Nuevo ataque a Linux. Y esta vez por parte de un “tecnólogo” Pro Microsoft de Zdnet.
http://www.zdnet.com/blog/bott/linux-infection-proves-windows-malware-monopoly-is-over-gentoo-ships-backdoor-updated/2206
Arranca con un titular falso y tendencioso: “Infección en Linux prueba que el monopolio del malware en Windows se acabo”.
Para empezar gracias por afirmar lo que ya sabemos. Windows tiene el monopolio hace años de problemas de seguridad y que aparezca un problema en otra plataforma no lo va a desbancar. Así que amigo Ed. puede dormir tranquilo.
En segundo lugar, ¿que tiene que ver Linux en esto?. En realidad nada, solamente se le ocurrió asociar código fuente = Linux.

Nuestro amigo “tecnólogo” tomo un anuncio de una aplicación desconocida hasta el momento por mi como seguramente por muchos de uds, un server irc de una compañía cuyo código esta bajo licencia GPL.
Según el anuncio hace 8 meses que el source estaba infectado con un backdoor.
http://forums.unrealircd.com/viewtopic.php?t=6562
Nuestro amigo se mofa de ello.
También se mofa que algunos mirrors fueron afectados.
Ahora bien, ¿de quien es la responsabilidad de mantener los mirrors?. ¿Es válido achacarle a esta Cia problemas de seguridad de terceros?
Claro que nuestro amigo Ed se olvida mencionar que en ningún momento fueron afectados el servidor principal ni mucho menos el repositorio CVS.
Este buen sr. argumenta que los binarios de windows no estaban afectados.
Cosa que no es del todo cierto. Cualquiera puede tomar el fuente y armar paquetes precompilados para cualquier plataforma y estar afectadas.
http://forums.unrealircd.com/viewtopic.php?f=1&t=6562&start=15
Algo que me hizo mucha gracia es que argumenta que con un escaneo rutinario de un antivirus hubiera detectado el problema al poco tiempo.
Nuestro amigo Ed parece que desconoce como funcionan los antivirus. Debido a su naturaleza de detección en base a firmas siempre va a estar un paso atrás. Hasta que alguien no mande una muestra al que diseño el antivirus para que actualice su base, ni se va a dar por enterado. En estos casos es totalmente inefectivo.
Nuestro amigo dice que se podía lograr comprometer todo el sistema. Bueno, eso puede llegar a suceder en Windows. Pero desconoce como funciona la seguridad en *nix.
Por empezar hace AÑOS que cualquier administrador con dos dedos de frente al instalar un servicio en un server lo hace con una cuenta limitada o con derechos de nobody. No se ejecutan más servicios como root como se hacia en otras épocas.
El código afectado lo único que hacia era habilitar a un atacante externo ejecutar comandos con los derechos del usuario que corría el servicio.
Además la mayoria de  las distros modernas incluyen mecanismos adicionales de seguridad como AppArmor o SELinux con lo que se neutralizaría cualquier acción de este tipo.

Pongamos en claro que el problema no reside en liberar el código ni que se pueda llegar a instalar backdoor o rootkits en una instalación de cualquier distro por descuido del que lo administra.
Aquí el problema reside en varios aspectos:
1- Hasta el momento no firmaban el source empaquetado en un tar.gz, requisito mínimo e indispensable para evitar adulteraciones del mismo.
2- Es incomprensible como mínimamente no hacían un ckecksum con md5. Algo mucho más básico aún.
3- La aplicación no estaba aceptada en ninguna de las grandes distros. Cosa que hubiera ayudado a corregir el problema mucho mas rápido ya que no hubiera pasado los controles de la propia distribución.
Lo que resulta extraño es el caso de Gentoo y Arch, ambos erróneamente incluyeron el paquete afectado y ambos cometieron el error de no comprobar el checksum MD5.
El problema es lisa y llanamente de políticas de seguridad y pésima administración, no que el código sea libre como afirma el “tecnólogo”.
Por lo que concluyo que es un FUD bien mayúsculo e intenta desacreditar el trabajo de miles de programadores independientes.
Esto me recuerda el caso del falso salvapantallas colgado en gnomelook que se lo presento como la hecatombe y no fue mas que ruido de algunos columnistas sensacionalistas.

Como dice el dicho
“Menos mal que es Lunes porque los Martes son de Microsoft”

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en:http://creativecommons.org/licenses/by-nc-sa/2.5/ar

El siguiente es un extracto del libro La biblia del software libre que pueden conseguirlo para bajar del siguiente link:
http://www.softwarelibre.net/la_biblia_de_software_libre
El libro es excelente para el que quiera estudiar. Se puede distribuir, modificar y copiar libremente ya que se encuentra bajo licencia GNU.

Me pareció muy interesante y profesional el modo de abordar el tema.
Es un poco largo pero vale la pena que se tomen el tiempo en leerlo.

“El copyleft está en contra o no respeta el derecho
de autor”

Este mito consiste en creer que el software libre (y las licencias aso-
ciadas) crea un nuevo marco de derecho de la propiedad intelectual,
el copyleft, “en vez de” el copyright. Al contrario, tal como lo ex-
plican todos los defensores del software libre, las licencias libres
se fundamentan directamente en el derecho de propiedad intelec-
tual vigente, ya sea el derecho de autor de estilo continental, sea
el copyright anglosajón. La FSF y otros autores del movimiento de
software libre usan sus derechos de autor otorgados por el marco
legal justamente para defender las libertades ofrecidas por sus li-
cencias.

Ejemplo
Por ejemplo, aunque no haya ninguna decisión judicial
al respecto, Eben Moglen, abogado de la FSF, ha co-
mentado que varias veces ha tenido que amenazar con
acciones legales (fundamentadas en el derecho de la
propiedad intelectual) a empresas que habían “privati-
zado” código bajo licencia GPL.

