La confusión del certificado digital
Por ivan - Seguridad y Privacidad - 26/May/2009
Advertencia del IE 6 de certificado digital no fiable
El certificado digital es una de las piezas más confusas del entramado criptográfico que nos asiste mientras navegamos por Internet, garantizando la seguridad de nuestras comunicaciones con el mundo exterior. En este contexto, seguridad significa confidencialidad, integridad y autenticidad, entre otras cosas. Es decir, que nadie excepto el destinatario puede ver lo que yo envío o recibo, que nadie puede modificarlo sin que me de cuenta, y que nadie suplanta la identidad de ninguna de las partes.
La confusión viene porque es realmente difícil entender el significado de los conceptos que conforman el certificado digital. En el mundo real, cuando pago en un comercio con mi tarjeta VISA, me piden el DNI (o deberían pedírmelo). El DNI es mi certificado digital, y con él demuestro que soy el titular de la tarjeta. Además, el DNI es fiable, porque lo emite el Cuerpo Nacional de Policía. Probablemente, si presento mi carné de socio del polideportivo, no causaré el mismo efecto, y me rechacen la transacción.
Esto que resulta tan simple en la vida real, en Internet es una pesadilla. Conceptos como firma digital, autoridad de certificación, lista de revocación o autoridad raíz resultan poco comprensibles, por estar totalmente alejados del mundo tangible que todos conocemos. Sin embargo, al problema de entender la tecnología se suma la forma en que se usa, y el modo en que las aplicaciones muestran la información a los usuarios.
Los diferentes navegadores han ido modificando de versión en versión los mensajes de aviso que dan cuando algo falla en la comprobación de los certificados digitales (es decir, cuando el DNI que está presentando la persona con la que queremos realizar una transacción no parece fiable). Las versiones 5 y 6 del Internet Explorer, muy utilizadas aún, muestran un cuadro de diálogo con 3 apartados. El primero informa sobre la confianza que genera el certificado. El segundo advierte si el certificado está caducado. El tercero confirma si el certificado se ha emitido a nombre de quien lo está presentando. Un ejemplo típico de mensaje confuso sería este:
“The security certificate was issued by a company you have not chosen to trust. View the certificate to determine wether you want to trust the certifying authority.”
Que en la versión en español sería algo así:
“El certificado de seguridad fue emitido por una compañía en la que no confías. Revisa el certificado para determinar si quieres confiar en la autoridad de certificación.”
Esta advertencia tiene como objeto prevenir de un posible ataque de tipo man in the middle, en el que un tercero intercepta la comunicación y se hace pasar por una de las partes, con objeto de obtener información o modificar el contenido del mensaje. ¿Realmente podría alguien entender el riesgo que existe, sopesarlo, y tomar una decisión con conocimiento de causa, a partir de la información que muestra el navegador? Yo creo sinceramente que no.
La versión 7 del IE, y la versión 3 del Firefox, han actualizado los mensajes, para que sea más difícil saltárselos, y para que provoquen cierto miedo en el usuario. La información que se da sobre el problema sigue siendo confusa, pero se indica que el posible motivo es la intercepción de la comunicación, y la suplantación de identidad. Esto debería bastar para que si la página web de un banco nos devuelve este aviso del navegador, cortemos la comunicación.
Sin embargo, existe un fenómeno que debilita la seguridad del esquema de certificación. Es habitual que los servidores de Internet utilicen certificados digitales autofirmados, para reducir costes (se evita pagar a la pertinente Autoridad de Certificación). Estos certificados hacen saltar las advertencias de los navegadores, porque no pueden validarse contra una autoridad de confianza. Como resultado, el usuario se acostumbra a ver falsas advertencias de peligro, y termina por hacer caso omiso y continuar navegando sin fijarse en los detalles. El efecto de la sobrecarga de mensajes es peligroso.
El certificado digital es una pieza clave de la seguridad de Internet. Deberíamos prestar mucha más atención a su significado, y usarlo sólo para aquello para lo que fue concebido. Los certificados autofirmados son, sin duda, una mala implementación del concepto de certificación.
