30 abril 2011

Salto se prepara para mucho Software Libre

CONOCIMIENTO LIBRE!
Conferencia de GNU/Linux, Software y Redes Libres en Salto

Querés conocer el verdadero sistema operativo?
Compartimos nuestro conocimiento.

// GNU/Linux //
// Software Libre //
// Redes Libres //
// Taller de Antenas Wireless //
Viernes 6 de Mayo - 13:00 Hs.
Escuela Técnica Industrial Nº1, Salto, Buenos Aires.

Organiza:
BuenosAiresLibre
Escuela Técnica Industrial Nº1

27 abril 2011

II Evento Software Libre y Economía Social 2011

El Software Libre es un movimiento nacido en la década del '70 como respuesta al avance privatizador del mundo del conocimiento y del software en particular. Basado en la idea de que el conocimiento debe ser compartido, el software libre creó herramientas legales (la licencia GPL) que le permitieron desarrollar software en base a un modelo de desarrollo y una forma de trabajo totalmente nueva y centrada en el compartir. Es por esta filosofía y este modelo de negocios que desde hace un tiempo el Software Libre comenzó a ganar un lugar entre los proyectos de la economía social, al mismo tiempo que comenzaron a surgir modelos cooperativos en el mundo del Software Libre. El evento tiene como objetivo difundir las ideas del Software Libre y de la Economía Social y generar espacios de debate e intercambio entre los diferentes colectivos para ampliar la sinergia entre estas corrientes de pensamiento.

Agenda

  • Lugar: Hotel Bauen - Salón Bolivar y Salón Cascada
  • Día: 20 Mayo del 2011 17:00 Hs

Ejes de trabajo

En el evento de este año, ampliamos el espectro de trabajo dividiendolo en tres ejes de trabajo:
Ejes de Trabajo:

Charlas:

Este eje contará con charlas, presentaciones y debates de diferentes actores de la Economía Social y el Software Libre para generar  intercambios y sinergia entre estas corrientes de pensamiento.

Reunión Regional

La reunión tiene como objetivo juntar diferentes colectivos de Economía Social que desarrollan Software Libre para comenzar a construir lazos entre las cooperativas de Brasil, Uruguay, Chile y Argentina.

Taller de difusión:

Esta actividad está destinada a trabajar con los colectivos de Economía Social en un taller para aprender sobre el uso de Software Libre y llevarse material para continuar utilizando e investigando.

 Nos estamos viendo!

MATEMATICAS PURAS (Y) DURAS

Alguna vez te has preguntado...
¿Qué significa 100%?
¿Qué es dar MÁS del 100%?
 
¿Alguna vez te has preguntado cómo son esas personas que dicen que dan MÁS del 100%?
 
Todos hemos asistido a reuniones en las que alguien nos ha pedido que demos MÁS del 100%.
¿Qué te parece alcanzar el 103%?
¿De qué está compuesto el 100% en esta vida?
A continuación figura una simple fórmula matemática que puede que te ayude a responder a estas preguntas:
 
SI:
 
A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z

equivale a los siguientes números:

1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27

Entonces…

T-R-A-B-A-J-A-R
21+19+1+2+1+10+1+19 = 74% 
S-A-B-I-D-U-R-I-A
20+1+2+9+4+22+19+1 = 78%  

D-E-C-I-S-I-O-N 4+5+3+9+20+9+16+14= 80%

I-N-I-C-I-A-T-I-V-A 9+14+9+3+9+1+21+9+23+1= 99%

D-E-S-E-M-P-E-Ñ-O 4+5+20+5+13+17+5+15+16 = 100%

L-A-M-E-C-U-L-O-S 12+1+13+5+3+22+12+16+20 = 104%
I-N-Ú-T-I-L-E-S
  9+14+22+21+9+12+5+20 = 112% 
M-E-N-T-I-R-O-S-O-S
13+5+14+21+9+19+16+20+16+20 = 153%

S-I-N-V-E-R-G-U-E-N-Z-A-S  20+9+14+5+19+7+22+5+14+27+1+20 = 163%


MORALEJA 
En base a esta teoría, podemos afirmar, que es matemáticamente cierto que en algunas empresas: 
No es aconsejable
TRABAJAR, tener SABIDURÍA, tener DECISION e INICIATIVA,  y un buen DESEMPEÑO, porque solo te llevan como mucho al 100%, y están más valorados los LAMECULOS, INÚTILES, MENTIROSOS,  y SINVERGUENZAS; porque sobrepasan con creces el 100%.

de Federico Bustos

25 abril 2011

El cisne negro de Nassim Nicholas Taleb

The Black Swan“El cisne negro: el impacto de lo altamente improbable” editado por la Editorial Paidós Ibérica es la segunda obra traducida al castellano del profesor libanés-americano, ensayista de éxito y ex-operador bursátil Nassim Nicholas Taleb que se define a sí mismo como “empirista escéptico” es uno de esos pocos libros que una vez leídos te sientes en la obligación moral de recomendarlos vivamente amén de sugerir una profunda reflexión sobre muchos de los supuestos filosófico-matemáticos aplicados a la economía, a la concepción del riesgo y a la gestión de la incertidumbre. Si en los 80's “La Meta” de Eliyahu M. Goldratt removió nuestras viejas y anticuadas concepciones sobre la gestión y en los 90's “La Quinta Disciplina” de Peter M. Senge nos hizo reflexionar sobre la necesidad de adoptar el pensamiento sistémico para afrontar los desafíos crecientes de un mundo complejo, en la presente década la obra de Nassim N. Taleb vendrá a significar en mi opinión lo que Goldratt y Senge representaron en el mismo ámbito en el que plantea sus reflexiones el profesor Taleb: descubrir los errores en los procesos de razonamiento cuando los humanos nos enfrentamos frente a la complejidad, la incertidumbre y la aleatoriedad.