Consideremos, por ejemplo, las dos características principales del
software libre, las libertades de uso y el efecto copyleft.
1) En relación con las libertades de uso, el marco legal permite a
los titulares definir los derechos de explotación de la obra prote-
gida. En lugar de restringir los usos del licenciante como lo hace
la mayoría de las licencias propietarias, la licencia libre los am-
plía al máximo permitido.
2) Respecto al copyleft, el autor de una obra derivada puede crearla
únicamente porque el titular de la obra original en que se basa se
lo permite, bajo ciertas condiciones. Si estas condiciones –por
ejemplo, la de distribuir la obra derivada bajo la misma licencia–
no se cumplen, la licencia original se resuelve y la obra derivada
es una violación de los derechos originales. Por ello, se ha dicho
que el copyleft es legal como cláusula resolutoria.
Por lo tanto, no hay contradicción ni oposición entre los derechos de
autor legislados y los derechos bajo una licencia libre. Es más, se
puede argumentar que en tanto que una licencia libre respete las ex-
cepciones y los usos permitidos del usuario bajo este marco legal, se
ajusta más al derecho que muchas licencias propietarias

“El software libre no tiene titulares o propietarios
u obliga a ceder sus derechos de autor”

No hay nada más equivocado desde el punto de vista legal. El marco
jurídico de la propiedad intelectual confiere derechos de autor auto-
máticamente a los creadores del software (o, en algunas circunstan-
cias, a las empresas contratantes de los creadores). Casi la única
obligación compartida por todas las licencias libres es la de mante-
ner los avisos de titularidad de los creadores iniciales del software (el
famoso Copyright Notice). Y, como lo indica E. Moglen de la FSF, es-
tos titulares de los derechos actuarán con fuerza para defenderlos.
Estos derechos se pueden ceder, pero únicamente con el consenti-
miento explícito del autor (con la excepción de los derechos morales
sobre el software, en países dónde estén reconocidos, los cuales no
se pueden ceder). Por lo tanto, las licencias no pueden quitar la titu-
aridad del software a sus creadores. Algunas licencias libres obligan
a distribuir o publicar el código fuente de obras nuevas, que se con-
sideran modificaciones u obras derivadas de software original, pero
no a ceder el código o los derechos del titular sobre éste.

“No se puede hacer un uso comercial
del software libre”

Otra creencia equivocada: como hemos visto, no hay límites sobre el uso
del software libre, solamente algunas condiciones sobre su modificación
y distribución posterior. Las licencias libres no afectan a los usuarios fina-
les. No obstante, es cierto que algunas licencias cuya clasficación es “lin-
güísticamente” similar a las de software libre freeware y shareware )
(
prohíben el uso comercial de las versiones gratuitas. Estas licencias no se
consideran ni abiertas ni libres (por ejemplo, a menudo el software de
este tipo no se distribuye con el código fuente).

“El software libre y el software propietario
son incompatibles”

Otro mito es que una licencia libre (y por lo tanto, el software libre)
es incompatible con una licencia y el software propietario, ejecutados
en un mismo sistema o plataforma informática. Si esto fuera cierto,
ninguna aplicación propietario, como las bases de datos de Oracle
o las aplicaciones de IBM, podría ejecutarse sobre Linux, OpenBSD o
los servidores web Apache. Y viceversa, aplicaciones libres como
MySQL no podrían ejecutarse sobre sistemas operativos propietarios
como UNIX, Solaris de Oracle o AIX de IBM. Justamente, por ejem-
plo, Samba existe para relacionar aplicaciones libres y el SO Windows
en un mismo sistema o red. Lo que sí que puede suscitar incompati-
bilidades es la integración o mezcla de software con copyleft y soft-
ware propietario, lo que comentaremos a continuación.

“No se puede integrar o mezclar código libre
y código propietario”

Esta afirmación sostiene que el código libre (en general) no puede
mezclarse o integrarse con código propietario en una misma aplica-
ción, sin afectar a dicho código propietario y, por lo tanto, sin violar
las condiciones de uso de éste. Una manera más fuerte para expresar
esto es afirmar que el software libre, y el código bajo GPL en particu-
lar, es “vírico” e “infecta” a otras aplicaciones: cualquier aplicación
que integre código GPL vuelve a ser código bajo GPL. Esta afirmación
es parcialmente falsa.
Hay que tomar en cuenta los aspectos siguientes:
a) Integración por el usuario final: desde el punto de vista del
programa libre, las licencias no restringen sus usos con otras
aplicaciones propietarias. La posibilidad de modificación es una
condición de ser libre y no hay restricciones sobre su uso. Y es por
ello que se ha de distribuir el código fuente con el código objeto
o ponerlo a disposición del destinatario. Sin embargo, cualquier
integración de código libre (A) con un software propietario (B) po-
drá ser considerada como una modificación de los dos software
en cuestión (¡y realizable únicamente si uno tiene el código fuente
de B!). Esto es permitido por la licencia libre del software (A). Sin
embargo, dependiendo de las restricciones contenidas en la li-
cencia propietaria (B), dicha modificación puede constituir una in-
fracción de la misma. Esto no es un problema del software libre,
sino de la licencia de software propietario.
b) Integración por un intermediario: donde sí que puede haber res-
tricciones relativas a la integración de software de distintos tipos,
ya sea libre, abierto o propietario, es respecto de su distribución
posterior. Sobre todo, la condición de copyleft robusto de las li-
cencia de tipo GPL prohíbe la “integración” de código bajo la GPL
con código propietario en una distribución posterior bajo licencia
propietaria, una práctica que se ha llamado la “privatización” del
software libre. Esta restricción se aplica a cualquier distribución
propietaria del código objeto (sin adjuntar el código fuente) o con
condiciones incompatibles con la licencia GPL. Hay ciertas licen-
cias libres que contienen cláusulas que tratan de permitir esta in-
tegración, como la LGPL o la MPL en algunas circunstancias, que
veremos en el apartado siguiente.
En este sentido, la cuestión de si uno puede integrar un software libre
con cualquier otro para su distribución posterior, depende de la for-
ma en que esto se realice. El tratamiento del resultado de esta inte-
gración, lo que se considera una “obra derivada”, es complejo y lo
estudiaremos a continuación, en el análisis de la condición de co-
pyleft robusto en la licencia GPL y los derechos otorgados en la LGPL.
Asimismo, en cuanto al código bajo licencia propietaria, hay que te-
ner en cuenta los derechos del usuario que descompila el programa
con el fin de su interoperabilidad con otro (que puede ser libre) y lo
modifica por necesidades legítimas del usuario (para cuyo uso el
software se adquirió) y, eventualmente, para la corrección de errores
(por ejemplo, si se produce un error cuando interactúa con un soft-
ware libre)

“Todo el software libre es igual, bajo los términos
de la GPL”

Ya hemos comentado que hay variaciones sustanciales entre las li-
cencias libres y veremos a continuación el detalle de estas diferen-
cias. Habría que ser mucho más cuidadoso en el uso del término
software libre, así como distinguir a menudo entre licencias libres
propiamente dichas (en la interpretación de FSF), licencias abiertas y
licencias que no son ni libres ni abiertas. Es importante manejar con
claridad los términos código abierto, persistencia y copyleft, que son
característicos de estas licencias libres.

