La Naturaleza del Software

En 2005 escribí una prueba de concepto aprovechando la vulnerabilidad de MD5 (Busindre ha explicado mucho mejor que yo, en español, mi prueba de concepto), en realidad la prueba de concepto tomaba las ideas expuestas por Dan Kaminsky en su ahora bastante famoso paper MD5 To Be Considered Harmful Someday.

Hace unos días un grupo de investigadores europeos publicaron otra prueba de concepto igual de interesante, en un paper irónicamente llamado: MD5 considered harmful today.

Al parecer, no he leido detalladamente el artículo, la prueba aprovecha la misma vulnerabilidad que mi ejemplo. El hecho es que teniendo una manera de generar una colisión, no es complejo modificar el contenido de cualquier archivo firmado con MD5, esto se podría extender para modificar un certificado digital, convirtiendolo en un certificado raiz.

No sabemos cuantas Autoridades Certificadoras (CA) aún usan MD5 para firmar sus certificados, no creo que sea una práctica común, pero basta tener un sólo certificado firmado con este algoritmo para dejar vulnerable a todos los certificados generados por esa autoridad certificadora.

La manera más efectiva de combatir esta vulnerabilidad es dejar de usar el algoritmo MD5 al momento de certificar un certificado. Esto es algo que seguramente empezará a ser implementado en los browsers, y todas las bibliotecas que implementen SSL.

Ben Laurie, uno de los fundadores de la Apache Software Foundation, y miembro del teamo core de Open SSL ha pensado lo mismo, y al menos ha estado analizando la factibilidad de eliminar MD5 del código fuente de Open SSL, o al menos cambiar el nombre a las funciones que implementan este algoritmo, y propone calendarizar al menos la total eliminación de MD5, al parecer eliminar ahora el algoritmo provocaría una serie de problemas a varios certificados existentes.

Espero que este sea un golpe de gracia para el uso de MD5 como mecanismo de validación de firma electrónica. Me gustaría que fuera así, lamentablemente este algoritmo sigue siendo usado para certificar archivos ISO, o todo tipo de documentos digitales, por ejemplo, en Chile hay varias instituciones públicas que usan este algoritmo como firma obligatoria en varias normativas y procedimientos oficiales, que transfieren información bastante sensible, esos usos no tienen efectividad alguna, tal como mostré en 2005, espero que lean este artículo alguna vez y se cambie por algo mejor.

Estuve revisando algunos sitios web importantes que usan certificados digitales en Chile, con el fin de verificar que no usaran MD5, y afortunadamente no encontré nada. Pero atención, urge impedir que MD5 sea usado como algoritmo de firma en todo certificado, así que mientras eso no suceda, en realidad no sé si podemos confiar mucho en la infraestructura PKI.

Pero tampoco quedé muy tranquilo, porque casi todos los certificados digitales que pude ver usan SHA1 como algoritmo de firma, y sabemos SHA1 va a ser quebrado más temprano que tarde (teniendo un mecanismo de generación de colisiones es posible un esquema de suplantación similar al usado con MD5).

En términos de seguridad informática hemos empezado un año entretenido ;)

Actualización: MetaSploit ha agregado al arbol principal de su código la detección de certificados emitidos y firmados con MD5, lo malo es que el problema no está en los certificados ya firmados (estos se pueden revocar), la vulnerabilidad es que podemos crear nuevos certificados firmados con MD5. Insisto, lo que hay que hacer es invalidar la verificación MD5 cuando se use SSL.

Hace 2 años atrás nos enterabamos del incidente del plagio de Mago de Oz a una canción de Fernando Ubiergo, tuve la ocurrencia (no se si buena), de publicar una comparación de las letras de las dos canciones (algo que parece es ilegal en Chile).

Ahora los toscos defensores de Mago de Oz no dejarán de sonreir, y llevar esta agua a su molino.

