Cloud Computing aplicado a las empresas

El Cloud Computing es uno de los terminos más sonados en revistas y en diversos artículos en los últimos meses. Algunos alabándolo y otros criticándolo, pero hablando siempre de tecnologías futuristas y suponiendo que la nube es internet, cuando internet es sólo una parte de la nube.

La nube, como todo, tiene ventajas y desventajas. Por ejemplo, algunas ventajas son: no necesitas de una computadora con muchos recursos, no hay necesidad de instalar aplicaciones y sería muy difícil perder tus datos; pero una de sus desventajas es que deberás confiar en un tercero para que tus datos estén “seguros”.

Siempre se ha criticado mucho desde el aspecto de la seguridad y es por ello que muchas empresas ni consideran adoptarlo, aunque esas son las mismas empresas que se niegan a usar las redes sociales y prefieren bloquear twitter que usarlo para algo útil. Pero queramos o no todas las tecnologías van hacia ese rumbo pues cada vez hay más smartphones y computadoras con acceso a internet con menos recursos y más baratas. Todo parece apuntar a que en un futuro los smartphones serán los que dominen en internet. Si observamos el entorno es claro que las aplicaciones de escritorio desaparecerán en un futuro no muy lejano, la multiplataforma es lo que está en voga y más gente está usando las tecnologías de internet para intercomunicarse, por lo que sinceramente dudo mucho que las empresas puedan frenar este avance.

Es impresionante ver como la gran mayoría de las empresas siguen tan ciegas y centran sus esfuerzos en detener a los usuarios para usar las nuevas tecnologías. Llegan a poner proxies para limitar el acceso a facebook y twitter; para el correo electrónico compran sistemas para evitar enviar correos a personas que la compañía no considere confiables y usan filtros de spam poco útiles para el usuario final; gastan recursos humanos en revisar los antivirus de los usuarios y monitorear la red en busca de fugas de información, y prohíben a las personas instalar ciertos programas como iTunes por “problemas de seguridad potenciales”.

Pero ¿qué diferencía a las compañias con gran tecnología y productos realmente interesantes de las otras?

No piensan cómo es que podrían beneficiar las nuevas tecnologías a la empresa.

El cloud computing tiene muchas caras que ofrecer y depende de las empresas buscar una cara que les beneficie. Si pensamos en el Cloud Computing como una nube que sólo está dentro de la red de la empresa, entonces empieza a volverse interesante y es probable que las empresas adopten ese modelo.

Pero antes de seguir quiero aclarar que al hablar de cloud computing no me refiero sólo a aplicaciones web que hacen consultas con AJAX a un servidor central, o una aplicación que hace consultas SOAP o tiene web services. Cloud computing realmente es mucho más que eso.

Tomemos como ejemplo Google. Es una empresa totalmente dedicada a la nube, y sus tecnologías son realmente avanzadas, mucho más de lo que muchos creen. Bien se sabe que no sólo es un motor de búsqueda, es una gran parte de Internet y tiene tecnologías que se pueden aplicar perfectamente a las empresas como GMail, Google Docs, Google Calendar y Google Wave, además de otras tecnologías para desarrollar aplicaciones como Google App Engine y Google Web Toolkit; y tiene también su propio sistema operativo Google Chrome OS (totalmente enfocado a la nube) y su navegador Google Chrome.

Google Chrome OS, que aún continúa en su versión beta y no se le ha prestado suficiente atención, resulta ser una versión de Linux a la cual no se le puede instalar ninguna aplicación y que no tienen ningún medio de almacenamiento; toda tu información está en la nube, ni siquiera la música se puede guardar en el disco, a lo mucho se pueden guardar datos en un USB ¿qué locura no?. El sistema operativo completo funciona como un navegador: cuando cierras la sesión guarda el estado en el que te quedaste para que luego puedas continuar en cualquier otra computadora que tenga Chrome OS instalado; por lo cual las computadoras necesarias para correrlo no necesitan de mucho disco duro, ni de una capacidad de procesamiento brutal. Y es cierto para muchos esto puede parecer desconcertante e inservible, pero para la gran masa de usuarios podría funcionar perfectamente.

