Archivo de la categoría: Random

Todo era alegría en Bash hasta que Shellshock

El jueves de la semana pasada salió a la luz un fallo de seguridad que afecta a Bash, el intérprete de comandos detrás de muchos sistemas con Linux y Mac OS X.

El bug se produce porque, a la hora de definir variables de entorno, utilizando una sintaxis determinada se consigue ejecutar código que a su vez se almacena dentro de la variable, algo que lógicamente no debería estar permitido. Veamos un ejemplo:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Con este comando se ejecuta una nueva shell de Bash, pasándole una definición de una variable que contiene un método que no hace nada y un comando justo después de la definición, que se ejecuta justo cuando la variable se define.

Algunas televisiones partidarias de shells alternativas piensan que Bash es un bug en sí mismo

Algunas televisiones partidarias de shells alternativas piensan que Bash es un bug en sí mismo. Fuente: @crazybob

Este bug permite realizar varios ataques ya probados: escalada de privilegios de un usuario normal, ejecución de comandos en shells de SSH restringidas… ¿Un user agent de un navegador llamado () { :;}; rm -rf /? ¿Por qué no?. Las consecuencias podrían ser desastrosas.

Como pasó en la época del Heartbleed y OpenSSL, mucha gente ha centrado ahora su mirada en Bash y se han encontrado nuevos fallos de seguridad relacionados y no relacionados. En los servidores (y equipos de escritorio que administramos) del centro, Bash se actualiza regularmente con las actualizaciones de seguridad de las distribuciones, que ya han publicado varias versiones nuevas que van corrigiendo todos estos fallos.

En la Wikipedia van sintetizando toda la nueva información que va surgiendo, con enlaces a las fuentes interesantes, así que recomendamos echar un vistazo a su artículo si queréis más información sobre este tema. La página ShellShocker.net también resume toda la información y ofrece recursos para probar los sistemas y parchear Bash de forma manual, muy útil para sistemas antiguos.

Sistema de recirculación do aire para o CPD

Xa falamos este inverno dos problemas que tiñamos co aire frío, xa que o sistema de aire acondicionado non quenta o aire de entrada e, cando no exterior as temperaturas baixan moito, os equipos reciben ese aire frío directamente e apáganse.

Afortunadamente, xa está instalado e operativo o sistema de recirculación do aire, que engade un sistema de comportas e unha conexión entre a entrada e a saída do aire.

fotoaire

Os tubos que van para arriba forman parte doutro sistema de reaproveitamento do calor residual, para regular a temperatura doutros sistemas de aire acondicionado do centro.

Este sistema computerizado, manexa variables como a temperatura externa, a hora do día e a temperatura interna para decidir a posición das comportas que permiten ou non o refluxo do aire de saída cara ó sistema de aire acondicionado.

chart4

Nesta gráfica podemos atopar xa unha comparativa do antes e o despois, coas temperaturas de entrada de aire no clúster de computación. A liña verde corresponde á última semana completa de novembro, mentres que a liña azul á primeira semana completa de febreiro, xa co novo sistema funcionando. As temperaturas de entrada de aire siguen variando, pero en menor medida.

Tamén é certo que xa non vai tanto frío como nesas datas. En calquera caso, a Oficina de Xestión de Infraestruturas da Universidade está traballando aínda para calibrar este sistema, que é bastante complexo.

Actualizado (4/4/2014): Despois duns axuntes, esta é a gráfica actual de temperatura de entrada de aire da última semana:Temperaturas da última semanaComo se pode observar, o sistema consegue unha temperatura de entrada moi estable, que ronda os 16-17ºC, mellorando por moito a situación presentada no post orixinal.

La directiva europea sobre cookies y su aplicación en España

Desde hace un año aproximadamente, hemos visto cómo Internet se ha ido llenando de popups solicitando el consentimiento para el almacenamiento de cookies. Son, en su mayoría, pequeñas molestias que casi todos los usuarios ignoran porque no las entienden, pero son necesarias para cumplir la legislación vigente.