Porque fue feo lo que le pasó en Antofagasta al Presidente de la SCD (institución que debe desaparecer), tanto que el mismo ha decidido publicar una declaración en su sitio oficial:

Con estupor y profunda pena, me he enterado que la Prensa ha difundido que en una exposición realizada en Antofagasta para defender y dar a conocer los derechos de los músicos de Chile se ha utilizado un software no original.
Debo señalar que tanto ese Equipo como los programas usados no me pertenecen siendo de propiedad de la SCD quienes me lo facilitaron para realizar la exposición.
En mi opinión, el hecho es bochornoso y reviste la mayor gravedad, por lo que, he solicitado, en mi calidad de Presidente del Consejo de la SCD una reunión urgente para este Lunes 5 de Enero, a fin de conocer las causas y explicaciones de este lamentable episodio, que me expone de una forma tan absurda.
De acuerdo a las explicaciones que pido, por la gravedad de los hechos, tomaré una resolución inmediata que comunicaré con comunicado oficial de Prensa el mismo 5 de Enero.
Un abrazo y gracias
Fernando Ubiergo
SCD

Yo también soy autor (en Chile escribir software es legalmente equivalente a escribir un libro, cosa que considero una estupidez), y como artista, me encuentro indignado por el incidente, y lo mínimo que espero de Ubiergo y de sus secuaces que admitan su error, hagan una auditoría pública a sus equipos, y a los de sus asesores, grandes sorpresas nos habríamos llevado, pero ya no va a ser así, porque un fin de semana es más que suficiente para tener los computadores en regla, ¿o no?

Déjenme que les cuente una cosa, un secreto en realidad, no confíen en "los expertos" que habla de las TICs.
Tengo la teoría de que ese término nació en las telcos, porque le temen tanto a desaparecer y volverse irrelevantes, que agregaron una C a TI, con el fin de mantenerse en el inconsciente colectivo.

Las comunicaciones,la C en TIC, es una más de las tecnologías de la información (TI), decir TIC es redundante, ridículo, y la verdad es que desprestigia a quien usa el término.

Pero no es por esto que voy a criticar al nuevo encargado de la estrategia digital del gobierno, si quiere insistir en usar un término neurológico para hablar de nuestra industria, es problema de él, habrá que usar un  filtro pasa bajo.

La verdad es que no hemos tenido nunca en este cargo un funcionario que realmente valga la pena. Algo se ha mejorado, el primero no sabía distinguir entre bit y byte, al menos los dos últimos alguna vez han desarrollado software (al menos eso dicen sus curricula), y conocen algo de la industria, porque vienen desde esta (lo que no sé si será mucho que decir, porque en realidad el nivel de la TI en Chile hace rato que deja mucho que desear).

Ernesto Evans partió mal, echándose en contra la comunidad del software libre con sus declaraciones:

¿Cree que el Estado debería incorporar más el software de código abierto?

"Es un tema de costo beneficio. La discusión no es si hay que incorporar software pagado u open source. Si tengo una aplicación que me cuesta cero, pero su implantación y desarrollo es más caro que un software pagado, entonces hay que optar por el segundo. Creo que se tiene que ver caso a caso. El software libre es un gran anhelo, pero hay que ver cuánta gente está capacitada para desarrollarlo, en qué áreas y cuál es su expertiz. Repito: No puede ser un tema ideológico."

 ¿Y qué opina que el Parlamento haya rechazado la glosa tecnológica acerca del software libre en las compras estatales?

"¡Menos mal que no la aprobaron! Imponer código abierto hoy es una locura. Si definimos como país que vamos avanzar en código abierto es otra cosa, para lo cual tenemos que generar una cultura para ello. Pero imponer el código abierto sería como un Transantiago tecnológico. Hay que ser responsable en estas cosas.'

Que desafortunada elección de palabras, si usted quiere invocar a todos los fantasmas de ineficiencia, costo para las personas, dolores de cabeza para el gobierno, nada mejor que elegir la palabra Transantiago.

"Para un botmaster capacitado, todo el mundo es un Test de Turing."