Hagamos ahora un ejercicio de imaginación y apliquemos la nube a una empresa como Coca Cola. Supongamos que tiene varios datacenters: uno en México, varios en Estados Unidos y en muchos otros países; y, en esos datacenters tuvieran instalados los appliances de Google, los cuales pudieran guardar la información correctamente duplicada en diferentes lados del mundo; luego supongamos que la empresa les diera a sus empleados una Laptop con un disco de estado sólido suficiente para alojar una versión de Chrome OS que se conectara a la VPN de Coca Cola.

Esto sería realmente seguro, pues al contratar a un empleado bastaría con dar de alta una nueva cuenta en la empresa con los privilegios de las aplicaciones que necesitara, usando la política del mínimo privilegio. Cuando el empleado necesitara conectarse a sus documentos podría hacerlo desde cualquier computadora y la información nunca estaría guardada en el disco duro, por lo que si se pediera una laptop en el aeropuerto no habría ningún problema ya que necesitarían de la contraseña para poder entrar a algo importante.

Pensemos también que el costo de mantenimiento se vería reducido totalmente, pues no habría que reinstalar prácticamente nada y podrían trabajar desde cualquier computadora que tuviera acceso a la red de Coca Cola mediante Chrome OS. El costo de todas las aplicaciones como antivirus, protectores contra intrusos y demás desaparecerían pues el sistema operativo no se podría modificar y estaría reducido a lo que el navegador te permitiera.

Es un hecho que todas las aplicaciones de Coca Cola necesitarían funcionar mediante Web, pero no me imagino alguna que actualmente no pudiera implementarse para funcionar en Web.

Los problemas de seguridad se verían reducidos de manera importante, pues se tendría mucho más control de todos los datos y éstos estarían alojados en los servidores de Coca Cola. Y aunque seguirían existiendo los mismos problemas de siempre: contraseñas débiles, fallas en la configuración, problemas de XSS en las aplicaciones web, servidores vulnerables y demás; ya no habría que preocuparse tanto por la seguridad de cada usuario final de la empresa. Sería ahora más complicado que pudiera haber una fuga importante de información y en todo caso se tendría registrado por dónde ocurrió.

Google es un ejemplo de empresa que ha aprovechado la nube y muchas más podrían estar incursionando en estos momentos, pero hay cosas de Google que ya funcionan muy bien y a menos que algunas empresas quieran reinventar la rueda bien podrían ya empezar a usarlas para satisfacer sus necesidades.

Autenticación segura sin SSL/TLS

Muchas veces no es necesario o es demasiado cifrar toda la comunicación entre el cliente y el servidor, por razones de performance o por el sobrecosto de implementar un esquema de PKI (Public Key Infraestructure) para usar SSL/TLS. Pero siempre hay algo que es necesario proteger por seguridad: las credenciales de autenticación del usuario. Por lo que en este post explicaré cómo se puede hacer una autenticación sin enviar esa información (no, no es telepatía).

Protocolos de conocimiento cero (ZKP)

Sabemos que sin un esquema de cifrado de llave pública es trivial para un atacante interceptar la información que se envía entre el cliente y el servidor, pero el sistema debe tener alguna manera de autenticar a los usuarios del sistema. Necesitamos enviar algo que si un atacante intercepta no pueda utilizar para autenticarse. Esto se conoce como un protocolo de conocimiento cero (Zero-knowledge proof), y en palabras coloquiales significa: “probar que poseemos cierta información sin revelar esa información”.

Como comúnmente la única información que queremos “probar que poseemos pero no queremos revelar” es la contraseña, voy a explicar el esquema que usa MySQL para implementar su autenticación de usuarios. Los detalles no están explicados de manera formal en la documentación de MySQL pero alguien se tomó el tiempo de leer el código fuente y explicar cómo funciona (MySQL 4.1.x authentication internals).

¿Cómo se almacenan las contraseñas?

