Este año 2009 se cumplen 50 años de la publicación de “Kind of Blue” de Miles Davis, considerado el mejor álbum de jazz de todos los tiempos, cuatro veces disco de platino en EEUU. Continuando con su trabajo anterior “Milestones“, Miles Davis continua reinventando el género con el jazz modal (basado en el trabajo unos años antes de George Russell) en el que se improvisa sobre escalas y modos, y no sobre progresiones de acordes, como era la costumbre en el jazz.

Es un disco imprescindible. Incluso si no eres aficionado al jazz.

(via XKCD)

Algunas ideas sin estructura:

• Los buenos propósitos del año pasado se han cumplido más o menos. La verdad es que eran fáciles.
• No voy a hacer ninguna lista para este año que entra. Los objetivos para este año son más “internos” que otra cosa.
• Me hubiera gustado un SMS de felicitación que dijera “Con un Feliz Año Nuevo es suficiente. Pásalo.” La verdad es que podría haberlo enviado yo mismo, pero estaba perezoso.
• Por favor, en los SMS poned quién sois. No tengo a todo el mundo en la agenda del móvil.
• Algunos libros que me gustaría comprar (algunos ya los tengo, como “Matter”, y otros están en camino, como “Multireal”) Tal como está el cambio de la libra esterlina, comprar en amazon.co.uk es una gozada.
• No voy a hablar sobre la crisis. Al contrario que el resto del mundo, no tengo criterio suficiente como para explicar las causas o recomendar soluciones.
• El Bestué 2006 (crianza) me ha decepcionado un poco. El Arzuaga 2005 (crianza) es estupendo.
• ¡Feliz año nuevo!

Esto es serio. Muy serio.

We have identified a vulnerability in the Internet Public Key Infrastructure (PKI) used to issue digital certificates for secure websites. As a proof of concept we executed a practical attack scenario and successfully created a rogue Certification Authority (CA) certificate trusted by all common web browsers. This certificate allows us to impersonate any website on the Internet, including banking and e-commerce sites secured using the HTTPS protocol.

Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 “collision”. Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.

This successful proof of concept shows that the certificate validation performed by browsers can be subverted and malicious attackers might be able to monitor or tamper with data sent to secure websites. Banking and e-commerce sites are particularly at risk because of the high value of the information secured with HTTPS on those sites. With a rogue CA certificate, attackers would be able to execute practically undetectable phishing attacks against such sites.

The infrastructure of Certification Authorities is meant to prevent exactly this type of attack. Our work shows that known weaknesses in the MD5 hash function can be exploited in realistic attack, due to the fact that even after years of warnings about the lack of security of MD5, some root CAs are still using this broken hash function.

Co-authored by Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger

Further details:

• Detailed explanation
• Slides from the 25c3 presentation
• Demo site (set your system date to August 2004 before clicking)

Colliding certificates:

• Real certificate
• Rogue CA certificate

This work was presented at the 25th Chaos Communication Congress in Berlin on December 30, 2008.

¿Qué significa?

Hasta ahora, si querías saber si una página (un banco, una tienda, etc.) era auténtica, podías mirar el certificado digital si la conexión es via SSL (https://) A partir de ahora, eso podría no servir para nada.

En resumen, una era dorada del phishing. Bueno, los expertos dicen que no es para tanto. Ver artículos en Securosis y en Layer 8 llamando a la calma y a la cordura.

Hace ya casi 2 años que descubrí el “remake” de Battlestar Galáctica. Desde entonces se ha convertido en una de mis series favoritas.

Tengo la mini-serie precuela, las temporadas primera, segunda y tercera, y el largometraje Razor en DVD. La cuarta temporada la tengo pendiente de comprar (¡regálamela si quieres!), pero ya he visto casi todos los capítulos según me los he ido bajando.

Y estoy deseando que estrenen la quinta y última temporada (en UK será “quinta”, en USA es la segunda parte de la “cuarta”) a partir de Enero de 2009.

La verdad es que es una serie estupenda que te puede enganchar aunque no seas aficionado a la ciencia-ficción. Muy bien hecha, muy bien ambientada, los personajes están muy bien caracterizados. Es amena, y con mucha intriga.

