You are on page 1of 27

GRATIS Versión Live y

de instalación. Más info en pág. 3.

INTRUSIONES
Evita los ataques antes de que sucedan

NÚMERO 88 • P.V.P 6,95
CANARIAS • P.V.P 7,05

EVITA LOS ATAQUES ANTES DE QUE OCURRAN

INTRUSIONES
■ Exploits de redes IPv6 ■ Escalada de privilegios ■ Análisis forense con Wireshark ■ Escaneo de vulnerabilidades con OpenVAS ■ Ataques laterales

JARDUINO
Cuida de tus plantas a distancia

PHONEGAP
Crea apps para Android con HTML5

Convierte tu PC en un cine 3D por unos pocos euros

Cine 3D con Linux
ARDESIA
Bocetos rápidos en tu escritorio

MINDRAIDER
Organiza tus pensamientos con mapas mentales

WWW.LINUX- MAGAZINE.ES

4.95
Euros

DVD

D está sticarlo ¿DVD tu DVD diagno s para es que
e.e Si cre agazin nux-m evo. u n dvd@li s uno o m ie v te en

a O? stado, escríbenosue S O U T q e l o para EFEC en ma

Arranque
El DVD incluido con este número de Linux Magazine contiene una versión Live y de instalación de Manjaro 0.8.2. Esto significa que puedes probar esta distro sin instalar nada en tu disco duro. Para empezar a usar tu Linux, inserta el DVD en el reproductor y reinicia el ordenador. Si no aparece el menú del DVD, tienes que ajustar la BIOS para arrancar desde el disco. Para hacerlo, normalmente has de pulsar una tecla durante las primeras fases del arranque del ordenador (habitualmente F2 o Supr), buscar el menú que permite cambiar la secuencia de arranque de dispositivos y colocar el lector de DVDs en el primer lugar de la secuencia. Después, guarda los cambios y sal de la herramienta de configuración para que se reinicie el arranque. Como cada BIOS es diferente, recomendamos consultar la documentación del fabricante para realizar esta operación.

MANJARO 0.8.2
i hay algo más interesante que descubrir nuevas funcionalidades en las últimas versiones de distros conocidas, es descubrir nuevas distros que nos habían pasado completamente desapercibidas. Una de esas distros es Manjaro, una derivada de Arch, pequeña, ligera, increíblemente bien surtida de software y muy sencilla de instalar y configurar. De serie viene con un exquisito escritorio Xfce, aunque también puedes optar por su sabor Canela (Cinnamon/Gnome3) o KDE, y con lo último en lo que se refiere a aplicaciones: GIMP 2.8, Firefox 16, LibreOffice 3, etc. Además, Manjaro es una distro rolling, es decir, que puede actualizarse continuamente sin jamás tener que instalar una nueva versión. Y hablando de instalación, a pesar del primitivo aspecto del instalador basado en texto, el proceso es muy fácil y cuenta con múltiples asistentes para detectar y configurar tu hardware. ■

S

RECURSOS
[1] Sitio de Manjaro:

http://blog.manjaro.org/

WWW.LINUX- MAGAZINE.ES

Número 88

3

EDITORIAL

EMPLEO
upongo que es algo que podría aplicarse a más ámbitos aparte del Software Libre, pero en el sector se tiene muy asumido que la educación reglada actual no es la adecuada para satisfacer las necesidades de las empresas ni de la comunidad. Ni en primaria, secundaria, FP, universidad, ni siquiera en los cursos, certificaciones y másters posgrado parece dársele a los alumnos los conocimientos o herramientas necesarias para que una empresa verdaderamente de Software Libre se sienta cómoda contratando a una persona en base a exclusivamente lo adquirido en colegios, institutos o facultades. No sólo la mayoría de las empresas consideran la educación reglada insuficiente, sino que hacer un exceso de hincapié en títulos y certificados oficiales puede ir en contra de alguien que busque empleo en el sector. Considérese lo siguiente: el otro día estaba comiendo con dos caballeros quienes, entre otras funciones, tienen la responsabilidad de filtrar potenciales candidatos en sus respectivas empresas. Le pregunta que les formulé era: “¿qué factor en el curriculum de un candidato os hace querer entrevistarlo o rechazarlo de plano?” Álvaro, creador del servidor web Cherokee y los WebApps de Ubuntu y que ahora trabaja sobre Open Stack para Red Hat, respondió “Las certificaciones” de inmediato y casi sin pensar. Nacho, creador de Zentyal, y yo le miramos sorprendidos. Supongo que era sintomático que a ambos nos extrañara su respuesta, pero enseguida aclaró: “si veo certificaciones en el cv lo pongo en la pila de NO ENTREVISTAR”. “Las certificaciones Cisco, Microsoft, Oracle, o lo que sea, – siguió – lo único que me indican es que tienes dinero para comprarlas. Si quieres impresionarme, enséñame tu cuenta GitHub o el código que has aportado a algún proyecto.” Puede que haya algo intrínsecamente contrario a la formación reglada que hace que ésta no sea adaptable comple-

S

tamente a la cultura de “hazlo tú mismo” de la comunidad e industria del Software Libre y viceversa. Como comentó Linus Torvalds en la última LinuxCon de Barcelona cuando le preguntaban por el objetivo del desarrollo del kernel: “no hay un plan” y todo el mundo estaba totalmente satisfecho con esto. Este “dejar que las cosas se desarrollen orgánicamente” es algo que casa mal con las constricciones de los programas académicos tradicionales, pero tal vez es algo que debería mirarse. Porque la cosa funciona también a la inversa: la inflexiblidad que encontramos en las escuelas, la poca voluntad de los responsables de la educación, sean los que legislan sobre el tema, como los docentes de salir de su “zona de confort” y de integrar la mutabilidad de cualquier área de la sociedad al “simulacro” que es el aula, crea un divorcio entre lo que se dice que se pretende (preparar a los alumnos para desenvolverse en el mundo real) y lo que finalmente se consigue (casi-adultos pésimamente equipados para los retos fuera de las instituciones académicas y con expectativas totalmente equivocadas sobre su capacidad laboral). No en vano, Ignacio y Álvaro, en la conversación citada arriba, coincidieron en señalar que a la hora de considerar la contratación de candidatos, apreciaban que se hubiera trabajado fuera del ámbito exclusivamente de la carrera universitaria en algún proyecto abierto. Para ellos no sólo garantiza la experiencia del futuro colaborador con herramientas y metodologías habituales en sus empresas, sino que demuestra de manera objetiva que se posee una motivación difícilmente igualable por alguien que se hubiera limitado a aprobar sus exámenes. Refórmese pues el modelo educativo, pero no de la manera cínica, manipuladora y partidista que le suelen imprimir

Nos sentimos orgullosos de nuestros orígenes como publicación, que se remonta a los primeros días de la revolución Linux. Nuestra revista hermana, la publicación alemana Linux Magazine, fundada en 1994, fue la primera revista dedicada a Linux en Europa. Desde aquellas tempranas fechas hasta hoy, nuestra red y experiencia han crecido y se han expandido a la par que la comunidad Linux a lo ancho y largo del mundo. Como lector de Linux Magazine, te unes a una red de información dedicada a la distribución del conocimiento y experiencia técnica. No nos limitamos a informar sobre el movimiento Linux y de Software Libre, sino que somos parte integral de él.

los políticos a estas cosas, sino intentando trazar paralelismos con la manera de trabajar del Software Libre. Adaptando el plan sin plan, dejando que la incertidumbre del mundo real se filtre a las aulas y relajando en cierta medida las ligaduras de programas y prioridades impuestas, puede que podamos recuperar la iniciativa y, como efecto secundario, la motivación de los alumnos, estimulándolos a que exploren lo que realmente deseen aprender y, en consecuencia, hacer con sus vidas. ¿Qué puede ir mal? La apatía, que es lo que tenemos ahora, no le es útil a nadie, ni a los alumnos, ni a los docentes, ni a los potenciales empleadores. Pero un ejército de estudiantes motivados, sea cual sea la disciplina en la que han decidido especializarse, eso es algo de lo que incluso la sociedad más miope se puede ■ aprovechar.

