martes, septiembre 30, 2008

En defensa del software libre

Tomado de la lista de la "Red de Software Libre" RSLCAN


En defensa del software libre y otros derecho ciudadanos

La Red de Software Libre y Código Abierto de Nicaragua (RSLCAN) y los Grupos de Usuarios Linux en Nicaragua (GUL-NIC), ambas organizaciones miembros de la comunidad de software libre y código abierto que aglutina a centenares de hombres y mujeres interesados en la defensa de los derechos ciudadanos en entornos mediados por tecnologías de información y comunicación y en la difusión del uso del software libre, hacemos uso de nuestro derecho a la réplica en relación con el artículo titulado "CSE vulnerable", que fue publicado en El Nuevo Diario el día lunes 29 de septiembre del corriente, y firmado por Angélica Martínez.

En primer lugar, reconocemos y compartimos la preocupación de El Nuevo Diario por mejorar la eficiencia y seguridad de las instituciones públicas, específicamente en lo referente a la información pública que administran estas entidades, en tanto su uso inapropiado puede redundar en perjuicio para las y los ciudadanos.

En ese sentido, también reconocemos como válido el interés del medio escrito aludido en destacar las potenciales vulnerabilidades del sitio de internet del Consejo Supremo Electoral, ya que, de ser confirmadas, estas podrían representan un peligro para la seguridad y privacidad de las personas cuyos datos son resguardados por el poder electoral.

Sin embargo, consideramos que el artículo en cuestión carece de la profundidad investigativa adecuada para el abordaje de estos temas tan complejos y delicados, pues otorga un elevado valor de verdad a opiniones de personas desconocidas aun en el submundo de los denominados "hackers". Examinemos algunas de ellas.

El entrevistado identificado como "Anónimo" asevera: "Yo recomendaría además que [el servidor CSE] no esté en software libre (Linux), digan lo que digan, que Windows es más inseguro, no es así."

Primeramente, la creencia de que el software libre es únicamente el sistema operativo Linux responde a una visión obtusa y limitada sobre las nuevas tecnologías de información y comunicación. Hoy en día existen centenares de aplicaciones de software libre que funcionan en diferentes plataformas como Java, FreeBSD y aún en el mismo Windows, que no es un sistema operativo libre.

Por otra parte, afirmar que Windows propietario es más seguro que Linux libre es poco serio y bastante irresponsable. Se han realizado muchas pruebas para comparar la seguridad de los diferentes sistemas operativos existentes, en las cuales las distribuciones de Linux han superado con creces a las de Windows.

Más adelante, el mismo entrevistado "Anónimo" afirma: "Un hacker que conoce el software, cómo opera y cómo está codificado (características que lo hacen libre), tiene más oportunidad de que su ataque tenga éxito. / Yo he visto cómo aquí, en Nicaragua, los hackers se meten a varios lados, y la mayoría de los ataques están donde existe un servidor de software libre."

El hecho de que alguien viva en una casa con paredes y techo de cristal transparente no es garantía de que un ladrón pueda allanarla y robar lo que hay dentro. La posibilidad de acceder al código fuente de una aplicación de software no significa de ninguna manera que se ofrezca públicamente la llave a los posibles intrusos. La lógica del código abierto más bien facilita la auditoría del software ante posibles fallos o deficiencias y su consecuente modificación para mejorarlo de manera ágil y sencilla.

A lo interno de nuestras organizaciones (RSLCAN, GUL-NIC) hemos discutido sobre las implicaciones técnicas y, sobre todo, éticas, de los diferentes ataques realizados a sitios web de Nicaragua y confirmamos orgullosamente que la mayoría de estos sitios cuentan con servidores basados en software libre, situación que es generalizada en toda la internet (según una encuesta realizada por Netcraft en este mes de septiembre, el 50.43% de los servidores del mundo utiliza Apache, que es un software libre. Pueden obtenerse más detalles a través del siguiente vínculo http://news.netcraft.com/archives/web_server_survey.html).

Sin embargo, "Anónimo" reconoce de manera complementaria que "ahora, la seguridad de la base de datos del CSE debería estar bien definida para sólo consulta y no dejarla abierta, porque el hacker puede meter algo malicioso. / Como administrador, no dejés abierto para que el usuario escriba en un campo con los comodines existentes (caracteres usados en programación)."

Con esa afirmación, el entrevistado reconoce que los problemas de seguridad de la base de datos del CSE derivan de la aplicación utilizada para operativizar los datos y ponerlos a disposición del público a través del servidor libre. Además, reconoce que las fallas de seguridad tienen su origen en el factor humano (administrador de sistemas) cuando este hace configuraciones inapropiadas y deja abierta la puerta, facilitándole el trabajo a cualquier "hacker malicioso".

