jueves, 28 de febrero de 2019

Andaluzas, levantaos

Hoy es 28 de febrero, Día de Andalucía en España. Es por eso que hoy estaré en Sevilla protestando contra un Gobierno trifascista que quiere, entre otras muchas cosas, terminar con la autonomía andaluza entre otras y así echar por tierra la lucha de millones de personas. Sólo podemos decirles que ¡NO PASARÁN!


Para celebrar este 28 de febrero, he considerado que lo mejor es analizar la seguridad de la web de la Junta de Andalucía.




He utilizado algunas de las herramientas que he desarrollado y que ha habéis ido viendo por el blog, además de un breve análisis con OSINT y Buscadores hacking (digo buscadores ya que no he utilizado solamente hacking).



De las primeras cosas que se pueden descubrir es que existe un directorio público donde tenemos varios archivos java asociados al software que se utiliza en la Junta para empresas de GesContrat@, y aquí hay que detenerse, ya que la url para descargar este software es esta, y no la que se muestra en ese listing, lo que nos hace entender que hay más cosas en ese listing, que posiblemente con la asociación de todos los links de java, podríamos obtener información interesante. Lo dejo en duda para que vosotras y vosotros mismos probéis.


También utilicé Tardo para ver si obtenéia información de cuentas vulnerables, y obtuve un gran número de cuentas, pero no vulnerables, por lo que pasé a Artemis y ver si era vulnerable a un XSS mediante una imagen svg, y sí, lo era.

Todo esto, lo traté de reportar, ya que a pesar de realizar políticas neoliberales con las que estoy en total desacuerdo, los datos que manejan son de las andaluzas y de los andaluces, y la seguridad de sus datos es fundamental, lo que me obliga a apartar ( y no renunciar) mi carnet.


Y lo he intentado, hasta hablando por Twitter con un antiguo trabajador de la Junta que tiene contactos, pero nada; por lo que me veo obligado a publicarlo para ver si así al menos, mueven algo.

¿Hackeamos el Mundo?

miércoles, 27 de febrero de 2019

Relojes inteligentes y limitación de Big Data

Empieza la partida y voy con negras a ganar. Estoy preparando un artículo aún más grande y que dependerá de artículos más pequeños como el de hoy para mostrar, de una manera esquemática, el problema de no limitar el Big Data. Puede parece que limitar algo "grande" es un sin sentido, pero es urgente que paremos el tren y miremos que todo va bien, y si no va bien, el tren tiene que volver al garaje para que lo reparemos.


Voy a empezar por los relojes inteligentes, los cuales se han asentado como los Apple Watch o los relojes de Xiaomi. Yo tengo el Mi Band 2 de Xiaomi y no porque lo haya comprado, fue un regalo y tras un tiempo, no he dejado de pensar en lo que estoy escribiendo hoy.

Pero vayamos por partes. Con un reloj inteligente, por lo general, podemos recibir las llamadas para ver quién nos está llamando desde el reloj, ver nuestras notificaciones, ver los pasos que caminamos diariamente, ver nuestras pulsaciones y, mediante una app, controlar nuestro tiempo de descanso como ver cuántas horas hemos dormido y cuántas de esas horas han sido de sueño profundo.

Muchos datos. No lo veo malo, aunque para seguir pensando si es malo o no debemos pensar ¿quién controla esos datos? La respuesta es que el usuario...desde luego que no. Aquí el problema.

Pensemos un poco. Tenemos un reloj inteligente como los Apple Watch. Esos datos sabemos que, de una forma u otra terminan en los servidores de Apple, y recordemos que datos como quién te llama, quién te escribe en redes como Whatsapp, cuántas pulsaciones tienes, quién te da Me gusta en Facebook,etc, termina en los servidores de Apple.


También sabemos que, al menos en Canadá, Apple ha mantenido conversaciones con grandes bancos. Me parece oportuno volver a recordar los datos que Apple tiene en su posesión, datos como tus pulsaciones, cuántos pasos das o si haces ejercicio. Todo eso por disponer de un simple reloj.

Pon que eres una persona con problemas de corazón y que prácticamente no te mueves por la cuestión que sea. Un día vas y quieres un seguro de vida. No te lo conceden ¿por qué?

Muy posiblemente la respuesta sea que Apple ha podido vender esos datos privados tuyos (no sé qué más privado hay que cómo te late el corazón) a las aseguradoras y bancos y, al ver que eres una persona que tendrás problemas cardiovasculares, no te concederán ese seguro por una posible pérdida insignificante en comparación con sus ganancias que puedan tener.


Estos son los 3 primeros artículos de la Solemne Declaración de Derechos Humanos que los países se han comprometido a cumplir. Ahora analicemos el párrafo anterior teniendo en cuenta estos 3 derechos humanos, solamente estos 3. No se cumple ninguno.

Todos, independientemente de nuestra condición, tenemos derecho a la seguridad de nuestra persona y que no se nos conceda un seguro de vida o se nos suba el precio a pagar atentaría gravemente contra los DDHH. Porque ya lo de comportarse fraternalmente es de risa.

¿Hay alternativas?

Muchas veces se dice que este es el desarrollo natural de la tecnología, pero que sea este su desarrollo natural no significa que sea bueno, lo podemos parar tirando del cable. Además una alternativa es no utilizar estas tecnologías, esa alternativa siempre está. Otra es no utilizarlas y pedir que se castiguen a las empresas que las desarrollen por no cumplir los DDHH. La última alternativa es desarrollar otros sistemas libres.

Una alternativa sería desarrollar los mismos relojes pero que esos datos se queden en el propio reloj ya que los estamos desarrollando con una memoria interna.

Para la presentación de los datos pueden ser en el mismo reloj o habilitar al usuario para que, o bien desde el código o bien en los ajustes, seleccionar un equipo al que enviar los datos en forma de, por ejemplo, csv.

Es decir, sería un simple formulario en el que en el campo action podríamos especificar, por ejemplo, nuestra Raspberry Pi, generar un csv en el propio reloj y enviarlo a la Raspberry por ssh. Si ya el usuario quiere, imprimir esos datos y dárselos él al médico.

Es una medida simple y que, visto el desarrollo actual de la tecnología, no costaría mucho ya que simplemente es programar, por ejemplo, un pequeño formulario que le pida al usuario si tiene algún equipo GNU/Linux al que enviarle los datos y su IP.

