Barrapunto

Todos los años, Google oferta estancias (internships) a estudiantes de Ingenierías relacionadas con la informática.

El plazo para enviar solicitudes está abierto desde hace unas semanas, así que si alguien está estudiando una ingeniería técnica o superior de informática, telecomunicación, electrónica, etc., o realizando el doctorado en dicho campo, e interesado en realizar una estancia de al menos 3 meses en alguna de las oficinas de ingenería de Google en EMEA (Londres, Zúrich, Cracovia, Munich), puede visitar la web de ofertas de Google para universitarios en EMEA.

Aquí hay una copia del Poster original del anuncio

Hace unos meses que Stephen Weis, a quien tengo la suerte de tener de compañero en Google, junto con Arkajit Dey y la ayuda de otros, publicó Keyczar.

Keyczar es una biblioteca, disponible para Java, Python y C++ [1] -los tres principales lenguajes de programación que se usan en Google-, que facilita enormemente el uso de las cuatro funciones criptográficas principales (cifrado, descifrado, firma y verificación de la firma) y el cambio y versionado de las claves utilizadas.

Todos los que nos dedicamos a la seguridad aprendemos rápido que los principales problemas del uso de la criptografía no están en la fortaleza de los algoritmos, sino en la implementación y uso de los mismos y en la gestión de las claves. Keyczar intenta que, como se dice en inglés, sea difícil dispararnos en nuestro propio pie al usar criptografía en nuestras aplicaciones.

Que Google restrinja los lenguajes usados en producción a tres tiene sus ventajas e incovenientes (interesados en una flamewar pueden leer este artículo de Steve Yegge). En este caso el resultado indirecto es que Keyczar no está disponible para .NET.

Dándole vueltas un poco a cómo podría cambiar esto -C# es un lenguaje que me gustó mucho cuando programé un poco con él, igual que MonoDevelop)-, se me ocurrieron varias opciones. Por orden: portar el código a C# u otro lenguaje .NET, compilar la versión de C++ como una dll, o usar la versión de Java.

Un port sería lo mejor, pero también parece muy trabajoso, no tengo mucho tiempo libre, y hace ya mucho desde que programé (sólo un poco) en C#. Estoy en las mejores condiciones para hacer portar el código y hacerlo mal.

La versión de C++ sólo puede usarse en Linux. Aunque para mí no sería problema, me pareció un esfuerzo menos útil que una versión que pudiera ejecutarse en varios sistemas operativos.

Así que decidí probar con la biblioteca en Java.

Alguien que se encontró en una situación similar, escribió IKVM.NET, un interesante proyecto que proporciona interoperatibilidad (hasta cierto punto) entre Java y .NET. Una de las herramientas que IKVM.NET incluye es ikvmc, un compilador de bytecode Java a .NET. Básicamente, como su página de manual indica, un programa que transforma aplicaciones y ficheros JAR en ensamblados (assemblies) .NET. Así que la idea era usar ikvm para convertir la biblioteca Keyczar en un assembly .NET.

Para ello, hay que descargar los siguientes archivos JAR.

• El JAR de Keyczar (versión 1.6-052809)
• El ZIP de la biblioteca log4j de Mozilla. El archivo JAR que vamos a utilizar está dentro de este archivo ZIP y se llama log4j-1.2.15.jar
• El ZIP de GSON, una biblioteca de serialización Java a JSON. El archivo JAR que vamos a utilizar está dentro de este archivo ZIP y se llama gson-1.3.jar
• El JAR de la biblioteca JSS de Mozilla, que puede obtenerse también de Google Code.

Ahora, instalamos los paquetes necesarios. Yo lo he hecho en mi Debian Squeeze y aparte de mono, monodevelop, etc. el más importante es el paquete ikvm.

