La pirateria es delito... ¿me lo repite más despacio?

Goebbels sería nazi, pero no era idiota.

Principio de orquestación.
La propaganda debe limitarse a un número pequeño de ideas y repetirlas incansablemente, presentarlas una y otra vez desde diferentes perspectivas, pero siempre convergiendo sobre el mismo concepto. Sin fisuras ni dudas. De aquí viene también la famosa frase: "Si una mentira se repite lo suficiente, acaba por convertirse en verdad".

Empecemos. La piratería es delito.
Pues eso. La piratería es delito.

La piratería destruye puestos de trabajo.
La piratería...

Aquí arriba tenemos a una víctima de los malvados piratas que roban el trabajo de personas honradas como este señor.

Anticorrupción pide siete años de cárcel para Teddy Bautista (SGAE)

Aparte los cientos de miles de gatitos muertos.

Bueno, entonces ¿cuanto cuesta la piratería realmente?
El canon digital recauda entre 7 y 10 veces más que el daño que causa la copia privada

Pero aún hay más.

La piratería no daña a las ventas, según un estudio ocultado por la Unión Europea

Según European Digital Rights (EDRI), una organización por la defensa de los derechos de los usuarios de Internet, asegura que el estudio se ocultó intenciontalmente y que sólo es utilizaron los aspectos en los que sí señala que daña a la industria del cine en una publicación académica de 2016 escrita por dos comisarios de la Unión.

Entonces, ¿nos toman por idiotas? Pues básicamente sí.

Esto se llama INDEFENSION APRENDIDA. Aunque se me ocurren otros términos algo malsonantes que prefiero no expresar.

Unas conclusiones (que son de exclusiva e intransferible propiedad de este blog)
a) El cine es bastante caro
b) Si no tengo dinero para ir al cine, pirateo
c) Si no puedo piratear, seguiré sin tener dinero para ir al cine
d) Vale, yo no veo la película pero tampoco te voy a pagar

a) Ví la peli en el cine
b) La echaron en la tele
c) Me la compré en VHS
d) Me la compré en DVD
e) Me la compré en Blu-Ray
f) Pero no puedo bajármela porque sería piratería

Contraseñas. Si no será peor el remedio... (pues parece que yo tenía razón)

Tirando de bola de cristal.
Hace casi un año a contar desde el momento en que escribo unas líneas, publiqué una entrada en este blog manifestando mi contrariedad por la creciente complejidad de las contraseñas.

Si ya lo decía yo...

Como usuario informático tengo que manejar mis propias contraseñas teniendo siempre muy presente la necesidad de custodiarlas y, por supuesto, de atribuirlas una robustez que sea razonable.

Contraseña de lanzamiento = 1234 (espero que no)

La idea central es que si la contraseña es tan complicada al final el usuario terminará comprometiendo la seguridad por otro sitio. Claramente, peor el remedio que la enfermedad.

Al final me han dado la razón
Un gurú de la seguridad llamado Bill Burr parece que ha rectificado y le da un giro de 180º a sus propias directrices.

Bill Burr (de NIST) rectifica

Y al hilo de este, el blog Una-al-dia se ha hecho eco de la noticia. Reproduzco el artículo relacionado porque me parece muy interesante. Seguro que lo sabreis apreciar.

La respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás

Probablemente, el nombre de Bill Burr no te suene a nadie en particular, a menos que las publicaciones especiales del NIST sean tu nicho favorito de lectura en cuanto a literatura moderna se refiere. Burr es, ni más ni menos, el “culpable” de que cuando te piden un consejo acerca de la elección de contraseñas seguras, le digas al amigo de turno: “larga, no menos de 8 caracteres y sobre todo añade caracteres especiales mezclados con mayúsculas”, para terminar, como diría Bond: “mezclados, no agitados”.

