Tag hacker

Este domingo 28 de marzo, hackers lograron acceder al repositorio Git interno del lenguaje de programación PHP y lograron añadir una puerta trasera al código fuente del mismo. Estamos hablando del lenguaje del lado del servidor más usado en toda la web y que se calcula está en uso en el 79.1% de todos los sitios web.

Como explican en las listas de correo de PHP, el ataque insertó dos cambios maliciosos en el repositorio php-src, y aunque aún se desconoce la causa y hay una investigación en marcha, todo apunta a que el servidor oficial git.php.net fue comprometido.

Aunque el ataque fue detectado rápido, es una enorme advertencia

El mecanismo de puerta trasera fue detectado por primera vez por Michael Voříšek, un ingeniero de software de República Checa. Si este código malicioso hubiera llegado a producción, podría permitir a los hackers ejecutar sus propios comandos PHP maliciosos en los servidores de las víctimas.

Algunos expertos creen que es posible que los atacantes querían ser descubiertos, o que se trataba de un cazador de bugs por los «mensajes» que dejó en el código. Lo que pasa es que para poder desencadenar la ejecución del código malicioso, el atacante tenía que enviar una petición HTTP a un servidor vulnerable con un user agent que comenzara con la cadena «zerodium».

Zerodium es una plataforma famosa de ciberseguridad especializada en la adquisición y venta de exploits zero day. Zerodium ha declarado ya que no tiene nada que ver con esto, por lo que se piensa que quien sea que hackeó el código no buscaba ser nada sutil, pero no se saben sus intenciones.

Además de esto, los atacantes añadieron un mensaje en uno de los parámetros de la función que ejecuta: “REMOVETHIS: sold to zerodium, mid 2017«. Claramente se busca implicar o hacer referencia a la empresa en esto, pero nadie sabe si se vendió algo a Zerodium en 2017 ni mucho menos qué fue.

En los chats de PHP en Stack Overflow hay muchas conjeturas. Algunos creen que podría haber sido un «pobre intento» de hacking de sombrero blanco, mientras que otros incluso apuntan a un «skript-kiddie completamente inepto».

PHP mudado a GitHub

Mientras la investigación continua y se está realizando una revisión más minuciosa del código fuente de PHP, se ha decidido que el mantenimiento de una infraestructura Git propia es un riesgo de seguridad innecesario y por lo tanto el servidor git.php.net se va a descontinuar.

A partir de ahora los repositorios en GitHub que antes eran solo mirrors, pasarán a ser los principales, por lo que los cambios deberán enviarse directamente a GitHub en lugar de a git.php.net.

El código malicioso que se añadió al código fuente se hizo a través de las cuentas de dos de los miembros del equipo core de PHP, Rasmus Lerdorf and Nikita Popov, pero ya ambos expresaron no estar involucrados. Además, el equipo usa autenticación de doble factor para sus cuentas, por eso creen que se trató de un fallo crucial en el servidor Git principal en lugar de la violación de alguna cuenta individual.

Aunque el incidente fue resuelto rápidamente, en la práctica hubiese afectado a una pequeña porción de los sistemas que usan servidores PHP, puesto que suele ser usual que la mayoría se tarden mucho tiempo en actualizar a la última versión.

Esto es otro problema que viene plagando a la web hace tiempo, el cómo un enorme porcentaje de las webs en Internet usan una versión de PHP que no tiene soporte, y aunque ha mejorado en los últimos años, todavía casi el 40% de todas las webs que usan PHP usan una versión antigua y sin soporte.

Fuente: www.genbeta.com

Richard Stallman, uno de los ‘hackers’ más conocidos y con más autoridad del mundo, responde a una pregunta del Navegante: ¿Qué piensa acerca de que el diccionario de la Real Academia Española recoja la palabra inglesa ‘hacker’ definida como ‘pirata informático’?

El padre del sistema GNU y máxima autoridad mundial del ‘software’ libre no sólo piensa que la definición no debería ser ésa -la definición inglesa es mucho más amplia-, sino que critica a la RAE por el uso de programas privativos en su sitio web.

De hecho, durante más de una semana este periodista trató de que el propio Stallman accediera al sitio web de la RAE para que pudiera ver la definición de ‘hacker’ propuesta por la Real Academia Española, pero no hubo manera: Stallman, defensor a ultranza de los formatos libre no privativos, no pudo acceder a los contenidos de los enlaces propuestos por contener código privativo.

