[hm] [debate sobre posible nodo] software lorea
psy
epsylon en riseup.net
Mie Oct 14 15:53:13 CEST 2015
> buenas a todas!
Aupa efkin,
> despues de una experiencia un poco controvertida por parte de varios
> colectivos frente a las semillas de lorea 'n-1' y 'ecoxarxes' desde la
> CICIC hemos escrito este comunicado[0].
Debo decir que, aunque entiendo que hacerlo sirva para plasmar la
frustración y tratar de empujar a la gente a que realice un último
esfuerzo en "salvar los trastos", mi opinión es que lo que pone no es
del todo correcto, ni en los puntos técnicos, ni en el análisis de la
evolución del proyecto.
Te contesto poniendo en copia al hackmeeting ya que lo has expuesto aquí
y te invito a charlar en Mumble (u otro medio) para poder expresarme/nos
de manera más fluída.
Para quien quiera dejar de leer o no pueda ver la carga entrelíneas que
contiene mi opinión, ésta frase popular lo resume: "Nunca es tarde si la
dicha es buena".
------------------------------------------
Sobre el comunicado...
Mira. Yo también escribí uno hace tiempo de manera poco acertada en mi
perfil de n-1, advirtiendo de la deriva que estaba tomando Lorea, con
respecto a lo que, bajo mi impresión como activo del proyecto durante
aquellas fechas, parecía un "secuestro" que determinada gente (por
cierto aquí presente) estaba realizando del proyecto.
Quizás revisar que ha obtenido dicha gente a cambio, como por ejemplo;
donde está ahora, para quien trabaja, que puertas abrieron para uso
personal, etc... al respecto de haber pertenecido a Lorea, nos sirva
para identificar mejor y diferenciar entre quienes "creían" en el
proyecto y dedicaban su día a día de manera constante y altruísta al
mismo y quienes simplemente lo "usaban".
Sin entrar en conflictos personales que no vienen a tiempo y tratando de
no ser incendiario públicamente para no "restar", considero que aún hay
temas que aclarar de manera colectiva e individual y a poder ser, de
viva voz y con una actitud positiva.
Con los años y la experiencia he ido aprendiendo muchas cosas y
memorizando otras. Entre las segundas, tengo las caras, nombres y
referencias de varios supuestos "hacktivistas" perimetrales al
hackmeeting, hombres y mujeres, con los que me he ido topando en la vida
y de los que he visto como actuán y como son en su vida personal. Y la
verdad, he realizado que la frase; "el tiempo pondrá a cada una en su
sitio" no es del todo correcta, ya que para mi, "el tiempo pone a la
gente en caminos y no en lugares concretos".
Y los hechos, esos son verdades irrefutables. Pero como ya he dicho
antes, no es tiempo de juzgar y exponer, aún. Por cierto, el delito de
difamación, se paga a la larga...
Siguiendo con el tema del comunicado que hice (que fue borrado) y los
hechos históricos, personalmente siempre defendí que Lorea debía ser
algo diferente a n-1, para diferenciar el proyecto político, de la técnica.
Básicamente, estaba convencido de que las espectativas en tiempo con
respecto a la programación del código, comenzaban a ser distantes de los
planes de organización. Y eso, a medio largo plazo, iba a ser un gran
problema (a los hechos me remito).
También recuerdo haber sido bastante crítico con el tema de los recursos
y donaciones, que nunca llegaban a la base productiva (programadores,
etc), para que éstos lo usaran para comer, viajar, etc y se destinaba a
otras inversiones (ojo, también muy importantes, pero en ocasiones no
prioritarias).
Así que creo que esa parte de la gestión productiva también tuvo fallos
que han sido muy dañinos a la larga.
Por ejemplo, por culpa del tema de no tener recursos, la gente que
estaba en la parte más técnica, tuvo que empezar a buscar otras maneras
de financiarse, como por ejemplo, programando otras aplicaciones y
presentándose a concursos en fundaciones e universidades (y ganándolos,
por cierto).
Yo mismo hice una donación a Lorea de 1.500€ y obtuve otros 1.500€ para
poder seguir adelante (ya que por aquellas fechas no tenía soporte
familiar, ni de ningún tipo), a través de otro proyecto de software libre.