Historias de amor, de poder, de política, de venganza, y sobre todo de desesperación. A ratos un poco “oscura”, sobre todo la tercera temporada.

En la página oficial de BSG se puede encontrar información sobre capítulos, personajes, los “webisodios” de “The Face of the Enemy“, e incluso ver los capítulos enteros ya emitidos.

Por fin jubilo mi venerable PC de casa. Después de casi 7 años de uso, yo creo que ya va siendo hora de actualizarse y comprar algo que no lleve a la desesperación cada vez que intento ejecutar una aplicación más o menos moderna.

Acabo de configurar (y hacer el pedido) de un PC en Alternate. Nada del otro mundo… Micro Intel Core 2 Quad 6600, 4 GB de RAM (DDR2-800), disco Seagate de 750 GB, una tarjeta gráfica basada en NVIDIA GeForce 9500 GT (1024 MB), placa base µATX, y una caja de esas tipo “shuttle” que molan tanto, para que el chisme no ocupe mucho.

Es mi regalo de Navidad Espero que lo tengan listo pronto.

Por cierto, estoy dispuesto a donar mi PC actual a una ONG o similar que le haga falta (un Pentium4 2.4Ghz, con 1,2 GB de RAM y dos discos, uno de 200 GB y otro de 60 GB) Si alguien sabe de a quién podría hacerle falta, que se ponga en contacto conmigo [UPDATE: Ya está adjudicado al Proyecto Hogar]

Supón que ponen una puerta blindada automática en el laboratorio de T.I. Y la ponen mal. Y sólo se abre desde dentro…

¿Qué haces para no tener que echar suertes y ver quién se queda a dormir dentro para abrir por la mañana?

Pues accedes por SSH y haces

eject /dev/scd0

Inventiva en estado puro, vista en The Daily WTF.

Qué grande.

Como estoy vaguete y son las 2:30 de la madrugada segoviana (¡qué frío hace en este pueblo!), me limito a copiar y pegar, y dejar que los genios hablen por sí mismos… Predicciones estúpidas (y recurrentes) sobre la seguridad de la información en 2009…

‘Tis the season to predict (prediction tracker), BUT it is also a season to make fun of other’s idiotic or super-trivial predictions. Let’s start NOW!

“More activity from the cyber underworld” (here)  - ya know, hackers will hack, phishers will phish, spammers will spam type stuff we need more of Deep, deep insight in this.

“Computer users can expect to see more spam” (here)  - now that we are on the subject of spam

“Someone will unplug the Internet” (here sadly) – no comment, really.

“SCADA <anything REALLY bad>” (here) – to be really honest, I have not really seen it yet this year so no link, but it will come. Help yourself to previous year embarrassments

“The space <insert this vendor’s space> will be all the rage in ‘09!” (many) – if you are a NAC vendor saying this, you get 10x of the idiocy points. Congrats, you are now in prediction biz too

“Year of mobile malware AGAIN AGAIN AGAIN AGAIN AGAIN” (here) – the number of dangerous mobile viruses will grow 700% from 1 to 8 [OK, I admit there are more than that, but what is their risk today?]

This Modern World, de Tom Tomorrow.

Ganas me dan de copiar todo el texto y ponerlo aquí. Sensatez en estado puro. Los que sufrimos la primera crisis de las “puntocom” y tuvimos que ir saltando de chiringuito en chiringuito, a cual más absurdo, ya tenemos cierto barniz de sentido común. Pero conviene no perder la perspectiva.

“Esto de la envidia del éxito ajeno es la carta de órdago de todos los charlatanes sin excepción. Además es un argumento falaz que constituye en sí mismo un farol del ocho y medio: a cualquier cosa le llaman éxito. En 1977, Larry Ellison fundó Oracle con 2000 dólares de su propio bolsillo (no encontraba financiación para su idea, nadie apostaba por aquello del modelo relacional). Hoy es una de las 10 personas más ricas del planeta y su empresa paga las nóminas de 80.000 empleados en todo el mundo: esto es éxito. En 2004, Anil de Mello fundó Mobuzz.tv y cuatro años después, tras fundirse cientos de miles de euros, se declara insolvente y deja en la calle a 14 empleados que han trabajado unas semanas sin cobrar: esto es una etiqueta de anís del mono. Y no, no nos da ninguna envidia.“

Fuckowski en estado puro

Me uno al movimiento MEMPEC desde ya.