Empecemos analizando la propia legislación. En el año 2009 la Unión Europea publicó la Directiva 2009/136/CE, en la que se especifica en su punto 66, que:

Puede que haya terceros que deseen almacenar informa­ción sobre el equipo de un usuario o acceder a informa­ción ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aque­llos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el dere­cho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar infor­mación y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legí­timo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea téc­nicamente posible y eficaz, de conformidad con las dispo­siciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La apli­cación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales.

En marzo de 2012, el Real Decreto 13/2012 modificó el artículo 22.2 de la Ley de la Sociedad de Servicios de la Información (LSSICE) para adecuarse a la directiva europea, y lo dejó con la siguiente redacción:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Aún cuando no se habla de cookies, la definición que da el texto las engloba sin lugar a dudas. Pero con una redacción tan técnica y, al mismo tiempo, tan poco concreta, cuesta imaginar cómo hemos llegado a la situación actual.

La respuesta la encontramos en la Guía sobre el uso de las cookies, publicada por la Agencia Española de Protección de Datos en abril de 2013. En ella, se detalla a partir de la redacción de la ley de qué se debe informar, cuándo y cómo.

Guía sobre el uso de las cookies

Siendo la Agencia Española de Protección de Datos un organismo con competencias para emitir sanciones administrativas con respecto al incumplimiento de la LSSICE, y sobretodo después de que en agosto de 2013 emitieran una primera sanción ejemplar, la gente empezó a preocuparse por seguir las directrices de dicha guía, muchas veces de forma apresurada.

En la guía, de 25 páginas, se establece un procedimiento para informar sobre el uso de cookies de forma adecuada y razonable, mediante lo que denominan capas: una primera que sería el famoso popup, y una segunda que sería una página con una explicación más pormenorizada. Ese es el modelo que siguen prácticamente la totalidad de las páginas web.

En realidad, no todas las cookies están sujetas a esta ley y la AEPD ha definido cuáles quedan exentas exactamente: Cookies de «entrada del usuario», de autenticación o identificación de usuario (únicamente de sesión), de seguridad del usuario, de sesión de reproductor multimedia, de sesión para equilibrar la carga, de personalización de la interfaz de usuario y de plugin para intercambiar contenidos sociales. Algunos nombres son un poco raros, pero se definen en el documento. Quedarían exentas pues, cookies donde se almacena el idioma y otras preferencias de navegación, o cookies donde se almacene un token de sesión.

Normalmente las páginas web incluyen contenido de terceros que sí crean cookies, como botones de redes sociales o reproductores multimedia (YouTube). En ese caso, es necesario informar del uso que esos terceros hacen de las cookies, aún cuando no se tiene el control sobre los posibles cambios que hagan estos terceros en sus políticas de privacidad. Por ello, la guía propone lo siguiente:

Cuando se instalen cookies de terceros se deberían incluir en los contratos que se celebren entre los editores y los terceros, una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de cual se pueda obtener un consentimiento válido para la utilización de las cookies.

Es decir, las redes sociales, Google y demás proveedores de estos contenidos que crean cookies deberían incluir en sus términos de uso una aclaración sobre el uso de estas cookies, que sea inmutable o que notifique si cambia algo en la política de privacidad respecto a las cookies.

Es entendible el objetivo de la ley: proteger los datos personales de los usuarios, intentando evitar que, mediante el uso de cookies, se hagan cosas como rastrear comportamientos sin el consentimiento expreso. Sin embargo, esta ley y la correspondiente guía de la AEPD fallan, porque:

  1. No limitan ni aclaran cómo informar correctamente y de forma asumible y eficaz el uso de cookies por parte de terceros para rastrear comportamientos, el gran (¿y único?) problema de las cookies.
  2. Los mecanismos creados para informar al usuario son ineficaces, porque aún suponiendo que sea de su interés, los usuarios no entienden el mensaje y se presenta de forma molesta.

Dice la ley, tomándolo prestado de la directiva europea, que «cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones». De hecho los navegadores pueden informar sobre la creación de cookies, pero este mecanismo no permite cumplir los requisitos de la ley, porque no se puede incluir junto con las cookies toda la información que la ley requiere.

Sin embargo, debería ser este el camino a seguir: extender el mecanismo de creación de cookies de forma que se permita incluir información adicional sobre qué contiene la cookie y para qué se utiliza. De esta forma, sería el navegador el encargado de interpretar esta información y mostrar al usuario lo que está ocurriendo realmente, si es que quiere verlo.

