Desde luego, python es versátil, ya lo creo..

(visto en commandlinefu.com)

Verán ustedes. Internet, en la actualidad, funciona básicamente así:

Internet, en cambio nunca va a funcionar así (entre otras cosas porque ni los usuarios ni las empresas afectadas son idiotas):

Simple como el mecanismo de un sonajero, ¿ Verdad ? Pues vayan haciéndoselo entender a su jefe; que entendemos que para cubrir sus bonus hay que sacar todo el zumo posible de la fruta, pero en serio, que no cuela.

Y en la próxima lección, conceptos avanzados: Por qué la neutralidad de la red no se la va a cargar un directivo de una teleco que fue colocado a dedo por Aznar. No, no tienen que darme las gracias. Ya saben a dónde enviar el cheque.

Artículo 160. Medidas tecnológicas: actos de elusión y actos preparatorios. Añadido por Ley 23/2006, de 7 de julio.

1. Los titulares de derechos de propiedad intelectual reconocidos en esta Ley podrán ejercitar las acciones previstas en el título I de su libro III contra quienes, a sabiendas o teniendo motivos razonables para saberlo, eludan cualquier medida tecnológica eficaz.

[...]

3. Se entiende por medida tecnológica toda técnica, dispositivo o componente que, en su funcionamiento normal, esté destinado a impedir o restringir actos, referidos a obras o prestaciones protegidas, que no cuenten con la autorización de los titulares de los correspondientes derechos de propiedad intelectual.

Las medidas tecnológicas se consideran eficaces cuando el uso de la obra o de la prestación protegida esté controlado por los titulares de los derechos mediante la aplicación de un control de acceso o un procedimiento de protección como por ejemplo, codificación, aleatorización u otra transformación de la obra o prestación o un mecanismo de control de copiado que logre este objetivo de protección.

Básicamente, está prohibido demostrar que el ‘codificado’ del antiguo Canal Plus nunca fue tal, sino una chungada de ‘pseudocifrado’, fácilmente reventable, por poner un ejemplo de otras épocas.

Hace unos días que he cambiado digital+ por imagenio, dentro de una política de ajuste de cinturones familiar. Y porque me interesaba cómo funcionaba el inventito de Telefonica, que si el router, que si necesidades de velocidad…

Tras un par de vistazos al router que ponen (uno de sus dos modelos, modificado a su gusto) y al decodificador, deduje más o menos por dónde podían ir los tiros. Tenía interés en saber qué protocolo usaban para el streaming, si hacían QoS… así que googleé un poco. Y resulta que nisiquiera cifran la señal, la ‘protección’ la basan en servir streams de video a la ip de la conexión, y a través del router, a una ip privada concreta de un rango concreto; basta con un reproductor de video libre (disponible en linux, windows, mac) para poder ver Imagenio en cualquier ordenador de la casa. A partir de ahí, volcar el video a un archivo es trivial. Un vistazo a Google lo explica con todo lujo de detalles.

¿ Estoy violando el artículo 160 de la LPI ? ¿ Lo viola Google al mostrar la información que apunto ? ¿ Algún abogado podría tener las narices de argumentar como ‘eficaz’ un medio de protección basado en usar un rango de IPs privadas para los PCs y otro para los ‘decodificadores’ ?

¿ Acaso a Telefonica le da igual el asunto ? ¿ Quiere volver la castaña a PRISA, de cuando a Canal Satélite les robaban las llaves para las tarjetas cada mes, ‘casualmente’ ?

La respuesta, próximamente en su pantalla, a la misma inf-hora, en el mismo inf-canal….

Me gustaría, para que este post fuese leído por miles de personas, no por reconocimiento, ego o cosas por el estilo. Si no por llegar a mucha gente, y hacer mucho daño efecto.

Resulta que anoche me llama mi tía, una persona mayor, preocupada, diciéndome que tiene un mensaje en el móvil, que la han llamado sobre un asunto jurídico respecto a Hilario Ortigosa. ¿ Por qué la llaman a ella ? ni idea, su única relación pública conmigo es su parentesco.

Buscando el 902 que daban en el mensaje (bendita Internet), encuentro que es de ISGF SL, a los cuales no conozco de nada. Se dedican a estudios de mercado, dicen. Ah, y al cobro de facturas pendientes.

