El acceso no es suficiente

La tecnología se ha convertido en un aspecto fundamental para el futuro de las instituciones educativas, no importa cuan grandes y cuan diversas sean, por ello hoy nos toca hablar de las posibles necesidades de las mismas y la forman en que estas pueden quedar cubiertas.

Como ejecutivo que viaja, tengo el privilegio de escuchar las opiniones de las escuelas en gran parte de la región sobre tecnología en la educación. En unos pocos días voy a asistir a una conferencia de educación superior (Tical 2017 en Costa Rica), compartiendo la visión que he obtenido de mi experiencia en sector educativo, esto es algo emocionante.

En dicha reunión compartiré mis puntos de vista sobre las distintas soluciones de comunicación y el acceso unificado con los miembros apasionados de esta gran conferencia.  Aquí, cientos de tecnólogos de educación superior y los tomadores de decisiones se verán para hacer frente a los retos de colegios y universidades cuando se trata de la utilización práctica y el futuro del papel de la tecnología en la educación.

De mis participaciones en diversos eventos de este tipo veo que las tecnologías de la información en la educación superior ha llegado a un punto de inflexión, el punto en el que las tendencias que dominaron el liderazgo han motivado a los primeros usuarios y ahora son corriente principal.

En mis visitas por la región, algunas veces visitando escuelas y universidades de varios tamaños, soy muy consciente del impacto de la tecnología en las operaciones fundamentales y en el éxito de estas instituciones. Puedo decir con seguridad que las TI se han convertido en pieza fundamental para la educación superior. Los estudiantes universitarios de hoy son algunos de los nativos digitales más ávidos que nunca vi.

Así que se podría decir: Sí, la tecnología en un campus universitario… Está ahí, tiene que estar allí. Pero… ¿Qué hay de nuevo? ¿Por qué tanto alboroto? Ya no se trata de una universidad que tiene las capacidades tecnológicas básicas. El 60% de los estudiantes dicen que ni siquiera se fijan en una universidad si no tiene conexión Wi-Fi en todas partes. Se necesita hacer más que eso.

¿Qué está haciendo la escuela para mantenerse por delante, dado que estudiantes, profesores y personal de la escuela esperan más cada día? ¿Qué haces como institución educativa para proporcionar una experiencia personalizada y conectada en esa institución? Todo es cuestión de equilibrio. ¿Qué hacemos para satisfacer las expectativas de los estudiantes y de sus profesores? Para mantener una gran relación calidad-precio? ¿Nuestra innovación retiene al estudiante más tiempo, y ayuda a garantizar a los estudiantes una carrera? O al menos un buen impacto para conseguir una?

Gracias a estos cuestionamientos los mejores profesionales de la educación de TI han cambiado su enfoque. Ahora su foco es menor en problemas técnicos tácticos y más a problemas de negocio, más estratégicos y que marcan la diferencia en el balance final. Después de todo, el dinero manda.

¿Puede el departamento de TI, con recursos insuficientes de estos centros educativos tener una voz estratégica? La buena noticia, y se verá en eventos como el de Costa Rica, y es que la tecnología de la educación, y los avances en el aprendizaje mixto, las oportunidades que ofrecen los MOOCs y la adopción de las herramientas digitales en el aula significan que la marea cambia.

Hay tres áreas que los profesionales TI de la educación superior deben tener en cuenta y ayudan a demostrar el valor estratégico de la TI en la evolución de una organización educativa.

Utilizar la tecnología innovadora para ofrecer una experiencia personalizada conectada (estudiante /facultad). Una experiencia de conexión personalizada es la capacidad para que los estudiantes y profesores accedan a contenidos y aplicaciones sin problemas, usando sus dispositivos preferidos, desde teléfonos móviles a tabletas, en cualquier lugar, en cualquier momento, conectado a una nueva generación de redes inteligentes y cursos en la nube.

Esta es una manera perfecta de TI para ayudar a impulsar la innovación y la creación de valor en lo que respecta a la razón para que  un estudiante asista y a la razón de los maestros para educar. Una experiencia de conexión personalizada puede ser lo que diferencia a su escuela de todos los otros colegios.

Por ejemplo: un estudiante llega en su primer día. Escanea un código QR y el dispositivo se conecta de inmediato a la red de la universidad, sus registros se actualizan automáticamente, y recibe una aplicación de la universidad, con su horario personalizado, incluso su información de residencia. Lo que les permite (al alumno y a sus padres) centrarse en esos primeros días de su separación, sin otras preocupaciones.

Hacer que TI sea estratégica para el éxito de la universidad. Al conducir el éxito educativo y la solidez financiera mediante la tecnología, se convierte en un factor crítico para las operaciones generales de una universidad. La tecnología rica en innovación de hoy ofrece un soporte que cumpla con las nuevas expectativas de estudiantes y profesores.

Tecnología con modelos de consumo: es una manera de equilibrar el avance de la tecnología y reducir los costos. Las soluciones que se adaptan para satisfacer las necesidades únicas de sus entornos de educación son las que ayudan a las estrategias de TI que conducen al éxito del estudiante. Por ejemplo, puede ser un producto de primera calidad con un precio asequible y con un costo total de propiedad aún más bajo.

Este cambio estratégico reduce el costo por estudiante y ayuda a mantener su escuela como una opción cuando un estudiante de escuela preparatoria está evaluando a qué universidad ir. Como ejemplo la Universidad del Estado de California (CSU, que ahorra 100 millones de dólares de los contribuyentes de esta manera). Añadir nuevos avances en técnicas automatizadas, tales como equipos de auto restauración, herramientas de despliegue de SDN y la interoperabilidad con las marcas predominantes, hace que una universidad puede ahorrar significativamente y ayudar a conseguir tasas más bajas.

