Simplemete maravilloso, una obra de arte, es demaciado geek, aunque.. al avez no...
Interesante nota publicada en el blog de WebAndBeer:
A través de Slashdot llego a esta noticia de Wired, según la cual un par de investigadores de seguridad informática revelaron el que sería el bug más grande de toda la arquitectura de internet.Fuente: http://webandbeer.com.ar/2008/08/el-bug-ms-grande-de-internet.html
Se trata de un error en el protocolo BGP (Border Gateway Protocol), a través del cual cualquier hijo de vecino (con conocimientos avanzados de networking, hacking y programación, por supuesto), podría tener acceso a todo el contenido no cifrado que circula por internet, modificandolo a su antojo. Básicamente a través de este agujero se puede "engañar" a los routers de todos lados para redirigir el tráfico hacia un eavesdropper, y hacer un ataque man-in-the-middle, y lo único que se necesita es tener un router con soporte para BGP (algo bastante común).
Este bug aparentemente había sido detectado en 1998 por Peiter "Mudge" Zatko, quien testificó e informó a "los burócratas de Washington" (como diría Monty Burns), y evidentemente todavía no se hizo nada al respecto. En realidad, parece que es algo sobre lo que se venía hablando hace tiempo, pero nadie lo había podido demostrar. En teoría era factible, pero nadie lo había llevado a la práctica. En la última DefCon Hacker Conference, Anton "Tony" Kapela y Alex Pilosov lo demostraron interceptando tráfico de la red de la conferencia, mandandolo a su sistema en New York y ruteandolo de vuelta a la conferencia. Ahora bien, esto no lo hicieron realmente a través de un bug o falla del protocolo BGP, sino explotando la forma en que el mismo funciona. Es decir que es un error estructural, porque la arquitectura de BGP se basa en la confianza en los nodos.
En la nota se da un ejemplo bastante sencillo:
Para enviar un mail desde los clientes de Sprint en California a los de Telefónica en Espala, las redes entre las compañías usan routers BGP para ver cuál es el camino nñas rápido y eficiente para que la información llegue a destino. Pero el protocolo BGP asume que el router realmente dice cuál es el mejor camino. De esta manera, los eavesdroppers pueden engañar a los routers diciendo que les manden el tráfico a ellos.
Más especificamente, cuando cualquiera hace un request a un server, el DNS resuelve una IP de destino a partir del dominio. Luego el router del ISP consulta una tabla BGP para obtener la mejor ruta. Esa tabla está compuesta de anuncios (casi como propagandas) hechos por ISPs y otras redes, que se llaman ASes Autonomous Systems, donde declaran el rango de IPs (o prefijos de IPs) a las cuales entregarán tráfico. En esa tabla se busca la IP de destino para los paquetes entre los distintos prefijos. Si hay dos ASes que tienen la misma IP, la que tenga el prefijo más específico "gana" el tráfico. Por ejemplo, si hay un prefijo que matchea con un rango de 90.000 IPs y otro con un grupo de 24.000, el tráfico se envía al segundo.
Entonces, para interceptar la información, un eavesdropper "publicita" un rango de IPs más acotado que el de otras redes y, una vez propagado el aviso, el tráfico empieza a llegar al interceptor. Esto no es algo nuevo y se llama IP Hijacking (lo que hizo una compañía pakistaní el año pasado con YouTube). El tema es que de la forma en que se venía haciendo se creaban desconexiones en la red (outages), lo cual hacía que los hijackings se descubrieran rápidamente.
La mejora de Kapela y Pilosov es que usan un método llamado "AS path prepending" (algo así como "preposición de la ruta del AS"), a través del cual pueden hacer que el tráfico llegue a su destino original (es decir, un man-in-the-middle, no como en el caso anterior donde el tráfico terminaba en otro lugar). Entonces, al no producirse fallas, no se detecta.
Luego el artículo sigue bastante y se explican diversas formas en que el error se puede combatir. De hecho los especialistas dicen que los ISPs están en condiciones de combatir este tipo de ataques, pero no lo hacen porque implica mucho trabajo y resulta costoso.