Creamos el directorio ~/keyczar y copiamos los JAR dentro. En este directorio, ejecutamos ikvm:

~/keyczar$ ikvmc -target:library keyczar06b-1.6-052809.jar jss-4.jar gson-1.3.jar log4j-1.2.15.jar
Warning IKVMC0107: skipping resource (name clash): "META-INF/MANIFEST.MF"
Note IKVMC0002: output file is "keyczar06b-1.6-052809.dll"
Warning IKVMC0100: class "javax.jms.Message" not found
Warning IKVMC0100: class "javax.jms.Destination" not found
Warning IKVMC0100: class "javax.jms.JMSException" not found
Warning IKVMC0100: class "javax.mail.Session" not found
Warning IKVMC0100: class "javax.mail.internet.MimeMessage" not found
Warning IKVMC0100: class "javax.mail.Message" not found
Warning IKVMC0100: class "javax.mail.MessagingException" not found
Warning IKVMC0100: class "javax.mail.internet.InternetAddress" not found
Warning IKVMC0100: class "javax.mail.Address" not found
Warning IKVMC0100: class "javax.mail.Message$RecipientType" not found
Warning IKVMC0105: unable to compile class "org.apache.log4j.net.SMTPAppender$1"
(missing class "javax.mail.Authenticator")
Warning IKVMC0100: class "org.apache.log4j.net.SMTPAppender$1" not found
Warning IKVMC0100: class "javax.mail.Authenticator" not found
Warning IKVMC0100: class "javax.mail.internet.AddressException" not found
Warning IKVMC0100: class "javax.mail.internet.MimeBodyPart" not found
Warning IKVMC0100: class "javax.mail.internet.MimeMultipart" not found
Warning IKVMC0100: class "javax.mail.Multipart" not found
Warning IKVMC0100: class "javax.mail.BodyPart" not found
Warning IKVMC0100: class "javax.mail.Part" not found
Warning IKVMC0100: class "javax.mail.Transport" not found
Warning IKVMC0100: class "com.sun.jdmk.comm.HtmlAdaptorServer" not found
Warning IKVMC0100: class "com.sun.jdmk.comm.CommunicatorServer" not found
Warning IKVMC0105: unable to compile class "org.apache.log4j.net.JMSSink"
(missing class "javax.jms.MessageListener")
Warning IKVMC0100: class "javax.jms.TopicConnectionFactory" not found
Warning IKVMC0100: class "javax.jms.TopicConnection" not found
Warning IKVMC0100: class "javax.jms.TopicSession" not found
Warning IKVMC0100: class "javax.jms.Topic" not found
Warning IKVMC0100: class "javax.jms.TopicPublisher" not found
Warning IKVMC0100: class "javax.jms.Connection" not found
Warning IKVMC0100: class "javax.jms.Session" not found
Warning IKVMC0100: class "javax.jms.ObjectMessage" not found
~/keyczar$

Los mensajes de error se deben a que ikvmc utiliza las clases java implementadas por la OpenJDK, y la biblioteca log4j depende de ellos. Aún así podremos utilizar la DLL resultante, salvo que configuremos log4j de forma que los use (por ejemplo para que envíe correo electrónico).

Para ello, creamos un proyecto en Monodevelop (yo lo he llamado keyczarusage) y le añadimos el assembly que hemos creado, keyczar06b-1.6-052809.dll. Además, hay que escribir esta clase Main.cs:

using System;
using org.keyczar;

namespace Keyczarusage
{
class MainClass
{
public static void Main(string[] args)
{
Crypter crypter = new Crypter(args[0]);
System.Console.WriteLine(crypter.encrypt("Hello World!"));

System.Console.WriteLine("Please, copy & paste that string below:");
String ciphertext = System.Console.ReadLine();
System.Console.WriteLine("That decrypts to:");
System.Console.WriteLine(crypter.decrypt(ciphertex t));

}
}
}

Para poder usar este programa, hay que crear una clave de cifrado. Para ello, usamos la herramienta KeyczarTool:

~/keyczar$ mkdir -p keys/crypt
~/keyczar$ java -cp log4j-1.2.15.jar:gson-1.3.jar:keyczar06b-1.6-05280 9.jar org.keyczar.KeyczarTool create --location=~/keyczar/keys/crypt --purpose=crypt
~/keyczar$ java -cp log4j-1.2.15.jar:gson-1.3.jar:keyczar06b-1.6-05280 9.jar org.keyczar.KeyczarTool addkey --location=~/keyczar/keys/crypt --status=primary

Ahora ya podemos ejecutar el programa, pasándole la dirección de las claves como parámetro:

~/Projects/keyczarusage/keyczarusage/bin/Debug$ ./keyczarusage.exe ~/keyczar/keys/crypt
log4j:WARN No appenders could be found for logger (org.keyczar.Keyczar).
log4j:WARN Please initialize the log4j system properly.
ALJM94ibZlsXDepUUhRahyLgAWMaWSecgP7Fz1I IA-A0M55rlTL4Vc5wtOw3XM3ylG7oDTFFb2ac
Please, copy & paste that string below:
ALJM94ibZlsXDepUUhRahyLgAWMaWSecgP7Fz1IIA- A0M55rlTL4Vc5wtOw3XM3ylG7oDTFFb2ac
That decrypts to:
Hello World!

