martes, julio 28, 2015

Sobre Atenea (Moodle en la UPC), interoperabilidad e innovación abierta


En este articulo pretendo analizar la situación actual del campus virtual de mi universidad (UPC) basado en Moodle y las opciones que se abren ante nosotros para darle un empuje hacia delante. 

La situación. 

Hace 10 años la UPC sustituyó su antigua plataforma de Campus Virtual - LMS, VLE o como queráis llamarlo - que no usaba casi nadie por una nueva versión basada en Moodle. Por motivos que desconozco este servicio se llama Atenea. Dada mi vinculación con la comunidad Moodle tuve la suerte de participar en ese proceso.  

Como casi toda decisión en nuestra universidad, elegir Moodle como plataforma fue debatida, discutida y hubo gente que se opuso. Había gente que hubiera preferido adoptar un producto como Blackboard, un software de pago pero que quizás hubiera tenido a la larga un TCO (total cost of ownership) menor. Otros por otra parte señalaban que en la Facultad de Informática (FIB) ya teníamos una herramienta propia llamada racó (rincón) que se usaba la totalidad de las asignaturas de las Ingenieras en Informática. Otros no creían que hiciera falta este tipo de servicio. A este grupo les debía parecer bien seguir publicando sus apuntes a base de fotocopias en los servicios de reprografía -pagando los estudiantes claro- y colgando las notas en la puerta de sus despachos.

Algunos todavía lo piensan.     

Los números cantan. La nueva versión de Atenea es ampliamente usada por alumnos, profesores y gestores, más de 33.000 usuarios. Un millón de sesiones y seis millones de páginas vistas el pasado mes de mayo de 2015 son prueba incontestable http://orangoodling.blogspot.com.es/2015/06/el-impacto-del-cambio-un-interfaz.html . El 97% de las asignaturas de la universidad se integran con PRISMA - nuestro backoffice de gestión académica, no el de la NSA - a través de Atenea o el racó en la FIB. Incluso un buen porcentaje de asignaturas de la FIB han elegido usar Atenea en vez del racó. 

Cuando empieza el curso los profesores de la UPC encuentran a sus alumnos inscritos en las aulas virtuales (cursos) de Atenea/Moodle, donde pueden importar los contenidos de cursos previos de forma más o menos automatizada, la guía docente esta accesible a los alumnos y al terminar el curso, las notas se envían al sistema de gestión académica donde se integran en el expediente académico de cada estudiante. Este proceso funciona bien desde hace 10 años. No está mal. Pregunten en otras universidades si la cosa les va tan fina.
No obstante algunas personas en la universidad, la UPC, me han dicho (o han dicho por ahí) que Atenea tendría que cerrarse. Algunas de estas personas tienen todo mi respeto y estima. Algunas. A todos de ellos les digo que deben informarse un poco mejor, tomarse una galletita y proponer una alternativa viable, además de un plan de migración.

Por otra parte yo he sido crítico con la dirección que ha tomado Atenea a lo largo de los años. Mis críticas, creo que informadas, son las siguientes: 

  • Atenea / Moodle en la UPC se usa principalmente solo para 4 cosas: (1) Publicar anuncios del profesor, (2) colgar apuntes, (3) entregar prácticas o ejercicios y (4) hacer cuestionarios.  Con lo que en 10 años el uso del servicio no ha evolucionado mucho. Y 10 años en tecnologías de la información !Es una eternidad! Sobre todo teniendo en cuenta que Moodle ofrece muchas más funciones.
  • La alternativa de la casa: El racó de la FIB, proporciona desde hace muchos años una serie de servicios : informar de horarios y aulas de clase, servicios de reserva de aulas de examen, implementación del workflow de los proyectos de fin de carrera, trabajos de fin de grado y tesis de master, incluso unos foros de debate abiertos a alumnos y profesores que mantienen el debate sobre la FIB en la FIB, etc. Estos servicios son ciencia ficción para los usuarios de Atenea. En concreto la gestión de proyectos es un tema muy lejos de ser resuelto.
  • Hay grupos de profesores quieren innovar  con las herramientas TIC para la docencia, ya sea usando extensiones no oficiales de Moodle, software própio o incluso funcionalidades estándar que antes de mi guardia los reponsables de Atenea decidieron desactivar. Estos profesores están exiliados de Atenea: (1) usando el servicio de segunda AteneaLabs - un hosting de moodle no conectado con el servicio de autenticación de usuarios de la universidad, ni con PRISMA, ni nada…  -, aprovechando infraestructuras de laboratórios de cálculo que hay por escuelas y facultades, usando servicios en la nube - google classroom, blogger, wordpress, google sites, google groups, facebook … (hasta yo experimenté con twitter un par de cursos, con buenos resultados!), incluso los hay  que tienen algo corriendo en el PC del despacho - como yo tenia un mediawiki y un moodle en el despacho el 2003.
  • Por otra parte algunos usuarios de Atenea/Moodle que solo quieren usar las 4 funciones  esenciales creen que Moodle es difícil de usar. A mi me extraña que un software usado por maestras y maestros de P5, sea demasiado complejo para profesores de ingenierías y arquitectura. Pero entiendo que el esfuerzo que algunos quieren dedicar a aprender el sistema varia en función de las prioridades de uno, y hay muchas formas de ser docente que no pasan por el campus virtual.  

Así pues Atenea/Moodle en la UPC es un servicio muy usado por docentes a los que ya les está bien lo que tienen. O sea, que no son grandes fans. Son usuarios que usan el servicio y no tienen quejas, en general. Pero tampoco van por los campus contando las maravillas del servicio. 

Pues bien, ¿como podemos mejorar este servicio ? !Que repito es bueno e imprescindible si no queremos volver al siglo XIX cuando nos vienen alumnos que tienen smartphone !desde antes de la ESO!