Hace un par de meses me di de baja de Ya.com. Por supuesto, me di de baja con burofax, que uno ya tiene muchos kms. a las espaldas y me he quedado calvo de ver bajas alargadas durante meses, porque la operadora no se daba por aludida. La cosa es que ha coincidido en el tiempo con un cambio de domiciliaciones en cuenta, y al parecer quedó un recibo por devolver. Un recibo, 50 €. Después de unos 4 años ininterrumpidos de pago sin una sola falta. Y resulta que estos señores de ISGF se encargan de cobrar sus facturas pendientes.

Según parece, enviaron una carta a mi antiguo domicilio, allá por navidad. Como es mi antiguo domicilio, yo no la he recibido. A todo esto, que mi teléfono móvil mantiene el mismo número desde que me lo compré, allá por el 99. Y las direcciones de e-mail, casi lo mismo. vamos, que localizable, soy localizable.

Ayer recibí una llamada desde un número oculto. Estaba en una reunión, así que nada: colgué, y ya volverán a llamar… pero no: Una srta. que se identificó como Mónica, resulta que busca en el listín telefónico, coge a alguien con mi mismo segundo apellido, y llama para avisar sobre un asunto jurídico respecto a Hilario Ortigosa.

50 €. Un recibo. Se debe hace un mes. Con dos pelotas de baloncesto.

Conclusión, que no me quiero alargar porque ya voy calentito: no contraten con ya.com. Antes les recomendaba a mis clientes y conocidos, ahora ya les voy a hacer el máximo de publicidad negativa que pueda. Si su gestión con los clientes la derivan a empresas tan irresponsables, no es mi problema. Los 50 €, que por supuesto van a cobrar, faltaría plus, pero en mis condiciones, les van a costar caros en publicidad negativa.

Sólo desearía que este post llegara a más gente, para que les costase mucho más caro. Para que le peguen un collejazo a la empresa esa de las siglas. Para que no traten a los clientes como a criminales.

Que ya está bien, coño.

Una librería cualquiera, delegación de una librería online cualquiera. Málaga Capital.

La línea de cable de ONO, que siempre se ha distinguido por su “calidad” y “servicio”, ya se ha tornado en algo inmanejable. Reunido en cónclave, el comité director del asunto acepta la proposición del BOFH (yo) de mandar a ONO al quinto cuerno y pedir un ADSL a Telefonica, como había que haber hecho desde un principio, añadió el BOFH (de nuevo, yo) con cierto retintín.

Se solicita el alta. En 24 horas el técnico asoma por la tienda con el router. En 24 horas + 5 minutos se va por donde ha venido; que no hay ptr, ni sabe dónde está la canalización hasta la toma del cuarto de telecomunicaciones del edificio (de nueva construcción). Y que nos busquemos la vida para encontrarlo, y le avisemos.

Buscamos a un profesional (de a partir de ahora, el profesional) para que nos localice el asunto. Algunos miembros del comité opinan que no es muy necesario, que la cosa es simple: hablar con los instaladores originales, localizar el tubo. El BOFH se huele lo peor.

12 horas después, el profesional se ha subido a la escalera varias veces, ha reptado en techos técnicos, se ha quedado encerrado en el garaje del edificio, ha tenido que interrogar a varios miembros del staff de mantenimiento del mismo. Si tuviese una hija, fijo que se habría metido en 300 millones de problemas de mientras que el se liaba con eso. De mientras, yo, BOFH (Bauer o Fastidiado (H)igual) , intento hacer juegos malabares con la BBDD para soltar algo de lastre y que la conexión de ONO no nos j*da tanto el asunto de mientras que se arregla lo del alta.

1 hora después, ya está el asunto medio claro: que hace un par de años hubo un incendio, y la mitad de los tubos se fundieron, otros se inutilizaron, etc. Que nadie sabe a dónde va nada y nadie conoce a nadie.

