A modo de introducción

Entrada publicada originariamente en el blog Informática, sociedad y medio ambiente bajo el mismo título.

Un objetivo esencial de los profesionales de la informática es minimizar las consecuencias negativas de los sistemas informáticos, así como las amenazas a la salud y la seguridad. Cuando diseñen o implementen sus sistemas, los profesionales de la informática deben intentar garantizar que el producto de sus esfuerzos se utilizará de manera socialmente responsable, respondiendo a las necesidades sociales, y evitando efectos perjudiciales para la salud y el bienestar.

Además de un entorno social seguro, el bienestar humano incluye un medio natural seguro. Por lo tanto, los profesionales de la informática que diseñan y desarrollan sistemas deben estar alerta ante cualquier daño potencial al medio ambiente local o global.

Asociation for Computing Machinery (ACM), "Code of Ethics and Professional Conduct".

El Diccionario de la Real Academia Española define la informática como el “conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores”. Por su concisión, y sin dejar de ser cierta, esta acepción puede inducir al lector a mantener una visión sesgada de este campo del conocimiento tecnológico que le lleve a olvidar las importantes interacciones existentes con otros ámbitos (social, medioambiental, económico…) cuando hacemos uso de ella y las repercusiones que, para mal o para bien, tendrá cada decisión que tomemos como profesionales (generadores) o usuarios (receptores) de la tecnología existente. La trascendencia de este hecho es tanto mayor cuanto lo es la expansión de la tecnología en juego y, a día de hoy, es más que evidente que la informática se manifiesta en nuestras vidas en casi cualquier acto cotidiano que llevamos a cabo. Desde la música que escuchamos en el reproductor portátil al dirigirnos a estudiar o al trabajo, el navegador GPS del coche o el ordenador que usamos para llevar a cabo actividades diarias como leer el correo electrónico, llevar la contabilidad de la empresa o, simplemente, visualizar esta bitácora, la informática está involucrada en todo momento en cada uno de estos procesos.

El alcance de la informática en la sociedad a día de hoy llega mucho más allá del tratamiento, transmisión y almacenamiento de la información, habiendo propiciado cambios en la forma de pensar y actuar de importantes sectores de la población. No hay más que pensar durante un momento en cómo accedemos actualmente a las noticias a través de Internet, a contenidos culturales como música, cine o literatura y, especialmente, cómo nuestros datos personales han entrado a formar parte de la Red mediante la adición de contenidos personales a partir de la aparición de la llamada Web 2.0, con los blogs y todo tipo de redes sociales.

Además de lo anterior, que podríamos admitir (con ciertas reservas en las que entraremos a profundizar en futuras entradas de esta recién nacida y apenas esbozada bitácora) como efectos beneficiosos de la popularización del uso de los ordenadores y la informática en nuestras sociedades, habría que tener en cuenta el incremento de actos delictivos que se apoyan en herramientas informáticas o en la ingeniería social para acceder a información especialmente sensible: la personal, sanitaria o bancaria, entre otros datos, constituye un jugoso botín para los artífices de crímenes informáticos (conocidos en ocasiones por los nombres, no necesariamente excluyentes, de “cibercrimen” y “ciberterrorismo”).

Por todo lo anterior se hace necesaria, tal vez más que nunca, adquirir concienciación y formación adecuada dentro del ámbito de la ética para posibilitar que seamos capaces de dar respuesta a los dilemas que nos irán surgiendo a usuarios y profesionales de las NTIC (Nuevas Tecnologías de la Información y de la Comunicación). Para ello, como punto de partida podríamos tomar “Los diez mandamientos de la ética informática” propuestos por el Instituto de Ética e Informática (CEI, o Computer Ethics Institute), a saber:

1. No usarás una computadora para dañar a otros seres humanos.
2. No interferirás en el trabajo del ordenador de otras personas.
3. No accederás a los archivos informáticos de otros individuos.
4. No utilizarás un ordenador para perpetrar un robo.
5. No utilizarás un ordenador para dar falso testimonio.
6. No copiarás o usarás software propietario por el que no hayas pagado.
7. No usarás los recursos computacionales de otras personas sin autorización o una compensación adecuada.
8. No te apropiarás del trabajo intelectual de otras personas.
9. Reflexionarás sobre las consecuencias sociales del programa que estás escribiendo o el sistema que estás diseñando.
10. Usarás siempre tu ordenador de forma que asegure la consideración y el respeto hacia quienes te rodean.