Son varios los ejemplos y conceptos que nos muestra el profesor Taleb en esta obra, en la que profundiza lo avanzado en la anterior “¿Existe la suerte?: engañados por el azar” siendo su punto de arranque el problema de la inducción ejemplificado gráficamente en el caso del “pavo de Russell” (en honor a Bertrand Russell que fue quien expuso por primera vez el ejemplo, retomando el problema de la inducción que inició David Hume, si bien el maestro Russell utilizó la misma metáfora pero con un pollo) que comprobó que todas las mañanas le daban de comer y tras varios meses de observaciones iba a concluir una ley universal (“estos humanos tan amables me debe querer mucho, todos los días me dan de comer”), cuando con la llegada del día de Acción de Gracias al pavo le ocurrió algo inesperado (para el pavo, no para los amables humanos). Pues bien, nuestra manera de pensar no es muy diferente de la del “pavo de Russell”. Gran parte de la matemática estadística, el cálculo de riesgos y las distribuciones de probabilidad están atravesadas por esta manera de pensar: a mayor frecuencia de ocurrencia de un hecho menor sensibilidad frente a lo inesperado. De ahí la metáfora del cisne negro que Taleb toma de David Hume (empirismo) y de Karl Popper (falsacionismo): si nos pasamos toda la vida en el hemisferio norte pensaremos que todos los cisnes son blancos, sin embargo en Australia existen cisnes negros (cygnus atratus) [1]. Y es que un cisne negro nos parece algo imposible debido a nuestra reducida experiencia: un suceso altamente improbable [2].

¿Qué es entonces un “cisne negro” según Taleb?. El profesor Taleb lo define como un hecho fortuito que satisface estas tres propiedades: gran repercusión, probabilidades imposibles de calcular y efecto sorpresa. En primer lugar, su incidencia produce un efecto desproporcionadamente grande. En segundo lugar, tiene una pequeña probabilidad pero imposible de calcular en base a la información disponible antes de ser percibido el hecho. En tercer lugar, una propiedad nociva del “cisne negro” es su efecto sorpresa: en un momento dado de la observación no hay ningún elemento convincente que indique que el evento vaya a ser más probable. Desde luego, estas propiedades no son ajenas a las crisis financieras que vivió el autor cuando se ganaba la vida como operador bursátil.

A partir de este punto el profesor Taleb nos hace un recorrido por todos y cada uno de los diferentes errores del razonamiento humano cuando se encuentra frente a los “cisnes negros” o sucesos improbables. No los voy a exponer todos pero sí algunos de los que considero más importantes, como por ejemplo la distorsión retrospectiva, algo para lo que los economistas e historiadores padecen bien dotados cuando explican las causas de una crisis económica o una guerra mundial, pero son incapaces de anticiparla: los humanos somos muy buenos a la hora de predecir los sucesos de modo retroactivo. Para Taleb, esta distorsión consiste en un sesgo que nos empuja a sobreestimar el valor de las explicaciones racionales de los datos a la vez que subestimamos la importancia de la aleatoriedad inexplicable en los datos. Para el profesor Taleb existe una base genética y filosófica para entender lo mal preparados que estamos los humanos cuando nos enfrentamos a la incertidumbre y la aleatoriedad. Según Taleb, la evolución no favoreció un tipo de pensamiento complejo y probabilístico, antes al contrario somos muy rápidos en adoptar decisiones instantáneas apoyados en una mínima cantidad de datos o en teorías superficiales y carentes de solidez, tal vez (sugiere un divertido Taleb), porque quienes divisaban un león y echaban a correr por presuponer que todos los animales salvajes siempre comen seres humanos tenían más probabilidades de sobrevivir que quienes preferían poner a prueba tal hipótesis de manera experimental. Claro que hay leones de talante amistoso (como hay cisnes negros), pero es preferible ser prudente y cauteloso de antemano que sufrir más tarde las consecuencias (problema de la inducción). Además, para Taleb existe un problema filosófico fundamental: la platonicidad o “falacia platónica”. Somos hijos de la escuela platónica que nos animó a preferir la teoría estructurada, ordinaria y comprensible a la desordenada y compleja realidad; por otra parte, nos inclina asimismo a seleccionar únicamente los hechos que encajan en nuestras teorías (falacia de las pruebas silenciosas) o cuando los hechos han tenido lugar, nos creamos historias post-hoc para que el hecho parezca tener una causa (falacia narrativa).