Existen otras afirmaciones que son técnica y políticamente refutables, pero por razones de tiempo y espacio no abordamos en la presente comunicación.

La RSLCAN y los GUL-NIC trabajamos y seguiremos trabajando voluntariamente todos los días aportando nuestro grano de arena al desarrollo tecnológico de este país, porque estamos convencidos que Nicaragua tiene el potencial espiritual y humano suficiente para construirse un futuro justo y libre para todas las personas que habitamos en ella.

Tenemos muy claro, sin embargo, que nos hace falta mucho para alcanzar las metas que nos hemos propuesto y por ello mantenemos abierta nuestra invitación permanente a las personas e instituciones interesadas en las tecnologías de información y comunicación para colaborar y trabajar juntos, en función de intereses comunes y compartidos.

De manera particular, ponemos a disposición de El Nuevo Diario y resto de medios de comunicación nuestras experiencias y conocimientos alrededor de los temas de tecnologías información y comunicación, en aras de enriquecer el debate ciudadano abierto y transparente.

Red de software Libre y Código Abierto de Nicaragua (RSLCAN) - Grupos de Usuarios Linux de Nicaragua (GUL-NIC)


Septiembre 30, 2008

miércoles, septiembre 24, 2008

Feliz Cumpleaños Fedora


Hoy 24 de Septiembre se cumplen 5 años desde que se liberó la primera versión de fedora, Cinco años de innovación y libertad.

Felicidades Fedora !!!

Nota: Imagen tomada del Blog de JGabriel

jueves, septiembre 18, 2008

Repositorios Linux en Servidores Google

Google acaba de lanzar un servicio de repositorios linux. Los respositorios estan para varias distribuciones, puedes buscar la distro de tu preferencia en el sitio oficial

A continuacion detallamos la configuración del repos para fedora:

En primer lugar, para utilizar los rpm tenemos que instalar la clave, tal y como se describe en la guía de configuración de RPM.

Como root, añada lo siguiente a un fichero llamado google.repo en / etc / yum.repos.d /:

[google]
name=Google - i386
baseurl=http://dl.google.com/linux/rpm/stable/i386
enabled=1
gpgcheck=1
Si tu archivo contiene gpgcheck = 1, la firma se verificará automáticamente durante la instalación.

Si estás ejecutando una distribución de 64 bits, también deberías añadir el repositorio x86_64:

[google64]
name=Google - x86_64
baseurl=http://dl.google.com/linux/rpm/stable/x86_64
enabled=1
gpgcheck=1



A continuación, puede utilizar yum como de costumbre:

yum install picasa

viernes, agosto 22, 2008

La seguridad de los Servidores de Fedora se vio comprometida

Si estas suscrito a la lista de fedora-ni, estarás al tanto que desde una semana atrás, las actualizaciones de fedora no ha estado funcionando bien, el día de hoy fue anunciada la causa, esto de debe a que los servidores fueron comprometidos.

Fuente de la Noticia en Ingles

Fuente en Español

La semana pasada descubrimos que algunos intrusos ingresaron a algunos servidores de Fedora de manera ilegal. Descubrimos rápidamente esto, y por eso es que dimos de baja esos servidores.

Los especialistas y administradores han estado trabajando desde entonces para analizar el ingreso, y qué tanto fue comprometido, además de reinstalar los sistemas de Fedora. Estamos utilizando este tiempo para actualizar los servidores tanto funcionalmente como para su seguridad. Seguimos trabajando, asi que sean pacientes. Cualquiera que tenga información pertinente relacionada a esto, por favor contactese con fedora-legal@redhat.com.

Uno de los servidores comprometidos era el sistema que utilizamos para firmar los paquetes de Fedora. Sin embargo, basado en nuestros esfuerzos, estamos seguros que el intruso no logró obtener la FraseSecreta que se utiliza para desatrancar la llave de Firma de Paquetes de Fedora. Basado en nuestros estudios hasta la fecha, la FraseSecreta no se utilizó durante el tiempo que se irrumpió al sistema ya que la Frase no se almacena en ningún servidor de Fedora.

Aún que no tenemos evidencia definitiva de que la llave ha sido comprometida, debido a que los paquetes están distribuidos por múltiples espejos y repositorios de terceros, hemos decidido cambiar a una nueva llave. Esto puede requerir cambios en ésos repositorios, pero comunicaremos los pasos que ayuden a los usuarios cuando estén disponibles.

Entre nuestros otros analisis, hemos revisado la colección de paquetes de Fedora, además del código fuente y no hemos encontrado discrepancias que indíquen pérdida de integridad de los mismos. Nuestros esfuerzos no han descubierto vulnerabilidades adicionales en los paquetes brindados por Fedora.