Realmente es un tema muy interesante y hay que seguirlo de cerca para ver qué cambios se hacen en la arquitectura de internet. Mientras tanto, y esto tampoco es nuevo, cualquier información importante ¡¡¡¡¡TIENE QUE VIAJAR ENCRIPTADA!!!!!
Algo muy loco.En algunos sitios, usan logueo por ajax, hastá ahí todo bien, entas a un sitio que es muy dinamico, mucho JS que forma todo, y un login por ajax bastante copado ya que si el usuario quiere dejar un comentario o algo asi, solo se loguea y que se habiliten los campos, le da a un usuario no registrado un vistaso de lo que puede hacer.
Con esto hay un pequeño problema:
Cuando guardamos a los usuarios de un site lo hacemos con cuidado de proteger su acceso, guardamos hashes de la contraseña para que si por ejemplo, nos cabe un injection, y listan la taba usuarios, no tengan a manos las passwords.
Pero hay algunos sites que tiene un problema a la hora de loguear con ajax.
Muchos sites muestran el cuadro de login, y una vez loguado el cuadro desaparece, otras es reemplazado por otro con la información del usuario, pero no siempre es el mismo, y hasta en ocuaciones son 2 divs diferentes adentro de un mismo contenedor para hacer algun efecto loco.
Aca viene el pequeño error, supongamos que el site tiene esto:
Usuario:
Contraseña:
En este caso la funcion loginAjax envia los datos al servidor y obtiene una respuesta, un XML con los datos.
Cual es el problema? Particularmente, este site como muchos otros,no eliminan el elemento div, lo ocultan, este en particular con un efecto de fade.
A este site (donde descubri el problema), le cabia un XSS (inyeccion de Javascript) en un lugar perdido, algo que de por si ya era un problema ya que se podian robar los cookies de credenciales y mantener las sessiones vivas y entrar con las credenciales robadas.
Pero en este caso, eso que acabo de decir era perder el tiempo, se podia hacer algo mejor y ensima mas facil... robo de usuarios y contraseñas... grave...muy grave.
Pensalo 5 minutos....
Si no caiste..... el elemento con id "pass" se oculta con el div "la caja de login" pero no es eliminado ni blanquado, tenemos la contraseña todo el tiempo en la pagina,basta con mandar como parametro a nuestro remitente del XSS document.getElementById("usuario").value y document.getElementById("pass").value y listo.
Aunque se tienen que dar un par de casos, es algo que hay que tener en cuenta, ya que si se descubre un XSS no es taaan grabe, se eliminan los archvos de session del servidor previo apache restart, y con las sesiones muertas los usurios que capturaron las credenciales no pueden volver a entrar, pero en este caso, supongamos que el script dure 2 dias antes de ser detectado por algun admin/desarrollador, robando usuarios y contraseñas silenciosamente y ese periodo se louean 2000 personas infectadas... son 2.000 usuarios que tiene que cambiar SI o SI su contraseña y deforma totalmente inmediata, y por lo menos al toke hacer que no puedan ver sus datos hasta que alla una confirmacion de que realmente son los dueños de las cuentas.
Un lindo bardo.
Con esto hay un pequeño problema:
Cuando guardamos a los usuarios de un site lo hacemos con cuidado de proteger su acceso, guardamos hashes de la contraseña para que si por ejemplo, nos cabe un injection, y listan la taba usuarios, no tengan a manos las passwords.
Pero hay algunos sites que tiene un problema a la hora de loguear con ajax.
Muchos sites muestran el cuadro de login, y una vez loguado el cuadro desaparece, otras es reemplazado por otro con la información del usuario, pero no siempre es el mismo, y hasta en ocuaciones son 2 divs diferentes adentro de un mismo contenedor para hacer algun efecto loco.
Aca viene el pequeño error, supongamos que el site tiene esto:
Usuario:
Contraseña:
En este caso la funcion loginAjax envia los datos al servidor y obtiene una respuesta, un XML con los datos.
Cual es el problema? Particularmente, este site como muchos otros,no eliminan el elemento div, lo ocultan, este en particular con un efecto de fade.