La verdad es que no he probado mucho la biblioteca, sólo esta prueba. Habría que ver si las claves asimétricas funcionan, y probar varias combinaciones, pero en principio parece que es posible usar Keyczar en .NET sin muchas dificultades. Teóricamente, la DLL creada puede usarse tanto en Mono como en .NET en Windows sin ninguna modificación.

--
[1] La versión de C++ sólo funciona actualmente bajo Linux.

Veo en elmundo.es que hay manifestación y huelga de informáticos, de nuevo.

Vaya por delante lo que pienso de ese tema, que más o menos se reduce a:

• Como ingeniero de telecomunicación, estoy bastante cansado del rollo "intrusista!" que cualquiera que esté estudiando informática (o la haya acabado hace poco) te suelta en cuanto te conoce un poco, sin venir a cuento. Menudo lavado de cerebro que hacen en las Escuelas de Informática. En serio, es alucinante.
• Lo de que "los telecos" tenemos atribuciones, etc. es una chorrada: las únicas que tenemos son las ICT, que no le solucionan la vida a nadie y que hasta un mono puede hacer con el programita adecuado. Pregunta a cualquier teleco y verás como le da igual que nos "quiten" ese "gran privilegio", que parece importarle más a los ingenieros informáticos que a nosotros mismos.
• Lo que pretenden los colegios de informática metiendo miedo, limitar quién puede hacer proyectos de software (o firmarlos, o lo que sea), no funcionará nunca, por varias razones: el razonamiento que más fuerza tiene desde mi punto de vista es que esta "genial idea" no está implantada en ningún país europeo, ni Estados Unidos, ni Japón, etc. Por algo será, no? Tanto que miramos al extranjero para compararnos, se nos olvida en este caso?
• Me resulta aburridísimo el rollo ese de comparar la informática con la medicina, arquitectura, etc. Que no, que no cuela.

Esto dicho, veo el vídeo de El Mundo y me encuentro esta perla dicha por, imagino que es, cierto representante de alumnos de ingeniería informática (alrededor de los 45 últimos segundos, el resaltado es mío.):

(...) queremos que se reconozcan nuestras atribuciones profesionales, ya no sólo para firmar poder proyectos, como piensa mucha gente, sino para proteger a la sociedad. Para que el error informático no sea algo aceptado. Porque hay profesionales que estamos estudiando y salimos preparados para conseguir aplicaciones fuertes que no... no den ningún error y no haya problemas de seguridad (...)

Con dos cojones. Ahora eso se lo cuentas a cualquiera que no tenga ni idea de informática (como parece que le ocurre a este hombre) y se lo cree. Claro, si es que los errores en los programas, sobre todo los de seguridad, se deben a que hay gente no colegiada metiendo las zarpas en el código! Todo se soluciona quitando a esos telécos y físicos y matemáticos y poniendo a informáticos, que sí que saben. Sobre todo los recién licenciados de hoy en día, que lo saben ya todo sobre desarrollo de software robusto (de nada, campeón, yo sabía que esa era el palabro que buscabas) y seguridad, justo al salir de la carrera. Gracias a Dios, tenemos a los Colegios de Informáticos que van a salvar esta sociedad.

Por si fuera poco lo que nos machacan con semejante falacia, leo también que, en relación a la mujer que fue asesinada por su ex-pareja (que estaba siendo controlada mediante un sistema GPS que sirvió de poco), el Colegio de Ingenieros de Informática "no tolerará" que el error del GPS en Pontevedra se atribuya a un fallo informático. Y en uno de los últimos párrafos, esta perla:

La organización denuncia que "desde los diferentes Gobiernos se han puesto trabas constantes a la regulación de la actividad profesional de Ingenieros e Ingenieros Técnicos en Informática y, por lo tanto, a la fiabilidad y seguridad de sistemas informáticos tan críticos para la sociedad y que, desgraciadamente, han resultado en este trágico acontecimiento".