Para esto podemos pagar a informáticos que lo hagan una vez que vayan a nuestras casas o que la misma tienda que te lo venda, dentro del precio entre el soporte informático, un precio extra que en caso de no quererlo por saber configurarlo no sería necesario pagarlo, por lo que fomentas que todos utilicen estos sistemas y además, parar ahorrarte unos euros, aprender a desarrollar tecnología.

Y ojo, porque todo el desarrollo sería instalar en, por ejemplo, una Raspberry un sistema operativo como Raspbian y especificar en el relos la IP de la Raspberry además, de habilitar el protocolo SSH en ambos dispositivos, algo no muy difícil y que se puede ver en cualquier tutorial en Internet. Y esto es una alternativa que, no sólo es libre y amistosa con los usuarios, además tecnológicamente, es más potente e interesante si te gusta este mundo.

¿Qué implica esto? Pensemos en las implicaciones que tiene que con esta propuesta un usuarios que analice diariamente sus pulsaciones pueda enviar ese CSV a su Raspberry y de ahí imprimirlo en un informe para el médico.

Esto implica que todo ese tiempo de espera para las pruebas médicas se reduce y la Seguridad Social y Urgencias se pueden ver más desahogadas y limitarse a casos específicos y urgentes. Por cambiar quién poseé los datos estamos, de manera indirecta pero muy directa mejorando otros aspectos. Estamos reduciendo trabajo a los médicos, los cuáles tendrán un poco menos de estrés.

Por el contrario podríamos tener problemas como los comentados o que una empresa aproveche esto para camuflar sus verdaderas intenciones. Podría dar un reloj de este tipo a sus trabajadores y con RFID con el pretexto de utilizar ese reloj a modo del famoso checking que algunas empresas emplean con una tarjeta con el mismo método. Pero claro, que tenga RFID o NFC te abre otra ventana, que en lugar de pagar con tarjetas contacless o el móvil con NFC, pagues con el reloj, lo que implica que tienes ahí tus tarjetas de crédito y podrían ver ahí qué compras, cuánto y dónde.

Todo esto se puede relacionar hasta el punto en el que si saben que tienes problemas de corazón, que no andas casi y que encima compras mucho alcohol, te podrían despedir para ahorrase pagarte mientras estás de baja o vender esos datos a una aseguradora o banco.

La alternativa está, por lo tanto, en plantar cara y demandar productos de este tipo si los queremos pero que sean Software Libre.

¿Hackeamos el Mundo?


martes, 26 de febrero de 2019

Certificados almacenados de forma pública y otra forma de matar gatitos

Cuando reviso la seguridad de alguna web y encuentro algo, siempre me sorprende algo. Cada vez es de su padre y de su madre y hay cuestiones que tengo que razonarlas mucho para tratar de entenderlo, pero hay veces que me supera.


El otro día, tras volver del trabajo, estaba cansado y quise buscar cosas sencillas para ver qué encontraba y tiré de Google Hacking para ver qué encontraba.


Pues estaba auditando un Wordpress y me encontré que la web almacenaba un certificado digital, y es inevitable pensar en lo problemático si fuesen los certificados de sus usuarios. Un atacante podría descargárselos y hacerse pasar en entidades públicas por esas personas.

Y todo por no restringir mediante la selección correcta de permisos y ownerships esas carpetas. Un trabajo sencillo para cualquier SysAdmin, aunque siendo honestos, muchas veces el problema no es de los SysAdmins, es de la empresa en sí y sus procedimientos internos.

¿Hackeamos el Mundo?

lunes, 25 de febrero de 2019

Mis héroes

A veces se me pregunta por quiénes son las personas que considero ejemplos a seguir o que son mis héroes y la respuesta muchas veces sorprende a mucha gente.


Mis héroes son esos conductores de transporte público como el metro y que me llevan a mí a otras muchas personas a nuestros trabajos o a los niños a la escuela o a los más mayores a la Universidad. Igual con el autobús.

Pero para ir a trabajar necesito estar sano, por lo que el personal sanitario español son otros héroes que además de salvar vidas, me permiten poder ir cada día al trabajo que me permite ganar el dinero suficiente para vivir.

Pero también descanso en casa, una casa construida por uno arquitecto y un obrero, por lo que esas personas son salvadores.

En definitiva todas las trabajadoras y trabajadores que hacen nuestro día a día más sencillo. Esos profesores que me han enseñado a leer y que gracias a ellos he podido formarme. Gente que ayuda diariamente a pesar de recortes en su trabajo.

¿Hackeamos el Mundo?

domingo, 24 de febrero de 2019

La odisea de escoger un nuevo ordenador

Como dije ayer, mi ordenador principal ha muerto y ahora mismo estoy haciendo el apaño con el ordenador de empresa, pero este tiene un problema principal. Su Sistema Operativo es Microsoft Windows. Juro que quiero quitarme de esto ya, al menos hasta que esté en la empresa, y posiblemente ni eso, posiblemente me lleve el nuevo allí para trabajar con él si se me da esa opción. Pero claro, escoger un ordenador, es para mi, al igual que para Sheldon Cooper, una gran decisión que no se puede tomar a la ligera.



Cuando dio su último aliento de vida mi ordenador, yo estaba junto a él, dándole la mano y diciéndole que todo iba a ir bien, que no se preocupase. Era un ordenador que ya era viejo, el que me traje a Málaga era uno que tenía 12 años como mínimo, pero finalmente murió y quise darle un entierro ejemplar en la Iglesia de Emacs junto al Dios Stallman, rodeado de por unos cuantos Ñus.

Leímos el último boletín de la FSF para rendirle homenaje. Era un héroe, un soldado de guerra contra el software privativo y no merecía menos. Pero toca pasar página y recomponerse de este duro golpe.

Para superar este duro trance de la vida, me he puesto a buscar ordenadores nuevos, pero todos están infectados, todos son pecadores, todos son Windows. He visto algo de Slimbook, y me parecen interesante, son otros guerreros.



Me siento como Sheldon Copper, esta decisión es difícil, hay que mirar mucho, leer mucho y revisar por varios sitios para pasar tus días junto al ordenador de tu vida, el sistema informático que sea tu compañero de viaje, tu confidente, tu amigo y amante, el amor de tu vida.