Hasta el momento nadie ha podido encontrar vínculos con alguna organización internacional secreta tipo SPECTRA. Aún no se descarta la conspiración. Esto no puede ser tan kafkiano y no ser parte de un plan maligno.

otra hora después de múltiples pruebas, tests, suposiciones, investigaciones, acabamos con el siguiente plan:

* Uno de los locales adyacentes tiene teléfono, ergo uno de los locales adyacentes fue capaz de encontrar un puñetero tubo hasta el cuarto de telecomunicaciones del edificio. Uno de los tres cuartos que hay, por cierto; que nadie tenía ni idea de adónde iba cuál. En su momento se preocuparon de que llegasen a los pisos, y arreando.

* El plan de acción pasa por bajar el cable por ese tubo localizado, hasta el local intermediario, y pasar el cable de local en local hasta que llegue al nuestro. Por suerte los vecinos son buena gente y acceden a otorgarnos derecho de paso de telecomunicaciones.

* Ahora solo queda localizar al instalador de Telefónica para que vuelva a venir con el superouter de la muerte. Y que no salgan más problemas.

Llaman de otro sitio… Sí, que hay un problema con una BBDD, de unos cambios que ha habido que hacer….

pip-pip-pip-pip……

Supongamos que esa tarifa nos da acceso a las zonas wifi de telefonica (no se si es una opción o viene de serie)

Cuando entras desde un ordenador normal a una zona wifi de Telefonica, te pide tu tarjeta de prepago, etc. Si entras desde el iPhone, salta a una página ‘especial’ donde te pide el nº de telefono que tienes con la tarifa, para poder navegar. Lo metes, autentica, y tirando millas. Olvidémonos del truco evidente; nuestro objetivo es usar nuestro ordenador, siendo nosotros los dueños de dicho número de móvil.

Si metes la URL a mano en el navegador, y autenticas, el sistema dice que ‘no puede autenticar contra el servidor de tarjetas’. A mi al menos me pasa con firefox, así que no puedes usar la ‘autenticación’ del iPhone desde un ordenador. ¿ pero qué pasa si usamos el navegador Safari ? aaaaaah…..

Testeado con safari de mac. Post publicado desde mi Macbook Pro, usando la Zona Wifi de Telefónica. Y recuerden: todo esto sólo es producto de su imaginación; no le den más vueltas…

- Señor, yo no me alisté para esto….

- ¡ No diga tonterías, soldado ! ¿ Acaso no prestó juramento para defender la libertad y el modo de vida BOFH ?

- Sí, pero….

- ¡ Pero nada ! ¡ Aquí se viene a sufrir ! ¿ Acaso cree todavía en las historias de su mamá ? ¿ Aún piensa que los servidores windows se pueden mantener igual que los linux ? ¿ Que una Ubuntu es ‘prácticamente’ lo mismo que una Debian ? ¿ En serio piensa todavía en fantasías de backups que siempre se hacen bien y actualizaciones que no estropean nada ?

- Lo que usted diga, mi teniente… ¿ Pero qué tiene que ver todo eso con hacer de ‘correo’ de cacharrería informática ?

Si, queridos míos: 17 hdds que me llevo de vuelta a la guarida: usados, medio scacharraos unos y otros. La gran mayoría Scsi U320, a ver en qué los aprovecho…

Protocolo equipo A: dícese de aquél en el que se hace una revisión del entorno, y te apropias de toda herramienta aprovechable para la causa

Ya que tengo la sede de operaciones de mi supergrupo en el PTA, voy a trasladar trasladar algo de material a la oficina, dado que aquí ya no tiene sentido que esté, y además, ocupa demasiado sitio y tal. Ahora que lo pienso, voy a ganarme fama como traficante de herramientas y demás materiales…

Básicamente, la historia consta de dos partes:

• Desaparece la titulación en informática. La cosa empieza por la ingeniería, pero no se si podría extenderse a FP y ciclos formativos. En cualquier caso, queda eminentemente ‘tocada’

• Se le da a la rama de telecomunicaciones absolutamente todas las atribuciones que genuinamente (y por sentido común) serían sentido para un ingeniero informático, como, por poner:

Servidores, redes, sistemas distribuidos, sistemas operativos, interfaces persona/computador, usabilidad, seguridad, bases de datos, sistemas de información, programación (fundamentos, métodos, lenguajes, en tiempo real, concurrente, distribuida y basada en eventos), software (tecnología, metodología, ingeniería), gestión del conocimiento, etc.