Pero que hijos de puta que son los telecos, físicos, matemáticos, FP, etc. verdad? Hemos causado, gracias a nuestro irresponsable privilegio de poder programar, la muerte de esta mujer. Porque, por supuesto, está clarísimo que este sistema no lo desarrolló un informático. No había ni un sólo informático en el equipo de trabajo. Nunca un informático oyó hablar siquiera de este proyecto. Si hubiera sido al contrario, hubiera sido imposible que el sistema fallase.

Como dirían en mi tierra, esto es para comer cerillas y cagar piedra de mechero. Hay que tener poco respeto y poca vergüenza.

Me cuenta un pajarito que ya está disponible Google Maps Streetview para España, oficialmente anunciado hace poco más de una hora en Madrid.

Las ciudades para las que la vista Streetview está disponible son Barcelona, Madrid, Sevilla y Valencia.

Los que vivimos lejos (bueno, y los que viven cerca también) ya podemos disfrutar de vistas como ésta de la Torre del Oro

Leo en elmundo.es que en el Reinuo Unido hay movida acerca de un proyecto de almacenamiento centralizado de algunos datos de las conexiones establecidas por los usuarios de teléfonos móviles e internet.
Como dicen por mi pueblo, otro palito a la burra por parte del gobierno (del Reino Unido, pero ya sabemos que esto se contagia, como la gripe) para controlar al personal. Las excusas, las típicas: cumplir con una legislación que no viene a cuento y luchar contra el terrorismo y la pederastia.
Lo que más gracia me hace de esto es que luego la gente se cree todo el FUD que haga falta (Google, Facebook y Microsoft venden nuestros datos), se hacen leyes de protección de datos "solo para empresas", y se dan casos como éste mientras por otro sitio nos untan crema a gusto.

Parece ser que ya no es un secreto (aunque para muchos fuera un secreto a voces): el anuncio oficial de Android, el teléfono móvil creado por la open Handset Alliance, que muchos llamaban G-Phone (por Google), se ha producido hoy.

Todos los datos en la web de la Open Handset Alliance. Ya puede comenzar el flamewar iPhone vs Android.

Visitando elmundo.es (publicidad gratuita, no pueden quejarse) he visto el cortometraje "Subir y bajar", de David Planell. Recomendado para todo el mundo, por cierto. Esta publicidad gratuita me gusta más hacerla.

Pero no iba a hablar sobre lo bueno que es el cortometraje (que repito que lo es, y mucho), sino de la licencia con la que se ha publicado: Creative Commons 2.0 reconocimiento-nocomercial-compartirigual

Al que le interesen exactamente los términos de la licencia, si es que no los conoce, que visite la web de creativecommons, que viene muy bien explicado allí (mejor de lo que yo podría aquí).

Pero es la parte "nocomercial" la que más me interesa. Porque antes de ver el cortometraje, elmundo.es muestra (y digo muestra porque yo no lo he visto, siempre evito ese tipo de publicidad previa a los vídeos) un anuncio. Y qué curioso que en inglés "anuncio" se diga "commercial", ¿no?

En definitiva, que han puesto el vídeo, con su anuncio delante, y pasando de la licencia. Realmente, dudo mucho que conozcan el nombre o los términos de la misma.

Bueno, yo ya les he informado (que tiene narices que para enviar una corrección, cosa que les conviene, tengas que poner una dirección de correo electrónico, pero eso es otro tema) de que están incumpliendo la licencia.

La verdad es que, dada la intención con que se publica la obra, gratuita para que llegue al máximo número de personas, quizá si la retirasen (porque en elmundo.es no quisieran/pudieran publicarla sin publicidad) se estaría yendo en contra de esta intención. Espero que eso no pase. Pero me toca un poco las narices ese tipo de iniciativas (como los telemaratones y tal) que intentan ayudar y a la vez barren para casa.