Gracias por tanto ordenador, te llevaré siempre en el corazón.

¿Hackeamos el Mundo?

sábado, 23 de febrero de 2019

Punisher. Un tool para terminar con la propiedad privada de Windows

Me he enganchado a la serie de "The Punisher" de Netflix, y cuando me engancho a una serie o veo una película, por lo general, siempre se me suele ocurrir una idea para una tool o un ataque basada en la serie o película (o canciones también). Y así ha sido.



Punisher se caracteriza por hacer buscar el bien aunque para eso tenga que matar. Por ejemplo, para terminar con la corrupción del Ejército Americano, ve bien matar a quien haga falta para limpiar el mundo. The Punisher, conocido también como Frank Castle, es bastante efectivo; por lo que el cuerpo me pedía crear una tool así.

Y así ha sido, he creado una tool que implementa nmap para realizar un scaneo sencillo de un equipo que especifiquemos y obtiene sus puertos abiertos. Esto nos va a servir para ver a qué puerto se le podría atacar. Entre una de las muchas cosas que hace, busca por si encuentra a BadBlue (enemigo de los rojos) y ver si puede aprovechar esta desactualización de sus sistemas para acceder mediante una sesión meterpreter.

Para esto he tenido que hacer uso de las siguientes instrucciones
echo use exploit/windows/http/badblue_passthru >> metasploit.rc
echo "set RHOST $punisher" >> metasploit.rc
echo "set PAYLOAD windows/meterpreter/bind_tcp" >> metasploit.rc 
echo "exploit" >> metasploit.rc
msfconsole -r metasploit.rc


Es bastante simple, ya que tan solo hacemos echo [Instrucción para Metasploit] y lo redirigimos a un archivo .rc que posteriormente utilizaremos para iniciar msfconsole con -r y el archivo que hemos ido creando.

Eso mismo es lo que he hecho posteriormente para automatizar el proceso de Hackear un Windows mediante un archivo malicioso. Como veis no es más que automatizar procesos que ya conté hace más de 1 año en el blog y por supuesto, enfocado en atacar al enemigo, Microsoft, para que así terminemos con la propiedad privada de los medios de producción a nivel de informática.

Para el código tendréis que esperar un poco a que esté del todo terminada, ya que las pruebas que he hecho han sido sobre una máquina virtual y ahora mismo estoy en proceso de cambiar de ordenador dado que el mío ya resiste poco más la caña que le doy y he tenido algunos problemas.

Por el momento os dejo la tool en lo que sería su versión Beta, pero porque hay veces que ha funcionado y otras que no, aunque los fallos han sido al iniciar Metasploit, no de código; aunque por eso quiero hacer más pruebas. No obstante, si queréis ver el código para echarle un vistazo o mejorarlo, aquí lo tenéis en mi repositorio de GitHub.



Cuando tenga las mejoras y lo haya testeado más os avisaré, aunque mientras tanto podéis ver algunas pruebas que estuve haciendo y que subí a mi cuenta de Twitter.


¿Hackeamos el Mundo?

viernes, 22 de febrero de 2019

Automatizar copias de seguridad a nuestra nube libre en NextCloud

Ayer ya vimos cómo instalar NextCloud, nuestra propia nube libre en GNU/Linux, pero hoy vamos a dar un paso más allá y vamos a tratar de automatizar este proceso, eso sí, siempre con el software libre por bandera.



Esta Free Cloud nos va a hacer ver el potencial que tiene el Free Software y de cómo podemos desarrollar muy buenas soluciones sin muchos recursos, y soluciones que sirvan de ayuda y que sean fáciles de utilizar para romper el mito de que GNU/Linux es complicado de utilizar.


Dentro de la Distro Gaurox que estoy desarrollando y que está en su Frozen Zone ahora mismo, he incorporado esta solución en su ámbito general. La idea es tan sencilla como un script como el mostrado que, todos los archivos txt que encuentre en el home del usuario, los pase por SSH y mediante rsync al servidor NextCloud.


El script es bastante sencillo, 3 líneas y a funcionar. Primero comprime los archivos txt que encuentra en el directorio que le especificamos dentro del scrip y posteriormente lo envía a la nube del usuario.


Si nos vamos al servidor donde tenemos nuestro NextCloud, veremos ahí el archivo que acabamos de pasar.

No obstante, si utilizamos un par de claves privada/pública y ejecutamos este script en el crontab, tendremos estas copias de seguridad de forma automática y mediante una interfaz amigable.

Sí debo decir que estos archivos en el NextCloud como tal no los he llegado a ver mediante la interfaz gráfica, no obstante que esté tal y como vemos si nos conectamos al server es una buena señal aunque no lo veamos en la interfaz gráfica. Además que aún así, podríamos descargar nuestros ficheros con un rsync o scp igualmente.

Pero lo importante no es eso, es que veamos el potencial que tiene el Software Libre y de cómo, con muy poco, podemos tener muy buenas soluciones y apostando por las alternativas de Software Libre.

¿Hackeamos el Mundo?


jueves, 21 de febrero de 2019

Utilizar tu propia nuble libre

Existen varias plataformas de nube para almacenar ahí nuestros archivos. Existen nubes como Google Drive, DropBox o Mega, esos son, sin duda, de los más conocidos, pero tienen el problema de que no son libres y no sabes del todo bien quién controla esos datos, y cuando lo sabes, te das cuenta que son grandes corporaciones las cuales solamente están interesadas por el beneficio económico que puedan obtener con estos sistemas, impulsado por el neoliberalismo económico. Beneficio antes que libertad, ese es su emblema, aunque no lo digan, porque de decir, tendrían menos beneficios y crearían menos desigualdad entre las clases.



Para evitar que las grandes corporaciones se apropien de nuestros datos, podemos instalar y empezar a utilizar una nube pública como lo es NextCloud para empezar a controlar ahora nuestros datos. Yo lo he instalado en una Raspberry con Debian 9, pero igualmente sería válido en Raspbian o en cualquier otra distro GNU/Linux.

