Archivo

Archive for 31 mayo 2008

Las 10 tecnologías TI que revolucionaran

mayo 31, 2008 1 comentario

Gartner una empresa dedicada a la consultoría en el negocio de las Tecnologías de la Información o TI, esta dando unos seminarios alrededor del mundo llamados "Emerging Trends and Technologies Roadshow" (Exposición de tendencias y tecnologías emergentes), uno de los asistentes a dicho evento ha publicado en su blog ehomeupgrade.com, la lista de lo que serían las 10 tecnologías que redefiniría el negocio de las IT en los próximos cinco años. Dichas tecnología según el orden mencionado en dicho blog, que además son recogidas como ciertas por otros bloggers son:

  1. Multicore and hybrid processors
  2. Virtualization and fabric computing
  3. Social networks and social software
  4. Cloud computing and cloud/Web platforms
  5. Web mashups
  6. User Interface
  7. Ubiquitous computing
  8. Contextual computing
  9. Augmented reality
  10. Semantics

He incluido en cada una de las tecnologías un enlace a una página web donde se las define, donde he encontrado información en español la muestro, en donde no ha sido posible encontrar información en español, el link está apuntando a una página en inglés.

Yo estoy de acuerdo con que las tecnologías propuestas, redibujaran el escenario de las IT en los próximos cinco años. Todo las tecnologías anteriores apuntan a que la tercerización de los data centers reducirá el personal en muchas de las empresas cuyo negocio principal no es las TI, así las empresas medianas y pequeñas sencillamente rentaran poder de computo que reside en Internet, y se comprará éste como actualmente se puede comprar electricidad y agua. Ya no sera necesario hacer un despligue in-house de tecnlogía para poder contar con una infraestructura de red.

Además la forma como desarrollamos el software y las funcionalidades de dicho software van ha cambiar radicalmente, el software tratará de ser más amigable al usuario, en lugar de entrenar al usuario para hacer uso del software, la idea es hacer programas que entiendan al usuario, además de que las interfaces hombre/máquina seran cada vez más invisibles. Adicionalmente el desarrollo del software se volverá más colaborativo y éste evolucionará del paradigma de software como mercadería a software como servicio, pasando de un esquema basado en escritorio a un esquema basado en web.

Las personas que estan dentro de las TI, que no se adapten a éstos cambios, pues definitivamente no tendran muchos lugares donde buscar trabajo en el futuro. La idea básica en las TI es si sabe hacia donde se mueve el mercado, debemos movernos en esa dirección, sino habremos perdido el tren del futuro y alcanzarlo sería sino imposible una tarea muy difícil.

Categorías:Hardware, Internet, Software

PHP Suhosin excelente patch de seguridad para servidores compartidos

Debido a la naturaleza colaborativa del desarrollo de PHP (hay decenas de programadores involucrados de distintas regiones del planeta), es muy difícil que errores en la programación de PHP en sí mismo sean detectables, incluso para los programadores del PHP Core, y por ello se introduce algunas veces errores en funciones de PHP que pueden permitir a un atacante remoto escalar privilegios en el server, o instalar troyanos aprovechando un buffer overflow en alguna función de PHP. Para tratar de contener éste tipo de fallas es que existe un proyecto llamado Suhosin, que se encarga de proteger a los usuarios de PHP de vulnerabilidades conocidas o desconocidas que forman parte del código PHP en sí mismo. Para lograr tal fin Suhosin viene en dos partes que pueden utilizarce en forma separada o conjunta. La primera parte es un pequeño parche al PHP Core (el núcleo del lenguaje), que implementa unas cuantas medidas de protección básica de bajo nivel contra vulnerabilidades debidas a buffer overflow o problemas con el formato de los string (cadenas de texto). La segunda parte de Suhosin es una poderosa extensión que implementa medidas de protección adicionales como puede ser bloquear o desactivar funciones de PHP en caso de necesidad.

Si se usa un hosting compartido, es una muy buena idea instalar Suhosin, porque jamas uno puede estar seguro del código de un cliente que paga por hosting casi nada, y que le resulta extremadamente fácil saltar de un hosting a otro debido a la tremenda oferta existente. Debido a ello no le presta mucha atención a la seguridad de su código.

Adicionalmente a instalar Suhosin, una muy buena medida complementaria es deshabilitar la función eval() de PHP que abre las puertas a que cualquiera que consiga inyectar código en un script PHP puede ejecutar código PHP arbitrário sobre el server. Muchas veces themes o plugins de Joomla, Mambo o WordPress, traen troyanos ocultos por una función base64_decode(), que es luego ejecutada por eval(), hable sobre ello en diciembre del año pasado en un post de éste blog llamado "Troyanos en themes de WordPress", pero parece que la técnica se ha vuelto tan popular para ocultar troyanos que es aplicada en todo script que pretende infectar un webserver.