A este site (donde descubri el problema), le cabia un XSS (inyeccion de Javascript) en un lugar perdido, algo que de por si ya era un problema ya que se podian robar los cookies de credenciales y mantener las sessiones vivas y entrar con las credenciales robadas.
Pero en este caso, eso que acabo de decir era perder el tiempo, se podia hacer algo mejor y ensima mas facil... robo de usuarios y contraseñas... grave...muy grave.
Pensalo 5 minutos....
Si no caiste..... el elemento con id "pass" se oculta con el div "la caja de login" pero no es eliminado ni blanquado, tenemos la contraseña todo el tiempo en la pagina,basta con mandar como parametro a nuestro remitente del XSS document.getElementById("
Aunque se tienen que dar un par de casos, es algo que hay que tener en cuenta, ya que si se descubre un XSS no es taaan grabe, se eliminan los archvos de session del servidor previo apache restart, y con las sesiones muertas los usurios que capturaron las credenciales no pueden volver a entrar, pero en este caso, supongamos que el script dure 2 dias antes de ser detectado por algun admin/desarrollador, robando usuarios y contraseñas silenciosamente y ese periodo se louean 2000 personas infectadas... son 2.000 usuarios que tiene que cambiar SI o SI su contraseña y deforma totalmente inmediata, y por lo menos al toke hacer que no puedan ver sus datos hasta que alla una confirmacion de que realmente son los dueños de las cuentas.
Un lindo bardo.
Ante todo, gracias por la paciencia que me tuvieron todos aquellos que querían leer cosas recién salidas del horno, y yo no aparecía. El motivo de mi ausencia era que estaba aprendiendo el pasito Flogger (mentira). Pero lo importante es que volví y en el presente articulo voy a hacer una actualzacion de lo mas importante que paso esta semana.
Se realizo un evento llamado IDF (yo conocía hasta el momento WTF What The Fuck, pero esto es diferente).
IDF es Intel Developers Forum, o sea una reunión anual donde los chicos de Intel muestran todo lo nuevo y hacia donde va su tecnología, su forma de ver la informática y posibles productos que próximamente estarán en el mercado. Como sabrán, no soy muy amigo de Intel, pero en este caso la imparcialidad me obliga a hacer este informe ya que se vienen unas cuantas cosas interesantes (aunque quizá para los que estamos en esto no sean mas que el camino de evolución natural de muchas tecnologías actuales).
Paso entonces a detallar en orden estas nuevas buenas:
Línea de Almacenamiento SSD:
Presentaron líneas de discos para servidores de alto rendimiento y para Laptops y PCs de escritorio.
El Intel X-25-E Extreme SATA SSD ofrece desempeño y confiabilidad para servidores, con menores requerimientos de enfriamiento y energía. Vendrán en formato de 2.5?, en versiones de 32 y 64GB. Estos discos usan la tecnología SLC (Single level cell) Estos discos trabajan a mayores velocidades y usan mucho menos energía, pero se obtienen menos información por celda, y son bastante mas caros.
Por otro lado está la línea Intel X25-M y X18-M, con MLC. El número refleja el factor y la M significa mainstream, o sea, productos para el mercado en general, en versiones de 80 y 160GB. Estos discos son MLC (Multi Level Cell) tienen una mayor densidad de datos, por lo que son más baratos, sacrificando ligeramente el desempeño en lectura y escritura.
Hablan de un 40% hasta 140 % mas de velocidad. Estos discos ofrecen lecturas de hasta 250MB/s con 85ms de latencia y escritura hasta 70MB/s.
En resumen queridos amigos esta tecnología SSD vino para quedarse, y en pocos años los unicos discos rígidos que existirán serán de esta tecnología.
Tv Internet Intel Canmore:
Desde hace un tiempo se esta intentando fusionar la querida Tv con Internet, seguramente con la finalidad de captar otro tipo de usuario, osea el que no posee computadora, y pueda navegar desde su tv.
En esta oportunidad Canmore es un procesador Intel Media Processor CE3100 y ya algunos fabricantes de tv como Samsung ya están incorporándolos en sus Tvs o Blurays.
