El mes pasado trascendió que Microsoft ha retirado su asistente animado para usuarios de office. Conocido como "el ayudante de office" y caracterizado por defecto como un clip, se trataba de un motor de inferencia por reglas bayesianas que intentaba dar sugerencias al usuario tras haber analizar lo que el usuario pretendía hacer. Por ejemplo, podías escribir "Querida mamá, dos puntos", y el clip aparecía diciendo "Parece que está escribiendo una carta", y te sacaba un montón de propuestas, plantillas, etc.

No está muy claro por qué lo retiran. Las entrevistas oficiales que han proporcionado los responsables del producto dan a entender que la gente apenas lo usaba y que con mucha pena han decidido prescindir de su mascota. Más bien la razón es que en diez años el motor de deducción no ha conseguido su propósito. Que yo sepa, nadie más ha intentado algo tan ambicioso con la escasa potencia de un ordenador personal. Lo cierto es que nunca le he dado una oportunidad a sus dotes deductivas, y en cuanto aparecía lo desactivaba, al igual que muchas otras personas. El mayor problema no es que atinara o dejara de hacerlo, sino que distraía, consumía recursos y ralentizaba el ordenador. Para personas mayores o con dificultades motrices, de coordinación o, directamente, cognitivas, era tremendamente confuso.

Hay muchos chistes geeks con el ayudante. Uno muy célebre es esta animación ascii en VI: "Hum, parece que está escribiendo una expresión regular":

Pulsa para verlo a tamaño real. (Tomado de http://packetstorm.setnine.com/unix-humor/unixoid_hell.gif). No estoy seguro de la fuente original.

Pero mi favorita es la tira ecol de hace dos años:

Hay una historia más detallada en la wikipedia. Pero está en inglés: http://en.wikipedia.org/wiki/Clippy.

Ayer estuve jugando por primera vez a Twilight Imperium. Es un juego de mesa cuyo argumento es la colonización de una galaxia. Los jugadores tratan de tomar el control de un imperio en decadencia cuyos miembros se han convertido en satrapías levantiscas, pero aún tienen que hacer caso al senado. Yo creo que está a medio camino de Ascendancy y Colonization.

Bueno, el caso es que mis vecinos galácticos tuvieron un repentino problema por un encuentro fortuito y empezaron, ya en el mismísimo primer turno, una trifulca de nada por un puesto avanzado difícil pero no imposible de sostener. La cosa se les fue de las manos y se armaron como posesos. (Técnicamente se le llama "obcecarse", y se espeta así al oponente "¿te obcecas?", con un tono de voz dificil de describir).

Así que, sin dejar de vigilar por el rabillo del ojo sus poderosas y crecientes flotas espaciales, llegué a un pacto de no agresión con mi otro vecino. Esto incluía la desmilitarización de una franja de seguridad y alerta temprana entre mi vecino y yo. Me dediqué a expandirme sin prisa en mi esquina, mientras los otros se zurraban en el confín opuesto de la galaxia, y mi vecino observaba con inquietud las flotas apabullantes que se estaban formando en su flanco: en cuanto una acabase con la otra, él era el próximo destino. Pude explorar, producir flotas, desarrollar un montón de tecnologías. Como resolver problemas de logística me divierte, me lo pasé bien. No tiré un dado en toda la tarde.

Es un juego muy absorbente y divertido. Hay varios estilos de juego asequibles a cada jugador: comercio, construcción, expansión, política, tecnología y guerra. Nos quedamos con las ganas de probar las cartas de política más a fondo, aunque la cosa prometía. El ritmo es muy ágil y flexible. Las acciones posibles son múltiples, no parece haber callejones sin salida muy repentinos. Una cosa que me gusta es que las grandes batallas no abundan mucho, porque siempre me han parecido sosas las tiradas de dado en series largas. Cuatro jugadores parece un buen número, pero seis jugadores entregados al juego y sabiendo lo que se hacen pueden conseguir que nadie se aburra esperando. El tablero es de fichas hexagonales sueltas, como el de Colonos de Catán. Eso significa que será difícil jugar dos veces en la misma galaxia. Hay muchas reseñas por ahí, así que no tiene sentido abundar contando los detalles. Creo que Pachuca también ha echado alguna partida.