Aún se baraja la posibilidad de asignarles el establecimiento de Matrix, el gobierno de la futura nación IA y todo lo que salga en el cine actual y tenga una pantalla por medio. Ya que estamos…

La explicación del grupo socialista para el asunto es francamente surrealista. Soy progresista (y socialista, nunca lo he escondido), pero esto es una de esas cosas, como el canon, que me hacen preguntarme ‘¿ Ein ?’ . Por otro lado, huelga decir que la proposición no de ley del Partido Popular no es más que defender una causa que contaban que sería rechazada y quedar de ‘guays’, en lugar de buscar un cambio real. Como pasó con el canon, en ambos partidos, en las últimas etapas legislativas. Cuando gobernaban ellos esto ya flotaba en el ambiente (se hablaba de Bolonia y los colegios profesionales ya en el año 2000).

Lo que me hace gracia es que, por motivos personales, familiares, y de otras historias, aún no tengo terminada la carrera, así que me beneficiaré de no haber hecho ningún caso de la cultura imperante y de lo que tradicionalmente se ha defendido desde la administración: como no me enfoqué en tener mi titulación, ahora puedo cambiarme a la carrera que, al final, es la que cuenta en esto.

O quién sabe, igual a los informáticos los convierten en telecos por la cara. Igual el colegio de ing. en telecomunicaciones lo permite tal cual. ¿ Apostamos ?

Hay convocada una huelga para el próximo 19 de Noviembre. Yo soy empresario, ergo hablar de huelgas para mí está de más, pero si estuviese por cuenta ajena iría a la huelga, sin duda.

Y no os olvidéis: esto no va de colegios mafiosos, de querer corralitos o de chorradas por el estilo. Esto, como muchas otras cosas, se trata de pasta, parné, dinero.

Actualización: ni los webcomics tienen ganas de marcha.

Nota: no aporto nada que no se haya dicho ya en otros sitios, más completo y con mejores ejemplos. Pero espero que sirva a alguien para entender el alcance del problema.

–

Kriptópolis tiene muy buenos artículos explicándolo en lenguaje técnico-llano, pero intentaré hacer de Isaac Asimov para vosotros.