Quizás, algún día, los navegadores mejoren estos mecanismos y los adopten, pero mientras tanto hay que aguantarse.

La climatización del CiTIUS para dummies

En la Unidad de Infraestructuras TIC no somos ajenos a la polémica generada con respecto a la climatización del edificio y hemos querido aportar nuestro granito de arena desde esta bitácora para explicar cómo funciona la climatización y desterrar así ciertas ideas que ya están a punto de alcanzar el estatus de leyendas urbanas.

Descripción del sistema

En el edificio hay dos sistemas de climatización independientes entre si: el aire acondicionado y el suelo radiante.

Para generar calor hay una caldera de gas natural, para generar frío hay un enfriador y ambos están apoyados por un sistema de geotermia que mejora la eficiencia del sistema.

Caldera del CITIUS

Caldera

Enfriadora del CITIUS

Enfriadora

El sistema de aire acondicionado.

En la terraza del CITIUS hay 4 climatizadoras que enfrían o calientan aire que luego se distribuye por todas las dependencias del edificio. Cada una de estas climatizadoras se encarga de unas zonas determinadas:

  1. La climatizadora CL1 se encarga de todos los despachos de los investigadores en la primera y segunda planta. Además esta climatizadora tiene un intercambiador de calor que permite aprovechar el calor residual que se recoge de la extracción de aire del CPD.
  2. La climatizadora CL2 se encarga del salón de actos, del despacho de las unidades de apoyo y de la zonas comunes en la primera y segunda planta.
  3. La climatizadora CL3 se encarga de todos los laboratorios del semisótano.
  4. La climatizadora CL4 se encarga en exclusiva del CPD. Tiene la particularidad de que mientras las demás climatizadoras tienen una batería de calor y otra de frío para calentar o enfriar según sea necesario, esta tiene 2 de frío.
Una e las cuatro climatizadoras del CITIUS

Una de las cuatro climatizadoras del CITIUS

Todas las zonas climatizadas mediante aire acondicionado tienen un termostato de marca HoneyWell como el de la foto.

Termostato del sistema de aire acondicionado

Termostato del sistema de aire acondicionado

Estos termostatos recogen el valor de la temperatura de cada sala. Cada climatizadora calcula la media de las temperaturas de los termostatos de su zona y se compara con la temperatura de consigna (la temperatura de referencia programada, que es el rango entre los 21 y 23 grados centígrados). Si la temperatura media es mayor que los 23 grados, el sistema enfría el aire. Si es menor que los 21, lo calienta. En el caso de que esté entre ambos valores no hace nada.

Entonces, si cada climatizadora impulsa el aire a la misma temperatura en todas las zonas que tiene asignadas, ¿para qué sirve el regulador del termostato? El regulador del termostato controla la regulación del caudal de aire que llega a ese espacio. Es decir, no varía la temperatura del aire, sino que regula su cantidad.

El regulador se puede mover en una horquilla de +6 a -6 (aunque los valores impresos solo llegan al 5) lo que permite una variación de la temperatura de +- 3 grados con respecto a la de el aire. Esto hace que por ejemplo si el regulador está en +2 en un laboratorio (o lo que es lo mismo, +1 grado), el aire no empezará a circular para enfriar hasta que el termostato supere en un grado la temperatura de consigna (23+1=24) y de manera equivalente no calentaría el laboratorio hasta que la temperatura bajara de la temperatura de consigna más uno (21+1=22) grados.

En resumen, el efecto del regulador es aumentar o reducir el rango de temperaturas de consigna para una zona determinada en como mucho 3 grados.

Las climatizadoras están apoyadas por un dispositivo llamado fan-coil en el CPD y en los laboratorios de instrumentación, robótica y contenidos digitales. Este dispositivo sirve para calentar o enfriar aún más el aire que llega a estas salas y además permiten recircularlo para una mayor eficiencia energética.

El suelo radiante

El sistema de suelo radiante funciona mediante agua fría o caliente que recorre el suelo de los despachos de la primera y la segunda planta y de todos los pasillos. En general hay suelo radiante en todos los lugares en donde hay un termostato de este tipo:

Termostato para el suelo radiante

Termostato para el suelo radiante. Puede observarse que está configurado para funcionar con agua fría y que la válvula está abierta.

