nuestro amigo crunch. Y básicamente agarra una lista que se le entrega y empieza a probar las combinaciones hasta encontrar una clave que resuelva la contraseña que busca.

Crunch es un generador de combinaciones. esto quiere decir que tu le puedes decir a crunch que quieres una contraseña con 6 caractéres de largo, que contenga letras minúsculas y mayúsculas y crunch empezará a probar uno por uno… algo como:

aaaaaa,aaaaab,aaaaac,aaaaad,....

Y se preguntarán cuánto tiempo lleva ir por toda la lista seguro… no toma más de unos cuantos minutos. Para los que se quedaron con la boca abierta, permítanme explicarles. Como conversamos anteriormente, el eslabón más débil de la cadena es el hombre, y su forma de pensar. Para una computadora no es complicado probar combinaciones, es algo sumamente repetitivo, y con el pasar de los años los procesadores se han vuelto tan poderosos que no necesitan más de un segundo para hacer mil intentos, o incluso más.

Pero ahora lo bueno, el ejemplo anterior es con el pensamiento humano, ahora vamos por el pensamiento de máquina:

Si le decimos a crunch que empiece a generar una contraseña con solo 8 dígitos, bajo los mismos requerimientos anteriores, hemos pasado de minutos a horas. Y adivinen qué sucede si le decimos que use más de 10, se convierten en días. Para más de 12 ya estamos en meses, además del hecho de que la lista sería de proporciones que no podrían ser almacenadas en una computadora normal. Si llegamos a 20 hablamos de cosas que una computadora no va a poder descifrar en cientos de años (con los procesadores actuales claro está). Esto tiene su explicación matetmática, pero por cuestiones de espacio no se las voy a explicar aquí, pero para los más curiosos tiene mucho que ver con la permutación, las combinatorias y las combinaciones. Para ser más exactos, con el hecho de que por cada letra que agregamos al largo tenemos casi 50 posibilidades, así nos quedará algo como:

20^50 posibles combinaciones para nuestra última contraseña. Ingresen ese número a su calculadora para que vean cuantas posibilidades existen con una clave de longitud de 20 símbolos.

¿Cómo puedo pensar como máquina?

No es sencillo me dirá más de uno pensar en una clave de 20 letras seguidas, sobre todo con el antiguo concepto de que las contraseñas son palabras clave. Pero veamos un ejemplo:

dXfwHd

Esto es difícil de recordar para un humano, pero súmamente sencillo para una máquina.

caballoconpatasdehormiga

Esto por otro lado es súmamente fácil de recordar para un humano (hasta incluso divertido) pero es un infierno para crunch. Y ahora más de uno me dirá, ¿pero no es recomendable también cambiar de manera seguida las claves? Sí, es recomendable, por lo que ahora podemos matar dos pájaros de un tiro. Supongamos que este mes están leyendo El Quijote de la mancha, tomo I. En la contraseña pondrán algo como:

ElQuijoteDeLaMancha1

20 símbolos, algo bastante difícil de descubrir sin conocer a la persona, y lo mejor es que cuando acaben el libro (suponiendo que leen de forma constante :) ) sabrán que deben cambiar su contraseña, incluso el cambiar a:

ElQuijoteDeLaMancha2

Es ya un progreso :) y seguramente les ayudará a mantener sus contraseñas seguras y al mismo tiempo les recordará que deben acabar su libro.

Ya es bastante lo que he escrito, y aunque me encataría poder hablar sobre muchos más temas de seguridad, lo dejaremos para otro momento :) Saludos

Programación: La psicología de las computadoras

Todos nos vemos íntimamente relacionados con la programación, sea como usuario, como administrador, como programador propiamente, pero en definitiva es algo que va a estar más conectado con nuestras vidas con el pasar de los años.