Al final, gracias a dos capturas de pantalla con ambas definiciones él mismo pudo comprobar que la RAE define ‘hacker’ como un «pirata informático», y ‘pirata informático’, a su vez, es para la Real Academia Española una «persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos».

Esta es la respuesta íntegra de Stallman:

Según las fotos de pantalla que se me han enviado, sé que la Real Academia ha definido ‘hacker’ como un experto en romper la seguridad informática, y afirma erróneamente que sea equivalente a la definición en inglés.

La voz inglesa ‘hacker’ significa quien hace ‘hacking’, y ‘hacking’ tiene varios usos. Uno es romper la seguridad informática. Otro es emplear la inteligencia con un espíritu juguetón, fuera de los campos usuales del arte y del humor. Por ejemplo, en el MIT (Massachusetts Institute of Technology) hay una vieja tradición de poner algo incongruente sobre la gran rotonda de la universidad: han puesto una casa (imitación), un coche de policía (imitación), una vaca (imitación), un teléfono de línea fija (real y funcional) y un pezón (imitación).

La supuesta pieza de música 4’33» de John Cage es más ‘hack’ que música. La pieza palíndroma de Guillaume de Machaut, ‘Ma fin est mon commencement’, es ‘hack’ y música. La ropa de concierto de Lady Gaga es ‘hack’. Los clubes con herramientas para fabricar objetos, incluso impresoras 3D, se llaman ‘hacklabs’ mundialmente porque promueven usarlos con el espíritu juguetón.

Pero lo peor del sitio web de la Real Academia es que no podemos acceder normalmente a esta definición, ni ninguna. Las páginas no contienen texto, sino sólo un programa privativo (no libre). Adivino que, ejecutando ese programa cuyo funcionamiento no comprendo, por fin podría descargar la definición. No lo pruebo porque me privaría de la libertad y la valoro más que ver las páginas. La Real Academia debe corregir la definición, y sobre todo, publicar las definiciones en páginas web normales, no abusivas.

R. Stallman es fundador del movimiento ‘software’ libre y líder desde 1984 del desarrollo del sistema operativo GNU, dentro del cual se usa en los PC el kernel Linux. Una campaña en España para el cambio

La semana pasada, el informático especializado Chema Alonso puso en marcha una campaña en Change.org para tratar de que la Real academia Española cambie la definición de ‘hacker’ en la nueva edición del diccionario de referencia en lengua española. De las 5.000 firmas requeridas, se han conseguido algo más de la mitad en el momento de la publicación de esta información.

Fuente: elmundo.es

Un abuelo con un bastón, sentado en una silla una tarde de agosto, se queja de «esa juventud». La pintura, tan usual, lo es también en el mundo ‘hacker’. Pero en realidad hay más cosas que unen que las que separan a las diferentes generaciones de ‘hackers’.

Una de ellas, posiblemente la principal, es su respeto por la libertad. Y, más concretamente, la libertad de la información: así como los datos corren libres dentro de un ordenador, deberían correr por nuestra sociedad, nuestro sistema. Buena parte de los proyectos y hazañas de la comunidad ‘hacker’ pasan por este concepto.

Cada generación de ‘hackers’ ha dicho de los más jóvenes que han pervertido el arte del’ hacking’, que no saben ni ponen atención, que son unos vándalos ‘hacktivistas’ o unos chiquillos ‘script-kiddies’, eso es: ‘hackers’ mal intencionados que usan programas (‘scripts’) hechos por otros porque no tienen suficiente conocimiento para hacerlos ellos mismos. Y esto será así desde el principio, desde los viejos ‘hackers’ de los 60 que se escandalizaban ante la generación de los 90.

Según el escritor Steven Levy, las diferencias entre ambas generaciones eran claras: «El primer grupo se esforzaba por crear, el segundo se esfuerza por destruir y falsificar.

El primer grupo amaba tener el control de sus ordenadores, pero el segundo ama el poder que le dan los ordenadores por encima de la gente. El primer grupo siempre buscaba cómo mejorar y simplificar; el segundo sólo explota y manipula. El primer grupo hizo lo que hizo porque había un sentido de verdad y belleza en sus actividades; el segundo grupo ‘hackea’ por lucro y estatus. El primer grupo era comunal y muy unido, siempre compartiendo de forma abierta nuevos ‘hacks’ y descubrimientos; el segundo es paranoide, aislado y secreto».

