Y ya que estamos aprendiendo Informática "de verdad", que no decaiga.

Según Barrapunto, en FNAC aseguran sin vergüenza (ojo, Sr. Juez: separado) que los portátiles con Windows Vista no pueden llevar otra cosa, porque Vista "forma parte integral del sistema".

Traducción:

- ¡Anda! Acabo de recibir un mensaje tuyo. ¿Qué es?

- ¿Eh? ¿Mío? Espera un poco. Tengo que contestar a Dave, que me envió un mensaje instantáneo con una foto, pero el fichero de la foto está incompleto. Quiero pedirle que me lo reenvíe.

- Bueno. Eso es exactamente lo que acabas de enviarme. Con un adjunto que parece una foto. Hmm.. Tengo que responder "Aceptar" a "Guardar y ejecutar".

- ¡Espera! Yo no te envié nada.

- Arr... Creo que Dave tampoco te envió nada. ¿Sabes qué? Creo que su máquina tenía un virus. Y ahora la tuya también. ¿Hiciste clic en "Aceptar", verdad?

(C) 2007 Sukamol Srikwan & Markus Jakobsson. Reproducido en Kriptópolis con autorización.

Como consecuencia, los usuarios de productos VMware (Workstation, Player, Server, ACE y ESX) han de proceder a actualizarlos cuanto antes.

En virtud de este acuerdo, los lectores de Kriptópolis podrán disfrutar en este sitio de las versiones originales de estos comics, acompañados de su correspondiente traducción al castellano.

Como una imagen vale más que mil palabras, os dejo con la viñeta de hoy mismo. Que la disfrutéis...

Traducción:

- Hola, Joey. Necesito tu ayuda. Algo raro le ha pasado a mi ordenador. La pantalla se puso negra y nada de lo que haga sirve. ¿Qué puedo hacer?

- Hmm... ¿Qué tal si lo reinicias? (Y buenos días a ti también, por cierto).

- Vale, no cuelgues. Sí... vale... espera... Oh, ahora arranca.

- ¿Qué es esto? Dice "Has sido comprometido. Todos tus datos han sido cifrados. Paga 100 dólares por recuperarlos". Joey! Esto no tiene gracia.

- Hey, yo no tengo nada que ver, ¿vale? Esto no es divertido. Hmm.. Deja que intente ayudarte. Dime. ¿Qué hiciste antes de que esto sucediera?

- Sólo cliqueé para ver una película que alguien me envió. ¡Eso es todo! ¿Qué hago ahora? ¡Esto es un fastidio! (Más vale que no seas tú quien lo hizo).

(C) 2007 Sukamol Srikwan & Markus Jakobsson. Reproducido en Kriptópolis con autorización.

-- Puedes ver más material original en Security Cartoon.

Durante aquella agria batalla, mi "derecho al honor" (ya que parece que esa figura medieval puede aún ser invocada con éxito en pleno siglo XXI... que se vayan preparando algunos) fue vulnerado repetidas veces. Kriptópolis pasó dos años completos en "stand-by" y a punto estuvo de irse definitivamente al garete.

Está en todas las hemerotecas. La batalla se perdió y la LSSI está vigente desde 2002, agregando desde entonces su pesado lastre de confusión e incertidumbre a cualquier proyecto de Internet en España, con independencia de su origen y finalidad...

Pues bien; hoy han condenado en primera instancia a alasbarricadas.org, un proyecto web sin ningún ánimo de lucro, y no sólo por dañar el honor de Don José Ramón, sino por no cumplir con una de las exigencias de la LSSI, que obliga a los webmasters españoles (y ahora queda definitivamente claro que A TODOS ELLOS, aunque tengan un simple blog sin un solo anuncio) a exponer sus datos reales de contacto ante todos los usuarios de Internet del mundo. ¿O alguien se cree que yo tengo expuestos en este sitio mi nombre, NIF y dirección postal ante cualquier curioso o desaprensivo por puro capricho?

Así que ya sabéis. Estáis (casi) todos fuera de la ley. Mientras no tengamos agallas para exigir y conseguir que la deroguen, toca cumplir la maldita LSSI. Escarmentad en cabeza ajena (un abrazo solidario a la gente de alasbarricadas.org ;) y empezad a exponer vuestros datos personales como gilipollas en vuestros blogs a la voz de ya, no vaya a ser que algún día Don José Ramón decida felicitaros y no encuentre cómo.

La sentencia (pdf en nodo50) será recurrida.