Paul C. Brown Director

4

Número 88

WWW.LINUX- MAGAZINE.ES

CONTENIDOS Magazine sollte nº 88 hier stehen COVER STORY• Linux Schlagwort

PORTADA
10 Puerta Trasera
Si has habilitado IPv6 en tu red sin tener en cuenta los elementos básicos de seguridad, puede que les hayas dejado la puerta abierta a los atacantes. En este artículo, se demuestra cómo se puede realizar un ataque con éxito a un servidor por medio de IPv6 y se explica cómo maneja IPv6 las herramientas más populares.

PRÁCTICO
22 Una Aguja en un Pajar
Wireshark no sólo funciona en tiempo real. Si guardas un historial de la actividad de la red en un fichero pcap utilizando una herramienta como tcpdump, puedes filtrar los datos con Wireshark para buscar alguna prueba.

37 Escritor Fantasma
Insertar frases y automatizar tareas recurrentes con AutoKey, es posible independientemente de la aplicación que estemos usando.

DESARROLLO
41 Mi Segunda App
Con PhoneGap el desarrollo de aplicaciones multiplataforma para Android, iOS y compañía resulta un juego de niños. El diseño de la app se apoya principalmente en tecnologías estándar de la web, pero también es posible el acceso a funciones nativas del smartphone.

17 Vida Extra
Os mostramos un ejemplo de ataque con algunas de las técnicas que los intrusos usan para incrementar sus privilegios.

49 Tirar de la Manta
Si controlamos la línea Ethernet o el router inalámbrico, podemos inyectar contenido nuevo a los dispositivos conectados o hacerles creer que están en el otro lado del mundo, incluso si no están dispuestos a cooperar.

28 Seguridad en la Red
A medida que la infraestructura de las Tecnologías de la Información incrementa su complejidad, los escáneres de vulnerabilidades se vuelven más imprescindibles. Si no estás interesado en contratar los servicios de consultoría de un profesional del sector, puede que prefieras confiar en un software especializado como OpenVAS para la tarea de detectar vulnerabilidades.

ADMINISTRACIÓN
53 Monitor de Procesos
La herramienta gráfica QPS libera a los administradores de sistemas de las ambigüedades kafkianas acerca de la causa, historia y efectos colaterales de los procesos en ejecución. Dependiendo de la vista, dominará la escena la claridad y sencillez o la información detallada.

LINUX MAGAZINE
03 04 81 81 82 DVD Linux Magazine Editorial Eventos Información de Contacto Próximo Número

34 Navegando por el Lado Oculto
A veces, los mensajes de error o las entradas en los registros son demasiado elocuentes y revelan demasiada información a los atacantes.

6

Número 88

WWW.LINUX- MAGAZINE.ES

HARDWARE
54 Plantas que Hablan
Todos tenemos alguna planta en nuestra casa y aunque se consideran seres vivos autosuficientes, necesitan ciertos cuidados por nuestra parte para sobrevivir. Con unos sensores Arduino y un poco de programación se los podemos proporcionar.

LINUX USER
67 Retén ese Pensamiento
La aplicación digital para tomar notas MindRaider nos permite organizar y visualizar nuestros pensamientos como mapas mentales.

71 Profundidad de Visión
El reproductor multimedia Bino soporta varios formatos y técnicas 3D. En combinación con un monitor LG D2342P, podemos convertir el PC doméstico en un cine 3D por sólo un puñado de euros.

LINUX USER
60 A Golpe de Lista
Mostramos cómo implementar una solución sencilla para el seguimiento de todas nuestras listas de quehaceres con la aplicación web First Things First.

COMUNIDAD
76 Konsultorio
Klaus Knopper, creador de Knoppix, vuelve un mes más para responder a las preguntas de los lectores. Este mes: Arranque GRUB en OpenSUSE, Valores MSS, ¡Ay el Wireless! y Windows Virtual.

64 Bocetos sobre la Marcha
El software de bocetos Ardesia y el gestor de composición te dejan dibujar a mano alzada encima del escritorio, lo que te permite sorprender en una presentación y darle al público un toque extra de información adicional.

79 Legal
José María Lancho, abogado y presidente de HispaLinux, contesta a las preguntas legales de los lectores. Este mes: los ordenadores con el arranque seguro de Microsoft activado, ¿infringen la legislación sobre competencia si existe la opción de desactivar esa opción?

80 Bricolaje
Maddog imagina cómo sería tener un baño de Microsoft.

talles e d s á para m 3 0 p r Ve

WWW.LINUX- MAGAZINE.ES

Número 88

7

Adonde vayas...

Lee Linux Magazine desde cualquier sitio con nuestra subscripción digital. Accede a todos los números en PDF entrando en nuestro sitio. Encuentra lo que buscas con un sencillo formulario de búsqueda. Mantén tu propia biblioteca de artículos y léelos desde cualquier dispositivo.

... Linux Magazine va contigo.
http://www.linux-magazine.es/digital

PORTADA • Ataques Laterales

Algu nas a plica cion es w eb e nvía n inf orma ción inne cesa ria a

los a taca ntes

A veces, los mensajes de error o las entradas en los registros son demasiado elocuentes y revelan demasiada información a los atacantes. POR SEBASTIAN SCHINZEL

i creyésemos lo que sale en las películas, los hackers expertos tan sólo necesitarían teclear unas cuantos caracteres crípticos en la línea de comandos para obtener acceso completo a un sistema en cuestión de segundos. La realidad, sin embargo, es distinta. Los ataques de los sistemas TI normalmente no son tan fáciles de llevar a cabo. Por el contrario, los hackers a menudo necesitan días o semanas para tener éxito. Durante este tiempo, el intruso explora el sistema para encontrar una forma de colarse entre las medidas de seguridad, determina la mejor estrategia para realizar el ataque y evita que las entradas en los registros lo delaten. Este tipo de ataques a menudo suceden en varias etapas sucesivas y se denominan ataques de canal lateral si hacen uso de la información oculta que han obtenido del propio sistema. Si este escrutinio se basa en el hardware, puede incluir tiempos de ejecución, consumo de potencia del procesador o radiaciones electromagnéticas. Si el atacante se centra en los recursos software, se basará en los mensajes de error o en las entradas de los registros. Un intruso que esté buscando información sobre el software podría intentar averi-

S

guar la versión y el nivel de revisión del sistema operativo, la base de datos, los componentes de red o cualquier otra aplicación activa. El estudio podría incluir también las rutas de los ficheros con datos confidenciales o la de los ficheros de configuración. Por supuesto, la seguridad de los cifrados y de las firmas criptográficas dependen en última instancia de mantener las claves en secreto (principio de Kerckhoffs) – pero, ¿por qué proporcionarle a un atacante un punto de partida revelándole pistas, tales como los algoritmos de cifrado criptográficos? Sin esta información, el atacante tendría que pasar bastante tiempo indagando en busca de respuestas. La “seguridad por ocultación” tiene fama de ser una mala medida de seguridad en el caso de que la seguridad del sistema se base en ella. Pero, por otro lado, un sistema no va a ser más seguro porque revelemos los detalles, ya que esto sólo le facilitaría la vida a los hackers. Sin embargo, algunos sistemas revelan demasiada información por defecto y comparten datos tales como el fabricante, la versión o el nivel de revisión con los atacantes. Por ejemplo, la configuración por defecto del servidor

web Apache no sólo revela su propia identidad, sino que también detalla información sobre la versión de las extensiones cargadas tal y como se muestra en el siguiente listado.
Apache/2.2.16 (Debian)U DAV/2 SVN/1.6.12 mod_fcgid/2.3.6U Phusion_Passenger/3.0.11 mod_ssl/2.2.16U OpenSSL/0.9.8o Server at www.domain.tld Port 80

