Lo que aprendi este 2008
Este año fue un año muy movido en términos tanto profesionales, como personales. Me cambie de empresa y pocos meses después fui cambiado de puesto. Empece EfectoTequila.com, como un proyecto personal, entre otros, por nombrar el mas publico. Di los primeros pasos para formar mi compañía de software. Mi blog sufrió un serio la falta de actualización.
De tantas cosas que sucedieron, me me voy a atrever a compartir algunas cosas que aprendí este año, esperando que quien las lea, pueda verse reflejado en ello. Escribo sin llevar necesariamente orden de relevancia.
Proyectos
- El talento en el área de tecnologías de la información (al menos en México) es escaso, por decirlo menos. Si tienes a un buen elemento de trabajo, cuídalo.
- La incompetencia en la teoría básica de las ciencias de la computación es rampante.
- Yo había creído que la mayoría de los proyectos de software fallaban debido al factor humano. Pero la experiencia me viene diciendo lo contrario. Los proyectos no fracasan en la parte de que “funcionen bien”. Muchas veces no llegan a la parte de que siquiera “funcionen”.
- Los proyectos son como los hijos. Si no les pones la suficiente atención, se pueden volver contra ti.
- No todos los proyectos deben ser “for profit”. Pero si tu proyecto intenta crear ganancias, debe tener un modelo de negocio donde la gente _quiera_ pagar por usarlo.
- Si tu único modelo de negocio es la publicidad, estas frito. Y si a parte de eso, solo volteas a ver a google adsense, estas doblemente frito.
- Y si tu proyecto no responde por lo menos a las preguntas: Que? Porque? y Como? Estas triplemente frito
Internet
- Twitter es el éxito de este año, por mucho. Sin embargo temo por la viabilidad del servicio, aunque espero y creo que por lo menos la idea llego para quedarse.
- Twitter es IRC con una nueva interfaz. Y me refiero específicamente a las personalidades. Tenemos al que se cree Dios, al que junta su séquito de lamebotas, el que no acepta la critica, el que vive para ligar, el que se la pasa repartiendo miel, el que reparte hiel, y el mocoso de 16 años que… bueno, se comporta como si tuviera 16 años :). Los viejos que tengan memoria sabrán que como lo vemos en twitter, lo vimos en las redes sociales, en los foros, en IRC y en los BBS. Es un patrón que emerge cuando empiezas a juntar a mucha gente en un solo lugar bajo un halo de anonimidad. Supongo que es un reflejo de lo que somos.
- Crear comunidades es difícil. Let’s go shopping!
- Crear contenidos es mas difícil, al parecer. Hace tiempo preguntaba que donde están los bloggers mexicanos. Salvo sus contadas excepciones, el contenido generado de calidad en México es muy poco. Sigo esperando que me corrijan
- Los bloggers se han convertido en una fuente primaria de información, pero falta mucho camino por recorrer en cuanto al chequeo de hechos y la definición de las bases de la ética “bloggera” para poder hablar fehacientemente de un periodismo ciudadano.
Programacion
- La programación funcional esta haciendo por fin su entrada al mainstream. Si no sabes que es, aprendelo. Hay mucha oportunidad en el paralelismo y ademas tiene la bondad de que escribes código mas limpio y en menos lineas.
- El Open Source no es la solución a todos los problemas, pero las ciencias de la computación no serian comparativamente nada sin el. Ha alcanzado un punto de madurez en el que ya es opción viable para el uso diario tanto en el hogar como en la empresa. El crecimiento sera menos espectacular pero mas consolidado.
Tras releer estas lineas, creo que es claro que este año 2008 fue de transición en muchos sentidos. Espero que este proximo año sea de consolidación y de maduración.
El 2008 se acabo y el 2009 pinta mucho mejor. A trabajar, y sobre todo, a disfrutar.
Feliz año 2009!
HTTPS y SSL ya no pueden ser considerados seguros
El día de hoy podría marcar un hito en la historia de la seguridad en Internet. Por primera vez se ha descubierto una “vulnerabilidad” que de ser explotada podría poner al comercio y a Internet de cabeza.
En un trabajo realizado por diversos investigadores y presentado el dia de hoy, hace unos minutos. en la ” 25th Chaos Communication Congress”, investigadores de diversos lugares del mundo presentaron la conferencia “MD5 considered harmful today” en la cual presentaron un metodo mediante el cual pueden generar certificados CA validos, con lo cual podrian generar un certificado SSL para cualquier pagina, lo que implicaría que ninguna pagina HTTPS podría ser considerada como autentica o segura, lo cual afectaría seriamente a las actividades financieras por Internet.
El ataque, aunque no esta al alcance de todos, podría ser posible para ciertos laboratorios, gobiernos o criminales que controlen “botnets”.
Como dato curioso, los investigadores hicieron uso del Playstation3Lab, que les proporciono un cluster con mas de 200 PS3 interconectados actuando como una sola maquina.
Los usuarios ahora no pueden prevenir este ataque. La prevención de este ataque esta en manos de las autoridades certificadoras (CA) y si acaso, tal vez, del trabajo en conjunto de los creadores de navegadores. Sin embargo, una solución definitiva tomara tiempo, ya que se tendrían que reemplazar los certificados emitidos hasta el día de hoy que contengan las características vulnerables.
