Por @Alvy — 21 de Diciembre de 2021

All Bitcoin private keys is on this website

Esta curiosa web llamada Bitcoin keys page consiste básicamente en una página aleatoria llena de direcciones de Bitcoin y sus correspondientes claves, que es lo que la gente usa en sus carteras de criptodivisas (wallets). La inmensa mayoría están vacías (contienen cero bitcoins) pero alguna puede que tenga algo. Y si vas saltando, mirando y tienes mucha, mucha, mucha, muuucha suerte quizá des con alguna de ellas y te quieras llevar algo. ¡Criptomonedas a cambio de nada! En cierto modo, me recordó un poco a la página en la que están todos los PIN secretos de los móviles (incluyendo el tuyo, ¡compruébalo!)

¿Cómo funciona esto? Las claves privadas que garantizan la seguridad de las direcciones Bitcoin son básicamente algo así como un número entre 1 y 2256, una cantidad gigantesca. Eso son un montón de millones de zillones de gritones de claves, pero cada una de esas claves privadas se corresponde con una clave pública, que se puede consultar porque el protocolo de Bitcoin mantiene un registro de todas las operaciones con cada clave pública.

Las claves públicas son como las direcciones Bitcoin (que comienzan con algo del tipo «5HpHagT65TZzG1PH3CS…») que se almacena en la blockchain o cadena de bloques pública. De modo que si da la casualidad de que «alguna llave abre la cerradura» –alguna clave privada se corresponde con una clave pública que esté en uso y con bitcoins– con esa «llave» (clave privada) podrías «abrir» esa dirección y transferir los bitcoins a otro sitio que controles personalmente.

Para cada página se generan 128 claves mediante un procedimiento, organizadas por un primer número (ej. 207978­678299­2510992­703081170­7916083) que indica el «número de página» aleatorio entre los 904625­697166­532776­74664832­03803­742801­002934­709302­726904­89102­83704­31106­36675 grupos de 128 claves privadas que hay en total (las 2256 mencionadas al principio). Para jugar a investigar se puede pulsar el icono de salto aleatorio o bien avanzar adelante y atrás, página a página, grupo a grupo. La página hace la comprobación de la cantidad de bitcoins que hay en esa dirección (normalmente cero si está vacía o no se ha usado nunca) y para verlo más fácilmente se marca también en rojo (nunca se han usado), verde (¡bitcoins!) o amarillo (usada pero vacía, con 0 bitcoins).

El dilema si apareciera algo en verde –puedes entretenerte en comparar la probabilidad de que suceda con las probabilidades de que te toque la Lotería, la Primitiva o te contagies de Covid-19; es tan astronómica que encontrarás los juegos de azar tradicionales muchos órdenes de magnitud más probables– sería qué hacer con ese conocimiento. Porque es sabido que un gran poder conlleva una gran responsabilidad. ¿Se consideraría «robar» llevárselo así tal cual? ¿No sería más bien como encontrarse una cartera con dinero tirada en la calle? ¿Tal vez transferirlo si no se puede rastrear su origen claramente? Bonus para nota: ¿Cómo sabes que el servidor no va a aprovechar tus búsquedas para guardarse las direcciones que aparezcan en verde junto con todo lo que contengan, mientras te carga a ti el «trabajo»?

Yellow!

Mirando un rato para entender cómo funciona me crucé con una dirección amarilla, donde había dos transacciones (2 TX) una de envío, otra de recepción. Se habían recibido y enviado 0,0001 bitcoins allá por 2018 (equivalentes a unos 4,85 dólares hoy). Todos esos datos se pueden comprobar con un simple clic en los enlaces, que llevan a Blockchain.com donde se comprueba el registro de la blockchain.

No es fácil establecer un paralelismo directo, pero podríamos imaginar que esta web genera páginas que serían como manojos de llaves de las cuales te dicen, una por una, a qué cerradura de una caja de seguridad se corresponden e incluso verifican si hay o ha habido dinero dentro de las cajas. El tema es que la fábrica de cerraduras genera zillones de googleplexes de cerraduras diferentes, y sabemos que casi todas están vacías. En fin… Al menos sirve para entretenerse dándole al «Random page».

Bonus-recomendación: No se te ocurra meter ningún dato de direcciones ni transacciones reales en esta web para comprobar nada a lo que le tengas aprecio… Que las carga el diablo y a saber lo que se hacen con esos datos, por inocuos que parezcan.

(Vía Hacker News.)

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 9 de Noviembre de 2021

DeviceMotion

Tommy Mysk ha publicado unas interesantes notas bajo el título iPhone Apps Can Tell Many Things About You Through the Accelerometer (Las apps del iPhone pueden contar muchas cosas acerca de ti mediante el acelerómetro) que explica algunos escenarios un tanto delicados. Allí se explica cómo el mero hecho de mover el móvil o llevarlo en el bolsillo puede afectar a la privacidad. Esto se debe a que en iOS cualquier aplicación puede acceder a esos datos; se considera algo básico que las apps sepan cómo está orientado el móvil y cómo se mueve; no hace falta darles permiso expreso como sucede con otros sensores (cámara, micrófono, etcétera).