El bueno de Burr ha confesado, desde su retiro como jubilado, que esa recomendación que él mismo escribió de su puño y letra en 2003, no era ni mucho menos la más adecuada. “Me equivoqué”. La entrevista completa fue publicada hace una semana en el Wall Street Journal (paywall). Sin embargo, aunque admite que su contribución hizo más mal que bien, el artículo deja entrever el contexto en el que el entonces analista tuvo que desenvolverse: prisas y presiones por acelerar la publicación de la guía, casi nulo conocimiento práctico en aquella época sobre la gestión de contraseñas, etc.

No hay nada que culpar. La norma ha estado vigente durante años, casi década y media, hasta que el NIST ha actualizado dicha guía el pasado mes de junio, cambiando y desaconsejando este tipo de política de contraseñas. ¿Por qué? Son difíciles de gestionar, debido fundamentalmente a que una contraseña debería ser algo que “sabes”, pero si se genera de manera muy compleja, termina en un post-it; luego se transforma de “algo que sabes” a “algo que tienes”. Dad una vuelta por una oficina y veréis esos papelitos amarillos deseando confesaros la contraseña del WiFi corporativo o el acceso a un escritorio remoto (un clásico cuando desde Auditorías hacemos una visita física).

Otro problema con la guía fue lo rápido que sentó cátedra. No es para menos, una enorme cantidad de normativas, certificaciones de seguridad y políticas de seguridad han seguido letra a letra copiando el mantra de las contraseñas complejas. Una falsa concepción de seguridad que todos (o casi todos) dábamos por sentado que era el camino a seguir. Además, en la guía también se aconseja “renovar la contraseña cada 90 días mínimo”. Esto último solo complica aún más la situación, debido a que una gran mayoría de personas no utiliza un gestor de contraseñas, e incluso aun usándolo hay que ser consciente de que estamos depositando todo el llavero en un único punto de tensión. Si el gestor cae, todo se derrumba.

Un visionario de esta situación (como de tantas otras) fue el conocido ilustrador Randall Munroe, autor de la siempre sagaz tira XKCD. En la número 936 ya nos explicaba el sinsentido de elegir contraseñas complejas versus la simple elección de cuatro palabras elegidas con aleatoriedad. Todo un clásico de la temática, que incluso nos incluye la entropía de Shannon y el tiempo estimado de resistencia al ataque por fuerza bruta. Todo ello explicado de forma gráfica y sencilla.

Entonces ¿Cuál es la forma correcta?

Lo tenemos fácil. Irónicamente debemos seguir la guía del NIST, la nueva versión, y cruzar los dedos para que dentro de unos veinte años no volvamos a leer un nuevo artículo de Paul A. Grassi, uno de los autores de la revisión, diciendo aquello de “…fue un error”.

En primer lugar, la guía pone de manifiesto una de nuestras tantas limitaciones, la incapacidad de memorizar contraseñas complejas. Ante esta situación el ser humano tiende a…hacer el mínimo esfuerzo. Esto es, o elegir una contraseña trivial del tipo “12345” o apuntarlo en un papel (recordad “saber” -> ”tener”). Incluso con las reglas de composición de algunos sitios web, esas que nos hacen inventar dos millones de veces una contraseña hasta aceptar el formulario, la experiencia que se tiene tras los hackeos y volcados de hashes es negativa. La conclusión es que este tipo de contraseña no es tan segura como se pensaba y encima es nefasta para la usabilidad.

En la nueva guía se aconseja que las contraseñas sean razonablemente largas, extensas:

“Users should be encouraged to make their passwords as lengthy as they want, within reason.”

Eso sí, no nos están diciendo que nuestra contraseña sea los dos volúmenes completos del Quijote en castellano antiguo. Eso sería computacionalmente ridículo, debido al gasto relativo al cálculo del hash resultante y a que podría ser fácil de adivinar si conocen nuestros habituales para la lectura.

En relación a la complejidad, clarifican muchas de las sospechas que teníamos con la experiencia. Incluso con reglas de composición de contraseñas el usuario (vuelve a) opta por el camino fácil. Por ejemplo, si ha de usar mayúsculas y números pasa de “password” a “Password1” y si tiene que meter signos vuelve a hacer de las suyas con el ya clásico: “Password1!”. Para evitar estas martingalas se recomienda la comparación con una lista negra de contraseñas que no permita pasar tamaños actos de lucidez.