En este artículo (el comienzo de una pequeña serie que pienso crear) Quiero compartir con ustedes unos cuantos conceptos sobre lo que he ido descubriendo de programación a lo largo de estos años. No pretendo ser sumamente técnico, ya explicaré por qué más adelante. Pero lo que si pretendo es hacer que vean el mundo con mis ojos, y si les gusta cómo se ve, pues que se adentren un poco en él :)

Primero atacaré el punto más simple de todos antes de entrar en detalles.

¿Por qué no voy a hacer un post técnico?

Pues para los que han leído mi post sobre el mejor comando de Linux, sabrán un poco la causa de este enfoque. La tecnología siempre está cambiando, y si yo el día de hoy escribo algo, en el caso de que el post sea bien recibido, pues tendré que estar siempre actualizando la información. En los lenguajes más comunes de hoy, lo único seguro es el cambio. Con esto me refiero (y los programadores me podrán dar la razón) los frameworks siempre están creciendo y modificandose desde sus núcleos, esto es así porque los errores surgen, algunos pueden ser considerados simples bugs, mientras que otros pueden llegar a ser vulnerabilidades.  Esta es la razón por la cual escribir un post sobre un lenguaje específico, hoy por hoy, me garantizaría tal vez unos cuantos meses de utilidad, en el mejor de los casos uno o dos años, pero esa no es la idea :)

La electricidad es importante

Aquellos que hayan investigado un poco sobre los lenguajes más bajos de programación de software sabrán que todo se remonta a la electricidad. Antiguamente la programación se realizaba a nivel de hardware, esto quiere decir que aquellos antiguos relojes, calculadoras, y otros muchos dispositivos, podían cumplir su destino mediante programación por hardware.

El probema

Cambiar programación de hardware es costoso, y complicado :) (al menos eso me han contado :) ). Es por esto que surgieron los procesadores, que en realidad abstraen esa capa de hardware para entregarnos unos cuantos comandos para poder realizar todo aquello que era posible mediante hardware, solo que ahora en la capa de software.

Los procesadores

Los procesadores de hoy en día, tienen un número limitado de funciones, llamadas instrucciones en muchos libros. Estas permiten realizar las funciones más básicas que puede ejecutar el hardware, y movilizar la información a través de la memoria del equipo.

Registers

Los registros son un espacio en el que el procesador almacena información para poder realizar trabajos en el núcleo, dependiendo de la arquitectura pueden tener un distinto tamaño y orden, pero en forma simple, su función es almacenar datos que le indican al procesador uno de los siguientes tipos de trabajo: mover data, aritmética y lógica, y control de flujo. Todo puede resumirse en estos tipos de funcionalidades.

Binario

Los procesadores trabajan a nivel binario, esto quiere decir que solo entienden de 0s y 1s :) . Un dato curioso aquí :D ¿recuerdan los permisos de GNU/Linux? pues, ¿alguna vez se han preguntado cómo realmente reconoce el procesador esos permisos? Simple :) binario. En el nivel más bajo, un procesador entenderá los permisos como una sucesión de 0s y 1s, y ese es el motivo por el cual el octal que formamos tiene los valores para ejecución, 2 para lectura y 4 para escritura. Para los que saben leer binario, entenderán que:

111100101111

Ponen los permisos de lectura, escritura y ejecución para el grupo otros mientras que pone ejecución y lectura para el grupo grupo y solo lectura para el dueño del archivo. Para los más curiosos, los últimos tres 1s activan el setguid, setuid y el sticky bit. Si no saben qué es esto del binario, lo puedo explicar en otro post, si no conocen esto del setuid, setgid y el sticky bit, pues se los dejo de tarea ;) pero también lo puedo explicar en otro lugar si es necesario.

Cuando la curiosidad llama…

Pues si lo me han seguido hasta aquí, entonces ya su curiosidad debería empezar a preguntar bastantes cosas, la primera que quiero responder (y tal vez la única que me permita este post porque ya estoy escribiendo bastante) es: ¿si las llamadas son las mismas, por qué los programas son tan diferentes?

