viernes, 18 de febrero de 2011

Los siete de Camazón

En 1939, cientos de miles de refugiados de la Guerra Civil Española languidecían en campos de refugiados.  Uno de ellos, veterano de las campañas del Ebro, intentaba infructuosamente contactar con conocidos franceses.  Lo intentó una vez más por una ruta clandestina.  Al día siguiente, dos militares franceses de alto rango llegan en un vehículo, amenazan al jefe del campo con abrirle un expediente, recogen al veterano y se marchan, mientras algunos de los refugiados se preguntaban quién sería el enchufado.  Traidores a la República, dijeron algunos, porque si no ¿por qué mostrarían los franceses tanto interés? 

El hombre era Antonio Camazón.  Su habilidad: descifrar códigos. 

La historia de Camazón es fascinante, y aun hoy sigue siendo un enigma.  Nacido en Valladolid hacia 1901, estudió matemáticas en Madrid.  Ingresó en la policía, donde llegó a comisario, y posteriormente pasó a los servicios secretos.  Su labor en el Norte de África le puso en contacto con un colega francés llamado Gustave Bertrand.  Cuando, tras tres años de lucha, tuvo que cruzar la frontera en 1939, Bertrand le estaba esperando.  Ahora era comandante, y estaba a cargo del servicio de criptoanálisis del Estado Mayor francés.  Bertrand pidió a Camazón que le ayudase a montar un servicio de interceptación y descifrado, a lo que accedió.

Su destino fue un castillo al nordeste de París, el llamado PC (Puesto de Mando) Bruno.  Cuando llegó allí, Camazón y otros seis españoles formaron el Equipo D.  Oficialmente estaban enrolados en la Legión Francesa, pero el hecho de que el propio generalísimo Gamelin diese su beneplácito a los nuevos llegados dejaba claro que no eran reclutas corrientes.  Posteriormente se unieron a ellos un grupo de emigrantes polacos, el Equipo Z, formado por criptoanalistas polacos escapados de la Polonia recién ocupada por los nazis.  Sus nombres, Rejewski, Rozycki, Zigalski, son bien conocidos por la Historia, ya que fueron los primeros en descifrar los códigos de la máquina Enigma militar alemana.  En Bruno, polacos y republicanos españoles, derrotados pero no vencidos, siguieron dando la batalla al enemigo común.  Algunos criptógrafos franceses se unieron en la tarea.

Tras la caída de Francia en 1940, Bertrand y sus compañeros continuaron su labor de espionaje desde la clandestinidad.  Desaparecieron de los ojos de Vichy y se instalaron en el sur de Francia, en un nuevo PC llamado Cadix.  Allí, bajo las narices del enemigo, prosiguieron su labor.  Los informes que recogían y descifraban eran enviados a Inglaterra, donde los aliados les darían buen uso. Finalmente, la Francia no ocupada fue ocupada.  Cadix fue desmantelado, y sus miembros enviados a Argelia a toda prisa.  El grupo de los polacos consiguió con el tiempo llegar a Inglaterra, pero de Camazón y sus hombres nada se supo durante más de 60 años.  Se los había tragado la tierra.

Solamente ahora hemos encontrado y unido algunas piezas del rompecabezas.  Camazón y su grupo  de españoles, decididos a continuar ayudando a su causa, se ocultaron hasta que contactaron finalmente con las tropas aliadas que habían desembarcado en el Norte de África.  Pasaron a Italia, a Alemania, acompañando a los soldados que luchaban contra el nazismo en Europa.  Cuando terminó la guerra, las personas como él eran muy apreciadas, y prontamente aceptó un empleo en Francia, en su Ministerio de Exteriores, donde evidentemente no se dedicaría a labores burocráticas.  Un día, dos representantes norteamericanos se presentaron en su casa para tentarle con una oferta mejor.  Camazón estuvo a punto de aceptar, pero al final decidió permanecer leal al país que le había acogido y con el que había compartido tantos esfuerzos.  Los americanos insistieron, recordándole que Francia no era su país; pero el aragonés castellano lo dejó bien claro: “no me voy a Estados Unidos porque tampoco es mi país.”  Y en Francia se quedó.

