Microsiervos | Seguridad

La madre de la madre de todos los agujeros de seguridad de Internet

Wed, 27 Aug 2008 21:00:23 +0100

¡Eramos pocos y parió la abuela! Si hace poco contábamos algo sobre la madre de todos los agujeros de seguridad de Internet ahora acaba de aparecer otro más temible todavía. El problema es profundo y complejo, y como de costumbre los usuarios de a pie nada apensa pueden hacer nada, excepto esperar (o cifrar toda la información cuando naveguen por Internet y envíen cosas). Se pueden leer los detalles en

Kriptopolis: Revelado el mayor agujero de seguridad de Internet que cita el original de Wired, Revealed: The Internet's Biggest Security Hole, ampliado en More on BGP Attacks
Barrapunto: Descubierto un grave fallo de seguridad en el protocolo BGP o en inglés Slashdot: The Internet's Biggest Security Hole Revealed
ALT1040: El agujero de seguridad más importante de Internet

Añádase a esto el nuevo problema de seguridad en Windows Vista que parece más grave que todos los anteriores juntos y ya se puede usar la frase aquella de… «Se avecinan tiempos interesantes…»

Imágenes ocultas en el filo de los libros

Sat, 16 Aug 2008 12:26:01 +0100

Para ver las imágenes ocultas en el filo de las hojas de algunos libros antiguos había que abrirlos por cierta página y presionar de manera específica. Una especie de esteganografía antigua, con muy curiosos resultados: El arte de ocultar imágenes en el filo de las hojas de un libro en Anfrix. Se empezó a usar esta técnica en el siglo X y a partir del siglo XVIII había evolucinado de tal modo que un mismo libro podía contenter diversas escenas según el ángulo en que se presionara. (¡Gracias Sensei Garfi por la pista!)

Un nuevo problema de seguridad en Windows Vista que parece más grave que todos los anteriores juntos

Mon, 11 Aug 2008 23:14:27 +0100

Fernando Acero explica en un artículo publicado por Kriptópolis el n-éstimo problema de seguridad de Windows Vista, que parece ser especialmente relevante y con profundas implicaciones: ¿La puntilla para Vista?. Hay más detalles en inglés en la historia de SearchSecurity.com Windows Vista security «rendered useless» by researchers, un muy completo artículo en Electronista: Vista security gutted by new web exploit y algo más en castellano en Barrapunto: La seguridad de Windows Vista, inútil.

Al parecer investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista(…)

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales.

El artículol en inglés empieza explicando que el problema puede considerarse todo un «avance» en cuanto a posibles ataques a Windows Vista y que muchos en la comunidad creen que tendrá grandes implicaciones no solo para Microsoft sino también para toda la industria en cuanto a la forma en que se deberán concebir (o luchar contra) los ataques informáticos sobre este sistema operativo. Bonus: en otras noticias sobre Windows… un pantallazo azul de la muerte de dimensiones colosalmente olímpicas.

Cómo detectar el sexo de los visitantes a tu web, por su historial

Thu, 31 Jul 2008 20:15:28 +0100

Brillante hackeo con JavaScript y CSS, bien explicado en anieto2k: Cómo detectar el sexo de tus visitantes con su historial de navegación. El código original se llama SocialHistory.js y se basa en un hackeo tremendamente ingenioso: utilizando técnicas de programación en JavaScript y CSS se puede saber si un visitante ha visitado otros sitios anteriormente. ¿Cómo? Por que están en su historial de navegación y los enlaces visitados tienen un color distinto. En cierto modo podría ser considerado un agujero de seguridad/privacidad, pero no se antoja demasiado grave. El truco no permite leer la lista de enlaces visitados, pero como se puede «preguntar» si se han visitado o no tantas veces como se quieras en una especie de sí/no al estilo del juego de las 20 preguntas, se pueden «averiguar cosas». Por ejemplo, y rizando el rizo, se pueden compara una larga lista de URLs diversas –hasta 10.000– de las que se conoce aproximadamente el porcentaje de hombres y mujeres que las visitan, para «acertar» con cierto grado de precisión. Snopes o Amazon los visitan más mujeres que hombres; Boing Boing y Popular Mechanics al revés… etcétera. Se puede ver una demo aquí (haciendo clic en el botón central):

Using your browser URL history to estimate gender

Esto mismo truco permitiría hacer otras cosas en función de las URLs que el visitante haya navegado últimamente. Como además esa función relativa a los «enlaces visitados» es muy importante para los usuarios y de las más primitivas que existen en los navegadores, sería extraño que lo corrigieran. Esto abre todo un mundo de nuevas posibilidades a los webmasters.

Descifrando el extraño código secreto recibido en el Fermilab

Mon, 21 Jul 2008 12:00:00 +0100

Esta historia comenzó hace tiempo como un código secreto recibido por correo postal en el labotatorio Fermilab. La curiosidad llevó a quienes lo recibieron a publicarlo en la web, donde cientos de personas se pusieron a trabajar en descifrarlo. Con el tiempo surgieron diversos puntos de vista sobre su origen, caminos e ideas para encontrar parte de la solución, algunas realmente ingeniosas, es interesante ver cómo fueron evolucionando. En el Chicago Tribune publicaron al cabo del tiempo un resumen: Decoders take a crack at letter sent to Fermilab, donde se puede ver el texto que se llegó a descifrar y su significado. El código del centro (arriba en la imagen) todavía sigue siendo un misterio y está por descifrar. No se sabe si es una broma o que, como bien podría ser, el mensaje contiene capas y capas de información unas ocultas dentro de otras. En definitiva: todo un reto interesante tanto para amantes de los puzzles como de la criptografía. (¡Gracias Inti por la pista! – nunca mejor dicho).

La solución defintiva para garantizar derechos fundamentales: cifrar toda la Internet

Thu, 10 Jul 2008 21:51:29 +0100

Esta interesante iniciativa está explicada en el artículo original en inglés The Pirate Bay Wants to Encrypt the Entire Internet y en castellano Contra los vigilantes, encriptemos Internet con el punto de vista de Enrique Dans. Lo que técnicamente hace unos años sería complicado (cifrar de punto a punto todas las comunicaciones) hoy en día es cada vez más factible, tanto por la potencia de los ordenadores personales como por la velocidad de las conexiones que la gente tiene en su casa. Lo único que resta es encontrar una fórmula tan fácil como es hoy en día a Google a buscar algo. En lo que están pensando es en un programa que se quede corriendo «de fondo» sin que el usuario tenga que hacer absolutamente nada. La propuesta proviene de The Pirate Bay, el sitio de intercambio de contenidos mas grande del mundo, aunque históricamente ha habido ideas e iniciativas similares con mayor o –habitualmente– menor éxito. El borrador preliminar: Technical Proposal (IPETEE), Transparent end-to-end encryption for the internets.

La madre de todos los parches para la madre de todos los agujeros de seguridad de Internet

Wed, 09 Jul 2008 20:51:41 +0100

Lo explican bien en Kriptópolis, donde el título describe el tema con claridad: Fallo crítico en DNS obliga a parchear toda Internet. Allí dirigen a los interesados en tecnicismos y detalles a la Vulnerability Note VU#800113 del CERT y también Multiple Vendors DNS Spoofing Vulnerability del SANS Institute. La mayor parte de los usuarios normales y corrientes no tienen que hacer nada; van a ser nuestros siempre queridos sysadmins quienes tengan que hacer todo el trabajo. ¡Recuerda felicitarles el próximo viernes 25 de julio! También en S21sec: La Vulnerabilidad de los Servidores DNS.

