Búsqueda

viernes, marzo 18, 2005

IDN y la seguridad en Internet

El mes pasado se hizo relativamente famoso un tipo de engaño conocido como IDN spoofing o ataques homográficos. Básicamente se trata de que en un correo o página maliciosa, aparece un enlace de una supesta empresa seria (un banco, una tienda online), pero el enlace en realidad lleva a otra página sin que el usuario se entere, que imita la original. Así, el usuario engañado podría introducir datos sensibles en esa página falsa. En varios medios (como aquí) apareció como noticia el hecho de que el Explorer era el único inmune a esos ataques, que si bien no es mentira, lo cierto es que es imune por no tener implementada la funcionalidad de IDN (luego veremos qué es eso), y se hacía hincapie en que el problema se debía a un error en la implementación IDN de los navegadores afectados. Logotipo de FirefoxEse mismo mes, se publicó la noticia de la última actualización del navegador Firefox (excelente navegador que recomiendo a todo el mundo) corregía una serie de vulnerabilidades (el que esté libre de pecado, que tire la primera piedra) y mencionaba nuevamente que una de ellas era el error en el uso de IDN.

Vale, pero ¿qué es esto del IDN? IDN son las siglas de International Domain Names, y es un estándar que permite utilizar caracteres internacionales en los nombres de dominio. De todos es conocida la limitación de los nombres de dominio tradicionales, que no podían contener eñes ni vocales acentuadas (y no digamos ya caracteres japoneses). El IDN supera esta limitación permitiendo el uso de caracteres Unicode, que es un estandar para la representación de todo tipo de caracteres de todos los lenguajes del mundo (incluso hay un borrador para incluir las runas de los lenguajes inventados por Tolkien). De esta manera, podríamos tener dominios como www.españa-cañí.es o www.jamón.com que antes era imposible. Aunque el estándar comenzó a crearse a finales de los 90 y los ataques homográficos ya se advirtieron en 2001, hasta hace poco no había demasiados navegadores que lo implementaran, ni demasiados dominios que lo utilizaran.

¡Fantástico! Entonces ¿cuál es el problema? Pues que como la inventiva humana no tiene límites en cuanto a engañar al prójimo (y si se le puede robar, pues mucho mejor) en seguida hay quien se dio cuenta de que podría registrar nombres de dominio gráficamente idénticos a otros ya existentes (de ahí lo de homográfico). ¿Pero cómo? Muy fácil. Hay alfabetos no latinos, como el cirílico, que contiene caracteres gráficamente idénticos a nuestro alfabeto latino. Pensemos por ejemplo en las famosas siglas CCCP (que no son las letras "ce" y "pe" latinas, sino las "es" y "er" cirílicas). La trampa consiste en registrar por ejemplo el dominio www.cajamadrid.es y que en realidad la "c" no sea la "ce" latina, sino la "es" cirílica. Sería un dominio diferente al de la caja que todos conocemos, y perfectamente legal, pero si resulta que el propietario le da por duplicar su apariencia para ver si algún incauto introduce sus números de tarjeta, pues... Aquí hay un ejemplo práctico (eso sí, no funcionará con el Explorer, ya que no implementa IDN).

Así pues, el problema de los ataques homográficos no es que los navegadores lo implementen mal. El Firefox lo implementa correctamente (supongo que los otros también, pero no los he probado). El problema es que no existe una regulación en la asignación de dominios que evite estos usos indebidos. Y no es necesario el uso de IDN, ya que con buena imaginación se pueden registrar dominios engañosos que nada tienen que ver con el que quieren imitar. Podemos probar con www.cajademadrid.com, que no es precisamente la web oficial de Caja Madrid, que es www.cajamadrid.es.

Hay un gran debate sobre cómo solucionar este asunto. Mientras no haya una política en la concesión de dominios que dificulte estos engaños, hay que recurrir a "trampas" o a avisos cuando se va a una dirección IDN. Y hay que hacerlo sin considerar los dominios IDN como "raros" o "peligrosos", ya que los hay perfectamente legítimos como http://räksmörgås.josefsson.org. La solución temporal del Firefox (y que aparece en la actualización) es la posibilidad de que el usuario decida si desea ver la URL tal cual en la barra de direcciones , o si por el contrario quiere verla en Punycode. ¡Vaya hombre! Otro palabro. Bueno, para entendernos digamos el el Punycode es una forma de codificar caracteres Unicode en el limitado juego de caracteres original de nombres de dominio, para permitir a navegadores anticuados que no implementan IDN visitar esos dominios. Así, en vez de, por ejemplo, http://räksmörgås.josefsson.org, veríamos http://xn--rksmrgs-5wao1o.josefsson.org (esta última URL se puede abrir con el Explorer).