El suelo radiante emite frío o calor según se configure de manera centralizada para toda la instalación. Esto es algo que se configura en la maquinaria del suelo radiante a nivel de todo el edificio.

En cada termostato es posible indicar si va a trabajar con agua fría o caliente, aunque solo trabajará si coincide con la configuración centralizada. Es decir, si la instalación está configurada con agua fría y el termostato está configurado con agua caliente, no hará nada.

El termostato está configurado para trabajar con agua caliente cuando hay un símbolo de un sol y con agua fría cuando hay un símbolo de un copo de nieve. Por lo tanto, cuando se pone una temperatura objetivo con el sol el suelo calienta hasta llegar a esa temperatura, mientras que con el copo de nieve enfría hasta esa llegar a esa temperatura.

El suelo trabaja únicamente circulando el agua. Por ejemplo, ahora que en verano el suelo radiante está configurado para trabajar con agua fría, si la temperatura ambiente medida en el termostato de un despacho es superior a la que se le pide entonces se abre la válvula que controla el paso de agua y el suelo radiante enfría. Si es inferior, la válvula permanece cerrada y el suelo radiante no hace nada.

Los problemas

El primer problema que existe es que el sistema de aire acondicionado y el suelo radiante funcionan de manera independiente y no se comunican de ninguna forma entre sí. Esto provoca que pueda llegar a ocurrir que un sistema caliente mientras el otro enfría.

Otro problema es que la climatizadora del CPD sólo puede enfriar el aire, no calentarlo. Esto provoca que en invierno, en los momentos en que la temperatura del aire exterior es muy baja, el sistema lo detecta y no lo enfría más, pero aún así entra en el CPD a una temperatura inferior a la temperatura operativa de los servidores, de forma que algunos se apagan al enfriarse por debajo del umbral de seguridad configurado. Hay que tener en cuenta que se dimensionó el enfriamiento del CDP para una generación de calor que se correspondía con un uso mayor del que hay actualmente.

El que en unos despachos haga mucho calor mientras que en otros la temperatura sea agradable es más difícil de explicar porque intervienen muchos factores. Podría ocurrir que la geotermia y el aire acondicionado estuvieran funcionando en direcciones opuestas o que la media de temperatura de todos los despachos sea baja y por lo tanto el aire no se enfriara lo suficiente. También podría ser un problema de otro tipo.

En los laboratorios del semisótano hace mucho calor porque la climatizadora CL3 no funciona correctamente en estos momentos. La empresa encargada del mantenimiento está más que avisada, pero no está haciendo su trabajo correctamente.

Benvidos

É certo que moitos xa nos coñecedes, pero xa que todos os libros sobre a materia insisten no mesmo, presentaremonos igualmente, que tamén é de xente educada.

Somos a Unidade de Xestión de Infraestruturas TIC do CiTIUS, unha das unidades de apoio ós investigadores do centro. Temos un nome moi longo así que ninguén nos chama así, de todos xeitos. Non temos moi boa fama por prexuízos contra a nosa profesión, pero que saibades que a maior parte do tempo estamos montando e mantendo servizos útiles como este ou este outro.

Na unidade traballamos Fernando, Diego e máis eu, Jorge. Dende fai uns meses contamos co apoio de Manuel, que que está traballando en servizos para a web. Moitos investigadores tamén nos axudan a probar cousas e non os nombramos por se lles da vergonza, pero xa saben quenes son e fan un traballo que agradecemos moito.

A misión principal desta bitácora é achegar o noso traballo a todos os investigadores do centro. Cada venres publicaremos unha nova entrada, ás veces para anunciar novos servizos e outras para contarvos brevemente cómo o estamos facendo.

O nome da bitácora non é unha indirecta, só contén unha pequena broma. Non fai falta que reiniciedes nada antes de chamarnos, aínda que se o facedes seguramente aforraredes o trámite máis adiante.

Esperamos que sexa do voso interese, queremos animar a todo o mundo a suscribirse ou polo menos a visitala de cando en vez. Podedes usar os comentarios desta bitácora para achegarnos as vosas suxerencias e comentarios.