En definitiva, el gran problema de las contraseñas sigue siendo el ilustre usuario, y el reto de la seguridad es aliviar el peso que supone su falta de adiestramiento o ese gran porcentaje de sentidos comunes a estrenar, impecables y sin uso. La contraseña es un reducto del pasado, pero un pasado que aún sigue siendo presente y se niega a ser jubilado. Condenados a vivir con ella, al menos un tiempo más, la nueva norma dicta que más que una excesiva complejidad tomemos una longitud considerable y una buena capacidad para generar ítems aleatorios (palabras, símbolos, …), a ser posible con una distribución uniforme que aleje a la fuerza bruta y las listas de diccionarios muy lejos de la adivinación.

Ahora y por fin, después de tantos años, ya sabemos la respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás: 

“correcto caballo batería grapa”

 David García

@dgn1729

dgarcia@hispasec.com

Dura Lexnet, Sed Lexnet

La ley es dura, pero es la ley.
Vieja frase romana que, imagino, aprenderán todos los estudiantes de derecho en primer curso pero que también es parte del acervo popular.

Sin ley no hay estado de derecho y sin estado de derecho no puede haber, sin ir más lejos, democracia y libertad. Así que este es un tema realmente importante.

La Justicia. A ella estamos obligados, pero también nos defiende.

No es objeto de este blog irnos más allá de unos pocos bits mejor o peor pareados pero no puedo dejar de proclamar la importancia de tener una justicia INDEPENDIENTE ya que es el tercer poder del estado democrático y de derecho. Ya que nuestra justicia está parcialmente subordinada al poder ejecutivo, al menos intentemos que funcione bien.

Papeles, legajos, sentencias...
Caracterízase la justicia no sólo por un lenguaje un tanto especial y fácilmente reconocible sino por la cantidad de documentación que genera. Documentación que debe además conservarse.
Esto sería una primera aproximación al problema aunque queda bien descrito.

Un juzgado típico puede ofrecer el siguiente aspecto

Esto no solo garantiza un funcionamiento administrativo realmente poco eficaz sino que da pie a incidentes de importancia, como es la pérdida o extravío de documentos.

Por tanto, lo ideal desde un punto de vista técnico, si bien considero que la Magistratura estará de acuerdo; sería un juzgado sin papel. Un juzgado del siglo XXI ¡La digitalización de la Justicia!

¡Al fin llegó la informática!
Pues sí. Y se implementó Lex Net. Un sistema de intercambio de documentos. Más o menos eso dice en el Portal de Justicia.

De dicha página cito literamente

LexNet es una plataforma de intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos que, en su trabajo diario, necesitan intercambiar documentos judiciales (notificaciones, escritos y demandas). Han transcurrido varios años desde su implantación y LexNet se ha convertido en un instrumento de trabajo seguro tan habitual en el ámbito de las comunicaciones judiciales, como el teléfono, el fax o el correo electrónico.

Bueno, a mí juicio (palabra más que apropiada) me parece algo positivo. No llega a esa total digitalización de la justicia que, imagino, es una tarea ímproba. Pero es, en principio, un gran avance ¡qué duda cabe!

Hasta que la liamos.

Ímprobo también sería hacer un análisis riguroso de lo que está pasando pero, superficialmente, vemos que se repite el tradicional modelo de subcontratar a lo más barato y cutre posible algo que debería haber sido desarrollado internamente.

Las empresas detrás del fiasco

Pero es que, efectivamente, la administración que pretender modernizarse parece que sigue con los manguitos, el papel secante y, afortunadamente, no usa esos pelucones blancos tan británicos que salen en todos las películas.

Nuestros jueces, por suerte, no llevan peluca. Aunque el ministro de justicia aún viva en el siglo XIX

Justicia no ha entendido nada del desastre Lexnet

Es decir, en lugar de agradecerle al "hacket ético" haberle comunicado la existencia de la brecha de seguridad ¡van contra él!