Mensajes de Error Traicioneros
Los mensajes de errores técnicos de los servidores web, tales como las trazas de la pila, son otra fuente de información. Estos mensajes no sólo informan a los usuarios de las condiciones de los errores, sino que también revelan información confidencial que va más allá del fabricante y el número de versión. Esta información incluye, por ejemplo, las rutas de los ficheros que la aplicación utiliza:
Warning: include( ): FailedU opening ‘File.php’U for inclusionU

34

Número 88

WWW.LINUX- MAGAZINE.ES

Allan Swart - 123RF.com

Ataques Laterales • PORTADA

(include_path=’.:’)U in /home/wwwU /domain.tld/http/index.phpU on line 42

El ejemplo anterior muestra un mensaje que se ha producido en una aplicación PHP. Aquí, el atacante puede averiguar que la aplicación no ha encontrado un fichero denominado file.php y descubre la ruta local en el sistema de ficheros del servidor, en el que la aplicación web se encuentra funcionando. En este caso, el atacante podría incluso deducir las rutas de los ficheros a otros sitios web que se encuentren hospedados en ese servidor, ya que el nombre de dominio forma parte de la ruta. A partir de aquí, sería muy fácil adivinar que el dominio example.com residiría en la ruta /home/www/example.com/http/. Pero, incluso si una aplicación no es tan elocuente, a menudo revela más detalles sobre la misma que lo que podríamos pensar. Por ejemplo, la pantalla de conexión de una página web, que consista en un nombre de usuario y una contraseña. Si el atacante introduce una combinación arbitraria de nombre/contraseña y el servidor responde con un mensaje de error informando que el nombre de usuario no es válido, el atacante sabrá que ese nombre de usuario no existe. La Figura 1 muestra que la Wikipedia libremente comunica esta información. Esta información es interesante desde el punto de vista del atacante que quiera realizar un ataque por fuerza bruta con un nombre de usuario existente. Así pues, los sitios web deberían responder con un mensaje de error genérico, indicando un error pero sin revelar ninguna información sobre las cuentas de los usuarios. En casos extremos, simplemente el hecho de que un atacante pueda detectar condiciones de error puede conducirnos a vulnerabilidades fatales. Por ejemplo, Jager y Somorovsky recientemente publicaron un ataque en el cifrado estándar “XML Encryption” que proporciona a un atacante la capacidad de descifrar el texto cifrado [1]. El atacante tiene que ser capaz de hacerse con el texto cifrado y enviar una versión modificada del mismo al servidor de destino. El simple hecho de que el servidor devuelva o no un error de cifrado es suficiente para que el atacante pueda descifrar los bytes

individuales del texto cifrado. En el ataque descrito, el atacante sólo requiere alrededor de 14 peticiones al servidor para descifrar un byte del texto cifrado. El caso anterior está basado en el Figura 1: La Wikipedia revela de forma innecesaria si un usuario existe ataque “padding o no. Esto permite llevar a cabo ataques por fuerza bruta. oracle” que fue ciertas configuraciones para el usuario y descubierto en 2002 por Serge Vaudenay comienza una sesión por medio de la y que recientemente fue utilizado por función PHP session_start(). Esta llaJuliano Rizzo y Thai Duong [2] para mada también afecta a los parámetros de romper los captchas y ver el estado de la caché que el servidor revela en la los frameworks de desarrollo web. Los cabecera HTTP. Por ello, las directivas de desarrolladores de las aplicaciones vulla caché en la cabecera HTTP se cambian nerables se habían basado en la imposiprecisamente si el nombre de usuario bilidad de que los atacantes pudieran que se ha escogido pertenece a un usualeer los datos. rio administrador válido. Estas diferenLos navegadores de los usuarios cias sólo se aprecian si se buscan especíenvían el texto del captcha al proveedor ficamente, ya que no hay ninguna difedel captcha como un mensaje cifrado, rencia visual que los usuarios o los projunto con el captcha. El proveedor entongramadores puedan ver en el navegador. ces descifra la solución y la compara con Una vulnerabilidad similar se corrigió la entrada del usuario. Esto da la ventaja en la versión 2.3.2 de Postfix Admin, una de que el proveedor del captcha no tiene aplicación web para la gestión del servique manejar la sesión del usuario en el dor de correo Postfix. En las versiones lado del servidor. Rizzo y Duong fueron previas, los atacantes eran capaces de capaces de descifrar la solución por determinar si una dirección de correo medio de la técnica “padding oracle”, de pertenecía o no a un usuario administramodo que rompieron el captcha. Esta dor válido. Para ello, el atacante sólo historia ilustra que un atacante puede a tenía que introducir la dirección del veces romper incluso conceptos criptocorreo electrónico a probar como nomgráficos complicados con tan sólo evabre de usuario en la pantalla de inicio de luar los mensajes de error de un sistema. sesión de Postfix Admin. El resultado era Canales Laterales en la Web que se generaba un mensaje de error y se Hasta aquí los mensajes de error que los le pedía al usuario que corrigiese la atacantes pueden leer directamente han dirección de correo electrónico o la consido proporcionados por el canal lateral. traseña. Sin embargo, había una sutil Sin embargo, una aplicación puede revediferencia: Postfix Admin dejaba la direclar información por medio de pistas ción de correo previamente introducida menos obvias. Un ejemplo de una aplicaen el campo del nombre de usuario si era ción proporcionando demasiada inforcorrecta y pertenecía a una cuenta de mación fue corregido en la versión 4.5.4 administrador. La Figura 2 muestra el del popular sistema de gestión de contetrozo de código HTML que ocasionaba la nidos Typo3: los atacantes eran capaces vulnerabilidad en la pantalla de inicio de de detectar si un nombre de usuario sesión de Postfix Admin. Los trozos en dado era un usuario administrador gris se mostraban o se ocultaban depenválido para Typo3 simplemente evadiendo de si la dirección de correo introluando las peticiones de las cabeceras ducida era correcta o no. HTTP del servidor Typo3 (Tabla 1). La De forma general, estas fugas de inforcausa principal de este error es que mación son muy difíciles de encontrar ya Typo3 separa la tarea de comprobar el que la mayoría de los sitios web populanombre de usuario y la contraseña. Si el res generan partes de la cabecera HTTP y nombre de usuario es válido, se cargan del contenido HTML de forma dinámica.

WWW.LINUX- MAGAZINE.ES

Número 88

35

PORTADA • Ataques Laterales

Tabla 1: Usuarios en Typo3
Nombre de usuario no existente HTTP/1.1 200 OK Date: Mon, 25 Jan 2010 11:47:55 GMT Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 con Suhosin-Patch X-Powered-By: PHP/5.2.6-1+lenny4 Expires: Thu, 19 Nov 1981 08:52:00 GMT Last- Modified: Mon, 25 Jan 2010 11:47:55 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Vary: Accept-Encoding Content-Type: text/html;charset=iso-8859-1 Content-Length: 5472 Nombre de usuario existente HTTP/1.1 200 OK Date: Mon, 25 Jan 2010 11:47:55 GMT Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 con Suhosin-Patch X-Powered-By: PHP/5.2.6-1+lenny4 Expires:0 Cache-Control: no-cache, must-revalidate Pragma: no-cache Last-Modified: Mon, 25 Jan 2010 11:47:45 GMT Vary: Accept-Encoding Content-Type: text/html;charset=iso-8859-1 Content-Length: 5472

Figura 2: Las direcciones válidas e inválidas se manejan de forma diferente, como indican los fragmentos grises.