Bueno, para resumir: el error es considerar que la implementación del IDN del Firefox y otros es erronea, ya que como hemos visto, es un problema de política de concesión de dominios.

jueves, marzo 17, 2005

La Noche de San Juan

Primero fue una noticia, luego una película, y hoy le toca el turno a la cultura popular. Como muchos saben, el 24 de Junio es el día de la festividad de San Juan Bautista, y la noche anterior (la del 23 al 24) se celebra la llamada Noche de San Juan. Los detalles de la fiesta pueden variar de un sitio a otro de la geografía española, pero la base es la misma: las hogueras y el fuego en general, iluminando la noche más corta del año.

¿La noche más corta de año? Bueno, eso es lo que piensa la mayoría de la gente, pero en contra de la creencia popular, la noche más corta del año no es la del 23 al 24 de Junio, sino la del 20 al 21 de Junio, que es cuando se produce el solsticio de verano y marca el inicio de dicha estación. El motivo del error es muy fácil de explicar: Durante la expansión inicial del cristianismo, se adoptaron como propias varias fiestas y ritos paganos. Concretamente, el 24 de Junio coincidía con un fiesta pagana que giraba en torno al sol, al agua y el fuego (de ahí las hogueras). Y se celebraba el 24 de Junio, precísamente por ser el solsticio de verano, es decir, el día más largo (y por tanto, la noche más corta) del año.

Ahora es cuando el lector dirá "¿Pero no acaba de decir este tío que el solsticio era el 21 y no el 24?". Pues sí, así es, pero no siempre ha sido así. La causa es que un año no són exactamente 365 días (de ahí los años bisiestos). Pues bien, este desajuste hace que los solsticios (y los equinocios) sean cada año un poquito antes. Cada año bisiesto los vuelve a retrasar, pero no lo suficiente. De hecho, cuando en 1582 se pasó del calendario juliano al gregoriano, el desfase era de 10 días. El cambio de calendario volvió a ajustar las fechas e incluso redujo el error que se produce año tras año, pero aún así, más de 400 años después, tenemos un desfase de 3 días.

La tradición popular ha mantenido la asociación entre la Noche de San Juan y la noche más corta (porque en su origen era así), e incluso podemos verlo en telediarios y periódicos, cada vez que se refieren a esta fiesta (y si no, estad atentos el próximo 23 de Junio y veréis).

Por cierto, que no es casualidad que la festividad de San Juan Bautista sea axactamente 6 meses antes (o después) de la Navidad. El soslticio de invierno caía anteriormente el 25 de Diciembre (actualmente el 21 o 22 de Diciembre, dependiendo del año, y que podéis consultar aquí), y era también una importante celebración pagana. Ni San Juan Bautista nació el 24 de Junio, ni Jesús nació el 25 de Diciembre.

miércoles, marzo 16, 2005

Armageddon

Existen por ahí numerosas páginas de fallos en películas donde se pueden ver los muchos errores de Armageddon, así que no voy a repetirlos aquí (ejemplos: Bad Astronomy y Movie Mistakes) . Pero hay uno que sencillamente clama al cielo, y es la secuencia de la estación espacial rusa.

En la película, según se acercan las lanzaderas a la estación, ésta comienza a girar sobre sí misma para crear una especie de gravedad artificial mediante un principio tan conocido por todos como la fuerza centrífuga (siendo puristas, dicha fuerza no es real, pero para lo que voy a contar podemos considerar que lo es). Es un recurso habitual en la ciencia ficción escrita (no tanto en películas o TV, siendo una excepción la galardonada Babylon 5)

Lo primero que choca es la explicación que dan: para que el acoplamiento sea más fácil. Bueno, creo que esto no es que vaya contra la física, es que va contra el sentido común. ¿Cómo demonios va a ser más fácil acoplarse a una estación que gira sobre sí misma, que a una que se está quieta (con respecto a la lanzadera, claro)? Seguro que muchos nos acordaremos de las noticias, cada vez que el transbordador espacial de la NASA intentaba acoplarse con la hoy desaparecida MIR. Se consideraba que era una operación muy delicada, y que cualquier error podía dañar ambos artefactos. Recuerdo concretamente un vídeo (emitido por algún telediario) en el que se veía a la lanzadera casi tocando la MIR, y acercándose muy muy despacio, milímetro a milímetro, para que las compuertas encajaran perfectamente. En cambio en la película, los pilotos son unos fieras y acoplan las lanzaderas en segundos, con la estación dando vueltas. Sencillamente demencial.

Pero lo que sigue sí es autentica violación de la física más elemental. Creo que todo el mundo (incluso el que no haya ido al colegio) sabe que la fuerza centrífuga va desde el eje a la periferia. Cualquiera que haya ido en un coche con un conductor que quiera imitar a Fangio se habrá podido dar cuenta al tomar las curvas. Y cualquiera que haya montado en alguna atracción de feria como montañas rusas con loopings, el twister o las "cadenas" de toda la vida (esa especie de tiovivo con asientos colgando de cadenas, y que al girar nos empuja hacia fuera) habrá sentido los efectos de la fuerza centrífuga. Y se habrá dado cuenta de que la fuerza se produce en la dirección del eje de giro al exterior.