Los requisitos mínimos, según la documentación oficial, es un equipo con 512 MB, aunque cuantos más usuarios tengamos, más memoria sería necesaria. Por la distro, mientras sea GNU/Linux, no hay mucho problema, y en bases de datos, lo idial es MariaDB o MySQL. La versión PHP, la 7. la versión de Apache la 2.4 con el módulo mod_php.

apt install apache2 libapache2-mod-php7.0

Obviamente tenemos que tener instalado todos los requisitos.

apt install php7.0-gd php7.0-json php7.0-mysql php7.0-curl php7.0-mbstrin
apt install php7.0-intl php7.0-mcrypt php-imagick php7.0-xml php7.0-zip zip

Todo esto lo tendremos que instalar bajo root lógicamente. También hemos dicho que tenemos que instalar MariaDB, por lo que instalamos la Base de Datos a cara perro.

apt install mariadb-server

Una vez instalada la base de datos, tendremos que realizar algunas configuraciones como crearle una base de datos para NextCloud y crear un usuario.

CREATE DATABASE nextcloud_db;
GRANT USAGE ON nextcloud_db.* TO manu@localhost IDENTIFIED BY 'myultrasecurepassword';
GRANT ALL PRIVILEGES ON nextcloud_db.* TO manu@localhost ; 
FLUSH PRIVILE

Tened en cuenta que estas credenciales de la base de datos, las vamos a necesitar en unos pasos un poco más adelante. Ahora vamos a descargar NextCloud.

cd /tmp
wget https://download.nextcloud.com/server/releases/nextcloud-11.0.0.zip

Esto va a tardar un poco ya que pesa un poco.

unzip nextcloud-x.y.z.zip
cp -r nextcloud /var/www/

Una vez que descargamos el zip, lo descomprimimos y lo pasamos a /var/www/ para poder proceder con la instalación de NextCloud vía web.

También tendríamos que mirar el tema de permisos por si acaso, ya que nos puede dar error al instalar.


Es importante crear también crear un archivo de configuración de NextCloud como el anterior en /etc/apache2/sites-available/. Una vez que lo tenemos creado, tendremos que crear también el enlace simbólico a este archivo.

ln -s /etc/apache2/sites-available/nextcloud.conf /etc/apache2/sites-enabled/nextcloud.conf


Otra de las cosas que tendremos que hacer será habilitar una serie de módulos de Apache.

a2enmod rewrite
a2enmod headers
a2enmod env
a2enmod dir
a2enmod mime
a2enmod setenvif

Una vez que terminemos de habilitar estos módulos, tenemos que reiniciar Apache.
systemctl restart apache2

Con esto podemos contratar un dominio personalizado y así poder acceder de una forma más sencilla. Aún así. accedemos vía web para seguir con la instalación.


Aquí tendremos que crear un usuario y una contraseña y, además, más abajo tendremos que decir el usuario de la base de datos de Nextcloud que hemos creado anteriormente junto a su contraseña.


Tras hacer esto, ya nos saldrá esta pantalla, lo que significa que hemos terminado y podremos empezar a utilizar NextCloud. El modo de utilizarlo es igual que cualquier otra nube,  subimos nuestros archivos de perros follando y listo.


Y lo mejor es que podemos añadir los usuarios que queramos por si nos interesa tenerlo, por ejemplo, como un servidor de subida de archivos en cualquier institución. Como un Samba Server pero de una forma más sencilla para que sea usable por los usuarios.

Esto nos va a servir para algunos proyectos que iré comentando en unas semanas, espero que pueda ser pronto.

¿Hackeamos el Mundo?

miércoles, 20 de febrero de 2019

Ranking de Universidades que apostan por el software libre

La RuSL es una organización que realiza un ránking anual para ordenar las Universidades de España e Hispanoamética y estuve hace poco revisando la clasificación del 2016 (la última que hay hasta el momento) y descubrí algunas cosas interesantes.



Para empezar vi que en el ránking de 2016, la que estaba en primera posición era la Universidad de Miguel Hernández de Elche y en segunda posición la Universidad de Granada,y como sabéis, por muy cordobés  que sea, lo que me une a Granada es especial.


Granada ha estado en la primera posición, pero en 2016 ha bajado un puesto; pero igualmente la labor que están realizando con el Software Libre es buenísima y es digna de reconocimiento.


Y ya que me sacáis el tema, la Universidad de Córdoba está en 22ª posición, y en 2015 estaba en la posición 17, por lo que ha bajado unos cuantos puestos.

Estoy muy orgulloso de la Universidad de Granada y de cómo apuesta por el Software Libre, y desde aquí pido a la Universidad de Córdoba que apueste más por el Software Libre. Estoy a la espera de la clasificación de 2017 y ver cómo ha podido cambiar esto. 

¿Hackeamos el Mundo?

martes, 19 de febrero de 2019

Matar procesos zombie de GNU/Linux a lo The Walking Dead

Como SysAdmin, una de las cosas con las que tengo que lidiar diariamente es buscando procesos que estén en zombie state y lidiar con esos procesos. Este tipo de procesos tienen un tratamiento especial, y eso es lo que se va a narrar en este post.



Un proceso zombie es ese proceso que ha terminado de ejecutarse pero que aún se muestra su entrada en la lista de procesos. Es decir, que ha terminado de ejecutarse, pero si hacemos ps o top, lo seguiremos viendo ahí cuando no debería, ya que ha terminado su ejecución.

Por poner un ejemplo, podemos tener un proceso que lo que hace es obtener los datos de varios archivos correspondientes a cuentas bancarias o a las transacciones de dinero para aplicarle un impuesto determinado para calcular el valor total que generará en los distintos países. Pues bueno, una vez que genere los archivos de salida con los valores de esa transacción en los distintos países, el proceso debería terminarse, no obstante aún lo vemos.

Como para enseñar esto necesito de al menos 1 proceso en zombie state, lo crearé con el siguiente código en C++ que podéis utilizar para vuestras pruebas.





Una vez que lo tenemos, solamente tenemos que compilarlo (con g++ en mi caso) y lanzarlo. Yo lo voy a lanzar en segundo plano.


Ahí vemos ese proceso en defunct (difunto o zombie). Esto lo hemos hecho con ps -el (que muestra el estado del proceso) y buscando por los que estén en estado zombie.


Podéis pensar que con un kill -9 y el PID del proceso que esté en zombie bastaría, pero no, nos bastaría tal y como podemos observar.


