Así que he recuperado la ‘checklist’ que llevo aplicando desde hace años y se la he puesto por escrito, para que no se les olvide nada en el futuro. La pongo aquí para disfrute del personal.

¿ Vosotros echáis algo en falta en el equipo de todo buen BOFH listo para dar batalla ? ¿ Qué soléis llevar encima para desfacer entuertos ?

Here it is:

• portátil (sí, a veces se han ido desnudos al combate)

• destornillador (1 estrella / 1 plano)

▼ movil (para tirar de 3g y poder pedir apoyo a los marines)

• cargador USB del mismo

• Cable de red (al menos 3 mts)

▼ cds de recuperación

• 1 debian

• 1 ubuntu desktop

• 1 knoppix

• 1 bootcd con software de análisis de disco/memoria/similar (tipo memtest86)

• cd vírgenes y dvd vírgenes

• pendrive

• boli

Básicamente, la historia consta de dos partes:

• Desaparece la titulación en informática. La cosa empieza por la ingeniería, pero no se si podría extenderse a FP y ciclos formativos. En cualquier caso, queda eminentemente ‘tocada’

• Se le da a la rama de telecomunicaciones absolutamente todas las atribuciones que genuinamente (y por sentido común) serían sentido para un ingeniero informático, como, por poner:

Servidores, redes, sistemas distribuidos, sistemas operativos, interfaces persona/computador, usabilidad, seguridad, bases de datos, sistemas de información, programación (fundamentos, métodos, lenguajes, en tiempo real, concurrente, distribuida y basada en eventos), software (tecnología, metodología, ingeniería), gestión del conocimiento, etc.

Aún se baraja la posibilidad de asignarles el establecimiento de Matrix, el gobierno de la futura nación IA y todo lo que salga en el cine actual y tenga una pantalla por medio. Ya que estamos…

La explicación del grupo socialista para el asunto es francamente surrealista. Soy progresista (y socialista, nunca lo he escondido), pero esto es una de esas cosas, como el canon, que me hacen preguntarme ‘¿ Ein ?’ . Por otro lado, huelga decir que la proposición no de ley del Partido Popular no es más que defender una causa que contaban que sería rechazada y quedar de ‘guays’, en lugar de buscar un cambio real. Como pasó con el canon, en ambos partidos, en las últimas etapas legislativas. Cuando gobernaban ellos esto ya flotaba en el ambiente (se hablaba de Bolonia y los colegios profesionales ya en el año 2000).

Lo que me hace gracia es que, por motivos personales, familiares, y de otras historias, aún no tengo terminada la carrera, así que me beneficiaré de no haber hecho ningún caso de la cultura imperante y de lo que tradicionalmente se ha defendido desde la administración: como no me enfoqué en tener mi titulación, ahora puedo cambiarme a la carrera que, al final, es la que cuenta en esto.

O quién sabe, igual a los informáticos los convierten en telecos por la cara. Igual el colegio de ing. en telecomunicaciones lo permite tal cual. ¿ Apostamos ?

Hay convocada una huelga para el próximo 19 de Noviembre. Yo soy empresario, ergo hablar de huelgas para mí está de más, pero si estuviese por cuenta ajena iría a la huelga, sin duda.

Y no os olvidéis: esto no va de colegios mafiosos, de querer corralitos o de chorradas por el estilo. Esto, como muchas otras cosas, se trata de pasta, parné, dinero.

Actualización: ni los webcomics tienen ganas de marcha.

Okwe: Because we are the people you do not see. We are the ones who drive your cabs. We clean your rooms. And suck your cocks.

Doctor: ¿ Cómo es que nunca os hemos visto antes ?

Okwe: Porque nosotros somos las personas que ustedes no ven. Somos los que conducimos sus taxis. Somos los que limpiamos sus habitaciones. Y chup**** sus p*llas.

Negocios ocultos

Modifíquese adecuadamente (quitando también las referencias sexuales, claro) y podrá aplicarse al trabajo de un sysadmin estándar.

Hay Trabajos nobles y trabajos necesarios. Los hay famosos, y los hay infames. Todos ellos tienen en común que siempre están mal pagados.

