25 may. 2008

Vulnerabilidad en OpenSSL revela debilidades en el proceso de desarrollo OpenSource

Según un reporte de la consultora Gartner el 06 de mayo el SANS Institute estableció una "alerta amarilla" respecto de una vulnerabilidad en el protocolo SSL de algunas distribuciones Debian. El reporte mencionado se puede encontrar aquí.


En la sección de análisis de este documento se relata que la vulnerabilidad fue aparentemente introducida por desarrolladores de Debian y no por los desarrolladores de OpenSSL, en un intento de corregir un problema con la gestión de memoria resultando en una debilidad del generador de número aleatorios provocando que sea muy sencillo para un atacante descubrir las claves de encriptación.

Se indica también que los desarrolladores de Debian intentaron comunicarse con la comunidad de desarrolladores de OpenSSL, pero "los procesos de comunicación informales fueron evidentemente inadecuados en este caso". Menciona también que este hecho confirma el punto de vista de Garner sobre que "los procesos de comunicación en el desarrollo open source necesitan mejoras significativas".

Al parecer el caso es aún más grave puesto que, según menciona el informe, el código no solamente fue parcheado por los desarrolladores de Debian sino por otros fabricantes de software sin siquiera intentar comunicarse con los desarrolladores de los paquetes de base.

El documento finaliza con varias recomendaciones, todas ellas muy atendibles, sin embargo lo que llama la atención es la percepción sobre el proceso de desarrollo OpenSource y los problemas que acarrea la falta de un proceso de comunicaciones mejor establecido que evite que sucedan estos casos que ponen en riesgo a una notable cantidad de aplicaciones y usuarios.

Si bien es cierto el modelo de desarrollo OpenSource ha demostrado ser superior en muchos aspectos, no lo es menos que también tiene sus debilidades y justamente la comunicación entre los equipos de desarrollo y al interior de ellos mismos supone siempre un gran reto y un factor que incluso puede determinar el éxito o el fracaso del proyecto.

Algunos enlaces útiles: El reporte de Gartner, la descripción de la vulnerabilidad, otro artículo sobre el mismo tema, OpenSSL en Wikipedia, la página oficial de OpenSSL, un artículo sobre el proceso de desarrollo OpenSource.

17 may. 2008

Nuevo habitante

Desde hace un par de días, este pequeño blog tiene el privilegio de pertenecer a Teh Ica Planet, una iniciativa que pretende reunir el trabajo de los bloggers técnicos de Ica en un solo lugar, lo cual me parece una excelente idea. Personalmente, me siento muy complacido de poder compartir este planeta con los más reconocidos bloggers del medio.

Esta noticia viene de la mano con un esfuerzo personal que me he impuesto por incrementar mi "frecuencia de posteo" que, como es público y notorio, no es aún muy significativa. Aprovecharemos como excusa que Mayo es el mes en que se celebra el Día de Internet para tratar de postear un poco más que de costumbre y así, de paso, contribuimos con el contenido de Teh Ica Planet.

Entonces, ya lo sabes, si vives en Ica y te interesan los tips, trucos, hacks, noticias o simplemente datos sobre temas técnicos puedes leerlos en Teh Ica Planet donde se encuentran los bloggers de la región reunidos y dispuestos a compartir.

10 may. 2008

Internet Explorer en Linux

Acabo de instalar Internet Explorer 6 sobre Ubunty Gutsy (recién hoy actualizaré a Hardy Heron) y parece funcionar correctamente, al menos hasta donde lo he podido probar. Si no sabías que se podían instalar programas de Windows en Linux, pues te cuento que sí se puede para ello primero debes instalar Wine.

Wine es una implementación de la API de Windows para plataformas Unix y Linux, de modo tal que los programas para Windows corren sobre Wine sin modificaciones y una buena parte de ellos lo hace bien e incluso más rápido que en Windows.

Si ya sabías de Wine, probablemente te estarás preguntando y ¿para qué querríamos ejecutar IE cuando en Ubuntu tenemos Firefox por defecto?. Se me ocurren dos razones, una, para no tener que utilizar una segunda máquina o tener que reiniciar nuestra máquina en Windows cuando desarrollamos sitios web que deben ser comprobados con diversos navegadores y, dos, para quienes queremos utilizar Linux como sistema operativo de escritorio y estamos obligados a navegar hacia sitios web diseñados exclusivamente para IE, justamente es mi caso.

¿Cómo?

Para instalar una o más versiones de Internet Explorer sobre Linux utilizando Wine, existe una alternativa denominada IEs 4 Linux que brinda una forma sencilla de hacerse con las diferentes versiones del navegador de Microsoft sin mayor esfuerzo. Para ello se deben seguir unas sencillas instrucciones, básicamente: habilitar los repositorios universe, instalar Wine y luego instalar IEs4Linux.

Gracias a IEs4Linux podremos, luego de algunos minutos, ejecutar IE sobre Linux, en mi caso me bastó con instalar IE6, ahora lo puedo ejecutar tecleando:

.ies4linux/bin/ie6

Haciendo clic sobre la imagen se puede ver el resultado.


A tener en cuenta
  • La instalación de Wine toma algo de tiempo, dependerá sobre todo de tu ancho de banda.
  • Tuve que reiniciar la instalación de IEs4Linux más de 10 veces (sin exagerar) debido a que se cortaban las descargas (no me detuve a analizar el motivo) si te sucede lo mismo y das con el motivo de esto o mejor aún si sabes como evitar este inconveniente ponlo en los comentarios.
  • Puedes instalar hasta 3 versiones de IE 5, 5.5 y 6, la versión 7 esta en fase beta.
  • No utilices IE para navegar, para disfrutar de la web tenemos Firefox, también Opera y Safari.
  • Y, por supuesto, nunca esta demás darle una mirada a las notas legales.