No lo digo por el autor o la productora, que de esto seguro que no se llevan un euro (salvo la publicidad que recibe cualquiera que publica una obra, como la palabra indica) sino por elmundo.es. Coño, que no cuesta nada publicar el vídeo sin anuncios, o enlazar a la web de la productora, o a cualquier portal de publicación de vídeos (no digo el nombre de ése, que vais a decir que barro para casa), y cumplir la licencia... ¿o sí que cuesta?

Bueno, veremos si hay alguna reacción en elmundo.es o, como imagino, mi mensaje se pierde en el pozo del olvido. Seguiremos informando.

Actualización: Pues sí, la gente el El Mundo ha cambiado el vídeo y ahora incluyen un enlace a YouTube, con lo que no ya estarían incumpliendo la licencia (si es que no tenían el permiso explícito de David Planell). Lo han hecho en menos de un día y en un hecho que aplaudo (y mucho), siguen mostrando el vídeo pero esta vez sin publicidad.

Pues, definitivamente, estoy ahí, escribiendo estas líneas desde el apartamento (temporal) que la gran G me ha asignado en Dublín. Barrapunteros emigrantes en la isla... ¡temblad! :P
PD: se aceptan quedadas para hartarse de cerveza, sobre todo porque no conozco a nadie por estos lares, y el finde es muuuuuuuuuuuy largo.

Hace ya un par de semanas que, -como siempre- sin saber cómo, descubrí el lado del mal.
La verdad que es un blog que, a pesar de su nombre, no está mal, aunque al amigo Maligno (a.k.a. Chema Alonso) se le nota la querencia. En cualquier caso, no engaña a nadie, ya él mismo te lo explica en el título del Blog. Si eres el lector típico de /., no es fácil que el tema te guste: mucho a favor de Microsoft, y tirando contra otras webs típicamente linuxeras (Kriptópolis, etc.). Pero, si sabes abstraerte a ello, el tío hasta tiene su gracia.
Resulta que, ojeando entradas antiguas, me encontré con una relativa a un término que (que alguien me corrija si no es así) está poco a poco siendo acuñado gracias a él: técnicoless.
Últimamente, hemos tenido una noticia sacada del blog de cierto personaje que, si el término técnicoless existiera o existiese en una enciclopedia, la entrada incluiría irremediablemente su foto al lado. Y escribo "sacada" en cursiva porque la "noticia" (sí, entre comillas) en cuestión no es más que una traducción mala de otra noticia de otro sitio.
Alguien podría argumentar que mi opinión sobre esta noticia está determinada (biased, que se diría en gringo) por el hecho de que dentro de poco comienza mi aventura laboral con lo que este personaje critica, lo que no discutiré para que sirva en cierto modo de autocrítica, aunque tengo muchos otros argumentos bastante más válidos para no estar de acuerdo con lo que este personaje copia. El problema no es esta noticia. Existen otras "noticias" que demuestran la poca credibilidad de este personaje.
De acuerdo que la chica de Google no estuvo muy afortunada invitando a las empresas farmacéuticas a anunciarse para "lavar su imagen". Ya se ofreció una respuesta corporativa a este tema, hubo otro post de esta chica y nuevas críticas... el que quiera información puede leerlo en valleywag, un sitio que en absoluto es pro-Google. El problema no es esta noticia.
El verdadero problema es este tipo de personajes que puebla la "blogosfera". Tengo mi opinión propia sobre el término blogosfera, e incluso una especie de definición: un grupo de personas que, salvo honrosas y honradas excepciones, se ocupa de realizar aquéllo contra lo que nos prevenía el señor Lobo. Supongo que habrá quien piense lo mismo de mis opiniones, y que esto es en parte como la I+D: tiene que haber mucha mierda para que sobre ella crezcan flores.
Por lo que no paso es porque se tome a el amigo E.D. en serio aquí, sin que mi menda diga mu. Un amigo mío, que aquí llamaré Paputxi, tuvo la oportunidad de verlo en la II Conferencia de Software Libre de Málaga. Su descripción, más o menos, coincide con esta: Envoltura de forma oval dentro de la cual se encierra, hilando su baba, el gusano de seda para transformarse en crisálida. Por lo visto, al final del coloquio el personaje en cuestión soltó una paja mental horrible e invitó a los conferenciantes a comentar la misma. Resultado: silencio profundo y embarazoso hasta que al amigo E.D. le dio por cerrar definitivamente la conferencia.
El problema es que este personaje, que escribe en un diario electrónico de gran reputación (no diré si buena o mala), que colabora con revistas del sector que vivieron mejores momentos, se dedica a dar clase en no sé qué importante escuela de negocio (privada, gracias a D10X) y a sentar cátedra sobre tecnología desde estos foros y desde su propio blog. Y la gente se lo cree.
Oye, y a mí no me parece mal que hable sobre sociedad (o e-sociedad, si os gusta la chorrada electrónica) o tendencias. Pero que se meta a discutir si el PageRank es correcto, si lo que se pagó por la web del Congreso es una estafa o si tal es mejor tecnológicamente que cual. Que se centre en seguir diciendo que twitter es estupendo, que el correo usual es una mierda en comparación con el electrónico y que se va a "dar de baja" del mismo, en clasificar a los usuarios de internet diferenciando claramente "una «clase
social» media-baja en el estatus de la Red [...] un cluster de usuarios de Windows XP en su versión primigenia o XP-SP1" o en cualquier chorrada por el estilo. Pero que no confunda a la gente haciendo creer que tiene idea de tecnología, porque no tiene ni zorra. Y, si aún así lo hace, que acepte las críticas, y no intente defenderse a toda costa con comentarios como estos cuando le han pillado en un renuncio. Eso sí, de razonamientos y posiciones racionales y defendibles, ni gota. La respuesta demagógica que dan estos personajes la deja muy clara GonzoTBA en su tira de la semana pasada. Y podría decirse que esta entrada es un reflejo de esta otra que Maligno publicó hace poco.
En definitiva, me recuerda a aquel amigo mío que incluía en su currículo "conocimientos de telefonía móvil", sólo porque sabía los 4 modelos de Nokia y Ericsson que se vendían entonces y yo, que estudiaba Teleco y no me cortaba un pelo, le preguntaba "¿Vaya tío, sabes sobre GSM?". ¡Venga, hombre, a robar vas a venir tú a la cárcel!

