> buenas a todas! Aupa efkin,
> despues de una experiencia un poco controvertida por parte de varios > colectivos frente a las semillas de lorea 'n-1' y 'ecoxarxes' desde la > CICIC hemos escrito este comunicado[0]. Debo decir que, aunque entiendo que hacerlo sirva para plasmar la frustración y tratar de empujar a la gente a que realice un último esfuerzo en "salvar los trastos", mi opinión es que lo que pone no es del todo correcto, ni en los puntos técnicos, ni en el análisis de la evolución del proyecto. Te contesto poniendo en copia al hackmeeting ya que lo has expuesto aquí y te invito a charlar en Mumble (u otro medio) para poder expresarme/nos de manera más fluída. Para quien quiera dejar de leer o no pueda ver la carga entrelíneas que contiene mi opinión, ésta frase popular lo resume: "Nunca es tarde si la dicha es buena". ------------------------------------------ Sobre el comunicado... Mira. Yo también escribí uno hace tiempo de manera poco acertada en mi perfil de n-1, advirtiendo de la deriva que estaba tomando Lorea, con respecto a lo que, bajo mi impresión como activo del proyecto durante aquellas fechas, parecía un "secuestro" que determinada gente (por cierto aquí presente) estaba realizando del proyecto. Quizás revisar que ha obtenido dicha gente a cambio, como por ejemplo; donde está ahora, para quien trabaja, que puertas abrieron para uso personal, etc... al respecto de haber pertenecido a Lorea, nos sirva para identificar mejor y diferenciar entre quienes "creían" en el proyecto y dedicaban su día a día de manera constante y altruísta al mismo y quienes simplemente lo "usaban". Sin entrar en conflictos personales que no vienen a tiempo y tratando de no ser incendiario públicamente para no "restar", considero que aún hay temas que aclarar de manera colectiva e individual y a poder ser, de viva voz y con una actitud positiva. Con los años y la experiencia he ido aprendiendo muchas cosas y memorizando otras. Entre las segundas, tengo las caras, nombres y referencias de varios supuestos "hacktivistas" perimetrales al hackmeeting, hombres y mujeres, con los que me he ido topando en la vida y de los que he visto como actuán y como son en su vida personal. Y la verdad, he realizado que la frase; "el tiempo pondrá a cada una en su sitio" no es del todo correcta, ya que para mi, "el tiempo pone a la gente en caminos y no en lugares concretos". Y los hechos, esos son verdades irrefutables. Pero como ya he dicho antes, no es tiempo de juzgar y exponer, aún. Por cierto, el delito de difamación, se paga a la larga... Siguiendo con el tema del comunicado que hice (que fue borrado) y los hechos históricos, personalmente siempre defendí que Lorea debía ser algo diferente a n-1, para diferenciar el proyecto político, de la técnica. Básicamente, estaba convencido de que las espectativas en tiempo con respecto a la programación del código, comenzaban a ser distantes de los planes de organización. Y eso, a medio largo plazo, iba a ser un gran problema (a los hechos me remito). También recuerdo haber sido bastante crítico con el tema de los recursos y donaciones, que nunca llegaban a la base productiva (programadores, etc), para que éstos lo usaran para comer, viajar, etc y se destinaba a otras inversiones (ojo, también muy importantes, pero en ocasiones no prioritarias). Así que creo que esa parte de la gestión productiva también tuvo fallos que han sido muy dañinos a la larga. Por ejemplo, por culpa del tema de no tener recursos, la gente que estaba en la parte más técnica, tuvo que empezar a buscar otras maneras de financiarse, como por ejemplo, programando otras aplicaciones y presentándose a concursos en fundaciones e universidades (y ganándolos, por cierto). Yo mismo hice una donación a Lorea de 1.500€ y obtuve otros 1.500€ para poder seguir adelante (ya que por aquellas fechas no tenía soporte familiar, ni de ningún tipo), a través de otro proyecto de software libre. Es decir, Lorea tuvo deficit de gananciales desde sus inicios y sobrevivió un tiempo gracias a las aportaciones de quienes la