En mi opinión uno de los argumentos más interesantes del profesor Taleb es el que hace referencia al problema de la circularidad de la estadística y el daño colateral que provoca la distribución normal o de Gauss (por el nombre del matemático alemán Carl Friedrich Gauss): necesitamos datos para descubrir la distribución de probabilidad. ¿Cómo sabemos si contamos con los suficientes?. Por la distribución de probabilidad. Si es gaussiana, bastarán unos pocos. ¿Cómo se sabe que es gaussiana?. Por los datos. Por eso necesitamos que los datos nos digan qué distribución de la probabilidad debemos asumir, y que una distribución de la probabilidad nos diga cuántos datos necesitamos. Esta circularidad causa graves problemas en la regresión, más acuciantes cuando se aplica sin discriminación la distribución gaussiana a todo lo que se mueve. En este punto es cuando el profesor Taleb nos anima con ejemplos donde es apropiado aplicar la distribución normal y donde no: Mediocristán y Extremistán. Imaginemos que tenemos en un estadio de futbol 1.000 personas elegidas al azar reunidas dentro. Si añadimos a ellas la persona más alta del mundo ¿cambiará mucho la media de altura de las 1.001 personas reunidas?. No, no variará apenas. Bienvenidos a Mediocristán, cuyas matemáticas son el álgebra de la estadística clásica y la teoría de la probabilidad. En ese mundo las distribuciones son normales, con curvas en forma de la famosa campana de Gauss. Las variaciones individuales no varían mucho el promedio. Ahora cojamos esas mismas 1.000 personas y hagamos que entre en el estadio Bill Gates, supuestamente el hombre más rico del mundo. ¿Cambiará mucho la media de riqueza de los allí reunidos? Sí, cambiará de una forma brutal al entrar Bill con sus más de 50.000 millones de dólares de patrimonio. Bienvenidos a Extremistán, cuyas matemáticas son mucho menos ortodoxas como, por ejemplo, la geometría fractal descubierta por el matemático estadounidense de origen polaco-lituano Benoît Mandelbrot. Las distribuciones siguen una ley de potencia como la de Zipf o la de Pareto o, más recientemente, la “Long Tail” de Chris Anderson a la que hemos dedicado una entrada en el blog. Por supuesto no hace falta decir que los cisnes negros son propios de Extremistán.

En su experiencia como operador de bolsa Taleb considera que los mercados financieros minusvaloran la probabilidad de los cisnes negros pues los métodos generalmente aplicados por los operadores financieros son los propios de Mediocristán. Es ahí donde Taleb apunta que se pueden obtener ganancias apostando a que tales sucesos extraños tan impactantes de hecho sucederán con mucha mayor frecuencia. No entiendo mucho de derivados financieros pero puedo alcanzar a comprender que si la mayoría de operadores trabajan con los mismos métodos y comparten las mismas concepciones de como operan los mercados (según el paradigma de Mediocristán), es lógico pensar que si alguien se atreve utilizar otros métodos y concepciones muy distintas (según el paradigma de Extremistán) es posible que se puedan obtener ganancias importantes (rendimientos escalables) como los que apunta Taleb mediante la compra de opciones “deep out-of-the-money”, que son muy baratas, que ocasionan pocas pérdidas pero muchas veces, aunque pueden proporcionar un retorno espectacular si los mercados se vuelven locos (cosa que al parecer está ocurriendo mucho más a menudo de lo que cabría esperar según el paradigma de Mediocristán).

Un apartado importante en esta obra es la fundamentada crítica hacia los modelos de gestión de riesgos que se usan actualmente, y que han hecho ganar a algunos académicos su Nobel de Economía (Taleb cita expresamente a Robert C. Merton y Myron S. Scholes, promotores del fiasco del LCTM) que excluyen precisamente los eventos raros que aparecen de vez en cuando en Extremistán y cuyos efectos económicos pueden ser muy importantes. Estos académicos y muchos analistas cuantitativos tranquilizan a los ejecutivos de las empresas, los reguladores y los inversores con una ilusoria sensación de seguridad que no tiene para nada en cuenta la aparición ocasional de cisnes negros que pueden dejar arruinados a más de uno. Para Taleb esta “falacia de la regresión estadística” que consiste en creer que la probabilidad de futuros eventos es predecible examinando acontecimientos de eventos pasados está muy arraigada entre los actores económicos, que tampoco entienden que la aleatoriedad estructurada que encontramos en los juegos de azar (teoría de probabilidades clásica) no se parece a la aleatoriedad que encontramos en la vida real (“falacia lúdica”).