Y aprovecho para recordar a los usuarios del AVE que el cartelito electrónico que dice “Por favor baje el volumen de sus móviles. Utilice las plataformas para hablar” significa precisamente eso, que bajen el volumen de sus móviles y que usen las plataformas para hablar. ¿Tan difícil es entenderlo?

En los Paises Bajos los trenes tienen vagones “silenciosos” en los que no se puede hablar ni usar el móvil. ¡Vagones silenciosos en el AVE ya!

Noticia curiosa. La NASA da los primeros pasos para montar una red IP interplanetaria. El planteamiento es antiguo (desde el 1999 se está dando vueltas al tema), el adaptar tecnología IP a entornos con altas latencias, y transferencia de paquetes de forma muy asíncrona. Lo curioso es que en pocos sitios mencionan que la red Deep Space Network en la que se basa este sistema está controlada desde 3 centros repartidos por el mundo, uno de ellos en Madrid (en Robledo de Chavela).

Esto me ha parecido bastante gracioso. Las religiones como “trump cards” (cartas o cromos de jugar, seguro que tienen un nombre en castellano, pero lo desconozco)

A pesar de tener poco tiempo libre, intento mantener mi mayor vicio, que es el de la lectura. Llevo algún tiempo pensando hacer un post sobre qué, y cómo elijo, lo que leo. Es este

Qué generos leo

El 70% de lo que leo es ciencia-ficción, y casi todo en inglés.

Dentro de la ciencia-ficción, me gusta casi de todo, pero los sub-generos van por temporadas. Leo mucho relato corto, y ultimamente bastante space opera (Alastair Reynolds, Iain M. Banks, Peter Hamilton, Neal Asher, Charles Stross, etc.) Me gustan bastante Michael Swanwick (aunque no sea ci-fi pura), Philip K. Dick, Robert Heinlein, Ursula K. Leguinn, Robert Forward, Brian Aldiss. Arthur C. Clarke, Isaac Asimov (más cuando era joven), Orson Scott Card (no todo), Frank Herbert, Douglas Adams, Dan Simmons, Vernor Vinge, Stanisław Lem, y muchos otros…

No me gustan las historias “basadas” en historias de Star Trek, Star Wars, o similares… además hay cierta tendencia a que este sub-genero invada las estanterías de las librerías poco a poco…

Tambien leo:

• Ciencia (física, evolución, lingüística, psicología, psicología evolutiva, economía, etc)
• Divulgación “escéptica” (Shermer, Sagan, Dawkins, Hitchens, etc.)
• Historia (y algo de novela histórica, pero poco) Descarto cualquier cosa que en el VIPS o en el Corte Inglés estaría expuesto prominentemente. Es decir, revisionismo negacionista neofascista. No voy a dar nombres.
• Libros técnicos relacionados con mi trabajo, sobre todo de Seguridad de la Información.
• Ficción en general, aunque prefiero el realismo mágico al realismo o costumbrismo.

Dónde compro

Yo más partidario de la grande superficie. Me gusta ver kilómetros cuadrados de estanterias de todos los libros imaginables. En general no voy a librerías pequeñas y especializadas a no ser que busque algo muy concreto. En Madrid voy a la Casa del Libro (la de Gran Vía), a Pasajes (en la calle Génova), y tambien a FNAC (la de Callao o la de Parquesur) aunque esta última cadena está cada vez peor. En FNAC los libros y la música están desapareciendo, y cada vez se está convirtiendo más en una tienda de cachivaches electrónicos, videojuegos, y muñecos de Star Wars. Una pena.

El grueso de los libros que compro son de Amazon. Por las cosas que leo, prefiero hacerlo en inglés. Además el tamaño del catálogo de Amazon es acojonante. Puedes encontrar cualquier cosa, por rara que sea. En Amazon.co.uk tengo además una wishlist, por si alguien no sabe que regalarme en algún momento dado En realidad la uso para llevar una lista de los libros que me van interesando pero que no quiero comprar todavía.