Mis propuestas se basan en aprovechar tecnologías que incorpora Moodle de serie en que mi grupo de investigación (http://sushitos.upc.edu ) ha estado muy implicadas en su desarrollo y su introducción en la comunidad Moodle:
- Los Webservices de Moodle
- El conector IMS LTI.

Webservices e innovación abierta.

Los Werbservices de Moodle, cuyo origen se remonta al proyecto Campus en el que  8 universidades catalanas (lideradas por la UOC) trabajamos para desarrollar una plataforma de campus virtual independiente del LMS escogido. Trabajando con gente del MIT y el Open Knowledge Iniciative, propusimos un bus de servicios a través del cual se puede gestionar un campus virtual multiplataforma.

El trabajo que mi grupo y UPCNet hicimos en este proyecto y los proyectos que siguieron (SUMA y LearningApps, en el plan Avanza e Innpacto respectivamente) fue la semilla de la arquitectura de servicios Web que en la MoodleMoot de 2008 propuse (junto a Jordi Piguillem, David Castro y Ferran Recio) a Martin Dougiamas, y que se incorporó en Moodle en la versión 2.0 el diciembre de 2010. 

Usando los servicios web que incorpora Moodle ( y que con el proyecto Moodbile hemos extendido en funcionalidad y interoperabilidad) podemos iniciar en la UPC un proceso de innovación abierta. Abriendo los servicios web a los centros de la universidad y grupos de investigación que lo soliciten. 

Mediante los webservices de Moodle un usuario solo puede hacer las cosas para las que esta autorizado - ya sea profesor, alumno o gestor de centro. El acceso se puede limitar por IP, usuario, protocolo y forma de autenticación. O sea que … son seguros. 

Pero mediante estos servicios, muchas tareas manuales se pueden automatizar. Sin muchos problemas podríamos ver cosas como el horario y las aulas de cada curso en el calendario del curso en atenea, o los workflows de gestión de los proyectos de fin de carrera mejor implementados. Lo importante es que la gente con iniciativa y empuje en la UPC - y tenemos mucha de esa - puede hacer cosas muy interesantes que a medio plazo pueden convertirse en servicios a toda la comunidad. 

Encima, este tipo de iniciativa seria fácilmente financiable por fondos europeos si nos tomamos la molestia de buscarlos. 

IMS LTI y ampliando funcionalidades

En la clausura del proyecto Campus en 2007 conocí al Dr Chuck (@drchuck) - o Charles Severance, profesor de la Universidad de Michigan, miembro del IMS Global Learning consortium, creador del LMS Sakai, super estrella en Coursera y una magnifica persona a quien cuento entre mis amigos. Chuck por aquel entonces tenia la idea de proponer un estándar de interoperabilidad ligero que permitiera integrar herramientas educativas en cualquier LMS con muy poco esfuerzo de programación.  Llamó a su estándar LTI Learning Tools Interoperability, y IMS Global Learning Consortium llevaba años hablando sobre el tema. 

Durante la comida Chuck me contó que estaba intentando - con poco éxito todavía - que desarrolladores de las distintas comunidades de software libre como Moodle hicieran una implementación de referencia de su estándar.  Chuck, que es un tío listo, sabe que el mundo de la informática esta lleno de estándares de jure, hechos sobre papel - porqué el papel lo aguanta todo - y nunca implementados en escenarios de producción reales.  Por eso decidió tomar el camino bottom-up. Creado una primera versión, una solución tan simple como es posible pensar, programando implementaciones de referencia en clientes y servidores (LMS para el caso), y poco a poco desarrollar un framework más completo pero con impacto en el mundo. 

En esa comida le dije a Chuck que yo haría que su SimpleLTI tuviera una implementación en Moodle … y hice que la programara mi becario: Jordi Piguillem (Pigui). Hahaha! En realidad Chuck y yo conseguimos una beca Google Summer of Code que Pigui - ahora profesor asociado del departamento de ESS - implementó a la perfección https://code.google.com/p/basiclti4moodle/.

Después de  unos cuantos años y más batallas que ahora no contaré chuck consiguió que LTI se distribuya en la mayoria de los LMS del mercado. Incluyendo Moodle, donde el código que empezó Pigui en el 2008 y continuó Nikolaos Galanis más adelante corre en el módulo llamado “External Tool”. 

Gracias a LTI podemos hacer unas cuantas cosas interesantes en Atenea. En la UPC hay herramientas educativas desarrolladas por grupos de profesores que no están integradas en Atenea. Como ya he dicho, funcionan sueltos en servidores o PC’s de sobremesa repartidos por los Campus. Sin estar intergrados con gestión académica, el sistema de matricula o siquiera la autenticación común de usuarios de la UPC.

Lo que sucede en estas aplicaciones no se ve, no se mide, no se cuenta. No se comparte con otras universidades, no se vende. No se aprovecha.

Y es una pena. 

A finales del 2014, para la realización del primer MOOC de la UPC (http://mooc.upc.edu) sobre “Machine translation”, se adaptó para en pocos días el software Jutge (Juez… yo le habría llamado Dred) que se usa en el departamento de LSI para evaluar las practicas de programación. Esto se hizo con LTI. El Jutge esta listo para ser integrado en Atenea. 

Y UPCNet - la empresa del grupo UPC que facilita Atenea - tiene las ordenes para permitir que esto pase y ayudar a los que mantienen y dan soporte al Jutge. Se las he dado yo, porque igual que Chuck soy un tío listo.  Por lo visto hasta demasiado.

Con LTI podemos integrar todo tipo de aplicaciones educativas en Atenea. Si queremos cambiar la estructura del curso de Moodle por algo más simple, !ningún problema! 

Queremos integrar extensiones de Moodle como el LearnSQL - desarrollado por el equipo de bases de datos del departamento de ESSI y que permite la evaluación y auto evaluación de programas SQL - ningún problema.

