¿Qué Administraciones Públicas vulneran la neutralidad tecnológica?

Sede virtual del Registro Electrónico Común de la AGE.
Sede virtual del Registro Electrónico Común de la AGE.

La Asociación LiGNUx y el portal jurídico BuenJuicio estamos elaborando un censo de administraciones incumplidoras del art. 4 apartado i) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, que garantiza la neutralidad tecnológica de los mismos.

Desde la Asociación LiGNUx se llevará adelante, sin necesidad de identificación, la encuesta a los usuarios de servicios públicos virtuales en la Administración, donde los mismos podrán señalar los incumplimientos del principio de neutralidad referido, tales como las exigencias de uso de software privativo o limitador de un acceso universal a los servicios de sede virtual de los organismos denunciados. Continue reading ¿Qué Administraciones Públicas vulneran la neutralidad tecnológica?

¿Respetan las administraciones públicas la neutralidad tecnológica?

Molinux, distribución de la JCCM basada en Linux/Unix
Molinux, distribución de la JCCM basada en Linux/Unix

En España, la neutralidad tecnológica es ley, o al menos aparentemente. Esto significa que en aquellas relaciones que entable la Administración con los ciudadanos y sus comunicaciones electrónicas, no se impondrá ninguna opción en particular, priorizando la utilización de software de código abierto. Pero vamos a ver algunos ejemplos de que eso no es así.

Continue reading ¿Respetan las administraciones públicas la neutralidad tecnológica?

Las carteras en Bitcoin no están en riesgo, tu sistema operativo sí

¿Es vulnerable tu cartera en Bitcoins, como recientemente se aseguraba en Rooted Con 2015, o por el contrario de lo que estamos hablando es de la vulnerabilidad de tu sistema operativo del que apenas puedes mantener el control?

Artículo publicado originalmente en Sobrebitcoin.com.

Todas las wallets funcionan con criptografía de clave pública. Esto quiere decir que hacen falta dos elementos para verificar la firma y administrar o modificar datos de la cartera: una clave pública (la dirección de destino de bitcoins en el caso de un envío) y una parte privada que debe quedar en posesión del titular de esos BTC.

La mayoría de los análisis de ciberdelincuencia en materia de Bitcoin no están enfocados en romper el cifrado de sus wallets, sino que están basadas en las deficiencias en los sistemas de almacenamiento, ya sean estos ordenadores personales o servidores remotos. Obviar este dato es muy peligroso, pues en la práctica lo que se está evidenciando no es la vulnerabilidad de Bitcoin, sino la vulnerabilidad del almacenaje.

Según publica eldiario.es, los analistas participantes del Rooted Con 2015 Yaiza Rubio y Felix Brezo,  hicieron un repaso a las diferentes formas en las que pueden verse comprometidas nuestras carteras, pero lo que vamos a ver es que el resultado ofrecido por estos dos analistas sirve para cualquier otro archivo (documentos confidenciales, fotografías, etc.), luego ¿qué parte de la seguridad está fallando? ¿Bitcoin o el sistema operativo con el que trabajamos?

El almacenaje local

Una cartera almacenada en un ordenador personal que pueda ser afectado por cualquier malware es sin duda un riesgo que afecta a todos los equipos y servidores administrados por sistemas operativos de código cerrado (Windows o Mac, principalmente).

La solución propuesta por los analistas de inteligencia es el cifrado del archivo que contenga las claves privadas pero, ¿eso resuelve el problema?: no.  El problema de los malwares más comunes es precisamente la facilidad que tienen para ingresar a cualquier equipo sin el consentimiento de su administrador y afectar a su núcleo, algo cuya solución más efectiva y conocida hasta el momento es el trabajo mediante un entorno multiusuario  donde los usuarios reciben una serie de privilegios o permisos específicos y donde existe un control de acceso dedicado, algo que en la actualidad solo proveen los sistemas operativos Linux (Debian, Ubuntu, Fedora, etc.).