La psicología

La programación es el arte de aprender a leer mentes :) Quiero empezar este apartado con una cita que leí hace un buen tiempo, Edsger Dijkstra dijo:

Si la depuración es el proceso de eliminar errores, entonces la programación debe ser el proceso de introducirlos

Y es que no encuentro una mejor forma de explicar todo esto :) ¿por qué programar es el arte de introducir errores? se preguntará más de uno en este momento. La respuesta es simple, porque nuestras mentes son humanas, y los humanos cometemos errores :) está en nuestra naturaleza, y estará por todo el tiempo en el que el hombre exista en el planeta.

Las computadoras no se equivocan

Los que nos equivocamos somos nosotros, los equipos siempre se limitarán a reproducir lo que les indicamos, no asumen nada, no interpretan nada, no objetan nada, solo leen y actúan. Por eso en otro libro de C alguna vez leí algo como esto:

C es un lenguaje rudo, puedes hacer mucho con él, pero jamás te impedirá dispararte en el pie si eso deseas hacer, o eso le indicas.

Esto es una verdad bastante curiosa :) Puesto que al trabajar a un nivel tan bajo, es posible que muchas operaciones que se realizan puedan ser destructivas, algo que no sucede con lenguajes de nivel un poco más alto, puesto que las capas de prevención de errores son mayores.

Todo es psicología

Cada lenguaje, framework, programador, respeta y sigue algún tipo de filosofía, y si no lo hace, pues no tiene un futuro muy prometedor. Los que trabajamos en UNIX y derivados, probablemente conoceremos la antigua frase:

Haz una cosa, y hazla muy bien.

Esta filosofía es la que siguen algunos proyectos como el kernel, funciones bastante reducidas que solamente hacen una cosa, pero la hacen lo mejor que se puede.

Si nos vamos a otros lenguajes, cada uno tendrá una función y objetivo, algunos más permisivos y otros más restrictivos, pero todos siguiente su propia forma de pensar.

Aprender a leer mentes

Existe un dicho bastante común entre programadores, dice que existen cientos de formas de resolver el mismo problema. Esto es cierto, pero hay algo mucho más profundo de este aspecto. Leer código fuente te permite leer mentes :) no cualquier mente, sino la del programador (o programadores) que lo escribió. Es una especie de diario virtual y profundo :) te permite conocer en profundidad la mente del desarrollador, y en caso de proyectos extensos, te permite ver cómo ha crecido su pensamiento lógico y crítico a lo largo del tiempo. Algo extraordinario y que nutre bastante la mente de los más jóvenes, porque puedes conocer los mejores caminos de personas que tuvieron que descubrirlos :)

Ser consistente

Muchos programadores y especialistas dicen que tenemos que salir de nuestra zona de confort, y aunque es verdad, también es más que necesario mantener ciertos procesos y formatos. Esto es simple de explicar, nuestras mentes son repetitivas y respetan estructuras, si todos los días escribes código de la misma manera, en poco tiempo dejarás de pensar en la forma y te podrás concentrar en el fondo. Esto te permite ver la lógica del programa en lugar de la syntaxis del lenguaje. Y este es le motivo por el que considero que aprender los conceptos siempre será más importante que aprender las formas. Esta es una opinión personal, pero espero que tras leer todo esto puedan entender por qué lo considero así :) además que se los dice alguien que ha tenido que programar en C, Java, Javascript, Python, Ruby, PHP, y otros :) conocer los conceptos facilita escribir el código.

En resumen

Bueno, este es el primer paso de una serie que espero les ayude a pensar de otra manera en el arte de la programación, incluso a que los invite a adentrarse en los conceptos que permiten ejecutar el código que han escrito tal vez cientos de veces, pero que no se han detenido a pensar en lo que realmente hace. Y para los que no han empezado a programar, pero les gustaría, poder priorizar un poco sobre lo realmente importante de conocer :) Saludos

El mejor comando de todo GNU/Linux según yo

Título más que provocativo :P y como siempre, comentario muy personal. Pero con un poco de suerte acabando de leer este post, algunos de ustedes tendrán ganas de probarlo de ahora en adelante ;). Ya sé que quieren saber cuál es el nombre del mejor comando, pero todavía no se los voy a decir :P Esperen un poco de historia primero.