Por ello, no es sufuciente con comparar las respuestas de múltiples servidores web, sino que hay que buscar diferencias relacionadas con la información confidencial. En 2011, Schinzel y Freiling [3] presentaron un método para encontrar esta clase de contenido dinámico que depende de la información confidencial. En la Figura 3 se muestra la esencia del método. En el primer paso, el atacante realiza n peticiones de conexión con un usuario existente y recopila las respuestas (A_1, A_2, ?, A_n). Luego el atacante continúa realizando n peticiones de conexión con un usuario no existente y recopila las respuestas (B_1, B_2, ?, B_n). En el segundo paso, el atacante forma las subsecuencias comunes más largas

(LCS) de A y B, filtrando todas las partes dinámicas que no dependen de la existencia del usuario. Como resultado X_B X_A contendrán la parte esencial estática de las respuestas. En el tercer paso, el atacante compara X_A con X_B. Si en este paso se encuentran diferencias, estas diferencias dependerán de si el nombre de usuario existe o no, y el atacante habrá encontrado una debilidad genérica en la aplicación. Ahora el atacante podrá lanzar un ataque por fuerza bruta con diferentes nombres de usuario y determinar, en base a las respuestas, si los nombres de usuarios existen o no.

problema, los administradores podrán utilizar el ID de error generado para ver los detalles del mensaje de error. Esta técnica impide que los atacantes obtengan información confidencial por medio del análisis de los mensajes de error. Además, los administradores deberían registrar las condiciones de error y monitorizar el número total de mensajes de error. Si el número de errores se incrementa substancialmente a lo largo del tiempo, o si la mayoría de los errores nos conducen a unos cuantos usuarios, podrían ser los síntomas de un ataque. Los canales laterales originan fugas de información que sólo son visibles bajo una inspección detallada y pueden permanecer indetectados durante años. El canal lateral ilustrado en este artículo es consecuencia de las fugas de información producidas por los fragmentos dinámicos de las secciones HTTP y HTML de los sitios web. Como los sitios web se están convirtiendo en dinámicos, habrá una probabilidad creciente de que aparezcan canales laterales y será cada vez más difícil distinguir entre canales laterales y componentes dinámicos inocuos. Por ello, la carga recae en los programadores de las aplicaciones que deben descubrir estos canales laterales y cerrarlos de forma individual, como ha sido el caso de Postfix Admin y Typo3. ■

RECURSOS
[1] Tibor Jager y Juraj Somorovsky: “How to break XML Encryption”, ACM CCS 2011. [2] Juliano Rizzo y Thai Duong: “Practical Padding Oracle Attacks,” Usenix WOOT 2010. [3] Felix Freiling y Sebastian Schinzel: “Detecting Hidden Storage Side Channel Vulnerabilities in Networked Applications”, IFIP Sec 2012.

Contramedidas

Para impedir la fuga de información por culpa de los mensajes de error, estos deberían ser lo más genéricos posible. Es suficiente, en la mayoría de los casos, mostrar una página genérica a los usuarios, que asigne un ID de error único generado aleatoriamente junto con algún mensaje de Figura 3: Filtrando las partes dinámicas sin referencia a los nom- error genérico. bres de los usuarios se revelan las diferencias que dependen de la Si el usuario no existencia de dichos nombres de usuarios. puede resolver el

El Dr. Sebastian Schinzel es miembro de la plantilla científica de la Universidad de ErlangenNuremberg. Estudia las fugas de información ocultas en las aplicaciones web. Tiene más de seis años de experiencia como autor, ponente y analista de seguridad. Asesora a las empresas sobre la seguridad de las aplicaciones de software.

36

Número 88

WWW.LINUX- MAGAZINE.ES

EL AUTOR

Más del 30% de descuento respecto al precio de portada: Consigue 12 números por 54’90 Euros y todos los DVDs ¡Gratis!

A diferencia de otras publicaciones, Linux Magazine no llenará tu buzón de recordatorios para que renueves tu subscripción. Ésta se renovará automáticamente cada año. Recibirás una confirmación aproximadamente 30 días antes del final de tu periodo de subscripción, pero no se requiere que hagas nada para seguir suscrito.

¡No te pierdas Linux Magazine nunca más! La subscripción te asegura que recibas los conocimientos Linux de más alta calidad en tu domicilio cada mes.

Si por cualquier motivo decides dejar de leer Linux Magazine, puedes cancelar tu subscripción en cualquier momento. Te abonaremos el precio de todos los números que no hayas recibido. Sin preguntas, sin fechas de cancelación, sin problemas.

Linux Magazine es algo más que una revista de Linux. Patrocinamos grupos, congresos, proyectos y eventos relacionados con el Software Libre. Suscribiéndote a Linux Magazine garantizas que podamos seguir apoyando al Software Libre allá donde haga falta.

Perl: Manipulación de Contenido Web • DESARROLLO

Manipular contenido web para dispositivos empotrados

Tirar de la Manta
Si controlamos la línea Ethernet o el router inalámbrico, podemos inyectar contenido nuevo a los dispositivos conectados o hacerles creer que están en el otro lado del mundo, incluso si no están dispuestos a cooperar. POR MICHAEL SCHILLI

H

e tenido un Chumby [2] (véase la Figura 1) en mi escritorio durante casi un año. Puede que estés familiarizado con este radio/reloj despertador con forma de caja que muestra un ticker con las últimas noticias, el tiempo, precios de las acciones y noticias del mundo de la programación, gracias a una colección de aplicaciones configurables. Extrañamente, esta pequeña minipantalla secundaria, que se suele seguir con el rabillo del ojo, es menos molesta que un widget en la pantalla principal, y me permite estar al tanto de los chismes más recientes de Silicon Valley mientras que estoy trabajando, o incluso presenciar el nacimiento de los acontecimientos importantes de la industria del gadget.

DEFCON-2 con anuncios
Hace unas semanas, alguien de los cuarteles generales de Chumby se dejó arrastrar por la tentación de los ingresos por publicidad y decidió colocar un anuncio de 10 segundos de seguros de coche en medio de los canales a los que estoy suscrito (Figura 2). Me metí inmediatamente en DEFCON2 [3] para averiguar si la configuración del Chumby es compatible con un proxy HTTP que me ofreciese un método para capturar y anular los anuncios no solicitados antes de que lleguen a mi Chumby. Una visita al foro me reveló que el Chumby no es compatible con servidores proxy HTTP de forma predeterminada, pero que sí se puede conectar un dispositivo de memoria (véase la Figura 3) con la configuración del proxy (véase la Figura 4) almacenada en el directorio raíz en un archivo llamado userhook0 . Al arrancar con la tarjeta de memoria conectada, el dispositivo reenvía peticiones HTTP a través del servidor proxy, que puede comprobarlas y, si es necesario, manipular las urls.

¿Squid o de Cosecha Propia?
Podemos utilizar Squid [4] como servidor proxy, pero si te gusta el bricolaje, se puede montar un proxy de logging basado en el módulo HTTP::Proxy de CPAN, como se muestra en el Listado 1. La línea 29 inicia el servidor proxy, que escucha en el puerto 9999 del host en 192.168.1.123, acepta las solicitudes HTTP del Chumby y recupera el contenido desde Internet. El filtro request de la línea 17 revisa la solicitud HTTP entrante, extrae la URL y la saca como salida con print. La Figura 5 muestra lo que hace el Chumby, gracias al intermediario.