Cómo vulnerar la seguridad de las máquinas de tabaco que comprueban la edad por reconocimiento facial

Wed, 02 Jul 2008 21:04:56 +0100

Al parecer en Japón algunas máquinas expendedoras comprueban la edad de los compradores mediante una cámara digital: se examina la cara del sujeto buscando ciertos signos de «edad», mediante un sistema automático de la compañía Fujitaka. Se trata de discernir si la persona tiene 20 años o no, que es la edad válida en japón para fumar. El asunt, que cuentan en Age verification cameras easily fooled es que hasta un niño de cuatro años podría adivinar cómo hackearlas. El truco es tan simple como sujetar una fotografía delante de la cámara, por ejemplo de una revista o periódico. Al parecer allí otros sistemas como los que hay en España del «mando a distancia» o una tarjeta-carnet especial; ciertas máquinas requieren que se inserte el carnet para comprar, de modo que el avance que aparentemente deberían suponer este sistema de reconocimiento facial no es para tanto, realmente. (De algo me suena a mi eso.) En Hack a Day que es donde lo vi proponen de hecho una solución de baja tecnología para mejorar el sistema visual: que la máquina compruebe que el «fondo» de la imagen es el «correcto» (el de la tienda en que esté instalada, cuando no haya nadie delante): en la foto real de alguien el fondo debería cambiar relativamente poco respecto al patrón almacenado, y no podría burlarse con tanta facilidad. El hackeo recuerda un poco a aquel de las huellas digitales falsificadas con fotocopias que fue demostrado en la práctica por esos nuestros grandes héroes, los Cazadores de Mitos.

Fotos de algunos NOC (Centros de Operaciones) bastante impresionantes

Wed, 02 Jul 2008 10:24:13 +0100

NOC de Reliance Communications en India © Suraj

Bonitas y sugerentes fotos las de esta galería de NOCs titulada Gallery of Network Operation Centers. Como bien matiza el apunte –y sabrá quien alguna vez haya visitado algunos de estos sitios– combinan un «diseño para impresionar» con el lado práctico de tener reunida en una sola sala toda la información y controles de grandes centros. El factor geek de estos sitios es ciertamente alto.

NOC de AT&T circa 1999 © fotoFluke

Encontré en Flickr muchas más, aunque de aquella manera y un poco mezcladas con otras cosas: network operation centers. (Vía Apuntes de seguridad de la información.) Actualización: A nivel nacional, algunas fotos del CNSO de Telefónica: Centro Nacional de Supervisión y Operaciones de Telefónica y su correspondiente álbum de fotos del CNSO, cuyos enlaces nos envió amablemente Witer.

Salvar Bletchley Park

Mon, 16 Jun 2008 12:31:55 +0100

Máquina Enigma exhibida en Bletchley Park. Foto (CC) Tim Gage

Salvemos Bletchley Park es un artículo de Público que cuenta la historia completa de cómo la mansión inglesa donde los «rompecódigos» trabajaron durante la II Guerra Mundial, desde hace tiempo convertida en museo está pasando ciertos apuros económicos y podría ver peligrar su continuidad. Trabajaron allí más de diez mil matemáticos y científicos y aunque se había mantenido hastas ahora con donativos de los visitantes, se necesitan unos 6 millones de euros para resturar los edificios y hacer ciertas reformas. La fundación que lo gestiona ha publicado una petición en línea para recibir apoyos públicos.

Colossus «crackeará» de nuevo, compitiendo contra un PC moderno.
Colussus, reconstruido, la historia de la reconstrucción.
Codebreakers: The Inside Story of Bletchley Park, la historia del descifrado.
Bletchley Park, el lugar donde estuvo Colussus.

Se busca: la impresora que se bajó en plan «piratilla» Iron Man e Indiana Jones

Sat, 14 Jun 2008 22:48:38 +0100

La imagen es bastante autodescriptiva, pero la historia de Security Focus Messing with the RIAA and MPAA tampoco está nada mal: cómo una serie de hackers de la Universidad de Washington consiguieron crear cierta confusión usando BitTorrent y las direcciones de red del campus. Lo cuentan al completo en la web de la propia universidad, incluyendo el informe completo:

Tracking the Trackers: Investigating P2P copyright enforcement

Lo divertido con esa manipulación «consiguieron» recibir correos amenazantes de la RIAA y la MPAA (que son como la SGAE española, pero de música y películas, respectivamente) que tenían como IPs denunciadas las de una impresora, un router Wi-Fi y ordenadores desde los que nunca nadie se había «bajado» nada. La conclusión viene a ser que las técnicas de rastreo que utilizan esas organizaciones distan de ser óptimas y bien podrían estar denunciando y amenazando a usuarios inocentes.

La industria discográfica denuncia a un desarrollador de software P2P español, un caso de aquí.
eliteDivX, otro caso de enlaces P2P sobreseído, y ya van unos cuantos.
El Fiscal General del Estado dice que intercambiar archivos no es ~~ilegal~~ delito, y se supone que sabe de estas cosas.
¿Enlazar puede llegar a ser delito? Otro caso legal peliagudo sobre quién es responsable de los enlaces de un sitio.
La SGAE demanda a Julio Alonso. ¿Qué pasa cuando Google te coloca muy arriba en los resultados de una búsqueda y eso no le gusta a alguien?

«Seguridad y sentido común (o la falta de él)» en Solo ante el Peligro

Fri, 13 Jun 2008 11:06:35 +0100

Ver vídeo: «Seguridad y sentido común (o falta de él)»

He aquí otro vídeo de nuestra intervención en Solo ante el peligro, el late night de Paramount Comedy presentado por Juan Solo

Seguridad y sentido común (o la falta de él) [8 min.]

Entre las diversas historias relacionadas con el tema seleccioné algunas de mis favoritas y estos son los enlaces que mencioné, para quien le interese investigar un poco más:

Las aparentemente inseguras contraseñas de los Starbucks, tal y como descubrió Javier y fotografió en El Cosmonauta.
El famoso aparcamiento en el que es fácil burlar la seguridad, que publicó hace años nuestro admirado Bruce Scheneier, y que investigando un poco resultó ser de la Universidad de Bielefeld en Alemania, véase la foto aérea de Google Maps.
Algunas anécdotas sobre la seguridad antiterrorista en los aviones, vista por los pilotos un tema serio y poco conocido.
Los consejos típicos sobre las contraseñas informáticas y recomendaciones un poco WTF como la de no decirle la contraseña a tu loro procecente del mismísimo Google.

A medida que vayan estando disponibles los siguientes programas que grabamos hace unas semanas los iremos publicando por aquí desde nuestro Canal de Microsiervos en YouTube. Solo ante el peligro se emite a las 22:30 de lunes a jueves, con dos repeticiones a lo largo del día siguiente a las 2:30 y a las 16:00 (también los fines de semana); Paramount Comedy está disponible en Digital Plus y en la mayoría de las operadoras de cable.

«Matando Nubes» en Solo ante el Peligro, intentando domeñar el clima
Estreno de Solo ante el peligro, en Paramount Comedy

Cómo falsificar huellas digitales

Tue, 10 Jun 2008 23:12:13 +0100

Una de esas cosas que siempre viene bien saber, por culturilla, porque nunca sabes cuándo vas a necesitar: Cómo falsificar huellas digitales. Botellas, papel fotografico, pomos de puertas o discos compactos son buenas fuentes para obtener una huella anónima. Luego se puede utilizar una especie de polvillo como el de los C.S.I o en plan más humilde, el todopoderoso Superglue. Fotografiar, digitalizar e imprimirla como una transparencia, además de un poco de cola, hacen el resto. Los Cazadores de Mitos demostraron cómo no era demasiado difícil engañar a un sistema biométrico «industrial» de reconocimiento de huellas para abrir una puerta, utilizando una huella robada y un gel balístico; la sorpresa vino cuando también probaron a engañarlo con una especie de fotocopia en papel (así, como suena) y también funcionó, para asombro de propios y extraños.