Algunas cosas que podremos hacer en un futuro con nuestras Tvs: Acceder a servicios de información, clima, rss, etc a través de iconos semitransparentes al pie del canal que estamos viendo, Acceder a nuestras fotos en un servicio como por ejemplo Flickr, descargar películas directas a nuestro tv (blockbuster ya estaria armando algo), videos, música, etc. Aun no se habla ni de sistema multitactil o de teclado para poder redactar mails, textos, etc. Para mi que en esta primer etapa se centra mas que en la interactividad, en el acceso a la información de la red.
Se mostró un aparato marca Tatung (Lector de Blu-ray) con este procesador y con posibilidad de 2 discos rígidos, salidas Usb, Wifi, memoria Ddr2, etc. Y lo bueno trae instalado Linux como S.O.
Conclusión cada día harán al publico mas idiota, diciéndole: Compra esta caja, luego conéctale el cable de Adsl, enchúfalo a 220v y solo limítate a usar las opciones disponibles, similar a lo que hacemos en un tv, solo cambiamos canales.
USB 3.0:
Lo primero: será compatible con los dispositivos anteriores osea Usb 1.1 y 2.0.Pasaremos de los actuales 480 Mbps a la increíble cifra de 4.8 Gbps, (10 veces mas rápido que los actuales) o lo que es lo mismo cerca de 614 megabytes por segundo.
Este incremento en la velocidad se ha logrado por aumentar el número de líneas, actualmente tenemos 4 (2 transfieren datos, una es tierra y la otra energía) y con el USB 3.0 tendremos 9, de las que 4 líneas se encargan de la transferencia de datos (2 líneas de envío y 2 de recepción). Así que podremos enviar y recibir datos simultáneamente.
En cuanto a la energía, pasaremos de 100 mAh (miliamperios) a 900 mAh, lo que implica que podremos cargar nuestros Gadgets más rápidamente, o tendremos menos problemas de energía al utilizar un Hub o que en un futuro ya no sean necesarios dos cables USB para alimentar un disco duro portátil.
Lo único malo por el momento, que tampoco es tan trágico, es que el grosor del cable sera mas grueso, o sea como los cables de red, y al mismo tiempo mas rígidos que los actuales.
Tambien tendra un manejo optimizado del consumo de energía.
Procesadores ATOM de doble núcleo:
Los tendremos para septiembre. El primer modelo se llamara Atom 330 y vendrá integrado en una placa madre mini-ITX, que vendrá con una Intel GMA 950, conectores SATA II e IDE, posee una única ranura para memorias RAM de hasta 2GB (de 667MHz), hasta 8 puertos USB, sonido de 6.1 canales, y salida S-Video.
Lo malo (como era de esperarse) este procesador no es capaz de reproducir video en alta definición de forma fluida, por lo tanto no traerá una salida HDMI. Esto nos vuelve a mostrar la ineficiencia de Intel en el sector de graficas integradas, sector donde AMD y ahora VIA tienen productos con menor consumo energético y grandes capacidades graficas.
Classmate pantalla tactil:
Se presento la tercera generación de este portátil. Tiene un procesador Intel Atom de 1,6Ghz, conectividad WiFi, Webcam, acelerómetro incorporado y una batería de cuatro celdas. El equipo tiene una bisagra que le permite ser usado como tableta, mientras que su pantalla de 9 pulgadas es táctil y puede ser usada con la punta de los dedos o con un Stylus.
Lo malo es que no es económico para las aulas de los países subdesarrollados, motivo por el cual fueron desarrollados, compitiendo y tratando de arruinar el proyecto del MIT o sea las OLPC.
Conclusión serán un juguete caro para niños ricos de países del primer mundo.
Intel Nehalem: Core i7:
Este fue el gran anuncio de Intel en este foro.
Este procesador de 45nm promete un rendimiento de entre un 15 a 20% más que los Penryn.
Al ir a la sección de Benchmarking Francois Piednoel, vocero de Intel, pregunto que aplicación actual necesita 4 núcleos y 8 hilos de procesamiento? con esto dejo en claro que el software hoy en día esta muy rezagado con respecto al hardware, entonces estos avances de procesamiento no se hasta que punto se pueden aprovechar al máximo.