Bueno, no lo he comentado "oficialmente" por aquí, pero estos chicos dijeron finalmente que sí.

Bueno, estoy por un lado que me salgo de contento. Por otro, es un cambio durillo, por lo bueno que se deja atrás, pero habrá que llevarlo lo mejor que se pueda.

Ahora viene un pollo del quince. Entre las cosas que tengo que hacer en los próximos 3 meses se encuentran, al menos y no por este orden, las siguientes:

• Dejar mi piso
• Buscar piso en Dublín
• Despedirme de todos mis compañeros de trabajo
• Despedirme del resto de mis amigos
• Empaquetar todo lo que me voy a llevar
• Decidir todo lo que no me voy a llevar, que se quedará, a medias más o menos, entre la casa de mis padres y la de mi novia
• Terminar el contrato con mi ISP
• Ir a por el título (ojalá que ya esté) a la Universidad
• Transportar las cosas que vayan a ir a casa de mis padres hasta Huelva
• Visitar a todos mis familiares y despedirme
• Conseguir una cuenta bancaria y un número de la seguridad social en Irlanda
• Visitar a mi novia en Italia
• Descansar, al menos, una semana
• Trabajar durante 3 semanas en Dublín
• Probablemente, viajar a Mountainview para recibir formación
• .... er... ¿hace falta que ponga más?

El problema importante es que, entre una cosa y otra, pasan los días y la pereza me embarga. Sí, me embarga, es la expresión más acertada para describir el hecho de que ahora no estoy haciendo absolutamente nada, salvo dejar que el tiempo se me eche encima. No he recogido nada y no me he preocupado por nada. El tiempo está pasando rápido, pero parece que no me doy cuenta.

Es como cuando tengo que viajar, la pereza me puede tanto que odio moverme, prefiero quedarme en el mismo sitio, aunque sé que luego me lo pasaré bien. Uff, lo que daría porque fuera ya julio.

¿Os ha pasado alguna vez algo parecido? ¿Cuál es vuestro truco para salir de estos "pozos de pereza"? Cualquier comentario (constructivo, si es posible) será bienvenido. Por cierto, "deja de leer barrapunto y mueve el culo de una vez" ya lo conozco, así que no me ayudará mucho :)