Para Levy, la primera generación de ‘hackers’ eran magos de la informática, pero la generación que nació en los 90 y cuya influencia persiste hoy en día eran prácticamente terroristas informáticos, siempre buscando nuevas formas de maldad o vandalismo electrónicos, sin pensar en las consecuencias.

Pero, más allá de la estética, las diferencias no eran tantas ni tan insalvables como aseguraba Levy, explica en un interesante texto el antropólogo Steve Mizrach: «Los ‘hackers’ de los 90 no son tan diferentes de los ‘hackers’ de los 60, pues comparten los mismos impulsos libertarios, antiautoritarios y ansias de explorar; es sólo que los ‘hackers’ de los 60 no entienden la situación en la que vivimos, probablemente porque se dedican a leer literatura hippie de los 60 y no ciencia ficción ciberpunk de los 90».

Fuesen hippies o ciberpunks, hay un hilo invisible que une a los ‘hackers’ de los 60 con la generación de los 90 y más allá, una vibración que les diferencia a todos del simple criminal: su ética. Se han escrito muchos documentos y libros sobre la ética ‘hacker’ y aún hoy, en pleno siglo XXI, sigue siendo las más conocida y mencionada la ética simplificada que, cual Moisés con sus mandamientos, Steven Levy mostró a la luz pública en 1984, en su libro «Hackers, heroes of the computer revolution». Según Levy, estos son los puntos básicos del proceder, pensar, sentir… en definitiva, de la actitud del ‘hacker’:

El acceso a los ordenadores y a todo lo que te pueda enseñar alguna cosa sobre cómo funciona el mundo debe ser ilimitado y total. Da siempre prioridad al imperativo de poner las cosas en práctica.

Toda la información debería ser libre. No creas a la autoridad. Promueve la descentralización. Los ‘hackers’ deberían ser juzgados por su ‘hacking’, sin importar sus títulos, edad, raza o posición.

Puedes crear arte y belleza con un ordenador.

Los ordenadores pueden cambiar tu vida a mejor.

De estos, el concepto más extendido, lema por sí solo de la cultura ‘hacker’, es: «Toda la información debería ser libre». En su nombre, la comunidad realizó un titánico esfuerzo de documentación, de forma gratuita, autoorganizada y alejada de cualquier canal oficial, para enseñar a los nuevos el camino del ‘hacker’, para mostrar la inseguridad de administraciones y empresas, para solucionar cualquier problema que pudiese surgir en aventuras tan impresionantes como el ‘software’ libre y, ya en la era del puro hacktivismo de Wikileaks, para hacer pública información importante que los gobiernos han escondido.

Cabe aclarar que el imperativo de liberar la información nunca será un fuego a discreción y se aplicará con la precaución que demandaría Spiderman: «Un gran poder conlleva una gran responsabilidad». Años después de la ética de Levy, desde Europa el grupo Chaos Computer Club le pone coto: «La información privada debe seguir siendo privada, a no ser que tenga interés público». Y es en este balance entre lo que puede liberarse y lo que no donde destaca el auténtico ‘hacker’, hijo de una comunidad que, a pesar de ostentar como meta la libertad de los datos, es también la que mejor sabe guardar un secreto, si la paranoia o el sentido común lo requieren.

El manejo de la información en el mundo ‘hacker’ cubre pues diversos e intrincados niveles: la información que puede mostrarse totalmente al público, la que precisa ser liberada por etapas, o tamizada de forma que se escondan los datos privados de las víctimas (por ejemplo en robos de bases de datos). La información que se ofrece sólo en círculos privados, como puede ser una foro al que se entra por invitación o, más reducido, un grupo de amigos. Y la información que el ‘hacker’ guarda sólo para sus ojos, que no explica ni a quien comparte el contacto más íntimo.

Y es que por contar cosas a la novia ha caído más de uno, avisa ya en los 80 el estadounidense The Mentor, en un texto que Eljaker traduce al castellano: «No comentes con nadie, a menos que sea de total confianza, tus hazañas. (Los mas grandes ‘hackers’ de la historia han sido cazados debido a las confesiones de sus novias). Cuando hables en bbs o por Internet, procura ser lo mas discreto posible. Todo lo que digas quedará almacenado. Sé paranoico. Una de las características principales de los mejores ‘hackers’ es la paranoia. No dejes ningún dato que pueda relacionarse contigo, en los ordenadores que ‘hackees’. Y si es posible, ni siquiera «firmes»».