Las carteras mentales

Otra de las críticas de los analistas se centra en las carteras mentales como las de Bitaddress.org, el cual ofrece la posibilidad de proteger la clave privada con una palabra clave que el usuario pueda recordar.  Esto efectivamente es un problema cuando el usuario final utiliza una palabra sencilla o que está almacenada en los miles de diccionarios de claves frecuentes que circulan por la red. En principio esto tiene una solución sencilla: verificar la identidad del titular de la cuenta, obligar al usuario a utilizar caracteres especiales, limitar las opciones de acceso con clave fallida y una prueba de Completely Automated Public Turing test to tell Computers and Humans Apart , más conocido como CAPTCHA. Esta es la solución más efectiva para nosotros a la hora de evitar lo que es un ataque de fuerza bruta de toda la vida.

El almacenamiento “en frío”

Es sin duda una de las formas de seguridad más rudimentarias y, en lo que coincidimos con los analistas, es quizá de las más seguras, ya que impide cualquier contacto con la red de los archivos que puedan recoger datos sobre nuestra clave privada. Este almacenamiento puede ser desde una memoria externa u ordenador desconectado hasta una cartera impresa en papel, de la que podemos hacer tantas copias como sea necesario.

Conclusión

En síntesis, el riesgo del robo de bitcoins no es en un problema de rotura de cifrados o del propio protocolo, sino que el problema reside en su forma de almacenamiento y que en la práctica afecta a los bitcoins o a cualquier otro archivo susceptible de ser protegido. El malware contra los equipos de almacenamiento tiene su principal medida de seguridad en el sistema operativo que elijamos, y para nosotros, Linux es la opción principal para protegerlo.

El problema no es Bitcoin, sino tu sistema operativo.

Kleopatra: Cifrado gráfico de archivos con PGP

Os presentamos Kleopatra, un software nacido del proyecto Agypten, que trabaja activamente en el desarrollo de medios gráficos para el cifrado con GPG.

Kleopatra es la herramienta de KDE para gestionar certificados X.509 y OpenPGP en los almacenes de claves GpgSM y GPG y es un estupendo elemento gráfico para cifrar carpetas y archivos desde Dolphin, el gestor de archivos predeterminado en el escritorio KDE en Ubuntu y Linux Mint, aunque también se puede utilizar en Debian.

Aparte, sirve para cifrar los correos electrónicos enviados desde el gestor Kmail. Pero lo que nos interesa con esta entrada es la utilidad de esta aplicación, que permite cifrar y proteger nuestros documentos con un solo click.

Os enlazamos aquí el Manual Oficial. Para cualquier consulta concreta, escribidnos un comentario.

Acceder remotamente a un servidor FTP con la Terminal

¿Cómo iniciar sesión en un servidor FTP desde un acceso remoto?

Abrimos una terminal y tecleamos:

ftp server_name

server_name representa el nombre o dirección IP de la máquina remota a la que el usuario desea conectarse. En cualquier caso, si lo que tenemos es una dirección estilo www.servidor.com, podemos buscar en la red multitud de páginas que nos dan la IP de la página.

Una vez iniciada la sesión, aparecen unas líneas de texto en la pantalla.

La primera línea le comunica que se ha conectado a un servidor FTP
La segunda le da la bienvenida y a su vez puede indicar el tipo de sitio FTP del que se trata.
Dentro del FTP, cada línea comienza con un número que indica éxito o falla.
En el caso de un mensaje de bienvenida, la línea puede estar precedida por el número 220.
Esto significa que “el servicio está preparado para el nuevo usuario”.
El servidor solicita el nombre de usuario.
Una vez que acepta el nombre de usuario, una línea que comienza con el número 331 solicita que introduzca la contraseña.
Una vez que inició sesión, el sitio FTP espera que el usuario introduzca comandos que describan las acciones a realizar.