“Las licencias libres obligan a publicar
sus modificaciones particulares”

Esta es una de las ideas falsas más propagadas sobre el funciona-
miento de las licencias libres. Consideremos otra vez la posición de
los usuarios finales e intermedios (desarrolladores de programas
para terceros):
a) Usuarios finales: la mayoría de las licencias libres no obligan a
los usuarios ni a distribuir sus modificaciones o adaptaciones de
software libre (obras derivadas, en lenguaje legal), ni a publicar-
las o contribuir con ellas al desarrollo de la aplicación modifica-
da. Algunas licencias requieren esto último sólo en relación con
correcciones o modificaciones del código central o núcleo del
programa. Como veremos, estas obligaciones no se aplican a
elementos adicionales agregados al núcleo o a cualquier exten-
sión de la aplicación. Por lo tanto, los usuarios finales no tienen
que publicar sus obras basadas en software libre.
b) Los profesionales y las empresas desarrolladores de progra-
mas: las personas que desarrollan para clientes tampoco tienen
que distribuir al público o a los autores originales cualquier mo-
dificación de un software libre, pero sí que tienen que respetar
la licencia libre original, muchas de las cuales obligan a proveer
el código fuente a los usuarios/clientes destinatarios o, si sólo se
distribuye el código objeto, ofrecer el código fuente a cualquier
tercero (la GPL) o al destinatario (la MPL). Éste es uno de los re-
quisitos para utilizar software libre y abierto.

“Nadie es responsable por el software libre,
ni tiene garantía”

Hay que admitir que esto es cierto, bajo las licencias actuales de soft-
ware libre, aunque haya dudas legales sobre la efectividad de las
Clásulas de negación de garantía y de responsabilidad. Esto ya se
ha comentado con respecto al marco jurídico en la Union Europea. El
mito, en realidad, consiste en pensar que los licenciantes propieta-
rios aceptan mayor nivel de responsabilidad. Hemos visto que la li-
cencia típica de software propietario también intenta limitar la
responsabilidad del licenciante (autor o distribuidor), muchas veces
al precio pagado por la aplicación o una suma similar.

Con los sistemas de distribución virtual en Internet, se podría argu-
mentar también que es difícil identificar a los licenciantes y con ello
recurrir a alguna indemnización. Muchos sitios de distribución de
software libre, como Sourceforge, no son los titulares licenciantes, ni
siquiera distribuidores “oficiales”. No obstante, en algunos casos,
como el de la FSF o en casos de negocios basados en la distribución
de paquetes de software libre como Red Hat o Suse, hay una entidad
legal identificable contra quien se podría intentar una acción por da-
ños y perjuicios, si fuera necesario. Además, la obligación de man-
tener el aviso de autoría (copyright notice) permite identificar a los
autores de cualquier componente deficiente, aunque no son necesa-
riamente los que hayan distribuido el programa al perjudicado.

El mismo argumento se aplica a las garantías. Las licencias libres en
sí mismas no ofrecen garantías, pero tampoco son de mucha utilidad
las de las licencias propietarias. Como se ha visto, muchas veces su
garantía contractual está limitada, por ejemplo, a la devolución del
precio de compra en caso de una avería, dentro de un límite de 90
días, sin garantizar el funcionamiento adecuado de las aplicaciones.
Por un lado, hay que considerar las garantías obligatorias por ley,
que se aplican a software libre y propietario. Por otro lado, las licen-
cias libres permiten a los distribuidores de software libre agregar
cláusulas de garantía (con contraprestación económica o no), lo que
se hace con muchos paquetes de distribución comercial.

El script es independiente a la distribucion que utilicen por lo que es interesante. Sobre todo si no se actualizan seguidos los repositorios oficiales de la misma.

Simplemente copien y peguen el texto a continuación en un editor, salvenlo con un nombre y luego le dan derechos de ejecución.

——————————Copiar a partir de aquí————————————–

#!/bin/bash

#######################################################

#Author: Nicolas Carusso #

#Author’s email: ncarusso at hotmail dot com #

#Collaborator: Adrian Rodriguez Renda #

#Collaborator’s email: adrianjordan at gmail dot com #

#Date: 27/02/2010 #

#Last Revision Date: 26/4/2010 #

#######################################################

#Description: This script updates your firefox version on ubuntu

#(Hardy in my case) by downloading the newest .tar.bz2 file from the official mozilla web site

#I think this is very useful because you don’t need to wait ’til ubuntu

#makes the update for you (belive me, you don’t want to wait such a long time!)

# Go to the User’s home directory

cd $HOME

#Check if directory exists. Otherwise create it

###################################

if [ -d ${HOME}/UpdateFirefox ];

then

echo “Update Firefox directory exists”

else

mkdir ${HOME}/UpdateFirefox

fi

####################################

cd UpdateFirefox

#1)Download the package by asking wich version is needed

#TIP: the version input format is as follows:

# Version file name: “firefox-3.6.3.tar.bz2″

# Input format: “3.6.3″ (without quots)

echo -n “Enter the firefox version you want to update to (F.E: 3.6.3): ”

read version

echo -n “Enter your language distribution for firefox: (F.E: Argentina= es-AR): ”

read language

if [ $version != "" ]; then

echo “Downloading Firefox $version”;

wget http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-i686/${language}/firefox-${version}.tar.bz2

else

echo “No version entered”;

fi

#2) untar & unzip

tar xvjf firefox-${version}.tar.bz2

#3) Create a Backup Directory with the firefox current version inside

#(& rename the previous back up as “OLD”)

##Check if directory exists. Otherwise create it

###################################

if [ -d ${HOME}/Back_ups ];

then

echo “Backup Directory exists”

else

mkdir ${HOME}/Back_ups

fi

####################################

cd ..

mv ${HOME}/Back_ups/firefox_Backup.tar.bz2 ${HOME}/Back_ups/firefox_Backup_OLD.tar.bz2