Para Taleb, siguiendo la obra de los psicólogos israelíes fundadores de la Teoría de la Prospección (antecedente de la llamada Neuroeconomía), Amos Tversky y el premio Nobel de Economía, Daniel Kahneman, los seres humanos somos mucho mejores haciendo cosas que comprendiendo nuestro entorno. Pero no lo sabemos [3]. Vivimos con la ilusión del orden, creyendo que la planificación y la previsión son posibles. Nos perturba tanto lo aleatorio que creemos disciplinas que intentan dar sentido al pasado, pero en última instancia, no conseguimos entenderlo, al igual que solemos fallar prediciendo el futuro. Por razones prácticas, resulta que los seres humanos preferimos funcionar con previsiones y predicciones, aunque casi siempre se revelan equivocadas. Para Taleb, los humanos creemos que la innovación se puede planificar, sin embargo las innovaciones importantes suelen ser descubiertas por accidente (serendipidad), pero no se reconoce así cuando escribimos la historia. Las tecnologías que dominan el mundo actual (como Internet, el ordenador personal y el láser) no se utilizan en la forma prevista por los que las inventaron y una parte considerable de los descubrimientos médicos no están planificados en los proyectos de investigación oficiales sino que surgen por puro azar.

Lejos de ofrecer recetas matemáticas para calcular la probabilidad de los sucesos raros (cisnes negros) para protegernos frente a la incertidumbre, lo que nos aporta el profesor Taleb es una buena dosis de sentido común: nunca llegaremos a conocer lo desconocido ya que, por definición, es desconocido. Sin embargo, siempre podemos imaginar cómo podría afectarnos. Es decir, las probabilidades de los cisnes negros no son computables, pero sí podemos tener una idea muy clara de sus consecuencias. Esta es una idea-fuerza para la gestión de la incertidumbre: para tomar una decisión tenemos que centrarnos en las consecuencias (que podemos conocer) más que en la probabilidad. Estar preparado ante la aparición de los cisnes negros es más importante que dedicarle tiempo y esfuerzo a calcular la probabilidad de su ocurrencia. Resumiendo: para que no nos ocurra lo que al “pavo de Russell” hay que estar preparado para lo inesperado (que a diferencia de los pavos, sí podemos imaginar) pero sin preocuparnos de cuándo ocurrirá.

Por último pero no menos importante, Taleb nos recuerda las aportaciones del economista estadounidense y Premio Nobel de Economía, Robert Lucas (expectativas racionales) y en particular su famosa crítica (crítica de Lucas) a los modelos econométricos al uso en política económica. En síntesis, la crítica de Lucas viene a decir que si la gente es racional, entonces su racionalidad les haría descubrir patrones predecibles del pasado y adaptarse, de forma que la información pasada sería totalmente inútil para predecir el futuro. Es decir, al intentar modelizar sistemas económicos basados en búsqueda de patrones en series temporales, hay que tener presente que la racionalidad y capacidad de decisión de las personas que antes han tenido acceso a la información puede alterar la serie temporal posterior, haciendo desaparecer el patrón de comportamiento. En resumen, una vez detectado un patrón de comportamiento (en mercados, sistemas sociales, hábitos de consumo, etc.), la propia racionalidad y decisión colectiva de las personas cancela el patrón (generalmente anticipándose al patrón).

En mi opinión, las ideas del profesor Taleb deben ser muy tenidas en cuenta por los que nos dedicamos al oficio de comprender, modelizar e implementar sistemas humanos complejos, para incorporar a los modelos las aportaciones de pensadores como Lorenz (teoría del caos), Mandelbrot (fractales), Kahneman (teoría de la prospección), Lucas (crítica de Lucas), etc. y evitar en lo posible los sesgos propios de la matemática de Mediocristán en el diseño de modelos, y, por supuesto, todos aquellos que nos hemos atrevido a desarrollar modelos matemáticos de previsión (forecasting) para que en mayor o menor medida evitemos la presunción de fiabilidad, pues nadie conoce el futuro.

Desde un punto de vista sistémico y, aunque el autor no menciona expresamente, en las dos obras que he podido leer he percibido una cierta familiaridad con la Cibernética de segundo orden de Heinz von Foerster, pues en repetidas ocasiones Taleb utiliza la observación de segundo orden a modo de método para ejemplificar ciertos patrones de conducta de determinados personajes (operadores de bolsa como el propio Taleb) ante situaciones donde la aleatoriedad y la incertidumbre ponen a prueba estrategias y concepciones periclitadas para un mundo imprevisible. Tal vez en este punto Taleb no se atreve a ir más allá, incluyendo la idea de circularidad y autorreferencia y es donde encuentro una mayor carencia en su obra, que a modo de crítica concluyo, es decir: Taleb no incorpora a su discurso la idea de que la aleatoridad e incertidumbre de los mercados financieros pudieran no ser ajenos a la propia conducta de los actores que luego sufren las consecuencias. El éxito de su obra es haber conseguido un certero análisis de los errores en los que incurrimos los humanos cuando nos enfrentamos a situaciones aleatorias e imprevisibles, más echo en falta una reflexión de cómo los humanos generamos esas mismas situaciones aleatorias, y en concreto en el campo de las crisis financieras.

La frase: “Mi principal afición es provocar a aquella gente que se toma demasiado en serio a sí misma y la calidad de sus conocimientos y a aquellos que no tienen las agallas para decir a veces no lo sé”.

Como pueden observar, genio y figura. Autor y obra altamente recomendables.

[1] “De la observación de un sinnúmero de cisnes blancos no se podrá inferir que todos los cisnes son blancos, sin embargo, ver un solo cisne negro será suficiente para refutar semejante conclusión.” David Hume (1711-1776), filósofo inglés.

