Por @Alvy — 3 de Mayo de 2016

Este vídeo de Science Channel proporciona la rara oportunidad de ver cómo es un cajero automático por dentro: «Un Fort Knox en miniatura», como dice el narrador. Algunos pueden guardar hasta mil billetes en cartuchos mecánicos con rodillos bastante sofisticados para el conteo a la hora de dispensar el dinero – a una velocidad de hasta 5 billetes por segundo.

En cuando al diseño interior los cartuchos de dinero están fabricados de modo que sea fácil intercambiarlos unos por otros; son como una especie de caja fuerte en sí mismos. Una combinación giratoria de alta seguridad de seis dígitos garantiza que el dinero esté protegido incluso si alguien decide robarlo.

Como curiosidad: la mejor forma de robar un cajero automático suele ser hackearlo; las cámaras que graban a la gente tecleando su PIN de una y otra forma –y diversos métodos para clonar las tarjetas– hacen el resto. Hubo un tiempo en el que «reventar» los cajeros desde el interior con explosivos era un buen método, pero se reforzaron para evitar esas situaciones. Y es que contra estas máquinas, auténticas pequeñas cajas fuertes, la fuerza bruta a veces funciona.

Mientras tanto, uno de los grandes misterios de la humanidad seguirá siendo por qué la numeración de los teclados de los cajeros está al revés que la de los teléfonos – aunque basta fijarse por la calle para darse cuenta de que ni siquiera son consistentes unos con otros. Cosa de tradiciones.

Compartir en Facebook  Tuitear
Por @Alvy — 15 de Abril de 2016

CGP Grey ha hecho un buen resumen en este vídeo de las diferencias más importantes al utilizar las analogías entre las cerraduras físicas del MundoReal™ y las cerraduras digitales que protegen los datos en Internet. Y es que, aunque normalmente son una gran ayuda, toda analogía tiene sus limitaciones, y este es uno de esos casos.

Las cerraduras de las puertas del mundo real son débiles por su propia naturaleza (y no muy seguras, como puede averiguar en segundos cualquiera buscando en Google o leyendo un libro). Cumplen con su objetivo de «proteger» poniéndoselo un poco más difícil a los cacos que además se enfrentan a dos limitaciones del mundo físico: que el tiempo necesario para abrir una cerradura es limitado y que han de hacerlo «en persona» con el consiguiente riesgo de ser pillados.

En Internet, en cambio, las cerraduras digitales se pueden atacar masivamente, de modo que sistemas como «probar todas las contraseñas» son asequibles. Además, en la red la distancia no significa nada: si alguien desde China intenta hackearte una cuenta es casi imposible que lo pillen o tenga problemas. Las cerraduras de Internet deben proteger de todos los atacantes, todo el tiempo – han de ser intrínsecamente seguras.. Y gracias a su diseño matemático lo son y esa es su gran ventaja.

La cuestión de fondo está en el debate sobre si esta seguridad perfecta es buena o mala – algo un tanto fútil. Es humano pensar que a veces sería conveniente para todos poder tener una llave maestra para recuperar ciertos secretos –como en el caso de las protecciones de los teléfonos móviles del caso San Bernardino– o si se debería obligar a los fabricantes a guardar «llaves maestras» o algo parecido. Pero eso supondría debilitar todas las cerraduras, dar llaves «legales» solo a ciertas entidades o –si se imponen ciertas restricciones legales– a prohibir hacer ciertas cosas en tu ordenador o teléfono móvil que puedes hacer en otros distintos (o en servidores lejanos).