Pero, al mostrar video HD al dble de velocidad el micro ni se inmuto, por lo que si un usuario intenta hacer eso con un core 2 duo con un video normal, se entrecorta todo en resumen decia el vocero “con estos procesadores podremos manipular video HD como si fueran fotos”.
MID Mobile Internet Devices:
Para terminar este informe, comento que gracias al Atom, que principalmente tiene un precio competitivo, hizo que muchos ensambladores construyeran muchos de estos aparatos mas pequeños que las sub-notebooks. Estos MIDs tendrán distintos usos, ya que algunos integran gps, que apuntaran al mercado de los automóviles y otros intentaran llevar al máximo la experiencia de Internet Mobil.
Por lo que esta feria estuvo inundada de estos Gadgets.
Seguramente estos cambios tendran impacto y efectos recien en los proximos 2 años, pero es bueno ir sabiendo lo que se viene.
Redactado por Mariano Calvo de Rch.com.ar
Fuente: Fayerwayer.com
Los MUTU (Master Of The Universe), con los que mantienen los repositorios universe y multiverse de Ubuntu, si queres ser uno de esos, acá un video introductuvo:
Fuente: http://www.vivalinux.com.ar/articulos/video-ubuntu-master-of-the-universe.html
Fuente: http://www.vivalinux.com.ar/articulos/video-ubuntu-master-of-the-universe.html
Entre la maraña de cosas que estoy haciendo con esto de "exodica" y para no remitirme simplemente a un blog, les vengo a ofrecer este servicio es que esta bastante bonito.
EyeOs, para los que no lo conocen es un escritorio basado en web, un clon de youos, pero libre, que en sus primeras versiones lo conoci y no me gustó, pero que hace poco re-encontré, y note todo lo que habia evolucionado (incluso supara a youos para mi).
La aplicación se puede descargar de la web y montarlo en tu servidor, no necesita base de datos, pero si que los directorios esten en permisos 777.
screenshot de mi sesión
Yo lo instalé en un hosting que tengo para clientes, haber si da resultado, estoy dando cuentas con cuotas de hasta 100MB (por ahora) y se pueden registrar directamente en la portada.
Para los que le interese tener sus archivos siempre a mano atravez de internet (sin tener que andarlos buscando como en gmail) esto les puede servir, tambien cuenta con lector de rss, documentos, hojas de calculos y hasta instale una aplicación que edita php, css, xml y html :-P (eyeEdit).
Por otro lado, en la barra de arriba, en el icono de sitios, hay una carpeta que dice "pública", que seria /public, todo lo que copien en ese directorio lo podran ver todos, es como una carpeta en comun para compartir archivos, pdfs, etc.. y no consume cuota del usuario, asi que pueden subir todo lo que quieran, hay un archivo de texto llamado leeme.txt que les dira las reglas y les dara una bienvenida.
Por cuelquier cosa no duden en contactarme :D
Aca les paso el link para usar el Desktop: http://desktop.exodica.com.ar/
EyeOs, para los que no lo conocen es un escritorio basado en web, un clon de youos, pero libre, que en sus primeras versiones lo conoci y no me gustó, pero que hace poco re-encontré, y note todo lo que habia evolucionado (incluso supara a youos para mi).
La aplicación se puede descargar de la web y montarlo en tu servidor, no necesita base de datos, pero si que los directorios esten en permisos 777.
screenshot de mi sesiónYo lo instalé en un hosting que tengo para clientes, haber si da resultado, estoy dando cuentas con cuotas de hasta 100MB (por ahora) y se pueden registrar directamente en la portada.
Para los que le interese tener sus archivos siempre a mano atravez de internet (sin tener que andarlos buscando como en gmail) esto les puede servir, tambien cuenta con lector de rss, documentos, hojas de calculos y hasta instale una aplicación que edita php, css, xml y html :-P (eyeEdit).
Por otro lado, en la barra de arriba, en el icono de sitios, hay una carpeta que dice "pública", que seria /public, todo lo que copien en ese directorio lo podran ver todos, es como una carpeta en comun para compartir archivos, pdfs, etc.. y no consume cuota del usuario, asi que pueden subir todo lo que quieran, hay un archivo de texto llamado leeme.txt que les dira las reglas y les dara una bienvenida.