Es decir, Lorea tuvo deficit de gananciales desde sus inicios y
sobrevivió un tiempo gracias a las aportaciones de quienes la estaban
creando.
El problema está en que cuando se obtuvo el "superavit", ya no quedaba
gente en la parte técnica.
¿Quién o que se ha beneficiado de las donaciones?. Sin duda, un tema
largo y en el que no me voy a meter.
Sigo. También avisé que la cuenta de administración de n-1.cc estaba
siendo utilizada por tres personas, incluso para postear contenido y
para hablar en nombre de todo el proyecto y que ésto, además de
inapropiado en el simbolísmo de lo colectivo, era bastante inseguro
técnicamente (un link malicioso podría suponer un gran problema).
Sin embargo, de un día para otro y tras ser acusado de apropiarme del
proyecto, de mentir, de conspirar e incluso de amenazar con tirar abajo
servidores remotamente (cosa que parece ser un argumento contra mi, ya
que me ha pasado varias veces), fuí "retirado" de mis funciones y se
retiraron todas mis credenciales y accesos. Y lo que mas daño me hizo,
se retiró la palabra amable.
Cerrando éste punto, debo decir que recibí el apoyo y parte de la razón
muchos años después, como me pasó con el proyecto "netstrike" y las
críticas de alguna parte de la comunidad, antes de la aparición de
Anonymous. Pero para mi ya era tarde porque estaba con otras cosas.
También reconozco que parte de la culpa ha sido mía, ya que no he sabido
explicarme correctamente en muchas ocasiones y en otras no he sabido
interactuar emocionalmente de una forma correcta. Así que también asumo
mis fallos y pido perdón público por ellos.
Debemos recordar que antes que Lorea, estaba n-1. Ésta era una red
social (sin federar) que funcionó durante un tiempo, pero que quienes la
administraban tuvieron el fatal desenlace de perder todos los datos de
sus usuarios. Por lo que el proyecto murió.
Al poco tiempo y con respecto a la creación de un evento en Bilbao
(BOD09), yo mismo comencé a trabajar sobre Elgg y las redes sociales,
gracias a la experiencia recibida en un SummerLab que lo usó para
organizarse.
Tras entender el código, poner una red y comenzar a hackearlo, recibí
varias visitas de maestros en casa y comenzamos a diseñar Lorea como
meta-plan hacktivista.
Ni que decir tiene que no quiero atribuírme nada, ni que yo aportara más
o menos que nadie (aunque los commits ahí siguen), pero si que las
acontecimientos de creación quizás no quedaron bien explicados y que por
tanto, traerlos ahora puede ser interesante para entender todo.
Semanas después, se expuso el tema de n-1, también basado en Elgg y cuyo
debate aún seguía candente. Y encajaba perfectamente como "unidad" o
semilla, así que se comenzó a trabajar enseguida en que estuviera de
nuevo arriba, desde 0, pero ésta vez, conectada a otra redes.
Ya que Lorea no es una red, sino un plan de; "federación, distribución,
cifrado y solidaridad, entre redes". Un pegamento social.
Y así lo fué durante un tiempo de manera pragmática.
> además desde calafou estamos preparando un scraper[1] a forma de módulo
> de export.
> nos parecía importante dar a conocer ambas herramientas (ya sea el
> comunicado como el scraper).
Genial idea. Gracias.
> e igual estaría bien que la comunidad estuviera al tanto de como se han
> llevado las negociaciones para que el encargado de levantar las semillas
> las levantara. de momento sigue el servidor con los discos llenos.
Efectivamente.
Y si se puede ayudar de alguna forma, se agradecería saber de cual.
Tal vez podamos destinar alguna parte de la donación al hackmeeting para
dicha tarea.
Ya nos decís.
> igual podría ser un rápido relato de 5-10 minutos y un debate abierto
> mas extenso.
> quedamos abiertos a ideas y sugerencias.
Aquí las mías:
==============================================
La Arquitectura
Lorea consiste en una serie de parches de Elgg y de “plugins” pegados
desorganizadamente, depende de una configuración específica no
documentada, difícilmente reproducible y que actualmente ^[5]^ no está
funcionando.
-------------
Eso no es del todo correcto.
