Paloma Mensajera vintage edition

¡Noticia de alcance oiga! Hoy han derogado el Real Decreto 2571/1983 por el que se regula el uso de palomas mensajeras para la Defensa Nacional. Cosas veredes, amigo Sancho. A partir de hoy, todos los aficionados a las artes de la colombofilia (y no piensen en cosas relacionadas con temas eclesiásticos) ya no tendrán que someter sus palomares al registro y autorización por interés para la Defensa Nacional de sus queridos pájaros.

Por lo que se ve, las nuevas tecnologías de los sistemas de telecomunicaciones e información cubren eficazmente todas las necesidades de enlace de la Defensa Nacional, lo que ha originado que la posible utilización de las palomas mensajeras como medio de transmisión haya dejado de tener interés para la Defensa Nacional.

Y yo me pregunto, si se nos caen los servicios de comunicaciones en una crisis, ¿qué vamos a hacer sin las palomas mensajeras? ¡Esto se hunde…!

Más en el BOD del 11 de marzo de 2010.

De pasada rápida por las actas y resultados del cónclave de eurodiputados de este lunes, te puedes encontrar con varias perlas de enmiendas que están tan bien redactadas que parecen muy inocentes y lo hacen en el fondo por el bien de los ciudadanos, ya saben, los idiotas que vamos a meter papelitos en papeleras transparentes con variopintos nombres cada cierto tiempo.

Ahí van un par, con los enlaces a los PDFs en castellano de las enmiendas propuestas y aprobadas por el comité:

Enmienda 9 (página 9)
Propuesta de directiva – acto modificativo
Artículo 1 – punto 12
Directiva 2002/22/CE
Artículo 20 – apartado 6 bis (nuevo)

Justificación

Internet debe quedar exenta de comportamientos ilegales. Por ello, los abonados y los
operadores deben colaborar en la lucha contra la piratería y las actividades ilegales en línea.

Enmienda 104 (página 48)
Jacques Toubon
Propuesta de directiva – acto modificativo
Considerando 37 bis (nuevo)

Justificación

La referencia a la Directiva 2004/48/CE está destinada a justificar el mantenimiento del
artículo 20, apartado 6, que establece que, cuando se celebren contratos entre los abonados y
las empresas que proporcionan servicios o redes de comunicaciones electrónicas, se informe
claramente a los abonados, antes de la celebración del contrato y posteriormente, de su
obligación de respetar los derechos de autor y derechos afines en relación con las redes
electrónicas.

La primera viene a decir “te vamos a spamear como pensemos que te estás descargando algo ilícito” y la segunda, que “hay que colocar medidas de vigilancia para preservar la obra de los desvalidos y desamparados autores.”

La batalla todavía no está perdida, aunque la cosa no pinta nada bien. Por lo que cuenta la gente de InformáticaVerde, los pobrecitos europarlamentarios solicitaron que todos los correos solicitándoles que escucharan al pueblo al que dicen representar acabaran en los buzones de correo no deseado o SPAM para abreviar, votaron casi todos a una por la aprobación de las enmiendas y luego, seguramente, aquellos que cohabitan Pirineos abajo se fueron a tomar cañas.

En septiembre se debe aprobar en el Parlamento la reforma de estas normativas y la inclusión de estas enmiendas. Aún puede que suene la flauta y lo mismo tiren algo para atrás, aunque yo lo dudo mucho.

Como he leído por ahí, el Gran Hermano de Orwell se va a quedar en cuento infantil.

A mamarla.

En resumen y utilizando esquivas técnicas de enmiendas en distintos comités de los órganos europeos, pretenden aprobar una serie de medidas que básicamente permitirían obligar al uso de software spyware en nuestros ordenadores conectados a la red para verificar que no se transfiere contenido ilegal, lo que en la práctica se llama capar todo tráfico p2p. O lo que es lo mismo, pérdida absoluta de la privacidad y monitorización completa de tu ordenador y tus comunicaciones.

Con dos cojones, ¿la Constitución Española no decía algo acerca de la privacidad y secreto de las comunicaciones? Risas. ¿Y qué pasa si para tu plataforma o sistema operativo no existe espía compilado? ¿Te quedas sin conexión? Traduciendo, me da que un GNU/Linux no se va a poder conectar. ¿Y qué ocurre si involuntariamente meten más puertas traseras en el software de las que pretendían? O lo que es lo mismo, conociendo cómo se desarrolla el software, ¿qué pasa si expone literalmente tu equipo a cualquiera que se pase por la red? Y si no tuviera fallos no deseados, ¿quién me dice que no se pone a hacer man in the middles con conexiones cifradas con mi banco o me saca mis certificados digitales? Yo sólo sé una cosa, para capturar tráfico de las interfaces de red hacen falta permisos de administrador. Y eso te da acceso a todo el sistema.