Por cuelquier cosa no duden en contactarme :D
Aca les paso el link para usar el Desktop: http://desktop.exodica.com.ar/
Una noticia muy graciosa, en la apertura de los juegos en Beijing nuesto amigo Bill Gates se hace mencionar al aparecer su mas grande creación: La pantalla azul de la muerte (o BSOD- Blue Screen Of Death). Recuerdo cuando mencionaron que usaría windows XP en las olimpiadas y no vista, da igual, hibiera sido roja :-O
Curiosidad: En el OS/X Leopard el icono que representan los equipos con windows, son monitores con el BSOD.
Link: http://www.smh.com.au/news/off-the-field/bills-blue-screen-of-death-malfunction/2008/08/12/1218306871673.html
Curiosidad: En el OS/X Leopard el icono que representan los equipos con windows, son monitores con el BSOD.
Link: http://www.smh.com.au/news/off-the-field/bills-blue-screen-of-death-malfunction/2008/08/12/1218306871673.html
PD: Estoy medio colgado y pido disculpas, el fin de semana me fui a la Debconf y quiero hacer un articulo sobre eso, y tambien se viene un articulo sobre Arch.
Los desarrolladores de los 3 clientes de mensajería instantanea dedicados al protocolo MSN: aMSN, emesene y Pymsn unirán fuerzas para crear un cliente con los beneficios de cada uno.
La muy buena noticia, es que ya no será tcl/tk, ahora estara programado en phyton, por otro lado el mensajero va a ser integrado tanto a GTK, como a Qt (Una buena para los KDEederos como yo :-).
Esperemos que esta sea otra buena excusa para dejar de temerle al sistema del pingüino. Los desarrolladores han hecho un video mostrando como va hasta ahora la parte visual, que por sierto esta muuuy adaptada a los efectos gráficos de los escritorios modernos, por lo que le veo larga vida entre Gnome 3 y KDE 4.
La muy buena noticia, es que ya no será tcl/tk, ahora estara programado en phyton, por otro lado el mensajero va a ser integrado tanto a GTK, como a Qt (Una buena para los KDEederos como yo :-).
Esperemos que esta sea otra buena excusa para dejar de temerle al sistema del pingüino. Los desarrolladores han hecho un video mostrando como va hasta ahora la parte visual, que por sierto esta muuuy adaptada a los efectos gráficos de los escritorios modernos, por lo que le veo larga vida entre Gnome 3 y KDE 4.
Y adelantado esta semana :O, Linux hispano nos trae su tira.
Link: http://linuxhispano.net/tira/index.php
Link: http://linuxhispano.net/tira/index.php
Y es que el 18 de agosto se viene el Debian day, orientado a los Debianeros y al software libre, empieza a las 10:00 y el programa parece estar interesante.
Luego del 20 al 22 de Agosto se vienen las joranadas de software libre con infinidad de charlas, que van desde programación, filosofía del software libre y demas. Las 2 en Buenos Aires.
Yo si puedo me daré una vuelta el 22.
Luego del 20 al 22 de Agosto se vienen las joranadas de software libre con infinidad de charlas, que van desde programación, filosofía del software libre y demas. Las 2 en Buenos Aires.
Yo si puedo me daré una vuelta el 22.
HUGO SCOLNIK, Matemático, Criptografo y Destructor de claves de seguridad. Suele dictar conferencias en universidades e institutos de medio mundo y fue premio Konex en 2003. Desde 2005 se dedica a una investigación que podría poner los pelos de punta en los sistemas de seguridad: desde las operaciones bancarias hasta los gobiernos; desde el uso de la firma digital hasta el de la tarjeta de crédito y las transacciones seguras por Internet. Lo que el matemático Argentino está a punto de develar es el modo de quebrar ciertas claves hipercomplejas que protegen casi todo lo que circula en las redes de la información global.
La criptografía, históricamente utilizada en la guerra, actualmente se emplea para resguardar la privacidad de mensajes y códigos.