La propiedad intelectual del ruido
Por ivan - Sociedad y Tecnología - 24/May/2009
Teclado de piano
Hace unos días pude leer varios capítulos del interesante libro de David Bravo “Copia este libro”. En el capítulo titulado Falsos dogmas, se citan varios ejemplos de situaciones sorprendentes derivadas de los derechos de propiedad intelectual, y la legislación existente para protegerlos. Uno de los que más llamó mi atención fue el del silencio y su propiedad intelectual, registrada a nombre de John Cage, compositor experimental americano, pionero de la música aleatoria, y muy conocido por su composición 4′33”, una pieza musical que se interpreta sin hacer sonar los instrumentos.
Los herederos de los derechos de la obra de John Cage demandaron al grupo The Planets en el año 2002, por incluir en uno de sus discos una canción titulada “A one minuto silence“. La canción consistía precisamente en eso, 60 segundos de silencio, y en sus créditos aparecía, además del nombre del líder del grupo, Mike Batt, el de John Cage. La demanda se cerró con un acuerdo económico entre las partes.
El hecho de que pueda registrase el silencio como una obra musical, y de que tal composición (o ausencia de composición) pueda tener derechos de autor, me parece surrealista. Sin embargo, después de leer el interesante artículo de Richard Hillesley “A Better Silence – John Cage and copyright“, he comprendido el error de concepto que se esconde detrás de la famosa pieza de John Cage, 4′33”.
La obra de John Cage no es, en realidad, un largo silencio de 4 minutos y 33 segundos de duración. Son 4 minutos y 33 segundos de todo lo contrario: de ruido. Se trata realmente de escuchar los sonidos que haya en el ambiente durante los 4 minutos y 33 segundos en los que los músicos están tocando los silencios de la partitura. Hablamos por tanto de respiraciones, carraspeos, toses, algún que otro murmullo, el crujir de los asientos, y otros ruidos propios de una audiencia viendo a varios músicos que no tocan sus instrumentos.
Y digo yo, ¿puede el ruido tener derechos de propiedad intelectual? ¿O quizá se trata de un ruido concreto, especial? Si realmente esto es así, cada vez que una orquesta se prepare para empezar a tocar una obra (de las de verdad), tendrá que pagar derechos por el ruido de ambiente que se produce en el auditorio. Quizá los herederos de John Cage no han advertido este detalle, y estén dejando pasar una verdadera mina de oro en derechos de autor.
La propiedad intelectual del ruido es como la de la nota do, un absurdo. El esfuerzo intelectual que supone crear ruido es equivalente al de pulsar la primera tecla de un piano, para que suene el do. Esta sería una obra propia de un autor experimental, como John Cage. Podríamos titularla Nota Do, y duraría unos 5 segundos. Serían 5 segundos de un do genial, que nos proporcionaría beneficios cada vez que otro músico osara incluir un do igual en su partitura.
Supongo que mi nota do no me hará rico. Pero el ruido ambiente de John Cage, disfrazado de silencio, ha dado sus frutos. Y no ha sido el primero, ni el último, en vender canciones de ruido o de silencio. En Amazon podemos encontrar, por ejemplo, la canción “(Silence)”, a la venta por 0,99$. Este tema de 63 segundos es otra obra silenciosa, compuesta por Ciccone Youth. Un precio ridículo, si realmente conseguimos tener el Silencio, con mayúsculas.
¿Por qué se puede copiar un disco digital?
Por ivan - Retro-informática, Seguridad y Privacidad - 22/May/2009
Disco digital
Esta pregunta no tiene fácil respuesta. Llevo días intentando entender cómo hemos llegado a donde estamos: la copia digital de archivos musicales y películas de vídeo resulta trivial. Los magnates de la producción de CDs y DVDs deben ser, o muy tontos, o todo lo contrario y se les fue la mano (se pasaron de listos).
Empecemos por el CD o compact disc. El primer disco óptico vio la luz comercialmente en el año 1982, y se desarrolló desde el principio como un medio de almacenamiento de audio en formato digital (lo que llegó incluso a condicionar su capacidad de almacenamiento, que se adaptó a la duración de la Novena Sinfonía de Beethoven). El estándar que normalizó este formato se conoce como Red Book, y aunque hoy resulta difícil de creer, no se incluyó en él ningún mecanismo de protección de la información digital almacenada.