Entonces para evitar problemas debemos instalar Suhosin y deshabilitar eval(), de esa forma si alguien tiene un site infectado nos llamara para reportar que "el server tiene un error", porque su página no se ve bien. Para conseguir el objetivo anterior debemos de hacer éstos simple pasos en nuestro Debian (en Ubuntu sólo añadir sudo delante de cada comando):

# apt-get install php5-suhosin
# echo "suhosin.executor.disable_eval=On" >> /etc/php5/apache2/php.ini
# /etc/init.d/apache2 force-reload

Y listo, ya tenemos a nuestro servidor un poquito más protegido que antes, ahora al menos los troyanos no se ejecutaran tan fácilmente, los forzamos a ser más visibles. Complementariamente siempre es buena idea deshabilitar las fuciones que permiten ejecutar comandos del sistema con los privilegios del usuario del webserver (en Debian www-data), para ello edite el archivo /etc/php5/apache2/php.ini busque la línea que diga "disable_functions" y agregue la lista de funciones shell que desea deshabilitar separadas por comas, una buena idea es poner éstos valores:

disable_functions = exec, system, escapeshellcmd

No hay que olvidar reiniciar el apache, para que los cambios en el php.ini tengan efecto. Espero que toda esta información les haya sido de utilidad y los ayude a proteger sus servidores web.

Categorías:PHP, Seguridad

YouTube la nueva mina de oro de Google

Mis dos temas favoritos de lectura son como el nombre de éste blog lo indica la tecnología y los negocios, en el tema de negocios uno de los más prestigiosos portales de noticias es el de la popular revista Forbes, pues dando una ojeada a dicho portal he encontrado datos interesantísimos sobre el balance al segundo año de la adquisición de YouTube por parte de Google, el artículo en cuestión que me ha llamado la atención se titula GooTube, y les recomiendo su lectura.

En primer lugar el artículo nos recuerda que al momento de la adquisición de YouTube, la  pequeña compañía que hace streaming de video en Internet apenas contaba con 63 empleados, y sin embargo Google pago por ella 1.6 mil millones de dólares, una cantidad astronómica para una empresa que no producía ningun ingreso, sin embargo luego de 2 años de la adquisición las cosas han empezado a cambiar y ahora resulta que Google es poseedora de la estación de televisión más grande del planeta, y las pruebas son contundentes, el 38% de todos los videos que se distribuyen en la web se hace desde la plataforma de YouTube, y ninguno de sus principales competidores llega siquiera a un 4%, además YouTube recibe más visitas que el mismo buscador de Google, aquí les incluyo el gráfico aparecido en Forbes que muestra las impresionantes estadísticas.

GooTube

Inicialmente el objetivo de los fundadores de YouTube fue consiguir visitantes, no preocuparse por producir utilidades, sin embargo desde la llegada de Google las cosas comenzaron a cambiar rápidamente, en menos de un año Google lanzo YouTube en 17 nuevos países (España uno de ellos), y comenzó a incluir publicidad de manera más agresiva, y eso le ha valido producir unos ingresos de 200 millones de dólares éste año y se estima que 350 millones el próximo, aún está muy lejos del ingreso billonario de Google, pero se ha probado que se puede hacer medianamente rentable una empresa con ciertos ajustes. Una de las cosas más impresionantes de la gestión de Google es que ha coseguido expandir YouTube sin abultar la planilla, lo cuál muestra las increibles habilidades de gestión en Google.

Actualmente YouTube, MySpace y Facebook enfrentan el mayor de sus retos pues la llegada de las cadenas de televisión como NBC/Fox con su portal de series de TV hulu.com, o la ABC con su portal abc.com y la CBS con cbs.com, han hecho que el precio de los anuncios en las redes de contenido generado por el usuario (también conocidas como redes sociales), caiga a 18 centavos por cada mil páginas vistas, ya que la mayoría de anunciantes prefieren poner su publicidad en los portales de las cadenas de TV, pues éstas atraen más la atención de los visitantes.