El asunto es que en algún lugar de la facultad de Ciencias Exactas Hugo Scolnik está a punto de dar con el método que acabe con la seguridad de los sistemas.
Reconocido mundialmente, el matemático argentino se dedica a investigar la factorización de números gigantes, tanto que superan las 300 cifras. Licenciado en Ciencias Matemáticas de la UBA (1964) y Doctor en Matemática por la Universidad de Zurich (1970), sus campos de investigación son Criptografía, Robótica, Optimización No Lineal, modelos matemáticos y métodos numéricos. Asesor en seguridad informática, desde 2005 Scolnik trabaja en la investigación de un método de factorización que, de dar resultado, permitiría descifrar cualquier clave RSA –considerado el sistema criptográfico más seguro del mundo– en un tiempo breve.
Factorizar significa descomponer una expresión matemática en los factores que la componen. Factorizar el número 100, por ejemplo, da como resultado 2, 2, 5, 5. Esto es: 2.2.5.5= 100. Sin embargo, con números gigantes como los que se utilizan en RSA, la cantidad de cálculos que se requieren hace que sea impracticable.
–Con los métodos tradicionales –ilustra Scolnik–, intentar factorizar una clave de las normales RSA llevaría unos 300 millones de años.
Las claves RSA avanzan en complejidad con un número que indica la longitud en números decimales, por ejemplo RSA 160, RSA200, RSA 576, RSA 1024, RSA 2048.
–Si Scolnik logra su objetivo, las empresas deberían cambiar sus sistemas de cifrado, lo que puede suponer un cambio de software y hardware. El RSA es usado como sistema mayoritario para el cifrado asimétrico en todo el mundo, en las infraestructuras de clave pública, en los documentos de identidad electrónicos y en comunicaciones seguras a través de internet. Actualmente, todo el mundo usa sistemas de cifra en su vida cotidiana, por lo que el problema es global. Es evidente que tanto los bancos como organismos gubernamentales tendrían que adaptar sus sistemas y esto costaria una suma de dinero inimaginable.
Desde el Departamento de Computación de la Facultad de Ciencias Exactas, Scolnik dice estar en una última etapa de su trabajo:
–En ámbitos especializados ya se está hablando de que las RSA 1024 podrían caer...
–Sí. Pero las compañías financieras grandes usan RSA 2048.
En general, por ejemplo, en la Argentina, en el caso de las Fuerzas Armadas, estamos hablando de 4096. Y hay software de hasta 8192. Lo que pasa es que el tipo de método que esta investigando, si llega a dar resultado, va a funcionar para cualquier longitud. No va a tener una traba. Entonces, pasar de 1024 a la 2048 no va remediar la situación. El problema va a ser para el método de las RSA. Lo sabremos dentro de un tiempo.
Segun mi opinion, si esto resulta ser del todo cierto y este matematico argentino llega a estar cerca de hacer este descubrimiento, los grandes grupos economicos se van a encargar de hacerlo desaparecer de la faz de la tierra, como ya lo hiceron con aquellos que desarrollaban metodos de energia alternativa o de motores que no dependieran del combustible fosil.
Publicado por: King (Mariano Calvo) - Rch.com.ar
Fuente: Criticadigital.com
El asunto es que en algún lugar de la facultad de Ciencias Exactas Hugo Scolnik está a punto de dar con el método que acabe con la seguridad de los sistemas.
Reconocido mundialmente, el matemático argentino se dedica a investigar la factorización de números gigantes, tanto que superan las 300 cifras. Licenciado en Ciencias Matemáticas de la UBA (1964) y Doctor en Matemática por la Universidad de Zurich (1970), sus campos de investigación son Criptografía, Robótica, Optimización No Lineal, modelos matemáticos y métodos numéricos. Asesor en seguridad informática, desde 2005 Scolnik trabaja en la investigación de un método de factorización que, de dar resultado, permitiría descifrar cualquier clave RSA –considerado el sistema criptográfico más seguro del mundo– en un tiempo breve.