Luego también los hay como el de árbitro, abogado o incluso verdugo en sus tiempos, en los que nadie cae salvo cuando no se hacen perfectamente.

Y luego está el de administrador de sistemas (informáticos).

Puede sonar presuntuoso considerar de forma especial ese puesto, pero es que tiene cualidades diferenciadas con respecto a muchos otros. Para empezar, es de existencia relativamente reciente: para el público general, la informática no tiene mas de 20 años, con el desconocimiento que eso implica. Y es lo suficientemente ‘exótico’ como para que pocos se interesen por lo que supone desempeñar esa labor.

El administrador de sistemas tiene que tener ciertas cualidades para poder desempeñar bien su trabajo. Debe ser un poco friki (en realidad, suele ser muy friki) porque sus habilidades requieren un punto de obsesión sobre los detalles. Ha de tener, por supuesto, capacidades para el pensamiento lógico y analítico. Debe reaccionar ante los imprevistos y las situaciones desconocidas sin nervios innecesarios. Y ante todo debe tener un grado alto de aguante. O de masoquismo.

Al administrador de sistemas, lo mejor que le puede pasar es que le critiquen a sus espaldas, sobre ‘lo poco que trabaja, vagueando todo el día delante de la pantalla’. Si le difaman así, eso es buena señal: todo va bien, y su trabajo está cubierto. De nada importan las 12 horas que puede haber tenido que pegarse para que todo esté así: si todo va bien, es que no trabaja; y si algo va mal, es que no ha hecho bien su trabajo.

El administrador de sistemas tiene que poder soportar que le pidan imposibles, como que un ordenador funcione con cualquier tipo de wifi, en cualquier lugar del planeta; cualquier explicación sobre las variables que pueden intervenir no vale de nada, porque ‘a mi primo le va su tátil en todos los sitios’. Argumentar sobre la dificultad del argumento ‘todos los sitios’ le hará parecer pedante, y buscapeleas. Lo que tiene que hacer es callarse y agachar la cabeza, que para eso está.

La opinión del administrador de sistemas siempre es superflua, siempre es redundante, siempre es excesiva…. en la prevención. A la hora de prevenir, todo el mundo considera que los riesgos son pequeños o asumibles. Luego, cuando la situación revienta, y hay crisis, llegamos a la fase ‘de los pitufos’.

Como los pitufos cuando gargamel atacaba la aldea, cuando hay crisis, todo el mundo corre en busca del sysadmin. Los planes de contención y los protocolos son innecesarios, y toda discusión pasada sobre ‘tal o cual forma no es la más adecuada de hacer las cosas’ ha pasado la frontera de la no-existencia. Siendo un mini-11s, la situación es similar a aquel. Cuando hay catástrofe, se busca desesperadamente la seguridad. Cuando todo revienta, el sysadmin tiene que tener la situación controlada. Y ¡ay de él!, si no la tiene. Nada importa si los servidores de otros ‘mueren’ cada pocos meses, y los de él cada muchos años; cuando pasa, es que no ha hecho bien su trabajo. Y si nunca pasa, es que no tiene nada que hacer, y vaguea todo el día, cuando podría estar haciéndome esta cosilla que tengo pendiente.

El sysadmin tiene que dedicar cada hora de su tiempo libre a aprender, a investigar, a estudiar; tiene que estar a la última en todo lo último, ya sea para implantarlo, o para saber por qué NO implantarlo. Mientras que los programadores, diseñadores, comerciales, etc. suelen terminar su trabajo con su jornada oficial, la jornada del sysadmin es inexistente, por cuanto es 24 horas al día, 7 días a la semana. Si el servidor falla un domingo 1 de enero a las 4 AM, al que se llama es al sysadmin. Porque no ha hecho bien su trabajo, y encima se permite estar de fiesta.

El sysadmin tiene que preocuparse por los riesgos comerciales y legales de la empresa para la que trabaja, incluso por encima del dueño de la misma, que suele no conocer (ni quererlo) los riesgos de tener un emule en la oficina descargando de todo a todo trapo. El sysadmin tiene que hacerlo, porque es su trabajo, o aún si no lo es, le preocupa y le importa. El sysadmin medio suele ser así de pesado y metomentodo.