Se trata de un error excusable. En la década de los 80 el ordenador personal estaba dando sus primeros pasos (el IBM PC nació en 1981). Su capacidad de proceso era insuficiente para tratar los archivos de audio contenidos en el CD. No existía tampoco forma de comprimir el audio en un tamaño que fuera fácilmente manipulable. No existía tampoco Internet (el embrión de Internet, ARPANET, había nacido hace unos pocos años). En este contexto, sólo un gurú habría podido prever la necesidad de proteger lo que realmente contiene un compact disc: una copia maestra digital de cada canción. Y aún habiendo sido capaz de preverlo, ¿era el estado del arte de la tecnología de aquella época suficiente como para desarrollar un sistema de protección eficaz? Probablemente, no.
Y llegamos al DVD. Este formato de almacenamiento fue concebido como una evolución natural del CD. En este caso, se partía de la experiencia adquirida con el formato anterior, y se buscaba una solución de mayor capacidad, que sirviera tanto para almacenar contenido audiovisual (DVD vídeo y DVD audio), como archivos de ordenador (DVD ROM). Los primeros DVDs se comercializaron a finales de la década de los 90.
En esta ocasión, el grupo de trabajo encargado de definir el estándar consideró necesario proteger el contenido, para lo que se adoptó el esquema de cifrado conocido como CSS (Content Scramble System). El cifrado propietario introducido con este sistema era poco robusto. Se basaba además en un conjunto de claves únicas distribuidas entre todos los fabricantes de equipos reproductores de DVD. Al parecer, uno de los fabricantes no protegió lo suficiente su clave, lo que permitió que un grupo de hackers tuviera acceso a ella y rompiera el algoritmo de cifrado, desarrollando después un programa para descifrar el contenido de cualquier DVD (lo que conocemos como DVD rip). Esto sucedió en 1999, sólo dos años después del lanzamiento del formato.
Probablemente, el hecho de que sólo se utilizaran claves de 40 bits facilitó la tarea. En el momento de definir el formato del DVD, las leyes americanas prohibían la exportación de sistemas criptográficos que emplearan claves de más de 40 bits. También se apunta que el algoritmo de cifrado tenía un diseño tan débil, que con la potencia de cálculo de los ordenadores de finales de los 90, un ataque de fuerza bruta lo hubiera roto en pocos días (y con la actual, en pocos segundos).
Esta historia se está repitiendo ahora con el Blue-ray Disc. La falta de visión y los errores técnicos en la concepción de los sistemas de protección han posibilitado la copia digital del audio y del vídeo contenido en los soportes diseñados y fabricados para satisfacer las necesidades de la industria audivisual. Ellos mismos cavaron su propia tumba; la tecnología informática e Internet únicamente dieron un empujocito.
Linux en la lavadora
Detergente Linux de Rosch
Hace tiempo me sorprendió encontrar la página web de un grupo de desarrolladores que está trabajando para compilar Linux en los diferentes reproductores MP3 de Apple (iPod, iTouch, iPhone). La idea de reemplazar el firmware del fabricante por un micro-Linux, específicamente adaptado al dispositivo en cuestión, es sumamente atractiva. Abre la puerta a nuevas aplicaciones para un hardware que, inicialmente, ha sido diseñado con propósitos mucho más específicos, pero que debido a su naturaleza intrínseca (no deja de ser un ordenador en miniatura) puede ejecutar otros programas.
Animado por esta idea, he buscado ejemplos similares aplicados a otros dispositivos. Conocía ya uno de ellos: el proyecto NSLU2-Linux, dedicado a convertir el servidor de almacenamiento en red NSLU2 de Linksys en un mini PC capaz de ejecutar servicios de red, servidores web, de correo o FTP, o programas de intercambio de archivos peer to peer, por poner algunos ejemplo. El NSLU2 es una pieza hardware codiciada, dada su versatilidad y bajo coste, y también por el hecho de que ya no se fabrica (una pena).