WWW.LINUX- MAGAZINE.ES

Número 88

49

DESARROLLO • Perl: Manipulación de Contenido Web

Figura 1: El Chumby Ihackernews.com.

muestra

los

últimos

titulares

de

Figura 2: La malvada bruja de los anuncios a las puertas de mis canales Chumby.

Figura 3: El hub USB se conecta a mi Chumby con un adaptador Ethernet e incorpora la memoria USB con el archivo gancho del usuario que contiene la configuración del proxy (véase la Figura 4).

Figura 4: Si conectamos un dispositivo de memoria con un archivo userhook0 en el Chumby, el dispositivo cargará los parámetros del proxy definidos en el archivo durante el arranque.

Para tirar por tierra al anunciante del Chumby, el Listado 2 cambia push_filter para reescribir la dirección URL de la solicitud si el Chumby pide algo de eviladserver.com. Ahora en lugar de molestos anuncios, se ve una imagen de Sandy Beach en mi isla favorita de Hawai, Oahu, con surferos disfrutando de las olas.

Manipular el Proxy
En la línea 25, el entorno de trabajo HTTP::Proxy pasa tres parámetros a la devolución de llamada del filtro: $self contiene una referencia al objeto del filtro en sí; $headers contiene un objeto de cabeceras HTTP y $req tiene el objeto de la petición HTTP. Si la coincidencia del patrón en la línea 28 determina que la URL solicitada apunta a eviladserver. com, la línea 31 configura el objeto de la petición de la función de llamada en $_[2] a

una nueva url, que apunta a la imagen JPG de la playa hawaiana en perlmeister. com. Una pequeña prueba con Firefox y la configuración del proxy en la Figura 6 confirma la redirección, como se muestra en la Figura 7. Por supuesto, algunos dispositivos no permiten que el usuario final configure un proxy. Tomemos el Chumby, por ejemplo: algunas aplicaciones utilizan una librería que simplemente ignora la configuración de proxy. Si no tenemos acceso al código fuente de los programas que se ejecutan en el dispositivo, es necesario recurrir a trucos en las diferentes capas de red para redirigir los paquetes IP salientes a dónde prefiramos.

La Fierecilla Domada
Otro ejemplo es el Kindle de Amazon, que se conecta a una red inalámbrica sin preguntarnos por un servidor proxy

(véase la Figura 8). ¿Qué hacer si la red inalámbrica local necesita un proxy o un túnel para acceder a Internet o si desea ocultar nuestra IP real al servidor de Amazon? Cuando el Kindle se conecta a una red inalámbrica, recoge una IP dinámica del servidor DHCP y se le da la IP de la puerta de enlace predeterminada al mismo tiempo, normalmente la dirección del router de la red local. Cuando el Kindle emite una petición web, envía un paquete dirigido al servidor web a través de la puerta de enlace predeterminada. Si la puerta de entrada resulta ser un router Linksys con firmware Tomato [5], puede capturar y manipular los paquetes utilizando las instrucciones iptables que se muestran en la Figura 9. Por suerte, el dispositivo funciona con Linux con una pila de red completa. La segunda regla verifica si un paquete entrante está diri-

50

Número 88

WWW.LINUX- MAGAZINE.ES

Perl: Manipulación de Contenido Web • DESARROLLO

Figura 6: El cuadro de configuración de conexiones de Firefox apunta el navegador al proxy que modifica.

Figura 5: El proxy de registro mantiene un registro de las direcciones URL de las llamadas Chumby.

gido al puerto 80 de cualquier servidor web y, si es así, redirije el paquete a la dirección del servidor proxy preparado en casa escuchando en el puerto 9999 en una máquina Linux cercana. La primera instrucción de la Figura 9 evita redirigir los paquetes destinados a la propia interfaz web de administración del router. Recoge los paquetes IP entrantes dirigidos al puerto 80 del router. El -d (de destino) apunta a la IP 192.168.20.1 del router. En la fase PREROUTING, la regla establece el objetivo ACCEPT de manera que los paquetes se

envían directamente al servidor web del router sin aplicar las subsiguientes reglas iptables.

Tomato con sshd

Figura 7: Firefox con la configuración del

Listado 1: proxy-logger
01 #!/usr/local/bin/perl -w 02 ############################# 03 # proxy-logger 04 # Mike Schilli, 2012 05 # (m@perlmeister.com) 06 ############################# 07 use strict; 08 use HTTP::Proxy; 09 use HTTP::Proxy:: HeaderFilter::simple; 10 11 my $proxy = HTTP::Proxy->new( 12 host => “192.168.1.123”, 13 port => 9999 14 ); 15 16 $proxy->push_filter( 17 request => 18 HTTP::Proxy::HeaderFilter::si mple->new( 19 sub { 20 my ($self) = @_; 21 22 print $self->proxy 23 ->request->uri(), 24 “\n”; 25 } 26 ) 27 ); 28 29 $proxy->start;

También podemos iniciar un servidor proxy que recoge la imagen predefinida en sshd en el firmware de Tomato e iniciar lugar de los anuncios. sesión en el dispositivo tecleando ssh root@192.168.20.1. Al llegar allí, Para dirigir cualquier paquete devuelto escribimos la contraseña de administrapor el servidor web de destino a través dor que se utiliza para la interfaz web, del router, en lugar de enviarlos directaseguido de ifconfig en la shell que apamente al remitente original, la tercera rece. Este comando revela que la interfaz regla de iptables en la Figura 9 reescribe LAN del router responde al nombre de los paquetes destinados al proxy para br0 y la interfaz WAN se denomina eth0. que especifiquen la dirección del router El equipo con el servidor proxy de logging conectado a la red local tiene la dirección IP 192.168.20.148. La segunda instrucción iptables de la Figura 9 redirige así todos los paquetes que no vienen del proxy (-s ! IP) y se dirigen del puerto 80 de cualquier servidor a la IP del proxy y el puerto 9999. Esta técnica se conoce como proxy transparente o de Figura 8: No se puede configurar un proxy cuando el Kindle se interceptación [6], conecta con la red inalámbrica. porque no es necesaria ninguna configuración en el cliente, de hecho, el cliente está felizmente ignorando Figura 9: Estas reglas iptables indican al router Linksys que redirijan que existe el proxy. las peticiones HTTP al proxy.

WWW.LINUX- MAGAZINE.ES

Número 88

51

DESARROLLO • Perl: Manipulación de Contenido Web DESARROL

Listado 2: proxy-adkiller
01 #!/usr/local/bin/perl -w 02 ############################# 03 # proxy-adkiller 04 # Mike Schilli, 2012 05 # (m@perlmeister.com) 06 ############################# 07 use strict; 08 use HTTP::Proxy; 09 use HTTP::Proxy:: HeaderFilter::simple; 10 use HTTP::Request::Common; 11 12 my $proxy = HTTP::Proxy->new( 13 host => “192.168.1.123”, 14 port => 9999 15 ); 16 17 my $repl = 18 “http://perlmeister.com/test/” 19 . “sandy-beach.jpg”; 20 21 $proxy->push_filter( 22 request => 23 HTTP::Proxy::HeaderFilter::sim ple->new( 24 sub { 25 my ($self, $headers, 26 $req) = @_; 27 28 if ($req->uri() =~ 29 /eviladserver\.com/) 30 { 31 $_[2] = GET $repl; 32 } 33 } 34 ) 35 ); 36 37 $proxy->start;

como su dirección de retorno, en lugar de la dirección del cliente web original. La interfaz de usuario de Tomato tiene que decirle al router que guarde las tres reglas de forma persistente en su memoria NVRAM y las ejecute tras un reinicio una vez que la interfaz WAN del router esté disponible, por lo que tenemos que almacenarlos en la pestaña WAN Up de Administration | Scripts. Ahora, cuando conecto un Kindle 3 a la red inalámbrica proporcionada por el router y tecleo un par de direcciones

URL en el navegador ubicado en Experimental | Browser, puedo ver la clase de peticiones que lanza el navegador del Kindle en el log del proxy.