Un posible escenario es este:

Te diriges al trabajo en autobús. Mientras está sentado, abres tu aplicación social favorita. Aunque es tu app favorita, no te fías lo suficiente como para compartir tu ubicación con ella. En la siguiente parada, otro pasajero sube al autobús. Se sienta y abre la misma app. Pero el pasajero comparte su ubicación exacta con la aplicación. En ese momento, si esa app está leyendo los datos del acelerómetro de tu teléfono y del teléfono del pasajero, puede calcular fácilmente que ambos teléfonos experimentan el mismo patrón de vibración. De hecho, ambos teléfonos van a registrar las mismas vibraciones: cuando el autobús arranca, se detiene y gira a izquierda o derecha. La aplicación sabe ahora que tanto tú como el otro pasajero estáis juntos en el mismo entorno, por tanto, en la misma ubicación. No te sorprendas si recibes una recomendación de la aplicación para añadir a este pasajero como amigo.

WhatsApp acelerometerEn los ejemplos se utiliza principalmente Facebook porque varias de sus apps sociales (Facebook, Instagram, WhatsApp) hacen un uso un tanto… ejem… peregrino de esos datos, que muchas veces se recopilan constantemente. Por ejemplo Facebook lo usa para detectar el gesto de agitar el móvil «cuando algo no funciona» para mostrar una ventana de ayuda. También se recopilan mientras se escriben mensajes directos en Instagram o en WhatsApp para crear un efecto 3D con el fondo de pantalla.

Hay otras apps que en cambio no parecen leer el acelerómetro sin una buena razón: el propio Facebook Messenger, Signal, Slack, Telegram, TikTok, Threema, Twitter y WeChat. El artículo explica cómo usar Xcode para comprobar el tráfico de datos de las apps de iOS, algo que sirvió hace tiempo para verificar las apps que están continuamente copiando los datos del portapapeles también sin razón aparente. Entre otros usos que dice que los expertos han dado a la motorización del acelerómetro está el cálculo aproximado de la frecuencia cardíaca, respiratoria e incluso una especie de grabadora de sonido –un tanto cruda, eso sí– a partir de los datos de las vibraciones que recoge el acelerómetro del terminal.

{Traducción de la cita: DeepL.}

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 28 de Octubre de 2021

ImgImgImg

Teclee su número secreto. Evite que le miren. Tape el teclado con la mano. Son los mensajes habituales que recibimos tras introducir la tarjeta en el cajero automático del banco. El objetivo es evitar las miradas indiscretas o las cámaras que pueden estar grabando para luego desplumarnos si de alguna forma consiguen duplicar la tarjeta. Ahora unos investigadores han entrenado una máquina mediante un algoritmo de aprendizaje profundo (deep learning) de modo que es capaz de adivinar los números del PIN que se teclea aunque se tape la mano al moverla sobre el teclado.

Tal y como cuentan en Bleeping Computer todo es cuestión de entrenamiento. Lo que hicieron fue alimentarlo con 5.800 grabaciones de 58 personas diferentes tecleando PINes de 4 y 5 dígitos. Aunque todo el mundo tapa una mano con la otra de una forma diferente, el movimiento de los dedos es clave y la cantidad superficie que se oculta también. Entre los detalles críticos para que el algoritmo aprenda están la distancia que recorren los dedos, la separación entre teclas o incluso el sonido (que mejora mucho para saber cuándo se ha hecho «clic»). Teniendo en cuenta que hay teclas que no se suelen utilizar (como el «cancelar» o «borrar») consiguieron completar el entrenamiento.

Con todos esos datos el teclado numérico se convierte en zonas de probabilidad y se puede intentar adivinar el PIN con esa información. Los resultados del experimento –aprovechándose de que se aceptan hasta tres intentos fallidos antes de que se bloquee la tarjeta– fueron de un 41% de acierto para los números de 4 dígitos y un 30% para los de 5 dígitos. (Intentando adivinarlos «visualmente» la gente es capaz de alcanzar un 8%, lo cual también es sorprendente aunque poco práctico).

Los consejos que los expertos dan para estar mejor protegidos es usar cuantos más dígitos sea posible mejor si es posible (5 ó 6 mejor que 4) e intentar cubrir toda la superficie posible para minimizar la información que se puede obtener. En este caso demás los zurdos tienen ventaja porque la posición relativa de la cámara y las manos hace que el algoritmo tienda aprender de lo que hace la mayoría, en este caso del ~90% de personas que son diestras.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 5 de Octubre de 2021

Facebook Logo

Todavía resuenan en la red los ecos de los gritos en un vacío en el que nadie podía oír a nadie. Miles de millones de personas e influencers sorprendidas por la desaparición de Facebook y también de WhatsApp e Instagram –ambas propiedad de Facebook– ayer 4 de octubre durante unas seis largas horas. Aunque los más alejados del mundo de la tecnología ni si enteraron, raro era quien no comentaba algo ante el silencio reinante sin los ¡dings! de WhatsApp, con Facebook y su Messenger desaparecido e Instagram sin fotos de vidas perfectas, perritos y sonrisas Profidén. ¿La razón? Un miserable fallo en una actualización.