En resumen

Atenea es un trabajo faraónico de integración con el proceso de matricula y la gestión académica. Difícilmente va a ser substituible. Vía Webservices podemos hacer que se integre todavía mejor con los procesos de la universidad. Con LTI podemos cambiar el modelo de aula virtual e incorporar todas las campanas y pitos (bells and whistles)  que nos venga en gana. 

La primera piedra para empezar a andar este camino ya la he puesto durante el año y medio que he estado al frente del servicio Atenea y los 8 años anteriores como profesor, investigador y desarrollador. Quien se ponga ahora al frente del servicio tiene un buen reto delante, las herramientas y la gente necesarias. A mi me va a tener para lo que haga falta, y si otra universidad quiere hablar conmigo ya sabéis como encontrar-me. 

Marc Alier, pronto Ex-director del ICE de la UPC




jueves, julio 23, 2015

De ciberguerra en el internet de las cosas


Los cantos de sirena de la innovación tecnológica nos anuncian el advenimiento del Internet de las cosas. En esta vuelta de tuerca de la interconexión digital pretende que nuestra nevera, termostato, puerta del garaje y, ¿como no? cafetera y tostadora estén conectadas a la cacareada red de redes. Por supuesto todo va a ser maravilloso y se abre ante nosotros una nueva cosecha de electrodomésticos que ya empezamos a llamar robots ( de cocina, aspiradoras, Mazinguer Z ... ) pero los enteradilos se refieren al tema como domótica. Para ello los sospechosos habituales: Google, (http://lifehacker.com/how-can-i-get-started-with-home-automation-510246491 ) Amazon (http://www.amazon.com/oc/echo/), Microsoft (http://www.xbox.com/es-ES/), Apple https://developer.apple.com/homekit/  ... Ya están moviendo ficha con avanzadillas diversas para convertirse en la plataforma de referencia para el desarrollo de apps, pasarela de pagos, hub de conexión o ser el proveedor universal de ultramarinos cuando la nevera decida que falta comprar leche.

Para muchas personas la automatización del hogar va a significar una mejora en la calidad de vida, en pequeñas y grandes cosas:  Desde poder encender la calefacción horas antes de llegar a casa después de un viaje, facilitar que gente con dificultades por valerse por si mismas tengan un mayor grado de independencia y permitir a familiares que ahora tienen que dar cuidados puedan ofrecer el mayor servicio: su cariño y compañía.

El internet de las "cosas" va a suponer que haya muchas "cosas"  conectadas a internet, o sea: muchos pequeños ordenadores con funciones relativamente simples como operar un termostato (https://nest.com/ ). Estos ordenadores, admitamos lo, van a ser de bajo coste y muchos de ellos no van a ver actualizado su software o firmware una vez sean instalados. Y esto genera un primer riesgo: los procesadores y puntos de acceso a la red de los millones apliques domóticos que vienen pueden convertirse en partes de bot-nets en manos de redes de hackers o aparatos de cyberguerra gubernamentales.

     - ¿Me lo explique?
     - !Voy! 

No existe ningún sistema informático 100% seguro. Cuando un hacker o un experto en seguridad descubre una forma de comprometer un sistema se define un método de ataque o "exploit" http://es.wikipedia.org/wiki/Exploit que permite hacerse con el control del sistema. Una vez se conocen los exploits de un sistema el fabricante (llámese Microsoft, Apple o el programador de la tienda de informática de la esquina) crea un parche o actualización para bloquear el exploit. 

Existen grupos de hackers (independientes, en mafias, empresas o agencias en gobiernos) que se dedican a rastrear los dispositivos conectados a la red, identificar el tipo de dispositivo y sistema operativo, y entonces intentan aplicar los exploits conocidos para esa configuración. Eso incluye ordenadores, tabletas, smartphones o ... routers. Estos últimos son habitualmente de bajo coste, están siempre conectados y nadie los observa. Son esas cajitas que nos trae el operador de ADSL o Fibra óptica, que nos obligan a tener un password larguísimo y así nos pensamos que tenemos seguridad.

Cuando un equipo es comprometido, a parte de que toda información que contiene deja de ser privada, empieza a ejecutar un software llamado "Bot" (de ro-bot) y a formar parte de una Bot-net (red de robots). Estas bot-nets se usan en cyber-ataques massivos para comprometer equipos más seguros y sensibles. Ciberguerra  lo llaman.

La irrupción de millones de dispositivos sin supervisión y sin actualizaciones continuas va a aportar municiones a mansalva para los cyber ataques. Seguramente los dispositivos de alta gama fabricados por Samsung, Apple, Nest, Amazon, Google, etc van a llevar protocolos de actualización automática de seguridad, al estilo de ChromeOS. Pero de estos fabricantes ya nos nos fiamos por ser quien son y las presiones que reciben de sus gobiernos y gentuza como la NSA. Pero más complicado va  a ser cuando llegue la oleada de millones de cacharrillos de bajo coste hechos en china... !Bienvenidos a la pesadilla de la seguridad en la internet de las cosas!

Hay otro aspecto inquietante en el internet de las cosas. Una casa domotizada va a contener cientos, sino miles, de sensores controlando todo lo que sucede. Quien entra o sale, cambios de temperatura o hasta cuando nos tiramos un pedo. ¿Donde va a ir esa información ? ¿Para que va a ser usada? ¿Quien va a saber cosas sobre nosotros antes que nosotros mismos? Y... finalmente ... a quien le preocupa si el internet de las cosas sabe todo lo que pasa en nuestras casas si nosotros ya llevamos nuestros sensores a cuestas en el smartphone o el reloj!

miércoles, julio 22, 2015

Del crecimiento tecnológico exponencial, logaritmos y montañas rusas.


