Acabo de ver esta noticia, y se me ocurre que describe muy bien el mundo en el que vivimos, a finales de 2007 y casi principios de 2008:

42 nigerianos mueren quemados en navidad al robar petróleo para revenderlo

Un gran resumen de dónde estamos y a dónde vamos.

(vía Menéame)

Marc Stevens, Arjen K. Lenstra, y Benne de Weger han publicado un paper titulado "'Vulnerability of software integrity and code signing applications to chosen-prefix collisions for MD5" ("Vulnerabilidad de aplicaciones de firma de código e integridad de software para colisiones de prefijo predefinido para MD5").

(vía Slashdot)

En 2004 (publicado en 2005) el equipo de Xiaoyun Wang habría encontrado un procedimiento para detectar colisiones en MD5 definiendo al mismo tiempo una serie de condiciones que -de cumplirse- reducirían sustancialmente la complejidad del proceso y por tanto el tiempo requerido.

Ahora, publicada el 30 de Noviembre de 2007, aparece una aplicación de este procedimiento dirigida a conseguir dos ficheros diferentes tales que su hash MD5 fuese idéntico. En caso de usar firmas de documento basadas en MD5, esto permitiría a un atacante hacer creer a la víctima que está viendo uno de los ficheros cuando en realidad estaría viendo el otro.

Básicamente, esto significa que un atacante puede generar un sufijo a añadir a dos programas:

1. Un programa legítimo, que enviará para revisión y firma
2. Un programa ilegítimo, al que copiará la firma del primero

De esta forma, un atacante puede hacer creer al usuario que el software malicioso tiene el visto bueno de la autoridad certificadora, cuando en realidad dicha autoridad certificadora habría basado su decisión en un software completamente diferente.

Otra aplicación podría ser la falsificación de firmas en documentos guardados en formatos en los que el documento no varía al añadirle un segmento de datos, como serían documentos Word u otros documentos que pueden dar error al abrirlos, pero este error puede ser corregido de forma más o menos transparente al usuario.

En este caso, un atacante podría generar dos documentos:

1. Un documento con el que la víctima estaría de acuerdo
2. Un documento completamente diferente, beneficioso para el atacante

Si el atacante consiguiese convencer (engañar) a la víctima para que firmase el primer documento, más tarde podría copiar la firma del mismo al segundo documento y presentarlo como firmado por la víctima.

Todo esto hace que para beneficiarse del ataque el usuario necesite generar ambos documentos, legítimo e ilegítimo, antes de someter el legítimo a su revisión por la autoridad de certificación o la víctima, no resultando práctico por ahora el duplicar un hash MD5 determinado con posterioridad a la creación del mismo.

Esto es, el MD5 seguiría siendo fiable como medio para comprobar la no-modificación de ficheros propios de cuyo contenido estuviésemos seguros en un primer momento, pero dejaría de ser fiable como base para cualquier tipo de firmas o certificados.

Potenciales objetivos para el ataque:

• Transferencia de firmas entre programas
• Transferencia de firmas entre documentos en formatos sin comprobación estricta de integridad
• Microsoft Authenticode [2] (usando MD5 en certificados X.509)

El DNI Electrónico (eDNI) expedido en España, aunque se basa en certificados X.509, utiliza en su árbol de autoridad hashes SHA-1 como base para un cifrado RSA. Aún así, sería importante no utilizarlo para firmar hashes MD5 de programas ni documentos no confiables.

Top 20 series de TV más populares:

La verdad es que de las 20 sólo me gustan 7 -con tal vez 1 o 2 más que todavía no he visto- de las que realmente sólo sigo una (Stargate Atlantis). Ni por internet soy capaz de ver TV

Y tú, ¿cuántas has visto ya?

No me considero monárquico, pero...

¡Con un par, sí señor!

Luego dicen que el Rey de España no representa el espíritu nacional, a los pueblos o nosequé cosas... ¡Español hasta la médula, leches!

(vía Menéame, El Mundo, TVE 24h)

Actualización: acaban de añadir el vídeo completo con el contexto de la expresión del Rey. Tenía más razón que un santo para decir lo que dijo, aunque quede claro que no es un político como Zapatero.

Estos días se discute (vía Menéame) si Microsoft debería llegar a un acuerdo consigo misma para establecer un estándar... para el resto del mundo. Curiosamente, un estándar que ni siquiera Microsoft sigue, pues en la practica demuestra ser un texto completamente inútil además de incompleto.

La situación actual está como sigue:

Microsoft vs. "el resto del mundo"

¹: MS Office no soporta OOXML, sino un derivado
²: MS Office soporta ODF con un plugin

De llegar a aceptarse el OOXML como estándar ISO, quedaría (aún más) en entredicho la utilidad de los procesos de estandarización en sí. ¿Puede una sola empresa influir en un proceso supuestamente democrático, hasta doblegarlo a su voluntad? ¿Tiene sentido llamar "estándar" a un acuerdo unilateral?

Todo el sentido de la estandarización, radica en facilitar una mejor interoperabilidad entre soluciones de empresas competidoras. Un estándar que ni su propio proponente lo respeta, no es estándar ni es nada.

Parece que vende más mentir que informar.

La pasada semana pudimos ver en directo el bochornoso espectáculo que nos daban los medios de "información" tradicionales. Prensa, radio y televisión, todos llenos de paletos descerebrados más aficionados a copiarse entre sí que a decir la verdad. ¿Qué ha sido de la ética periodística? Hoy más que nunca vemos cómo brilla por su ausencia.

Desde Malaprensa analizan la situación, confrontando las mentiras y medias verdades con la dura realidad.

AVISO: artículo no apto para borregos

Para quien no quiera leerse el "tocho" de malaprensa, ahí va un resumen:

1. La Wikipedia ha denunciado... FALSO, la Wikipedia no ha denunciado nada.
2. Se sabe quién modificó la información... FALSO, no se sabe quién fue, sólo dónde se conectaba.
3. No hubo más implicados que los mencionados... FALSO, fueron miles de personas y organizaciones.
4. La CIA ha manipulado... FALSO, precisamente la CIA no ha manipulado nada.
5. Hay un "boicot" desde la CIA y el Vaticano... FALSO, ninguna de las dos ha organizado ningún "boicot".
6. Sólo fueron la CIA, Vaticano, Israel y la Fox... FALSO, de hecho fueron otras empresas las que más manipularon.
7. Nadie habla de las claras manipulaciones desde ONGs como la NRA, MPAA, Amnistía Internacional o la Cienciología.
8. Nadie dice que todas las manipulaciones fueron corregidas en poco tiempo, por gente en su mayoría ajena a la Wikipedia.
9. Nadie habla de sus propias manipulaciones, hechas desde su empresa.
10. TVE y Antena3 no solo manipularon a posta, sino que encima lo grabaron para jactarse de ello públicamente. Gilipollas.

Si ya desde el mismo "Sé lo que hicisteis" de La Sexta -un programa de TV basado en copiar vídeos- se burlaban de otros que les copiaban descaradamente su trabajo, con este caso vemos que la enfermedad está extendida por todos los medios tradicionales. Incapaces de permitir un razonamiento, restringidos a servir papilla a las ovejitas, hasta que son las mismas ovejas quienes cuidan al resto.

Con tal de no quedarse rezagados del rebaño, todos están dispuestos a soltar el "Beeeh!" más fuerte.

10 de Junio, y vuelve a granizar a las 18:24 en Bilbao:

(esta vez publicado en poco más de 5 minutos )