Seguro con SSL
Si un emisor utiliza una conexión SSL con un https:// URL e implementa correctamente las verificaciones de certificados adjuntos, un proxy intermedio no puede escuchar o manipular la comunicación. La conexión SSL impide eficazmente este ataque “man-in-the-middle”. Afortunadamente, podemos redirigir los paquetes IP a través de VPN y manipular la configuración NAT para que el servidor contactado por el dispositivo piense que se encuentra en la ubicación del servidor VPN. Éste es un enfoque útil para los sitios web que se niegan a entregar contenido a geolocalizaciones específicas. El firmare de router ampliado Tomato, tomato-usb [7], utiliza un cliente OpenVPN para esto: puede configurar fácilmente una conexión con un proveedor de VPN como ibvpn.com, que ofrece servidores OpenVPN de distintos países para su consideración (véase la Figura 10). El script de inicio de la Figura 11 escribe el nombre de usuario y la contraseña de ibvpn.com en un archivo temporal con el

nombre /tmp/ibvpn.conf cuando se inicia el router. Debido a que los archivos del sistema de archivos del router se pierden al reiniciar el sistema, podemos utilizar un script de shell en Tomato para crear un script almacenado en la NVRAM dinámicamente cuando se inicie el router. El primer comando lleva el contenido del script a un archivo temporal con el nombre de /tmp/vpn.sh, como muestra la Figura 11, y el subsiguiente sh/tmp/vpn.sh & ejecuta el código. El script espera con un while y el bucle sleep hasta que /var/notice/sysup exista. Será el router el que nos indique que el sistema ha arrancado con éxito. Una vez que estas condiciones se cumplan, service vpnclient1 start lanza el primer cliente OpenVPN (Tomato USB proporciona dos), que a su vez se conecta con el servidor OpenVPN. Para conseguir una negociación exitosa, necesitamos el certificado del servidor OpenSSL en la pestaña Keys (véase la Figura 10) del Tomato USB, así como las claves secretas que usemos. Si esto funciona, el servidor OpenVPN utilizará un comando push para configurar la tabla de enrutamiento del router de manera que los paquetes de salida se enviarán automáticamente al otro extremo del túnel VPN. A partir de ahí, el servidor OpenVPN los envía al servidor web de destino, que pensará que está hablando con el servidor OpenVPN. Este método también funciona perfectamente para las conexiones SSL. El pequeño desvío a través del túnel VPN pasa desapercibido porque los paquetes pueden flotar libremente y tomar cualquier ruta que se desee sin afectar a la integridad de la ■ conexión a nivel de aplicación.

RECURSOS
[1] Listados de este artículo: http://www.linux-magazine.es/ Magazine/Downloads/88 [2] Chumby: http://chumby.com [3] Estado de Defensa: http://en.wikipedia.org/wiki/DEFCON [4] Proxy Squid HTTP: http://www.squid-cache.org [5] Firmware Tomato firmware para router Linksys: http://www.polarcloud.com/tomato [6] Saini, Kulbir. Squid Proxy Server 3.1: Beginner’s Guide. Packt Publishing, 2011

Figura 10: El firmware Tomato USB [7] del router Linksys define un cliente OpenVPN que da a los clientes inalámbricos conectados una dirección WAN de una ubicación geográfica diferente.

Figura 11: Los scripts bajo Administration inician el cliente OpenVPN cuando se inicia el router.

[7] Firmware Tomato USB para el router Linksys con software VPN: http://tomatousb.org

52

Número 88

WWW.LINUX- MAGAZINE.ES

LINUX USER • Ardesia

dos. Los punteros láser han sustituido al puntero tradicional en la caja de herramientas del ponente. Y ahora, los ponentes suelen conectar un ordenador portátil a un proyector y con un programa lo convierten en un pase de diapositivas. El proyecto Ardesia [1] combina la función de la intransigente hoja del rotafolio con el escritorio del ordenador moderno en forma de programa de bloc de bocetos. El software es fácil de usar y se instala fácilmente, si tienes un sistema basado en Debian (véase el cuadro “Instalación”). Actualmente, el proyecto de código abierto ha llegado a la versión 1.0-1. Al mismo tiempo, para un uso relevante es una buena idea instalar Spotlighter [2], un programa que también está disponible en la página web de Ardesia.

Probando el cuaderno de dibujo Ardesia

Bocetos sobre la marcha
El software de bocetos Ardesia y el gestor de composición te dejan dibujar a mano alzada encima del escritorio, lo que te permite sorprender en una presentación y darle al público un toque extra de información adicional. POR MIRKO ALBRECHT

Discreto
Después de la instalación, puedes iniciar Ardesia desde el menú Aplicaciones | Accesorios y teclear un nombre para tu primer proyecto. La fecha y la hora se establecen como parte del nombre del proyecto. Verás una estrecha caja de herramientas en el lado derecho de la pantalla (Figura 1). Las funciones aquí son las habituales de los programas de pintura y dibujo, completamente intuitivas. El programa no utiliza menús desplegables. Si tienes dificultad para iniciar el pro-

P
64
Número 88

robablemente la mayoría de las personas están familiarizadas con las pizarras y los rotafolios de la escuela o las conferencias. Estos tableros o grandes hojas de papel en las salas de reuniones ayudan a los ponentes a ilustrar un tema con bocetos rápi-

Figura 1: Ardesia tiene una interfaz espartana, con sólo una barra de herramientas en el borde derecho de la pantalla.

WWW.LINUX- MAGAZINE.ES

Ardesia • LINUX USER

grama y ves un error que dice que necesitas un gestor de composición, lee la información en el cuadro “Composición”. La primera herramienta, en la parte superior de la caja, es tan sólo un punto negro. Al hacer clic en el punto te permite cambiar su tamaño e influir en el grosor de las líneas y flechas resultantes. Esta herramienta también define el tamaño de la tipografía utilizada cuando se selecciona la herramienta de texto representada por la A negra. Debajo está el botón que define el modo de dibujo. La mano es sinónimo de dibujo a mano alzada, que para la mayoría de los usuarios con el ratón o el touchpad será más difícil. Si haces clic en la herramienta de nuevo, el icono cambia a un círculo con una línea ondulada. En este modo, Ardesia suaviza los elementos dibujados a mano alzada. Con otro clic en el icono, la herramienta se transforma en un cuadro rojo con una línea. En este caso, el software asume que el dibujo es una línea recta y cualquier curva se convierte en esquina (figura 2). Las flechas curvadas deshacen o restauran lo que hayas dibujado. Para utilizar la herramienta de relleno, primero tienes que dibujar un objeto en el escritorio. Debajo de esto, la brocha arroja fuera del escritorio todos los objetos. La flecha, el bloque de texto, la goma y el lápiz activan las funciones correspondientes. Si seleccionas la flecha roja en lugar de la herramienta del lápiz, las figuras o líneas que se dibujan tienen automáticamente una punta de flecha en sus extremos. La herramienta que se parece a un marcador es un resaltador que utiliza color transparente para resaltar texto. Los cinco cuadros de colores son los colores de ejemplo y se puede acceder al mezclador de colores infinitos desde el icono de abajo.