Y por último, cuando voy de viaje, siempre aprovecho para ir a librerías grandes. Barnes&Noble y Borders en EEUU. Waterstones en Inglaterra. American Book Center en La Haya o Amsterdam. Bider&Tanner en Basilea.

¿He mencionado que tengo una wishlist?

Ya pensabais que os habíais librado de mí, ¿eh?

La verdad es que ultimamente he estado bastante ocupado. El trabajo me tiene de acá para allá varios días a la semana (sobre todo Sevilla, pero también Lisboa y otros sitios de la geografía ibérica). Además he vuelto a la vida estudiantil con un programa de postgrado que me tiene liado todos los viernes por la tarde-noche, y los sábados por la mañana.

Pero bueno, intentaré escribir algo por aquí por lo menos una vez a la semana…

No me voy a enrollar mucho con los detalles, pero aquí teneis un consejo para mejorar el rendimiento de disco con Linux en general, y Debian y Ubuntu en particular.

Cada vez que Linux accede a un fichero (aunque sea sólo para leerlo) en un sistema basado en ext3, por defecto actualiza un atributo que contiene la fecha y hora del último acceso. Como comprendereis esto supone un trabajo que en muchos casos es innecesario, y que puede hacer ganar un poco de tiempo al sistema operativo. La alternativa es deshabilitar este comportamiento en el fichero /etc/fstab añadiendo la opción “noatime”. En Ubuntu además se puede habilitar la funcionalidad similar pero más eficiente de “relatime” (por defecto en Ubuntu desde Hardy Heron), pero que yo sepa, no está disponible en Debian.

Por ejemplo, este es mi /etc/fstab para el servidor con Debian 4.0

# <file system> <mount point>   <type>  <options>       <dump>  <pass>

proc            /proc           proc    defaults 0 0

/dev/hda1       /               ext3    defaults,noatime,errors=remount-ro 0 1

/dev/hda6       /home           ext3    defaults,noatime 0 2

/dev/hda5       none            swap    sw 0 0

Una vez modificado el fichero de configuración para añadir “noatime” a las particiones del disco, lo más fácil es reiniciar para aplicar los cambios. Una forma de ver el rendimiento es mediante el comando “hdparm -tT /dev/hda” (si no lo tienes instalado, haz “sudo apt-get install hdparm“)

Estos son los resultados del test antes del cambio:

 Timing cached reads:   134 MB in  2.02 seconds =  66.25 MB/sec

 Timing buffered disk reads:  124 MB in  3.03 seconds =  40.96 MB/sec

Y después del cambio:

 Timing cached reads:   140 MB in  2.01 seconds =  69.51 MB/sec

 Timing buffered disk reads:  136 MB in  3.04 seconds =  44.72 MB/sec

Con un cambio de nada, consigo un 5% de mejora sobre lecturas cacheadas, y algo más de un 9% en lecturas directas. No es mucho, pero en un PC viejo, con micro de 900 MHz, utilizado como servidor de ficheros… ¡se agradece!

Por cierto, el “truco” del noatime también vale para Windows cuando usamos sistema de ficheros NTFS (si no lo estás usando, cámbialo ya). Cambiando la clave NtfsDisableLastAccessUpdate a un valor de 1, conseguimos el mismo efecto.

Ojo, estos cambios eliminan una información (tiempo de acceso a un fichero) útil en investigaciones forenses. Esto puede ser bueno o malo dependiendo del punto de vista que se mire

(visto en The Onion)

En la foto podeis ver una señal de tráfico de Swansea (Gales). Aparte del hecho de ser bilingüe (¡el Reino Unido se rompe!), lo curioso es que el texto en inglés no se corresponde… erm… exáctamente con el texto en galés.

La traducción del texto en galés es algo así como “No estoy en la oficina en este momento. Por favor envíen el trabajo para ser traducido“.

Alguien debería comprobar las cosas antes de mandar hacer los carteles

Visto en Language Log.

Hace escasos minutos he llevado a Pablo disfrazado de murciélago a la guardería, que hoy celebran el Halloween.

(Y antes de que empiecen los comentarios acerca de lo ajena y americana que nos es esta fiesta, os digo que prefiero esto a que los niños se pasen el día fregando lápidas en el cementerio, como parece ser la costumbre “castiza”)