Cuando el sysadmin soluciona en 5 minutos un problema que ha tenido empantanado a alguien durante mas de una hora, ese alguien, en el mejor de los casos, pensará: con lo fácil que era arreglarlo, y mira lo que ha tardado en venir. Seguro que estaba con videojuegos. Que el sysadmin haya estado una hora descartando posibles culpables del problema, incluyendo las patadas que dan los users a los servidores, no importa. El sysadmin tiene que saber, aún a costa de los users.

El sysadmin podría muy bien ser una versión moderna del verdugo del pueblo, el cual tenía su propia taza en la taberna porque nadie quería beber donde él bebía. El sysadmin suele tener poca vida social, porque no suelen dejarle tenerla. Y cuando ya puede, pues no tiene costumbre.

Y todo eso por no hablar de los que han instalado un par de veces un Windows XP, y ya se saben expertos en sistemas. Que a veces, incluso te dicen que Windows Vista funciona perfectamente fluido con 512 MB de RAM. El sysadmin no puede discutir posibles: si es inteligente, lo que hará es aceptar la hipótesis y programar la demostración. Entonces, casualmente, todo se desvanece en las sombras.

Si el pc no puede dar música, el sysadmin tiene que arreglarlo. SI la aceleración 3d chula no chuta, el sysadmin tiene que arreglarlo. Si no se puede usar la ultima aplicación ultra-mega-hiper-guay 3d de mapas pijocuanticos, el sysadmin tiene que arreglarlo. Por supuesto, nada de esto es urgente, nada recibe presión. Solamente se sugiere. Y si no está en 10 minutos, vendrán los cuchicheos y las críticas, porque claro, el sysadmin se toca las narices todo el día. Y eso son casos tontos, que al sysadmin hasta gusta de arreglar, por aquello de que su trabajo es su hobby. Y suelen agradecérselo. Lo genial empieza cuando es el culpable de que los pobres trabajadores no puedan rendir al 500%. Pobrecitos users.

A todo esto, al sysadmin nunca se le dirige una palabra de agradecimiento. Nunca se le ocurre a nadie decir ‘mira, dicen que este nuevo virus está haciendo estragos, y aquí nada, bien hecho’. O ‘Que bien que te hayas partido los cuernos durante tres días con sus noches para encontrar la solución a este problema tan extraño, gracias por tu esfuerzo’.

Sin embargo, aquel al que el domingo le pita el móvil con una alerta, es al sysadmin. Aquél que tiene que coger un servidor un viernes, hacerle vudú el fin de semana, y entregarlo impoluto el lunes a las 7 de la mañana, es el sysadmin. El sysadmin es el que se asusta, cual galo axteriano, cada vez que hay tormenta eléctrica, no vaya a ser que Endesa caiga sobre su cabeza. Es aquél que tiene que saber, en todo momento, cualquier cuestión mínimamente relacionada con sus sistemas, redes y servicios, es el sysadmin. Si lo sabe bien y completo, es que su trabajo es muy fácil. Y si no lo sabe, bueno, ya saben ustedes qué toca.

La mayor suerte que puede tener un sysadmin, es tener un jefe/socio que haya sido sysadmin, porque al menos hablarán el mismo lenguaje y habrán pasado por las mismas penurias. Serán compañeros de trinchera. También es de agradecer, cuando trabaja con programadores-colegas y no con simples users, porque entienden, al menos en parte, que las cosas no salen bien a la primera solas, sobre todo si entra en marcha el factor X, el factor humano. Pero desgraciadamente, esto son contadas excepciones.

El pasado 25 (último viernes de Julio) fue el día internacional de los administradores de sistemas. Coged el teléfono, enviadles un email, invitadlos a una cocacola. Recordadles que todo su esfuerzo, toda su dedicación, vale de algo. Que los consideráis en algo.

Nota: no aporto nada que no se haya dicho ya en otros sitios, más completo y con mejores ejemplos. Pero espero que sirva a alguien para entender el alcance del problema.