Cómo evitar las «firmas» invisibles de las cámaras digitales

Sun, 11 May 2008 17:39:22 +0100

Todas las cámaras digitales almacenan en las fotografías ciertos datos que la mayor parte de los usuarios no sabe ni que existe, especialmente en los datos EXIF. Pero también guardan de forma inadvertida otro tipo de información que, mediante el estudio detallado de cierto volumen de imágenes tomadas con la misma cámara (por ejemplo, tras haberlas publicado en Internet), puede ayudar a seguir la pista y detectar su procedencia. Es muy difícil conseguir que una «imagen anónima» se realmente anónima. Estas «firmas invisibles» son casi, casi, como una huella digital desconocida para el propietario de la cámara. Están presentes especialmente en el «ruido» que añade la suciedad que al sensor CCD debido al polvo o a defectos de fabricación; también en los píxeles muertos o las manchas de la lente: es como cuando ver las fotos te das cuenta de que todas tienen la misma manchita en el mismo sitio y distorsionan la imagen de la misma forma, pero de forma más sutil. A partir de la comparación de decenas de imagenes se pueden hallar lo que hace única a cada cámara. Suponiendo que alguien subiea luego esas fotografías a Internet, unas bajo su nombre real, otras de frrma anónima, con el paso del tiempo la combinación de los diversos detalles, datos e información, permitiría identificar la cámara original y seguramente también a su propietario. En Avoiding Camera Noise Signatures han escrito un completo artículo a modo de tutorial que describe paso a paso cómo conseguir imágenes «realmente anónimas», dentro de lo posible, para subir a Internet. Estos serían los detalles a tener en cuenta: Cómo crear imágenes fotográficas realmente «anónimas»

Como siempre sucede con estas cosas, este tipo de preocupaciones con el anonimato depende del grado de paranoia de cada persona, las molestias que se quiera tomar, lo «malo» que sea lo que está haciendo y la probabilidad de que agencias gubernamentales con acceso a datos y tecnología como para analizar todo esto le vayan a perseguir. Probablemente si no estás haciendo algo por lo que Jack Bauer debiera perseguirte, estás a salvo. Parte de estas técnicas proceden de los trabajos sobre imagen digital y esteganografía de Jessica Fridrich, un nombre que a muchos lectores de la sección «Puzzles y Rubik» de Microsiervos les sonará: esta diva geek es también la creadora del Método Fridrich para resolver el cubo de Rubik a alta velocidad, considerado uno de los mejores que existen. (Vía shhhhhh Boing Boing.)

Fotos ocultas por error… dentro de las propias fotos, un problema típico.
El código «invisible y secreto» de algunas impresoras, cuidado al imprimir.

Candados múltiples: algo de seguridad en formato «tecnología improvisada»

Mon, 05 May 2008 19:41:57 +0100

¿Cómo hacer si diversas personas necesitan acceder a través de una valla, pero es más conveniente que cada una de ellas tenga una llave distinta (por si se pierde y la gente no está demasiado en contacto como para reemplazarlas todas ellas)?

Encadenando unos candados con otros: cualquiera puede abrir «su» candado y liberar la cadena, para luego cerrarlo. Kevin Kelly denomina a esto «solución de tecnología improvisada», un término precioso para esta ingeniosa solución que por aquí hubieramos calificado como «baja tecnología». Hay otro ejemplo visual en su anotación One Gate, Multiple Locks.

Los diez mejores secretos que ya no son tan secretos

Thu, 01 May 2008 23:36:57 +0100

Los 10 mejores secretos desclasificados del mundo es una buena traducción/resumen de Top 10 Declassified Secrets que condensados en diez líneas vedrían a ser:

El Vaticano y los templarios: de absueltos a perseguidos
Las 4 bombas-H perdidas por un B-52 en Groenlandia
El USS Liberty, bombardeado por el ejército israelí a sabiendas
La masacre Dunblane: conspiracion policiaca
Operación Paperclip: científicos nazis van a trabajar a EE.UU.
El escándalo Plame y las armas de destrucción masivas en Irak
La masacre de My Lai por fuezas norteamericanas
Operación Gladio: conspiración anticomunista en Italia
Operación Northwoods: crear caos y culpar a Fidel Castro
Churchil quería ejecutar a Hitler en la silla eléctrica

Las descripciones completas en las anotaciones originales merecen realmente la pena. De algunos había mucha información hace tiempo; por ejemplo el caso del U.S.S. Liberty en Body of Secrets que es una altamente recomendable libro sobre la historia reciente de la NSA (escribí una reseña sobre él hace ya unos cuantos años). (Víasssshhhh! 20Minutos.)

Curioso dilema

Wed, 30 Apr 2008 19:38:39 +0100

¿Sería ético o no crackear las contraseñas del ordenador, el correo y los servicios de Internet que usaba un joven familiar que se ha suicidado, para intentar encontrar una explicación al respecto, a raíz de que no dejó ningún tipo de nota explicatoria? Interesante debate en Slashdot: Post-Suicide Account Cracking?

Averiguando la contraseña de los Starbucks mediante baja tecnología

Sat, 05 Apr 2008 22:03:22 +0100

¿Se puede averiguar la contraseña del sistema de acceso electrónico a los aseos de Starbucks a simple vista? Como cuenta El Cosmonauta, las teclas están desgastadas de forma bastante desigual por el uso diario y repetitivo que le da la gente, de modo que de un solo vistazo es casi trivial adivinar cuál es el número secreto.

Consejo WTF: seguridad en contraseñas

Fri, 28 Mar 2008 14:22:57 +0100

El más impactante consejo sobre contraseñas que he oído en mi vida es un WTF y procede ni más ni menos que de Google. (¡Gracias Pipe!)

La extraña historia del dueño del dominio al que llegan los emails @donotreply.com

Sat, 22 Mar 2008 13:48:22 +0100

Curioso este artículo de uno de lob blogs del Washington Post titulado They Told You Not To Reply acerca del propietario del dominio donotreply.com y qué sucede con los mensajes que llegan así. Innumerables empresas y proyectos envían sus correos con un From: como nombre@donotreply.com para que los usuarios que lo reciban no contesten a esa dirección. Suelen ser avisos y envíos automáticos informativos, que no admiten respuesta porque podrían saturar al emisor o por otras cuestiones razonables (normalmente se incluye otra dirección, formulario o teléfono de contacto, según proceda). DoNotReply también se utiliza como dirección «obviamente» falsa en páginas web y feeds, para evitar que los spammers lo utilicen para enviar correo basura. Entre las cosas que recibe el propietario de donotreply.com, aparte de toneladas de correo basura, están mensajes reales de gente que contesta donde no debería, algunos con datos personales, información bancaria y demás. También se ha dado el caso de recibir documentos completos con información de alta seguridad, que la gente envía inadvertidamente. Hace tiempo que Chet Faliszek, que compró el dominio en 2000, dejó de intentar advertir a las empresas afectadas porque siembre acaba recibiendo amenazas legales. Lo que hace es publicar los más interesantes en un blog, y las empresas avergonzadas le dan dinero a cambio de que retire las anotaciones, dinero que dona a una sociedad protectora de animales. Un caso similar sobre el que leí el otro día es el del dominio example.com que mucha gente utiliza en sus pruebas para todo tipo de cosas. Curiosamente, hay un documento oficial RFC2606 que hizo que este dominio y example.net y example.org quedaran reservados para que nadie pueda usarlos nunca y pudiera producir confusión entre los usuarios de Internet. También están reservados los dominios de primer nivel .test .example .invalid y .localhost por las mismas razones. Por cierto que una alternativa para no sufrir estos problemas tan tontos es usar algo como (do-not-reply@xyz.com siendo xyz. un dominio sobre el que se tenga control.) (Vía donotreply@Slashdot.org.)