 (El original puede encontrarse en "Ten commandments of Computer Ethics").

Pero, ¿qué es la ética informática? Para J.H. Moor, “la ética informática es el análisis de la naturaleza y el impacto social de la tecnología informática y la correspondiente formulación y justificación de políticas para un uso ético de la misma”, según la describe en su artículo “What is Computer Ethics?” Esto englobaría tanto a las preocupaciones en torno al software como al hardware, incluyendo las redes de conexión de los propios equipos.

Respecto a los “mandamientos” del CEI, procederemos a estudiar su alcance y, por qué no, sus limitaciones, en la próxima entrada. De cualquier modo constituyen un punto de partida interesante sobre el que construir un enriquecedor debate sobre los aspectos que he pretendido esbozar en esta primera entrada. A partir de aquí inicio una aventura, espero que apasionante, en torno a las relaciones que se establecen entre la informática, la sociedad y el medio ambiente que, así al menos lo deseo, no transcurrirá en solitario ya que será de agradecer cualquier aportación de los lectores.

A rey muerto, rey puesto

Tras varios meses sin actualizar apenas el blog, manteniendo un ritmo variable de entradas que eran apenas esbozos de las originales he decidido dar una última oportunidad a Lobosoft. Los diversos ataques sufridos, como ya apunté en su día, así como la pésima respuesta del servicio técnico de Igarcom, la empresa con la que tenía contratado el hosting (que te respondan como si un SMS se tratase, con faltas de ortografía inclusive, te da mucho que pensar sobre una compañía), así como la continua entrada de visitantes "paracaidistas", que llegaban al blog buscando algo, lo tomaban (o no) y se marchaban han llegado a hacer que me canse del blog. No descargo mi parte de culpa; tal vez no he sabido llegar a los lectores. Otros de mis blogs han quedado olvidados en la blogosfera y, sin embargo, un par de ellos me están deparando muchísimas satisfacciones. Y me gustaría que Lobosoft, que es reflejo de mi profesión y de una de mis mayores aficiones, me deparase otras tantas.

Lobosoft nació casualmente. El dominio lo registré porque es un nombre que venía usando desde antes de comenzar la carrera de Informática y durante un tiempo albergó una página web. Después, por darle uso y "jugar" un poco instalé un Wordpress y comenzó la andadura bloguera lobosoftiana. Me ha traído mucha alegrías y satisfacciones y no pocas quebraduras de cabeza. Además, por mi natural tendencia a la dispersión, de un blog sobre desarrollo de software, algo de informática retro y un poco de seguridad informática (que me encanta aunque no estoy especializado en la misma y mi interés era aprender un poquito más sobre ella) pasó a ser un blog de informática algo "friki" en bastantes entradas. No es algo que me disguste, ciertamente, pero tampoco me terminaba de cuadrar el enfoque que yo mismo les daba. De ahí esta ruptura, el "archivo" de las entradas del blog en otra dirección (http://lobosoft.wordpress.com) y, dentro de unos días, el borrado de todas de este dominio con el resurgimiento de un nuevo Lobosoft.  Durante los tres años de vida del blog he encontrado a muy buenos compañeros a los que me encanta seguir leyendo:  GigA, des, Antonio, Variable Not Found, Albloguera o Lonifasiko son algunos de ellos. A todos, de veras, muchísimas gracias por todo.

Y ahora da comienzo el nuevo blog de Lobosoft. En este año (académico) entrante seguiré con mi licenciatura en Ciencias Ambientales que tantas alegrías me ha dado. Y ando dándole vueltas a un máster en el que han aceptado mi preinscripción pero tengo que evaluar si puedo con todo... no quiero que ahora vuelva a quedarse vacío Lobosoft, más que nunca.

Un saludo y, una vez más, gracias por todo.

Galactic Inbox

Estamos en verano, época indolente donde las haya y los chicos de Google se proponen hacernos pasar un rato divertido además de descubrirnos algunas de las bondades del HTML 5, que cada día está adquiriendo mayor presencia en la web. Así, nos ofrecen el videojuego Galactic Inbox, en el que ocuparemos el lugar de una bandeja de entrada de Gmail dispuesta a liberar nuestros correos y batallar contra el spam.

No cabe duda de que se trata de una iniciativa divertida, muy al uso de Google que, al menos en Chrome no me ha funcionado todo lo rápido y fluida que habría sido de desear, pero que nos muestra cómo el nuevo estándar de la web ha llegado para quedarse.

