Por @Alvy — 14 de Febrero de 2017

Cross browser system architecture

Ars Technica da cuenta del trabajo de unos investigadores que han desarrollado un método efectivo al 99% para identificar a un usuario que navega por la web aunque utilice diferentes navegadores en un mismo ordenador.

Esto normalmente se hace a través de cookies, pero una forma sencilla y conocida de evitar ser «reconocido» por los sitios web que se visitan es simplemente usar otro navegador (por ejemplo Firefox, Opera o Edge en vez de Chrome) en la misma máquina. Las cookies no se comparten de una aplicación a otra.

Pero esta técnica evita usar ese truqui: lo que hace es aprovechar la información relativa al hardware del equipo y los propios navegadores sobre hora, plataforma, tamaño de la pantalla, tipografías, etcétera) – además de las clásicas cookies, las supercookies y las cookies eternas– para calcular cuán probable es que cierto visitante sea el mismo que otro, aunque los navegadores sean diferentes. La fiabilidad es muy alta.

Es similar a aquello que ya nos descubrió Panopticlick hace años: que es muy fácil identificar a un navegador determinado porque no hay dos iguales. (Prepárate a temblar y sentirte desnudo si lo visitas.)

Los detalles del trabajo están aquí: (Cross-)Browser Fingerprinting via OS and Hardware Level Features.

Esta técnica tiene diversas consecuencias para la privacidad, seguridad y funcionalidad de los sitios web, porque como siempre todo depende de cómo se use. La primera impresión es que sin duda se empleará más para el mal que para el bien y es casi seguro que surjan contramedidas en forma de plugins y otras técnicas y escaramuzas, del mismo modo que en su día surgieron los «modos anónimos», el Do not Track y similares.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 7 de Febrero de 2017

Vive un Internet Seguro

Vive un Internet Seguro es una iniciativa de Google y la OCU que recopila consejos y recomendaciones que cubren todos los aspectos de la seguridad y privacidad en Internet.

Ahí se puede aprender fácilmente desde cómo proteger un router a gestionar los datos que se publican en las redes sociales, cómo hacer backups de dispositivos móviles y cómo utilizar la «verificación en dos pasos».

Y, aunque parezca repetitivo, también reitera los archiconocidos consejos para comprar en Internet con seguridad (distinguiendo sitios «fiables» de «poco fiables» y otras consideraciones), algo que hoy en día sigue preocupando a mucha gente que por otro lado utiliza las tecnologías de forma más o menos habitual pero no se atreven a enfrentarse a una web de compras, a formularios complejos o a todo lo que pueda suceder tras solicitar un producto (problemas con el envío, devoluciones, garantías, etc.)

Finalmente hay un apartado dedicado a los niños e Internet, especialmente a los filtros de contenidos y al «control parental», que si bien dependen en última medida de las escuelas de pensamiento al respecto de los padres, no está de más conocer. Que como ya sabemos y siempre nos recuerda Wicho los nativos digitales no existen y todo es cuestión de acompañarles y enseñarles en sus viajes por la red.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 2 de Febrero de 2017

Ron Rivest en persona –lo cual siempre es agradable– explica en este vídeo de Numberphile unas cuantas cosas sobre el RSA-129, un número de 129 dígitos decimales (y 426 bits) que usaron como un reto criptográfico que tardó 17 años en resolverse.

Originalmente se decía que se necesitarían 40.000 billones de años para resolver el problema, que se publicó en la columna de Martin Gardner en Scientific American en agosto de 1977, pero de hecho se resolvió en abril de 1994. ¿El premio? Fama mundial y 100 dólares, lo primero que se les ocurrió a los matemáticos.

Siempre he pensado que los 100 dólares que pagamos a los que resolvieron el reto debieron ser la compra más barata de potencia de computación que se haya hecho jamás.

– Ron Rivest

Los problemas de factorización son una de las bases del algoritmo criptográfico RSA que protege todo tipo de comunicaciones y sistemas. Básicamente aprovecha la asimetría que hay entre un problema y su función inversa, algo que se conoce técnicamente como función de un solo sentido. En este caso en concreto: es muy fácil multiplicar dos números, pero es bastante más complicado descomponer un número en factores primos si resulta que esos factores son dos números primos relativamente grandes – como descubre cualquier estudiante de matemáticas de ESO tan pronto como aprende el concepto de factorización.