Soy aficionado a la ciencia ficción, pero debo confesar que nunca había leido una historia de Cory Doctorow,
creo que en este campo me he quedado atrás, y no pasé de Dan Simmons.

Aunque Doctorow no es un total desconocido para mí, no he leido mucho de él en realidad, algo sé de su aporte al debate sobre propiedad intelectual, su participación en xkcd (sobretodo en la 239), pero la principal referencia para mi de este autor es su rol de editor y creador de Boing Boing, un blog, que es tan entretenido, que llega a abrumar. 

Todo esto a propósito de que en la última edición de la Communications of ACM publican un relato de Doctorow bastante bueno, que me gustó tanto que pienso descargar algunas novelas de este autor para leerlas.

El relato que les menciono se llama "Pester Power", y es una bonita especulación sobre el origen del spam (*).

Imaginen por un momento que todo el SPAM que reciben en realidad son pruebas que realizan "proto inteligencias artificiales", para aprender y retroalimentarse, con el fin de superar el Test de Turing y llegar a pasar por inteligencias humanas.

¿Pueden las máquinas pensar?

El Test de Turing fue propuesto por el famoso matemático y padre la computación, Alan Turing en un artículo titulado Computing machinery and intelligence publicado en la revista Mind en 1950 (pueden leerlo en español en una interesante compilación llamada Controversia Sobre Mentes y Máquinas)

En ese artículo el autor considera la cuestión sobre la capacidad de máquinas para pensar. Como no es posible definir las palabras "máquina" y "pensar" en una forma que sea satisfactoria para todo el mundo, Turing sugiere cambiar la pregunta por otra relacionada, que sea expresable en términos menos ambiguos.

En vez de tratar de determinar si una máquina piensa, Turing sugiere que nos preguntemos si una máquina es capaz de ganar el llamado Juego de Imitación. En este juego participan tres entidades en habitaciones aisladas, una máquina (computador), un humano, y un juez (también humano). El juez puede conversar con el humano y la máquina a través de un terminal. 

Ambos, el computador y la persona tratarán de convencer al juez de que ellos son realmente seres humanos. Si el juez no puede decidir consistentemente cual es cual, entonces decimos que la máquina ha ganado el juego.

En el fondo la pregunta se ha cambiado por esta otra: "¿pueden las máquinas hacer lo que nosotros como entidades pensantes, podemos hacer?"

No voy a meterme en la discusión filosófica sobre esta pregunta, hay un pequeño y excelente libro, una "novela de divulgación", en realidad, que explora este tema en forma bastante entretenida, se trata de El Quinteto de Cambridge, de John L. Casti (edición en inglés en Amazon)

Pues bien, volvamos al relato de Doctorow, en este una hacker es detenida porque se la relaciona con la creación y uso de una botnet para enviar spam, es decir, una red de miles de computadores infectados con software troyano que sirve para enviar correos basura.

La protagonista del cuento se burla de sus interrogadores, por pensar que ella solo usa la botnet  para enviar correo spam:

"¿Saben lo que es barato en el siglo 21? El tiempo de computación. ¿Saben lo que es caro? El juicio humano. Ambos no son intercambiables. Los humanos son buenos entendiendo cosas, los computadores son buenos contando cosas, pero los humanos apestan al contar, y os computadores apestan al entender."

"¿Conocen los algoritmos genéticos? Tomen cualquier problema y generen 10 billones de pogramas de computador al azar y póngalos a resolver el problema. Tomen el 10% de los que lo hacen mejor, usen variantes al azar de ellos y repítanlos otras 10 billones de veces. Repítanlo 10 billones de veces más, y vuelvan en un día o dos, y descubrirán que el computador ha evolucionado una extraña y bizarra respuesta que a ningún humano jamás se le habría ocurrido."

Esto funciona bien si tenemos una manera cuantitativa de medir el éxito de estos programas. La cual es la razón básica por la que aún no hay una inteligencia artificial:

"Ningún humano va a lograr escribir el código para una Inteligencia Artificial (IA). La inteligencia es una propiedad emergente de factores evolutivos, no de la planificación central. Es anarquía, no estalinismo. ¿Lo entienden?"