Lo primero que hay que tener en cuenta es que, siguiendo los principios básicos de almacenamiento seguro de contraseñas, éstas se almacenan en el sistema sólo como un hash criptográfico. Que tiene la propiedad de ser prácticamente irreversible y prácticamente único. Por lo que esta es la primera parte del ZKP, ya que sólo quien conozca la contraseña podrá generar el hash criptográfico que le pertenece.

Desde MySQL 4.1 las contraseñas de usuario están almacenadas en la tabla “mysql.user” en la columna “Password” de la siguiente manera: SHA1(SHA1(password)). Donde SHA1 es el hash criptográfico SHA-1.

La transmisión

Si cada vez que el cliente se quiera autenticar sólo transmitiera SHA1(SHA1(password)), cumpliría con el principio de no revelar la contraseña, pero un atacante podría capturar y enviar después SHA1(SHA1(password)) para autenticarse exitosamente aún sin conocer la contraseña. Por lo que necesitamos agregar más cosas al protocolo para que la información que transmite el cliente sólo sea útil para un intento de autenticación.

Este sería el esquema cliente-servidor para la transmisión:

  1. Se inicia el intento de autenticación
  2. El servidor genera una cadena aleatoria salt y se la transmite al cliente.
  3. El cliente calcula S_1 = SHA1(pass), S_2 = SHA1(S_1) y S_3 = SHA1(salt+S_2) (aqui + significa concatenación).
  4. Finalmente el cliente transmite M = S_3 \oplus S_1. (aquí \oplus significa bitwise XOR)

Autenticación

El servidor sólo conoce H = SHA1(SHA1(password)), que está almacenado en la tabla de usuarios, y salt. Para autenticar hace lo siguiente:

  1. Calcula S'_3 = SHA1(salt+H).
  2. Calcula S'_1 = M\oplus S'_3.
  3. Calcula S'_2 = SHA1(S'_1).
  4. Sólo si H=S'_2 la autenticación es exitosa.

Observaciones

Nunca se transmite S_2 ni S_1, por lo que la fortaleza está en que este ZKP verifica que el cliente conoce SHA1(password)) y SHA1(SHA1(password)) pero sin revelar esa información, y que sería casi imposible que un atacante poseyera sin conocer password.

También hay que observar que salt es una cadena única por cada intento de autenticación, o sea que esa cadena siempre está cambiando.

Implementación

Próximamente trabajaremos en una implementación de este esquema para aplicaciones web usando JavaScript y PHP, que publicaremos bajo licencia LGPL.

Google Chart API

En estos dias de arduo trabajo es muy reconfortante encontrar utilidades con las que sea posible trabajar de manera comoda y eficaz. Una de las tareas que desarrollamos en los ultimos meses es la generación de graficas dinamicas para un sitio web. Tras varios experimentos con JSChart e investigar con algunas otras tecnologías, dimos con una que se ajustó mas a lo que deseábamos. Esa utilidad (que fue la que nos sorprendió aquí en Amarello) es la API de Google Charts. Esta API, es la mas robusta y completa que encontramos para poder realizar gráficas dinámicas en un sitio web. La maravilla de esta API es su capacidad y su facilidad de manejo.

La idea básica consiste en generar las gráficas(imágenes) mandando los datos de ella por medio de parámetros GET a la API de Google en sus servidores. Esto desde un principio puede parecer una desventaja, pero esto también puede ser una gran ventaja según se vea. Todo se reduce a una etiqueta web de <img> que tiene como “src=” la API. por lo que el hacer una gráfica se reduce a un código HTML tan simple como el siguiente:

 <img src="http://chart.apis.google.com/chart?cht=p3&amp;chd=t:60,40&amp;chs=250x100&amp;chl=Hello|World" />

En el, podemos ver los parametros basicos que toda gráfica debe llevar como lo es el tipo de grafica, los valores, y el tamaño de la gráfica. Todos estos datos produce la siguiente imágen:

(más…)

Google Latitude & Maps 3.0

Google acaba de sacar un servicio de geolocalización integrado a Google Maps llamado Google Latitude, aprovechando la salida de Google Earth 5.0 nos encontramos con nada más y nada menos que Google Maps 3.0 para móviles.