Apuntes de seguridad de la información

Fri, 07 Mar 2008 11:54:04 +0100

Apuntes de seguridad de la información es un interesante blog dedicado a la seguridad informática y temas relacionados, especialmente legislación y normativa al respecto, que descubrí recientemente. Estas son algunas de las anotaciones que me llamaron la atención:

El único «pero»: esa musiquilla de fondo con reproducción automática que se dispara cuando entras…

Congelando la RAM para vulnerar los sistemas de cifrado informático

Sat, 23 Feb 2008 22:24:41 +0100

Cold Boot Attacks on Disk Encryption es una nota sobre la investigación de ocho autores acerca de un nuevo potencial problema de los sistemas de cifrado informático. El texto completo es muy interesante y lleno de detalles. El problema es una debilidad intrínseca de las memorias DRAM que utilizan todos los ordenadores personales. El contenido de estas memorias supuestamente se borra cuando se apaga el ordenador. Lo que han comprobado estos expertos es que dependiendo del tipo de memoria, los contenidos en realidad permanecen entre unos segundos y unos pocos minutos sin borrarse. Esto potencialmente supone un problema, dado que los sistemas de cifrado de cualquier tipo almacenan las claves criptográficas en la memoria DRAM. Mientras el ordenador funciona, los programas o sistemas operativos impiden que esas posiciones de memoria puedan leerse (así que se consideraban seguros), pero si se apaga de repente, por ejemplo cortando la electricidad, se podrían recuperar sabiendo dónde buscarlas. El problema es peor de lo que parece porque aunque unos pocos segundos o minutos no parezcan mucho tiempo para que nadie pueda hacer algo malo, una de las pruebas que hicieron es enfriar súbitamente las memorias mediante aire comprimido. Tras un rociado con spray, a unos 50 grados centígrados bajo cero, los chips se pueden incluso desmontar y dejar sobre la mesa: los contenidos duran hasta diez minutos o más. Metiéndolos en nitrógeno líquido (unos 200 grados bajo cero) resisten horas sin borrarse. Como dicen los autores, este problema es potencialmente grave, porque los programas de cifrado de discos no tendría ya ningún lugar seguro en el que guardar las claves criptográficas de forma protegida, y lo mismo sucedería con algunos sistemas de cifrado por hardware. El problema afectaría naturalmente a sistemas como PGP y sus variantes o FileVault de Apple, que son considerados entre los más seguros que existen. En un artículo de Wired, Encryption Still Good; Sleeping Mode Not So Much, PGP Says la gente de PGP reconoce el problema diciendo que

Siempre pensamos que sería teóricamente posible, y ahora lo han hecho realidad.

¿Qué dicen los expertos sobre el tema? Bruce Schenier califica esta idea de «preciosa», apuntando con su habitual humildad que desde hace tiempo se sabe que es un problema difícil proteger datos cuando el atacante tiene acceso físico a la máquina. Ese «difícil» podría entenderse más bien por «imposible». Por otro lado, en los hilos de comentarios de esas anotaciones se apunta que el problema de la DRAM es un viejo conocido (incluso en los viejos Apple, Commodore, Amiga y otros ordenadores era fácil ver que parte de la RAM permanecía unos segundos tras un apagado + encendido). Se han planteado algunas alternativas para evitarlo, tales como la zeroificación; almacenar las claves en el sitio que la BIOS del sistema machaca nada más arrancar; guardar las claves en los registros de la CPU de una forma especial; o utilizar algo como BIOS tipo Coreboot, pero ninguna parece tampoco definitiva.

Tres formas de entender la seguridad en el mundo de las llaves USB

Fri, 22 Feb 2008 13:19:48 +0100

¿Cómo proteger un pincho de memoria USB?

Una primera forma ingeniosa, pero por desgracia fake, que probablemente además no funcionaría porque no se podría llegar a insertar la llave aun con el candado abierto. Buen intento, aunque fallido. Como concepto es genial.

El Data Guard, de Digital Innovations, también ingenioso, es un candado numérico que se instala sobre el conector USB (se inserta por la izquierda, donde el botón rojo). Si no se conoce la combinación sólo se puede abrir forzándola. Una idea parecida a la anterior, pero este sistema sí que funciona.

IronKey, la bestia parda de la seguridad; profesional, muy profesional: un chip interior cifra la información por hardware mediante un estándar de alta seguridad y si la llave detecta que está siendo manipulada se autodestruye (mediante un borrado seguro). Además de eso, lleva un software de copia de seguridad, un Firefox «torificado» para la navegación anónima y un gestor de contraseñas. También es segura «a prueba de agua», aunque no lleva ningún tipo de candado físico. (Véase la reseña de Ironkey en Kriptópolis.)

Revelados todos los PIN de tarjetas de crédito de todo el mundo

Fri, 18 Jan 2008 23:59:00 +0100

Un ingenioso hacker ha revelado todos los PIN de 4 dígitos que se usan en las tarjetas de crédito. Aviso: Esta información ahí publicada no debe usarse para hacer el mal. Da cierto escalofrío mirar la lista y ver ahí los números de todas tus tarjetas de crédito. (Vía ALT1040 cuyo 1040 también está incluido en la lista.)

El 787 de Boeing podría ser controlable por pasajeros «hackers» debido a un fallo

Sat, 05 Jan 2008 23:07:18 +0100

El 787 Dreamliner, en pruebas. Foto (FDL): Yasuhiko O. Yasobara

Este titular digno de un Gran WTF! resume lo que cuenta Wired en FAA: Boeing’s New 787 May Be Vulnerable to Hacker Attack. Básicamente explica una revelación relativa a la red informática de la cabina de pasajeros, la que proporciona el acceso a Internet a quienes vuelan en el 787 Dreamliner. Al estar conectada a la red principal del avión que incluye los sistemas de control, navegación y comunicaciones podría ser vulnerable a un ataque malicioso por parte de algún pasajeroo, tal y como ha afirmado la FAA, el organismo oficial estadounidense que regula la aviación. No está claro qué tipo de cosas podría llegar a hacer alguien con eso, pero así a simple vista que alguien pudiera llegar de algún modo a manipular ciertos controles no parece la mejor de las ideas, aunque fuera improbable. Nada que no se solucione con unos buenos cortafuegos y sistemas de seguridad informática (el 787 todavía está en fase de producción, no operativo) pero seguro que al ingeniero que tuvo la idea de poner la Internet de pago abordo de una forma tan rudimentaria no van a darle precisamente un premio. Boeing por su parte asegura que en realidad no hay problema y que ambas redes (la de los pasajeroos y la de control del avión) «no están completamente conectadas» aunque no explicó cómo funciona esa seguridad. Todo esto salió a la luz porque cada vez que un avión incorpora novedades tecnológicas hasta el momento desconocidas la FAA emite un informe público de seguridad bastante detallado. Los hackers amantes de los retos extremos ya se frotan las manos pensando en que quedan pocos meses para que puedan tener a su alcande un nuevo reto a superar, con el mejor simulador de vuelo tamaño real que pueda encontrarse en todo el planeta. (sudo change route 270 tango bravo land Slashdot.) Actualización (9 de enero de 2008): FAA Responds to Boeing Security Story es una segunda parte de la historia en la que las autoridades aclaran que el problema igual no es para tanto. Dicen que el hecho de haber emitido un informe no quiere decir que haya un problema de diseño sino que podría haberlo si se implementa de forma inadecuada. De modo que lo que hacen en esos casos es pedir a la compañía fabricante que demuestre que el sistema no es vulnerable antes de dar su autorización para que el avión vuele.

