Archives noviembre 2019

Linus Torvalds ya no se considera un programador. El creador de Linux y Git lo ha reconocido así en una charla con Dirk Hohndel, director de código abierto de VMware, en el marco de la Open Source Summit Europe que se celebra estos días en Lyon.

«Ya no sé nada de programar. La mayor parte del código que escribo está en mis correos electrónicos. Alguien me envía un parche… Y yo respondo con pseudocódigo. Estoy tan acostumbrado a editar parches que a veces los envío sin haberlos probado. Literalmente lo escribo por correo y digo: ‘Creo que así es como debe hacerse’, pero esto es lo que hago, no soy un programador«, comenta Torvalds según recogen en ZDnet.

«Entonces, ¿en qué consiste tu trabajo?«, le pregunta Hohndel. «Leo y escribo muchos correos electrónicos. Al final, mi trabajo es decir ‘no’. Alguien tiene que decir ‘no’. Porque los desarrolladores saben que si hacen algo a lo que yo le diré ‘no’, harán un mejor trabajo al escribir el código«, responde Torvalds. «A veces los cambios en el código son tan obvios que realmente no se requieren mensajes, pero eso es muy, muy raro», añade.

No obstante, le pone mucha dedicación a al labor que desempeña: «Creo que uno de mis objetivos principales es ser muy receptivo cuando la gente me envía parches. Quiero dar el sí o no en un día o dos. Durante una fusión, el día o dos pueden alargarse toda la semana, pero como mantenedor quiero estar encima todo el tiempo. Creo que esa es una de las cosas que quieres hacer al responder para que las personas que envían el código, ya sea como parches o como solicitudes, sientan que su trabajo es, tal vez no apreciado porque a veces no lo es, pero que al menos reciban respuesta«, explica.

Hohndel le recuerda entonces que su primera autobiografía se titulaba Just for Fun (Solo por diversión), algo que él mismo ha asegurado hasta no hace mucho, a lo que Torvalds responde: «En muchos aspectos, el desarrollo se ha vuelto mucho más fácil… Tenemos herramientas mucho mejores y tenemos una documentación mucho mejor, tenemos mucha más comunidad donde las personas sienten parte de sus trabajos es ayudar a nuevas personas a entrar«.

Pero también echa de menos los viejos tiempos: «Lo que quizás no sea divertido es que tenemos que tener muchas reglas establecidas. Era mucho más libre en el pasado y había más bromas y se podían intentar cosas. Hay mucha seriedad, pero la razón por la que lo sigo haciendo es que es lo correcto. Por lo tanto, puedo pasar la mayor parte de mi tiempo leyendo correos electrónicos, pero parte de la razón por la que lo hago es de lo contrario estaría realmente aburrido«.

Llega a admitir incluso algunas de las dudas que le han asaltado a lo largo del tiempo y cómo Git, más que Linux, llegó a hacerle sentir bien: «Todos tenemos dudas, ¿verdad? Todos pensamos »¿somos realmente buenos?’ Y una de las dudas que tenía con Linux se debía a que era solo una reimplementación de Unix. ¿Puedo ofrecer algo que no sea solo una mejor versión de otra cosa?«, se preguntaba. «Y Git me demostró que puedo hacerlo. Tener dos proyectos con tanto impacto significa que no soy un poni de un solo truco«.

Fuente: www.muylinux.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

Jack Dorsey revelará los detalles de la nueva medida el próximo 15 de noviembre.

Durante años, Twitter ha luchado para intentar captar cada vez más anunciantes. Pese a ello, este miércoles, decidió voluntariamente prescindir de algunos de ellos.

A partir del próximo 22 de noviembre, la red social ya no difundirá más publicidad política en ninguna parte del mundo.

«Aunque la publicidad en internet es increíblemente poderosa y muy efectiva para los anunciantes comerciales, ese poder trae consigo riesgos significativos en la política», dijo en un tuit Jack Dorsey, cofundador y presidente de la empresa.

Los detalles de cómo funcionará la prohibición serán divulgados el próximo 15 de noviembre. Por lo pronto, se sabe que la medida no afectará aquellos anuncios destinados a estimular a los ciudadanos a inscribirse en el registro de electores.

Dorsey anunció la medida en un momento muy particular, cuando Estados Unidos está a punto de entrar de lleno en la campaña para las elecciones presidenciales de 2020 y cuando, de hecho, el Partido Demócrata se encuentra plenamente imbuido en el proceso para escoger al candidato que intentará arrebatarle la presidencia al republicano Donald Trump.

El tema de la publicidad política en redes sociales es muy polémico en Estados Unidos y Reino Unido desde que surgieron denuncias sobre los intentos de manipular a los votantes a través de la difusión de mensajes falsos en redes sociales tanto para la campaña presidencial de 2016 en la que fue electo Trump como en el referéndum británico sobre el Brexit.