YouTube ha reaccionado ante la amenaza de las cadenas de TV, a través de un novedoso sistema que ofrece la posibilidad de tener canales con el nombre de marca de los anunciantes, y enfocandose en productos de consumo masivo y películas. Es por ello que VIACOM ha iniciado también un juicio contra YouTube, porque al parecer esta estratégia esta comenzando a tener éxito. Como parte de la campaña de Google para buscar nuevos anunciantes para YouTube desde el pasado mes de marzo ha comenzado a desplegar un producto llamado Insight (a la vista), para sus usuarios y anunciantes, que les permite tener acceso a estadísticas detalladas sobre los grupos demográficos que ven los videos; esta información es en tiempo real y así los creadores de contenido como un estudio de cine pueden ver hacia donde orientar por ejemplo su nueva película, o una banda de rock pueden saber que grupo demográfico es su principal seguidor.

Luego de la lectura del artículo de Forbes he llegado a la conclusión de que Google esta mucho más avanzado que Microsoft en el tema de volver rentables los servicios ofrecidos por Internet, Microsoft desde mi punto de vista sigue pensando que estamos en 1980 y que el negocio está en vender software, como si este fuera un producto. Es por ello que creo que Google en un par de años más debe haber desplazado a Microsoft como la empresa del sector informático más rentable del mundo.

Categorías:Google, Internet

Colección de exploits

mayo 30, 2008 2 comentarios

Nunca he creído en la seguridad por oscuridad, es decir, si nadie sabe donde está el punto débil, nadie puede atacarlo. De ser cierta esa aproximación Windows debería de ser el sistema operativo más seguro del planeta, y sin embargo ese no es el caso. Por eso es que yo creo en la política de que muchos ojos pueden detectar los errores más fácilmente y corregirlos en cuánto se detecten.

Últimamente he visto en varios de los websites que hosteo en mi servidor un alarmente aumento de hacking exitoso, aunque muchas veces se debe a problemas de uso, más que a problemas del servidor en sí. Es muy común sobre todo si se hace uso de CMS como puede ser Joomla o WordPress, el tener directorios con privilegios 777 (osea acceso total) que son accesibles directamente via web, para permitir al control panel del CMS instalar themes o plugins, ésto que puede resultar tremendamente cómodo para el usuario, es ciertamente un gran riesgo de seguridad para la aplicación en sí; pues aprovechando esa facilidad cualquiera puede escribir sobre dichos directorios, para luego hacer que el server haga otras cosas.

A veces no es necesario que exista ese error en la configuración de privilegios, un CMS no actualizado y no parchado abre la puerta a otro tipo de ataques como inyección de código a través de SQL (MySQL en muchos casos), y otro tipo de ataques, he encontrado un website llamado milworm, donde como su nombre lo indica hay miles de troyanos y exploits para todas las plataformas (Linux/Windows), además de tutoriales (muchos de ellos en video), que muestran como hacer hacking de aplicaciones web.

Recomiendo que se den una vuelta por dicho website, especialmente si son webmasters o tienen a su cargo algún servidor web y vean por Uds. mismos lo fácil que es hackear un website, y se entienda que la seguridad no es un objetivo a cumplir, sino por el contrario es una filosofía de vida, especialmente si uno se dedica al diseño o administración de websites.

Una forma mucho más segura de permitir el que se suba contenido a directorios publicamente accesibles a través del web server, es usar el FTP (que requiere validación al menos), y si uno es paranoico o se tiene información realmente valiosa usar el sFTP, para ello hay que re-escribir nuestros scripts para hacer uso de dichas funciónes ftp, o alterar el código de nuestro CMS para no usar un simple HTTP/POST para subir archivos al server, sino hacerlo valiendonos de un protocolo que requiera validación como lo es el FTP.

UPDATE: Buscando en diversos websites encontre que los grandes proveedores de contenido social como LiveJournal, Blogger, Vox, etc., pues sencillamente tienen una red de servidores de almacenamiento estático que no corre ningun script sólo sirve de almacenmiento para los videos, fotos, archivos mp3, etc.; y se accede a ellos a través del protocolo WebDAV, lo cuál me parece una idea bastante interesante para explorar.

Categorías:Seguridad

Web 2.0 = Burbuja 2.0

En un artículo publicado en Financial Times, se menciona que las empresas relacionadas a la Web 2.0, han fallado en conseguir rentabilidad. Citando literalmente al artículo: "La falta de ingresos de las redes sociales y blogs, así como todos los otros sitios web de ‘medios sociales’, que ponen al contenido generado por los usuarios como el corazón de su negocio, ha persistido a pesar de más de cuatro años de intentar diversas soluciones encaminadas a volver rentables estos sitios web. Junto con la recesión económia que vive actualmente los Estados Unidos, la escaces de Ofertas Iniciales Publicas [IPO en inglés], el financiamiento de nuevos stars-up se ha visto amenazada."