En la película, vemos varias tomas externas de la estación con las lanzaderas, e incluso se ve una animación esquemática de la situación en una monitor. Viendo el sentido de giro y dónde están las lanzaderas, es fácil ver que el "brazo" al que se ha acoplado es radial con respecto al giro. Es decir, que sigue la misma dirección que la fuerza centrífuga. Esto quiere decir que desde el punto de vista de los tripulantes de la lanzadera, es como si se tratara de un tubo vertical. Para ellos, el "abajo" sería la lanzadera, y el "arriba" sería el otro extremo del tubo. Además, tal y como está colocada la lanzadera, la fuerza centrífuga debería empujarles hacia uno de los costados. Sin embargo, en las tomas interiores, vemos que la "pseudo-gravedad" está dirigida hacia el suelo de la lanzadera, y que el brazo es para ellos como un pasillo horizontal.

No entraré en más detalles, como el hecho de que el brazo al que está acoplado la lanzadera debería soportar el "peso" de la misma, o que la "pseudo-gravedad" debería ser menor según se está más cerca del centro de la estación. La simple orientación de la fuerza centrífuga totalmente en contra de la física más elemental (de la que enseñan en el "cole") es suficiente.

Por último diré que este disparate empeora aun más por el hecho de que en el Making off de la película, nos repetían una y otra vez la inestimable colaboración y asesoramiento de la NASA. Pues pienso yo que la colaboración debió ser únicamente el prestar sus instalaciones para algunas tomas.

martes, marzo 15, 2005

Mimas y la Estrella de la Muerte

A mediados del mes pasado (febrero 2004), apareció en varios periodicos una noticia: La sonda Cassini había fotografiado Mimas, una de las lunas de Saturno, y había revelado que se parecía muchísimo a la famosa Estrella de la Muerte de la película La Guerra de las Galaxias. Como hace ya más de un mes, sólo he podido encontrar las noticias de El Mundo y El Diario de León. En sendas noticias se puede leer cosas como "el hallazgo que más ha sorprendido a los científicos" (en El Mundo) y "ha cogido por sorpresa a la comunidad internacional" (en El Diario de León).

Pues bien, dudo mucho que esto haya sorprendido a ningún científico. Es más, cualquier aficionado a la astronomía ni siquiera lo calificaría de hallazgo. El parecido de la luna de Saturno con la estación de combate del Imperio se conocía ya desde 1980 como mínimo, año en el que el Voyayer 1 la fotografió. Cualquiera que haga una búsqueda de Mimas en la Wikipedia o en Google podrá descubrir que el parecido dista mucho de ser una novedad.

Sin duda la nota de prensa que emitiera en su día la NASA se refería a que la sonda Cassini había tomado fotos de Mimas (tal vez mejores que las del Voyager), y comentaba a modo de anécdota el parecido entre la luna y la Estrella de la Muerte. Se ve que algunos periodistas nunca habían oído hablar de tal parecido y en vez de documentarse un poquitín (como ya he dicho, bastaba con mirar en la Wikipedia) redactaron imediatamente el "notición".

Y así comienza...

Si le pedimos a cualquiera que piense en algún intelectual ilustre o en alguien a quien considere muy culto, seguro que nombra a algún escritor famoso, tal vez a un periodista, e incluso a un artista. En la mayoría de los casos, no mencionará a ningún científico, ingeniero, o cualquier persona cuyo saber sean principalmente las ciencias.

Es más, creo que a cualquiera le daría verguenza admitir que suele cometer faltas de ortografía, que no escribe bien, o que no sabe quién fue Cervantes. Sin embargo, hay mucha gente que no tiene reparos en soltar a los cuatro vientos su negación con las matemáticas o su total ignorancia respecto e "eso de la informática". Algunos incluso dirán que están orgullosos de ello. Y lo que es peor, alguno de ellos es considerado un "intelectual" por la sociedad en general.

¿Y por qué? ¿Acaso las ciencias son menos importantes que las letras? ¿Son un saber de menor categoría? Pues eso debe pensar mucha gente, al menos mucha gente que trabaja divulgando noticias o escribiendo ficción. Escogiendo una noticia al azar relacionada con temas científicos, es muy fácil encontrar algún error garrafal. Y viendo una película cualquiera que toque un poco algo relacionado con cualquier rama de la ciencia, también es muy probable que nos llevemos las manos a la cabeza.

Así que he decidido hacer realidad una idea que llevaba bastante tiempo rondándome en la cabeza. Publicar en Internet una especie de "antología del disparate", pero relacionado con temas de ciencia y tecnología. Sobre todo astronomía e informática, que es lo que mejor se me da ( y por tanto, son esos errores los que detecto inmediatamente, sin fijarme demasiado).

Con este blog no pretendo insultar ni ofender a nadie. Tampoco criticar al que no sabe (es imposible saber de todo) pero sí al que ni siquiera se molesta en documentarse un poco. Aquí no veremos errores que sólo un científico sea capaz de apreciar, sino aquellos que con un mínimo de investigación (lease, consultar una enciclopedia o buscar con el Google) o con el simple conocimiento que todos hemos adquirido en el colegio, se podrían haber evitado.