estaban creando. El problema está en que cuando se obtuvo el "superavit", ya no quedaba gente en la parte técnica. ¿Quién o que se ha beneficiado de las donaciones?. Sin duda, un tema largo y en el que no me voy a meter. Sigo. También avisé que la cuenta de administración de n-1.cc estaba siendo utilizada por tres personas, incluso para postear contenido y para hablar en nombre de todo el proyecto y que ésto, además de inapropiado en el simbolísmo de lo colectivo, era bastante inseguro técnicamente (un link malicioso podría suponer un gran problema). Sin embargo, de un día para otro y tras ser acusado de apropiarme del proyecto, de mentir, de conspirar e incluso de amenazar con tirar abajo servidores remotamente (cosa que parece ser un argumento contra mi, ya que me ha pasado varias veces), fuí "retirado" de mis funciones y se retiraron todas mis credenciales y accesos. Y lo que mas daño me hizo, se retiró la palabra amable. Cerrando éste punto, debo decir que recibí el apoyo y parte de la razón muchos años después, como me pasó con el proyecto "netstrike" y las críticas de alguna parte de la comunidad, antes de la aparición de Anonymous. Pero para mi ya era tarde porque estaba con otras cosas. También reconozco que parte de la culpa ha sido mía, ya que no he sabido explicarme correctamente en muchas ocasiones y en otras no he sabido interactuar emocionalmente de una forma correcta. Así que también asumo mis fallos y pido perdón público por ellos. Debemos recordar que antes que Lorea, estaba n-1. Ésta era una red social (sin federar) que funcionó durante un tiempo, pero que quienes la administraban tuvieron el fatal desenlace de perder todos los datos de sus usuarios. Por lo que el proyecto murió. Al poco tiempo y con respecto a la creación de un evento en Bilbao (BOD09), yo mismo comencé a trabajar sobre Elgg y las redes sociales, gracias a la experiencia recibida en un SummerLab que lo usó para organizarse. Tras entender el código, poner una red y comenzar a hackearlo, recibí varias visitas de maestros en casa y comenzamos a diseñar Lorea como meta-plan hacktivista. Ni que decir tiene que no quiero atribuírme nada, ni que yo aportara más o menos que nadie (aunque los commits ahí siguen), pero si que las acontecimientos de creación quizás no quedaron bien explicados y que por tanto, traerlos ahora puede ser interesante para entender todo. Semanas después, se expuso el tema de n-1, también basado en Elgg y cuyo debate aún seguía candente. Y encajaba perfectamente como "unidad" o semilla, así que se comenzó a trabajar enseguida en que estuviera de nuevo arriba, desde 0, pero ésta vez, conectada a otra redes. Ya que Lorea no es una red, sino un plan de; "federación, distribución, cifrado y solidaridad, entre redes". Un pegamento social. Y así lo fué durante un tiempo de manera pragmática. > además desde calafou estamos preparando un scraper[1] a forma de módulo > de export. > nos parecía importante dar a conocer ambas herramientas (ya sea el > comunicado como el scraper). Genial idea. Gracias. > e igual estaría bien que la comunidad estuviera al tanto de como se han > llevado las negociaciones para que el encargado de levantar las semillas > las levantara. de momento sigue el servidor con los discos llenos. Efectivamente. Y si se puede ayudar de alguna forma, se agradecería saber de cual. Tal vez podamos destinar alguna parte de la donación al hackmeeting para dicha tarea. Ya nos decís. > igual podría ser un rápido relato de 5-10 minutos y un debate abierto > mas extenso. > quedamos abiertos a ideas y sugerencias. Aquí las mías: ============================================== La Arquitectura Lorea consiste en una serie de parches de Elgg y de “plugins” pegados desorganizadamente, depende de una configuración específica no documentada, difícilmente reproducible y que actualmente ^[5]^ no está funcionando. ------------- Eso no es del todo correcto. Lorea es más que Elgg y sus plugins. Técnicamente había muchos más aspectos importantes que ese, como que todos los servidores tenían criptas cifradas para