[uylug-varios] El virus como arma

etrapani etrapani at unesco.org.uy
Mon Feb 13 16:13:30 PST 2012 

A ver Sylvia, ¿Viste que le puse "está bueno lo que decís, yo 
agregaría"?  Supongo que tu respuesta es solamente a la primera parte 
del mensaje (tengo que adivinarlo, no sé por qué cuesta *tanto* eliminar 
lo que no va, pero bueno, "entre romanos hacé como los romanos" así que 
te contesto de igual manera, aunque el top-posting contestando a no se 
sabe qué parte ... se me hace medio nefasto para una buena 
comunicación).

La ironía la entendí, los casos son reales, manejaba dos (así que no 
los conocía todos, gracias de verdad por detallarlos).  Lo que no quita 
que *a mi entender* ayuda venir con el molde de Windows (para usuarios) 
para hacerlo.  O sea, o el administrador considera eso normal o lo 
considera deseable para hacer la experiencia más fácil (a la windows?) y 
mantenible.  Te diría por lo menos que son cabezas ajenas a la seguridad 
unix.  Contesté a la pregunta de él con un perfil posible de 
usuario/decisor.  No será el único.

Hoy día te diría que un programa que tenga una contraseña por defecto 
tiene un bug al respecto en debian.  La gente tiene en cuenta esas 
cosas.  Pero, ahí tenés el stuxnet explotando el uso por parte de 
Siemens de contraseñas por defecto en Windows (Y Siemens pidiendo que no 
la cambies).  Es un comportamiento real.  Podés tener razón, que no 
tenga nada que ver con windows y la experiencia de usuario, para mí sí, 
pero es una sensación, nada que pueda ponerme a defender o argumentar, 
considerémoslo errado, no hay problema.

Pero en lugar de quedarme con la ironía y el derrotero a la que 
inexorablemente llevaba (por suerte en otro hilo) la tomé como base para 
seguir metiéndose en ese tema de la seguridad y las malas prácticas, 
porque viene bien mirar el espejo también, intercambiar y aprender con 
los otros (algunos capos mismo) en la lista.  Me pareció acertado lo que 
dijo después Eduardo, por eso lo cité explícitamente, lo apoyé y ahí 
arranqué para completar lo que para mí era medular, salteando la ironía 
y volviendo a nosotros, los sistemas que administramos, etc.  Me 
gustaría saber qué criterios siguen para confiar en un repositorio no 
oficial, por ejemplo, cosas así.  Esperaba que la cosa fuera para ese 
lado

Por eso me sorprende que alguien traiga la charla desde eso 
potencialmente constructivo hacia la ironía de nuevo, sin aportar nada 
sobre lo otro.  Es raro para mí teniendo algo tan jugoso para por una 
vez conversar construyendo.  Pero bueno, cada uno tiene sus áreas de 
interés y, al igual que le pasaba a Helius, miro un poco azorado pero 
entiendo que haya cosas más interesantes.

Ojalá en algún momento, en otro hilo, logremos conversar e intercambiar 
sobre cómo *nosotros* manejamos la seguridad y mantenibilidad de 
nuestros sistemas y nuestras redes en términos de software y 
credenciales.

> No, Trápani, no entendiste la ironía de Ricobaldi. Las situaciones
> que describe son las que se dan con las computadoras del Plan Ceibal.
> Las XO escolares no tienen contraseña de root (es secreta para el
> usuario), las XO liceales no tienen root, las Jump PC de las maestras
> tienen un usuario sin contraseña (sigo sin entender cómo lo
> lograron) y las Classmate (como la mía) vienen con el usuario
> _profesor_ con contraseña _profesor_.
>  No son casos hipotéticos sino reales y nada tienen que ver con
> Windows.
>
>  Un abrazo
>  SYLVIA
>
>  El 07/02/12 09:41, Eduardo Trápani escribió:
>
>>> De las que copiaron el ISO del LiveCD al disco duro y ni tienen
>>> clave de
>>> root, ni hablemos.
>>> No me imagino a quién se le ocurriría hacer semejante
>>> disparate...
>>
>> Yyyy, a los que venimos de Linux probablemente no, pero para el que
>> viene de Windows ... que se abra la sesión directamente en una
>> cuenta
>> con derechos de administrador ... es lo más común. Y cuando migran
>> se
>> traen el modelo puesto.
>>
>> Por eso está bueno lo que decís:
>>
>>> Siempre que se den las condiciones básicas como:
>>> 1) Que se mantenga actualizado
>>> 2) Que no se cometa alguna bobada como tener una contraseña
>>> default
>>
>> (default y/o débil) Y yo agregaría:
>>
>> 3) se elijan con cuidado los repositorios no oficiales
>>
>> La verdad, yo pienso a veces, si alguien se tomó el trabajo de
>> armarlo,
>> crear su llave gpg, subirla a un anillo, empaquetar el software,
>> etc.
>> entonces voy a confiar. Pero a medida que ganamos terreno esas
>> presunciones se hacen más débiles.
>>
>> 4) que no se instalen cosas fuera del sistema de paquetes
>>
>> Por ejemplo, ahora todas las cosas en python que encuentro útiles
>> por
>> ahí, las bajo e instalo en mi usuario como usuario normal. Pero es
>> fácil encontrar en las instrucciones cosas como "sudo python
>> setup.py
>> install". Medio audaz. Y bajarse un .deb de por ahí e instalarlo es
>> horrible también, uno se queda sin actualizaciones, etc.
>>
>> Eduardo.
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list