Instalación
Para las distribuciones basadas en Debian, puedes descargar desde el sitio web [2] el archivo ardesia_1.0-1_i386.deb para sistemas de 32 bits o ardesia_1.0-1_amd64.deb para sistemas de 64 bits. En los sistemas que están a la última, la instalación se limita a señalar y pulsar. Alternativamente puedes teclear la siguiente orden: $ sudo apt-get install U ardesia_1.0-1_i386.deb Con el archivo Spotlighter debes seguir los mismos pasos. Si no usas un sistema basado en Debian, tendrás que compilar desde el código fuente. Descarga el archivo ardesia-1.0.tar.bz2 y desempaquétalo en el directorio que prefieras. Antes de continuar, asegúrate de que tienes instalados en tu sistema los paquetes señalados en la Tabla 1. Desde el directorio Ardesia_1.0, teclea la siguientes órdenes: ./autogen.sh make sudo make install Para instalar el paquete Spotlighter desde el código fuente, utiliza el típico truco del sombrero: ./configure make sudo make install

Tabla 1: Dependencias de Ardesia
gcc intltool binutils-dev libatk1.0-dev libpng12-0 libgconf2-4 libfreetype6 libc6 make libtool libgtk2.0-0 > 2.14 libx11-6 libpng12-dev libgconf2-dev libfreetype6-dev libc6-dev automake libsigsegv-dev libgtk2.0-dev > 2.14 libx11-dev libglib2.0-0 libfontconfig1 libgsl0ldbl libgsf-1-dev autoconf libsigsegv0 libatk1.0-0 libxml2-dev libglib2.0-dev libfontconfig1-dev libgsl0-dev xdg-utils

usar un ordenador portátil y un proyector para proyectar el contenido en una pared (Figura 3). Ardesia tiene otros útiles fondos de pantalla como pentagramas vacíos para

partituras, el típico cuaderno (de rayas o cuadriculado), un tablero con casillas, un mapa del mundo o una simple pizarra. Si es necesario, también puedes crear tus propias imágenes PNG o JPG,

Fondo
El icono de configuración no te lleva a la configuración del programa, sino que te permite modificar el fondo. Por ejemplo, si deseas ocultar el fondo de pantalla, puedes seleccionar un color. Ardesia también tiene una selección de imágenes que se pueden utilizar como fondos de pantalla, liberándote de la pizarra, lo que significa que un profesor podría

Figura 2: Incluso el dibujante menos artístico puede crear buenos elementos gráficos, pero sólo si utiliza Ardesia en el modo de dibujo correcto.

WWW.LINUX- MAGAZINE.ES

Número 88

65

LINUX USER • Ardesia

Composición
Ardesia necesita un gestor de composición. La mayoría de los sistemas operativos modernos, como Ubuntu o Linux Mint, lo incluyen de serie y permiten la gestión siempre y cuando el sistema tenga aceleración 3D por hardware. Sin embargo, Ardesia falla en distribuciones sin gestor de composición, como Lubuntu. Como alternativa ligera, puedes utilizar la extensión Xcompmgr X. Después de instalar el paquete correspondiente, tan sólo tienes que pulsar Alt + F2 y escribir el comando xcompmgr. Además de un Ardesia funcional, obtendrás un par de discretos efectos ópticos en tu escritorio.

Conclusiones
El software de bloc de dibujo Ardesia y la herramienta Spotlighter están en una fase temprana de desarrollo, pero, no obstante, los programas son fáciles de usar. El rango de la aplicación va desde las charlas con tiza en el aula, hasta la visualización de documentos para aclarar el material de la presentación y crear tutoriales. Ardesia funciona con cualquier tipo de dispositivo de dibujo y presentación, siempre y cuando sea compa■ tible con su equipo.

con el tamaño adecuado para que coincidan con el tamaño de tu escritorio y utilizarlos en Ardesia.

ampliar la sección. La X en la esquina superior derecha cierra este foco artificial.

Capturado
Para distribuir una imagen del escritorio, captura la pantalla en formato PNG con el icono de la cámara o guárdala en un archivo PDF haciendo clic en el icono PDF. Ardesia almacena todos tus resultados bajo la carpeta ~/Documentos/ Ardesia/... creando una carpeta por cada proyecto. Si te fijas en la carpeta, verás un archivo del proyecto Nombredelproyecto.iwb. En realidad, el icono del escritorio que se crea la primera vez que se ejecuta es un enlace a la carpeta de documentos. Con el botón del punto rojo comienzas a grabar tus movimientos en pantalla. Después de decirle a Ardesia dónde deseas guardar el archivo de vídeo OGV, el software graba todo lo que dibujes en el escritorio, una gran manera de crear tutoriales.

Figura 3: Con un ordenador portátil y un proyector se obtiene un tablero totalmente interactivo, que muestra el trabajo en una pared usando como fondo de pantalla una pizarra.

Bajo el Foco
Spotlighter era un útil efecto secundario del proyecto Ardesia. Sin embargo, los desarrolladores no lo han integrado en el menú como una herramienta adicional. No obstante, se puede iniciar la herramienta en el menú de accesorios, que te lleva primero a un escritorio negro, ligeramente transparente. Al hacer clic en cualquier lugar realiza un agujero en la cortina y pone de relieve un área específica del escritorio (Figura 4). Puedes utilizar el ratón para

RECURSOS
[1] Ardesia: http://code.google.com/p/ardesia/ [2] Descarga: http://code.google.com/p/ardesia/ downloads/list Figura 4: Spotlighter ilumina lo que se quiere mostrar.

66

Número 88

WWW.LINUX- MAGAZINE.ES

COMUNIDAD · Fontanería Abierta

BRICOLAJE
Maddog imagina cómo sería tener un baño de Microsoft. POR JON “MADDOG” HALL
ace años escribí un artículo sobre como casi me quemé dándome una ducha en un hotel. Las llaves del grifo de la ducha eran redondas y suaves y con las manos enjabonadas no podía agarrarlas para ajustar el agua caliente. Me dije a mí mismo que los estándares de la industria de la fontanería deberían permitir que las personas sustituyeran las llaves de estos grifos para tener algo donde agarrarse. Más tarde, comencé a pensar que, con o sin estándares “propietarios”, no sería capaz de reemplazar las llaves del grifo sin tener que reemplazar la tubería. Ayer por la noche, el inodoro del baño se negó a funcionar. Yo sabía lo que fallaba, porque en la descarga anterior de la cisterna había dado ese tirón típico, que me indicaba que ya

H

no estaba unida al mecanismo de descarga por la cadenita. Podría haber llamado a un fontanero, pero eso habría sido caro y no podría haber utilizado ese inodoro hasta que el fontanero tuviera un hueco para venir. En vez de eso, me decidí a arreglar el inodoro yo mismo. En la ferretería, me di cuenta de que podía comprar un conjunto completo para reemplazar todas las piezas del inodoro, pero éstas no eran de cerámica, visto el bajísimo precio de tan sólo 40 dólares. También podría comprar un “conjunto de cisterna” por 8 dólares o podría comprar una cadenita de repuesto por 4,34 dólares. Ya que el resto del conjunto estaba básicamente bien, he comprado la única cosa que realmente necesitaba, la cadena, y la he colocado en su lugar. Entonces, me puse a pensar en lo que hubiera pasado si me hubiera comprado un inodoro Microsoft. Para empezar, me habría enfrentado con varios estándares, todos diferentes e incompatibles, tales como “Cadena 2000”, “Cadena Vista” y “Cadena ME”. El vendedor señalaría que cada estilo de cadena estaría allí por mucho tiempo, porque “se habían hecho muchos de ese estilo”. Por supuesto, después de cuatro o cinco años, Microsoft dejaría de fabricar la Cadena XP, ya que habría sido sustituida por la Cadena Vista. Suponiendo que encuentro la cadena adecuada y me la puedo llevar a casa para instalarla, descubriría a continuación que