También podemos visualizar estos procesos con el comando top, el cual nos muestra todos los procesos de nuestro sistema con información como la memoria usada o la contabilización de los diferentes estados de los procesos de nuestro sistema, donde podemos ver que tenemos 1 proceso en zombie state.



con el comando kill $(ps -A -ostat,ppid | awk '/[zZ]/{print $2}'} vamos a encargarnos de matar como Rick manda :P 

Lo ideal es que os hagáis un script que automatice todo esto. Yo lo tengo para facilitarme el trabajo. Ese script lo estoy modificando ahora mismo y por eso y por un problema que hoy mismo he tenido en el trabajo con un proceso en zombie state, me ha motivado a escribir sobre esto. El script, cuando lo termine de modificar, lo comentaré brevemente por aquí por el blog también para que le echéis un ojo o lo utilicéis directamente si veis que os va bien.

¿Hackeamos el Mundo?

lunes, 18 de febrero de 2019

Ausencia de informáticos en la Informática

Este post me va a suponer un pequeño tirón de orejas en la oficina, pero yo soy fiel a la verdad y no puedo callarme. Es algo que estoy viendo últimamente en cada vez más empresas que contratan a personas con títulos que les permite trabajar en informática. Y digo esto y no "informáticos" a conciencia. No hay informáticos, hay títulos de informáticos trabajando en informática, y eso lo considero un error.


Es muy distinto ser informático que tener un título que te permita trabajar en informática. Un informático es una persona que le da vueltas a un sistema o a un proceso para ver cómo automatizarlo y reducir el trabajo. Un informático es una persona cuya cabeza nunca descansa.

Un informático sabe la diferencia entre sistema operativo GNU, Kernel Linux y distros. Un informático sabe quién es Richard Stallman, y más cuando ese informático trabaja cons ervidores GNU/Linux.

Lo que es incomprensible es que diga que voy a ver una conferencia de Richard Stallman y la pregunta sea "¿Quién?". Me lleno de paciencia y respondo: "El creador de GNU". La respuesta siguiente me mata.

"¿Qué es GNU?"

No me mata el desconocimiento, me mata la despreocupación, ya que eso lo he dicho a personas que trabajan 5 días a la semana, 40 horas semanales, con servidores GNU/Linux. Son personas mediocres que no se preocupan en conocer.

Eso no es un informático. Un informático se preocupa de conocer un sistema, lee, escucha y ve lo que están creando otros, visualizan un proceso, lo estudian y cuando lo entienden se trata de hacer  más sencillo automatizándolo.

Nunca paras, pero si cuando sales de la oficina, dices que cierras el ordenador hasta el día siguiente, por favor, no te hagas llamar informático y menos vayas dando lecciones. 

Que esas personas sepan cómo actuar en determinadas situaciones no es conocimiento, es experiencia, y este es otro punto al que voy. Un informático no repite procedimientos diarios, no, para eso tenemos los scripts o los crontabs. Esas tareas de ejecutar procedimientos sin razonar aburre, por lo que no entiendo cómo un verdadero informático puede aguantar mucho tiempo en proyectos de ese tipo. Pero claro, para eso se supone que estamos hablando con informáticos, y no con titulados.

El desconocimiento, como he dicho, no es el problema. Un informático puede no saber, pero lo que no nos podemos permitir es no estudiar. Un informático estudia diariamente y ante un problema, no nos ponemos nerviosos. Nos paramos, nos relajamos y pensamos en cómo resolver el problema, pero claro, para eso hemos tenido que recorrer un duro camino de estudio.

¿Hackeamos el Mundo?

domingo, 17 de febrero de 2019

¡Qué suenen las gaitas gallegas, llega Antergos!

Tengo profundas raíces gallegas. Mucha familia por el norte de España y eso es algo a lo que no puedo renunciar, es por eso que siempre que veo algún proyecto que nace en Galicia y que profesa con mi misma comunión, se me salta una lagrimita, y esto es lo que siento con la distro Antergos.


Yo conocía Arch,pero hace poco en Podcast Linux, conocí de la existencia de Antergos (ancestros en gallego) y no me pude resistir a descargarla  y testearla.


Inicialmente lo que haremos será utilizar la versión Live de la distro, y al arrancar nos dirá si queremos probar Antergos o instalarlo. Yo ya anticipo que recomiendo su instalación, ya que va bastante fluido y hace muy fácil meterse en el mundo de Arch Linux si no lo has tocado nunca.


Por default tendremos el escritorio GNOME ya que al creador Alexandre Figueiras le gusta mucho este escritorio, no obstante podremos escoger entre varios, y esta es otra de las ventajas de Antergos y que lo hace tan potente. La apariencia es bastante bonita, lo que rompe con lo de que GNU/Linux es para cutres o a gente que le da igual la estética.

Muy interesante ese dconf editor donde se nos facilita iniciar o parar servicios a nuestro gusto, la verdad es que hace que sea muy sencillo tareas como la creación de servicios httpd para alojar nuestras webs personales y que no requieran de mucha configuración.



Estas son algunas de las aplicaciones que tenemos por default. No me agrada mucho esa app de Maps ahí, pero bueno, le damos un pase. Por otro lado, me resulta interesante que incluya Gparted para facilitar la tarea de particionado o el programa Brasero, no todos lo incluyen y esto me facilita mucho según qué trabajos.



Otros de los programas que me ha gustado bastante es el de Logs, ya que facilita mucho la tarea de monitorización mediante la visualización de logs de los distintos procesos de nuestro sistema.

Me parece un proyecto interesante y que hace GNU/Linux más accesible a los usuarios que no estén tan metidos en este mundo. En algunos casos, considero que facilita esta tarea más que mi apreciada Debian.

Si os resulta interesante también, os recomiendo que descarguéis la ISO y lo instaléis en algún ordenador que tengáis más viejo, ya que esta distro corre de forma muy fluida y con una interfaz gráfica elegante y fácil de utilizar.

¿Hackeamos el Mundo?

sábado, 16 de febrero de 2019

Proyecto IT

Este es otro de los proyectos que estoy elaborando. Es uno ambicioso y espero que poco a poco, pueda ir creciendo y mejorando con la ayuda colectiva de toda persona que quiera ayudar y cambiar el mundo.