Otros ejemplos los he encontrado en el vasto mundo de las vídeo consolas. La XBox tuvo enseguida un ejército de desarrolladores trabajando para hacer que pudiera correr Linux, lo cual no era demasiado difícil, dado que en el fondo, esta consola era un PC en una caja bonita. El proyecto XBox-Linux ya no tiene tanta vigencia, puesto que esta consola ha sido reemplazada por la XBox 360, en la que Microsoft incorporó algunos mecanismos anti-hacking dirigidos a obstaculizar la instalación de otro sistema operativo. Por lo visto, no fueron del todo eficaces (como era de esperar). Sony fue algo más inteligente, y decidió incorporar a su Play Station la posibilidad de correr Linux de serie. El Linux Kit para Play Station 2 es un ejemplo de cómo ampliar la funcionalidad de un producto para que sea totalmente disfrutado por sus usuarios.
Lo más interesante de todos estos ejemplos es el increíble trabajo colaborativo desinteresado que subyace detrás de cada proyecto de llevar Linux a una plataforma hardware muchas veces desconocida, y para la que no ha sido diseñado. Este esfuerzo resume como pocos la fuerza de Internet como herramienta de colaboración y trabajo en grupo, y como vía para explotar y obtener sinergias de las ideas de todos.
A este paso podremos ver Linux en aparatos que nunca imaginamos podrían llegar a necesitarlo, como por ejemplo, en el frigorífico, o ya puestos, por qué no, en la lavadora. Esto último no es realmente una novedad. Muchas de las lavadoras del mundo ya usan Linux (sobre todo, las de suiza).
Cápsulas de café desde el ciberespacio
Por ivan - Sociedad y Tecnología, Tendencias Internet - 17/May/2009
Cápsulas Nespresso
La revolución del café en cápsulas ha llegado gracias a Nestlé y al lanzamiento y promoción masiva de su producto Nespresso. El café ha sido reinventado por la multinacional suiza para convertirse en artículo de lujo, que se vende en cápsulas de preciosos colores y bajo denominaciones exóticas (Ristretto, Arpeggio, Roma, Livanto, y así hasta 16 nombres extraños), y a un precio considerablemente alto. Nestle ha cerrado el círculo comercial de su nueva propuesta llegando a acuerdos con algunos fabricantes de pequeños electrodomésticos, para fabricar máquinas de café idéticas pero que se venden bajo diferentes macas (Krups, DeLonghi y Siemens), también a precios considerables.
Hasta aquí todo parece una maniobra de marketing tradicional. Sin embargo, hay un factor que me resulta tremendamente llamativo: Nestlé ha apostado decididamente por el canal Internet como vía casi exclusiva para comercializar las cápsulas de café. Y digo casi, porque los pedidos pueden hacerse por teléfono, o visitando una de las pocas tiendas que existen, bajo la marca Nespresso, y dedicadas integramente a vender el café, las máquinas, y los artículos relacionados. En Madrid, por ejemplo, sólo hay dos tiendas, que se pueden visitar, si se tiene paciencia para aguantar las largas colas que se forman.
Sin duda, algo está cambiando, cuando una estrategia comercial basada en el lujo y la exclusividad confía plenamente en la venta por Internet. Hace unos pocos años esto habría sido impensable. Muy pocos eran los que se atrevían a meter el pie en Internet. Amazon es el pionero que siempre nos viene a la cabeza. La mayor tienda on-line del mundo empezó vendiendo libros en 1995, y hoy en día vende todo tipo de artículos relacionados con el ocio y el entretenimiento. Otro grande que confió plenamente en su página web para comercializar sus productos es Dell, uno de los mayores fabricantes de ordenadores portátiles y de sobremesa del mundo.
Nestlé ha sabido entender el éxito que hay detrás de las empresas volcadas en Internet. Las resortes del marketing en la red son bien distintos a los tradicionales. La creación de un club exclusivo al que debe suscribirse todo cliente que compre el café por Internet apunta en esa dirección. La estrategia de marketing personalizado es claramente perceptible: se bombardea al cliente con promociones exclusivas, propuestas de artículos relacionados con el mundo del café (venta cruzada), recomendaciones y recordatorios en fechas estratégicas (no te quedes sin café) . Es sin duda, una puesta en escena impactante.