Los comandos FTP habituales son los siguientes:

Orden ———————————-  Descripción
help ———— Muestra todos los comandos admitidos por el servidor FTP.
binary ———- Cambia del modo ASCII al modo binario
ASCII ———- Cambia de modo binario a modo ASCII. Este es el modo predeterminado
type ———— Muestra el modo de transferencia actual (binario o ASCII)
user ———— Permite reiniciar una sesión en el sitio FTP actual con un nombre de usuario diferente.
ls ————— Crea una lista de todos los archivos que se encuentran en el directorio actual. 
pwd ———— Muestra el nombre completo del directorio actual.
mkdir ———- Crea un directorio dentro del directorio actual. 
rmdir ———– Elimina un directorio dentro del directorio actual. 
get ————- Recupera un archivo que se encuentra en el servidor.
put ————- Envia un archivo local al servidor.
open ———- Cierra la sesión actual y abre una sesión nueva en otro servidor FTP
close ———- Cierra la sesión actual pero deja al software FTP activo
bye ———— Desconecta el software cliente del servidor FTP y lo coloca en modo inactivo.
quit ———— Desconecta el software cliente del servidor FTP y lo coloca en modo inactivo.

Gracias a los amigos de Ubuntu-es.

Instalar paquete de idioma en castellano para Icecat 17.0.1

Hace unos días comentamos cómo instalar el navegador Icecat en Ubuntu 12.04. Icecat es uno de los navegadores recomendados por la Electronic Frontier Foundation (EFF, Fundación Fronteras Electrónicas), una organización sin ánimo de lucro con sede en Estados Unidos con el objetivo declarado de dedicar sus esfuerzos a conservar los derechos de libertad de expresión, como los protegidos por la Primera Enmienda a la Constitución de Estados Unidos, en el contexto de la era digital actual. Según la EFF, Icecat es un navegador que permite evitar los reportes de actividad que los navegadores más populares hacen a la NSA.

Una vez instalado este navegador, tenemos que instalar el paquete de idioma en castellano, de la siguiente manera:

Entra en esta página
http://www.gnu.org/software/gnuzilla/

Que te dirige a la pagina donde se albergan los paquetes de idioma para cada versión: ftp://ftp.gnu.org/gnu/gnuzilla/lang/

Y al seleccionar 17.0, mira cual idioma es y selecciónalo
ftp://ftp.gnu.org/gnu/gnuzilla/lang/17.0/

El navegador te consultará si quieres instalarlo. Clicka en “Allow” y una vez terminado reinicia el navegador. Y ya tienes tu navegador en castellano. Es un procedimiento similar al de Mozilla Firefox.

Que lo disfrutéis.

España: prevenir al Bitcoin del delito de blanqueo de capitales

En los últimos meses, y en función de la discrecionalidad que ha otorgado al Poder Ejecutivo de EEUU la llamada Patriot Act, han cobrado notoriedad los procedimientos contra tenedores, promotores y administradores de la compra y venta de bitcoins, que ha afectado a su operatoria en varios países del mundo.

La pérdida de control que el sistema financiero ha tenido sobre los contribuyentes a partir del nacimiento del Bitcoin ha sido el elemento que ha servido de justificación a la administración norteamericana para argumentar que los tenedores de este software podrían estar refugiándose en este sistema de intercambio con el fin futuro de blanquear capitales de origen ilícito. En la práctica, convierte en sospechoso al tenedor en virtud de una normativa que presume ese origen ilícito, aunque no exista evidencia de ello.

Esta legislación inquisitiva ha despertado temores y recelos en operadores de todo el mundo, dado que salvo algunas excepciones, es el marco regulatorio que impera en los principales países donde se concentran los usuarios del Bitcoin, y lo cierto es que España no es una excepción.

La Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo establece cuatro categorías de blanqueo, donde el denominador común es que existe delito cuando se procede a “regularizar” capitales a sabiendas de su origen ilícito. Este último aspecto, ampliamente interpretable, es el más preocupante desde el punto de vista de los derechos fundamentales puesto que el origen ilícito se puede abarcar desde cualquier lugar.

Para que el sistema no presuma que el receptor del dinero sabe de su origen ilícito, expone unas reglas de obligado cumplimiento que eximirían a dicho receptor de cualquier atisbo de sospecha, pero lo cierto es que la mayoría de los llamados exchanges que operan en y para España no cumplen con estas reglas, y por tanto estarían sujetos a eventuales represalias, que de no ser modificada la estructura y definiciones de la compra y venta de Bitcoins, tarde o temprano llegarán. Son las llamadas medidas de “Diligencia debida” cuya desatención han motivado múltiples imputaciones en materia de lavado de dinero en España.

Proteger al Bitcoin de esta ofensiva no es difícil. Antes que nada hay que devolver al Bitcoin a su naturaleza legal, ya que no es una moneda en los términos de la legislación española. Se trata de un bien intangible o software que se vende por medios electrónicos y que sirve como Sistema de Intercambio Comercial(SIC). Es precisamente la errónea consideración de los bitcoin como moneda la que pone a este sistema en la mira de sus detractores, dado que eso convierte a los operadores en agentes de cambio sin serlo y sujetos, motu proprio, a la mencionada Ley contra el blanqueo.

Estos cambios en las definiciones permitirán no solo proteger a los exchanges de estas consecuencias penales sino que además normalizarán el flujo de bitcoins en la economía nacional, dado que como ya hemos visto, los bitcoins son permutables en cualquier ámbito comercial que acepte los BTC como forma de pago.

GNUzilla para evitar la cyberinjerencia de EEUU en tu navegador

La Electronic Frontier Foundation ha publicado recientemente una guía de alternativas a las aplicaciones y programas que reportan las actividades de sus usuarios a la Agencia Nacional de Seguridad de Estados Unidos. Esta lista se puede ampliar, pero para el usuario común es una buena guía de acción contra el cyberespionaje. Por un lado propone el uso de sistemas operativos libres alternativos a Windows, el uso de monedas electrónicas, buscadores, pero también ofrece dos alternativas de navegación en internet frente a Internet Explorer y Google Chrome. Nosotros nos vamos a detener con algo que no hemos encontrado en la web: una guía sencilla de instalación de GNUzilla en castellano en sistemas operativos Linux*:

Abrimos una Terminal y hacemos estos pasos.

1- Abrimos una Terminal (Konsole) y añadimos los repositorios escribiendo:

sudo add-apt-repository ppa:gnuzilla-team/ppa

2- Después actualizamos los repositorios con:

sudo apt-get update

3- Y por último instalamos:

sudo apt-get icecat

Y desde entonces podremos hacer una navegación en internet con mayor seguridad. Cualquier duda, comentad y consultad!. Podeis ejecutarlo en Aplicaciones>Internet>Icecat.

*Actualmente existe una polémica lanzada por Richard Stallman, uno de los referentes mundiales del software libre, que rechaza Ubuntu como sistema operativo “libre” al tener las nuevas versiones de Ubuntu (desde la 12.10 en adelante) reportes de actividad a la empresa Amazon, con fines comerciales; aunque es bueno recordar que esta opción se puede desactivar. No obstante, como usuario Ubuntu que soy sigo recomendándolo por su valor filosófico a la par de su accesibilidad, aunque con precauciones (de hecho uso Ubuntu 12.04 Precise Pangolin).

El spyware de la Policía Nacional y el camino inevitable hacia los “freesites”

La Policía Nacional hizo un importante operativo

Según ha adelantado el Ministerio de Justicia, el borrador de anteproyecto de Código Procesal Penal encargado por Alberto Ruiz Gallardón permitirá a la policía, tras la intervención de un juez, utilizar software malicioso para obtener información de los equipos informáticos de las personas a las que investiga. Esto implicará dotar a las fuerzas de seguridad de medios técnicos y humanos para el control de equipos informáticos de personas “sospechadas”.