–

Kriptópolis tiene muy buenos artículos explicándolo en lenguaje técnico-llano, pero intentaré hacer de Isaac Asimov para vosotros.

El cifrado estándar en la informática se basa, a muy grandes rasgos, en encontrar una estructura que sea extremadamente difícil de ‘adivinar’ por pura suerte o por prueba sistemática. A esto último se le denomina ‘ataque por fuerza bruta’.
Ejemplo: digamos que yo utilizo una clave numérica de dos dígitos como código de alarma de mi casa; eso hace que cualquier persona que pruebe 99 combinaciones (del 01 al 99, o 100, si consideramos el 00) tiene *por pura obligación* que hallar cuál es la clave que he utilizado. Si el código pasa a ser de tres dígitos, entonces las posibilidades van de 000 a 999, y así. En el fondo, nunca buscas ser totalmente indescifrable, sino lo suficientemente difícil para que no merezca la pena intentarlo.
basándonos en ello, volvamos al asunto concreto. Cuando generas llaves de cifrado RSA (clave pública+ clave privada) asociadas entre sí, generas dos conjuntos de información, uno público, que puedes (y quieres) compartir con la gente, y uno privado, que es el que te reservas para tí y el que te otorga la exclusividad del cifrado (privacidad) o firmado (autentificación) de la información. Tu clave pública se relaciona únicamente con tu clave privada, por lo que es teóricamente posible ‘adivinar’ tu clave privada, a partir de probar llaves privadas. La seguridad radica en la gran cantidad de llaves privadas posibles, tanto, que hace que (para los que manejamos ordenadores normales, NSA y similares al margen) se calcule en meses, años, o incluso más, lo que se tardaría en ‘adivinar’ una de esas llaves privadas. Aquí radica lo importante, en la gran cantidad de posibilidades.
Para generar un par de llaves privada/pública, necesitas que sean al azar. Y en la informática, eso del ‘azar’ está jodido de conseguir, puesto que todo se basa en situaciones conocidas: es por ello que se utiliza lo que se llaman ‘fuentes de información aleatoria’, que es recoger información de pulsaciones de teclado, de ratón, accesos a disco, información de red, etc.. Contactos con el mundo real que producen información de forma casual, y por tanto, no predefinida. Tomando valores matemáticos a partir de esa información, consigues crear tus llaves totalmente aleatorias, y por tanto, difíciles de adivinar.
En el caso concreto de debian, esa información aleatoria, se combinaba con el numero de proceso de programa (PID) del que estaba creando las llaves, al fín de meterle ‘un poquito más de aleatoriedad’, creo, de si era este motivo no estoy totalmente seguro.
La cosa es que por error (más bien, por un razonamiento tremendamente erróneo), se eliminó las líneas de código que utilizaban la información aleatoria, dejando únicamente el número de PID como fuente de información aleatoria para crear las llaves.
en Linux, los PID van de 0 hasta 32768, por lo que de las millones o miles de millones de posibilidades, o más, que se esperarían en tus llaves de cifrado, bajamos a únicamente 32768.
Ese número es tremendamente bajo, tanto que hasta hay ya listados ‘pre-creados’ de TODAS las posibles llaves. Es decir, treintadosmil y pico.
Ahora vayamos al asunto práctico:
- Un amigo nos envía un mensaje cifrado. Para ello, coge nuestra llave pública, que conoce, y pasa el mensaje por la misma. Eso hace que sólo con nuestra llave privada se pueda descifrar. En condiciones normales, hay que probar entre muchas, muchísimas combinaciones, para hallar ‘por suerte’ la llave privada que nos dé ese descifrado. Pero en este caso, las combinaciones se reducen a 32000. Muy pocas.
- Nosotros vamos a firmar una información. Para ello, usamos nuestra llave privada, que nadie más tiene, y generamos un código matemático que alerta de si el mensaje ha sido modificado, y ese código lo ‘pasamos’ por nuestra llave privada, para garantizar que somos nosotros, dueños de dicha llave, los que enviamos dicho mensaje. para poder alterar ese mensaje, o crear otro cualquiera haciéndose pasar por nosotros, quien sea necesita de nuestra llave privada. De nuevo, 32000 pruebas y ya la tenemos ‘adivinada’. Demasiadas pocas.
- Una web se identifica con un certificado seguro. Un certiicado web-ssl es básicamente una llave pública criptográfica, que a su vez está firmada por una entidad de terceros (verisign, comodogroup, thawte, etc), garantizando que ellos son ellos, que la conexión que se haga bajo su control será privada, y que nadie la va a interceptar o alterar. De nuevo, sobre 32000 posibilidades únicamente, es extremadamente fácil romper esa seguridad. Por no hablar de la posibilidad, algo mas remota en términos de Internet ‘normal’, de hacerte pasar por un servidor web legítimo, que es lo que los certificados seguros se supone que pueden evitar.
- La misma situación se da con TODO, ABSOLUTAMENTE TODO lo que haga uso de cifrado en TODAS LAS DISTRIBUCIONES basadas en debian y que hagan uso del soporte estándar de cifrado: eso incluye a apache, mysql, servidores de correo varios, ssh (peligrosísimo si los servidores tienen habilitado el loggueo automático por llaves rsa), etc. Curiosamente el pgp/gpg no se ve afectado, porque usan código propio para estos asuntos. Ellos ya tuvieron vulnerabilidades de este tipo (pgp 6, si no recuerdo mal) en el pasado.
Y todo esto no es lo más grave; ni siquiera el riesgo de que una autoridad de certificación hubiese usado debian o una distribución derivada para generar sus firmas autentificadoras de certifcados web.