Impulsar la colaboración en tiempo real que conduce al éxito de la enseñanza y el aprendizaje de la experiencia de los estudiantes. Los profesionales de TI deben tener en cuenta la evolución de la forma en que las personas se comunican en la educación superior, aprovechando el entorno de tecnología de la información y las comunicaciones (TIC), reduciendo así el costo total, y mejorando la calidad de la educación.

TIC puede vincularse directamente al éxito compartido por los resultados de los estudiantes (mejor conectado) y la reducción del costo por estudiante (menor TCO). Con un enfoque basado en los resultados, la tecnología ayuda a fortalecer la reputación de la universidad y atraer a estudiantes y profesores en el proceso, al tiempo que reduce la matrícula al estar ligada directamente al éxito del proyecto de TI.

Por ejemplo, con el uso de herramientas de gestión de interacciones, una universidad puede centrarse en cada peso de la matrícula, sin afectar a la consistencia de la educación. Esto se traduce en una mejor experiencia de los estudiantes y en la mejora de la reputación de marca de la universidad.

Una cosa está clara, mientras nos preparamos para nuestra participación en Tical 2017, el punto de inflexión es una buena noticia para todas las personas de las TIC en la educación superior. Junto con los técnicos de educación, los CIO pueden abrir un camino en el entorno de la educación de próxima generación, y no sólo atraer a nuevos estudiantes, sino hacerlo lleno de sentido de los negocios.

¿Es OptionsBleed el nuevo HeartBleed?

El investigador independiente Hanno Böck ha descubierto una vulnerabilidad en los servidores web Apache que permite el filtrado de fragmentos de memoria arbitrarios. Un comportamiento que nos recuerda a HeartBleed, famosa vulnerabilidad en OpenSSL de 2014.

 

Imagen tomada de The Fuzzing Project
Precisamente por este parecido la vulnerabilidad ha sido bautizada como OptionsBleed, también en honor al método OPTIONS de HTTP. Este es utilizado por un cliente web para recibir información sobre los métodos soportados por el servidor. Una petición OPTIONS normal debería devolver una respuesta de la forma:

Respuesta de una petición OPTIONS.

Pero, durante una investigación sobre los sitios con mayor posición de Alexa, Böck descubrió algunas respuestas a OPTIONS bastante peculiares. Los métodos se repetían, aparecían vacíos, y en algunas cabeceras se devolvía algo parecido a una fuga de memoria:

Respuesta OPTIONS de un servidor vulnerable.

Este comportamiento le hizo sospechar. Aunque no conocía el software especifico que devolvía estas respuestas, encontró fugas con fragmentos de configuraciones que parecían pertenecer a servidores Apache, y se puso en contacto con el equipo de desarrollo, que finalmente confirmaron la vulnerabilidad.

Este error ha sido identificado como CVE-2017-9798 y ya existen parches para la mayoría de las versiones de Apache Web Server en Linux.

Teoría y práctica

Explotar OptionsBleed en teoría es sencillo: solo hay que realizar una petición OPTIONS al servidor para disparar la vulnerabilidad. En la práctica, la vulnerabilidad no es determinista, es decir, no devuelve siempre el mismo resultado dados los mismos datos de entrada. Por ello su reproducción es difícil.

Se sabe con seguridad que la vulnerabilidad es causada por un fallo en la implementación de la directiva Limit. Los métodos disponibles en el servidor (aquellos que la respuesta de OPTIONS comunica) se pueden establecer a nivel global en la configuración. Usando Limit, además, se puede limitar su uso por recurso, usando un fichero .htaccess.

Sintaxis de una directiva Limit.

El problema ocurre cuando establecemos una directiva Limit sobre un método que no hemos registrado en la configuración global. Es más, en general cualquier método no valido sobre el que se define esta directiva directiva en un fichero .htaccess provoca la fuga de información.

Aun localizado el problema, se deben dar ciertas condiciones para su explotación, y los detalles son bastante vagos. Según Böck en el FAQ de la vulnerabilidad:

Debido a su naturaleza, el fallo no aparece de forma determinista. Parece que solo se da en servidores ocupados. A veces aparece tras varias peticiones.

OptionsBleed no es HeartBleed

Más allá del parecido en el comportamiento, hay varias diferencias que hacen a OptionsBleed bastante menos peligroso que HeartBleed, la famosa vulnerabilidad en OpenSSL aparecida en 2014 con la que se le está comparando.

Por un lado, la superficie de exposición es menor. OptionsBleed solo afecta a servidores Apache Web Server. Por su parte HeartBleed afectaba a todo servidor con versiones de OpenSSL vulnerables, sin distinción entre web, email, o VPN.

Además, es necesario tener una cierta configuración y que el servidor se encuentre en condiciones específicas para la explotación. Hay que tener en cuenta que en el estudio se ha conseguido explotar la vulnerabilidad en solo 466 servidores entre el Top 1 millón de Alexa. Además, de ser explotada, OptionsBleed devuelve un fragmento de menor longitud que HeartBleed.

Sin embargo, tiene un riesgo añadido: en servidores Apache compartidos, un usuario puede incluir un fichero .htaccess manipulado para facilitar deliberadamente la explotación y descubrir secretos del resto de usuarios.

Pero hay algo que sí tiene en común: pasaron desapercibidos durante bastante tiempo.