Legalmente no se podría obligar a nadie a revelar sus contraseñas (en EE.UU.)

Sat, 15 Dec 2007 22:30:06 +0100

Se produjo un hecho legal entre curioso e interesante que se narra con detalle en News.com: Un juez dice que los fiscales no pueden obligar a un acusado a divulgar sus contraseñas. Salvando las diferencias en los sistemas legales, que hacen que allí esto siente precedente más rápidamente que aquí (España), que parece que todavía cabe posibilidad de recurso, y los matices sobre el famoso «derecho a no declarar contra uno mismo», el caso se resume en que un juez considera que revelar unas contraseñas puede suponer dar acceso a información en cierto modo autoincriminatoria, lo cual sería equivalente a autoinculparse o declarar contra uno mismo, algo que violaría los derechos de los acusados (al menos en Estados Unidos, está incluido en la quinta enmienda a su Constitución). El fiscal había pedido en un juicio que el acusado revelara sus «frases de contraseña» (passphrases; contraseñas largas compuestas por una frase, más seguras que las palabras únicas convencioanles) para PGP, el programa de cifrado con el que encontraron información en su portátil. Es un tanto asombroso que hasta ahora no hubiera habido casos relevantes donde se hubiera dado esta situación de una forma tan clara como para sentar precedentes, pero al parecer sólo había literatura al respecto, posturas a favor y en contra, pero no se había cuestionado de forma firme en un caso práctico. Metafóricamente, es comparable a pedirle a alguien que entregue la llave de una caja fuerte donde hay documentos incriminatorios contra él. Por lo general, la ley obliga a entregar la llave, igual que los acusados están obligados a entregar muestras de sangre o sus huellas digitales, que también podrían resultar incriminatorias. Una interesante fórmula alternativa que se manejó en la lista de los cypherpunks hace más de una década, ante ese «vacío legal» sobre si las autoridades podrían obligar a alguien a revelar su contraseña o no era la siguiente: utilizar como contraseña una frase… realmente autoincriminatoria. Como por ejemplo:

El 4 de agosto de 1992 conduje a 200 km por hora por la autopista @@@

ZZZ Tengo un cadáver enterrado debajo del tercer árbol de mi jardín, según se sale a la derecha

Copié en el examen de acceso a la universidad, oh, sssssi, lo hice

La frase puede ser real o inventada. Pero entonces cuando las autoridades la requieren, bastaría alegar que no se puede revelar porque la propia frase supondría inculparse… realmente. Actualización: También explicado en Kriptópolis, bajo el título Juez considera inadmisible obligar a un sospechoso a revelar su contraseña de cifrado. (Vía sssssh reddit.)

El valor de los datos personales

Wed, 05 Dec 2007 22:16:07 +0100

La pérdida de 25 millones de fichas personales en Gran Bretaña, también conocido como «el WTF definitivo» que dejó la privacidad de medio país completamente vulnerable sigue asombrando a propios y extraños. Ahora se ha calculado que esos datos, perdidos en dos CD-ROM que se «extraviaron» podrían valer en el mercado negro unos dos mil millones de euros: diversos tipos de criminales podrían usarlos para suplantar identidades y realizar transacciones falsas. Con razón ya empiezan a llamarlo el Chernobil de Gran Bretaña.

¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?

Wed, 05 Dec 2007 21:59:17 +0100

Bruce Schneier responde a Stephen J. Dubner de Freakonomics en una interesante entrevista: Bruce Schneier Blazes Through Your Questions. La pregunta obvia para este héroe de la seguridad informática, que hasta compite con Chuck Norris es… ¿Cómo hace Bruce Schneier para recordar todas sus contraseñas? La respuesta es interesante:

No puedo. Nadie puede, sencillamente: todos tenemos demasiadas. Tengo varias estrategias. Una, elegir la misma contraseña para todas las aplicaciones de baja seguridad. Hay varios sitios a los que pago por acceder, de modo que tengo la misma contraseña para todos ellos. Dos: las escribo en un papel. Circula la leyenda de que no se deben escribir en papel nunca las contraseñas, pero mi consejo es preecisamente lo opuesto. Ya sabemos cómo guardar de forma segura trozos de papel, de modo que basta escribirlas y guardarlas en el mismo sitio que otras cosas que requieren cierta seguridad: en la cartera. Y, tres, guardo todas mis contraseñas en un programita llamado Password Safe que diseñé yo mismo (sólo para Windows, lo siento), que cifra de forma segura todas las contraseñas.

Las 16 agencias espía estadounidenses

Mon, 03 Dec 2007 22:16:59 +0100

Intelligence.gov parece algo así como la página de inicio o el portal de las agencia relacionadas con las labores de inteligencia/espionaje estadounidenses. En el menú de la izquierda se ofrece una cómoda lista a las dieciséis agencias reconocidas como tales. El público en general conoce poco más allá del FBI la CIA, la NSA o la DEA, pero al parecer las ramas del espionaje son frondosas.

(Espiando desde Valleywag.)

El código «invisible y secreto» de algunas impresoras

Thu, 29 Nov 2007 12:30:54 +0100

1. Impresión aparente. 2. Aumentado el contraste, aparecen los puntitos amarillos codificados. 3. El código, descifrado.

Yellow Peril muestra cómo funciona el código «invisible» que el gobierno norteamericano sugirió «persuasivamente» hace años que incluyeran de serie los fabricantes de impresoras, algo que por suerte detectó y descifró la EFF. En la prueba se imprime una hoja A4, que aparentemente (1) está en blanco. Pero escaneándola a muy alta resolución y aumentando el contraste al máximo para saturar los colores aparecen (2) una serie de puntitos amarillos casi invisibles. Esa matriz de puntos forma un código (3). El código puede descifrarse y contiene la fecha y hora exacta de impresión, con precisión de segundos, y el número de serie de la impresora, que en este caso era una Xerox DC-12. Hay otro ejemplo paso a paso también en la web de la EFF: DocuColor Tracking Dot Decoding Guide. Esto es una forma en apariencia inequívoca de marcar cada página que se imprime, de modo que se conozca la fecha de impresión y la autoría, o al menos con qué impresora se creó el documento, lo cual permite hacerle un seguimiento más o menos fácil. (¡Sshhhh! Vía kottke.org.)

El criptograma del FBI

Sat, 24 Nov 2007 22:23:48 +0100

Si resolvieras este criptograma, tal vez pudieras trabajar en el FBI:

Lo han publicado en la web del FBI como entretenimiento para los visitantes, enlazando a algunos sitios interesantes sobre la historia de la criptografía, los códigos y el FBI. (Ivn Trrxf Ner Frkl.) Actualización (25 de noviembre de 2007): Gracias a todos los que mandaron la solución, realmente el criptograma no es demasiado complicado, pero entretiene un rato.