Bien, no sólo no avanzamos, sino que involucinamos.

España, sin duda, tiene la justicia que se merece porque tiene los políticos que se merece. Así nos luce el pelo aunque alguno dice por ahí que hace cosas comparables a viajar a la Luna. Sí, en la luna estamos, me parece a mí.

(Continuará)

La dualidad del mercado laboral.

La dualidad del mercado laboral.
No quisiera hacer politiqueo. Este es un blog de informática, a veces en clave crítica e irónica pero siempre distendido.
Sin embargo, no me queda más remedio que hablar un poco de política, pues esto de la dualidad del mercado laboral es un concepto que escuchamos día y si y día también.

Estos señores se preocupan mucho por la dualidad del mercado laboral.

Esto de la dualidad del mercado laboral es un hecho cierto. Lo que pasa es unos (los trabajadores) preferimos que se iguale por arriba y los otros (Lagarde y ya tal...) se plantean algo mucho más ambicioso, ¿por qué tener muchos trabajadores en precario si podemos tenerlos A TODOS?

Y entonces se planteo aquello de la "mochila austriaca", el "contrato único" y otras medidas neoliberales mediante las cuales los derechos de los trabajadores pasan a llamarse privilegios. Por tanto es un privilegio tener un contrato indefinido, un sueldo digno y este tipo de cosas que tan malas son para la recuperación de la economía española que es la envidia del mundo. Ya sabemos que lo mejor es liberalizar, privatizar y mejorar la competitividad.

Si privatizamos el Canal de Isabel II podemos llevarnos la pasta de aquí, de aquí y de aquí...

Bueno, vuelvo al tema porque me he desvíado bastante.

La dualidad del mercado laboral en una organización TIC.
Hace unas semanas se incorporaron dos nuevos compañeros. Superaron su oposición, presentaron la documentación correspondiente y se les convocó para incorporarse.

Cuando hicieron acto de presencia, tenían preparados ya sus puestos de trabajo y, como es habitual, se les llevó por el conjunto del departamento para saludar a la gente.
Cuando hablamos con ellos, como es habitual, tuvimos un breve intercambio de pareceres; qué habían estado haciendo hasta ahora, qué opinaban de su nuevo departamento, cuál sería su función a partir de este momento, etcétera.
Como es natural también les hablamos sobre nosotros, les enseñamos nuestro departamento y nos pusimos a su disposición para ayudarles en lo que fuera.
En los días sucesivos aprovechamos cualquier ocasión para la coincidencia, ya fuera en los pasillos o tomando café en el office para saludarles, preguntarles que tal les iba y hacerles sentir integrados en el equipo. Integrados, esa es la palabra.

¡Ya sois parte del equipo, compañeros!

Por la otra parte tenemos otros compañeros de una empresa externa. Vienen por periodos de seis meses. Como mucho.
Algunos ni siquiera llegaron a incorporarse. Las condiciones son tan mediocres que no les costó trabajo encontrar algo mejor.
Los que sí se incorporan lo hacen sin ningún tipo de ceremonia. En realidad quienes no trabajamos con ellos ni sabemos como se llaman. Ni hacemos esfuerzos por saberlo puesto que asumimos que terminarán yéndose más pronto que tarde.
Alguna vez me ha sucedido entrar a su departamento y, ¡no conocer a nadie!
Si me los encuentro en el office o los pasillos cruzaremos un ¡hola! como mucho.

No sabemos su nombre, ni tenemos interés en saberlo. Son gente sin rostro

Así que tampoco echamos en falta a esos compañeros externos el día que no están. Sinceramente, y aunque yo esté al otro lado, no soy tan egoísta como para no pensar que ellos no están siendo tratados como se merecen.

En la otra cara de la moneda, es ingenuo pensar que su grado de dedicación y compromiso al proyecto será intenso. Ya sabemos que pa lo que me queda en el convento.

Que cada cual saque sus conclusiones. Ya sabemos quienes son los defensores de esta forma de ver el mercado laboral.