Y siguiendo con el p2p y la técnica francesa de capar conexiones o velocidades en función del tráfico, o lo que es lo mismo, cargarse el principio de la neutralidad de la red. Esta es la enmienda H1. Y si en vez de gestionar “calidades de servicio” lo que se hace es directamente cortar por lo sano la conexión a Internet del usuario a lo Sarkozy, entonces tenemos la tercera enmienda, la H3.

Además pretenden permitir que los todopoderosos lobbies de las opacas y mafiosas sociedades de gestión de los inalienables derechos de autor puedan determinar qué es contenido ilícito y qué no lo es. Esta cosa tan elegantemente dicha se traduce en algo parecido a lo que nos quisieron colar en la reforma de nuestra LSI aprobada en la legislatura anterior que es básicamente que si a la innombrable le apetece, puede obligar a cortar el acceso a un determinado sitio web que use según ellos contenidos que para ellos sean ilícitos. ¿Mola eh? Más de uno que deambula por Fernando VI está mojando ropa interior. Esta es la segunda enmienda, la H2.

Siguiendo el correo modelo de la gente de Informática Verde, ahí va mi pequeño spam para nuestros queridos representantes:

Estimado eurodiputado,

Por la presente, le solicito que se posicione en contra de las enmiendas H1, H2 y H3, propuestas por el eurodiputado Malcom Harbour, que se presentan a votación el lunes 7 a las 7 de la tarde en el Comité IMCO, en el tercer punto del orden del día (COM(2007)0698).

Estas enmiendas son un ataque a la libertad de los usuarios en la red, y supondrían grandes dificultades en el uso de software libre y de aplicaciones P2P.

Me permito llamarle la atención sobre el comunicado de la Asociación de Internautas al respecto: http://www.internautas.org/html/5039.html

Agradeciendo su colaboración, reciba un cordial saludo.

Y en inglés para el resto de los representantes del IMCO,

Dear Parliamentary member,

With this letter I suggest you to vote against the document COM(2007)0698, proposed by MEP Malcom Harbour next July 7th at IMCO Comission.

These amendings are in a practical way an attack to the freedom of users in the Internet, and would be a very big handicap for using free software in Europe.

Please let me suggest you the press release about this topic from the Foundation for a Free Information Infrastructure:

http://press.ffii.org/Press_releases/European_Parliament_rushes_towards_Soviet_Internet

And this press release from the Spanish Internet Users Association:

http://www.internautas.org/html/5039.html

Thank you very much for your attention and best regards

Lo mejor es que el IMCO se supone que es el comité de Mercado Interno y Protección del Consumidor. Protección del Consumidor. ¡Actúa ya! ¡Cojones ya!

Como diría el detective rockanrolero,

Ford Fairlane: So many assholes… So few bullets…

Más en

• Las enmiendas torpedo. Sobre el rapto del paquete telecom en el EP.
• ¡Hay que parar a los europarlamentarios antes del lunes!
• Informe de la La Quadrature du Net.
• Eurodiputados quieren torpedear la libertad en Internet
• Otro peligro que nos acecha desde el Parlamento Europeo

Se instala directamente con apt, aptitude, synaptic o con dpkg y descargando el paquete:

[code]sudo apt-get update && sudo apt-get install openssl-blacklist[/code]

Su uso es muy sencillo, bastará con ejecutar el comando openssl-vulnkey. Toma como parámetros de entrada los ficheros con las claves privadas en formato PEM.

[code]sudo openssl-vulnkey /etc/apache2/ssl/apache.test.pem
COMPROMISED: 9c4d589707a08ed65508032b41a999a810173592 /etc/apache2/ssl/apache.test.pem[/code]

Lo que no me queda muy claro es qué pasa cuando tiene una “validez desconocida”…

[code]sudo openssl-vulnkey /etc/apache2/ssl/apache-ssl-key.pem
Key has unknown validity: /etc/apache2/ssl/apache-ssl-key.pem[/code]

Este pequeño comando complementa estupendamente al ssh-vulnkey que verifica en el formato con el que almacena las claves openSSH si alguna de las claves del servidor o los clietnes SSH está comprometida.

Para instalar el paquete en Debian, por ahora se puede descargar directamente desde http://xillion.org/openssl-blacklist/ el paquete y sus firmas digitales para verficarlo.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

[code]
Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
[/code]

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Estos dos programas buscan registros de fallos reiterativos de acceso y en caso de detectar demasiados errores de accesos desde una misma IP, automáticamente la bloquean.

Para sistemas con apt y sus poderes de supervaca, coro es el caso de mi Ubuntu 8.04, bastará con conjurarla con un:

[code]
sudo apt-get install denyhosts fail2ban
[/code]

Los instaladores traen una configuración por defecto que funciona sin problema con el servicio open-SSH que trae Ubuntu.