Examinándolo a fondo es un debate que equivale a decidir se deberían permitir ciertas «ideas» (usar «ciertos algoritmos» o «cerraduras imposibles de abrir sin la llave adecuada») o no. Como por suerte o por desgracia esas cerraduras ya existen, es una batalla perdida. Tan perdida como que diversos países lo hagan a nivel local, porque nuevamente la distancia en la red no existe. Como poéticamente concluye CGP Grey,

Está en la naturaleza de las cerraduras ser «rotas» y está en la naturaleza de Internet que los demonios lleguen a nuestra puerta. Pero por mucho que lo deseemos, no hay forma de diseñar una de esas cerraduras digitales de modo que solo la puedan franquear los ángeles y no los demonios. Todo aquel que afirme lo contrario es un ignorante de las matemáticas – o menos ángel de lo que pretende ser.»
Compartir en Facebook  Tuitear
Por @Alvy — 12 de Abril de 2016

La estructura de los Papeles de Panamá (que son más que «papeles»)

En el Süddeutsche Zeitung publicaron esta interesante gráfico que desglosa qué tipo de contenidos hay en los 2,6 terabytes procedentes de la filtración de los Papeles de Panamá; la información al completo está en About the Panama Papers.

Aunque la cantidad es descomunal no se trata simplemente de terabytes de «texto» como podría sugerir el término papers; también hay documentos que ocupan mucho más: «formatos de bases de datos» (3 millones, probablemente hojas de cálculo), PDFs, imágenes (seguramente documentos escaneados) y otros. En total se habla de «11,5 millones de documentos».

Un disco duro de 3 TB donde meter todo esto se puede comprar en la tienda por unos 100 euros.

La escala de los Papeles de Panamá (que son más que «papeles»)

Respecto a los datos en sí, son tantos que dicen que han trabajado en ellos, en secreto, unos 400 periodistas durante los últimos 12 meses; en total 100 medios de 80 países. Todos los documentos «gráficos» se pasaron un un sistema de OCR (Reconocimiento Óptico de Caracteres) antes de almacenarse en una gigantesca base de datos. Diversos sistemas permitían buscar y también comparar rápidamente largas listas de nombres propios con el contenido de esos millones de documentos, buscando coincidencias.

Respecto a la forma en que los hackers entraron en los ordenadores del bufete de abogados Mossack-Fonseca se especula con una versión vulnerable de Revolution Slider, un plugin del popular sistema de contenidos Wordpress que se utilizaba en la web del despacho. Esto habría permitido acceder a uno de los servidores, que estaría conectado al servidor de correo electrónico (al parecer sin ninguna medida de seguridad entre medias) y desde ahí se habría lanzado un ataque mediante phising contra los empleados. Gracias a esto se habría infectado con algún tipo de malware los ordenadores del bufete para obtener diversas contraseñas con las que acceder a todos los archivos. Un poco de paciencia en la descarga de todos esos terabytes y ataque concluido. «¡Oye, que esta conexión a Internet me va muy lenta!» debió ser la queja más habitual en el bufete el año pasado…

Por su parte, el Consorcio Internacional de Periodistas de Investigación (ICIJ) que ha coordinado las investigaciones utilizó los servidores de la nube de Amazon para guardar y procesar todos estos datos. Eso sí, fueron más cautos: utilizaron PGP/GPG para cifrar sus correos y Signal como mensajería personal, opciones consideradas altamente seguras.

Compartir en Facebook  Tuitear
Por @Alvy — 3 de Abril de 2016

Hackear Elecciones (C) Bloomberg

Bloomberg Businessweek publicó este interesante artículo titulado How to Hack an Election en donde el hacker Andrés Sepúlveda explica cómo manipuló diversas elecciones en Latinoamérica durante casi una década. Merece la pena echarle un vistazo.

¿El método? Instalar malware en los ordenadores de los adversarios, obtención ilegal de información, manipulación de redes sociales a través de blogs, creación de perfiles falsos (ver Hacker cuenta cómo manipuló elecciones de México 2012, Presidencia lo niega, en Hipertextual). Los «supuestamente afectados» niegan los hechos (ver “Las declaraciones de Andrés Sepúlveda son un desvarío” en El País). El problema: que apenas hay pruebas, en un sentido o en otro. La presidencia de México ha publicado un comunicado oficial respecto al artículo de Bloomberg Businessweek.

Un buen recordatorio de que la democracia y sus métodos son frágiles.

Compartir en Facebook  Tuitear