Me decidí a probarlo e instalarlo y estos son los resultados que me encontré:

  • Geoposicionamiento por GPS y GPS-A
  • Geoposicionamiento por triangulación de telefonía celular (no necesta tener GPS tu equipo)
  • Sincronización de contactos de Gmail (podremos invitar y ver a cualquiera de nuestros contactos en su posición en vivo; algo parecido a una autorización de Google Talk con tags de posición)
  • Sincronización de imágenes de contactos de Gmail con geoposicionados.
  • Todas las Funcionalidades anteriores de Google Maps, incluyendo Google Street y Trafico en algunos países.

Podemos Instalarlo desde nuestro celular o tecleando google.com/latitude
Un detalle es que necesitamos una conexión wifi, 3G o EDGE (o algún plan de datos) para que suba nuestra ubicación (de manera continua o cuando se lo indiquemos) a Internet, pero no lo veo como un problema, ya que es posible que nos encontremos en la oficina y escuela (donde si tenemos wifi) y queramos compartir nuestra ubicación

Lo he intentado con un N95-3 8gb Symbian 3era edición, pero al parecer soporta mas dispositivos y OS móviles. ¿Alguien se anima a instarlo en algo mas?

Dejo algunas pantallas:

Google Maps 3.0 sobre CU

Google Maps 3.0 sobre CU

Modelo Entidad Relación con el menor número de cruces

Problema

Hace ya varios meses al estar desarrollando un software bastante complejo, que requería una base de datos muy grande, nos enfrentamos al problema de cómo poder visualizar un diagrama entidad-relacion de la forma más legible posible. Intentamos con MySQL Workbench, el cual nos dibujó las tablas con sus relaciones pero desgraciadamente todas juntas y teníamos que acomodarlas a mano; lo cual además de llevar tiempo, es difícil, pues llegar a un modelo que tenga el menor número de cruces y sea fácil de entender es una tarea casi imposible. Así que buscamos en Google un programa que pudiera dibujar de una forma estética nuestra base de datos, y aunque algunos lo prometían ninguno lo hacía.

Historia

Buscamos un algoritmo que se encargara de distribuir gráficas con el menor número de cruces, lo que se conoce como aplanamiento de gráficas y encontramos uno llamado dibujado ortogonal, que nos pareció el más estético para dibujar un digrama EER. Encontramos gran cantidad de documentos de investigación que hacían alusión a un algoritmo publicado por Kandinsky, pero en ninguna parte pudimos encontrar el pseudo código o algún documento más detallado de ese algoritmo. Seguimos buscando y encontramos otros programas que servían para acomodar diagramas UML y algunos con el menor número de cruces. Notamos que muchos usaban un formato de archivo llamado GML y encontramos su especificación. GML significa Graphics Modeling Language y fue un poco difícil de encontrar porque hay otro formato de archivo con el mismo nombre que siginifica Geographic Modeling Language.

Después de un día de búsqueda encontramos un framework para diferentes tipos de dibujado de gráficas llamado OGDF, librería escrita en C++ y de código abierto. Para nuestra sorpresa esa librería recibe un archivo GML para procesarlo y devuelve otro de igual formato procesado.

Idea

Al ver que no había un programa que te hiciera todo el proceso completo, desde conectarse a la base de datos, obtener su estructura, procesarla, graficarla con el menor número de cruces y presentarla tuvimos una idea:

¿Por qué no hacer un programa que obtenga la estructura de la base de datos junto con sus relaciones, genere un archivo .GML y lo pase a un programa que use la librería OGDF, luego lea el archivo procesado y dibuje las tablas en la posición adecuada?

Nuestra solución

- Java
Inicialmente lo solucionamos haciendo un programa escrito en Java, que se conectara a la base de datos MySQL, obtuviera su estructura mediante SHOW TABLES, DESCRIBE tabla, y con el código de creación de la tabla obtuviera las llaves foráneas y se encargara de relacionar las tablas y generar un archivo GML válido con la estructura y las relaciones.

- C++
Ahora mirando en OGDF notamos que había un How To, lo copiamos, modificamos un poco y compilamos, generando un binario que lee dos parámetros, el archivo fuente y la ruta del archivo GML a donde queremos guardar el procesamiento.