tar cjf firefox_Backup.tar.bz2 ${HOME}/firefox

mv ${HOME}/firefox_Backup.tar.bz2 ${HOME}/Back_ups

#4) Delete the firefox current directory & put there the new one

rm -r ${HOME}/firefox

mv ${HOME}/UpdateFirefox/firefox ${HOME}/firefox

#5) Create a symbolic link to firefox executable

rm /usr/bin/firefox

rm /usr/lib/firefox-${version}/firefox

rm /usr/lib/firefox-${version}/firefox-bin

ln -s ${HOME}/firefox/firefox /usr/bin/firefox

ln -s ${HOME}/fierefox/firefox /usr/lib/firefox-${version}/firefox

ln -s ${HOME}/firefox/firefox /usr/lib/firefox-${version}/firefox-bin

#6) Delete the .tar.bz2 with the new release

rm ${HOME}/UpdateFirefox/firefox-${version}.tar.bz2

———————————-Fin copiado———————————————

Esta creo que son de esas noticias WTF que andan circulando por ahí hasta que uno lo comprueba.
NetCraft se dedica a los servicios de Internet en general, brinda información para que podamos analizar un sitio, un proveedor, etc.
También publican un listado de los proveedores de hostings más confiables medidos principalmente por el UpTime, como también por los tiempos de caídas, tiempos de retardo en conexión, etc.
Buenísimo!, muy útil para el que tiene que realizar algún análisis y tomar una decisión a partir de esos datos.
Veamos el ranking de UpTime a ver que nos dice, para que se entienda lo que quiero ver es el tiempo que estuvo el sitio activo sin interrupciones:
http://uptime.netcraft.com/up/today/top.avg.html
¿Pero que pasa ahí?. ¿Todos sitios hosteados en plataforma Windows? ¿Y los *Nix donde estan?
A ver el segundo:
2    www.vista-mania.com     177     1651     1696     1426     Windows 2000     Microsoft-IIS/5.0    ASAHI ELECTRONICS CO., LTD.
Eh??? WTF?? un Windows 2000 con IIS5 con un UpTime tan alto?. ¿Como aplican los parches de seguridad?
Si sacamos cuentas, no lo bootean hace 1651/365=4.52 años!!!!
Mmm…mas abajo en letra chica dice:

The table shows the top sites by average and peak times since reboot, together with the most recently reported operating system, web server and netblock owner.
For performance reasons, we limit this monitoring process to the most frequently requested sites.

Traducido:

La tabla muestra los mejores sitios por promedio y horas picos desde el reinicio, junto con el mas reciente reporte del sistema operativo , el servidor web y el propietario del Netblock.
Por motivos de rendimiento, nos limitamos a este proceso de seguimiento a los sitios más solicitados.

Ahhh!! ahora entiendo, mi server por mas que tenga un UpTime de 10 años no lo van a mostrar porque no es popular.
Para que figure en el ranking tengo que “contratar” gente para que entre continuamente.
Pero igual, sigo sin entender porque muestra un UpTime tan alto de un Windows y porque prácticamente no aparecen Linux ni los *BSD.
Leamos el FAQ a ver si nos damos cuenta:
http://uptime.netcraft.com/up/accuracy.html
Y aqui hay una respuesta:
Why do you not report uptimes for Linux 2.6 or FreeBSD 6 ?

We only report uptimes for systems where the operating system’s timer runs at 100Hz or less. Because the TCP code only uses the low 32 bits of the timer, if the timer runs at say 1000Hz, the value wraps around every 49.7 days (whereas at 100Hz it wraps after 497 days). As there are large numbers of systems which have a higher uptime than this, it is not possible to report accurate uptimes for these systems.

The Linux kernel switched to a higher internal timer rate at kernel version 2.5.26. Linux 2.4 used a rate of 100Hz. Linux 2.6 used a timer at 1000Hz (some architectures were using 1000Hz before this), until the default was changed back to 250Hz in May 2006. (An explanation of the HZ setting in Linux.)

FreeBSD versions 4 and 5 used a 100Hz timer, but FreeBSD 6 has moved to a customisable timer with a default setting of 1000Hz.

So unfortunately this means that we cannot give reliable uptime figures for many Linux and FreeBSD servers.

Para que se entienda a lo que apunta en la parte de ingles:
Linux usa un reloj interno para contar el tiempo, y su valor máximo en la versión 2.4 es de 497 días. Por tanto, no se puede ver un tiempo de actividad mayor, ya que al 498º día el tiempo vuelve a cero. En el kernel 2.6, el límite es de 49’7 días.
El problema radica en que usa un contador de 32 bits, por tanto el valor máximo es: 232, que es 4.294.967.296
en la rama 2.4 del kernel, el contador va a 100 Hz, o sea, que se actualiza 100 veces por segundo por lo tanto, el contador llega el valor máximo cada 232/100 segundos eso en días son 232/100/3600/24, o sea 497’1 días.
En la versión 2.6 pusieron el reloj a 1.000 Hz para tener más precisión, el valor máximo es de diez veces menos
en días, 49’7 días, y después el contador vuelve a cero.
Ellos se quejan de esto por lo que argumentan que no pueden tomar los datos en forma fehaciente.
Tengo entendido que este problema inicial esta solucionado. Es más el parche existe desde el año 2001
http://www.cs.helsinki.fi/linux/linux-kernel/2001-45/0058.html

Del FAQ deducimos que Netcraft no es confiable para sistemas Linux y *BSD por lo que siempre va a salir favorecido Windows.
La serie del kernel 2.6.0 data del año 2003 y FreeBSD 6 del 2005.
Digo yo, ¿No tuvieron suficiente tiempo para poder corregir el problema y modificar el método de medición?

Les recomiendo buscar otra alternativa para sacar estadísticas y mediciones. Netcraft no es confiable para estos menesteres.

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en:http://creativecommons.org/licenses/by-nc-sa/2.5/ar

Y volvemos a lo mismo. Otra vez las alarmas se encendieron.
Algunos exageraron:
http://www.techtear.com/2009/12/09/felicidades-linux-tiene-malware-popular/
Otros aprovecharon la bola para promocionar sus productos:
http://blogs.eset-la.com/laboratorio/2009/12/10/troyano-para-linux/

Uds. se preguntaran. ¿Pero que paso?
Resulta que a algún script kiddie se le ocurrió no mejor idea que armar un paquete deb conteniendo unos scripts cuyo destino era generar un ataque DDos a un sitio utilizando a los usuarios incautos de Debian y derivados que utilizaran como entorno gráfico gnome.
¿Pero como se puede hacer semejante engaño y que caigan en forma masiva?
Fácil, lo hacemos pasar por un screen saver y lo levantamos a gnome-look.
Gnome-look es un sitio muy popular con gran cantidad de recursos para embellecer cualquier Gnome.
La técnica del screen saver falso es muy vieja y todavía se sigue utilizando para engañar a los usuarios de Windows.
¿Pero que pasa con los usuarios de Linux?. ¿Caen en lo mismo?
La respuesta es: NO.
¿Por qué?
Por el sentido de Comunidad.
El primero que bajo el supuesto screen saver se dio cuenta enseguida que no era lo que suponía ser, alerto a la gente de ubuntuforums.
http://ubuntuforums.org/showthread.php?t=1349678
En seguida se pusieron a trabajar en conjunto, estudiando los scripts, averiguando donde estaba alojado los mismos, dando aviso tanto al hosting como gnome-look para que cancelaran las respectivas cuentas.
Y se dio la solución para los posibles infectados.
Todo esto en menos de 24hs.
¿Que hubiera sucedido si los afectados eran usuarios de Windows?
-Esperar a que alguna empresa de antivirus actualice sus productos.
-Si el problema fue por una vulnerabilidad de Windows, esperar con suerte hasta el primer martes del mes para que Microsoft entregara algún parche.
-Rezar que no se propague mientras esperamos.