¿Qué tal si pudieras hacer a que la gente probara tus IA candidatas día y noche, sin  pagarles, o darles a escoger? ¿Qué pasaría si cada vez que abres tu casilla de correo, entras en un salón de chat, o a un foro en internet, te llegan mensajes generados por agentes de software que están tratando de engañarte haciéndose pasar por humanos?

¿Y si pudieras seguir los hilos de las conversaciones hasta aquellas que duran más tiempo, o de los emails que
pasan los filtros anti spam?

Imagina que eliges los mejores agentes de software para generar la nueva generación de inteligencias artificiales, y las vuelves a probar contra los mejores jueces de inteligencia: nosotros.

¿Qué tal si pudieras convertir al mundo entero en un gran Test de Turing que para nuestro sucesor intelectual?

¿Y si, además, esa idea se le ocurriera a muchos otros hackers, con redes de computadores esclavos (botnets)?

Esa es la premisa del cuento.

Pero, y ¿si no fuera ficción? Recientemente Kevin Kelly especula sobre el surgimiento de un superorganismo. Al parecer existen evidencias inquietantes, paquetes de red no identificables, que podrían ser rastros de una inteligencia que estaría surgiendo desde la red.

Una cosa es cierta, hay muchos botmasters por ahí, hackers que tienen a su disposición el tiempo de cómputo de miles y miles de computadores infectados, más de uno lo podría estar usando para algo más interesante que mandar emails ofreciendo viagra, ¿no creen ustedes?

(*) Lamentablemente, a pesar de las ideas de Cory Doctorow, el relato está protegido con copy right por la ACM, y sólo accesible a los suscriptores de esa revista, pero supongo que algo se podrá hacer.

Este video es oficial y parte de la campaña G1 G1 de OLPC, y cuenta con la autorización de Yoko Ono:

via el blog oficial de la OLPC

(ACTUALIZACIÓN: Sugiero leer este nuevo apunte del Francotirador)

Son las 15:00 horas del martes 16 de diciembre y Guillermo Frêne, abogado de Carey y Cía, abre su copia de Microsoft Word para redactar un documento, el título, sólo 3 palabras escritas en mayúsculas: PROYECTO DE LEY. Tan sólo 14 minutos se demoró en la redacción del documento, ¡bastante rápido en realidad! Me llama la atención la mención a The Houze! en las propiedades del documento, ¿estaría en su casa?. A las 20:45 su colega Maria Fernanda Quezada revisa el documento, para despacharlo, seguramente a los diputados Tucapel Jiménez, Guillermo Ceroni, Rodrigo González, Jorge Insunza, Marco Antonio Núñez, Jaime Quintana y Ximena Vidal, que lo están esperando para presentar el infame proyecto el miércoles 17.

¡Que interesante es analizar la meta información registrada en las propiedades de un documento Word! ¡"Gracias Francotirador por darnos las pistas

Hay que seguir los hilos para llegar al titiritero, y en esta era de la información el rastro digital nos permite justamente eso.

Hay algo de justicia divina en esta "filtración".

Supongo que a los abogados de Carey y Cía no les va a gustar para nada que estemos al tanto sobre sus actos, y lo que han estado haciendo.

Así nos sentiríamos nosotros si los ISP nos estuvieran espiando cada vez que naveguemos por internet.

Porque para implementar su proyecto de ley hay que instalar tecnología que levantaría de su tumba al mismisimo George Orwell, que reescribiría su 1984 (versión corregida y aumentada).

Yo me pregunto, ¿qué habrá pasado entre la redacción del documento y el despacho? ¿Comprometer las firmas de los diputados? Es obvio que alguien le dió la instrucción a los abogados para que prepararan el documento, mientras conseguía la firma de los "honorables".

... evitar adoptar medidas que estén en conflicto con las libertades civiles y los derechos humanos y con los principios de proporcionalidad, efectividad y disuasión; como la interrupción del acceso a Internet.