En los últimos días, instituciones gubernamentales de Francia, Alemania, Estados Unidos, Nueva Zelanda y Reino Unido (entre otros) afirman haber sufrido ataques procedentes del gigante asiático, con abundantes insinuaciones de que tras ellos podrían estar grupos organizados por el mismísimo Ejército Rojo.

Quizás por eso me ha resultado curiosa la opinión de Paul Strassmann, que durante años ha sido responsable de información del Departamento de Defensa y la NASA...

Strassmann afirma que en la mañana del 14 de septiembre pasado existían en Estados Unidos 735.598 ordenadores tomados por atacantes chinos. ¡Eso es precisión!

Con independencia de la anécdota, Strassmann reclama una mayor atención hacia lo que denomina "el arma de ataque más barato que una nación puede comprar". Según él, este "ejército virtual" estaría ya en condiciones de lanzar mil peticiones por segundo contra un objetivo.

Aunque Strassmann también rehúsa establecer responsabilidades tras los "zombis chinos", no se muerde la lengua al señalar una de las causas de que estos ataques tengan éxito: el software de Microsoft constituye una "placa de Petri" para los zombis, problema que se ve agravado por su predominio mundial.

Para hacernos una idea actualizada de la importancia que está cobrando el problema, Strassmann nos remite a las "Estadísticas de Zombis" de CipherTrust.

Quizás para sorpresa de algunos, adelanto que España figura en casi todos los Top 10 de CipherTrust.

• Beware of Zombies [Government Executive].

Ante esta evidencia los servicios postales están buscando formas de facilitar la obtención de "sellos digitales" por vía telemática, pero siempre que estos asuntos tratan de realizarse por Internet comienzan a surgir los problemas, fundamentalmente ligados a la (escasa) seguridad del proceso.

Pues bien; a medida que algunos países se aventuran en este tema, empezamos a disponer de ejemplos concretos, sobre todo acerca de cómo no deben hacerse las cosas.

En ese sentido, el sistema peor pensado -y a la vez más vulnerable- está resultando de momento el utilizado en Alemania...

A través del sitio web Stampit los ciudadanos alemanes se pueden descargar -previo pago- "sellos digitales" en la forma de un PDF conteniendo un código de barras que ha de imprimirse y pegarse luego al sobre.

Antes de imprimirse, el pdf envía una consulta a un servidor para comprobar que el sello no ha sido imprimido antes. Una vez enviada la petición, el identificador del sello se marca como utilizado y ya no puede volver a imprimirse (al menos sin hacer trampa).

En primer lugar, ya se ha detectado una vulnerabilidad ligada al uso de seguridad mediante oscuridad. Analizando la conversación con el servidor, se detecta que los identificadores siguen un patrón sencillo y correlativo, lo que permite fácilmente enviar falsas peticiones al servidor e impedir a usuarios legítimos el uso de sus sellos, sin más que marcarlos como ya utilizados. Deutsche Post ya ha reconocido y al parecer reparado esta vulnerabilidad a base de utilizar identificadores pseudoaleatorios.

Sin embargo existe otro problema de mayor calado que afecta al diseño del sistema y que permanece tal cual en el sistema alemán. La cuestión es: ¿por qué es la impresión del sello la que determina su utilización, en lugar de ser -como parece lógico- su paso por las oficinas postales, que es lo que determina su uso real?

Como comenta heise, muchos usuarios alemanes (en principio poco proclives a la picaresca) están poniendo en marcha métodos dirigidos a prever una incidencia común: un fallo de la impresora (atasco del papel, agotamiento de tóner o cartucho...), que en la práctica hace que el sello se considere ya utilizado cuando en realidad no ha sido así, ya que volver a intentarlo ya no resulta posible.

Afortunadamente otras implementaciones (como la británica, denominada SmartStamp) también podrán tener vulnerabilidades, pero al menos intentan seguir la aproximación correcta, ya que el sello sólo se considera utilizado cuando efectivamente atraviesa los servicios postales, y no cuando el usuario lo imprime (o trata de hacerlo).

Ignoro si los servicios postales españoles piensan implementar algo similar (de momento creo que sólo disponen de un servicio que permite personalizar los sellos), pero de ser así seguro que ya están tomando buena nota de las experiencias comentadas.

Según IBM, el "Top 10" de las vulnerabilidades es el siguiente:

• Vía Report: MS, Apple, Oracle Are Top Vulnerable Vendors [eWeek].

Sin embargo este dato ha de situarse en su contexto, y entonces resulta menor de lo que estadísticamente correspondería a estas empresas, ya que entre todas ellas copan más del 7% de las direcciones IP de Internet.

• Vía Security Fix.