Queda mas que demostrado que la velocidad y capacidad de respuesta ante incidencias de la Comunidad de software libre es muy superior al del software privado.

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en:http://creativecommons.org/licenses/by-nc-sa/2.5/ar

Durante un receso, hemos decidido burlarnos de Microsoft y arrastramos a Linus allí. Cuando llegamos, Linus fue “comprado” inmediatamente por el producto, como pueden ver en la imagen. Al menos eso es lo que el tipo de ventas pensó. Era obvio que no tenía idea de con quién estaba tratando. Pero al final, Linus sorprendentemente no compro una copia. Hombre sabio!

Foto tomada por Chris Schlaeger
Fuente: http://picasaweb.google.com/cschlaeg…58413061926434

2-Incrustar un gráfico de una planilla de calc a Writer y que se actualice dinámicamente.
Ponicke nuevamente supone que tiene que funcionar como MS Office. El muy incauto arrastra directamente el gráfico al Writer.
OpenOffice.org tiene una característica muy interesante que se hubiera dado cuenta si se hubiera molestado en leer la ayuda.
Pero claro, es mas fácil decir que no se puede en vez de presionar esa tecla que esta cerca del esc, la segunda en el lado superior izquierdo del teclado.Si! F1 para acceder a la ayuda. Parece que los usuarios de Windows le tienen fobia a leer la  ayuda!!.
Si solamente nos interesa tener un gráfico estático, simplemente lo arrastramos desde la planilla al documento. Pero si nos interesa que se actualice dinámicamente, lo hacemos presionando la tecla ctrl+Shift. Listo!
Tan difícil era?

A ver como vamos en el score: OpenOffice.org 2 Ponicke 0

3- Si Arrastramos un documento de calc sobre otro, abre el último no guardando los cambios del anterior.
Ponicke puede dejar de preocuparse. Ese bug acaba de ser resuelto:
http://qa.openoffice.org/issues/show_bug.cgi?id=69524
Así que para la revisión 3.1.1 saldrá con esta corrección.
Mientras tanto para mitigar el problema, recuerden abrir una nueva ventana para abrir un documento ya grabado, si es que todavía no guardaron el documento en el que estaban trabajando.
Vamos a ser buenos y le damos un poco de crédito a Ponicke.
Score: OpenOffice.org 2 Ponicke 1

4- Copiar una tabla de Witer a Impress, incluida la tabla anidada.
Ponicke sigue pensando que con un simple copy paste va a copiar todo porque sí.
La solución es la siguiente:
En la presentación, Insertar > Objecto > OLE Object > OpenOffice.org 3.1 Text
Modificamos el tamaño de la caja que aparece hasta la posición que queramos.
Abrimos el texto que queremos mostrar
Marcamos la tabla, elegimos editar > Copiar
En la presentación, posicionamos el cursor en la caja de texto, elegimos Editar > Pegar
Listo!
Score: OpenOffice.org 3 Ponicke 1

5- Función de comparar documentos
Aquí podemos darle la razón a Ponicke. La herramienta de comparar documentos no compara las tablas.
Pero nuevamente!, las extensiones al rescate!.
http://extensions.services.openoffice.org/project/DeltaXMLODTCompare
Score gracias a la comunidad: OpenOffice.org 4 Ponicke 1

Veamos la segunda parte del artículo:
http://blogs.technet.com/ponicke/archive/2009/08/15/los-bloopers-de-la-suite-de-oficina-del-vecino-y-no-es-chiste-pase-y-vea-parte-2.aspx
Lo primero que nos muestra es como MS office 2007 nos tira un warning cuando intentamos sumar un campo de texto contra uno numérico.
Según él, OpenOffice.org debería hacer lo mismo. Puede que sea útil para unos casos pero inútil en otros.
Por ejemplo:
Si tenemos una columna con 1000 valores, mezclados con 300 leyendas de texto y lo que nos interesa es hacer una sumatoria de los valores. Para OpenOffice.org seria tan simple como hacer =SUM(rango1:rango2). Para el caso de MS Office 2007 nos daría un montón de warnings.
Seguimos con la manía de que todos los paquetes de oficina deben comportarse como MS Office.

6- Autofiltro y la función de autocompletar:
El problema existe y esta reportado. Pueden ver el historial aquí:
http://user.services.openoffice.org/en/forum/viewtopic.php?f=9&t=20725
La única solución por el momento es utilizar copiar y pegar que sí funciona, en vez de la función de autocompletar arrastrando la celda.
Como complemento, un usuario creo una serie de macros para imitar el comportamiento de Excel de arrastrar y soltar para mitigar el problema:
http://ooomacros.org/user.php#188206
Ponicke se queja que este error tiene 7 años. Puede que tenga razón, como puede que no.
Si leen el historial de ese bug, primero el usuario no trata del todo bien a los desarrolladores y pretende que a toda costa le solucionen su problema.
El usuario claramente pretende que dicha función sea un calco de MS Excel.
Perooo, si el autofiltro se comporta de diferente manera según la versión de MS Office.
Tomemos el siguiente ejemplo:
Tengo la siguiente tabla:
Letra   Numero
a       1
a       2
b       3
c       4
a       5
a       6
b       7
b       8
c       9
b       10

Quiero hacer un filtro solamente de a, seleccionar el resultado y pegar el resultado en un nuevo documento.
Resultado de MS Office 2003: Pega correctamente solamente el a
Resultado de MS Office 2007: Pega correctamente a…pero se lleva acompañado b 3 y c 4….¿como?
¿No esta implementados los filtros de la misma manera en la version 2003 y 2007?. Parece que no…en la versión 2007 hay que  hacer unos pasos adicionales para que las cosas salgan como uno quiere.
¿Como lo tiene que implementar el desarrollador de OpenOffice.org? ¿Como funciona en 2003 o 2007?