[2] A principios del siglo XVIII, los colonos ingleses que volvieron de Australia trajeron consigo, en las panzas de sus barcos, un cargamento de cisnes negros. Los cisnes negros son originales de la isla austral y hasta ese momento, se pensaba que todos los cisnes eran blancos, porque eran blancos todos los que se conocían. La intrahistoria de esta historia es que este hecho supuso una conmoción en la sociedad inglesa. Aunque nos pueda parecer algo ingenuo a los habitantes del siglo XXI, lo cierto es que la aparición de una especie de cisnes de un color distinto al que estaban acostumbrados a ver, supuso para los habitantes de la época una fuente de debate y de polémica.

[3] Los neurológos saben que nuestro cerebro está programado para tener el control de todo lo que sucede. Sin embargo, lo cierto es que nuestro cerebro está literalmente a oscuras, escondido bajo la cavidad craneal, y el único contacto que tiene del exterior es a través de órganos imperfectos, bien sea la vista, el tacto, el sentido olfativo o el gusto. Y puesto que nuestro cerebro está programado para controlarlo todo y debido a lo imperfecto de las percepciones que llegan a él, elucubra lo que puede, creando modelos abstractos de la realidad, que a veces no tienen porqué coincidir con la realidad misma. En pocas palabras, la explicación podría ser que no estamos preparados fisiológicamente para los hechos imprevisibles. Y sin embargo, los hechos imprevisibles existen.

Para saber más: Web de Nassim Nicholas Taleb [inglés] y Nassim N. Taleb en Wikipedia [castellano] y Nassim N. Taleb en Wikipedia [inglés]
No puedes predecir quién cambiará el mundo (artículo de Nassim N. Taleb en inglés)
Daniel Kahneman en Wikipedia [inglés]
Amos Tversky en Wikipedia [inglés]
Teoría de la Prospección en Wikipedia [inglés]
Robert Lucas en Wikipedia [inglés]
Crítica de Lucas en Wikipedia [inglés]
Modelo de la Isla de Lucas en Wikipedia [inglés]
Web de Benoît Mandelbrot [inglés]
Cibernética de segundo orden [inglés]
Heinz von Foerster en Wikipedia [inglés]
Empirismo en Wikipedia [castellano]
David Hume en Wikipedia [castellano]
Bertrand Russell en Wikipedia [castellano]
Karl Popper en Wikipedia [castellano]
Fractales en Wikipedia [castellano]
Blog de Neuroeconomía [castellano]
Extractos del anterior libro de Nassim Nicholas Taleb “Confundidos por el azar” [castellano]

Visto en http://jmonzo.blogspot.com/2008/03/el-cisne-negro-de-nassim-nicholas-taleb.html y copiado escandalosamente...

21 abril 2011

SLAAC attack: el "hombre en el medio" de IPv6

Investigadores de InfoSec Institute han descubierto una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en el medio, pero mucho más sencillo que las técnicas habituales en IPv4 (por ejemplo arp-spoofing). Al ataque se le ha llamado SLAAC, pero no se trata de un 0 day, como proclaman.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Envenenar la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".

En qué consiste

El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.

NAT-PT es un mecanismo que permite traducir de IPv4 a IPv6 y viceversa para que dispositivos que soporten una u otra versión puedan comunicarse. Un protocolo ideado para facilitar la migración entre redes que fue abandonado en 2007 porque resultaba demasiado complejo, contenía demasiados errores. El método es definir en el router un prefijo IPv6 e incrustar en los últimos 32 bits una dirección IP versión 4, que según el ataque previsto, debe coincidir con un servidor DNS del propio atacante, situado en la interfaz IPv4 del router (en Internet). Si se configura adecuadamente ese router del atacante para que se encargue de traducir (a través de NAT-PT) las direcciones IPv6 de las víctimas a IPv4, se consuma el ataque, engañando al usuario para que crea que su servidor DNS es el del atacante.

El siguiente paso es hacer que los sistemas operativos usen la red IPv6 (y sus DNS) creada paralelamente... y que lo hagan rápido (si no responde a tiempo, se usaría el DNS legítimo). Esto se consigue de forma muy sencilla por dos razones: La primera es el uso de Application Layer Gateways (ALGs), que es necesario en NAT-PT para hacer NAT en protocolos "especiales" como FTP. La segunda es que los sistemas operativos modernos prefieren siempre utilizar IPv6 (se han diseñado así para, presumiblemente, facilitar la migración tan deseada que parece que nunca llega).

En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

Por qué ocurre

Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Aunque en InfoSec proclamen que se trata de un 0 day, está lejos de la definición formal de ese concepto. Según ellos, se han puesto en contacto con Microsoft y comentan que valorarán el problema.

Ventajas e inconvenientes del ataque

Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.

El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no es necesario alterar la red IPv4 de la víctima (ni la caché ARP de los equipos...), ni siquiera utilizar una dirección IP de esa red.
Se aprovecha de forma limpia una funcionalidad (no un fallo) de los sistemas modernos: preferir IPv6 sobre IPv4.

El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.

