Categoría: Informatica
Hack de VestaCP y correcciones
Esta semana comenzamos con un pequeño gran problema muchos de los que tenemos servidores propios: surgió un hack 0day, es decir, fresquito y sin aviso, que atacaba a VestaCP, el sistema de administración de hosting que muchos utilizamos.
Esto impactó fuerte en proveedores como Digital Ocean que sencillamente dieron de baja cientos de "droplets" de servidores enteros dejando "en bolas" a muchos. En un día ya estaba el fix de seguridad de VestaCP pero obviamente afectó a muchos.
Tuve la suerte de que me avisaron muy rápido, gracias Alberto!, y que rápidamente muchos proveedores cerraron el puerto TCP 8083 que utiliza habitualmente VestaCP. A continuación les dejo los pasos para, primero saber si te infectaron, luego para actualizar desde terminal el VestaCP y tercero para cambiar el puerto a otro que no sea tan fácil de encontrar ya que el ataque masivo se realizó en típico modo "bobo" de pasearse por rangos de IP con un script y no mucho más.
¿Qué le pasa al buscador de Facebook?
Bueno, no se, usualmente no busco nada en Facebook pero luego de ver este artículo en Motherboard quería verificar si en español se estaba dando lo mismo: las sugerencias de búsqueda se van al carajo.
Así de sencillo, los buscadores suelen sugerirte búsquedas antes de que termines de teclear la propia, como para "adivinar" y facilitarte la tarea. El autocompletar es una idea, en papel, muy buena pero en la práctica puede llegar a tener algún que otro problemita.
Primero que nada, que la gente busque mucho algo no significa que sea de tu interés, segundo por más que mucho busquen ¿Y si no se encuentra nada acorde? Por más que busquen algo que allí no está la falta de un resultado debería ser suficiente motivo para no sugerir esa búqueda en particular.
Bueno, tomen el autocompletar más vulgar del mundo, ahí tienen el de Facebook, pasen a ver los ejemplos:
¿Es tan malo tener un password anotado en un papelito?
En mis inicios informáticos no existía el password, era algo reservado para grandes computadoras de empresas inaccesibles, mi vieja máquina de 8 bits no necesitaba de eso, hasta booteaba en un milisegundo, era tan poca la memoria que no existía el concepto. Ni aun en mi PC 286 hizo falta pero recién para cuando empecé a conocer sistemas multiusuario me di cuenta para qué servía y cuando accedí al primer módem era imprescindible.
Un mito que surgía en aquella época era la de memorizar las claves de usuario, pero no podían ser las mismas entre sitios y servicios, así que había que memorizar una gran variedad. Pero no sólo eso, aquél que anotaba en un papel un password era un blasfemo directamente, el anti informático.
Pasaron los años y nos volvimos locos inventando métodos para recordar nuestras claves, algunos terminaron usando la misma para todo, otros pasaron a sistemas de administración de contraseñas (yo digo que éstos son los peores porque no tienen control real de sus cuentas
) y el papelito pasó al olvido.
Pero luego la nube nos dio la posibilidad de anotarnos todas las claves en un archivo y leerlas allí si las olvidábamos, hasta poder copypastear sin problemas ¿Es que acaso alguien tipea un password hoy en día? Si no lo guardó el browser lo copio y pego, ni siquiera podría escribir tanto! (vagos)
Pero he aquí que, entonces, el mayor riesgo ya no es que alguien pueda leer tu password en una agenda que tenías, ya nadie usa agendas, ya nadie las mira, ya nadie las entiende y de pedo saben escribir. El riesgo real es que encuentren la versión digital de tu clave de acceso, esa copia fiel de tus códigos de acceso a cualquier servicio que, para colmo, seguro es la misma en todos los servicios así que sólo basta con robarte una.
Al final del camino aquél postit con la clave no era tan malo, la agenda con teléfonos de la abuela sigue siendo el mejor escondite porque podemos "enterrar" el password de la forma que querramos y sabemos, tenemos la seguridad, que nadie, ningún hacker, tendrá acceso a la misma. ¿Dónde vieron un ladrón que se lleve un anotador de papel? Se podrán llevar la PC entera pero sin la clave de desencripción anotada en la pared en letras de 20 cm no la van a sacar
Así es, hasta podríamos tener las claves explícitas pegadas como empapelado que difícilmente alguien las vería, tan sólo sin decir qué es cualquier clave puede pasar desapercibida. El exceso de información y cadenas de texto es nuestro mejor escondite, un anotador con garabatos y listas de supermercado termina siendo el mejor escondite para tus passwords más reservados.
PS: tampoco digo que sea la mejor opción, sólo estaba divagando
PS2: creo que técnicamente, en mi vida, yo ya cometí todos los errores posibles con mis claves
Neutralidad de la red ¿Por qué?
No esperaba escribir sobre el tema en mi blog porque lo vi escrito en un millón de lugares pero ayer me encontré con la consulta, alguien quien sabe de mucho y es muy docente sobre sus temas preferidos no tenía una referencia clara ni concisa sobre este tema. Me sentí obligado a expresarme.
En estos momentos en los EEUU el tema de la Neutralidad de la Red está muy en boga, por aquí nos desentendemos creyendo que lo que sucede en dicho país no nos afectará demasiado, pero este es un problema global, no local, es algo que puede afectar todo lo que hasta ahora conocemos como Internet, las telecomunicaciones en general y los derechos más básicos del actual siglo.
Obviamente muchos han escrito mejores ensayos y explicaciones, yo tan sólo quería contarlo con mis palabras.