Tiene mucha razón el análisis efectuado, pues la mayoría de nuevos websites sociales como Twitter, Ning, Facebook o Youtube han demostrado que el dinero que generan es mínimo comparado con el dinero invertido en crearlas y mantenerlas operando, es más muchos de los sitios web sociales dependen de los ingresos provenientes de la publicidad que esta en manos de grandes brokers de publicidad contextual, donde el mayor de ellos es Google con su producto estrella para monetizar websites AdSense, siendo Google en sí mismo una empresa Web 2.0.

Definitivamente el valor de mercado de muchas de éstas empresas esta sobrevaluado y hay claros signos de que estamos ante la presencia de otra burbuja, aunque a diferencia de la anterior burbuja .com, el dinero invertido en éstas nuevas empresas no ha venido del público en general sino de capitalistas especializados en inversiones de riesgo tambien conocidos como VC (Venture Capital), que tienen mucha más experiencia en la gestión del riesgo y suficientes fondos como para poder asimilar pérdidas millonarias.

Sin embargo algo que debemos tener presente es que recien ahora es cuando la web 1.0, tiene un alcance mundial y todos estan familiarizados con ella, es decir es un producto para todo público, por el contrario la web 2.0 sigue siendo en su mayoría un coto privado de early adopters y lunáticos de todo tipo. Probablemente el tiempo de la web 2.0 aún no ha llegado.

Categorías:Internet

Nueva laptop ultra portable de $299

Ahora le toco el turno a 3K Computers, un fabricante de PC’s americano que nos presenta una nueva reencarnación del laptop con pantalla de 7 pulgadas, el equipo se llama Razor Book 400, y esta dentro de la línea de laptops utra portables que se ha hecho tan popular desde la introducción del Aus eeePC.

Las características de ésta laptop no son impresionantes, cuenta con una pantalla de 7" (resolución de 800×480), un CPU single core de 32 bits y 400 MHz, 512 MB de RAM y un disco de estado sólido de 4GB, conexiones de red (ethernet, wireless y modem), además de 3 puertos USB. Cómo toda laptop en su categoría viene con Linux instalado.

La pregunta es qué es lo que no tiene en comparación con una Asus eeePC 4G de $399, pues no tiene webcam, una salida VGA para monitor externo y un procesador que va a la mitad de la velocidad que un Asus. No es una máquina que traiga algo nuevo en la categoría en donde se encuentra, es tan sólo una más. Sin embargo el precio puede resultar atractivo para muchas personas, ya que con los $299 anunciados el día de hoy por 3K Computers para éste modelo compite muy bien contra la Asus eeePC 2G, de igual precio pero de la mitad de espacio de almacenamiento.

Aquí una foto del equipo:

RazorBook 400

Nota: El website de 3K Computers aún muestra el precio anunciado antes del lanzamiento de $399, pero el día de hoy 3K Computers ha hecho público el nuevo precio de $299 por el modelo básico, si intentan comprar en línea veran el nuevo precio de $299 para ésta laptop .

Categorías:Hardware

GAE abierto al público en general hoy día

El día de hoy el nuevo producto Google App Engine, ha comenzado ha estar disponible a cualquiera que lo desee, se acabo la lista de espera. Sólo basta registrarce en http://appengine.google.com/, y se podra acceder al paquete incial que ofrece 500 MB de espacio para almacenar de la aplicación/datos y suficiente poder de computo y ancho de banda para servir 5 millones de páginas al mes. Si se desea algo más de espacio o poder de cómputo Google ofrece la siguiente lista de precios tentativa (publicada en Google Press Center):

  • $0.10 – $0.12 por CPU core la hora
  • $0.15 – $0.18 por GB/mensual de almacenamiento
  • $0.11 – $0.13 por GB de tráfico de salida.
  • $0.09 – $0.11por GB de tráfico de entrada.

El paquete de inicio será libre por siempre con las limitaciones conocidas de espacio y ancho de banda. Adicionalmente Google ha liberado dos extensiones al API, una es para manipulación de imágenes (que permitirá a los desarrolladores escalar, rotar y cortar imágenes en el server), y otra es memcache, que permitirá un más rápido renderizado de las páginas. Definitivamente son muy buenas noticias para todos, especialmente para aquellos que desean crear la nueva aplicación web que cambie Internet

Esperemos que pronto Google pueda ofrecer PHP en adición a Python que sigue siendo el único lenguaje soportado por GAE actualmente.

Categorías:Google