Lorea es más que Elgg y sus plugins. Técnicamente había muchos más
aspectos importantes que ese, como que todos los servidores tenían
criptas cifradas para almacenamiento, tanto de datos, como de backups y
que el nivel de paranoia en el trato de los servidores era bastante alto
y se diferenciaba en capas de acceso diferenciadas. Por ejemplo, las
semillas de desarrollo y otras que estaban en el mismo servidor que
Lorea, como era N-1, estaban en máquinas virtuales independientes y
correctamente protegidas.
Lorea también son varios scripts en diferentes lenguajes, que conectaban
y automatizaban procesos y tareas específicos de la arquitectura que
teníamos desplegada.
También el core de Elgg fue cambiado, de ahí que tuvieramos que hacer un
mantenimiento muy constante de cada actualización.
De hecho, hubo que saltar de la 1.7x a la 1.8, que era una versión muy
diferente y que fue una tarea altamente arriesgada.
Lo que quiero decir es que simplificar demasiado desprecia el trabajo
realizado y otros aspectos que quizás no se conozcan y son bastante
importantes.
-------------
El servidor
Al momento de escribir este párrafo, la máquina corre un Squeeze (Debian
old-stable ), y una version de OpenSSH vulnerable a ataques remotos.
Dudamos que tengan una version actualizada del bash, por lo que el
sistema es vulnerable al tristemente conocido “shell shock” que permite
ejecutar remotamente comandos en la máquina afectada.
-------------
No estoy al tanto de si se han producido migraciones a posteriori, así
que no puedo opinar con criterio.
-------------
El código
Además, la calidad del código de al menos algunos plugins, deja mucho
que desear. Tras un breve análisis, se han detectado una gran cantidad
de vulnerabilidades XSS ^[10]^. A parte de las vulnerabilidades, es
evidente una falta absoluta de planificación en el desarrollo del
código, donde se mezclan procesos con contenidos, se repite código en
vez de unificar y abstraer, casi nunca se filtran los datos introducidos
por los usuarios y no hay un flujo definido de los diversos procesos
comunes: presentación de formularios y acciones, recepción de las
entradas, presentación de resultados, acceso a la base de datos, etc.
Todo esto, a parte de inseguro, dificulta la programación: seguimiento,
corrección y ampliación.
-------------
¿Solo XSS?. Hahaha... ;-)
Efectivamente, el código de Elgg en general era bastante engorroso e
inseguro.
Yo mismo he corregido y reportado varios bugs en su día a la comunidad y
me he dado cuenta después de que existían algunos más, como el horrible
spam constante debido a que los spammers tenían muy avanzandos sus
programas de "bypass" para Elgg y éste, utilizaba un captcha muy
sencillo de romper, o lo sencillo que era tirar la base de datos
remotamente.
El código que hicimos nosotras, si te puedo decir que era dificil de
implementar sin dependencias de otros, debido a la programación
distribuída y a que los niveles de conocimientos entre los programadores
de entonces, eran diferentes.
Es importante en éste punto resaltar que en aquél tiempo, la comunidad
de Elgg estaba naciendo y tenía unos planes y una gente que "tiraba del
carro" y que eso cambió.
También que mucha gente comenzó a realizar los plugins de pago.
La alternativa a Elgg era Diaspora (que estaba naciendo y tenía muchos
más recursos económicos y mediáticos) o avanzar identi.ca hacia otras
capas que permitieran tener más datos y salir del microblogging. Por
cierto, de éste último proyecto se obtuvo Status.net.
-------------
Conclusión
Un análisis más profundo costaría demasiado tiempo que el proyecto no
merece tras el análisis simple. No podemos asegurar que los datos (la
base de datos al completo, con usuarios, correos y contraseñas incuídas)
no hayan sido robados ya por terceros. De hecho, debido al interés que
esta red debe haber despertado, casi podemos asegurar que todos los
datos han sido ya robados.
-------------
Ésto es muy importante. Quizás sea interesante apagar las máquinas y
mantener el contenido en almacenamiento físico hasta que se decida que
hacer.
De todas maneras, si la infraestructura es la misma que la que tuvo hace
años, con el sistema de criptas, el contenido debería de permanencer
seguro. Aquí al no saberlo, poco puedo aportar.