Supongamos que recibes una carta de alguien que afirma ser un asesor bursátil. La carta es concisa y está bien escrita: aunque la lees en diagonal, su brevedad y las frases bien estructuradas bastan para captar tu atención. El remitente explica que está empezando su negocio y necesita hacer clientes. Dice que, dado que apenas nadie le conoce, y que su trabajo depende del prestigio personal y el historial de sus predicciones, ha decidido ofrecer sus servicios gratuitos quincenalmente durante cuatro meses. Él está seguro de su método, y afirma que, tras el periodo de prueba, seguramente optes por contratar sus servicios. La carta termina diciendo: las acciones de la empresa ACME bajarán tres puntos esta semana.

Tiras la carta a la papelera.

Pero las acciones de la empresa ACME bajan 2,75. Cosa que, por supuesto, el asesor te señala en su siguiente carta, donde te recuerda los términos de su oferta (quedan otros seis consejos quincenales) y expone sus previsiones para la siguiente quincena: ACME se desploma 7 puntos.

Lo cierto es que esta vez sigues los valores de ACME con mal disimulado interés, y bajan 6 puntos. La siguiente carta dice que, contra todo pronóstico, el valor se mantendrá y quizá suba un poco: digamos que medio punto.

Y, sí, se mantiene. Luego sube, y después baja, pero siempre hace lo que el asesor predice. Para demostrarte que no es simplemente una persona de dentro de la compañía ACME y que no maneja información confidencial, ofrece información de otros valores bursátiles lo bastante dispares como para que nadie pueda sospechar fundamentadamente que se trata de un trabajo desde el interior. Por supuesto, esa reflexión no se expone tan crudamente, pero tú eres capaz de deducirlo.

Terminas por decidir investigar al remitente. Es una pequeña oficina en la capital, los papeles en regla, la página web, etc, etc. No parece haber un lujo desmedido. No te apetece llamarles por teléfono, pero tus investigaciones te demuestran que todo es correcto y que no hay antecedentes penales.

Una semana tras otra, las predicciones del asesor se cumplen a la perfección. Así hasta que la octava y última carta incluye una oferta de servicios profesionales y un contrato. Por el módico precio de 1.000 euros al año, puedes contar con los servicios profesionales de este señor para ciertos valores a escoger de la lista que acompaña. El precio es alto, pero un caso práctico basado en las siete predicciones anteriores y suponiendo que hubieras invertido cantidades prudentes, te demuestra que la ganancia es mucho mayor.

Y entonces, como mínimo, te preguntas dónde está la trampa.

En "el hombre anumérico", el matemático John Allen Paulos contaba una historia parecida a esta. El truco está en que, en la mitad de las cartas que envía, el asesor dice que el valor sube, y en la otra mitad dice que baja. La siguiente carta la envía sólo a aquella mitad de los destinatarios que recibieron la predicción acertada. Sucesivamente, reduce sus destinatarios, pero, al final, tiene un grupo de destinatarios con los que siempre ha acertado. Si la muestra inicial es de un millón de destinatarios, la final tiene, después de ocho iteraciones, unas ochomil personas. Con tal de que una de cada mil personas pague para ver, nuestro asesor bursátil se levanta 8.000 euros.

Ninguna persona en solitario puede mandar por correo postal ordinario un millón de cartas sin apoyarse en una infraestructura logística considerable. Pero enviar cien millones de emails está al alcance de cualquiera. Veamos cómo:

Tuve que preparar esta presentación para explicar en clase cómo es una inyección de SQL. Tal vez a alguien le sea de utilidad, así que lo dejo para descargar, junto con el código para explicarlo con un ejercicio. Hay otros ejemplos parecidos referidos desde la wikipedia, pero están en inglés. La inyección de SQL es la típica cosa que contada no se entiende, pero una vez la has visto no se te olvida.

