Acabo de leer un artículo bastante bueno de ese gurú de la seguridad que es RSnake, sobre los ubicuos tokens de autenticación que proliferan sin parar por las empresas, y que los bancos y otras organizaciones amenazan con poner en nuestras manos si nos descuidamos.

Siempre me han parecido una solución mediocre, ya que no resuelven todos los problemas de seguridad relacionados con la identificación y autenticación y son incómodos (sobre todo si tienes varios).

• Tienes que llevarlos encima. Se pierden. Se rompen. Se quedan sin pilas.
• Las plataformas de identidad federadas son algo que no llegará nunca. Los propietarios de las aplicaciones y sistemas de acceso más importantes no van a permitir nunca integrar su sistema de control de acceso con terceros (añadiendo eslabones más débiles a la cadena). Nunca vas a poder usar el mismo token para acceder a la VPN de tu empresa que para acceder a tu cuenta bancaria. Según se pongan de moda habrá que llevar colgado del llavero unos cuantos.
• El único problema que resuelven es el de los ataques de fuerza bruta o de diccionario contra las contraseñas. Los tokens no resuelven los problemas de man-in-the-middle, phishing, captura de tecleos, etc.
• Son caros (cuando hablamos de muchos usuarios). No sólo el token en si mismo, sino la distribución, sustitución por pérdidas o avería, las llamadas al help desk, la infraestructura necesaria, cambios en sistemas actuales y aplicaciones, etc.
• Los ciegos no pueden usarlos. Esto es obvio. No estoy al tanto de la situación legal en España, pero sospecho que las empresas que lo utilizan como forma única de acceso están discriminando a este colectivo. Y esto puede acarrear denuncias y sanciones.
• Y sobre todo (y esto no viene mencionado en el artículo de RSnake) son inútiles en entornos donde no se deja al usuario cambiar el PIN. Y a veces ponen hasta el nombre de usuario en una pegatina por la parte de atrás. Esto es bastante más común de lo que os podríais creer.

Otro día me despacharé a gusto con otros temas relacionados con la seguridad que son comúnmente aceptados como válidos y útiles, y que en la práctica son a menudo una ñofa (por ejemplo, las Políticas de Seguridad, la Concienciación o “Awareness“, y los Planes Directores de Seguridad) Pero eso para otro día.

Estoy de vuelta de las vacaciones, y no muy inspirado, pero algo tengo que escribir en el blog para que quede patente que he vuelto

He visto esto en la página de Bruno (y él, a su vez, de la de Roberto Ortiz), y me ha parecido curioso. Ya lo había visto hace tiempo para los tags de del.icio.us, pero esto da más juego Es una nube representando la frecuencia de aparición de las palabras más comunes en la portada de este blog (a día de hoy)

Estas últimas semanas se me han hecho eternas, pero por fin ha llegado el momento. Me piro de vacaciones. Dos semanitas.

Me voy unos días a Granada y otros días a Fuerteventura.

Pondría un “cerrado por vacaciones”, pero intentaré hacer algún post, sobre todo a petición de mis fans del grupo de ingeniería de Unix de una conocida farmaceutica

Una bonita página con “experimentos” de visualización de grandes conjuntos de datos (tomados de Google, Amazon, Wikipedia, etc.) Algunas de las visualizaciones son impactantes..

Carta al director en El País de hoy:

“Primero las huellas, los desalojos y la quema de poblados. Ahora el ejército italiano patrullará las calles para detener, si procede, inmigrantesilegales (así, todo junto).

Aunque esto ahora nos perturbe, en un año nos habremos acostumbrado y costará más superar nuestro umbral de asombro. Querremos más para escandalizarnos en nuestro sillón. Necesitaremos más. Como con Guantánamo. No bastará con que veamos puestos de control, búnkeres y trincheras en calles y plazas que meses después podrían convertirse en improvisados patíbulos. Siempre necesitaremos más.