Cuenta la leyenda un Rey de la India llamado Sheram  quiso recompensar a ls sabio Sissa, el presunto inventor del ajedrez. Sheram muy pagado de su riqueza y poder de dijo que era capaz de satisfacer cualquier petición que Sissa le hiciera. Sissa pidió que pusieran un grano de trigo en la primera celda del tablero de ajedrez, dos en la siguiente celda, cuatro en la siguiente … se hacen la idea, ¿no? Doblando cada vez la cantidad hasta llegar a la casilla 64 del tablero. Resulta que no había bastantes granos de trigo en los almacenes reales. De hecho no existe bastante trigo ni ha existido para satisfacer la petición de Sissa. Según gente que lo ha calculado (http://matematicascercanas.com/2014/03/10/la-leyenda-del-tablero-de-ajedrez-y-los-granos-de-trigo/) la cantidad requerida por Sissa es equivalente a la producción mundial de trigo al ritmo actual !durante 21 milenios! Y eso sin contar con malas cosechas.

A los seres humanos nos cuesta pensar en fenómenos que avanzan a ritmos exponenciales. Nuestro pensamiento funciona de modo lineal a no ser que hagamos un esfuerzo especial o usemos escalas logarítmicas para transformar lo exponencial en lineal y … acabar más confundidos. Alguien podría decir “Loga…” “¿Lo cualo?”

Si sois de los que pensáis que ciertos conceptos matemáticos con los que os torturaron en la escuela no os sirven en vuestra vida adulta ( Dios! Que mal suena eso! ) … Pues pensad de nuevo. Estoy convencido que seguro que lleváis años manejando sin problemas un par de escalas logarítmicas.

¿Que, no?

Pues !sí!

¿Os suena eso de los Kylobytes, Megabytes, Gigabytes, Terabytes … o Kas, Megas, Gigas y Teras ? Pues … !Tate! Es una escala logarítmica, que transforma en un crecimiento lineal algo que es exponencial.

Kilo, Mega, Giga y Tera … Uno, dos tres cuatro. Lineal. LO vemos muy claro. Pronto vendré el 5 que en esta escala se llama Peta ( pero no se fuma).

Pero en realidad el significado es KiloBytes 2e10 , Megabytes 2e20, Giga 2e30, Tera 2e40, Peta 2e50.

Aproximadamente con números decimales de toda la vida esto seria Kilo - 1.000, Mega  - 1.000.000, Giga - 1.000.000.000, Tera -1.000.000.000.000 y Peta 1.000.000.000.000

¿ Y por que os cuento esto ?

Mi primer ordenador, un Sinclair ZX-81, tenia con un procesador a 1 Kilo Hercios y 1 KiloByte de memoria RAM. A los diez años empecé a medir la memoria y velocidad de mis ordenadores en Megas, hoy la mido en Gigas y en pocos años los mediremos en Teras. Y así mientras vamos viendo como nuestra tecnología evoluciona en una escala lineal ( 1,2,3,4 … kilo, mega, giga, tera) lo que pasa en realidad es que multiplicamos la capacidad y la velocidad por Mil. ¿Que le pasaría a vuestro estilo de  vida si vuestro sueldo se multiplica por mil ? ( Sin generar inflación claro) Pues eso nos esta pasando desde hace 60 años con las tecnologías de la información. Y cada vez que avanzamos un paso en esa escala (kilo, mega, giga, tera, peta, exa, epta, iota) - cada 10 años aproximadamente - un nuevo mundo de posibilidades se abren ante nosotros.

El año 1990 la comunidad científica se propuso secuenciar el genoma humano. Los expertos  estimaban que lo íbamos a conseguir cerca del 2050. Los expertos pensaban de forma lineal y alucinaron cuando la tarea se completó en 1998.

Nuestra sociedad global se enfrenta a muchos retos: ecológicos, sociales y económicos. Retos que de no ser resueltos pueden hacer muy incómoda la vida en nuestro planeta. Pero tenemos a nuestro alcance tecnologías con crecimientos exponenciales que pueden contener parte de las soluciones a estos retos.

Por ejemplo: la producción de placas solares fotovoltaicas se esta doblando cada 30 meses mientras que su coste se reduce al 50% al mismo ritmo. ¿Como se proyecta esta evolución en el escenario energético mundial? Un escenario de energías que generar calentamiento global, en manos de pocos productores con mucho poder.  ¿ Que sucede cuanto toda la energía pueda ser limpia y generada sin coste adicional por sus consumidores?

Las tecnologías exponenciales nos pueden ofrecer soluciones y oportunidades que nos pasaran desapercibidas si pensamos de forma lineal. Podemos anticiparnos y  facilitar estos cambios y dirigir nuestro futuro, o podemos montarnos en la montaña rusa. En cualquier caso el viaje va a ser interesante. Como en la maldición china “Ojalá vivas en tiempos interesantes”…o era una bendición.

lunes, julio 20, 2015

De claves, llaves, ganzúas, passwords y seguridad.


Ultimamente tengo que llevar un montón de llaves en el llavero. La puerta de casa, casa de mi madre, el coche, el despacho, el otro despacho, la sala de impresoras, la sala de reuniones, el estudio audiovisual, el candado de la bici… todo ello atado en un mosquetón que hago colgar de una de las anillas para el cinturón porque abulta demasiado para llevar confortablemente en el bolsillo y que los hombres lleven bolso es cosa de los 90’s. 

Por otra parte puedo acceder a algunos espacios de la universidad con un chip que hay en el carné - una llave o dos menos… Viva!!  Pero, ¿no sería maravilloso que con una única llave pudiera acceder a todas mis puertas ?

Los magos de Google, Apple y demás empresas interesadas en domótica ( y nuevos palabros como “Internet de las cosas” - Internet of things - Smart home, smart workplace, Smart patata … ) nos dicen que con NFC ( Near Field Comunication) - como el que están viendo estas últimas semanas en EEUU con Apple Pay y Google Wallet, o las nuevas tarjetas contac-less que nos quieren vender en el Banco - pronto vamos a poder acceder a todo con nuestro smartphone o smartwatch (argh más smarts!!) Para ello tendremos que adaptar nuestros hogares y sitios de trabajo a nuevas tecnologías y confiar en los magos y los unicornios que harán que todo vaya como la seda: O sea, que no nos quedemos tirados en la calle y los cacos no se nos metan en casa. 