Recomendaciones

Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4548/comentar

Más información:
SLAAC Attack – 0day Windows Network Interception Configuration Vulnerability
http://resources.infosecinstitute.com/slaac-attack/


Sergio de los Santos
ssantos@hispasec.com

17 abril 2011

Paso FLISoL 2011

¡Y fue todo un exito!


Agradecemos a todos los Disertantes por tan buena onda y predispocision. También agradecemos a todos los que vinieron a ayudar, muchos vinieron de lejos, muy lejos, tan lejos como zona Norte, y Zona Oeste. También agradecimientos a todos los que colaboraron con nosotros, y tambien y mus especialmente los que vinieron a instalar desde lugares alejados como Hudso...

Hubo notebooks, netbooks y PCs de escritorio, en los cuales instalar GNU/Linux. A modo de resumen: asistieron al evento un total de +200 personas (mas de 120 personas en la primer y segunda charla, al menos hasta donde las pude contar yo) y se realizaron +12 instalaciones. Hubo gente de todos los niveles, desde chicos interesados en el software libre que se acercaban por primera vez, hasta personas mayores que cansados del software privativo se dieron una vuelta y hasta se animaron a traer sus maquinas para ver de que se trataba. El evento finalizó a las 19:30hs. Luego del sorteo del cierre, algunos integrantes del grupo QuilmesLug, compartieron opiniones, unos choripanes y cerveza.

En cuanto nos podamos, subiremos todas las charlas para poder descargarlas, Mientras pueden ir mirando las fotos del Evento.

Muchas instalaciones, mucha gente, buenas las conferencias, todo estuvo excelente !!!!!

15 abril 2011

Estudio: La gente inteligente es nocturna y duerme más tarde

"Los que sueñan de dia vienen a conocer muchas cosas que escapan a los que solo duermen de noche. En sus confusas visiones logran ver algo de eternidad y se sobrecogen, durmiendo, al advertir que se han hallado al borde del gran secreto. A retazos, aprenden algo de la sabiduria del bien, y mas todavia de la sabiduria del mal. Penetran, aunque sin timon ni brujula, en el vasto oceano de la luz inefable y, asimismo, como los aventureros del geografo Nubiense aggressi suni mare tenebrarum, quid in eo esset exploraturi (se han propuesto explorar lo que hay en el mar de las tinieblas)".  -  Eleonora - Edgar Allan Poe

Aunque se dice que la falta de sueño en los seres humanos y los animales puede llevar a la obesidad, presión arterial alta y una reducción en su expectativa de vida, hay pruebas que las personas con I.Q. alto tienden a ser más activos durante la noche y duermen más tarde.



Una amplia investigación de Satoshi Kanazawa y sus colegas de la Escuela de Economía y Ciencia Política de Londres han descubierto diferencias significativas en las preferencias del sueño-tiempo entre las personas dependiendo de su coeficiente intelectual.
Las personas con mayor coeficiente intelectual son más propensos a ser noctámbulos, mientras que aquellas con menor coeficiente intelectual tienden a restringir sus actividades en el día – prefieren ir a la cama temprano y ser madrugadores.

Según Kanazawa, nuestros ancestros eran por lo general diurnos, pero un cambio hacia actividades nocturnas es un “una nueva preferencia evolutiva” del tipo de persona que normalmente se encuentran entre individuos más inteligentes, lo que se  refleja en un mayor nivel de complejidad cognitiva entre las personas que ejercen una ocupación, profesión, religión o manera de vivir.
Sin embargo, no todo está bien con los que se queman las pestañas. Las personas que están dispuestas a quedarse hasta tarde son menos fiables y más propensas a sufrir de depresión, adicciones y trastornos de la alimentación, en comparación con los madrugadores que son relativamente más conscientes.
Aparentemente las preferencias de sueño en algunos casos obedecen a factores genéticos. Por ejemplo, en el caso de los animales: las vacas duermen con los ojos abiertos, algunas aves pueden dormir durante el vuelo o de pie, los delfines duermen con la mitad del cerebro despierto y los murciélagos necesitan 19,9 horas de sueño cada 24 horas.

Link: Smart People Stay Up Late and Sleep Late (Asylum, vía nasheliux)

06 abril 2011

Festival Latinoamericano de Software Libre - FLISOL 2011

El próximo 9 de abril, 20 países de Iberoamérica se unen en el festival de Software Libre más grande del mundo. El FLISOL, Festival Latinoamericano de Instalación de Software Libre se realizará en más de 200 ciudades de todo el continente, con sedes en Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, el Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, República Dominicana, Uruguay y Venezuela.   En Argentina, el festival se realizará en forma paralela en 34 ciudades distribuidas por todo el país. 

El evento está dirigido a todos aquellos que quieren instalar Software Libre en sus computadoras pero todavía no se animan a hacerlo solos y necesitan ayuda y asistencia de la comunidad de Software Libre.  En este evento, las organizaciones locales, grupos de usuarios y organizaciones sociales vinculadas al Software Libre trabajan de manera articulada para realizar este festival en forma simultánea.  El festival ofrece instalaciones y charlas que permiten acercar personas no técnicas y principiantes que deseen conocer más sobre la filosofía y los conceptos esenciales del Software Libre.  Tanto las instalaciones como la participación en las charlas son libres y gratuitas.   