El caso es que millones de ciudadanos libres de un país civilizado, como el nuestro, han votado al personaje responsable de estas estrategias que, como otras en otros países, como el nuestro, persiguen garantizar, tal como las conocemos, esa calidad de vida y seguridad burguesas que me permiten a mí escribir estas líneas y a usted leerlas. El miedo. Como en esa reciente película de M. Night Shyamalan, El incidente (The happening). Es una típica de catástrofes, salvo porque en ésta el terror es invisible, inodoro, incierto e incontrolable, y eso lo hace más inquietante.

Porque, aunque a los inmigrantesilegales les podemos reconocer por sus facciones y colores peculiares, por los olores extraños que cuelgan de sus chiringuitos, y podemos tomar sus huellas y detenerlos hasta 18 meses si no han hecho nada, siempre quedará una incertidumbre. Siempre un resquicio para el miedo. Un resquicio que justifique ir más allá. Un resquicio que lo justifique todo. Todo a lo que nos acostumbremos.“

“So understand

Don’t waste your time always searching for those wasted years

Face up… make your stand

And realise you’re living in the golden years“

Está todo el mundo como loco con Cuil, el buscador creado por ex-Googleros.

La verdad es que lo he probado, y para estar indexando 121.617.892.992 páginas (en este momento), los resultados son un poco pobres.

Buscas por “spain” y sólo sale publicidad.

Y buscas por “information security” y…. ¡TACHÁN! No sale nada.

Menuda puta mierda.

Ya va tocando un post sobre libros.

He terminado recientemente “The Unfolding of Language” de Guy Deutscher, que trata sobre la evolución de los lenguajes. Si alguna vez te has preguntado cómo se puede ir desde los gruñidos guturales primitivos hasta los grandes lenguajes clásicos, como el latín o el griego, con toda su complejidad. O por qué todas las generaciones, desde hace miles de años, piensan que la generación anterior hablaba un lenguaje más puro, y que el lenguaje se “corrompe”. Si te interesan estas cosas, te recomiendo “The Unfolding of Language”.

Ultimamente tengo la ciencia-ficción un poco olvidada, aunque no del todo, tengo pendiente “Spindrift” de Allen Steele, y he leido hace poco “Next” de Michael Crichton (este último no me ha gustado demasiado).

La siguiente tanda son libros, digamos, “de provecho”.

“The Black Swan” es muy interesante. Trata sobre los eventos muy improbables pero con mucho impacto, que son, por definición, impredecibles. Y trata sobre nuestra percepción de estos eventos y sobre la probabilidad y la aleatoriedad en general, y como el ser humano está malamente preparado para tratar con eventos aleatorios. Todavía no he terminado el libro, pero me ha hecho replantearme muchas cosas. Habiendo realizado estudios de ingeniería (industrial), tenía a la distribución Gaussiana o normal en un pedestal. Pero despues de ver como esta libro despedaza esta noción (llamándola la “Gran Falacia Intelectual”), empiezo a verlo de otra manera.

Siguiente en la lista está “The New School of Information Security” de Adam Shostack, y Andrew Stewart, del que he leido buenas críticas.

Y por último “Geekonomics” de David Rice, sobre los costes e impactos reales de los problemas de software, y la comparación en términos de calidad y estandarización con otras industrias. Como dice en su website:

“Geekonomics is about the astonishing lack of consumer protection in the software market and how this impacts economic and national security. Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability, accountability, and responsibility for any harm, damages or loss that should occur because of manufacturing defects or weaknesses that allow cyber attackers to break into and hijack our computer systems. As a matter of good public policy, this is unacceptable and must change.”

¿Tienes (o vas a tener) un niño pequeño y no sabes como explicarle Internet?

Explícaselo con este cuento infantil: “Baby’s First Internet”

Interesante artículo en BBC News sobre el proceso de puesta en marcha del Large Hadron Collider (LHC) del CERN, y como se está convirtiendo, literalmente, en uno de los lugares más fríos del universo.

1,9º Kelvin (271ºC bajo cero), más frío que el espacio profundo.

Y otro artículo para los intranquilos, el LHC no supone el fin del mundo

Dejando de lado sensacionalismos baratos en plan “El hombre que salvó Internet” (a El Pais debería darle vergüenza escribir cosas así), y que la mayor parte de los detalles fuesen conocidos hace años gracias a Ian Green, el temita de la vulnerabilidad de DNS parece que va a convertirse en el “culebrón del verano”.