Y confiar, confiaremos por supuesto. 

Ahora que en los móviles se ha llegado a un punto donde hay poca diferencia en usabilidad, cámara, pantalla, velocidad …. se abren nuevos frentes en los que diferenciar un producto de otro. Que sean sumergibles, que no se doblen, que sean mágicos y revolucionarios (eso siempre cuenta!), pero seguramente el nuevo campo de batalla va a ser la seguridad. Y para muestra Apple está metiendo en todos sus iParatos  su lector de huellas TouchID, que parece que está unos años por delante de sus competidores. - Si soy un poco fanboy, que le voy a hacer. 

Pero si nos paramos a pensar: estamos pensando en solucionar el acceso a unos pocos espacios físicos y unos pocos medios de pago, cuando el autentico problema es como gestionamos el acceso a docenas y docenas de cuentas de usuario que tenemos esparcidas por internet. Cómo gestionamos nuestras cuentas y passwords, y como los mantenemos seguros cuando sabemos que organizaciones gubernamentales como la NSA, hackers de la mafia rusa, el gobierno chino. ACME y Darth Vader están continuamente intentando acceder ilegítimamente a nuestros datos y equipos.

Hace unos años los administradores de algunos sistemas web se volvieron paternalistas (y toca-huevos) obligando-nos a poner passwords de al menos 8 caracteres incluyendo al menos una mayúscula, una minúscula, una cifra y un chirimbolo. Así pues seguro que todos tenemos passwords tan creativos como “p3Pino?”. 

Si nos paramos a pensar esta política tiene su sentido ya que desactiva los ataques basados en diccionarios. O sea: pruebas sistemáticas usando listas de palabras frecuentemente usadas o probables… (cosas como “ladygaga” “cookiemontser” o “mohinosescocios”). Además obligando a usar todo tipo de caracteres ponemos la combinatoria de nuestra parte. 

Permítanme ahora aburrirles con un poco de matemáticas recreativas :  

Las letras en minúsculas en el alfabeto inglés son 26. Si contamos que vamos a meter passwords de al menos 8 caracteres tenemos 26 elevado a 8 nos da 1,08 seguido de 11 ceros. Mientras que  si podemos usar cualquier carácter ASCII - 127 menos alguna carácter de control, digamos 120 caracteres posibles - elevado a 8 tenemos 4,2 seguido de 16 ceros. 

16 ceros es más que 11 ceros. ¿No? (Si en realidad mis números no son correctos, porque al forzar un elemento en minúsculas, mayusculas, cifras y chirimbolos el cálculo es más complicado y seguro que un par de ceros se caen… pero no vamos a aburrirnos TANTO con matemáticas! )

Pero en realidad lo que sucede es que los diccionarios para hacer ataques incorporan variantes de listillo como mi “p3Pino?” y 4,2 seguido de 16 ceros no es un número de combinaciones lo bastante grande como para ser considerado seguro en criptografía.

En cambio un password como “cadaobejaconsupareha”, fruto de juntar la frase “cada oveja con su pareja” introduciendo 2 faltas de ortografía - ¿las ven? :-) -. O sea !MUY FACIL DE RECORDAR!  Pese a ser una permutación de minúsculas, o sea 26 posibles símbolos no 120… al ser 20 caracteres - y fáciles de recordar, no lo olvidemos … joder!  - no dan tantas posibles combinaciones como 1,6 seguido de 21 ceros. 
O sea, usando un password fácil de recordar solo en minúsculas, simplemente porque es largo es un millón de veces más seguro que una mierda de password como los que tengo que usar en algunos sitios con políticas de seguridad paternalistas. ¿Se lo comentan a su administrador de sistemas favorito un día de estos con un cafe por en medio?  Gracias. 

ps. Si quieren seguir mi recomendación usen un gestor de passwords que les genere auténticos passwords seguros para ir por el mundo. Software como Keepass - que es Open source , cosa realmente importante cuando hablamos de seguridad - o soluciones propietarias como Lastpass o 1Password pueden ser grandes aliados para gestionar vuestras cuentas de forma segura a través de todos vuestros dispositivos. 
Si estas cosas os interesan y deseas saber más sabed que en todo el mundo se organizan cosas llamadas CryptoParys que son eventos en los que expertos en seguridad - no como yo - cuentan a gente inexperta como proteger su identidad digital y todo lo que va con ella. Son eventos gratuitos y se hacen periódicamente. Para saber más http://cryptoparty.in o http://cryptoparty.cat 

viernes, julio 17, 2015

¿Quién teme al Facebook Feroz?

Articulo escrito junto a Daniel Damo 
Empecemos por la pregunta que todos tenemos en mente: ¿Es Mark Zuckerberg el lobo feroz?
Bill Gates consiguió el estigma de ser el Lobo Feroz de las tecnologías de la información, estando al frente de una Microsoft que a mediados de los años 90 se convertía en casi monopolio, tras barrer a IBM, Apple y otros competidores menores (Digital, Wordperfect, Lotus, Corel, Borland ) en la batalla por la supremacía en el mercado de sistemas operativos de sobremesa y software de oficina. Eso era cuando las noticias sobre informática raramente salían en primera página y Bill Gates a base de dedicarse a la filantropía y dejar Microsoft en manos del energúmeno entrañable de Steve Balmer limpió su nombre.
Balmer reemplazo de Bates en Microsoft. Me he portado bien y he elegido una imagen digna.