Rivest cuenta que ni siquiera se acuerda de cómo eligieron los números, que seguramente probaron con diversos números grandes al azar, comprobando si eran primos (lo cual es relativamente fácil mediante diversos algoritmos) y luego los multiplicaron. El «reto RSA» era encontrar esos dos números, llamados p y q cuyo producto fuera el número publicado. Si la gente les enviaba un resultado solo tenían que multiplicarlos para comprobar si la solución era correcta. ¿Por qué? Ni siquiera apuntaron los números p y q originales que generaron. De ese modo, dice, «queríamos evitar que la gente pudiera robarlos o hacer algún truco raro».

RSA-129 =
114381625757888867669235779976146\
612010218296721242362562561842935\
706935245733897830597123563958705\
058989075147599290026879543541

y sus factores p y q son

p = 349052951084765094914784961990\
3898133417764638493387843990820577

y

q = 327691329932667095499619881908\
34461413177642967992942539798288533

Para dar con la solución un equipo de expertos combinó tres factores a principios de los 90: mejores algoritmos de factorización, ordenadores mucho más potentes y un equipo humano que trabajaba unido a través de –la por entonces todavía primitiva– Internet.

Más adelante se superaron otros retos y se factorizaron números de 200 dígitos (el RSA-200) y más allá, hasta el RSA-768 [Nota: la numeración a veces corresponde con dígitos decimales, como el RSA-129, a veces con dígitos binarios, como el RSA-768, que tiene 232 dígitos decimales). Los números mayores que el RSA-768 no han sido factorizados todavía. El más inabarcable de los planteados hasta la fecha es el legendario RSA-2048, con nada más y nada menos que 617 dígitos decimales.

Lo mejor del algoritmo RSA, que todavía se usa, es que como dice Rivest si se descubre que alguien tiene potencia computacional como para romper las claves de un tamaño determinado, «simplemente se usan otras más grandes y problema resuelto». Hoy en día son muchos los productos que permiten usar 1024 bits (ya se hablaba en 2005 de este nivel), 2048, 4096 o más para esos gigantescos números pseudo-primos.

Por cierto para el reto del RSA-2048 sigue en pie un premio de 200.000 dólares y para los anteriores también hay suculentos dinerillos esperando.

Relacionado:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 24 de Enero de 2017

Unlocking android patterns

En Your Android device's Pattern Lock can be cracked within five attempts se explica como un grupo formado por varios equipos de investigadores han logrado romper el patrón de bloqueo de Android utilizando una grabación de vídeo y un algoritmo para el análisis de la imagen.

La forma de averiguar el patrón de bloqueo no implica mucha exposición para el atacante, quien únicamente tiene que disimular haciendo que usa el móvil mientras en realidad graba con él a su víctima. No es necesario siquiera que en el vídeo aparezca la pantalla del móvil de la víctima, basta con que le grabe desbloqueando su móvil Android.

Con esa grabación un programa de software es capaz de generar cinco posibles patrones de desbloqueo basándose en los movimientos del dedo respecto a la pantalla del dispositivo; el tamaño de la pantalla es irrelevante. En el 95 por ciento de los casos los investigadores lograron averiguar el patrón correcto en cinco intentos o menos.

Si crees que usar un patrón de bloqueo complejo es más seguro, estas son las últimas noticias: al hacer más movimientos con el dedo para hacer más trazos se reduce el número de patrones posibles, lo que facilita que el software determine cómo es. Los investigadores rompieron el 87,5 por ciento de los patrones complejos al primer intento, mientras que en los patrones simples el porcentaje de acertados con un intento fue del 60 por ciento.

Para que la imagen de vídeo resulte útil es suficiente con una grabación de vídeo hecha con un teléfono móvil o con otro tipo de cámara a una distancia de nueve metros.

Imagen: Lancaster University.

Compartir en Flipboard  Compartir en Facebook  Tuitear