Ave fénix a la fuerza

Cuando hace apenas un mes hablaba en el blog sobre los profundos cambios que pensaba imprimirle no pensaba que hoy estaría escribiendo sobre la plataforma de Blogger y que me las habría tenido que ver con la empresa de hosting que me daba servicio hasta la fecha. Un nuevo ataque hacker, incluso sobre una última versión de Wordpress y, como os decía antes, con varios plugins de seguridad y una adecuada (aunque a todas luces insuficiente) configuración de los .htaccess del servidor web provocó una nueva suspensión de la cuenta por parte de Igarcom. Después de semanas intentando obtener respuesta por su parte y opciones para solucionar el problema (ya que en ningún momento pude acceder a mi cuenta, ni recopilar información sobre el tipo de ataque sufrido, logs de acceso u otros datos que me permitieran evitar que volviese a ocurrir un hecho tan lamentable) he optado por hacerme cargo de la gestión de mi dominio y volcar el blog en Blogger (con Wordpress lo tenía más complicado ya que, además de acabar de renovar el dominio y el hosting tendría que volver a pagar ahora por la asignación del dominio a la cuenta de Wordpress correspondiente). Queda mucho trabajo por delante, como podréis ver si os dais una vuelta por el mismo: tengo que volver a subir las imágenes y actualizar las entradas. Teniendo en cuenta que son casi 400 las existentes, imaginad el esfuerzo que me queda por hacer para dejar el blog en un estado decente.

Si ya hace un mes mostraba mi cansancio por los problemas que estaba causándome el blog (mantengo otros tres y con ninguno he tenido tanto problema como con este), la dejadez de la empresa a la que acabo de pagar por sus servicios ha terminado por hastiarme. Me consta que se reservan el derecho de suspender una cuenta si desde ella se produce algún ataque, pero no me han facilitado de modo alguno el que no fuese atacado yo mismo. De hecho, he encontrado más páginas alojadas en sus servidores también con cuentas suspendidas, lo que me da que pensar acerca de la seguridad de las propias máquinas, más allá de las webs que alojan. En fin, este es otro tema aparte con el que tendré que lidiar.

Respecto al blog, qué deciros… Me apasiona y me encanta. Aprendo muchísimo con él y, sobre todo, con los lectores que aportan sus opiniones, sus conocimientos. Hablo de seguridad pero no soy un experto en la misma, de modo que lo hago desde la perspectiva de informático interesado en la misma. He aprendido mucho con algunos de vosotros que, es a todas luces evidente, sois unos verdaderos expertos. ¿Sobre programación? Ahí sí que me defiendo más (¡qué remedio! :D) y me encanta poder aportar algo a la comunidad. Aunque sea una pequeña píldora de conocimiento. Pero me cansa dedicar tiempo a la gestión del blog, máxime cuando escribo porque me gusta, lo hago por amor al arte, como suele decirse y, como os decía, mantengo otros blogs que me dan menos quebraderos de cabeza. Ya os comentaba a finales del año pasado que me embarcaba en otras aventuras: trabajo, una nueva carrera, los blogs… Para el próximo año es posible que incluso les sume la realización de un máster en comunicaciones y gestión de contenidos (si es así, ya iré contando alguna que otra experiencia en el blog)… Demasiadas cosas y apenas tiempo para perderlo en cosas que mermen la energía sin aportarme nada.

Siento la entrada, siento el pesimismo, pero resulta cansado ver cómo años de esfuerzo son atacados una y otra vez sin motivo aparente.

Lobosoft vuelve, esperemos que para quedarse. Un saludo y gracias a quienes, a pesar de todo, seguís ahí.

Borrador automático

Cómo añadir nuestros ensamblados en el GAC a Visual Studio

Cuando desarrollamos una librería que deseamos que sea usada por muchas de nuestras aplicaciones o desplegamos una (o varias) que incluyen componentes, controles o funcionalidad disponible como, por ejemplo, la de una API, deseamos que esté disponible para nuestras aplicaciones. El GAC resulta, como bien sabéis, el lugar idóneo desde el que gestionar las distintas versiones de las DLLs de código administrado en nuestro sistema. Sin embargo, aunque registremos las DLLs en el mismo, estas no aparecen en el diálogo de Visual Studio para agregar una referencia a nuestro proyecto. Esto ocurre porque Visual Studio busca los ensamblados en rutas del tipo C:\Windows\Microsoft.NET\Framework\vx.y.z, pero aunque el CLR sea capaz de cargar ensamblados del GAC, este es independiente de nuestro IDE preferido.