No; lo más grave, con diferencia es, que por un lado, éste error ha convivido en Debian por mucho más de un año; y por otro, que el error fue motivado por una conversación del tipo:
- oye, que no se qué hace éste código, pero cuando lo pasamos por tal herramienta de programación produce avisos muy feos.
- Vale, pues quítalo, seguramente no valga para nada.

La base de Debian es: somos lentos, somos conservadores, somos sectarios, pero somos SÓLIDOS. Ésto ha tirado por los suelos lo que, por otro lado, era evidente que se trataba de un mito.

Espero haber sido lo suficientemente claro explicando todo esto. En kriptopolis.org tenéis varios artículos y enlaces para quien quiera profundizar en el asunto.
Más información:

Kriptopolis

Algunos amigos y clientes me expresaban su sorpresa ante mi posición; les extrañaba que no tuviese ‘olfato fenicio’.

Henos aquí el por qué: El disco duro que nunca existió

La verdad, para 10 € que le vas a sacar al disco (antes de impuestos)… que se lo compre en el Carrefour, francamente.

Technorati Tags: Fenicius, Comercio

Guía para empresarios. Capítulo 1.

Y luego, tras recuperarse un poco, el capítulo 2, claro:

Guía para empresarios. Capítulo 2: motivación.

Ayer en la Party&paella (al final carne, no paella), comprobé que había informáticos de estudio, profesión o afición que no conocían el BOFH-Zen. O que no se creían que pudiese ser verdad.

Yo he trabajado en una empresa como la descrita en el capítulo 1. Y aquellos que me conocen, incluso sabrán cuál. Y en efecto, produce depresiones y úlceras.

Algo de lectura didáctica:

Proyecto bicicleta
El Zen del éxito profesional en 20 actos

Technorati Tags: BOFH, BOFH-Zen

Ahora, alguien, me da igual si de la CMT, del Ministerio, o de la operadora, tendrá los santos cojones de decir que en UK el nivel de vida es mas bajo que aquí, y por tanto, los precios no se pueden comparar.

O que como allí (T) no es dominante, se puede permitir el precio bajo (!!!!)

O algo.

Hemos financiado, y seguimos financiando (ahora en latinoamerica aportan su granito) la expansión imperialista de Telefonica. Y personalmente, estoy ‘HC’ del asunto.

Telefónica: ADSL 8 “megas” por menos de 10 euros:

No, no busquéis el ofertón en España. Es la nueva campaña de su filial O2 en el Reino Unido [....]

Technorati Tags: Internet, Telecos, Telefonica

En términos domésticos (Adsl, Cable) cuando hablamos de calidad en el servicio, hablamos del mayor problema que tenemos en las telecomunicaciones domésticas en este país.