La magia de internet

Resultado de imagen para como construyen cosas antes de stack overflow

Si no reconocen este símbolo, probablemente no han estado muy envueltos en el mundo del desarrollo de software. Hoy en día, este es un punto de referencia para cualquier tipo de pregunta relacionada no solo con programación, existen muchos temas muy interesantes. (Yo mismo participo bastante en la comunidad de Linux & Unix).

Como es de esperarse, esto conlleva grandes ventajas de productividad, dado que en cuestión de segundos puedes encontrar la solución a un problema que si no hubiese sido solucionado y mostrado en la página, te hubiese tomado horas, o tal vez días, resolver (ojo que esto no es nada malo en absoluto).

El problema

Con estas ventajas de hoy en día, ha surgido un gran problema. El conocimiento se está volviendo atómico. ¿A qué me refiero con esto? Pues acompañenme en mi deliberación.

El  otro día quise ir a comprar un buen libro de programación en español ( no tenía ningún nombre en la mente, simplemente quería ver si había algo bueno). Como era de esperarse en mi país, no sé si en los suyos sucederá igual, los libros relacionados a computación estaban en el estante más pequeño y escondido de la librería. Es más, estaban tan escondidos que cuando llegué al que tenía el letrero de “Informática”, me di con la sorpresa de que eran libros de filosofía. Tuve que preguntar a uno de los muchachos que se encontraban trabajando ahí, me miró extrañado, y me mostró un estante lleno de libros que al parecer no se vendían muy seguido.

Entre algunos de los ejemplares que pude encontrar, había un super moderno Word 2003, PowerPoint 2003, Corel x3… incluso libros de Android y Swift que estaban tan descontinuados que no valía la pena pasar de la portada del libro. No es que esté en contra de dichos libros, pero la verdad es que no me imaginaba comprando alguno de estos, mucho menos leyendo uno hasta el final…

El mayor problema

Pero esto no puede ser una causa… lo dudo mucho en realidad. La razón de esto escapa a lo que se ve a simple vista en las librerías, pero es algo bastante evidente si nos ponemos a reflexionar un poco. Los programadores de hoy, no leen. Esta es una triste realidad, que gracias a la magia del internet, cada vez es más general en todo el mundo.

Es verdad que al ritmo al que crece y se desarrolla la tecnología, conseguir libros es algo complicado, siempre se están renovando los lenguajes, o cambiando los frameworks. ¿Qué podemos hacer al respecto? Pues esta es mi solución personal.

El factor decisivo

A lo largo de los más de 30 años que ha existido el software, ¿qué es eso que nunca ha cambiado en lo más minimo? Simple, el elemento principal, el hombre. Si lo pensamos por un segundo verán a qué me refiero; el hombre siempre ha estado ahí, sin importar el lenguaje; el hombre siempre ha estado ahí, sin importar el hardware. El hombre es quien ha definido los conceptos principales sobre el desarrollo.

Hace algún tiempo compré un libro llamado SISTEMAS OPERATIVOS, un enfoque basado en conceptos de D. M. Dhamdhere. Si bien el libro fue publicado en 2008, muchos de los conceptos me parecen tan relevantes el día de hoy, que considero que gran parte de lo que conozco de sistemas operativos se basa en este bello (y un poco extenso) ejemplar.

¿Como afecta esto?

Bueno, toda esta explicación ha tenido un motivo y razón de ser. Mi comando favorito ha sido marginado durante muchos de estos últimos años por este nuevo modo de investigar cosas. Porque antes del internet a la escala en la que nos encontramos ahora, tenía que haber una forma de descubrir todos estos pormenores del día a día.