Si hablamos de años con “features”, creo que esta se gana todos los premios.
Esta característica esta desde la primera versión de MS Excel arrastrado hasta la versión 2007:
Creen la siguiente tabla:
En A1 B1 C1 escriban los valores 1 2 3
En D1 E1 F1 escriban los valores 4 5 6
Oculten la colunma C1
Ahora copien el contenido de D1 E1 F1 en B1
Ahora desoculten la celda C1
¿Pero ahí había un 2?. Sí y lo reemplazo, sin preguntar.
En este caso no podríamos dar score a nadie ya que no se sabe si realmente son bugs o la forma en que  funcionan los diferentes productos: OpenOffice.org 4 Ponicke 1

7- Impress, estilos y undo.
Lo que Ponicke muestra en su captura, me refiero a ese manchon negro, no es un bug de OpenOffice.org sino que me inclino por un bug de los drivers de la placa de video o las fuentes del sistema operativo que esta utilizando.
Ponicke, por favor, utilice un sistema operativo maduro, no Windows 7 que recién salió!. Me niego a creer que haya sacado a relucir sus dotes artísticos editando la captura con el paint.
Por el tema de hacer un undo en los estilos, es una función no implementada y se encuentra listado en la pagina oficial
http://wiki.services.openoffice.org/wiki/OOoWriterDesignProblems#Undo
Aca le daríamos la razón a Ponicke. De todas maneras, ¿Para que quiere hacer un undo, si con un simple edit en el textbox puede volver a ver el texto, modificarlo y salvarlo si quiere?.
Por mala leche: OpenOffice.org 5 Ponicke 1

Hay que tener en cuenta que a pesar de los problemas, OpenOffice.org sigue avanzando. Tan solo son un puñado de desarrolladores y estan haciendo un trabajo impresionante que a Microsoft le demandó años y miles de millones de dolares.
Que los empleados de Microsoft le presten atención, significa que se esta convirtiendo de apoco en un producto completo.
El grado de aceptación por parte de los usuarios viene creciendo año tras año. Las cifras hablan por si solas:
http://marketing.openoffice.org/marketing_bouncer.html

En vez de atacar tanto, ¿No seria mejor si colaboramos en mejorarlo?
Por mi parte mi granito de arena es esta entrada.
Gracias a todos por leer estas lineas.

Si algo tiene Linux y el software libre es que nos permite exprimir al máximo los recursos disponibles.

Lo que les voy a presentar son dos herramientas muy útiles.

Ancho de banda escaso?. Trickle al rescate.

Trickle trabaja en capa de aplicación y se encarga de limitar el uso del ancho de banda de subida como de bajada de un programa que le especifiquemos.

Se encuentra disponible en los repositorios de las distribuciones mas popular.

Por ejemplo para instalarlo en distros basadas en debian lo único que tienen que hacer con derechos de administrador es:

apt-get install trickle

Tiene dos modos de uso, el primero es limitar directamente un programa, especificando cuánto ancho de banda queremos.

La seguna opción es a través del demonio trickled por lo que nos quedaría una configuración global para todas las aplicaciones.

Vamos a un ejemplo práctico.

Cuantas veces nos paso que se nos ocurre actualizar el sistema y notamos que toma todo el ancho disponible para la operación.

Entonces lo que podemos hacer es lo siguiente desde una consola:

trickle -d 12 apt-get upgrade

La sintaxis es simple: le estamos indicando a apt-get que proceda al upgrade del sistema pero utilizando 12Kbps de bajada.

Una de las ventajas de trickle es que puede ejecutarse en espacio de usuario sin necesidad de ser root.

Una opción interesante es parametrizar el sistema para diferentes servicios tocando la configuración del demonio trickled ubicada en /etc/trickled.conf

El formato del archivos es el siguiente:

[servicio]

Priority = <valor>

Time-Smoothing = <valor>

Length-Smoothing = <valor>

Los servicios con un bajo valor númerico obtendrán más ancho de banda que los servicios con valores más altos.

Time-Smoothing se define en segundos y tiene como finalidad definir los intervalos de tiempo que tickled utiliza para permitir a la aplicación transmitir datos.

Cuanto menor sea el valor, más suave se sentirá la sesión.

Por ejemplo, supongamos que limitamos la transferencia por FTP a 50Kbps, y establecemos el tiempo de suavizado en 1 segundo. Vamos a obtener una velocidad de transferencia de 50Kbps exactamente. Si aumentamos el tráfico de suavizado a un valor más alto (15 segundos, por ejemplo), la tasa de transferencia puede variar entre 40 y 60Kbps. Con limitaciones diferentes obtendrá números diferentes.

Length-Smoothing se define como el tiempo de reserva de suavizado. Es decir, si tickled no puede cumplir con el tiempo de suavizado solicitado, puede recurrir a enviar el número de KB de datos especificados aquí. Si no se especifica ningún valor, el valor predeterminado es 10Kbps.

Veamos un ejemplo de configuracion para que quede claro:

[ssh]

Priority = 1

Time-Smoothing = 0.1

Length-Smoothing = 1

[ftp]

Priority = 8

Time-Smoothing = 5

Length-Smoothing = 20

[www]

Priority = 2

Time-Smoothing = 0.1

Length-Smoothing = 2

En el ejemplo le estamos dando a ssh un valor numérico de prioridad baja, lo que significa que el trafico de ssh en el sistema tiene una prioridad alta. Time-Smoothing y Length-Smoothing tienen un valor bajo porque no queremos una respuesta lenta cuando se trabaja en una sesion ssh remota.

También le di alta prioridad para la navegación web, de modo de poder experimentar una experiencia más suave. FTP le di la prioridad más baja debido a que la descarga de material es menos importante para mí.

Se dispara la CPU a tal punto que podemos hacer un huevo frito sobre ella?. Empecemos a limitar su uso.

Una buena utilidad en estos casos es CPULimit.

Esta practica aplicación de línea de comando nos permite limitar el % de CPU que puede utilizar un proceso.

se puede limitar por nro de PID o por nombre de proceso.

También se encuentra disponible en la mayoría de las distribuciones

Para instalarlo en distros basadas en debian la operación es sencilla:

apt-get install cpulimit

Un ejemplo práctico es limitar al navegador Firefox, que muchas veces es el culpable de que se nos dispare la CPU al 100% viendo alguna pagina sobrecargada de flash o viendo un video en youtube.

cpulimit –e firefox –limit 30

En este caso estoy indicando que Firefox no debe pasarse del 30% de utilización de la cpu.

Mi recomendación es que vayan probando con las aplicaciones que mas usan y una vez que encuentran los valores adecuados, armen lanzadores en el escritorio para que les sea más cómodo utilizarlas.

Como podrán ver con unos simples pasos se puede optimizar el uso tanto de CPU y ancho de banda.