-------------
¿Se está realizando mantenimiento de Lorea?
No. Lorea no tiene ningún tipo de mantenimiento, el colectivo que creò
Lorea se ha disuelto hace tiempo. Incluso su web ^[1]^ está abandonada
desde hace mucho tiempo.
-------------
Toltamente correcto.
-------------
¿Lorea es una red social descentralizada?
No. Aunque se haya publicitado argumentando ser el motivo principal de
su creación, no se ha planificado ni implementado un protocolo de
descentralización o de federación.
-------------
¿Cómo que no?.
Lorea utiliza protocolos descentralizados y en algunas ocasiones
federados, para unir redes, contenidos y usuarios.
https://en.wikipedia.org/wiki/Comparison_of_software_and_protocols_for_distributed_social_networking
- OpenID, Activity Streams, PubSubHubbub, WebID...
- Working on: OStatus[55] (60% production), XMPP/psyc (50% development),
rdf+sparql (10% development)...
-------------
¿Lorea es seguro?
No. Su arquitectura centralizada hace que la “semilla” sea un punto de
ataque fácilmente individuable, y que una vez un ataque consigua
vulnerar ese unico punto de fallo todo el sistema es comprometido,
además la falta total de mantenimiento permite que fallos de seguridad
conocidos en sus componentes queden sin resolver abriendo la puerta a
cualquier tipo de ataque.
--------------
Atacar un servidor no es atacar al contenido, si éste ya ha sido
distribuído en otras redes. En eso consiste la estrategia de la
distribución para evitar perder información y la federación para
mantener las relaciones de metadatos y contenidos.
Es decir, si atacas una "semilla" se perderá la información que
únicamente ésta tenía y que no ha salido de ella.
Que no quiero decir que no sea importante, pero si que puede ser
publicada de nuevo por otros cauces de manera mucho más rápida. Por
ejemplo, llevando el contenido a redes afínes.
Había un plan conceptual por si eso sucedía.
--------------
¿Lorea respeta la privacidad del usuario?
Los datos del usuarios se guardan en una base de datos que sólo controla
el administrador del servidor, esto implica que el usuario pierde el
control de sus datos una vez que lleguen a Lorea.
--------------
¿Dónde se guarda la base de datos?. ¿Hay SQLi?. ¿Es únicamente la base
de datos lo que hace definir el "respeto" a la privacidad?. Etc..
No se, éste tipo de preguntas que salen en vuestro comunicado me parecen
bastante injustas.
De todas maneras, Lorea (en su concepción teórica) respeta la privacidad
y trata de trabajar lo máximo posible en la seguridad. Que son cosas
diferentes.
--------------
¿Lorea permite al usuario recuperar sus datos?
No. De cara al usuario Lorea no ofrece ninguna función que permita la
exportación de su datos y metadatos.
--------------
Hay que revisarlo. Pero creo que había algún plugin en Elgg para hacer
algunas cosas.
Quizás me confunda, pero si se que eso lo tuvimos en mente, porque justo
había una gente que había creado un sistema de "suicidio asistido" en
Facebook que proponía hacerlo desde la capa de cliente. Era algo
relacionado con arañas que mediante scripting recuperaban todo el
contenido de la red social comercial hacia el disco del usuario, pero
quizás me equivoque.
--------------
¿Lorea es un software libre?
Aunque no es fácil encontrarlo, podemos acceder al código de Lorea
colgado en github ^[2]^, en la web oficial ^[1]^ no se hace referencia
alguna al código y muchos de los plugins desarrollados no especifican la
licencia de uso. Además no hay ninguna documentación al respecto de como
desplegar una instancia de Lorea, motivo por el cual es un trabajo no
reutilizable y esto deja muchas dudas al respecto de su compatibilidad
práctica con la definición de software libre ^[3]^.
--------------
Uff. ¿Que duro ésto, no? :-)
Me da pereca tener que explicar cuales eran las condiciones para
entender los resultados y ser el único aquí que da la cara, pero las
licencias siempre han sido libres.
Y los creadores que yo conozco, siempre han apoyado y realizado todo su
trabajo y lo siguen haciendo, con software libre.