El papel apenas fue presentado el dia de hoy, hace algunos minutos y no se sabe aun de algun intento de explotarla en el pasado por algún otro investigador o criminal, aunque es improbable que esto sea, por la magnitud de esfuerzo necesaria para replicarla.
Puedes ver una prueba de concepto en:
https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/
Para verificarla tienes que poner la fecha de tu computadora anterior a agosto de 2004.
Hay mas información en la pagina de los investigadores: http://www.phreedom.org/research/rogue-ca/
Detalles técnicos, debajo de esta linea. Si no te interesan, puedes dejar de leer aqui.
Update:
Microsoft ya respondio a este aviso diciendo que no se conocen ataques a MD5, por lo que no se planea hacer nada. Y que como no hay exploit disponible, pues todo esta super. Dios nos agarre confesados.
La vulnerabilidad explota la debilidad de MD5 como función criptográfica, la cual se sabe ya desde hace tiempo (por lo menos desde 2004) que es débil y susceptible a ataques, por lo que se ha sugerido que se deje de usar para propósitos de seguridad.
Este ataque, mas concretamente, ataca la PKI (public key infraestructure), que es uno de los pilares de la confianza de los sitios seguros.
El problema se encontró en algunos CA los cuales generan certificados con MD5, encontrando colisiones en los hash generados. Gracias a esto ellos pudieron generar un certificado CA, con el cual se pueden generar certificados idénticos a los que usaría cualquier pagina que use HTTPS.
HTTPS y SSL funciona mediante una cadena de confianza. El root CA delega la confianza a los CA intermedios y a su vez, los usuarios confían estos CA. Dado que los navegadores comprueban la autenticidad de estos verificando contra los CA intermedios, el navegador no podría distinguir entre un certificado original y uno falso, ya que, en esencia, serian iguales.
diagrama del ataque
El peligro de esta vulnerabilidad es que se podría conjuntar con otras vulnerabilidades, como la anunciada por Dan Kaminsky[PDF] sobre el DNS poisoning, con lo cual se podría clonar cualquier pagina segura sin posibilidad de verificar si es segura o no. Ademas podría tener otras implicaciones no previstas, lo cual podremos ver, seguramente, en un futuro.
Como verificar si tu certificado es susceptible de ser vulnerable?
Entra pagina y ve los detalles del certificado. En la parte de algoritmo si hace mención a “MD5″, entonces si es vulnerable a este ataque.
Detalles del certificado - Algoritmo
Para detalles aún más técnicos, ve el papel original. El equipo de investigadores menciona que el papel aun no esta terminado, pero debera estar disponible en la primer mitad del proximo año.
Repositorios de GetDeb para Ubuntu Hardy e Intrepid
Hace tiempo en este blog anunciabamos la salida de una copia de GetDeb, un famoso repositorio de juegos y programas para Ubuntu y parientes de Debian, ante la carencia de un repositorio APT propio de GetDeb
Con la salida de Ubuntu Intrepid Ibex decidimos actualizar y ahora tenemos la misma copia de GetDeb pero separada por repositorios.
Al igual que la vez anterior, este es un repositorio no oficial, etc. etc. etc.
Si quieres añadir estos repositorios basta añadir alguna de estas lineas a tu archivo sources.list
Ubuntu Hardy
deb http://getdeb.masio.com.mx/ hardy/
Ubuntu Intrepid
deb http://getdeb.masio.com.mx/ intrepid/
Tambien puedes agregar estas lineas desde Synaptic o en Sistema > Administración > Orígenes del software
Ademas si quieres ver un listado de los paquetes para cada distribución, lo puedes ver aqui:
http://getdeb.masio.com.mx/intrepid/
http://getdeb.masio.com.mx/hardy/
Para mas informacion, puedes visitar
Procastinacion para geeks: Project Euler
Eres programador y tienes mucho tiempo libre? Aquí hay un buen reto para las mentes inquisitivas.
El proyecto euler es un sitio que contiene muchos problemas diseñados especialmente para aprender y pensar. Los problemas usualmente consisten en enigmas matemáticos que puedes resolver con una computadora, por lo que saber programar es requerido.
Un problema tipico es por ejemplo:
Si listamos todos los números naturales menores a 10 que son múltiplos de 3 o 5, obtenemos 3,5,6 y 9. La suma de esos múltiplos es 23. Encuentre la suma de todos los multiplos de 3 o 5 menores a 1000
Por cierto, la respuesta es 233168.
Una linea en python: print sum([x for x in range(1000) if x % 3 == 0 or x % 5 == 0])
Muchos de estos problemas pueden ser resueltos por fuerza bruta pero una de las condiciones es que los programas que resuelvan los problemas corran abajo de 1 minuto. Por lo que tienes que pensar un poco.
La pagina lleva un registro de todos los problemas que has resuelto y hay existe la “pared de la fama” en la que están los nombres de quien ha resuelto la mayor cantidad de problemas.
Si te interesa, registrate, y a resolver problemas.
o deja comentario en alguna de las entradas del blog.