Bugs matemáticos en los chips podrían suponer problemas de seguridad global

Wed, 21 Nov 2007 15:03:03 +0100

Markoff recoge en Adding Math to List of Security Threats las explicaciones de Adi Shamir (más conocido por ser la «S» de RSA) relativas a ciertos potenciales problemas de seguridad global. Al parecer errores en los chips que realizan cálculos numéricos, parecidos a los del bug de multiplicación de Excel 2007 o más en concreto como el famoso bug de hardware del Pentium de 1994 podrían suponer un importante agujero de seguridad. Según su análisis, en los ordenadores personales que tuvieran este tipo de chips defectuosos, procesos criptográficos aparentemente seguros como los algoritmos RSA y similares serían hipotéticamente vulnerables. Un atacante podría examinar los datos cifrados y aprovecharse de los «patrones» que esos bugs dejarían en los cálculos como rastro, para adivinar las claves o descifrar los mensajes. Millones de ordenadores podrían potencialmente ser atacados de forma simultánea empleando esta técnica. Por suerte no ha sido muy frecuente este tipo de errores en los chips, pero también sucede que aunque existieran podrían pasar desapercibidos para el público en general. La segunda derivada de esto es el toque conspiranoico del asunto, que a nadie escapa: los fabricantes podrían distribuir versiones con este tipo de pequeños fallos, bien por iniciativa propia, bien aconsejados por las organizaciones dedicadas al espionaje, para conseguir una pequeña puerta trasera que apenas sería detectable incluso aunque las matemáticas de esos chips fuera sólo ligeramente defectuosa, debilitando así sistemas por software que se consideran seguros, pero que dependen de la precisión matemática subyacente del hardware en que corren. (Secreto desvelado por 27B Stroke 6 en Wired.)

Grabar 25 millones de fichas personales en un CD-ROM y que se extravíen…

Tue, 20 Nov 2007 23:36:18 +0100

= WTF catastrófico y definitivo. (Más que nada, porque incluían también datos bancarios.) Le ha sucedido a un organismo oficial del Reino Unido, ¡uff! Actualización: Ya salió el chiste genial: una subasta en eBay de «Dos CD-R, como con una especie de base de datos de gente dentro, marcados Her Majesties Audit Office - Child Benefits Section». Precio de salida: 0,99 libras.

Otro candidato a «hack» del año: el hackeo de los servidores Tor

Mon, 19 Nov 2007 12:05:55 +0100

The hack of the year publica la curiosa aventura de Dan Egerstad, un hacker sueco de 22 años que trabaja como consultor de seguridad. Consiguó hacerse con cientos de contraseñas de empresas, ONGs, embajadas y otras organizaciones, que luego notificó a los afectados y publicó en Internet. ¿En qué consistió su hackeo? Instaló varios servidores de Tor y los publicitó en la red. Irónicamente, Tor es un conjunto de herramientas para garantizar la navegación anónima por Internet: lo utilizan los trolls para porculizar cobardemente, gente de todas las edades para ver pornografía sin que «les pillen» y en algunos países se utiliza para rodear la censura (entre otros usos aceptables, además de todos los inaceptables). Muchos usuarios de Tor creen que su navegación está protegida totalmente de inicio a fin y que tienen «privacidad», pero en realidad sólo tienen «anominato». El anonimato sólo se consigue si los servidores de la red son confiables y no se envían datos privados en abierto. Los servidores al parecer surgen y se cierran de tiempo en tiempo y los gestionan diversas personas y entidades. Como se ve no se puede confiar en todos ellos. Aprovechándose de un problema de configuración de Tor en los ordenadores de ciertos usuarios, este hacker pudo interceptar los logins y contraseñas de correo que pasaban por sus servidores, durante varios meses. Entonces avisó del problema a las organizaciones afectadas. No todos le contestaron. La cuestión de fondo es, obviamente, que igual que este hacker pudo interceptar las comunicaciones de la gente, lo mismo puede hacer cualquier otro experto, además de todas las organizaciones de inteligencia de los gobiernos para los que este tipo de espionaje es práctica habitual. Actualización: Santiago nos remite a Anonymity and the Tor Network, donde Bruce Schneier explica cómo funciona Tor y aclara los conceptos de que «navegar anónimamente» y «navegar con privacidad» son diferentes (he actualizado el texto anterior un poco debido a esto, para que quede más claro). El 90 por ciento de la gente que navega por Tor no cifra sus comunicaciones, así que… tienen un potencial problema.

El hackeo del año: MediaDefender, realmente épico.

Google como «crackeador» de contraseñas (un nuevo superpoder)

Sun, 18 Nov 2007 08:00:00 +0100

Google as a password cracker explica una forma de romper contraseñas en versión niños-de-cuatro-años-podrían-hacerlo. Se aplica cuando se tiene el hash de la contraseña pero no es fácil probar un diccionario completo contra ella, por ejemplo en muchos sistemas de login o identificación. Un hash es una función que convierte o «resume» una contraseña o un documento en un número más corto: es una función fácil de usar en un sentido pero no en el otro (es imposible recuperar el original a partir del número hash con certeza, aunque sirve para verificar que una contraseña es correcta, entre otras cosas). Esas funciones se diseñan de modo que sea muy difícil que contraseñas distintas tengan hash iguales, aunque a veces sucede. ¿El truco para romper esos hashes? Preguntar a Google. Por ejemplo para 20f1aeb7819d7858684c898d1e98c1bb resulta que la búsqueda en Google devuelve algunas páginas, incluyendo una de genealogía sobre el nombre «Anthony». Resulta que ese es el hash de una función concreta para la palabra Anthony. Resultó ser la contraseña de un usuario de un blog de Wordpress que hackearon hace unos días. Por alguna razón el webmaster de la web sobre genealogía añadió a las palabras de su web el hash de éstas en la ruta en que se guardan (hay quien lo hace también con otros textos o imágenes). Algo aparentemente inocuo, excepto porque la función es la misma que en WordPress según parece, y si se busca desde Google y se tiene la suerte de que coincidan porque la contraseña era fácil… ¡Premio! Moraleja: conviene usar contraseñas un poco más complicadas, con palabras que no estén en ningún diccionario. (Cazado al vuelo en Reddit.)

La leyenda internetera de la existencia de sólo 13 Root Servers

Fri, 16 Nov 2007 13:27:27 +0100

La realidad: cientos de Root Servers en más de 130 ubicaciones en todo el mundo. Imagen de Patrik Fältström

Interesante este apunte: There are not 13 root servers que desmitifica la leyenda de que en Internet sólo hay 13 Root Servers o Servidores Raíz, la mayoría de ellos situados físicamente en Estados Unidos. Yo la había oído varias veces e incluso dado por buena tras leer sólo por encima lo que dicen de ellos en la Wikipedia. Esos servidores raíz son los sistemas de más alto nivel en lo que respecta a la conversión de nombres de dominios (DNS) a direcciones IP ser refiere. Básicamente hacen que al teclear xyz.com en el navegador eso se convierta a un número tipo 201.123.45.57 que es como el «número de teléfono» del servidor en la red (que entiende más de números que de nombres). Siguen una jerarquía que transmite esa información a los DNS de empresas y proveedores de acceso a Internet, hasta llegar a los ordenadores personales. Se suponía que si sólo había 13 servidores de estos y eran «atacados», nadie podría convertir nombres en sus direcciones numéricas y eso sería malo porque inutilizaría de forma importante la Red. La leyenda consideraba esto un punto débil de la Internet actual, junto con el toque conspiranoico de que la mayoría estuvieran situados físicamente en EE.UU pudiera ser manejado/manipulado por los americanos. Resulta que nada de eso es exactamente así. En realidad hay cientos de root servers y están repartidos en más de 130 ubicaciones diferentes de todo el mundo, como se ve en el mapa. Alguno de ellos está en España y por supuesto países como Rusia o China tienen los suyos. Hasta hay uno en Islandia, otro en Fiji y varios en Australia, lugar privilegiado para presenciar el fin del mundo cuando acontezca. El número «13» es en realidad una limitación del diseño que se refiere a los servidores designados A a M que hay en cada zona. En realidad cada una de estas letras/servidores se refiere a decenas de servidores iguales, copias los unos de los otros, que entre sí se reparten las consultas. Suelen estar en sitios y países diferentes dentro de la misma zona, como se ve en el mapa y las listas completas de la ICANN. Hay más sobre esto en el muy completo FAQ sobre los DNS Root Servers de la Internet Society.