Nuestras advertencias previas de no actualizar desde los repositorios estaban basadas en prevenir, y por respeto a los usuarios (Ya que aún no sabían el daño exacto - Nushio). Es por esto que hemos decidido cambiar la llave de Firma de Paquetes. Hemos comenzado a planear e implementar otras medidas de seguridad para el futuro. En este momento, estamos seguros que hay muy poco riesgo para aquellos usuarios que quieran instalar o actualizar Fedora o sus paquetes.

Además de esto, Red Hat, Inc. ha detectado un intruso en algunos de sus sistemas, y se ha comunicado con los usuarios de Red Hat Enterprise Linux aqui
http://rhn.redhat.com/errata/RHSA-2008-0855.html. Éste aviso dice en parte “La semana pasada Red Hat ha detectado un intruso en ciertos de nuestros sistemas y tomamos acción inmediata. Mientras nuestras investigacions siguen, nuestro enfoque inicial era ver y probar el canal de distribución que utilizamos con nuestros clientes, el Red Hat Network (RHN) y todas sus medidas de seguridad. Basado en estos esfuerzos, estamos seguros que nuestros sistemas y procesos han prevenido que el acceso ilegal haya comprometido el RHN o el contenido distribuido vía RHN y creemos además que cualquiera de nuestros clientes que mantenga sus sistemas actualizados utilizando RHN no estan en riesgo. Enviamos esta alerta principalmente para aquellos que obtienen sus paquetes mediante otros canales distintos al RHN. ”

Es importante señalar que la manera en que accedieron a Fedora y Red Hat *no* fué la misma. En efecto, la llave de firmado de paquetes Fedora no esta conectada a, y es distinta a, la que se utiliza para firmar paquetes de Red Hat Enterprise Linux. Además, la llave es distinta a, y no esta conectada a, la que se utiliza para firmar los Extra Packages for Enterprise Linux (EPEL).

Continuaremos en mantener la comundiad de Fedora informada de cualquier novedad.

miércoles, agosto 20, 2008

Un Embajador más para Nicaragua

A partir de hoy Neville Cross es un embajador más para Fedora en Nicaragua.

Conozco a Neville personalmente, él forma parte de la comunidad de Fedora-ni, es una persona capaz, responsable y apasionada por el software libre.

Felicidades Neville !!!

https://fedoraproject.org/wiki/User:Yn1v

domingo, junio 29, 2008

Embajador de fedora para Nicaragua

Tengo el agrado de informarle a la comunidad fedorera de Nicaragua que el día de ayer sábado fui aprobado como el nuevo embajador de fedora para nuestro país.

Quiero dar las gracias a las personas que me ayudaron para lograr esto: Nushio y Fitoria.

https://fedoraproject.org/wiki/User:Rmarquez

martes, mayo 13, 2008

Fedora 9 liberado


Finalmente el día de hoy y luego de 6 meses de haber salido Werewolf, fue liberado Fedora 9 (Sulphur).

Entre las mejoras que nos trae se encuentran:

  • Mejoras de bluetooth

Mejor manejo de headsets y auriculares stereo, Transferencia simple de archivos, Compatibilidad con mouses, teclados, controles remoto y otro hardware bluetooth

  • Soporte de banda ancha móvil

NetworkManager ahora soporta conexiones vía banda ancha móvil 3G

  • X, más lindo que nunca

Mas allá del arranque mas rápido, del login a entorno de escritorio, sin que lo notes

  • KDE4

La nueva versión del entorno de escritorio KDE, incluida en la distribución y con su propio live cd

  • GNOME 2.22

La última versión del entorno de escritorio GNOME, incluida en la distribución y con su propio live cd

  • Xfce 4.4.2

Como no podía faltar el entorno de escritorio Xfce, También disponible en este lanzamiento

  • Particiones encriptadas

Nuestra home encriptada, desde el instalador, muy útil para las laptops

  • ext4

La nueva versión del filesystem

  • Clock applet

El nuevo applet del reloj, con soporte de timezones y clima

  • Firefox 3 Beta 5

La última beta del navegador más utilizado en GNU/Linux

  • redimensionamiento de particiones

Una nueva opción de anaconda para poder redimencionar las particiones de nuestro disco y dar lugar para la instalación de fedora

  • PackageKit

La nueva y sencilla aplicación de gestión de paquetes y actualizaciones que reemplaza a Pirut

  • Live USB

La opción de crear un Live USB de fedora con persistencia, es decir, que conservan los cambios de datos aún después de reiniciar


Descargar Fedora 9