Casi cualquiera que trastee con conexiónes de banda ‘ancha’ conocerá de estas historias, cuando no las habrá sufrido: conexiones que a veces van a la velocidad que dicen ir, a veces a un par de megas menos, y a veces mejor apagar el ordenador e irse a dar una vuelta.

Cuando reclamas, el operador insiste en decirte con que ’su router negocia y conecta, así que la conexión va’, y que te conformes, que es hasta 20 megas, que no te enteras.

El problema radica en que no basta con que conecte el router o modem de marras, además de eso la comunicación tiene que mantener ciertos parámetros técnicos. Pero como la normativa no regula eso de forma clara, y a la CMT se la trae todo al fresco.

Yo he sufrido, directamente o por parte de mis clientes, todo tipo de problemas. Pings anormalmente lentos, suele ser o mas clásico. Hubo un caso en el que un cliente no podía tener comunicación entre sus dos tiendas porque los pings, no es que tuvieran tiempos altos, es que se perdían en un 40%. Casualmente esto solo sucedía de 5 a 10 de la noche. Vamos, cuando volvían los niños del cole y le daban a la mula. Y el operador, (Telefonica, por cierto) insistía en que sería problema del router, del cable por humedad, del pc. Que reinstalásemos el Windows. “Verá señorita, es que yo tengo un cortafuegos Linux delante de una red de 8 puestos que hace como medio año que no se tocan para nada, y que por la mañana todo va de perlas. No se si me explico”. Casi un año que duró la broma, hasta que (T) se dignó en ampliar el caudal de donde trincaba esa central de ADSL, supongo. Y las reclamaciones, evidentemente inútiles. La conexión no les falla, insistían desde el 1004, o el 902 nosequé, o el 900 nosecuanta.

Hemos conocido otros casos mas graciosos: cuando Ono decidió pasar a todos sus clientes, no se si de una zona concreta, a ips privadas, para velar por su seguridad. O cuando Telefonica instauró el proxy transparente, o cuando algún operador hace redirecciones extrañas de ciertos puertos TCP. Hace unos meses que van con la murga de que no pueden mantener los precios, que la gente hace mucho uso de la conexión que pagan. No, si te parece la van a tener apagada todo el día, no te j….

Y ojo, que no hablo del derecho de la gente a usar sus mulas y sus bittorrents para lo que les de la gana con la conexión que están pagando: hablo de oficinas y profesionales, con servicios basados en comunicaciones en red, y que requieren que sus sistemas funcionen adecuadamente.

Cuando Endesa suministra corriente, suministra 220V a sus hertzios correspondientes. Ni mas, ni menos. se puede ir la luz, cuyo caso hay responsabilidades: pero no se de ningún caso en el que suministre ‘hasta 220V’, te lleguen en realidad 190-200V y tengan la cara de decir que eso es normal, y que hay que tragar. Ni con Repsol, ni con la empresa de aguas del pueblo correspondiente. Usted me da el servicio, pues me lo da en las condiciones adecuadas. Y si no es así, entonces no me lo está dando. Hasta que no lleguemos a ese nivel en las telecomunicaciones, seguiremos a la cola de casi todos los rankings.

La Asociación de Internautas está recopilando información sobre el asunto, en términos generales y subjetivos. Por favor, vayan e inviertan unos minutos de su tiempo. Ya veremos los resultados y si sirven de algo.

Technorati Tags: ADSL, Telecomunicaciones

Pero la seguridad en software no tiene relación con que el código sea libre o propietario. Para nada.

FreeBSD, también vulnerable al bug en el generador pseudoaleatorio:
[...]

Sólo existe un consuelo para los usuarios de FreeBSD: mientras los usuarios de Windows XP esperan el correspondiente SP3 (y los de Windows 2000 probablemente ni siquiera puedan contar con alguna solución), en FreeBSD el problema ya dispone del correspondiente parche.
• FreeBSD-SA-07:09, random Security Advisory
• FreeBSD Insecure Random Number Generator Information Disclosure Weakness [Security Focus].

Technorati Tags: Seguridad, Software Libre