Reacciones diversas

Brad Parscale, jefe de la campaña de reelección del mandatario estadounidense, criticó la decisión de Twitter señalando que se trata de «otro intento de la izquierda para silenciar a Trump y a los conservadores».

En un comunicado, el comando de campaña de Trump dijo que Twitter le había cerrado la puerta a centenares de millones de dólares en ingresos potenciales y señaló que se trata de una decisión «tonta» que perjudica a sus accionistas.

Pero Bill Russo, portavoz de la campaña de Joe Biden, quien lidera la intención de voto entre los precandidatos demócratas, dio la bienvenida a la medida.

«Al enfrentarse a la escogencia entre los dólares de la publicidad y la integridad de nuestra democracia, resulta estimulante que, por una vez, el dinero no haya ganado«, apuntó en un mensaje en Twitter.

¿Pero, cómo justifica Twitter esta decisión?

Ganarse a la audiencia

«Creemos que el alcance de los mensajes políticos debe ser algo que se gane, no que se compre«, dijo Dorsey en un hilo en Twitter en el que anunció la nueva medida.

«Un mensaje político se gana su alcance cuando la gente decide seguir una cuenta o hacer un retuit. Pagar para que se difunda elimina esa decisión, imponiendo sobre las personas mensajes políticos altamente optimizados y dirigidos. Creemos que esa decisión no debería ser puesta en riesgo por dinero», manifestó.

Dorsey explicó que en lo referente a la política, la publicidad en internet trae riesgos significativos pues puede usarse para influir a los votantes y afectar la vida de millones de personas.

«Los anuncios políticos en internet representan retos completamente nuevos para el debate ciudadano«, agregó, refiriéndose expresamente a la optimización de mensajes sobre la base del aprendizaje automático y dirigidos a un público muy específico, la divulgación de información engañosa sin verificar y a los deep fake.

El jefe de Twitter añadió que enfrentar esos problemas al mismo tiempo que reciben dinero de parte de esos anunciantes podía afectar la credibilidad de la red.

«No es creíble que nosotros digamos: ‘Estamos trabajando duro para detener a la gente que intenta sacar provecho de nuestros sistemas para difundir información falsa, pero si alguien nos paga para dirigir y forzar a la gente a ver su anuncio político…bueno…ellos pueden decir lo que quieran'», apuntó.

Detrás de la decisión de Twitter, también puede estar presente el tema de la competencia por credibilidad e influencia contra otras redes sociales.

Según explicó Jim Waterson, editor sobre temas de medios de comunicación del diario británico The Guardian, esta puede ser una jugada muy perspicaz.

«Twitter ha hecho algo muy astuto acá porque Twitter es un jugador pequeño en el mundo de la publicidad política», señaló en conversación con la BBC.

El director y fundador de Facebook, Mark Zuckerberg, argumenta que su compañía no debe coartar la libertad de expresión.

«Al hacer esto, ellos han puesto mucha presión en Facebook, que es su principal rival y una gran bestia en esta área, para que realmente aclare sus políticas», agregó.

Waterson señaló que en las próximas elecciones presidenciales en Estados Unidos, la mayor parte de la publicidad política irá a Facebook y destacó que esa compañía ha dicho que permitirá que cualquier candidato diga lo que quiera sin ser verificado ni limitado.

«Eso es realmente interesante porque quiere decir que es esencialmente un pase libre para que los políticos paguen para impulsar mentiras, verdades o lo que sea en tu feed durante las próximas elecciones», alertó.

Facebook se ha visto bajo intenso escrutinio desde el estallido del escándalo de Cambridge Analytica, una compañía británica que usando el acceso que tenía a los datos de los usuarios de esa red social logró construir el perfil de millones de votantes en Estados Unidos para intentar influenciar en las elecciones de 2016.

La semana pasada, Zuckerberg compareció ante el Congreso de Estados Unidos, donde fue duramente interpelado por la legisladora demócrata Alexandria Ocasio-Cortez.

«Usted anunció recientemente que la política oficial de Facebook ahora permite a los políticos pagar para difundir desinformación en las elecciones de 2020 y en el futuro. Así que solo quiero saber hasta dónde se puede llevar esto», le dio Ocasio.

Zuckerberg le respondió que la plataforma eliminaría los mensajes de cualquiera, incluidos los políticos, que llamaran a la violencia o trataron de contener la participación de los votantes.

Sin embargo, en cuanto a las noticias falsas, dijo que no era el papel de Facebook evitar que «las personas en una elección vean que has mentido».

Fuente: www.bbc.com