Ahora bien, que algún script no tenga la licencia, es más por la carga
de tareas que por otra cosa. "Reutiliza, pega y a programar".
--------------
¿Tendria sentido que la CIC siga manteniendo Lorea?
No. No hay ninguna documentación pública que describa la arquitectura
del software, podemos sólo especular encima de cuales fueron los
criterios de desarrollo de ese proyecto, además no hay ninguna
documentación que explique como instalar una instancia de Lorea en un
servidor. No tiene sentido en ningún caso que se intente alargar la
agonía de esta plataforma, y es muy contraproducente el efecto que
estaba teniendo en los últimos tiempos mantenerla “en vida” porque anima
a las personas a seguir utilizándola.
Que puede hacer la CIC al respecto de Lorea?
Al día de hoy solo disponemos de una copia parcial y no actualizada de
los datos de los usuarios. Lo que parece mas razonable es tratar de dar
acceso a los usuarios a esos datos, en modalidad de sola lectura, por un
tiempo limitado (por ejemplo: 6 meses) tiempo en el cual los interesados
podrían copiar sus archivos y contenidos. Aunque creemos firmemente que
si existe un administrador, éste debería de ser el encargado de levantar
los servicios, avisar la comunidad y proporcionar una manera de
recuperar los datos. Además la CIC podría publicar avisos diciendo que
no apoya Lorea por causa del incumplimiento de los principios fundantes
del proyecto.
--------------
Nada que opinar, ya que parece una decisión de la CIC.
--------------
¿Hay alternativas a Lorea?
Lorea incorpora muchos plugins y muchas veces de forma desorganizada, la
mayoría de los usuarios no hacen un uso completo de la plataforma y se
limitan a acceder a contenidos y documentos colgados por pocos usuarios
más expertos. En esta situación, lo que nos parece más apropriado es que
antes de buscar un software alternativo tendríamos que tener claro qué
necesitamos. Para llegar a tener claro qué necesitamos dentro del ámbito
de la Cooperativa Integral Catalana, se necesita mucha reflexión y análisis.
--------------
La que más se ajusta en la actualidad y además es muy sencilla de
desplegar es: GNUSocial.
Además como ya he comentado, se intercambiaron correos con el doctor
Stallman al respecto de ambos proyectos y la posibilidad de unificarlos.
Al final no se llegó a una conclusión directa, aunque si explicó como
estaba pensada Lorea y que protocolos usaba para que se tuviera en
cuenta. Así como, se participó en algunos foros, charlas y listas de
correo, con opiniones y código.
--------------
¿Que impacto social ha tenido Lorea?
A día de hoy ^[5]^ no hay un análisis fiable sobre el impacto social
real que esta herramienta ha tenido.
--------------
¿Que impacto social ha tenido el 15M?.
No se, digo por saber si existen "análisis fiables" sobre dicho
acontecimiento o meros relatos subjetivos que se interconectan hacia
futuro a través de la sinergía del propio símbolo.
--------------
Sobre el proceso de olvido de una identidad comunitaria
"Error 504: Gateway timeout - estamos olvidando tus recuerdos". Para
muchos proyectos y comunidades, ya fueran físicas o virtuales, Lorea fue
una apuesta para construir, carácter por carácter, una identidad en la
red lejos del ojo de Mordor. Cuando un proyecto, habitante, comunidad
plantea el problema de la identidad, al fin y al cabo plantea también el
problema de la memoria. Véase proyectos como Calafou, que apostaron por
Lorea para generar la memoria colectiva de su comunidad documentando
paso a paso su pequeña historia. Ahora el problema al que se enfrentan
comunidades que tomaron esta elección no es más cómo seguirán
contruyendo su memoria ni dónde, sino ¿qué esfuerzo será necesario para
no caer en el olvido de su propria historia?, ¿con qué confianza
volverán a escribir públicamente sus recuerdos?, y en última instancia
¿qué quieren estas comunidades al momento de constituir una identidad,
si la identidad es estructuralmente frágil y la memoria por ende
amnésica? Y por cierto, ¿estuvimos algun día lejos de Mordor en Lorea?
--------------
Ácido y duro comentario. Pero creo que tiene parte de razón en la queja.