Es un proyecto con varios IT. Os iré comentando poco a poco conforme vayan saliendo y aclarándose más asuntos. La idea general la tengo pero hay que matizar algunas cuestiones importantes.

Es un proyecto que usará la tecnología controlada para mejorar algunos problemas del mundo. Obviamente con GNU/Linux, ya que es imposible ayudar con software privativo y sin llegar a la informática de verdad por parte de los usuarios. No se puede privatizar la informática.

Conforme lo piense y aclare más cuestiones os iré comentando, espero que pueda ser pronto, pero que tendréis noticias es breve, eso es algo que os debe quedar claro.

¿Hackeamos el Mundo?

viernes, 15 de febrero de 2019

Comienza la frozen zone de Gaurox

Hace más de 6 meses redacté un post avisando de que estaba creando mi propia distro basada en Debian. Hoy, más de 6 meses después os puedo anunciar que empieza la frozen zone de mi distro.


La distro está prácticamente terminada y el nombre de Doorian (nombre en clave) ha dejado de operar. La distro se va a llamar Gaurox, un nombre que es un juego de palabras de Gaurox offs Unix. Es decir, que Gaurox sale de Unix tal y como tenía pensado Richard Stallman con su sistema GNU (GNU is Not Unix).



Mi idea era la de desarrollar una distro 100 % Libre. Debian lo es, pero ya sabemos la postura de la FSF (con la cual colaboro) sobre Debian. Es por esta razón que las non-free packages de Debian no se incluyen por default en el sources.list, además de que he incluido mi propia repo, un tanto diferente y con otro enfoque al que se ha seguido tradicionalmente desde la comunidad.

Al estar prácticamente terminado, es obligado que entre en mi primera frozen zone con Gaurox. Una frozen zone es cuando el mantenimiento de un server o una distro como es este el caso, para durante X tiempo. Por ejemplo, ahora mismo en Debian nos encontramos también en una frozen zone para el desarrollo de Debian 10.

Estaré un tiempo (el necesario) sin desarrollar nada, en principio de Gaurox, simplemente testeando su funcionamiento en distintas arquitecturas y cómo se comporta, por lo que seguramente en los próximos días/mes os comentaré novedades.

¿Hackeamos el Mundo?

jueves, 14 de febrero de 2019

POISON

He desarrollado una nueva tool. La décima en lo que vamos de año. Estoy decidido a contribuir lo máximo posible con el software libre para que sea la alternativa en todo, compares con lo que lo compares. Quiero tocar todos los palos con tools, que aunque puedan llegar a ser pequeñas, sean eficaces en su tarea.


A esta tool la he llamado Poison ya que durante su desarrollo mi pareja estaba cantando la conocida canción de Alice Cooper Poison y, para el caso, me venía bastante bien. Podría decirse que la canción Poison es el himno de esta nueva tool.




I want to love you, but I better not touch
I want to hold you, but my senses tell me to stop 
I want to kiss you, but i want it too much 
I want to taste you, but your lips are venomous 
POISON 
YOU'RE POSION

Esto es lo que yo siento con las apps de Android. Las quiero amar, pero mejor no tocarlas mucho. Quiero abrazarlas, pero algo me dice que pare. Quiero besarlas, pero algo me dicen que son veneno. 

Ojo, este veneno es bien distinto a este otro veneno. Yo no quiero veneno para morir.



Pero yo lo que quería era tener una app que me automatizase el proceso de auditoría de apps Android. Quería de momento, que leyese el AndroidManifest y me sacase toda la lista de permisos de esa app, me los contase y me diese una explicación de cada permiso.

Parece complejo para hacerlo con software libre pero no mucho, os lo aseguro.


Yo sigo a lo mío con las shells como se puede apreciar. Shells con pocas opciones, fáciles de usar y listo, que corra.

Como he mencionado, no es excesivamente complicado, aunque eso sí, requiere de que de la APK de la app, hayamos sacado el código mediante ingeniería inversa primero. Esto con JavaDecompilers, no es muy complicado. Una vez que tenemos la carpeta con el código, simplemente lanzamos Poison, le indicamos el proyecto y buscará en el archivo manifiesto de Android todos los permisos y le dará formato para que sea lo más entendible posible para el usuario final.


Finalmente todos esos permisos los lista en /var/www/html/{project}/index.html y tendremos una pequela web con todos los permisos de la aplicación que estamos analizando y con un enlace que nos redirigirá a la explicación de dicho permiso. Así de sencillo.

Puede parecer una tontería, pero tener automatizadas tareas tan simples como estas, hacen que en las tareas más duras, tengas la mente más fresca y rindas y encuentres más fallos. Está siendo un proceso lento de limpieza de toda la basura privativa que tenemos para realizar nuestras tareas, pero poco a poco se están creando, no por mi, yo doy parte de código que vosotros podéis mejorar.

Como siempre, el código tiene licencia GPL dando las 4 libertades (+1 libertad) y podéis encontrar en código en GitHub o en MyHub

- GitHub
-MyHub

¿Hackeamos el Mundo?

miércoles, 13 de febrero de 2019

¿Por qué Uber debe morir?

En España hace unas semanas hemos tenido una gran Huelga de taxistas, sobre todo en Madrid y Barcelona. Yo llevo un tiempo pensando sobre si escribir este post o no, pero finalmente he decidido posicionarme y escribir sobre este tema, sobre el por qué Uber debe morir y ya.


Voy a analizar este tema desde varios puntos de vista y de todo lo que comento, podréis encontrar la documentación al final de este mismo post. Antes de pasar al análisis, decir que no he cogido ni pienso coger nunca un Uber, es más, una vez una persona estaba dispuesta a pagarme el Uber y yo me negué rotundamente.

Uber no protege la privacidad de los usuarios

Uber recoge la información de los usuarios y utiliza esa información de varias formas, y sobre todo, con intenciones económicas sin ni siquiera avisar al usuario. Todo esto lo veremos en la parte en la que analizaremos el código de la App de Uber, pero ya adelanto que Uber obtiene información como el Imsi del teléfono.

Para pagar, requiere al usuario que se autentique, por lo que la privacidad se vulnera gravemente. Además de que pueden saber dónde coges un Uber y dónde te deja, lo que facilita que se conozca con quién tienes relaciones. Ya hay casos.