Colossus «crackeará» de nuevo, compitiendo contra un PC moderno

Thu, 15 Nov 2007 19:13:55 +0100

Tony Sale y su equipo, en 1994, reconstruyendo Colossus.
Foto (GFDL): MaltaGC para Wikimedia Commons

Un grupo de aficionados a la criptografía, los ordenadores y las máquinas antiguas terminó de reconstruir Colussus, que a veces ha sido considerado el primer ordenador del mundo. Este artilugio se utilizó en la Segunda Guerra Mundial para descifrar los códigos secretos de la inteligencia alemana. En un alarde de prepotencia, los nazis creyeron que sus sistemas eran imposibles de descifrar, pero los aliados los crackearon con ayuda de estos primitivos ordenadores. En buena parte ganaron la guerra gracias a esto. En la reconstrucción de Colussus se utilizaron algunas piezas que sobrevivieron al desmontaje de los diez ordenadores originales (tras la guerra, por razones de seguridad, se despiezaron). Han participado varios ingenieros que trabajaron con Colussus en aquella época. En el simpático reto los participantes alemanes enviarán tres mensajes cifrados con una Lorenz SZ42, por radio: uno fácil, otro difícil y otro super-difícil. Colossus y un ordenador convencional (Pentium 2) competirán a ver quién los descifra antes. Más sobre esta historia en:

Bletchley Park's Colossus codebreaker to race modern PC in cracking Nazi codes (Boing Boing)
Colossus cracks codes once more (BBC News)
The past is the future at Bletchley Park (BBC News)

Actualización (16 de noviembre de 2007): Colossus perdió pero estuvo divertido. Irónicamente, el ganador resultó ser un alemán, que había diseñado un software especial para el reto. (Ivn Obvat Obvat.)

Colussus, reconstruido, la historia de la reconstrucción.
Codebreakers: The Inside Story of Bletchley Park, la historia del descifrado.
Bletchley Park, el lugar donde estuvo Colussus.

Puertas traseras de la NSA en algoritmos matemáticos / criptográficos del NIST

Thu, 15 Nov 2007 11:54:42 +0100

Did NSA Put a Secret Backdoor in New Encryption Standard? es un muy interesante artículo del experto en seguridad Bruce Schneier que habla sobre puertas traseras que la NSA parece haber incluido en ciertos nuevos estándares. Conviene leer la historia completa [Matías la ha traducido al castellano] pero puede resumirse en esto: Los diversos estándares critográficos que existen hacen uso de lo que se conocen como funciones de generación de números aleatorios (en realidad son pseudo-aleatorios). Esas funciones suelen ir incluidas en los diversos lenguajes de programación; más o menos se conoce cuales son buenas y cuales fallan a veces aunque en la práctica se usen; se emplean unas u otras por cuestiones de velocidad o practicidad. El NIST es el organismo que publica los estándares «oficiales» para Estados Unidos, que por extensión empresas de todo el mundo utilizan. En los conjunto de nuevos estándares publicados bajo el título de NIST Special Publication 800-90 [PDF; 550KB] se incluyeron cuatro nuevas funciones generadoras de números pseudo-aleatorios. De las cuatro, una de ellas llamada Dual_EC_DRBG fue propuesta por la NSA. Examinándola a fondo, algunos matemáticos han encontrado que tiene ciertas debilidades. La función emplea unos «números semilla» que no se sabe de dónde provienen ni por qué, pero que «curiosamente» la debilitan; hacen que recogiendo unos pocos datos sea posible predecir cuáles son los siguientes números aleatorios que generará la función. (Al parecer, con otros números semilla esto no sucede, de ahí que suene bastante extraño que recomendaran los que peor funcionan.) Los expertos consideran que no hay razones para que esa función falle y esté aparentemente «debilitada» a propósito: antoja ser una auténtica puerta trasera introducida por la NSA para poder espiar a quienes las usen para desarrollar software o hardware en productos criptográficos. De modo que se recomienda usar otras alternativas.

La NSA accede a ordenadores y redes que usan productos Microsoft.
Un generador cuántico de bits aleatorios, por si necesitas uno.
Números aleatorios (y Pi), algunas curiosidades.
¿Existe realmente la aleatoriedad?, una cuestión más filosófica.

El «truco del agujero» de las aplicaciones P2P frente a los firewalls

Wed, 07 Nov 2007 16:12:11 +0100

The Hole Trick explica en términos llanos cómo en un mundo informático lleno de cortafuegos (firewalls) en el sistema operativo, en la oficina, en los proveedores de Internet, las aplicaciones P2P (peer-to-peer) de telefonía por Internet pueden funcionar. Si lo piensas, cuando alguien te «llama» por Skype, por ejemplo, enviando datos desde direcciones y puertos desconocidos, el cortafuegos podría considerar eso un «ataque externo» y descartar los paquetes de datos IP. Y, sin embargo, funciona.

(Lo vi citado hace tiempo en el blog de Enrique Dans.)

La NSA accede a ordenadores y redes que usan productos de Microsoft

Fri, 02 Nov 2007 00:09:23 +0100

Otra conspiración sobre lo malos que son la NSA y Microsoft, con afirmaciones arriesgadas, que producen sensaciones entre lo acongojante y lo «ya-imaginábamos-que-había-puertas-traseras». Proceden de Cryptome.org y las explica Kriptopolis:

Cryptome sube la apuesta: «La NSA accede a los ordenadores y redes que usan productos de Microsoft» – Cryptome desde hace algún tiempo sigue la pista a las direcciones IP utilizadas por la NSA y sus socios (…) amplios rangos de IP publicados por Cryptome son utilizados por la NSA, por contratistas del sector privado que trabajan con la NSA y por agencias gubernamentales no estadounidenses amigas de la NSA para acceder tanto a sistemas independientes como a redes ejecutando productos de Microsoft. Esto incluye el espionaje de «smart phones» ejecutando Microsoft Mobile. Los privilegios de administración remota permiten utilizar puertas traseras en los sistemas operativos de Microsoft mediante los puertos TCP/IP 1024 a 1030. Esto sucede con más frecuencia cuando los ordenadores visitan los servidores de actualizaciones de Microsoft.

(Vía Kriptopolis.)

Generador de imágenes en histogramas

Sun, 28 Oct 2007 21:58:44 +0100

Hidden Histogram Picture Maker es un generador de aquellas imágenes tan curiosas que empleando una técnica esteganográfica parecen indiferentes aunque en realidad sus histogramas ocultan la verdadera imagen. Como por ejemplo…

El Titanic

En los programas de tratamiento de imágenes se pueden «descifrar» los histogramas con la herramienta de niveles de grises (en Photoshop, Comando + L). (Iín Arq Ongpuryqre'f Oybt.)