Cómo tener tu propia VPN (y no depender de nadie)
El otro día quería ver si era posible tener mi propia VPN, red privada virtual, y sí, lo encontré fácilmente: OpenVPN.
Pero claro, los tutoriales suelen estar bien llenos de información y no todo usuario linuxero está preparado para entenderlo. Así que busqué un poco más y creo que dí con una buena solución.
Cómo bajar MP3 al "viejo estilo": Soulseek
¿Que no usas Spotify? No estás loco, para nada, muchos odiamos la idea de tener que escuchar música con interrupciones imposibles, no nos molesta la radio FM con publicidades y eso, cosas como Spotify que sólo estan pensadas para que paguemos una suscripción e interrumpen cualquier música con los audios más deplorables para incentivarte al pago de una cuenta premium.
Existimos en el mundo seres más normales, no nos sentimos piratas, hasta pagamos Netflix, pero el streaming de música por alguna razón nos incita algo más bajo, descargar como en los "viejos tiempos", hasta pagaríamos por hacerlo, pero Spotify no te permite hacerlo de esa manera, te obliga a estar online.
Justo el otro día leía una nota del clásico Soulseek y me propuse chequear si existe todavía y si funciona...
Cómo tener tu propio hosting usando Vesta CP
Desde hace un tiempo que tengo que lidiar con dos opciones posibles, o un servidor compartido, típica opción de los hostings, o un VPS donde tengo que arremangarme y ponerme a configurar todo de cero. Pero hay una tercera opción que es la de utilizar un paquete que prepare tu VPS como un hosting completo.
Esto no reemplaza, para nada, los buenos servicios de hosting que hay ya que éstos te ofrecen backup y soporte técnico, así que para casos críticos donde uno instala el sitio de un cliente importante sigo recomendando una infraestructura mayor. Ahora bien, para todo lo demás, eso que uno puede manejar por cuenta propia (ej: sitios propios, experimentos, trabajos, etc.) esta es una excelente opción: volverte tu propio hosting.
En resumen aquí les voy a explicar cómo instalar Vesta CP que es una de las tantas opciones para armar tu propio servidor. Hay más variadas, más completas y más complejas también, pero esta es libre, gratuita y, por suerte, funciona a la perfección.
Google y su sistema antimalware pueden condenar tu sitio
Un falso positivo, un enlace a un sitio externo, sólo con eso Google puede condenar tu sitio.
El sistema para bloquear malware está bien a medias, es decir te puede proteger pero también te puede condenar , principalmente a los dueños de un sitio. Esta semana me tocó a mí en LinksDV.com
La cuestión es la siguiente, LinksDV enlaza sitios, para poder llevar una contabilidad los enlaces pasaban por un redireccionador, una página intermedia que contabilizaba el click. El spider que analiza sitios de Google, por alguna razón desconocida (en mi opinión tiene una falla de diseño) toma ese enlace (el destino) como parte del sitio (origen), lo que claramente no es así pero por lo visto ni le importa.
Esto implica que si del otro lado (destino) hay una inyección de malware se la asigna al sitio tuyo (origen) lo que es bastante boludo por parte del sistema de Google porque el sitio bloqueado no es el infectado.
Pero en este caso noté que mi "culpa" es sencillamente linkear a gente a un sitio infectado, se imaginarán que esto está a la altura del acoso básicamente, es decir, no cometí ningún crimen, mi sitio no está infectado, está el otro (por ahí ni lo está porque ya lo limpiaron), es Google jugando a policía con sitios de terceros, bizarro.
El problema con todo esto es que la revisión le lleva hasta 72 horas, es decir, para bajarte el sitio son inmediatos, para devolvertelo se toman su tiempo. El sistema está roto desde su diseño, no entiende un redirect y decide unilateralmente bloquear el sitio en todos los browsers Chrome.
Obviamente si al ver la ruleta o los LDV les aparece la caja roja sabrán que no estan entrando a un sitio infectado, sólo que el sistema de Google está roto desde su diseño.
Anti Anti Adblock
Si, así como leen, ya hablamos una y mil veces del tema del adblock, desde la cuestión moral-ética de si usarlo o no, que hay muchos sitios que viven de lo poco que generan en publicidad contra el abuso de espacios saturados donde el contenido desapareció y es todo banner.
Por eso hay dos formas de trabajar el tema, sugiriéndole al lector una ayuda "che, no me bloquees los anuncios, es lo único que genera esto" al abusivo "te bloqueo y no podés ver nada por usar adblock".
Este último me parece nefasto, es descarado y deshonesto, la gran mayoría usa bloqueadores de publicidad porque el rendimiento de sus PCs es paupérrimo con tanto banner y javascript inyectado, no por "maldad" contra el autor del sitio. Poner un bloqueador de adblock, sí, así se llama, es un abuso y peor falta de respeto que el uso de la herramienta misma.
BitTorrent 2017 ¿Por dónde andan?
Cada tanto escribo una nota hablando de BitTorrent, ya no para explicar qué es, sino para tratar de compartir entre todos lo que tengamos de data al respecto.
Desde ya que la descarga de contenidos con copyright y todo eso es ilegal en muchos países pero, seamos sinceros, hace ya años que eso nos chupa un reverendísimo huevo y hubo un cambio notable en el reclamo de la industria al respecto.
Hoy con tanto streaming el ojo está puesto en otro lado y tenemos cierta "libertad" en el tercer mundo así que hoy vamos a compartir un poco sobre el tema...
461 Noticias (47 páginas, 10 por página)