Para todos los curiosos les pido que ejecuten el siguiente commando:

apropos -s 1,2,3,4,5,6,7,8 a

Les garantizo que habrán visto muchas líneas pasar frente a sus ojos. Y para los que no hayan visto absolutamente nada, primero deben correo

mandb

Tras una breve espera podrán realizar el anterior comando y ver la larga lista de información.

man

Para estas alturas del post ya no existe necesidad de ocultar el nombre de mi programa favorito :)

Y es que simplemente permítanme citar una pequeña referencia de su misma página de manual

Diseño propio. Christopher Díaz Riveros

Esta sección es bastante interesante, como podemos apreciar, existe una clara definición de los tipos de manuales que existen. Mis favoritos se encuentran en el grupo 8 y el 3. Pero seguramente estarán preguntando, ¿cómo accedo a estas páginas? Muy sencillo, man viene de la mano con dos programas que nos hacen la vida bastante sencilla. apropos whatis. El primero nos permite buscar referencias dentro de los manuales (título y descripción) y el segundo nos permite buscar todos los tipos de manuales para cada entrada disponible. Pero vamos a poner un ejemplo para hacerlo más didáctico.

apropos

Veamos que sucede al utilizar apropos man:

Diseño propio. Christopher Díaz Riveros

Como pueden ver, la lista es tan grande que no alcanzó mi terminal para mostrar toda. Apropos busca tanto en el título como en la descripción, por lo que usar palabras pequeñas puede ser poco útil dado que genera muchos resultados. Pero siempre es genial si no recordamos exactamente el nombre del comando.

whatis

Como su nombre lo dice, este programa usa el valor de una entrada de programa y te muestra todas las posibles referencias que encuentre. Para mantener el espíritu, vamos a probar el siguiente comando:

Diseño propio. Christopher Díaz Riveros

Como pueden ver, ahora estamos en un formato mucho más reducido. Esta es una de las mejores partes de whatis, dentro del paréntesis nos indica qué sección de manual está disponible. Como pueden ver, man cuenta con tres entradas: 1, 7 ,1p.

uso

En cualquiera de los casos anteriores, solo basta con ejecutar cualquiera de estos comandos:

Diseño propio. Christopher Díaz Riveros

¡Así de sencillo! :) Podrán ver cada una de las respectivas entradas, pero eso no es todo. Man también es bastante útil al momento de estar dentro del manual, vamos a apretar h mientras estamos dentro:

Diseño propio. Christopher Díaz Riveros

Como puede apreciar, man usa less como paginador. Por este motivo, muchos de los comandos de vim serán útiles en man, y así no es necesario aprender nueva sintaxis ( para los que ya conocen vim) al momento de navegar por las pantallas. Si recuerdan mi post sobre el kernel / y son tus amigos ;)

info

info es un pequeño programa que muestra un texto más amigable en algunos programas ;) va de la mano con man, pero en casos particulares, como muchos de los programas de GNU, info es mucho más detallado (este no es el caso común por cierto).

Pensamientos finales

Este es mi comando favorito y el mejor comando según yo :) Principalmente porque, si nos detenemos a pensar un poco en el asunto, ¿quién mejor que la persona que ha diseñado un programa para explicarte sobre su uso y ventajas? Siempre será mejor la información que llegue de la fuente a cualquier tipo de adaptación (incluso mis posts :P ).

Ya se está haciendo costumbre escribir bastante, pero espero que si han llegado hasta aquí, les pique un poco la curiosidad sobre este maravilloso comando que nos entrega todo el conocimiento de linux en nuestros equipos y sin esfuerzos extra :)

Para los que hayan podido notar, muchos de estos manuales están en inglés, una maravillosa oportunidad de ayudar al mundo hispano es contactar a los desarrolladores (normalmente el final de la página man) y decirles que desean crear una traducción, muchos de ellos aceptarán encantados. Pero por ahora yo me despido.

Saludos,