No voy a recontar la historia, porque a estas alturas, hasta mi abuela habrá leido los detalles del “DNS Poisoning” en el Hola.

Ahora resulta que el “descubridor” Dan Kaminsky, que es un poco “media whore”, dice que no revela los detalles y que lo contará todo en el Black Hat. Otro investigador, Halvar Flake, se pone a especular, cuando le han dicho que no especule.

Y ya, para rizar el rizo, Thomas Ptacek de Matasano Chargen, ha publicado los detalles, para quitarlos del blog minutos después. Pero los cachés y lectores RSS de todo el mundo que le sigue han recogido los detalles del asunto. ¿Os interesa? Aquí están. Os ahorrais pagar una pasta para ir a Las Vegas este verano y que os lo cuente en persona el Sr. Kaminsky.

Y por último, si gestionais servidores DNS, parcheadlos ya.

(Visto en PhotoBasement, a través del del.icio.us de Bruno)

Sin comentarios.

El Pais: “Religiones para acabar con la barbarie terrorista“

A veces te encuentras verdaderas joyas en la red. Cuando una persona que sabe “un huevo” de algo, decide volcar este conocimiento en un blog, de una forma fácil de entender y amena, hace que la “valoración general” de la “blogocosa” suba varios puntos.

Este es el caso de Gustavo Duarte, un brasilero afincado en EEUU, que ha escrito una serie de posts técnicos estupendos sobre kernels, procesos de boot, memoria y otros internals de los sistemas operativos.

• Motherboard chipsets and the memory map
• How computers boot up
• The kernel boot process

Si una vez leido esto, no sabe de qué estoy hablando, no pasa nada. Circulen, circulen. No hay nada que ver aquí. Circulen. Y no me hagan corrillos.

Estoy todavía preparando, cortando y recodificando los videos del concierto, pero ya he subido algunos a YouTube.

En un par de días estarán todos los videos subidos, así como las fotos del evento.

(Video cortesía de José de la Torre)

Me gustaría recomendaros un blog: “Mi Mesa Cojea”. Es humor del bueno. Y humor del bueno significa que a veces se pasa tres pueblos. Porque el humor del bueno a veces sale tirando a negro.

El post de hoy, con 10 dudas “sobrenaturales” es de lo mejorcito que he leido ultimamente:

1. ¿Las tablas ouija tienen ñ? ¿Y ç? Porque, de no ser así, la Ouija está arrinconando al castellano y al catalán…
2. Si te posee Satán y empiezas a hablar inglés, ¿te convalida el First?
3. ¿No existe ningún plugin para que las cacofonías se oigan un poco mejor?
4. ¿Alguien se ha molestado en mirar el Lago Ness en Google Earth?
5. Si los extraterrestres hicieron las pirámides con su avanzadísima tecnología, ¿por qué no les pusieron ascensor?
6. ¿Por qué Dios, que todo lo creó y todo lo puede, elige Bélmez de la Moraleda, Jaén, España, para aparecerse en una mancha de humedad?
7. ¿Qué será la ternera de los restaurantes chinos?
8. ¿Por qué Rappel nunca ha ganado la lotería?
9. ¿Por qué a la gente que oye las voces de los muertos les cuesta tanto encontrar pareja?
10. ¿Por qué Iker Jiménez no hace un especial sobre su peinado?

Sólo recordaros que mañana día 4 de julio tocamos en el Imperio Pop (c/ Fermín Caballero 6 - Madrid) a partir de las 10:30pm (mapa de la zona)

Vendrás, ¿no?