(Gracias ChaTo)

Lo que más me molesta es que estos mismos diputados se autoproclamen progresistas, promoviendo leyes que claramente van en contra del progreso de los ciudadanos, y defendiendo los intereses de unos pocos, de multinacionales e "industrias que han sido incapaces de cambiar su modelo de negocios para enfrentar las necesidades impuestas por la sociedad de la información."

Espero que todos recordemos este, y otros, incidentes cuando tengamos que votar el próximo año, y los que no están inscritos lo hagan y vayan en masa para mandar a su casa a estos títeres.

Feliz Navidad para todos ustedes!

Reserva Legal

Por favor, acepten mis deseos sin que ello implique obligación ni
compromiso alguno, implícito ni explícito.
Los deseos de Feliz Navidad que envío no implican ni deben ser
entendidos como proselitismo religioso, siendo cada uno de los que
reciban este saludo absolutamente libres de disfrutar dicha fecha bajo
las prácticas y tradiciones de la religión que profese, o bajo las
prácticas seculares que desee, o bajo la religión o prácticas seculares
de otros o, a su opción, no realizar práctica religiosa o secular alguna.
Los deseos de felicidad y prosperidad para el Año Nuevo se hacen
asumiendo el calendario generalmente aceptado en el hemisferio
Occidental, pero no implican el desconocimiento de la existencia de
otros calendarios ni de las culturas que los sustentan, las cuales desde
los tiempos prehispánicos han hecho grande a nuestro país (lo que no
implica necesariamente que nuestro país sea más grande que otros países
de la región o de otros lados del mundo, lo que digo particularmente por
nuestros compañeros Argentinos, Bolivianos, Norteamericanos y Noruegos.
La indicación de dichos países ha sido hecha por orden alfabético y no
implica preferencia o animadversión alguna. La expresión Norteamericanos
no importa el desconocimiento de varios países en Norteamérica).
El presente saludo se hace sin distinción, exclusión o preferencia
basadas en motivos de raza, color, sexo, edad, estado civil,
sindicación, religión, opinión política, nacionalidad, ascendencia
nacional u origen social, ni ninguna otra consideración que pueda ser
entendida como atentatoria o discriminatoria.
Aceptando este saludo, se aceptarán también en forma indivisible los
términos del mismo.
En todo caso, este saludo está sujeto a clarificación o incluso retiro
ipso iure por parte del suscrito, sea total o parcial, sin notificación
o aviso previo alguno.
Asimismo, este saludo es libremente transferible, siempre que no se
altere su texto original y en todo caso, sin responsabilidad ulterior
alguna para el suscrito.
Del mismo modo, este saludo no implica compromiso ni obligación alguna
del suscrito en orden a implementar o coadyuvar en la concreción de los
deseos que cada cual pueda tener, ni pueden ser entendido como forma de
participación, inducción o encubrimiento, en caso de que alguien tenga
deseos contrarios o prohibidos por la ley y éstos se concreten.
Este saludo tendrá la duración de un año y no será renovable, por lo que
se extinguirá de pleno derecho en la Navidad del año 2009.
Asimismo, no implica garantía alguna de que los deseos y parabienes
efectivamente se cumplan, dejando en claro que las felicidades pasadas
son oscilantes, por lo que nada garantiza que éstas vuelvan a repetirse
hacia el futuro.
Se hace énfasis en que este saludo navideño, se otorga por mera
liberalidad y no significa un precedente que obligue a repetirlo en
años futuros, cualesquiera que sean las circunstancias en que se
encuentren tanto el saludante como el saludatario. Como asimismo
señalar que los saludos que se puedan hacer durante el año, por
cumpleaños o santos, son sin animo de novar el saludo de navidad, el
cual permanece inalterable durante todo el año calendario romano o el
que pueda reemplazarlo a futuro.

Gracias a Sergio Miranda quien me envió este mensaje originalmente. Disfruten estas fiestas y pidan, a Santa Claus, y a los Reyes Magos que los abogados se extingan.