almacenamiento, tanto de datos, como de backups y que el nivel de paranoia en el trato de los servidores era bastante alto y se diferenciaba en capas de acceso diferenciadas. Por ejemplo, las semillas de desarrollo y otras que estaban en el mismo servidor que Lorea, como era N-1, estaban en máquinas virtuales independientes y correctamente protegidas. Lorea también son varios scripts en diferentes lenguajes, que conectaban y automatizaban procesos y tareas específicos de la arquitectura que teníamos desplegada. También el core de Elgg fue cambiado, de ahí que tuvieramos que hacer un mantenimiento muy constante de cada actualización. De hecho, hubo que saltar de la 1.7x a la 1.8, que era una versión muy diferente y que fue una tarea altamente arriesgada. Lo que quiero decir es que simplificar demasiado desprecia el trabajo realizado y otros aspectos que quizás no se conozcan y son bastante importantes. ------------- El servidor Al momento de escribir este párrafo, la máquina corre un Squeeze (Debian old-stable ), y una version de OpenSSH vulnerable a ataques remotos. Dudamos que tengan una version actualizada del bash, por lo que el sistema es vulnerable al tristemente conocido “shell shock” que permite ejecutar remotamente comandos en la máquina afectada. ------------- No estoy al tanto de si se han producido migraciones a posteriori, así que no puedo opinar con criterio. ------------- El código Además, la calidad del código de al menos algunos plugins, deja mucho que desear. Tras un breve análisis, se han detectado una gran cantidad de vulnerabilidades XSS ^[10]^. A parte de las vulnerabilidades, es evidente una falta absoluta de planificación en el desarrollo del código, donde se mezclan procesos con contenidos, se repite código en vez de unificar y abstraer, casi nunca se filtran los datos introducidos por los usuarios y no hay un flujo definido de los diversos procesos comunes: presentación de formularios y acciones, recepción de las entradas, presentación de resultados, acceso a la base de datos, etc. Todo esto, a parte de inseguro, dificulta la programación: seguimiento, corrección y ampliación. ------------- ¿Solo XSS?. Hahaha... ;-) Efectivamente, el código de Elgg en general era bastante engorroso e inseguro. Yo mismo he corregido y reportado varios bugs en su día a la comunidad y me he dado cuenta después de que existían algunos más, como el horrible spam constante debido a que los spammers tenían muy avanzandos sus programas de "bypass" para Elgg y éste, utilizaba un captcha muy sencillo de romper, o lo sencillo que era tirar la base de datos remotamente. El código que hicimos nosotras, si te puedo decir que era dificil de implementar sin dependencias de otros, debido a la programación distribuída y a que los niveles de conocimientos entre los programadores de entonces, eran diferentes. Es importante en éste punto resaltar que en aquél tiempo, la comunidad de Elgg estaba naciendo y tenía unos planes y una gente que "tiraba del carro" y que eso cambió. También que mucha gente comenzó a realizar los plugins de pago. La alternativa a Elgg era Diaspora (que estaba naciendo y tenía muchos más recursos económicos y mediáticos) o avanzar identi.ca hacia otras capas que permitieran tener más datos y salir del microblogging. Por cierto, de éste último proyecto se obtuvo Status.net. ------------- Conclusión Un análisis más profundo costaría demasiado tiempo que el proyecto no merece tras el análisis simple. No podemos asegurar que los datos (la base de datos al completo, con usuarios, correos y contraseñas incuídas) no hayan sido robados ya por terceros. De hecho, debido al interés que esta red debe haber despertado, casi podemos asegurar que todos los datos han sido ya robados. ------------- Ésto es muy importante. Quizás sea interesante apagar las máquinas y mantener el contenido en almacenamiento físico hasta que se decida que hacer. De todas maneras, si la infraestructura es la misma que la que tuvo hace años, con el sistema de criptas, el contenido debería de permanencer seguro. Aquí al no