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en:http://creativecommons.org/licenses/by-nc-sa/2.5/ar

Es muy común ver a los acérrimos defensores del software propietario defenestrar al software libre.
Pero en su ciega defensa se equivocan y confunden conceptos.
¿A que viene esto?. A una entrada en el portal meneame.

http://meneame.net/story/solucion-factura-electronica-facturae-microsoft-software-libre

Un desarrollador decidió “liberar” un complemento para MS Office 2007 para poder firmar facturas electrónicas que cumplan el estándar Español.
Hasta aquí todo bien, pero por empezar se lo catalogo como software libre.
Para que una pieza de software sea considerado libre debe cumplir con cuatro libertades básicas:
*  La libertad de ejecutar el programa, para cualquier propósito (libertad 0).
* La libertad de estudiar cómo trabaja el programa, y adaptarlo a sus necesidades (libertad 1). El acceso al código fuente es una condición necesaria.
* La libertad de redistribuir copias para que pueda ayudar al prójimo (libertad 2).
* La libertad de mejorar el programa y publicar sus mejoras, y versiones modificadas en general, para que se beneficie toda la comunidad (libertad 3). El acceso al código fuente es una condición necesaria.

La licencia que mejor se ajusta a estas libertades es la GPL.

Este buen señor “liberó” su producto bajo una licencia propia de Microsoft.
La MS-PL, luego de muchas controversias esta licencia fue aceptada por la OSI, que nada tiene que ver con la Free Software Fundation.
La Free Software Fundation,si bien la acepta con reservas, determinó que es una licencia incompatible con la GPL.

Sus comentarios fueran bastante iracundos hacia los que comentamos en meneame, tratándonos de “gilipollas” “parásitos“.
Según este buen señor lo que determina que la licencia MS-PL sea mejor que la GPL es la cantidad de palabras que contiene la misma.
Lo siento pero un documento legal mientras mas claro, mejor. Y si es necesario escribir 10.000 palabras para que no queden medias tintas o dudas sobre la misma mejor.

Otro punto que destaca es que la MS-PL otorga mas libertades que la GPL.
Se debe referir a incluir código propietario o hacerla compatible con licencias de Microsoft similares como la MS-RL.
Lo mas gracioso de esto es que esta licencia ni siquiera es compatible con otras licencias Open Source como BSD o MIT (estas ultimas no cumplen con la sección 2(B) de la licencia MS-PL)
Por lo que si alguien desea incluir partes del código en su desarrollo y lo tiene licenciado con alguna de las anteriores no podrá hacerlo.
Pueden ver aquí una tabla comparativa de las principales licencias:
http://juanbenavides.info/2009/01/comparativa-de-licencias-para-proyectos-de-codigo-abierto/

Ahora analicemos un poco mas este complemento:

Lo primero que nos encontramos que esta desarrollado en .Net utilizando visual studio office tools.
¿y que nos encontramos?
Licencia bien cerradita y con restricciones.
Recordemos también que .Net esta sujeto a patentes de software y esta lejos de ser considerada libre.
Las librerías de .Net framework fueron liberadas bajo la licencia Microsoft Reference License (MS-RL) que se trata del tipo de licencia más restrictiva, permitiendo únicamente la visualización del código fuente, con el fin de ampliar conocimientos sobre el mismo y su desarrollo. No está contemplada la modificación o redistribución. Es utilizada básicamente para bibliotecas de desarrollo tecnológico. En palabras vulgares “se mira y no se toca”.

¿Que mas?
El complemento funciona solamente con MS Office 2007, por lo tanto podrán utilizarlo quienes adquieran una licencia de dicho producto.

En conclusión:
1- Desarrollado con componentes propietarios cerrados y sujetos a patentes
2- Uniplataforma, solamente para una versión de un producto específico.
3- El código por mas que este disponible no se puede utilizar en otros desarrollos que no sean compatibles con la licencia MS-PL

Por lo tanto este desarrollo puede ser considerado Open Source pero esta bastante lejos de ser libre.

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en: http://creativecommons.org/licenses/by-nc-sa/2.5/ar

Últimamente esta de moda atacar a OpenOffice, por motivos económicos, de infraestructura, diseño, hasta llegar al punto de decir que es inseguro por ser software libre.
Esto viene a colación a lo que se dijo en la ultima conferencia BlackHat 2009 cuyo paper se encuentra para libre descarga y que se encargo de exagerar hasta el artazgo cierto personaje, empleado de Microsoft.
¿Sera que le tienen tanto miedo al software libre? ¿Sera que el modelo de negocio tradicional se esta acotando y ya no se puede vender lo que se vendía antes a Empresas y particulares?
O sera que Microsoft con esto tendrá el argumento para meter su estándar OOXML en Gobiernos e Instituciones con el pretexto de “es mas seguro”.

En el artículo se describen ciertas características del formato ODF (Open Document Format) que lo harían vulnerables a ciertos tipos de ataques:

-El archivo Manifest.xml (que contiene el listado de los archivos que componen el documento), y Documentsignatures.xml (que contiene las firmas)  no están ni firmados ni cifrados.
Esto tiene una razón que al parecer ignoran los autores del documento. ODF es un formato estándar aprobado por la ISO, y lo que se garantiza es que se pueda leer desde cualquier aplicación ya que las especificaciones son abiertas.
Si cerramos estos archivos lo único que estaríamos logrando es que solamente OpenOffice pueda abrirlos. Por lo que el formato no seria ni muy abierto ni muy estándar.
Además parece estúpido y redundante firmar el propio contenedor de las firmas y encima cifrarlo. Como se supone que cualquier aplicación se daría cuenta que el documento esta firmado si ni siquiera lo puede abrir?

-Macros:
En el documento se aseguro que también la firma de macros es insegura por dos razones:
1- Si uno se confunde y vuelve a firmar desde el menú de macro y el documento no contiene una, el documento no queda protegido.
2- La posibilidad de eliminar una macro, reemplazarla por otra y modificar el contenido de manifest.xml para que apunte a la macro maligna.
Reitero algo que ya dije, el autor se olvida que OpenOffice se instala con seguridad de Macros altas, por lo que si abrimos un documento conteniendo una macro y encima de procedencia incierta, automáticamente aparecerá un cartel de advertencia y no lo ejecutara.

-Ataque de virus a documentos no protegidos (página 45):
El autor asegura que es fácil hacerlo y como demostración, descompacta un documento (recordemos que ODF es un contenedor zip con una estructura de directorios y archivos). Procede a editar el archivo content.xml y realiza la siguiente modificación:

<text:p text:style-name=”Standard”>I am a simple
document.</text:p>

Por

<text:p text:style-name=”Standard”>I am a simple simple
(modified) document.</text:p>

Sorpresa! modifico el documento! Eureka!.
Que alguien le aviso que al ser un formato abierto y cuyas especificaciones son públicas, cualquiera puede armar una aplicación que lea, escriba o modifique un documento ODF. De eso se trata un estándar abierto!