Supongamos que ubicamos nuestras DLLs en la ruta C:\SomePath\LsAssemblies y las registramos en el GAC usando gacutil.exe. Cuando Visual Studio (en su versión x.y) busca los ensamblados al añadir una referencia lo hace a través de la clave de registro

HKLM\Software\VisualStudio\x.y\AssemblyFolders

Cada subclave representa una carpeta de ensamblados. Aunque el nombre no tiene la menor relevancia, el valor predeterminado debe contener la ruta completa a la carpeta que contendrá los nuestros. Por ejemplo:

HKLM\Software\Microsoft\VisualStudio\9.0\AssemblyFolders\LobosoftAssemblies \ (Default value): C:\SomePath\LsAssemblies

Como apunte final, cabría señalar que si en la ruta donde situamos las DLLs dejamos también los archivos para la depuración (PDB) y la documentación (XML), Visual Studio los usará cuando cargue la DLL para permitir la depuración en ese ensamblado y mostrar la documentación de Intellisense.

En la Visual Studio Gallery he encontrado también una extensión que nos ayuda a referencias DLLs del GAC. Su nombre es Muse.VSExtensions y permite mostrar un diálogo “Add GAC Reference” en nuestro Visual Studio 2010.

Seguridad en WordPress

Tras el ataque sufrido en Lobosoft me he visto obligado a adelantar un poco la dedicación al blog (que tenía pensado incrementar, como ya dije, hacia mediados de junio), llevar a cabo una limpieza del mismo y actualizar, ya no la versión del mismo pero sí algunos plugins que podrían estar en el origen del ataque (fallo por mi parte al utilizar demasiados, aunque alguna de la funcionalidad extendidad del blog está basada, mucho me temo, en ellos).

El script que “me colaron” básicamente se encarga de permitir al atacante subir un archivo a la web con lo cual, dicho pronto y claro, la seguridad completa del sitio queda claramente comprometida. He estado buscando en Internet y parece que es un script genérico que ha sido instalado en numerosos servidores, sobre todo tipo de CMS y foros (y otras aplicaciones web), por lo que en sí no es más que una herramienta más que utilizar para atacar el sitio o usarlo como plataforma para fines oscuros y perversos. ;)

Uno de los blogs que he encontrado con el problema en cuestión es Brian's World, que muestra el código en cuestión. En mi caso no habían llegado ni tan siquiera a inyectarlo en uno de los archivos de Wordpress, sino que se encontraba replicado en varios archivos PHP con nombre similares (con un prefijo añadido) a los contenidos en un par de plugins y en el tema de Wordpress que da estilo al blog.
Dejo por aquí una extensa lista de referencias a la seguridad en Wordpress (algunas aplicables a otros CMS) que nunca está de más tener en cuenta. E incluso así, a pesar de lo que afirme nuestro amigo GigA, me temo que nada es demasiado seguro.

Feliz lectura.

Para saber más:

En castellano.

• Consejos para tener un WordPress seguro.
  
  
  
  • Crear una instalación de WordPress segura.
  
  
  • Mod-Security y WordPress: Defensa en profundidad.
  
  
  
  


• Cinco consejos de seguridad para WordPress.


• WordPress Security Cheat Sheet 1.0 (en español).


• ¿Cómo proteger tus blogs Wordpress de los hackers?


• Proteger el archivo wp-config.php.


• Cómo incrementar la seguridad de una web creada con Wordpress.


• 10 pasos para proteger tu panel de administrador.


• Reubicar wp-content y wp-config.php con Wordpress 2.6.


• (In)seguridad en WordPress, por Stefan Esser.

En inglés.

• Wordpress Security Whitepaper.


• Wordpress Security Tips and Hacks.


• WordPress Security – A Comprehensive Guide.


• 11 Best ways to improve WordPress Security.


• WordPress Security, Upgrades and Backups.


• 16 Excellent Wordpress Security Plugins To Secure Your Blog.


• Don’t Get Hacked: WordPress Security Tips.

Más allá de WordPress.

• .Htaccess rewrites, Mod_Rewrite Tricks and Tips.


• Web Site Test Tools and Site Management Tools.

La imagen que ilustra la entrada, que me ha encantado, es de Antivirus WordPress.