la cadena no es una “Unidad Instalable por el Cliente” y que tendría que contratar a un técnico de Microsoft para instalarla. Por otra parte, encontraría que retirar la tapadera superior del tanque del inodoro habría anulado la garantía del inodoro, por lo que tendría que pagar la tarifa completa por el tiempo del técnico y por una cadena certificada de Microsoft (la cadena que compré en la tienda era de “terceros”). Finalmente, arreglaría el inodoro y pediría la garantía del trabajo (que me dice que se podría romper de nuevo en cualquier momento y que no tenía absolutamente ningún derecho de reembolso) y las licencias del inodoro (sólo para una persona, ya que no estoy autorizado a transferir a un tercero la cadena del inodoro). Pero por mucho que me disguste tener un inodoro Microsoft, lo prefiero a un inodoro Apple. En este caso, después de encontrar una cadena rota, no podría ir a mi ferretería habitual, sino que tendría que ir a una tienda de hardware de Apple o de un distribuidor de Apple autorizado. Después, descubrirían que mi casa de 30 años no tiene un cuarto de baño coordinado por Apple y me vería obligado a sustituir todos los componentes del mismo para arreglar la cadena. Por último, si tuviera algún problema al utilizar el inodoro, no me gustaría que me dijeran que “tiré mal de la cadena.” Por suerte, tengo un inodoro de “código abierto y libre”, así que puedo arreglar solamente lo que se rompe y utilizar el resto de mis piezas cuando quiera. ■

80

Número 88

WWW.LINUX-MAGAZINE.ES

EVENTOS

Congreso Intern. Itinerante Ecuador
Fecha: 20 - 23 Feb. 2013 Lugar: Varias localizaciones, Ecuador Web: softwarelibre.info

Mobile World Congress
Fecha: 25 - 28 Feb. Lugar: Barcelona, España Web: www.mobileworldcongress.com

Akademy 2013
Fecha: 13 - 19 Jul. Lugar: Bilbao, España Web: akademy2013.kde.org

Calendario de Eventos España e Hispanoamérica Evento Festival de Instalación de GNU & Linux Congreso Inter. Itinerante Ecuador Mobile World Congress Akademy 2013 Resto del Mundo Evento AnDevCon IV LISA '12 Android Builders Summit SCaLE 11x GUUG FFG 2013 CeBIT 2013 LinuxTag 2013 Automotive Linux Summit LinuxCon Europe Embedded Linux Conference Europe Linux Kernel Summit DebConf13

Fecha 15 Dic, 2012 20 - 23 Feb, 2013 25 - 28 Feb, 2013 13 - 19 Jul, 2013

Ciudad / Región Guadalajara, México VV.LL., Ecuador Barcelona, España Bilbao, España

Sitio Web linuxcabal.org softwarelibre.info www.mobileworldcongress.com akademy2013.kde.org Sitio Web www.andevcon.com/AndevCon_IV www.usenix.org/events/lisa12 events.linuxfoundation.org www.socallinuxexpo.org/scale11x www.guug.de www.cebit.org www.linuxtag.org events.linuxfoundation.org events.linuxfoundation.org events.linuxfoundation.org events.linuxfoundation.org wiki.debconf.org

Fecha Ciudad / Región 04 - 07 Dic Burlingame, EE.UU. 09 - 14 Dic Los Angeles, EE.UU. 18 - 19 Feb San Francisco, EE.UU. 22 - 24 Feb, 2013 San Diego, EE.UU. 26 Feb - 01 Mar 2013 Frankfurt, Alemania 05 - 09 Mar, 2013 Hannover, Alemania 22 - 25 Mar, 2013 Berlín, Alemania 27 - 28 May, 2013 Tokyo, Japón 21 - 23 Oct, 2013 Edimburgo, R.U. 23 - 25 Oct, 2013 Edimburgo, R.U. 23 - 25 Oct, 2013 Edimburgo, R.U. 27 - 28 Oct, 2013 Vaumarcus, Suiza

Información de Contacto
Director Paul C. Brown Coolaboradores José María Ruíz, Oliver Frommel, Klaus Knopper, Jose María Lancho, Paul C. Brown, Kristian Kissling, Martin Streicher, Joe Brockheimer Editores Alina Caravaca Chaves, Paul C. Brown Traductores Paqui Martín Vergara, Víctor Tienda, Francisco Molinero Maquetación Miguel Gómez Molina, Alina Caravaca Chaves Diseño de Portada Pinball info@pinball-werbeagentur.de Publicidad www.linux-magazine.es/pub/ Para España Marketing y Comunicaciones anuncios@linux-magazine.es Tel.: (+ 34) 952 020 242 Fax.: (+ 34) 951 235 905 Para el Resto del Mundo Petra Jaser ads@linux-magazine.com Tel.: (+49) 8999 34 11 23 Fax.: (+49) 8999 34 11 99 Director Editorial Paul C. Brown Jefe de Producción Miguel Gómez Molina Subscripciones: www.linux-magazine.es/magazine/subs Precios Subscripción España: 54,90 Europa: 64,90 Resto del Mundo - Euros: 84,90 subs@linux-magazine.es Tel.: (+34) 952 020 242 Fax.: (+34) 951 235 905 Linux Magazine Linux New Media Spain, S.L. Edfco. Hevimar, Planta 2, Ofic. 16 C/Graham Bell nº 6 29590 - Málaga ESPAÑA info@linux-magazine.es Tel.: (+34) 952 020 242 (+34) 951 235 904 Fax.: (+34) 951 235 905 www.linux-magazine.es - España www.linux-magazine.com - Mundo www.linux-magazine.co.uk - Reino Unido www.linux-magazine.com.br - Brasil www.linux-magazine.pl - Polonia Si bien se toman todas las medidas posibles para garantizar la precisión del contenido de los artículos publicados en Linux Magazine, la editorial no se hace responsable de imprecisiones aparecidas en la revista. Asimismo, Linux Magazine no comparte necesariamente las opiniones vertidas por sus colaboradores en sus artículos. El riesgo derivado del uso del DVD y el material que contiene corren por cuenta del lector. El DVD es estudiado escrupulosamente para confirmar que está libre de virus y errores. Copyright y Marcas Registradas © 2012 Linux New Media Spain, S.L. Linux New Media Spain S.L. prohíbe la reproducción total o parcial de los contenidos de Linux Magazine sin su permiso previo y por escrito. Linux es una Marca Registrada de Linus Torvalds. Impreso en Polonia Impresión: ArtDruck DVDs: Fermata Distribución: SGEL Depósito Legal: MA-116-2005 ISSN edición impresa: 1576-4079 ISSN edición online: 1699-2237

WWW.LINUX- MAGAZINE.ES

Número 88

81

PRÓXIMO NÚMERO

Computación de Alto Rendimiento
No es necesario tener un enorme cluster en el sótano para beneficiarse de la computación de alto rendimiento. En vez de eso, se pueden ejecutar los programas en paralelo en la nube y sólo pagar por los ciclos consumidos. El mes que viene vemos de cerca el estado de la alta computación y analizamos las mejores soluciones para cada caso.

Síguenos en nuestras redes sociales: Facebook: facebook.com/linuxmagazine.es Twitter: twitter.com/linux_spain Google+: plus.google.com/b/101673494113753130304/ Identi.ca: identi.ca/linuxspain/

A LA VENTA: ENERO 2013
82
Número 88
WWW.LINUX- MAGAZINE.ES