saberlo, poco puedo aportar. ------------- ¿Se está realizando mantenimiento de Lorea? No. Lorea no tiene ningún tipo de mantenimiento, el colectivo que creò Lorea se ha disuelto hace tiempo. Incluso su web ^[1]^ está abandonada desde hace mucho tiempo. ------------- Toltamente correcto. ------------- ¿Lorea es una red social descentralizada? No. Aunque se haya publicitado argumentando ser el motivo principal de su creación, no se ha planificado ni implementado un protocolo de descentralización o de federación. ------------- ¿Cómo que no?. Lorea utiliza protocolos descentralizados y en algunas ocasiones federados, para unir redes, contenidos y usuarios. https://en.wikipedia.org/wiki/Comparison_of_software_and_protocols_for_distributed_social_networking - OpenID, Activity Streams, PubSubHubbub, WebID... - Working on: OStatus[55] (60% production), XMPP/psyc (50% development), rdf+sparql (10% development)... ------------- ¿Lorea es seguro? No. Su arquitectura centralizada hace que la “semilla” sea un punto de ataque fácilmente individuable, y que una vez un ataque consigua vulnerar ese unico punto de fallo todo el sistema es comprometido, además la falta total de mantenimiento permite que fallos de seguridad conocidos en sus componentes queden sin resolver abriendo la puerta a cualquier tipo de ataque. -------------- Atacar un servidor no es atacar al contenido, si éste ya ha sido distribuído en otras redes. En eso consiste la estrategia de la distribución para evitar perder información y la federación para mantener las relaciones de metadatos y contenidos. Es decir, si atacas una "semilla" se perderá la información que únicamente ésta tenía y que no ha salido de ella. Que no quiero decir que no sea importante, pero si que puede ser publicada de nuevo por otros cauces de manera mucho más rápida. Por ejemplo, llevando el contenido a redes afínes. Había un plan conceptual por si eso sucedía. -------------- ¿Lorea respeta la privacidad del usuario? Los datos del usuarios se guardan en una base de datos que sólo controla el administrador del servidor, esto implica que el usuario pierde el control de sus datos una vez que lleguen a Lorea. -------------- ¿Dónde se guarda la base de datos?. ¿Hay SQLi?. ¿Es únicamente la base de datos lo que hace definir el "respeto" a la privacidad?. Etc.. No se, éste tipo de preguntas que salen en vuestro comunicado me parecen bastante injustas. De todas maneras, Lorea (en su concepción teórica) respeta la privacidad y trata de trabajar lo máximo posible en la seguridad. Que son cosas diferentes. -------------- ¿Lorea permite al usuario recuperar sus datos? No. De cara al usuario Lorea no ofrece ninguna función que permita la exportación de su datos y metadatos. -------------- Hay que revisarlo. Pero creo que había algún plugin en Elgg para hacer algunas cosas. Quizás me confunda, pero si se que eso lo tuvimos en mente, porque justo había una gente que había creado un sistema de "suicidio asistido" en Facebook que proponía hacerlo desde la capa de cliente. Era algo relacionado con arañas que mediante scripting recuperaban todo el contenido de la red social comercial hacia el disco del usuario, pero quizás me equivoque. -------------- ¿Lorea es un software libre? Aunque no es fácil encontrarlo, podemos acceder al código de Lorea colgado en github ^[2]^, en la web oficial ^[1]^ no se hace referencia alguna al código y muchos de los plugins desarrollados no especifican la licencia de uso. Además no hay ninguna documentación al respecto de como desplegar una instancia de Lorea, motivo por el cual es un trabajo no reutilizable y esto deja muchas dudas al respecto de su compatibilidad práctica con la definición de software libre ^[3]^. -------------- Uff. ¿Que duro ésto, no? :-) Me da pereca tener que explicar cuales eran las condiciones para entender los resultados y ser el único aquí que da la cara, pero las licencias siempre han sido libres. Y los creadores que yo conozco, siempre han apoyado y realizado todo su trabajo y lo siguen haciendo, con software libre. Ahora bien, que