Todo este montaje de Nestlé me ha hecho recordar una estrategia similar de otro grande, con la que veo enormes paralelismos. Vende algo que ya existe, pero más caro, bajo una capa de lujo y exclusividad, soportado por un aparato que se supone mejor y que por tanto, también se vende a un precio superior, y con el correspondiente canal de venta de Internet y club selecto de orgullosos propietarios. ¿A alguien se le escapa todavía de quién hablo? Como no, de Apple y su binomio iPod / iTunes.
Comparar una cafetera con el reproductor MP3 más famoso del mundo puede parecer un ultraje. A fin de cuentas, la cafetera de Nespresso hace buen café, y el iPod hace lo mismo que casi cualquier otro reproductor de MP3 (nótese la ironía). En cualquier caso, existe una diferencia entre ambos modelos de negocio: en el iPod puedes cargar canciones MP3 no compradas en iTunes (algo que, por otra parte, es lo habitual). En la cafetera de Nespresso sólo se puede preparar café de cápsulas Nespresso. Aunque eso sí, siempre hay quien se atreve a reutilizar las cápsulas y utilizar su cafetera Nespresso con otro café. Adivino que esto, sin embargo, no será lo habitual.
¿Quién sigue usando el Internet Explorer?
Por ivan - Sociedad y Tecnología - 16/May/2009
Logo del IE prohibido
La respuesta, cuantitativamente hablando, es simple: 2 de cada 3 internautas. Hemos podido leerlo en un artículo publicado por Asa Dotzler, de la Mozilla Corporation, bajo el título Longterm browser trends (Tendencias de navegadores a largo plazo) , y que recopila en un gráfico bastante elocuente la información que recoge Net Applications desde los sites que gestiona.
El gráfico elaborado por Asa Dotzler muestra información desde el año 2004, cuando se liberó Firefox 1.0, hasta hoy. Las primera conclusión es que el navegador más usado sigue siendo el Ineternet Explorer, de Microsoft, con una cuota superior al 60% (agregando los datos de todas sus versiones). La segunda conclusión, apuntada por el autor del artículo, es la pérdida progresiva y lineal de usuarios que experimenta el IE, en favor del Firefox. La linealidad es tan clara, que Mashable vaticina en uno de sus artículos que el Internet Explorer desaparecrá en el año 2021 (matizando después que se trata sólo de una especulación, dado que los factores que influyen en la elección de un software en detrimento de otro son variables e impredecibles).
Bromas a parte, me resulta difícil entender que aún haya dos tercios de la población confiando su experiencia de navegación a un software cuya reputación tocó fondo hace ya varios años. No en vano, la versión 6 del Internet Explorer fue elegida uno de los 25 peores productos tecnológicos de todos los tiempos, según PCWorld. Entre los argumentos que pueden esgrimirse para concederle tan dudoso honor, destacaríamos los cientos de agujeros de seguridad documentados para este navegador (y corregidos por Microsoft en sucesivos parches).
Más aún: la versión 6 no sólo no soportaba los estándares de Internet de forma correcta, sino que los despreciaba añadiendo elementos propietarios que posteriormente se fueron abandonando, y que actualmente no hacen sino lastrar los desarrollos que se atrevieron a utilizarlos.
El peso específico de este navegador ha sido tan grande durante años, que buena parte de las aplicaciones diseñadas para la web se han visto obligadas a adaptarse a él. La forma errónea en la que el IE interpreta las hojas de estilo CSS y el DOM ha obligado a utilizar trucos e incluso librerías diseñadas para hacer que las páginas que siguen los estándares se vean de forma correcta en él.
Y aún así, sabiendo que el IE 8 no es más que el heredero de un browser plagado de problemas de seguridad e incapaz de cumplir los estándares del W3C, nos encontramos con la tozuda realidad: 2 de cada 3 presonas siguen atadas a él. Quizá sea simple inercia de sistemas operativos instalados en máquinas antiguas, PCs corporativos que no pueden actualizarse, o usuarios que no tienen conocimientos técnicos suficientes para comparar y cambiar de navegador. Si esto es así, aún me queda la esperanza de que el tiempo ponga al Internet Explorer en su sitio: la papelera de reciclaje.