Efectivamente, mantener el contenido y la memoria es una carrera de muy
larga distancia y que requiere mucha resistencia.
Tenemos el ejemplo actuál de SD, pero hay otros pasados y futuros.
Éste punto me gustaría hablarlo por otros cauces.
--------------
Sobre el incumplimiento de promesas a la comunidad
Desde la perspectiva de la comisión informática tenemos una opinión
negativa de este proceso. Desde el principio Lorea ha sido publicitado
como “social network descentralizado del pueblo, para el pueblo”, sin
embargo, es un proyecto abandonado y ni siquiera existe un comunicado
que explique las razones. Prácticamente, no han cumplido ninguna de las
promesas de seguridad, descentralización etc. etc. gracias a las cuales
ha captado la ilusión, confianza y las donaciones de much@s
usuari@s y activistas.
--------------
Insisto. Creo que estáis siendo muy injustos e incomprensivos con el
proyecto Lorea en una línea de tiempo.
Es decir, se cumplió la promesa un tiempo y se dejo de cumplir cuando se
rompió la confianza entre quienes más aportaban a dicha promesa.
Fue algo del sistema emocional colectivo, que destruyó la parte técnica
y su planificación estrategica a largo plazo.
Triste, pero así lo veo yo.
Ahora, lo que ha pasado después de que yo me fuera, no puedo opinar
porque me fuí bastante desilusionado y dolido y no quise saber más.
De hecho, ese año recuerdo que ni fuí, ni tuve ganas de ir al Hackmeeting.
Debo decirlo alto y claro: Me sentí altamente traicionado.
Como también me he vuelto a sentir así con otra gente en otros proyectos
distintos a Lorea.
Pero, que se le va a hacer. Prometer es una responsabilidad muy alta. Y
la gente, promete sin pensar.
Por no alargamr en el plano sentimental, dejo una reflexión para quien
la quiera:
"Cuídate de pedir un deseo, no sea que éste se cumpla. Cuídate de hacer
una promesa, no sea que se convierta en deseo."
--------------
Sobre el uso de los donativos y la devolución a los commons
Parece que este proceso ha sido un experimento muy caro, en el que se ha
contribuido de muchas formas y del cual hemos obtenido muy poco
beneficio, el único resultado que consideramos válido y cierto es la
posibilidad de aprender a invertir los recursos del común con más
cuidado. A no mirar sólo a las buenas intenciones que nos venden si no a
hacer estudios de factibilidad y análisis de sustentabilidad antes de
dedicar tantos recursos a realizar castillos en el aire. No podemos
limitar por falta de recursos a proyectos con mejores posibilidades,
mientras se derrochan en proyectos no viables. Aún teniendo pocas
informaciones podemos hacer un breve incompleto listado de los costes
económicos y sociales de este proyecto:
Más de 312BTC en donaciones recibidas ^[7],[6]^.
180 Flattr ^[8]+[9], [6]^.
Varias asignaciones por parte de la CIC. ^[cita requerida]^
Decenas de miles de usuarios han perdido sus datos.
¿Qué credibilidad tendremos la próxima vez que le hablemos a la gente
sobre un “social network descentralizado del pueblo, para el pueblo”?
--------------
+1
Efectivamente. Aquí estoy de acuerdo. Quizás haya que echar cuentas y
devolver lo que pertenece a otros lugares. Lo que puedo aportar es que
en mi caso, nunca tuve acceso a nada relacionado con la financiación de
Lorea, ya que las cuentas las gestionaba otra gente. No voy a entrar más
a detalle por aquí.
Como final decir que eso "del pueblo, para el pueblo", era de n-1, no de
Lorea. Veo que no me hizo caso en separarlos a tiempo y las
consecuencias y la distorsión, perdúran.
El primer lema de Lorea entre pacharanes fué: "Squatting networks.
Hacking squares!".
Gracias por leer hasta aquí.
Besos.
> -----------------------------
> [0] https://gitlab.com/cooperativa-integral-catalana/comunicado-lorea/blob/master/comunicadolorea.asciidoc
> [1] https://gitlab.com/calafou/uzta
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20151014/56ae8875/attachment.pgp>
Más información sobre la lista de distribución HackMeeting