* Cómo participar *

El primer paso para participar es ubicar el Flisol más cercano a nuestro domicilio en el sitio del festival en nuestro país en http://www.flisol.info/FLISOL2011/Argentina

No hace falta traer monitores ni teclados para realizar las instalaciones. Sólo hace falta traer la CPU o la computadora portátil según el caso. Una recomendación importante es siempre realizar una copia de respaldo completa de toda la información que contenga el disco rígido de la computadora que vayamos a instalar. 

* Sobre el Software Libre *

Según la definición acuñada por la Fundación de Software Libre hace mas de 25 años, un programa de computadora es considerado libre cuando sus términos de uso o licencia permiten:

     * usarlo con cualquier propósito
     * estudiar cómo funciona y adaptarlo a las propias necesidades
     * hacer y distribuir copias
     * hacer mejoras y redistribuir las versiones mejoradas del programa.

Muchas veces se confunde Software Libre con Software Gratuito, pero la gratuidad no es una condición inherente a la libertad del programa sino que muchas veces se llega a ella por la libertad para copiarlo sin limitaciones y en forma legal.

Existen numerosos programas libres para realizar tareas cotidianas vinculadas al uso de computadoras, desde sistemas operativos como las diferentes variantes de GNU/Linux hasta aplicaciones de oficina como Open Office, LibreOffice, navegadores web como Firefox, sistemas de mensajería instantánea, reproductores multimedia, herramientas de diseño y una enorme cantidad de herramientas para programación de diferentes niveles.

Actualmente un usuario final domiciliario de computadoras cuenta con todo lo que necesita en un entorno libre bajo condiciones de legalidad y en el marco de una comunidad que considera que compartir conocimiento es un bien social y no un delito.

   * Sobre Flisol *

La idea de realizar un Festival Latinoamericano de Instalación de Software Libre surgió en Colombia y se fue replicando por toda América latina hasta hoy día, donde contamos ya con 20 países y cerca de 200 ciudades participantes. El festival sirve para acercar usuarios y personas curiosas que aún no se atreven a instalar un sistema operativo por si solos, y necesitan ayuda de la comunidad para hacerlo y dar sus primeros pasos en el mundo del Software Libre.

Pero además, permite articular la tarea de las cientos de comunidades de software libre desplegadas a lo largo de todo el continente, que encuentran en este festival una excusa perfecta para trabajar juntas, conocerse y aunar objetivos para difundir y consolidar el trabajo que la  comunidad realiza. Más información sobre Flisol en http://www.flisol.info

05 abril 2011

Horos-copo-loco

"Tienes la necesidad de que otras personas te quieran y admiren, y sin embargo  eres crítico contigo mismo. Aunque tienes algunas debilidades en tu personalidad, generalmente eres capaz de compensarlas. Tienes una considerable capacidad  sin usar que no has aprovechado.
Disciplinado y controlado hacia afuera, tiendes a ser preocupado e inseguro por  dentro. A veces tienes serias dudas sobre si has obrado bien o tomado las decisiones correctas. Prefieres una cierta cantidad de cambios y variedad y te sientes defraudado cuando te ves rodeado de restricciones y limitaciones.
También estás orgulloso de ser un pensador independiente; y de no aceptar las afirmaciones de los otros sin pruebas suficientes. Pero encuentras poco sabio el ser muy franco en revelarte a los otros. A veces eres extrovertido, afable, y  sociable, mientras que otras veces eres introvertido, precavido y reservado.  Algunas de tus aspiraciones tienden a ser poco realistas."

¿A quien aplica? ¿Es mio, tuyo, nuestro, ajeno? 

Es el horoscopo mas generico que un grupo de psicologos pudo hacer, encontrando que mas del 87% se sentia representado con eso.

... Forer había ensamblado este texto de distintos horóscopos. 
El efecto Forer (también llamado falacia de validación personal o el efecto Barnum, por P. T. Barnum, en deferencia a la reputación del cirquero P.T Barnum como maestro de la manipulación psicológica) es la observación de que los individuos darán aprobación de alta precisión a descripciones de su personalidad que supuestamente han sido realizadas específicamente para ellos, pero que en realidad son generales y suficientemente vagas como para poder ser aplicadas a un amplio espectro de gente.

El Efecto Forer parece explicar, al menos en parte, por qué tantas personas creen que las pseudociencias "funcionan". La astrología, la astroterapia, los bioritmos, la cartomancia,  la quiromancia, los eneagramas, la adivinación del futuro, la grafología, etc., parecen funcionar porque parecen proveer análisis de personalidad bastante acertados. Los estudios científicos de estas pseudociencias han demostrado que no son herramientas de evaluación de personalidad válidas, y sin embargo siguen apareciendo muchos clientes satisfechos muy convencidos de su exactitud.  Variables que influencian el efecto
Estudios posteriores concluyeron que los sujetos dan una evaluación más alta si se dan las siguientes características:

* El sujeto cree que el análisis se aplica sólo a él.
* El sujeto cree en la autoridad del evaluador.
* El análisis enumera mayormente atributos positivos.