Larry Page y Seguei Brin, los co­fundadores de Google van en plan friki por el mundo, presentándose en rollerblades a las reuniones y creando coches que se conducen solos, Google Glass y poniendo en marcha cosas tan interesantes como Google X (cosa que tendremos que contar algún día). Por mucho que Microsoft, algunos medios de comunicación, los caballeros andantes de la privacidad y los anunciadores del día final nos digan que Google sabe demasiado de nosotros y es malvado, Google consigue mantener una imagen simpática y sus usuarios nos mantenemos fieles.
Pero Mark Zuckerberg y Facebook son harina de otro costal. Desde su misma fundación Facebook ya estuvo rodeada de polémica por el presunto robo de la idea a los hermanos Winklevoss. Pero como ese par son guapos, cachas y ricos ya nos está bien que Mark Zuckerberg se saliera con la suya, ¿no?
Los Winklevoss. 

El caso es que Facebook es un caso raro. No parece que haya fanboys de Facebook ­mientras sí que los hay de Twitter, Ferrari, Porsche, Canon, Nikon, Apple, Google e incluso aún incauto que es fan de Microsoft y de la lejía que trae esa señora del futuro­. Pero en cambio si que parece que todos tengamos cuenta allí y lo usemos con asiduidad. 
La mitad de los usuarios de internet ­ aproximadamente ­ son usuarios de Facebook. Y, ¿qué es lo que sabe Facebook de estos usuarios? Pues detalles bastante personales: nuestro género (pudiendo escoger ahora entre unas 30 opciones!), edad, intereses, amistades, familia, fotografías, lo que nos gusta (like) ... Se pueden saber muchas cosas de cualquiera de nosotros solo analizando nuestro perfil de facebook. Cosas que otras empresas, como por ejemplo nuestro médico, nos tienen que hacer firmar permisos y autorizaciones para poder archivar cumpliendo la ley. Cuando Facebook por su parte se dedica a cambiar de forma bastante errática y caótica su política de privacidad.
¿Alguno de vosotros tiene claro bajo qué condiciones de privacidad y confidencialidad se publican vuestras fotos en Facebook? O, pregunta para nota :¿Que sucede con los derechos sobre la propiedad intelectual de las fotos que colgáis en Facebook? ¿O en Twitter? ¿O en Google+? ¿O Instagram... pero eso era ya de Facebook, no? !Vale!
Lo dicho, Facebook es un caso raro, muchos de nosotros lo usamos pero no nos cae bien ni nos fiamos demasiado de él. Pero como en muchos casos es el único mecanismo que mantenernos en contacto con muchos conocidos (como decía Josep Pla: Amigos, conocidos, saludados... ) lo seguimos usando.
Pero la gran red social tiene fugas. Sabiendo de la poca o nula privacidad de Facebook, muchos colectivos han puesto el grito en el cielo. Pero parece ser que a los usuarios les importa bien poco regalar toda su vida, siempre que puedan mostrarla de una forma cool, compartirla y obtener así muchos likes. De mientras, Mark Zuckerberg se aprovecha de ello y se hace más feroz.
Y entonces, a 19 de Febrero de 2014, llegó lo “inesperado”. Whatsapp, un servicio de mensajería instantánea con una base de 450 millones de usuarios, es adquirida por Facebook tras algunas predicciones de compra fallidas y lideradas por Google. Ha sido una venta anunciada de 19 billones de dólares, una transacción dividida en 4 billones a cash, 12 billones en acciones y 3 billones en acciones privadas, según investor.fb.com. Se dice que Google hubiera pagado 12 billones, y corren predicciones de que su venta podría haber superado los 19 billones de dólares. Llegados a esta exageración ya empiezan a despuntar comentarios a cerca de otra burbuja .com. La gran pregunta que se hace todo el mundo es, ¿y ahora qué?
Hay que recordar que Facebook compró Instagram, por 1 billón de dólares, una nimiedad en comparación con el despilfarro en la adquisición de Whatsapp, pero en ese momento solo tenía registrados 80 millones de usuarios, nada en comparación con la aplicación de mensajería instantánea. Este acuerdo con Facebook les permitiría trabajar juntos para construir una plataforma mejor, señalando que la aplicación y sus características seguirían siendo las mismas. 
Pero Facebook es una red social con ánimo de lucro, donde los usuarios son el producto y los clientes los anunciantes. Así intentó ganarse unos dólares más cuando modificó los términos de privacidad de Instagram con el fin de que los anunciantes dispusieran de acceso a los datos de los usuarios, con fines absolutamente publicitarios. El negocio de Instagram parecía redondo para  Facebook. Pero este cambio en la política de privacidad ponía en venta las fotografías de los usuarios sin compensación alguna a cambio. Los usuarios de Instagram saben que su contenido - las fotos y ahora videos - tiene valor, y se montó la de san quintín. Facebook tuvo que revertir los términos de servicio al estado anterior o sufrir la avalancha de ira y furia desencadenada en las redes sociales. ¿Volverá a intentar Facebook la misma jugarreta con Whatsapp?
Por ahora, y tras el anuncio de la transacción del año, la nota de prensa de Facebook, el propio mensaje de Mark Zuckerberg en su red social y las palabras de Brian en nombre de su equipo en el blog de Whatsapp, indican que aparentemente todo seguirá igual. Brian dice en su blog que el objetivo de Whatsapp es el mismo de siempre “construir un producto molón usado globalmente por todo el mundo”, y que para sus usuarios no cambiará nada; y Zuckerberg que “Whatsapp complementará a su chat y servicios de mensajería para proveer a su comunidad de nuevas herramientas”. Todo, con un rollo filantrópico que huele a chamusquina.
Volviendo a la gestión multimillonaria, ¿qué sentido tiene una compra de este calibre por parte de una empresa de Estados Unidos, país donde Whatsapp tiene menos de un 10% de cuota de mercado?  El siguiente gráfico muestra la tendencia de crecimiento en base a usuarios, muy superior al resto de servicios sociales actuales: 
Quizás esta compra es una estrategia de Facebook para consolidarse en Europa y parar los pies a Telegram, cuyos creadores son desarrolladores de la red social VK y competencia directa de la red social por excelencia en Rusia. Telegram está entrando en el mercado Europeo con mucha fuerza y está poniendo en alerta a todos los servicios de mensajería instantánea. Su discurso de aplicación segura y privada ha demostrado su arrogancia extrema ante el anuncio de que pagarían 200.000 dólares a aquél hacker que rompiera su protocolo de seguridad y interceptara una sola conversación, así de chulos son. Por ahora no se han pronunciado, así que sigue siendo la aplicación de mensajería instantánea más segura del mercado. (o lo era cuando escribimos este articulo a principios de 2014)
En cambio Whatsapp no presume de seguridad en las conversaciones (los agujeros en SSL són archiconocidos) pero sí de privacidad de datos y no revelación de los mismos a terceros. ¿Saben los usuarios que Facebook puede estar jugando con la NSA en el patio trasero? ¿A los usuarios les importará que Facebook modifique los términos de privacidad de ya su mensajería instantánea de moda en Europa?