Esto enlaza con que Uber hace tracking de los movimientos de los pasajeros tanto antes como después de utilizar un Uber, y que sepan donde estás puede dar más información de lo que pueda parecer.

Por poner un ejemplo, imagina que utilizas un Uber para ir desde tu casa al centro de tu ciudad. Parece que no dice nada, pero en realidad sí, sobre todo si relacionan datos como la renta media del barrio en el que vives tal y como comenté ya en este mismo blog. Esto puede hacer que si Uber ve que vives en un barrio rico, te suban las tarifas, que de hecho, a sus usuarios más comunes, se lo ha hecho en Estados Unidos.

Uber además ha hackeado a su competencia con información de sus usuarios y conductores para saber quién utiliza los servicios de la competencia y quién trabaja para la competencia.

Obviamente, el Gobierno de los Estados Unidos tiene acceso a toda esta información, pero es que si pones una demanda de divorcio, podrías pedir esta información. Nuevamente la privacidad de los usuarios, vulnerada.

Uber no facilita a las personas poner quejas y esto ha provocado determinadas agresiones, lo que a muchas mujeres les hace desconfiar de este servicio con algunos casos conocidos.

Uber tambiéne stá intentando que los usuarios acepten a la fuerza sus términos de condiciones, y, por si no lo habíais pensado, para instalar la app, requiere que utilices una cuenta de Google, por lo que en nombre del mercado, podrían cruzar datos para que, además de saber si vives en un barrio rico, vean si utilizas Google Pay y si gastas mucho o poco. Esto lo suman viendo a dónde sueles ir con un Uber, si vas mucho de compras o no, si has utilizado Uber en una ciudad o en un país que no son los que Uber tienen en su base de datos como su domicilio habitual.

Uber abusa de sus conductores y de sus pasajeros

Uber sabemos que utiliza técnicas psicológicas (lo que debería hacernos pensar cómo conocen esas técnicas) para manipular a los conductores para que, por ejemplo, conduzcan muchas más horas de las que deben. Esto no es economía compartida, esto es estafa compartida. Por si fuese poco, Uber malpaga a sus trabajadores.

Uber abusa de sus conductores, sobre todo de países subdesarrollados o en vías de desarrollo como puede ser India, donde pueden llegar a pasar más de 12 horas al volante.

También se ha analizado que las mujeres conductoras son vilipendiadas con mayor frecuencia que los hombres y Uber no las protege. Es más, su CEO ha llegado a insultar a sus conductores, por lo que; trabajadores de Uber, vuestro jefe no os quiere, sólo os quiere explotar.

Como es habitual que un trabajador para Uber, esté también con Cabify u otros servicios parecidos, Uber está presionando cada vez más a sus trabajadores para que digan cuánto cobran de la competencia.

Uber quiere controlar el mercado con técnicas de bajar precios para destruir a la competencia y posteriormente subirlos creando un monopolio de este servicio y además mostrando a los conductores solamente una parte de la demanda real que hay.

Impuestos y legalidad

Uber está haciendo duras campañas de presión para no pagar impuestos en Estados Unidos (aquí lo tendrán más fácil al ser una plutocracia) y en Colombia o España o no pagan o pagan 3 veces menos que los taxistas, además de no asegurar y cumplir con deberes de fiscalidad, contrato, Seguridad Social (lo cual vulnera el artículo 22 de los Derechos Humanos y al malpagar a sus conductores vulnera gravemente artículos comoel artículo 4 (sobre la esclavitud) y  los artículos 23,24 y 25.

Cuidado con investigar a Uber, que si ven que los más a demandar, te investigarán con métodos que si no rozan la ilegalidad son completamente ilegales y además desarrollan sus sistemas para que a estas personas identificarlas bien. Esto lo veremos en la parte en la que analicemos su código.

Uber ha visto en el coche autónomo su gallina de huevos de oro. Se ahorran a los trabajadores, violando de nuevo el artículo 23 de los Derechos Humanos que los países nos comprometimos a cumplir.

A Uber la legalidad le importa poco, sobre todo cuando se trata de investigar a sus competidores para obstruir o impedir acciones legales contra la empresa. Esto en cualquier sistema mínimamente democrático provocaría la entrada en prisión de los gerentes de Uber tras un Juicio donde se muestren todas estas pruebas sin el encubrimiento de los Gobiernos que, más que obedecer a la gente, obedecen al Dios Mercado, mesías del capitalismo.

Aquí viene la joya de la Corona, ya que sorprendentemente, servicios públicos de transporte en gobierno plutocráticos, están haciendo campañas para pasar a Uber, porque claro, sin servicios públicos, se puede poner la excusa de bajar los impuestos, aunque después se bajen los impuestos de las rentas altas y no los de las rentas bajas.

Discriminación

Uber viola el artículo 1 de los Derechos Humanos (todos somos iguales en dignidad y derechos) ya que trata de forma diferente a las personas negras y trata de acosar a mujeres, además de lo ya comentado que a sus clientes habituales los estafan subiéndoles brevemente el precio sin que se lleguen a dar cuenta.

Estos es importante, si hay un registro con todos los pagos ¿Quién impide a Uber manipular esos número para que, si antes pagaste 30€, lo manipulen a 32€p para que así, cuando reclames, veas que "te han cobrado lo mismo" hace 2 meses que ahora?


Diferencias

Un taxi, por mucho que sea un vehículo más que contamina, sí protege la privacidad de sus clientes, ya que te montas pidiéndolo con la mano en la calle o, a unas malas, llamando. Posteriormente pagas con dinero en efectivo, sin dar tu nombre, siendo anómino para la empresa de taxis y para el taxista.

Puede que algún taxista no se comporte debidamente, pero no es la norma general, y además aquí sí se facilitan las quejas de los clientes y la empresa de taxis puede abrir investigaciones a los taxistas que vulneren acuerdos.

Los taxistas, aunque haya partes que mejorar, sí están sometidos a una fiscalidad o a la Seguridad Social. Los taxistas pagan sus impuestos y cumplen la ley, no como Uber o Cabify.

Taxistas, todo mi apoyo. Hay aspectos que mejorar, por supuesto, como en cualquier otro trabajo. Queda mucho camino para que vuestras condiciones laborales mejoren, pero este es el camino. Ánimo compañeros.

Show me the code!