- Conectar Java y C++
Nos dispusimos a conectar los dos programas, llamando al binario de OGDF desde nuestro programa en Java y luego nuevamente leer el GML, parsearlo y relacionar con las tablas que estaban en memoria.

Hasta este punto ya teníamos solucionado todo, ahora solo faltaba dibujarlo.

Dibujarlo
Pensamos en un momento dibujarlo en Java, el problema iba a ser que Java no es exactamente lo más amigable para dibujar, y había otro problema, a lo largo del desarrollo del programa pensamos que sería una buena idea liberarlo bajo la GPL y poner el código a disposición de todos y fue cuando se nos ocurrió una idea: ¿porqué no volver todo este programa una aplicación web y abrirla al público?, pero ¿cómo podríamos solucionarlo?

- PHP y Flash
Pensamos que era fácil simplemente crear un formulario que pidiera el acceso a la base de datos, llamara del lado del servidor a nuestro programa en Java y así podríamos generar un XML que leyera una aplicación en Flash, además por medio de Actionscript lo dibujara y agregara comportamientos como arrastrar que hiciera más facil la interacción del usuario.

Diagrama Entidad Relación Procesado- Conectar Java, C++, PHP, Flash
Lo hicimos, y nuestro programa en Java después de haber leido y parseado el GML generó un XML con la estructura y coordenadas, que luego Flash leería mediante Actionscript y dibujaría obteniendo una representación interactiva de la base de datos como se muestra en la imagen.

Código Abierto
Después de algunos ajustes liberamos el código de Java, C++, Flash, PHP y Actionscript bajo la GPL y siendo nuestro primer programa que liberamos bajo esa licencia nos sentimos muy felices. Para mi fue como un logro que desde hace tiempo quería hacer, pues siempre nos ha ayudado enormemente el código abierto y nunca habíamos regresado el favor.

Ahora tenemos pensado liberar otros algoritmos y scripts que tenemos guardados bajo GPL, y creamos una sección para todo ese Software en nuestra página, que según tenemos pleaneado irá creciendo poco a poco.

Nos sentimos muy bien de poder colaborar con la Open Software Foundation, e invitamos a otras compañías que tienen mucho software detenido que lo liberen y aporten algo a la comunidad.

La versión en línea de nuestro programa se encuentra disponible al público y esperemos que lo aprovechen.

Con este software nuevo esperamos que este año que apenas comienza aportemos mucho más a la comunidad del software libre.

¡ Feliz año 2009 !

¡Usar Gmail con tu propio dominio y gratis!

Logo GmailSiempre he visto que Google hace cosas increibles, pero esta vez de verdad que se pasaron de la raya con su opción de usar todo lo que google ofrece pero con tu propio dominio, pues no se ustedes pero yo siempre he tenido problemas con las porquerías de correo que te proporcionan los servidores de web hosting, digo cada uno tendrá lo suyo pero definitivamente estan muy por debajo de lo que Google ofrece, Gmail usa AJAX cosa que muchos no usan, Gmail tiene integración con google calendar, y a la vez con Google Docs, entonces imaginense tener todos esos servicios para tu propio dominio, por ejemplo para blog.amarello.com.mx como es nuestro caso, y con eso tenemos 2 gigas de espacio en disco sin pagar un solo centavo, que puede crecer si pagas por usarlo, pero imaginense, tener google docs para tu empresa, Google calendar, y todas las maravillas, con tu mail @blog.amarello.com.mx en nuestro caso, y con capacidad de crear hasta 100 cuentas gratis.

Y lo mejor de todo es que puedes poner tu logo en lugar de los logos de Google, y también puedes hacer que automáticamente cuando tu agregues un contacto que tenga @tudominio.com sea publicado en las listas de contactos de los otros, asi como también para evitar fugas de información puedes decir que te avise cuando de ese mail contactes a alguna otra gente que no sea de tu dominio, igual con google talk, la verdad es algo bastante padre, no les parece?

Para más información consulten ésta página