Fail2ban

En el caso de fail2ban se pueden añadir patrones de búsqueda personalizados para cada registro de actividad gracias a su configuración basada en los ficheros de filtros que se encuentran en /etc/fail2ban/filter.d/. Las acciones de bloqueo temporal de los atacantes se basan en insertar reglas en las iptables, el cortafuegos nativo de los sistemas linux.

Para verificar el correcto funcionamiento de las reglas se puede ejecutar el comando fail2ban-regex:

[code]fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf[/code]

Su ejecución devolverá algo parecido a lo siguiente:

[code]Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

Results
=======

Failregex
|- Regular expressions:
| [1] (?:error: PAM: )?Authentication failure for .* from \s*$
| [2] Failed [-/\w]+ for .* from (?: port \d*)?(?: ssh\d*)?\s*$
| [3] ROOT LOGIN REFUSED.* FROM \s*$
| [4] [iI](?:llegal|nvalid) user .* from \s*$
| [5] User .+ from not allowed because not listed in AllowUsers\s*$
| [6] User .+ from not allowed because none of user's groups are listed in AllowGroups\s*$
|
`- Number of matches:
[1] 0 match(es)
[2] 1338 match(es)
[3] 0 match(es)
[4] 932 match(es)
[5] 0 match(es)
[6] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
[2]
60.28.167.66 (Mon Apr 21 16:04:29 2008)
200.41.1.220 (Mon Apr 21 20:24:09 2008)
200.41.1.220 (Mon Apr 21 20:24:17 2008)
[...]
217.126.56.236 (Wed Apr 23 02:21:24 2008)
217.126.56.236 (Wed Apr 23 02:21:27 2008)
217.126.56.236 (Wed Apr 23 02:21:31 2008)
217.126.56.236 (Wed Apr 23 02:21:34 2008)
[5]
[6]

Date template hits:
2270 hit(s): Month Day Hour:Minute:Second
0 hit(s): Weekday Month Day Hour:Minute:Second Year
0 hit(s): Weekday Month Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]
0 hit(s): TAI64N
0 hit(s): Epoch

Success, the total number of match is 2270
[/code]

Cuando se está ejecutando en segundo plano podemos ver el registro de actividad que va dejando en /var/log/fail2ban.log. Por defecto las reglas de rechazo de una determinada duran diez minutos, tiempo más que suficiente para que los molestos zombies desistan.

Más información en su sitio web oficial.

DenyHosts

DenyHosts es un HIPS exclusivo para SSH y se basa por un lado en el análisis de los registros de acceso del servidor SSH y por otro de listas de IPs conocidas que se descargan y sincronizan desde el servidor principal de DenyHosts. Cuenta con más de 27000 sincronizaciones y es un bastante eficiente para protegerse de máquinas que ya se conocen como atacantes, frente a fail2ban, que realiza únicamente análisis de los registros.

El funcionamiento de DenyHosts se basa en ir añadiendo o eliminando direcciones IP al fichero /etc/hosts.deny que luego el servicio de SSH tiene en cuenta a la hora de rechazar intentos de conexión.

La configuración por defecto del paquete de las distribuciones de Debian/Ubuntu dejan en el fichero /etc/denyhosts.conf la configuración de este demonio. Si queremos que se sincronice con el servidor de DenyHosts de forma periódica, es necesario descomentar una línea del fichero de configuración por defecto, SYNC_SERVER=… y si además queremos que cada vez que actúe se registre en los registros del sistema, deberemos poner SYSLOG_REPORT a Yes.

[code]SYSLOG_REPORT=YES
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911[/code]

Si observamos los registros de actividad del sistema, veremos cosas como esta:

[code]theefrit@teroknor:~$ cat /var/log/syslog | grep deny
May 1 14:21:56 teroknor denyhosts: Added the following hosts to /etc/hosts.deny - 203.212.65.20 (unknown)[/code]

En el fichero de registro de actividad específico de DenyHosts, /var/log/denyhosts, podemos ver con detalle toda su actividad de sincronización remota.

Más información en la página del programa.

Fotografía de CastaWaysTravels

Si a eso le añadimos el cachondeo que la semana pasada se montó con una página que te ofrecía -ahora ha sido eliminado, tras una visitilla del FBI- un servicio para generar tarjetas de embarque falsas para pasar el primer control de los aeropuertos americanos, pues uno se llega a preguntar si todo esto llega a ser efectivo, o es para meter miedo en el cuerpo, o simplemente una conspiración de las tiendas de los aeropuertos para que, como ahora habrá que llegar con un día de antelación para que verifiquen al más puro estilo CSI con la lamparita de luz negra si eso que llevas es champú al té verde o marranadas del Quimicefa, se sacan sus leuros a base de vender sudokus y sándwiches.

¿Se podrá subir ácido bórico? Lo digo porque yo no salgo de viaje sin mi Fungusol.