"Solo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera" - Albert Einstein

02 abril 2011

Slackware 13.37 RC3, un tributo a π

Los desarrolladores de Slackware han publicado la tercera versión candidata de su próxima edición estable, Slackware 13.37. Según los desarrolladores, el estado actual de la distribución es prácticamente “el mismo” que el de la versión final, aunque por lo visto esperarán a la versión 2.6.37.6 del kernel para lanzar esta edición final con ese núcleo.
Slackware Slackware 13.37 RC3, un tributo a π
Teóricamente esta versión debería haber sido Slackware 13.2, pero los desarrolladores optaron por subir un poco ese número de versión para diferenciarse del resto de las distribuciones.
De hecho, esta tercera Release Candidate tiene un nombre especialmente singular porque el número de la versión es en realidad este, Slackware 13.37 RC3.14159265358979323846264338327950288419716, que como rápidamente habran descubierto son los primeros 42 decimales del número pi (π).
¿Por qué 42 decimales? Porque el número 42 es la “El sentido de la vida, el universo, y todo lo demás” según la “Guía del Autoestopista Galáctico“, la famosa serie de libros de ciencia ficción de Douglas Adams. Vamos, un nombre lo más de friki :)
Como indican en The H Open, Slackware fue la primera de las distribuciones en aparecer en el mercado, y de hecho es una distro orientada a usuarios avanzados y que puede presumir de ser la distribución más veterana de todas las que existen hoy en día. Como sucede en Debian, no hay ciclos de desarrollo prefijados, y el equipo de desarrollo simplemente tiene que estar convencido del buen estado de la distribución para lanzarla al mercado. Para que se hagan una idea, Slackware 13.1 apareció en mayo de 2010.
Pueden obtener más detalles sobre Slackaware 13.37 RC3 (y lo que sigue) en el registro de cambios, pero atención, no hay una imagen ISO oficial como tal para la descarga. Si quieren probar esta versión tienen que instalar la última versión estable (de nuevo, la 13.1) y actualizar a partir de ella, o bien tirar de dos alternativas que han señalado en los comentarios (gracias, Locklear e Ismael). La primera, utilizar estas imágenes ISO no oficiales, del 22 de marzo -las enlazan en Distrowatch-:
Y la segunda, generense su propia ISO como comentan en este artículo de LinuxAdmin. ¡Que la disfruten!

Adaptado de http://www.muylinux.com/2011/03/28/slackware-13-37-rc3-un-tributo-a-%CF%80/

01 abril 2011

Tor ya no es suficiente para ocultar la identidad en Irán

La herramienta para ocultar la identidad 'online' Tor (The Onion Router) ya no es suficiente para escapar del control de los gobiernos. Lo ha confirmado el mismo equipo de la compañía, que, además, ha reconocido que conocía la vulnerabilidad y da cifras sobre el número de usuarios que tiene en el país asiático.


Según el equipo de desarrollo de Tor, Irán ha logrado crear un mecanismo para saber quién está detrás de cada mensaje enviado a la Red utilizando esta herramienta para ocultar la identidad en línea. Aparentemente, la ciberpolicía iraní está empleando tecnología DPI (Inspección Profunda de Paquetes) para 'leer' el tráfico de Internet cuando se transmite. Ya en 2009 The Wall Street Journal aseguró que Siemens y Nokia habían contribuido a dotar al país asiático de la tecnología un año antes.
"Estamos en una carrera armamentística muy lenta", dijo en declaraciones a UPI el de director ejecutivo de Tor, Andrew Lewman, que también opina que Irán está un paso por delante de China en su capacidad para rastrear y bloquear las acciones de los ciberdisidentes.

Tor para huir del control 'online'

Tor es una herramienta muy utilizada. Permite saltarse la censura 'online' gracias a un procedimiento doble que oculta la dirección IP y encripta los mensajes enviados, ya sean mensajes instantáneos o correos electrónicos. En un principio, Tor fue creado por los investigadores el ejército de Estados Unidos para su uso militar, pero después su código fue liberado y ahora es de dominio público.
Según las estadísticas de Tor, hay unas 2.800 personas que utilizan su herramienta en Irán. Su uso se disparó especialmente tras las elecciones presidenciales de 2009, un momento en el que la sociedad iraní manifestó su rechazo al resultado a través de Twitter. Marcó un momento histórico tras demostrar el potencial de las redes sociales en la movilización y el activismo político, una realidad que se ha constatado recientemente durante las revueltas que tienen lugar en Asia y África.
El triunfo de la mayoría de estas revueltas ha impedido que se tomen represalias contra los usuarios más activos en la agitación social a través de las redes sociales. Países como Egipto y Libia se han limitado a cortar Internet completamente para evitar el uso de Twitter o Facebook como herramientas políticas. Sin embargo, países más fuertes y estables como Irán, China o incluso Estados Unidos, poseedores de tecnología DPI, pueden ir directos a por los activistas si no son capaces de ocultar su identidad.

Tomado escandalosamente de http://www.elmundo.es/elmundo/2011/03/25/navegante/1301064944.html