La presentación:

• En flash: se ve aquí. Tarda un rato en cargar, pero la calidad es buena y lleva explicaciones.
• En youtube. La calidad no es muy buena, pero a pantalla completa se ve lo suficiente. Faltan los comentarios y la explicación.

En este fichero rar están el vídeo, el código fuente del script y la estructura de la tabla para postgres. No es difícil pasarla a otro sistema de base de datos. El ejemplo es un script que gestiona una tabla. No usa APIs ni abstracciones como PEAR porque los alumnos están aprendiendo lo básico.

El vídeo muestra el ejemplo de inyección aplicado a un sencillo formulario de consulta y modificación de una tabla en base de datos. El ejercicio original de mantenimiento de la tabla no contemplaba protecciones a posta, para posteriormente ilustrar el concepto de forma cruda.

La idea es que los programadores no comprueban los datos que llegan de fuera y los insertan en su programa alegremente. Eso es tremendo, porque un programa es una ventana abierta a tu sistema, y, si está en internet, esa ventana da al mundo. Ocurre más a menudo de lo que la gente piensa, porque el mercado laboral necesita muchos informáticos, y la gente se incorpora muy verde, y porque se trabaja muy deprisa y no se dedica tiempo suficiente a los detalles.

Los datos elementales como la tabla se pueden deducir. Por ejemplo, casi todo el mundo emplea nombres de tabla parecidos: "users", "usuarios", etc. Si se muestran errores por pantalla, además se puede obtener más información.

Los ataques de este tipo tienen varios remedios. En primer lugar, la inyección se previene mediante una técnica de lista blanca: dices qué aceptas, no qué no aceptas, de forma que reduces las opciones abiertas y tu programa es controlable. Por ejemplo: si esperas un número, no aceptes otra cosa. Para eso, hay que comprobar primero los datos, tanto en tipo como en longitud. En segundo lugar, hay que tener un buen diseño. Por ejemplo, en este video de otra inyección SQL, el atacante hace login porque la aplicación está mal planteada y, en realidad, no se comprueba estrictamente la contraseña, si no si una consulta ha dado un resultado positivo lo que, aparentemente, es lo mismo, pero no, porque hay varias respuestas válidas a la comprobación (en otras palabras, se pretende comprobar una cosa, pero se está comprobando otra condición distinta que contiene lo que preguntas, y más cosas que no preguntas). En tercer lugar, el propio lenguaje de programación tiene sus mecanismos para evitar esta clase de intrusiones, pero no son perfectos. Por ejemplo, se escapan las comillas y no se ejecutan ciertas instrucciones drásticas si vienen en grupo. Por ejemplo, PHP no ejecuta un droptable si la instrucción viene acompañada por un select en la misma orden de ejecución.

• Un ataque de tanteo a ciegas. Muy bien explicado y con enlaces.
• Vídeos en youtube. Mi preferido es este: "Entrando en el campus on-line".
• Artículos en la wikipedia, en inglés y castellano.

La escala Scoville mide el picor de los pimientos y chiles. El pimiento más picante es el Bhut Jolokia, de la India. Llega a un millón de SHU (Scoville Heat Units). Para hacerse una idea, el tabasco normal pica doscientas veces menos (5000 SHU), y un espray de pimienta para defensa personal anda entre los dos millones y cinco millones de SHU. Pero más ilustrativo es este dato: para manipular un pimiento de novecientosmil SHU se necesitan guantes.

Información inútil para la mayoría de nuestros lectores, pero curiosa no obstante (a no ser que pienses en comerte uno de esos pimientos). Leido en la sección de sueltos inanes e inofensivos de la revista Time, y contrastado en la wikipedia (en castellano), con una escala de colores (en inglés).