-Ataque man in de middle:
Asegura que OpenOffice no verifica las firmas y que fácilmente se puede fabricar una firma falsa para hacerle creer que es verdadera.
Lo que muestra el documento es bastante fantasioso y digno de una película hollywodense. Pueden verificarlo a partir de la página 52.
A partir de los datos obtenidos de Meta.xml, Documentsignatures.xml y macrosignatures.xml y analizando la firma, genera otra aparentemente verdadera.
En el documento claramente se ve que inclusive necesita datos como creation-date, dc:date y editing-duration, que sinceramente no pude comprender, o tal vez se me paso, de en que parte los utiliza.
Nuevamente se olvidan que entre las opciones de OpenOffice existe una característica adicional tan criticada que en este caso ayudaría a evitar el tema de falsificado de firmas. La opción de remover datos personales al salvar el documento.
Al estar activa dicha opción, al menos algunos de los primeros datos que menciona quedan en 0.
Dice que haciendo lo siguiente:

openssl req -newkey rsa:1024 -x509 -keyout CharlieKeys.pem -out CharlieCert.cert

Y luego exportando el certificado  X509 al formato PKCS#12 :

openssl pkcs12 -export -in CharlieCertX509.pem -inkey CharlieKeys.pem -out CharlieCertX509.p12

Va a poder firmar el documento y hacerlo pasar por verdadero.
Ahora hay un pequeño detalle que se le escapo al que redacto el documento.
La segunda linea es errónea. En realidad debería ser así:

openssl pkcs12 -export -in CharlieCert.cert -inkey CharlieKeys.pem -out CharlieCertX509.p12

Lo que hacen estas lineas es armar un certificado autofirmado. Significa que la parte pública y privada son la misma persona, no hay entidad autorizante de por medio. Y justamente este tipo de certificado NO es recomendable para ambiente seguros ya que justamente es susceptible a este tipo de ataques.
Sí puede ser útil para un usuario final para intercambiar en forma “segura” las recetas de la abuela.
Se ve que esta gente o se pasa de viva o NO SABE ABSOLUTAMENTE NADA de seguridad.
Yo que ellos hubiera intentando hacer lo mismo con un certificado expedido por Verisign, Thwate o Entrust.
Realmente me sorprende que a OpenOffice se le haya escapado semejante error, asi que me dispuse a realizar mis propias pruebas.
Para ello utilice una maquina fisica y 1 virtual simulando ser 2 usuarios diferentes. Inclusive con 2 sistemas operativos diferentes. Maquina real con Linux y una virtual con XP. Genere el certificado real (Alice) en Windows xp y genere con sus datos el certificado falso en Linux. Procedi a generar un documento como indica el paper en Linux firmado con el fake y enviarlo a la virtual con Windows Xp.
Y sorprendentemente ¡no funciono!. OpenOffice indicó que el certificado no había sido posible verificar por mas que haya generado el fake con los mismos datos calcados del real.
Perdi varias horas intentando descubrir porque a ellos les funciona y a mi no.
Hasta que se me ocurrió releer el documento y prestar más atención. ¡Y ahí estaba!, el que escribió el documento, por las capturas de pantallas, utilizo el mismo equipo  y la misma sesión de usuario para simular 3 entidades diferentes: Alice, Bob y Charlie. Por lo que pierde absoluta validez la demostración.
¡Al menos se hubieran molestado en cambiar el wallpaper en cada captura!, asi por lo menos los mas entendidos no nos hubieramos dado cuenta de la farsa tan facilmente.
Si Charlie arma un certificado autofirmado desde el mismo equipo que Alice y encima en la misma sesión obviamente va a obtener una segunda firma que es ¡valida!.
¿Alguien puede explicar donde esta el agujero de seguridad que menciona el documento?
Habla de inyección de malware con esta tecnica, pero en realidad no inyecta absolutamente nada.
Lo que haces es:
-Abre el documento original y copia el contenido.
-Abre un documento nuevo y pega el mismo. Le agrega una macro “maligna” y lo firma con el nuevo certificado.
Luego para terminar la demostración, abre en la misma maquina el nuevo documento, que obviamente es otro documento valido!.
¿Alguien puede explicar que tiene de raro esto?.
Parece que a partir de ahora se redefine el concepto de “inyección” por “armo un nuevo documento y pego”.

Para mayor información sobre los certificados autofirmados les recomiendo la lectura de los siguientes documentos en Ingles:
http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html
http://www.freesoftwaremagazine.com/columns/self_signed_certificates_and_firefox_3_possible_solution

Antecedente de ataques a OpenOffice:
Desde que OpenOffice empezó a tener un crecimiento en cuanto a adopción por parte de los usuarios, empezaron a aparecer voces de alerta de la posibilidad de infecciones masivas de virus, algunos memorables:
Stardust – Junio de 2006
http://blogs.sun.com/malte/entry/some_information_about_stardust
Sb.Starbugs – Junio de 2006
http://blogs.sun.com/malte/entry/some_information_about_sb_starbugs
SB/Badbunny-a – Mayo de 2007
http://blogs.sun.com/malte/entry/sb_badbunny_a_harmless_little

Lo que tienen en común estos virus es que casualmente intentan explotar características mencionadas en el documento presentado en Blackhat pero ninguno lo logra.
Además notaran de la lectura de los enlaces, que tiempo después, las propias empresas de Antivirus se encargaron de desmentir que esos macrovirus hayan logrado franquear la seguridad de OpenOffice.

Como perlita y para finalizar, hurgando un poquito en el tiempo nos encontramos que en el año 2006 uno de los autores del documento Ion-depth analysis of the viral threats with OpenOffice.org documents es precisamente uno de los autores de este mismo documento.
En aquel entonces, cansado de tanto ataque, Malte Timmermann, ingeniero de SUN, decidió salir a contestarle:
http://blogs.sun.com/malte/entry/my_comments_on_on_the

ACTUALIZACION

Como era de esperase, Malte  Timmermann volvio a tomarse el trabajo de contestarle punto por punto demostrando una vez más lo equivocado que esta:

http://blogs.sun.com/malte/entry/comments_on_the_black_hat

Si alguien pago pasaje, estadía y entrada al evento para precenciar esta conferencia, les diría que reclamen su dinero porque al parecer fueron estafados.

ESTE TEXTO SE PUBLICA BAJO LICENCIA CREATIVE COMMONS BY-NC-SA 2.5 AR.

Por lo tanto, usted es libre de: 1) Copiarlo, distribuirlo y exhibirlo. 2) Hacer obras derivadas. Bajo las siguientes condiciones: 1) Debe dar atribución mencionando el nombre del autor y del LUG Zona Norte. En caso de las notas que no llevan firma, mencionar sólo el nombre del LUG.

2) Usted no puede usar esta obra con fines comerciales. 3) Si usted altera, transforma, o crea sobre este texto, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Más detalles y texto legal de la licencia en: http://creativecommons.org/licenses/by-nc-sa/2.5/ar