Trampas en el poker online

Fri, 19 Oct 2007 22:37:33 +0100

The Absolute Poker Cheating Scandal Blown Wide Open es una anotación de Freakonomics en la que se expone el resumen de varios artículos de Steven D. Levitt y algunos hilos en un foro acerca de las trampas en el póquer online. Para ser precisos, habría que decir en Absolute Poker, uno de los muchos sitios donde juega la gente. Parte del interés es que las trampas fueron descubiertas por un grupo de jugadores. El artículo narra con todo detalle el más reciente y –probablemente– monumental escándalo del sector del juego de apuestas en Internet. Es una historia larga y realmente fascinante, cuyo resumen voy a intentar traducir y resumir doblemente:

En un torneo de poker online algunos participantes comenzaron a sospechar de cómo estaba jugando cierta persona, por lo que empezaron a explicar sus jugadas anteriores. La situación era tan increíble que todos los jugadores serios que andaban por allí quedaron convencidos de que algo raro sucedía.

Al terminar el torneo, el segundo clasificado pidió que Absolute Poker proporcionara el historial de las manos repartidas en el torneo (práctica habitual). El sitio «accidentalmente» le envía no sólo el historial de las cartas jugadas en su mesa, sino un historial completo de todas las mesas del torneo, con todo tipo de información «extraña» que normalmente no debería ni querría proporcionar el casino: las cartas ocultas de los jugadores; nombres de usuario de los que estaban observando las partidas e incluso las direcciones IPs de los participantes. Este curioso error probablemente se debió a que alguien en Absolute Poker sabía que había trampas y actuó como chivato desde dentro de la empresa (…)

Tras analizar los datos se vio que el jugador que ganó el torneo se retiraba de las rondas («no iba») cuando aparecía cierto «observador» en la mesa; en cambio siempre apostaba cuando ese observador estaba presente. Los observadores sólo miran y no juegan; tampoco pueden ver las cartas ocultas de ningún jugador. Pero todos los jugadores pueden leer los nombres de usuario de quienes están observando. Ya solo eso podría ser una señal convenida de antemano.

Los propios jugadores, convertidos en detectives particulares, llegan a descubrir que la IP del observador y su cuenta estaban en el mismo sitio que los servidores donde se hospeda Absolute Poker. No sólo eso sino que están a nombre de alguien que resulta ser… uno de los co-propietarios de la sala de poker. De ser todo esto correcto, y parece que hay bastantes pruebas, quedaría explicada la trampa: alguien que trabajaba en la propia empresa tenía acceso a todas las cartas ocultas del juego (algo fácil de imaginar) e iba pasando esa información a la mesa (haciendo entrar o salir al «observador» en la sala virtual, para indicar simplemente «ahora apuesta» o «ahora retírate»). Un cómplice del exterior era quien jugaba. Con la información privilegiada ganó a los demás participantes en el torneo, haciéndose con el dinero.

En una de las situaciones que probablemente más cola traerán sobre el caso además resulta que la cuenta del tramposo está vinculada a una dirección de correo de los servidores de la Kahnawake Gaming Commission. Que es una comisión encarga de… otorgar licencias a casinos y supervisar sus buenas prácticas. Momento adecuado para exclamar un definitivo WTF!!? Para quien le interesen todos estos temas…

Timos en el póker los casinos online (Wikipedia)
Trucos, timos y trampas en el poquer online (Slate, 2005)
Cómo aprendimos a hacer trampas en el poker online (1999)
¿Hay robots jugando al poker? (MSNBC, 2004)
Reglas imposibles de cumplir en el poker online (2004)
En internet nadie sabe que eres un bot (2005)
Cómo hacer trampa con compinches en el póker online (Wikipedia) (para tener abierto el Messenger y chivarse las cartas con los amigos no hace falta ser científico nuclear).

Y un recordatorio clásico: Internet no es Disneylandia. Actualización: El caso continúa con un giro curioso: el titular es Un geek hackea un sitio de poker online y gana 700.000 dólares (MSNBC). Según Absolute Poker, al parecer el hacker consiguió realizar la proeza técnica de adivinar las cartas ocultas en la mesa de Texas Hold’em. Sí, ese tipo de cosas que es imposible de hacer sobre el software certificado y auditado y bla bla bla… de los casinos online. Afirman que el geek no era otro que un empleado de AbsolutPoker.com (supuestamente agraviado por sus jefes). Dicen que lo hizo «para demostrar que podía hacerse». Hay hasta un vídeos en YouTube con la recreación de las jugadas. Habrá que ver en qué queda la cosa; el juicio es la semana que viene. De momento los dueños del casino (indios mohawks cuya sede está en Costa Rica) han dicho que devolverán el dinero a los jugadores del torneo. (Vía Digg.) Actualización (20 de octubre de 2007): En PowerNews.com: Absolute Poker: «We Had a Security Breach» contiene el texto completo de la breve nota explicativa publicada por AbsolutePoker.com echando la culpa a un fallo de seguridad interno, que es de donde proviene el titular anterior sobre el geek/hacker de MSNBC. Dicen que pronto habrá una nota más completa. Por otro lado, What the Absolute Poker Official Statement Doesn’t Say (Gambling 911) cuenta algunos detalles más: el empleado que envió los datos del torneo fue un poco vago y en vez de seleccionar la información que le pidieron envió todo (lo cual le ha costado el despido fulminante) y además de eso en AbsolutPoker.com niegan la participación en el «problema» de uno de los fundadores de la empresa, vinculación que consideran «malintencionada» por parte de quienes lo han publicado. Más: Gustavo de Póquer Red nos envió algunas matizaciones y explicaciones más detalladas sobre el tema, que reproduzco tal cual:

Según la evidencia, las trampas se realizarían con la participación de dos cacos: un "superusuario" con acceso a una cuenta (la de ID #363) creada para testear el software de Absolute Poker en sus inicios, que puede ver las cartas de todos los jugadores en todas las mesas, pero no así participar en el juego; y un cómplice (PotRipper) que era informado de esas cartas, y que era el que jugaba.

Ambos tenían la misma IP (por lo que con ordenadores vecinos el «chivateo» de cartas estaba consumado). Esta IP sería de Costa Rica, de una casa residencial a nombre de Scott Tom, un ex socio y CEO de Absolute Poker (lo de "ex" lo dice la sala). Luego se descubrió que PotRipper sería otro ex empleado de Absolute Poker, muy amigo de Tom y que ahora estaría en Nine.com, otra sala de póquer (y que se rumorea sería propiedad de Absolute Poker).

La Kahnawake Gaming Commission no está involucrada en la situación, sino que en su territorio se alojan los servidores de Absolute Poker (junto a muchos más de otros casinos y salas de póquer online), por cuestiones legales. Eso hizo que durante la ingeniería inversa del historial de manos apareciera la relación con ella. Pero los tramposos se conectaban desde Costa Rica, lugar donde tiene su sede (sólo la sede, no los servidores) Absolute Poker. Ante la profusion de evidencia, la Kahnawake Gaming Commission impuso una auditoría interna en Absolute Poker (aunque esta última la anunció como si fuera idea propia).

En póquer-red hay varios artículos donde hemos dado seguimiento al tema, muchas veces abrumados por la cantidad de material (son miles y miles los posts en foros). Incluso existe un sitio creado expresamente, AbsolutePokerCheats.com. Lo último es que Absolute Poker reconoció la falla de seguridad y promete devolver el dinero a las víctimas, con intereses. Se especula que la cifra ronda un millón de dólares, pero podría ser más puesto que se están investigando otras situaciones extrañas similares (y un extra de paranoia, claro).

También se ha creado un blog para seguir el caso:

Absolute Poker Cheats Blog

(Vía Schneier on Security, que ganaría hasta con J9.)

Online Poker Googlebomb, para desalentar a los tramposos.
Los humanos ganan a la máquina en póquer de competición (por ahora).
Escalera real, una probabilidad entre 649.740.
«Trucos para ganar en los casinos», otro engaño habitual.
La Martingala: por qué «ir doblando y doblando» a la ruleta NO sirve para hacerse rico en los casinos.