Los restantes años de Camazón son oscuros.  Se cree que trabajó en los servicios de descifrado del gobierno francés, y cuando conozcamos sus logros puede que nos llevemos algunas sorpresas, pero por desgracia los galos son herméticos en esas cuestiones.  En todo ese tiempo, no olvidó su afiliación política.  Se conserva una carta, firmada de su puño y letra en 1956, en la que muestra su adhesión a los restos de la República en Francia.  Se jubiló en 1966, y volvió a España.  Aunque la policía lo sometió a una investigación, nadie parecía tener ya nada contra él, y pudo instalarse sin problemas junto con su familia en Jaca.  Allí vivió los últimos años de su vida, hasta su fallecimiento el 19 de octubre de 1982.

Recientemente, la Universidad de Zaragoza presentó de forma oficial un fondo documental que durante muchos años había sido un enigma.  Comprado a un librero local, la temática de sus libros sugería que su dueño había sido espía o diplomático; tanto así, que recibió el nombre oficioso de “Biblioteca del Espía.”  Hemos averiguado ahora que se trata de una parte de la biblioteca de Antonio Camazón, hombre que hablaba más de una docena de idiomas.  La Biblioteca del Espía es un homenaje en sí a la talla cultural de  su antiguo propietario.  Consta de más de 800 diccionarios, gramáticas, léxicos y vocabularios sobre casi doscientas lenguas del mundo, del bretón al sánscrito, del tuareg al nepalí, del maorí al finlandés.  Incluso contiene lenguas tan poco criptográficas como el sumerio o el maya.

Sin embargo, Camazón se ha llevado sus mejores secretos a la tumba.  En la Universidad de Zaragoza se guarda un libro sobre criptografía firmado por él mismo, pero poco más.  Sus cuadernos de notas acabaron en el cubo de la basura, y también su correspondencia postal.  Sus libros sobre criptografía también han desaparecido.  Su trabajo como criptoanalista en las dos guerras que libró sigue siendo secreto.  Este vallisoletano-franco-aragonés nos da el esquinazo después de tres cuartos de siglo.

Y no es el único.  A pocos metros de la Biblioteca del Espía, un pasillo de la Universidad muestra la fotografía de uno de sus hombres ilustres. Se trata de José María Íñiguez Almech, catedrático de Matemáticas, a quien llegué a conocer de joven (demasiado de joven: según mi padre, yo tenía tres años).  También trabajó como criptoanalista durante la Guerra Civil … en el otro bando.

+ Wladyslaw Kozaczuk, “Enigma” University Publications of America Inc, 1984
+ Josef Garlinski, “The Enigma War” Charles Scribner´s Sons, NY 1980
+ David Kahn, “Seizing the Enigma. The race to break the German U-boat codes 1939-1945″ Barnes & Noble Books, NY 1998
+ Cripto.es (taller de criptografía de Arturo Quirantes)

[Publicado en amazings el 17/02/2011]

viernes, 4 de febrero de 2011

Más sobre la PS3: mangas verdes

La guerra de Sony con relación al epic fail que comenté hace algunos días está en la fase de movilización total.  Se han oído ya algunos disparos, tanto en el frente legal como en el técnico.

Los abogados se pusieron prontamente en acción.  El día 11 de Enero, Sony presentó en un juzgado de  San Francisco, California, una orden cautelar de restricción (TRO, Temporary Restriction Order) contra George Hotz y otros.  Lo extraño es que Holz vive en Nueva Jersey.  ¿Por qué Sony cree que puede demandarle en California?  Los motivos son curiosos.  En primer lugar, Sony afirma que Hotz está sujeto a los Términos de servicio y acuerdo de usuario de la Red Playstation, según el cual, cualquier disputa será resuelta en el Condado de San Mateo, California.  En segundo -y aquí viene la parte divertida-, supuestamente Hotz ha usado una cuenta de PayPal, empresa radicada en San José (California), "y por tanto se deriva un beneficio financiero debido a su conducta ilícita en dicho distrito."  Para rematar la faena, se supone que también usó Twitter y Youtube, ambas radicadas también en California.

Según tan tortuosos razonamientos, de haber comido churros aquella mañana también sería competente la Audiencia Nacional española.  La juez encargada del caso debió entenderlo así, ya que en principio denegó la TRO a Sony.  Según sus propias palabras: Si tener una cuenta de PayPal fuese suficiente, entonces este tribunal tendría jurisdicción personal sobre todos, y eso no puede estar bien.  Significaría que todo el universo estaría sujeto a mi jurisdicción, y eso es un concepto que me resulta muy difícil de aceptar.