Según recoge el artículo 350 del anteproyecto, “el Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

Esta práctica ya está incluída en la llamada “Ley Lasalle“, que permite esta práctica pero en los procedimientos derivados de la “salvaguarda” de la propiedad intelectual.

Calma navegantes

Sin embargo, va a ser difícil que esta Ley consiga, al menos a largo plazo, las consecuencias deseadas. Ian Clarke, un joven informático de origen irlandés, viene desarrollando desde el año 2000 un software de código abierto conocido como “Freenet”. El mismo funciona como una red P2P (similar a la estructura del conocido programa de intercambio de datos eMule) y facilita anonimato de cara a la navegación, acceso y proporción de información a los usuarios de la misma.

Inclusive, con el instalador del Freenet se proporciona una aplicación, Jsite, que permite crear, insertar y administrar las llamadas “freesites”, una especie de oasis de la libertad de expresión en internet similiar a cualquier página web pero con datos encriptados para garantizar el anonimato. Similar funcionamiento tiene Entropy, pero desarrollado en lenguaje C y no en Java como Freenet.

Esto indica que en el nivel actual de actividad y desarrollo de la computación, pretender legislar límites al flujo de datos es como poner puertas al campo. A nuestro entender, esta actividad legislativa va orientada a introducir el miedo entre los navegantes más que a reprimirlos, dado que un simple rastreo por la web nos permite obtener soluciones sencillas a esta nueva censura. Sólo hay que partir del concepto de que nada es imposible y que todo es relativo.

Fuentes
Alt040: La policía española podría usar spyware en sus investigaciones
Freenet Project: Web Oficial en castellano

Programación sencilla sin lenguaje friki: eso es Geany

Sabemos de programación bastante más de lo que creemos. Al menos esa es la conclusión que saco yo de mi experiencia con la herramienta de programación Geany. Muchos de ustedes habrán tenido que modificar un archivo de un programa en un bloc de notas, los que tienen blog habrán tenido que modificar la plantilla en HTML (esa página llena de símbolos, numeritos y palabras en inglés sobre texto planoo), o incluso más sencillo todavía: los que usan Google Chrome habrán dado alguna vez por equivocación a la opción “Inspeccionar elemento” del botón derecho.

Bueno, todo eso es lenguaje de programación, pero en los libros técnicos y en la pedagogía informática en general, lo normal es que esté planteado en términos casi incomprensibles para el común de los mortales. La pedagogía realizada sobre la informática y la matemática aplicada a la misma está hecha de tal manera que sea reprobada socialmente, quedando en manos de un grupo cerrado. De esa manera se van conformando realidades “socialmente aceptadas”, como que tenemos que pagar de más adquiriendo software privativo, o de manera más general, conformarnos con lo que el sistema nos ofrece sin buscar alternativas.

El objetivo de este post es trasladar al campo informático, concretamente al mundo de la programación, el espíritu que el gran matemático argentino Adrián Paenza expresó con su libro “Matemática para todos”. En este caso llamémoslo “Programación para todos” si quieren.

En los próximos posts vamos a ir desarrollando programas propios, desde el más sencillo hasta soluciones complejas, con varios tutoriales realizados en base al programa Geany. En realidad es un “Entorno de Desarrollo Integrado” (IDE, por sus siglas en inglés), cuya definición abordaremos más adelante.

Con él aprenderemos a hacer nuestros propios programas y aplicaciones en base a un mecanismo pedagógico sencillo, que nos permita romper desde nuestra casa determinados patrones de dependencia tecnológica y, mediante el conocimiento, ser un poco más libres.

Me pongo manos a la obra.

Un abrazo
El Toguero.