Como dijo Groucho Marx "Si no les gustan mis principios, tengo otros.". Whatsapp se ha vendido al mejor postor, y esto quiere decir que está de acuerdo con las políticas feroces de Facebook, sino no se hubiera dejado comprar. Ergo, Facebook no solo podrá poner los datos y conversaciones de los 450 millones de usuarios en manos de sus clientes, potenciales publicitantes de vidas privadas, sino que además podrá entregar a cambio de saber qué cantidades de dinero, o favores de otra índole, o sencillamente porque lo dictamina la ley, datos privados a “empresas” de espionaje masivo.
¿Es Facebook el nuevo Lobo Feroz? Por ahora Whatsapp, el pasado 22 de Febrero de 2014, sufrió un parón en sus comunicaciones durante más de 4 horas, que provocó una éxodo masivo hacia Telegram a una vertiginosa tasa de 100 usuarios por segundo. Si Telegram gana la batalla, el presunto Lobo Feroz será desbancado como líder de la manada digital. Veremos.


De la Web Profunda, La ruta de la seda y el malvado pirata Roberts!


¿Como accedes a la Web? ¿ Conoces de memoria montones de direcciones de páginas y recursos online ? No. A parte de direcciones evidentes tipo: http://www.”lo que sea”.com,  seguramente uses herramientas de bookmarking (o listas de favoritos),  pero seguro que lo que usas más a menudo son buscadores, y a menos que algo te haya instalado una barra de herramientas no deseada en el navegador y estés usando un buscador raro sin siquiera saberlo, casi con certeza estarás usando Google.  

Pero, ¿Como conoce Google que contenidos hay en la web? ¿Los conoce todos? 

La misión de Google, según sus fundadores Larry Page y Sergei Brin, es organizar y hacer accesible toda la información del Universo. Para ello Google ejecuta ciertos programas llamados arañas (spider), que exploran la red (Web) y van añadiendo páginas y sus contenidos a la base de datos que almacena Google en sus servidores y que nosotros consultamos cada vez que buscamos algo. La idea es que las páginas web se enlazan las unas a las otras y tarde o temprano las arañas de Google pasaran por toda la web. 

Pero… no es difícil imaginar que haya paginas a las que no enlace ninguna página en toda la web y por tanto Google - o Bing o similares - no van a saber de su existencia. De hecho es la pesadilla de todo creador de contenidos en la Web: que los buscadores no sepan de su existencia. Para ello los autores de páginas se dan de alta en los buscadores e incluso pre-indexan sus webs para que Google lo tenga más fácil - creando una cosa que se llama Sitemap. Pero y si yo hago una web para mis compinches y me la trae al pairo que Google me indexe. Y si paso de darme de alta en buscadores y ninguna de las páginas que Google conoce enlaza a mi web o a las webs de mis compinches, Entonces Google no me conoce y tu no me vas a encontrar, Mi web esta en la …. tatatchan! : Web profunda!  

El termino se atribuye a Mike Bergman, quien hizo la siguiente analogía: La web es como el mar, buscar via Google o Bing y similares es como pescar con grandes redes de arrastre; se pilla mucho pescado, pero hay mucho más en las profundidades que las redes de arrastre no van a alcanzar nunca. Google no es manco y se las inventa todas para maximizar el alcance de sus redes, por ejemplo: uno de los beneficios que saca Google de su servicio GMail es que les permite pescar direcciones que se mencionan en correos electronicos y visitarlas con sus arañas.  O sea que GMail es una forma adicional para encontrar sitios de la Web profunda.

Webs generadas dinàmicamente - bases de datos y similares -, webs protegidas por password y otras tecnicas de ofuscación son los habituales de la Web profunda. Gente que no quiere que su web sea encontrada. Pero hay quien va más allá. Hay quien quiere que su web sea secreta, que no sea visible para Google ni para las fuerzas de la ley y el orden - que no son precisamente los Jedis, sinó la policia haciendo su trabajo, y a menudo seres oscuros que velan por el respeto a la propiedad intelectual por encima de todo. Para quien quiere esconder su contenido y navegar anónimamente - con privacidad - existen herramentas como el navegador TOR.
!Que no! Ludo, que es TOR no THOR! 

The Onion Router (TOR), es un proyecto cuyo objetivo principal es crear una red de comunicaciones que opere encima de la insfraestructura de Internet en la que los mensajes no revelen la identidad de quien los envia ( su dirección IP) y que, además, mantiene la integridad y el secreto de la información que viaja por ella. Los datos que circulan por internet se agrupan en paquetes, que son como postales circulando por el sistema de correos. Cualquiera que sepa leer puede saber quien es el remitente, el destinatario y el contenido. TOR hace que la información circule segura dentro de "sobres cerrados". Sin embargo, tiene puntos débiles y no puede considerarse un sistema infalible. Existe software libre que implementa este protocolo y permite navegar por internet normalmente.