Fuente: http://www.elmundo.es/

La Educación Prohibida, una especie de manifiesto abierto que propone libertad allí donde hay opresión, creatividad allí donde todo ya es gris y parece no tener salida, optimismo allí donde se ha estancado todo, donde reina la violencia (activa y pasiva) ellos quieren establecer la paz, donde reina irónicamente la ignorancia, ellos ponen luz en forma de bits.

German Doin Campos es un joven inquieto, no sólo posee esa esencia fundamental de los hackers que tiene que ver con mirar a todos lados a ver qué pasa, buscar y rebuscar vías alternativas de resolución de problemas, sino que también se ha manejado con programas libres para la realización de un film que es en sí mismo un hackeo al sistema ideológico-social-educativo: La Educación Prohibida, una especie de manifiesto abierto que propone libertad allí donde hay opresión, creatividad allí donde todo ya es gris y parece no tener salida, optimismo allí donde se ha estancado todo, donde reina la violencia (activa y pasiva) ellos quieren establecer la paz, donde reina irónicamente la ignorancia, ellos ponen luz en forma de bits.

Una nueva generación en busca de aire en un ambiente seriamente manipulador, viciado y enrarecido como el de la educación tradicional.

Una noche haciendo zapping (cosa que nunca hacía) vi «Rip: The Remix Manifest» la película que aborda la problemática de los derechos de autor en las producciones audiovisuales y la historia de Creative Commons. Ahí supe que la película tenia que ser libre

¿Cómo te chocaste con el software libre y el mundo hacker durante la realización del film? ¿Lo hubieras hecho con software privativo?

Yo comencé la película sin considerar la idea de la cultura libre. Si bien sabía de la existencia del Software Libre, no tenía noción del alcance de sus postulados al mundo de la comunicación. Una noche haciendo zapping (cosa que nunca hacía) vi «Rip: The Remix Manifest» la película que aborda la problemática de los derechos de autor en las producciones audiovisuales y la historia de Creative Commons. Ahí supe que la película tenia que ser libre y decidí utilizar una licencia CC (CC-BY-NC-SA específicamente).

A raíz de esto se acercó al proyecto Franco Iacomella, quien nos mostró el mundo del soft libre.

Yo para editar y hacer animaciones solamente usaba software privativo, había aprendido por mi cuenta con tutoriales online. Y gran parte de la película (mis partes) fueron hechas con eso. Pero en el proceso fuimos migrando al software libre.

Hoy en día uso principalmente soft libre, a menos que tenga que hacer algo muy particular que solo sepa hacer con otro soft.

¿Usás software libre? ¿Qué programas?

Hoy en día, uso Kubuntu, Inkscape, Gimp, y los paquetes de LibreOffice principalmente. Si bien muchos animadores de la peli usaron MyPaint y Blender, yo todavía no tuve el tiempo para sentarme a explorarlo como me gustaría. Además, ya que estamos trabajando en una plataforma de educación libre, usamos a diario Mediawiki, Elgg, y WordPress.

¿Pensás que el software libre es una utopía si pretende globalizarse al 100% (derrotar completamente al software privativo)? ¿Es algo para gente de elite? ¿Pensás que el software privativo podría dejar de existir?

No se si dejará de existir, pero si creo que en algún momento se agotarán sus posibilidades y tal vez se convertirá para una elite. Creo que el desafío es poder hacer sostenible el trabajo de los programadores libres, en donde eso sea posible vamos a empezar a ver cambios. No soy experto pero tengo entendido que ya hay mucha gente en esa linea.

Muchas de estas experiencias educativas han tenido que luchar por sostener sus principios ante la educación hegemónica.

Viendo la película el mensaje en general me parece muy optimista, da la sensación de que el mundo tiene un futuro hermoso en manos de niños que algún día tendrán la educación «ideal». En ese sentido, digamos, el tono del film es similar al del mundo hacker: todo se puede, optimismo, romper las reglas, rebeldía, anti-academicismo (en gran medida), visiones alternativas, diversión al resolver un problema, etc. ¿Cómo puede ser que dos mundos tan similares como los de la educación libre (el adjetivo me parece justo, pero vos dirás…) y el software libre no se juntaran antes?