Sin embargo, Sony ha acabado ganando el primer asalto.  Sus abogados consiguieron abrirse paso invocando un concepto legal norteamericano denominado dirección intencionada (purposeful direction), un principio establecido por el Tribunal Supremo de EEUU en 1984 (Calder vs. Jones).  En ese fallo, el tribunal establece los requisitos de "contacto mínimo" requerido para poder invocar el poder jurisdiccional de un tribunal de otro estado.  El acusado debe haber cometido un acto:
- De modo intencionado,
- Expresamente dirigido al Estado donde se halla el tribunal,
- causando daños en dicho Estado, y siendo el acusado consciente de dichos daños.

Según eso, si alguien desde Nevada lanzase un misil hacia California, podría ser procesado por los tribunales californianos.  Esto es lo que estimo el tribunal en el caso de Hotz, concediendo la TRO a Sony.

Hay que recalcar que una orden de restricción TRO es lo que aquí denominaríamos "medidas cautelares."  No presuponen culpabilidad, sino que responden al hecho de que, sin ella, el demandante sufriría fuertes pérdidas, y que es una medida cautelar necesaria en tanto se dirime el problema en los tribunales.  George Hotz, por tanto, debe abstenerse de proporcionar ningún tipo de información sobre su "Epic Fail", seguir trabajando en el asunto y ayudar a nadie a hacerlo.  También debe entregar cualquier material informático en el que tal información esté guardada, incluidos sus ordenadores y discos duros.

En España, los representantes de Sony se han explayado a gusto.  En unas declaraciones a Libertad Digital, Cristina Infante, de Sony Computer España, afirmó que están especialmente preocupados porque España es un país en el que por tradición hay mucha piratería.  No creo que lleguen al punto de presentarse en la Audiencia Nacional para atacar a Hotz desde aquí (el concepto de Justicia Universal no llega a tanto), pero sigue siendo representativo de la postura de la industria, a saber: la consola la hemos fabricado nosotros, la usaréis como os digamos, y todavía somos generosos.

No es ese el único movimiento de Sony.  Ya está intentando silenciar a otros.  El 27 de Enero, envió un "DMCA takedown" (orden de retirada de contenidos) a github.com, un repositorio de código informático, exigiéndoles que retiren todo el material relativo al caso PS3 que había sido creado por un hacker llamado KaKaRoTo.  Se incluía una actualización de firmware hecha por él para implementar el Epic Fail y permitir la reproducción de cualquier código, firmado o no.  El material ya ha sido retirado. Sin embargo, una búsqueda en Google de la clave (BA 90 55 91 68 61 B9 77 ED CB ED 92 00 50 92 F6 6C 7A 3D 8D) arroja, en el momento de escribir estas páginas, 121.000 resultados).  Por si las moscas, que sea uno más: 

erk: C0 CE FE 84 C2 27 F7 5B D0 7A 7E B8 46 50 9F 93 B2 38 E7 70 DA CB 9F F4 A3 88 F8 12 48 2B E2 1B
riv: 47 EE 74 54 E4 77 4C C9 B8 96 0C 7B 59 F4 C1 4D
pub: C2 D4 AA F3 19 35 50 19 AF 99 D4 4E 2B 58 CA 29 25 2C 89 12 3D 11 D6 21 8F 40 B1 38 CA B2 9B 71 01 F3 AE B7 2A 97 50 19
R: 80 6E 07 8F A1 52 97 90 CE 1A AE 02 BA DD 6F AA A6 AF 74 17
n: E1 3A 7E BC 3A CC EB 1C B5 6C C8 60 FC AB DB 6A 04 8C 55 E1
K: BA 90 55 91 68 61 B9 77 ED CB ED 92 00 50 92 F6 6C 7A 3D 8D
Da: C5 B2 BF A1 A4 13 DD 16 F2 6D 31 C0 F2 ED 47 20 DC FB 06 70
 


Según parece, Sony no ha oído hablar del Efecto Streisand

Pero, tras la de cal, la de arena.  El masivo ataque de Sony está recibiendo múltiples críticas.  La EFF, por ejemplo, afirma que Sony se está extralimitando al pretender tener control universal sobre cualquiera de sus productos en cualquier lugar del mundo.  Según ellos, el mensaje que están transmitiendo ("búscanos las cosquillas e iremos a por tí") es estremecedor. Muchos usuarios de Sony se están replanteando su "lealtad a la marca."  La verdad, yo mismo estoy rodeado por productos Sony, pero creo que no les daré más hermanitos.