Pero existen algunos sitios de la web profunda que solo admiten visitas desde navegadores TOR. El más famoso de estos sitios era "The silk road" (la ruta de la seda), un espacio de comercio electrónico donde se comerciaba con productos que no se encuentran habitualmente en ebay o amazon. Uno de mis alumnos en la universidad me contó que en The Silk Road podia conseguir un título falsificado por menos de lo que cuesta la matricula de un curso con las nuevas tasas. Evidentemente en The Silk Road la moneda de cambio era el Bitcoin, la ciber-divisa que permite transacciones anónimas y que hace poco su cotización ha superado la barrera de los mil dolares. Veremos si se trata de una burbuja o si el Bitcoin tiene futuro como divisa real. 

Sea por dicha o desdicha, el FBI desmantelo finalmente The Silk Road y ha arrestado al joven neoyorquino que presuntamente llevaba el garito quien firmaba sus mensajes como Dread Pirate Roberts (el malvado pirata Roberts del libro y película "La princesa prometida"), a quien acusan incluso de haber contratado asesinatos a través de Silk Road.... Las cosas que pasan en La Web profunda... 

jueves, julio 16, 2015

Heartbleed y seguridad web explicados en un garito de la Mafia.



Seguro que habeis leido ya algo sobre HeartBleed, el bug de seguridad de OpenSSL que ha tenido dos terceras partes de la web vulnerables a ataques. 

SSL, o Secure Socket Layer, es un protocolo de seguridad que permite comunicaciones cifradas entre navegador web y los servidores. Normalmente sabeis que estasi bajo SSL cuando una URL empieza por "https"o veis ese candadito de marras cerrado, 

Lo que permite SSL es que nadie entre vosotros y el servidor ( un hacker haciendo un ataque de "Man in de Middle", vuestra empresa, vuestro proveedor de internet, la NSA o Justin Biebber pueda leer el contenido de las páginas que visitais o la información que alli mandais. O sea permite que la web funcione como si fueran "cartas" cerradas. Los que estan enmedio siguen viendo las direcciones escritas en vuestros sobres pero no ven el contenido. Sin SSL el trafico web es como el email: tarjetas postales que la portera puede leer tranquilamente. 

OpenSSL es una implementación del servidor SSL Open Source (una variante Light del Software Libre - si me acuerdo algun dia os hablare de las diferencias entre lo uno y lo otro), o sea que el código fuente del programa esta disponible para que cualquiera lo lea (compile y ejecute) y existe una comunidad internacional que se encarga de evolucionar y mantener este software. Es bueno que haya implementaciones en Software Libre u Open Source de software tan elemental como el que sirve de plataforma a la Web. La gracia es que cualquier programador puede leer el código, ver si esta bien hecho y no tiene errores, aprender, compartir, discutir y mejorar la plataforma que todos usamos. 

Pero de vez en cuando en este proceso se escapa un fallo garrafal como Heartbleed. Voy a intentar explicar a los no informaticos como funciona este fallo y el impacto que puede tener antes de que dos terceras partes de los servidores de la red actualizen a la versión de OpenSSL que ya ha corregido esta cagada. "Cagada" es un término tecnico que usamos los informaticos en casos como estos.  Muy tecnico :-) 


Imaginad que son los 50's y don Vito Corleone monta un garito de apuestas en combates de boxeo. Tiene corredores de apuestas por toda la ciudad que recogen las apuestas y el dinero de los apostantes. Los corredores tienen que informar al garito de que apuesta ha hecho quien y confirmar que tienen la pasta (son mafiosos italianos y la pasta es muy importante... jajajaja). Despues de cada combate los ganadores de las apuestas van a ver a los corredores de apuestas para cobrar. Si alguien ha apostado a credito y pierde más de lo que puede pagar seguro que tambien cobrarà, pero eso es otro tema. 

Don Vito ha dejado el garito en manos de dos ex-boxeadores sonados: Rocco el Ratón y Ricky el de Reno. Ambos son buenos siguiendo instrucciones pero sin mucho cerebro ni iniciativa. Como un programa de ordenador. 

Ricky el de Reno responde al telefono, recoge las apuestas y le dice a Rocco el Ratón que las apunte en pizarra enorme. Rocco apunta el nombre o el alias del apostador en la pizarra en las lineas siguientes apunta las apuestas. Cuando un corredor de apuestas tiene que pagar a un apostador llama a Ricky el de Reno y le dice algo asi como: "Dime las 5 apuestas que ha hecho Johnie el Guapo para los combates del Madison de esta noche." Ricky le pregunta a Rocco, responde al corredor y marca las apuestas como pagadas. 

Pero un dia, un corredor la pregunta a Ricky el de Reno por las 10 apuestas de Johnie el guapo, cuando Johnie solo hizo 2 apuestas. Ricky y Rocco no son muy listos asi que Ricky le lee 8 lineas de la pizarra que contienen apuestas de otros corredores de apuestas. Ese corredor era un informador de la policia, y Don Corleone no se puso nada contento. 

Pues esto es lo que pasa con Heartbleed. Haciendo preguntas mal hechas, uno puede hacer que Rocco le lea la pizarra (o memory Heap) del servidor, donde a veces puede haber información muy interesante como claves y passwords de otros usuarios. 

La probabilidad de que vuestros datos se hayan visto comprometidos es baja, pero no nula. Asi que no os preocupeis demasiado, esperad a que vuestros proveedores actualizen sus servidores y entonces cambiad el password que siempre es sano.

Post data:
El incidente del garito de apuestas acabó en un titular en los peridicos que todavia hoy usan los logopedas de la mafia "Rocco el Ratón rajó a Ricky el de Reno con un rejón".