El cifrado estándar en la informática se basa, a muy grandes rasgos, en encontrar una estructura que sea extremadamente difícil de ‘adivinar’ por pura suerte o por prueba sistemática. A esto último se le denomina ‘ataque por fuerza bruta’.
Ejemplo: digamos que yo utilizo una clave numérica de dos dígitos como código de alarma de mi casa; eso hace que cualquier persona que pruebe 99 combinaciones (del 01 al 99, o 100, si consideramos el 00) tiene *por pura obligación* que hallar cuál es la clave que he utilizado. Si el código pasa a ser de tres dígitos, entonces las posibilidades van de 000 a 999, y así. En el fondo, nunca buscas ser totalmente indescifrable, sino lo suficientemente difícil para que no merezca la pena intentarlo.
basándonos en ello, volvamos al asunto concreto. Cuando generas llaves de cifrado RSA (clave pública+ clave privada) asociadas entre sí, generas dos conjuntos de información, uno público, que puedes (y quieres) compartir con la gente, y uno privado, que es el que te reservas para tí y el que te otorga la exclusividad del cifrado (privacidad) o firmado (autentificación) de la información. Tu clave pública se relaciona únicamente con tu clave privada, por lo que es teóricamente posible ‘adivinar’ tu clave privada, a partir de probar llaves privadas. La seguridad radica en la gran cantidad de llaves privadas posibles, tanto, que hace que (para los que manejamos ordenadores normales, NSA y similares al margen) se calcule en meses, años, o incluso más, lo que se tardaría en ‘adivinar’ una de esas llaves privadas. Aquí radica lo importante, en la gran cantidad de posibilidades.
Para generar un par de llaves privada/pública, necesitas que sean al azar. Y en la informática, eso del ‘azar’ está jodido de conseguir, puesto que todo se basa en situaciones conocidas: es por ello que se utiliza lo que se llaman ‘fuentes de información aleatoria’, que es recoger información de pulsaciones de teclado, de ratón, accesos a disco, información de red, etc.. Contactos con el mundo real que producen información de forma casual, y por tanto, no predefinida. Tomando valores matemáticos a partir de esa información, consigues crear tus llaves totalmente aleatorias, y por tanto, difíciles de adivinar.
En el caso concreto de debian, esa información aleatoria, se combinaba con el numero de proceso de programa (PID) del que estaba creando las llaves, al fín de meterle ‘un poquito más de aleatoriedad’, creo, de si era este motivo no estoy totalmente seguro.
La cosa es que por error (más bien, por un razonamiento tremendamente erróneo), se eliminó las líneas de código que utilizaban la información aleatoria, dejando únicamente el número de PID como fuente de información aleatoria para crear las llaves.
en Linux, los PID van de 0 hasta 32768, por lo que de las millones o miles de millones de posibilidades, o más, que se esperarían en tus llaves de cifrado, bajamos a únicamente 32768.
Ese número es tremendamente bajo, tanto que hasta hay ya listados ‘pre-creados’ de TODAS las posibles llaves. Es decir, treintadosmil y pico.
Ahora vayamos al asunto práctico:
- Un amigo nos envía un mensaje cifrado. Para ello, coge nuestra llave pública, que conoce, y pasa el mensaje por la misma. Eso hace que sólo con nuestra llave privada se pueda descifrar. En condiciones normales, hay que probar entre muchas, muchísimas combinaciones, para hallar ‘por suerte’ la llave privada que nos dé ese descifrado. Pero en este caso, las combinaciones se reducen a 32000. Muy pocas.
- Nosotros vamos a firmar una información. Para ello, usamos nuestra llave privada, que nadie más tiene, y generamos un código matemático que alerta de si el mensaje ha sido modificado, y ese código lo ‘pasamos’ por nuestra llave privada, para garantizar que somos nosotros, dueños de dicha llave, los que enviamos dicho mensaje. para poder alterar ese mensaje, o crear otro cualquiera haciéndose pasar por nosotros, quien sea necesita de nuestra llave privada. De nuevo, 32000 pruebas y ya la tenemos ‘adivinada’. Demasiadas pocas.
- Una web se identifica con un certificado seguro. Un certiicado web-ssl es básicamente una llave pública criptográfica, que a su vez está firmada por una entidad de terceros (verisign, comodogroup, thawte, etc), garantizando que ellos son ellos, que la conexión que se haga bajo su control será privada, y que nadie la va a interceptar o alterar. De nuevo, sobre 32000 posibilidades únicamente, es extremadamente fácil romper esa seguridad. Por no hablar de la posibilidad, algo mas remota en términos de Internet ‘normal’, de hacerte pasar por un servidor web legítimo, que es lo que los certificados seguros se supone que pueden evitar.
- La misma situación se da con TODO, ABSOLUTAMENTE TODO lo que haga uso de cifrado en TODAS LAS DISTRIBUCIONES basadas en debian y que hagan uso del soporte estándar de cifrado: eso incluye a apache, mysql, servidores de correo varios, ssh (peligrosísimo si los servidores tienen habilitado el loggueo automático por llaves rsa), etc. Curiosamente el pgp/gpg no se ve afectado, porque usan código propio para estos asuntos. Ellos ya tuvieron vulnerabilidades de este tipo (pgp 6, si no recuerdo mal) en el pasado.
Y todo esto no es lo más grave; ni siquiera el riesgo de que una autoridad de certificación hubiese usado debian o una distribución derivada para generar sus firmas autentificadoras de certifcados web.

No; lo más grave, con diferencia es, que por un lado, éste error ha convivido en Debian por mucho más de un año; y por otro, que el error fue motivado por una conversación del tipo:
- oye, que no se qué hace éste código, pero cuando lo pasamos por tal herramienta de programación produce avisos muy feos.
- Vale, pues quítalo, seguramente no valga para nada.

La base de Debian es: somos lentos, somos conservadores, somos sectarios, pero somos SÓLIDOS. Ésto ha tirado por los suelos lo que, por otro lado, era evidente que se trataba de un mito.

Espero haber sido lo suficientemente claro explicando todo esto. En kriptopolis.org tenéis varios artículos y enlaces para quien quiera profundizar en el asunto.
Más información:

Kriptopolis