Mientras tanto, en el frente técnico, Sony confirma que está tomando medidas para, si no arreglar, sí al menos mitigar el problema.  Incluso cuando terminé de escribir el post anterior sobre la PS3, Sony confirmó que estaba intentando resolver el lío mediante actualizaciones de red.  La idea es reprogramar de algún modo las PS3 actuales por medio de una actualización de firmware, la 3.56.  Disponible desde el 27 de enero, su misión es introducir un parche de seguridad, y la documentación indica a los usuarios que harían bien en aceptarla, ya que de otro modo algunos juegos podrían no funcionar.

En el post pasado, yo ya apunté a los problemas derivados de un paso así.  Si se conoce la clave de la PS3, ¿cómo impedir que cualquiera publique sus propias actualizaciones?  El propio KaKaRoTo se expresa así en una entrevista: Las modificaciones al Firmware siempre serán posibles. Como ahora sabemos las llaves para firmar actualizaciones de Firmware, también significa que no importa qué nuevo Firmware publique Sony, los antiguos necesitarán descifrar y autenticar el próximo, así que las llaves siempre serán las mismas. Como tenemos las llaves, podemos crear cualquier Firmware que se parezca al oficial, y luego podemos “actualizar” nuestra PS3 a cualquier Firmware modificado o personalizado. Es decir, el Epic Fail es tan profundo que, cualquier cosa que haga Sony, los hackers podrán deshacerlo.

Y es que la situación es de desastre total.  Obtener las claves de la PS3 es como tener la llave maestra del edificio.  El nuevo amo del calabozo es ... bueno, cualquiera que tenga algo de conocimientos técnicos y acceso a la clave.  De hecho, la actualización 3.56 no llevaba 24 horas de vida cuando KaKaRoTo anunciaba por twitter que había liberado las herramientas para "desempaquetar" el nuevo firmware.

En mi opinión, Sony está intentando un control de daños bastante inteligente, ya que en lugar de intentar remediar el problema (que no tiene remedio) apunta contra los usuarios ignorantes de este fallo, los que solamente quieren jugar y punto.  La reciente actualización de firmware 3.56 está dirigida directamente contra la jugabilidad en red.  Quien no se actualice, tendrá problemas para jugar online a través de la PlayStation Network (PSN).  Ese puede ser un buen punto para que Sony minimice pérdidas, ya que la jugabilidad en red es uno de los mayores atractivos de las videoconsolas.  En la PSN, Sony puede detectar quién no se ha actualizado, y por supuesto, quién ejecuta su consola con un firmware hecho en casa (homebrew).  Los jugadores que deseen seguir jugando con su amigo japonés, y que no sepan del asunto, se limitarán a hacer clic en el botón correspondiente, se descargarán una actualización en apariencia inocente, y nada más ... salvo que les deseo suerte si alguno desea usar su consola para algo más que para jugar.

Otros rumores [ATENCIÓN: no confirmados] apuntan a que, entre otras alegrías, el firmware 3.56 contiene una función oculta que permite a Sony escaner a distancias una consola PS3, en busca de firmware no oficial ("homebrew").  También se dice que introduce una clave de cifrado especial que hará prácticamente imposible volver a la versión anterior, es decir, no se podrá "desactualizar" la consola. Quien intente "desactualizarse" de nuevo a la versión 3.55, descubrirán que no pueden hacerlo.  Y si la jugada le sale bien, Sony podrá desactivar la opción de juego online (!y quién sabe si incluso la capacidad de usar la PS3) a los que descubra sin la actualización.  Suena paranoico, pero estamos hablando de una empresa que ya insertó código rootkit en sus CDs.

Incluso se rumorea que la 3.56 hará que las partidas se guarden "en la nube" [ATENCIÓN: No está confirmado].  Eso, supuestamente, se hace para liberar espacio en el disco duro de la PS3, pero también tiene el efecto secundario de que el usuario no controlará sus propias partidas, ya que la información estará en algún otro lugar.  Si a Sony se le cruzan los cables, nada mejor que borrar los datos de los propietarios desactualizados.  Una inquietante posibilidad, que hace que nos planteemos seriamente hasta qué punto nos beneficia ceder el control de nuestros datos a esa entidad nebulosa que ahora llamamos "la nube."

Queda por saber cuánto tardarán los KaKaRoTos de Internet en destripar el nuevo firmware, modificarlo y reestablecer el acceso para la PSN.  Si el famoso tweet de KaKaRoTo se confirma, eso ya ha sucedido, aunque en el momento de escribir estas líneas no hay nada confirmado.  Lo que sí es claro es que se está corriendo como la espuma el aviso: no se actualicen a la 3.56.  Veremos qué sucede en los próximos días..

Por supuesto, seguiremos informando.