A falta de una explicación más detallada, el equipo de ingeniería ha explicado en una nota en su blog que la caída se debió a un efecto «bola de nieve» tras el fallo de una actualización de las tablas de rutas (BGP) y los DNS que dirigen el tráfico hasta los servidores de Facebook. Estos servidores básicamente se borraron a sí mismos del mapa al eliminar los registros A y AAA de sus DNS; de hecho hasta parecía que el dominio Facebook.com estaba a la venta. Lo peor es que Facebook gestiona sus propios DNS, tiene varios (a.ns.facebook.com, b.ns.facebook.com, etcétera) pero el fallo afectó a todos porque dependían de un sólo punto de fallo: si el dominio principal facebook.com desaparecía, adiós a todo lo demás. (Esos mismos dominios también los usan Instagram, WhatsApp y otras apps de la compañía.)

Lo más increíble –aunque hay que reconocer que ha sido bastante dramatizado– es que de ese mismo dominio facebook.com cuelgan también todas las herramientas internas de los empleados de la compañía, de modo que al despertarse por la mañana nadie podía acceder a los diagnósticos ni alertas para saber qué había fallado o cómo remediarlo. Tampoco podían enviarse correo (porque usan el mismo dominio), ni usar su Messenger para chatear, ni montar una videoconferencia de urgencia: nada funcionaba. Lo calificaron como «un día de nevada», de esos en los que despiertas y ves que no puedes siquiera llegar a la oficina porque han caído dos metros de nieve durante la noche.

El colmo de los colmos fue que a una periodista del New York Times que habló por teléfono con algunos empleados le contaron que aunque los técnicos habían salido corriendo y en avión hacia los centros de datos donde se alojan los servidores principales para reparar la actualización –incluso a mano si hiciera falta– al llegar descubrieron que no podían entrar en los edificios porque también utilizan tarjetas de identificación de Facebook para acceder, que no «validaban». Como es lógico, cabe pensar que aunque esos sitios son pequeños búnkeres bien protegidos, con unas cuantas llamadas de teléfono resolverían la situación para que alguien abriera la puerta manualmente, del mismo modo que los técnicos también podían hablar por teléfono o utilizar cualquier otro sistema de mensajería. A mí me hizo gracia ver a Facebook pidiendo disculpas en Twitter por su problema técnico. Tanto Twitter como @Jack, uno de sus creadores, se lo tomaron con bastante cachondeo.

Hacia la medianoche hora española los servicios ya estaban reestablecidos, tras seis largas horas que han hecho que Facebook saliera hasta en los telediarios, perdiera 7.000 millones de dólares en bolsa y estuviera en boca de todos, de nuevo no precisamente por una buena causa. Además, coincidiendo en menos de 24h con la entrevista de una exempleada que ha filtrado documentos internos importantes sobre las prácticas éticamente reprobables de la compañía –en principio sin relación, aunque muchos nos imaginamos un posible hackeo que finalmente no ha sido tal– su comienzo de semana ha sido fino, fino.

§

Eso me ha recordado un antiguo vídeo de Tom Scott. Quien ayer sintiera angustia por la caída no debería verlo porque es profundo y tenebroso. La charla de Scott trata sobre una situación similar e imaginaria pero en Google; lo tituló Punto único de fallo.

La historia comienza explicando cómo un hackeo, bug o sabotaje en Google podría producir al caos mundial de una forma casi trivial: alguien modifica el código de validación de las contraseñas del login de entrada a los servicios, de modo que en vez de comprobar si son correctos, permite entrar a cualquier persona con cualquier contraseña e impide que la contraseña válida pueda acceder. Un simple cambio de código de un «es igual a» a «es distinto». De repente cualquier persona puede ver los correos, documentos, fotos y hojas de cálculo de todo el mundo, y reina el caos. El impacto sería increíble y el fallo podría requerir prácticamente un sólo byte de código.

Actualización (6 de octubre de 2021) – Un hilo de Rafa Merino con explicaciones en lenguaje claro sobre las preguntas más habituales acerca del incidente y más detalles explicados por Facebook.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD




Un libro de @Alvy y @Wicho

Se suponía que esto era el futuro | un libro de Microsiervos, por Alvy y Wicho

Se suponía que esto era el futuro
Ciencia, tecnología y mucho más
www.microsiervos.com/libro


PUBLICIDAD