Eso es algo que nos preguntamos bastante. Yo tengo una teoría sobre esto. Si bien hay algunas escuelas de este tipo que trabajan con Software Libre, y entienden la coherencia con sus prácticas, también muchas de estas experiencias educativas han tenido que luchar por sostener sus principios ante la educación hegemónica. Esto los ha llevado a no abrirse al mundo, entre otras cosas, a las tecnologías de la información (por pensarlas parte del sistema). Muchos educadores «libres» de este tipo de experiencias ven claramente las políticas de consumo, directividad y limitación detrás del software privativo, pero las identifican con todas las tecnologías. Entonces ponen a la «computadora» como enemiga del desarrollo libre y la creatividad; pero es porque claramente solo conocen la versión Microsoft de la computación, si conocieran la versión hacker, creo que pensarían de forma distinta.

Ponen a la «computadora» como enemiga del desarrollo libre y la creatividad; pero es porque claramente solo conocen la versión Microsoft de la computación, si conocieran la versión hacker, creo que pensarían de forma distinta.

En el caso de Argentina, que es el que mejor conozco: ¿el Estado nos lavó la cabeza haciéndonos creer que era la vara con la cual se medía la calidad de una educación? ¿Ves futuro (un futuro «libre», o sea de seres humanos libres y plenos) en la educación estatal?

Creo que este tipo de prácticas libres dependen más de las decisiones en la pequeña escala (maestros, familias, comunidad escolar) que en la gran escala. Creo que hoy, dentro de la educación estatal, se están viviendo muchas escuelas distintas, algunas que perfilan hacia ese mundo libre y otras no tanto. Igualmente creo que las políticas publicas pueden o no generar las condiciones para eso. Yo creo que todavía falta mucho, pero ahí estaremos ayudando a que sea posible, pensando formas diferentes desde la libertad, la democracia y la diversidad.

¿Pensás que «La educación prohibida» es un hack ideológico-informativo a los sistemas educativos dominantes?

Creo que puede ser definida de esa forma. Pero creo que a ese hack le falta mucho trabajo. Necesitamos ser más personas, más puntos de vista. Por eso mismo estamos construyendo una red social libre para documentar todas las experiencias, visiones, propuestas. Si hay algo que le faltó a la película es una mirada más amplia, que tenga en cuenta el contexto. Allí vamos.

Hay quienes nos escriben pidiendo ayuda, ya que no la encuentran en los maestros o los padres.

¿Tenés feedback de chicos que ven el largometraje y se replantean qué hacen en las escuelas tradicionales? ¿Quieren cambiar de escuela? ¿Encuentran dónde ir? ¿Los padres les dan bola?

Tenemos feedback de aquellos a los que la película les tocó alguna fibra sensible. Algunos comenzaron a hacer copias y regalarlas, otros gestionan proyecciones en su escuela, y se de algunos que se animaron a escribir un discurso atrevido como los personajes. También hay quienes nos escriben pidiendo ayuda, ya que no la encuentran en los maestros o los padres.

Donde vivo, en Junín, no hay alternativas buenas a la educación estatal tradicional y a la educación privada religiosa: mi hija tendrá que elegir entre dos (para mí) malísimas opciones: la regimentación estatal o la privada-religiosa. De las dos, prefiero la estatal, que al fin y al cabo se criaría en un ambiente que luego ella podría reformular sin tanta pavada en el medio, pero pienso que sería hacerle perder el tiempo. En verdad me parece más importante la socialización que los contenidos que se den en una escuela. ¿Qué podemos hacer los padres en ciudades como la nuestra?

En definitiva el impacto más grande en la educación de los hijos es la mirada de los padres. También una opción es comenzar a crear espacios informales, de encuentro entre pares, espacios de juego para chicos, hay muchas escuelas que empezaron así, fuera del sistema y luego se incorporaron. Antes que nada lo más importante es apropiarse de la escuela, del espacio: no solamente asistir a las reuniones, sino estar presente, proponer actividades, espacios de reflexión, invitar a los docentes a pensar de otra forma. Creo que el desafío no es hacer nuevas escuelas con formas distintas, sino comenzar a apropiarse de las escuelas que tenemos y transformarlas desde adentro. Es posible porque hay muchos ejemplos en la escuela pública que dan cuenta de eso. Pero primero hay que construir una comunidad en ese sentido.

Fuente: mdzol.com