No voy a analizar toda la app porque es bastante grande, posiblemente en un post aparte, pero solamente voy a dejar algunas de las cosas que me parecen más interesantes.


Se puede ver que hay varias funciones, entre ellas las que obtienen el ID del Android, el nivel de la batería (para así detectar mejor dónde está el usuario, ya que cuanto más lejos o cerca se esté de una antena, más rápido bajará la batería), la altitud, latitud, longitud, el nombre del dispositivo, la versión, el imsi del teléfono, la IP, el número de teléfono y si está o no conectado el Wifi.

Toda esta información es utilizada por Uber para espiar a los usuarios. Esto lo podéis comprobar haciendo ingeniería inversa con la app de Uber.


También es curioso que en uno de los archivos del mapping del ubercap (el conductor de Ube) tenga mucha parte de su código ofuscado, aunque algo es posible de obtener.

En definitiva, no utilicéis Uber, ya que es poco ético con los usuarios, la legislación y con los taxistas. Usar el taxi está bien, no obstante hay cuestiones que mejorar y matizar, pero con Uber, Cabify y servicios del estilo todo es malo, para taxistas, conductores, el usuario y la fiscalidad.



¿Hackeamos el Mundo?

Referencias

https://gizmodo.com/uber-doesn-t-want-you-to-see-this-document-about-its-va-1795151637
https://www.uber.com/en-MO/blog/cash-eng
https://www.marketplace.org/2014/11/18/business/final-note/ubers-data-makes-creepy-point-about-company
https://techcrunch.com/2016/11/28/uber-background-location-data-collection/?guccounter=1
https://www.engadget.com/2017/04/13/uber-hell-program-lyft-drivers/
https://www.huffingtonpost.com/entry/uber-customer-data-privacy_us_570e518ae4b0ffa5937da329?ec_carp=2738355297192906948
https://www.thedailybeast.com/ubers-biggest-problem-isnt-surge-pricing-what-if-its-sexual-harassment-by-drivers
https://www.theguardian.com/technology/2014/nov/19/uber-investigates-top-executive-after-journalists-privacy-was-breached
https://therideshareguy.com/uber-is-ripping-off-frequent-riders-and-heres-how-to-avoid-it/
http://www.newyorkpersonalinjuryattorneyblog.com/2016/12/opting-out-of-ubers-forced-arbitration-the-clock-is-ticking.html
https://arstechnica.com/tech-policy/2017/04/uber-said-to-use-sophisticated-software-to-defraud-drivers-passengers/
https://www.reuters.com/article/legal-us-otc-uber/forced-into-arbitration-12500-drivers-claim-uber-wont-pay-fees-to-launch-cases-idUSKBN1O52C6
https://www.nytimes.com/interactive/2017/04/02/technology/uber-drivers-psychological-tricks.html
https://www.theguardian.com/technology/2017/may/23/uber-underpaid-drivers-new-york-city
https://www.theguardian.com/global-development/2018/dec/04/my-life-is-spent-in-this-car-uber-drives-indian-workers-to-despair
https://www.recode.net/2017/2/19/14665076/ubers-travis-kalanick-susan-fowler-sexual-harassment-investigation
https://www.theguardian.com/commentisfree/2017/mar/03/uber-spreading-social-poison-travis-kalanick
https://www.thestranger.com/slog/2017/01/27/24830634/uber-is-asking-drivers-to-send-them-non-uber-paystubs-for-money
http://www.slate.com/articles/technology/future_tense/2015/07/uber_s_algorithm_and_the_mirage_of_the_marketplace.single.html?via=gdpr-consent
http://valleywag.gawker.com/uber-cuts-prices-in-new-york-and-fares-for-drivers-1601142883
https://www.washingtonpost.com/local/trafficandcommuting/some-uber-drivers-say-companys-promise-of-big-pay-day-doesnt-match-reality/2014/09/06/17f5d82c-224a-11e4-958c-268a320a60ce_story.html?utm_term=.dc950715b559
https://www.commondreams.org/views/2018/02/09/uber-and-lyft-driving-drivers-poverty-and-despair
https://www.buzzfeednews.com/article/carolineodonovan/internal-uber-driver-pay-numbers
https://www.recode.net/2016/11/28/13768756/uber-driver-deactivation-juno-advertising-new-york
https://www.theguardian.com/commentisfree/2016/jan/31/cheap-cab-ride-uber-true-cost-google-wealth-taxation
https://www.bloomberg.com/news/articles/2016-04-06/the-sharing-economy-doesn-t-share-the-wealth
https://splinternews.com/uber-is-using-gps-to-punish-drivers-in-china-who-get-to-1793848386
https://www.nytimes.com/2017/01/29/technology/silicon-valleys-ambivalence-toward-trump-turns-to-anger.html?partner=rss&emc=rss&_r=0
https://truthout.org/articles/uber-and-lyft-are-threatening-to-expose-poor-and-elderly-to-predatory-practices/
https://www.theguardian.com/technology/2016/apr/29/uber-penalty-fees-late-passengers
https://www.theverge.com/2014/5/28/5758734/uber-will-eventually-replace-all-its-drivers-with-self-driving-cars
https://boingboing.net/2014/06/30/ubervalued-the-appropriation.html
https://www.theguardian.com/technology/2016/oct/31/uber-lyft-racial-discrimination-us-boston-seattle
https://www.theguardian.com/commentisfree/2018/apr/13/uber-lyft-prices-personalized-data
https://www.theverge.com/2016/7/10/12127638/uber-ergo-investigation-lawsuit-fraud-travis-kalanick
https://www.cnet.com/news/uber-we-dont-need-a-permit-for-self-driving-cars/
https://www.theguardian.com/technology/2017/nov/28/uber-court-waymo-trade-secrets-trial
https://www.theguardian.com/technology/2018/mar/15/uber-class-action-lawsuit-sexual-assault-rape-arbitration
https://www.theguardian.com/technology/2018/mar/15/uber-class-action-lawsuit-sexual-assault-rape-arbitration
https://www.eldiario.es/economia/BlaBlaCar-Uber-taxis-Federacion_Profesional_del_Taxi_de_Madrid_0_306919618.html
https://www.larepublica.co/empresas/conductores-de-taxi-pagan-hasta-tres-veces-mas-impuestos-que-los-de-uber-2807496



Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...