algún script no tenga la licencia, es más por la carga de tareas que por otra cosa. "Reutiliza, pega y a programar". -------------- ¿Tendria sentido que la CIC siga manteniendo Lorea? No. No hay ninguna documentación pública que describa la arquitectura del software, podemos sólo especular encima de cuales fueron los criterios de desarrollo de ese proyecto, además no hay ninguna documentación que explique como instalar una instancia de Lorea en un servidor. No tiene sentido en ningún caso que se intente alargar la agonía de esta plataforma, y es muy contraproducente el efecto que estaba teniendo en los últimos tiempos mantenerla “en vida” porque anima a las personas a seguir utilizándola. Que puede hacer la CIC al respecto de Lorea? Al día de hoy solo disponemos de una copia parcial y no actualizada de los datos de los usuarios. Lo que parece mas razonable es tratar de dar acceso a los usuarios a esos datos, en modalidad de sola lectura, por un tiempo limitado (por ejemplo: 6 meses) tiempo en el cual los interesados podrían copiar sus archivos y contenidos. Aunque creemos firmemente que si existe un administrador, éste debería de ser el encargado de levantar los servicios, avisar la comunidad y proporcionar una manera de recuperar los datos. Además la CIC podría publicar avisos diciendo que no apoya Lorea por causa del incumplimiento de los principios fundantes del proyecto. -------------- Nada que opinar, ya que parece una decisión de la CIC. -------------- ¿Hay alternativas a Lorea? Lorea incorpora muchos plugins y muchas veces de forma desorganizada, la mayoría de los usuarios no hacen un uso completo de la plataforma y se limitan a acceder a contenidos y documentos colgados por pocos usuarios más expertos. En esta situación, lo que nos parece más apropriado es que antes de buscar un software alternativo tendríamos que tener claro qué necesitamos. Para llegar a tener claro qué necesitamos dentro del ámbito de la Cooperativa Integral Catalana, se necesita mucha reflexión y análisis. -------------- La que más se ajusta en la actualidad y además es muy sencilla de desplegar es: GNUSocial. Además como ya he comentado, se intercambiaron correos con el doctor Stallman al respecto de ambos proyectos y la posibilidad de unificarlos. Al final no se llegó a una conclusión directa, aunque si explicó como estaba pensada Lorea y que protocolos usaba para que se tuviera en cuenta. Así como, se participó en algunos foros, charlas y listas de correo, con opiniones y código. -------------- ¿Que impacto social ha tenido Lorea? A día de hoy ^[5]^ no hay un análisis fiable sobre el impacto social real que esta herramienta ha tenido. -------------- ¿Que impacto social ha tenido el 15M?. No se, digo por saber si existen "análisis fiables" sobre dicho acontecimiento o meros relatos subjetivos que se interconectan hacia futuro a través de la sinergía del propio símbolo. -------------- Sobre el proceso de olvido de una identidad comunitaria "Error 504: Gateway timeout - estamos olvidando tus recuerdos". Para muchos proyectos y comunidades, ya fueran físicas o virtuales, Lorea fue una apuesta para construir, carácter por carácter, una identidad en la red lejos del ojo de Mordor. Cuando un proyecto, habitante, comunidad plantea el problema de la identidad, al fin y al cabo plantea también el problema de la memoria. Véase proyectos como Calafou, que apostaron por Lorea para generar la memoria colectiva de su comunidad documentando paso a paso su pequeña historia. Ahora el problema al que se enfrentan comunidades que tomaron esta elección no es más cómo seguirán contruyendo su memoria ni dónde, sino ¿qué esfuerzo será necesario para no caer en el olvido de su propria historia?, ¿con qué confianza volverán a escribir públicamente sus recuerdos?, y en última instancia ¿qué quieren estas comunidades al momento de constituir una identidad, si la identidad es estructuralmente frágil y la memoria por ende amnésica? Y por cierto, ¿estuvimos algun día lejos de Mordor en Lorea? -------------- Ácido y duro comentario. Pero creo