UPDATE 7/7/2008: Gracias a todos los que vinieron. Conseguimos llenar el local, la gente se animó bastante, sobre todo en la segunda mitad. Incluso vino gente con camisetas del grupo Sonaron los siguientes “temazos” (no necesariamente en el orden correcto):

Rockin’ In The Free World (Neil Young), Burn to Shine (Ben Harper), Snow (Red Hot Chili Peppers), La Vereda De La Puerta de Atrás (Extremoduro), En tu agujero (Marea), Gimme All Your Lovin’ (ZZ Top), One (U2), Hard to Handle (Black Crowes), Are you gonna be my girl (Jet), Mil Campanas (Alaska), Rearview Mirror (Pearl Jam), The Zephyr Song (Red Hot Chili Peppers), Born To Be Wild (Steppenwolf), So Payaso (Extremoduro), Two Princes (Spin Doctors), Animal Instict (Cranberries), Are You Gonna Go My Way (Lenny Kravitz), So lonely (The Police), Maneras de vivir (Leño), Sweet Child of Mine (Guns ‘n Roses), Whisky in the Jar (Thin Lizzy / Metallica), Buen Castigo (Fito y los Fitipaldis)

En cuanto tengamos el video lo iremos subiendo a YouTube…

El Gran Wyoming sobre la polémica del velo:

La historia del velo es antigua. Aquí se llevaba, y ahora vuelve de la mano de los musulmanes. También de un sector de los católicos, pero sólo dentro de la iglesia. No es una moda, es un test de sumisión. Desde el momento que alguien acepta, de forma voluntaria, por supuesto, que por ser mujer tiene una serie de obligaciones exclusivas, la suerte está echada. Nunca esas exclusividades han sido expansivas, siempre, restrictivas.

Y qué casualidad, coincide que esas discriminaciones sexistas se dan en religiones cuya jerarquía está, exclusivamente, en manos del sexo contrario. Cualquier debate que roce la liturgia provoca reacciones defensivas desmesuradas, algo parecido a lo que pasa con la alergia. Aquí, un comentario de la ministra de Igualdad en torno al velo de los musulmanes ha desatado una polémica, que tachan de inoportuna, a lo mejor no lo es. Estamos en un estado aconfesional y, si hablamos de igualdad, podríamos preguntarnos por qué las mujeres deben llevarlo y los hombres no. La respuesta de los agraviados no explica la razón de la discriminación, la justifica por ser voluntaria. Claro, si no, no se usaría. Las mujeres se lo quitarían al volver la esquina y lo guardarían en el bolso.

Todas las religiones dogmáticas tienen preceptos que se asumen de forma voluntaria, la otra posibilidad es abandonar, voluntariamente, la religión por la vía de la condenación eterna. Yo, que no creo ni en la verdadera, siento pena, la misma que espero inspirar en los creyentes, pero al oír sus justificaciones he regresado a la infancia, a cuando, sin saber por qué, iba a misa de forma voluntaria, y me he sentido viejo porque, como León Felipe, he tenido la impresión de que me sé todos los cuentos.

Como ya comenté, he pasado unos días en New York, aprovechando que Irene estaba allí de trabajo y que por lo tanto el hotel me salía gratis. Además, qué mejor forma de celebrar mi trigésimocuarto cumpleaños.

Es la segunda vez que he ido a NY. La anterior vez fue en verano del 2004, durante 3 semanas. Como aquella vez, el alojamiento ha sido en el estado de New Jersey, a orillas del Hudson. Eso sí, con el ferry que te deja en Manhattan (a la altura de la calle 39) a la puerta del hotel. Una gozada, por 7$ y en 5 minutos estás en cualquier parte.

Menuda paliza de andar. Todavía tengo agujetas. Aquí pongo algunas cosas que he descubierto (o re-descubierto)

• Las vistas desde el Rockefeller Center. No son las típicas vistas del Empire State, pero tienen dos ventajas: hay menos gente, y se ve el Empire State
• The New York Public Library
  
• American Museum of Natural History (no entré, sólo foto con los dinosaurios del hall)
• Grand Central Station
• St. Patrick’s Cathedral
• La tienda de juguetes FAO Schwarz (deben pasarse el día tocando el dichoso pianito de Big)
• Central Park atestado de gente (cuando hace calor se pone como Benidorm)
• Cruzar el puente de Brooklyn a pie
• La tienda Manhattan Guitar Center. Impresionante. Allí me ha caido mi regalo de cumpleaños
• El Barnes & Noble de Union Square. Mi librería favorita en Manhattan. He hecho acopio de un taco de libros (sci-fi, para qué negarlo)
• Pasear por Manhattan sin rumbo fijo, dándome a mi vicio favorito (el café de Starbucks)