que tiene parte de razón en la queja. Efectivamente, mantener el contenido y la memoria es una carrera de muy larga distancia y que requiere mucha resistencia. Tenemos el ejemplo actuál de SD, pero hay otros pasados y futuros. Éste punto me gustaría hablarlo por otros cauces. -------------- Sobre el incumplimiento de promesas a la comunidad Desde la perspectiva de la comisión informática tenemos una opinión negativa de este proceso. Desde el principio Lorea ha sido publicitado como “social network descentralizado del pueblo, para el pueblo”, sin embargo, es un proyecto abandonado y ni siquiera existe un comunicado que explique las razones. Prácticamente, no han cumplido ninguna de las promesas de seguridad, descentralización etc. etc. gracias a las cuales ha captado la ilusión, confianza y las donaciones de much@s usuari@s y activistas. -------------- Insisto. Creo que estáis siendo muy injustos e incomprensivos con el proyecto Lorea en una línea de tiempo. Es decir, se cumplió la promesa un tiempo y se dejo de cumplir cuando se rompió la confianza entre quienes más aportaban a dicha promesa. Fue algo del sistema emocional colectivo, que destruyó la parte técnica y su planificación estrategica a largo plazo. Triste, pero así lo veo yo. Ahora, lo que ha pasado después de que yo me fuera, no puedo opinar porque me fuí bastante desilusionado y dolido y no quise saber más. De hecho, ese año recuerdo que ni fuí, ni tuve ganas de ir al Hackmeeting. Debo decirlo alto y claro: Me sentí altamente traicionado. Como también me he vuelto a sentir así con otra gente en otros proyectos distintos a Lorea. Pero, que se le va a hacer. Prometer es una responsabilidad muy alta. Y la gente, promete sin pensar. Por no alargamr en el plano sentimental, dejo una reflexión para quien la quiera: "Cuídate de pedir un deseo, no sea que éste se cumpla. Cuídate de hacer una promesa, no sea que se convierta en deseo." -------------- Sobre el uso de los donativos y la devolución a los commons Parece que este proceso ha sido un experimento muy caro, en el que se ha contribuido de muchas formas y del cual hemos obtenido muy poco beneficio, el único resultado que consideramos válido y cierto es la posibilidad de aprender a invertir los recursos del común con más cuidado. A no mirar sólo a las buenas intenciones que nos venden si no a hacer estudios de factibilidad y análisis de sustentabilidad antes de dedicar tantos recursos a realizar castillos en el aire. No podemos limitar por falta de recursos a proyectos con mejores posibilidades, mientras se derrochan en proyectos no viables. Aún teniendo pocas informaciones podemos hacer un breve incompleto listado de los costes económicos y sociales de este proyecto: Más de 312BTC en donaciones recibidas ^[7],[6]^. 180 Flattr ^[8]+[9], [6]^. Varias asignaciones por parte de la CIC. ^[cita requerida]^ Decenas de miles de usuarios han perdido sus datos. ¿Qué credibilidad tendremos la próxima vez que le hablemos a la gente sobre un “social network descentralizado del pueblo, para el pueblo”? -------------- +1 Efectivamente. Aquí estoy de acuerdo. Quizás haya que echar cuentas y devolver lo que pertenece a otros lugares. Lo que puedo aportar es que en mi caso, nunca tuve acceso a nada relacionado con la financiación de Lorea, ya que las cuentas las gestionaba otra gente. No voy a entrar más a detalle por aquí. Como final decir que eso "del pueblo, para el pueblo", era de n-1, no de Lorea. Veo que no me hizo caso en separarlos a tiempo y las consecuencias y la distorsión, perdúran. El primer lema de Lorea entre pacharanes fué: "Squatting networks. Hacking squares!". Gracias por leer hasta aquí. Besos. > ----------------------------- > [0] > https://gitlab.com/cooperativa-integral-catalana/comunicado-lorea/blob/master/comunicadolorea.asciidoc > [1] https://gitlab.com/calafou/uzta
signature.asc
Description: OpenPGP digital signature
_______________________________________________ HackMeeting mailing list HackMeeting@listas.sindominio.net https://listas.sindominio.net/mailman/listinfo/hackmeeting