Factorizar significa descomponer una expresión matemática en los factores que la componen. Factorizar el número 100, por ejemplo, da como resultado 2, 2, 5, 5. Esto es: 2.2.5.5= 100. Sin embargo, con números gigantes como los que se utilizan en RSA, la cantidad de cálculos que se requieren hace que sea impracticable.
–Con los métodos tradicionales –ilustra Scolnik–, intentar factorizar una clave de las normales RSA llevaría unos 300 millones de años.
Las claves RSA avanzan en complejidad con un número que indica la longitud en números decimales, por ejemplo RSA 160, RSA200, RSA 576, RSA 1024, RSA 2048.
–Si Scolnik logra su objetivo, las empresas deberían cambiar sus sistemas de cifrado, lo que puede suponer un cambio de software y hardware. El RSA es usado como sistema mayoritario para el cifrado asimétrico en todo el mundo, en las infraestructuras de clave pública, en los documentos de identidad electrónicos y en comunicaciones seguras a través de internet. Actualmente, todo el mundo usa sistemas de cifra en su vida cotidiana, por lo que el problema es global. Es evidente que tanto los bancos como organismos gubernamentales tendrían que adaptar sus sistemas y esto costaria una suma de dinero inimaginable.
Desde el Departamento de Computación de la Facultad de Ciencias Exactas, Scolnik dice estar en una última etapa de su trabajo:
–En ámbitos especializados ya se está hablando de que las RSA 1024 podrían caer...
–Sí. Pero las compañías financieras grandes usan RSA 2048.
En general, por ejemplo, en la Argentina, en el caso de las Fuerzas Armadas, estamos hablando de 4096. Y hay software de hasta 8192. Lo que pasa es que el tipo de método que esta investigando, si llega a dar resultado, va a funcionar para cualquier longitud. No va a tener una traba. Entonces, pasar de 1024 a la 2048 no va remediar la situación. El problema va a ser para el método de las RSA. Lo sabremos dentro de un tiempo.
Segun mi opinion, si esto resulta ser del todo cierto y este matematico argentino llega a estar cerca de hacer este descubrimiento, los grandes grupos economicos se van a encargar de hacerlo desaparecer de la faz de la tierra, como ya lo hiceron con aquellos que desarrollaban metodos de energia alternativa o de motores que no dependieran del combustible fosil.
Publicado por: King (Mariano Calvo) - Rch.com.ar
Fuente: Criticadigital.com
PHP anunció la disponibilidad del release Alpha 1 de PHP 5.3.
Se trata del primer bosquejo de pruebas de lo que será la versión 5.3 de PHP, que si han seguido más o menos los distintos posts que al respecto se hicieron en distintos espacios de la red, es la que incluirá la mayoría de los nuevos features copados en los que viene trabajando el equipo de desarrollo últimamente. Podríamos decir que es PHP 6 sin el soporte para Unicode.
Entre los cambios más importantes se destacan:
Se trata del primer bosquejo de pruebas de lo que será la versión 5.3 de PHP, que si han seguido más o menos los distintos posts que al respecto se hicieron en distintos espacios de la red, es la que incluirá la mayoría de los nuevos features copados en los que viene trabajando el equipo de desarrollo últimamente. Podríamos decir que es PHP 6 sin el soporte para Unicode.
Entre los cambios más importantes se destacan:
- Namespaces
- Late static binding and __callStatic
- Lambda functions and closures
- Addition of the intl, phar (phar is scheduled for some more work a head of alpha2), fileinfo and sqlite3 extensions
- Optional cyclic garbage collection
- Optional support for the MySQLnd replacement driver for libmysql
- Windows older than Windows 2000 (Windows 98, NT4, etc.) are not supported anymore (details)
- New syntax features like NOWDOC, limited GOTO, ternary short cut "?:"
Despues de volver la tira ecol, aca un nuevo chiste:
link: http://www.tiraecol.net/modules/comic/comic.php?content_id=280&mode=flat&order=0
link: http://www.tiraecol.net/modules/comic/comic.php?content_id=280&mode=flat&order=0
Hace no mucho se hizo público el error de diseño del servicio DNS. Segun Kryptopolis, se filtraron datos de la vulnerabilidad por slashdot, que fueron quitados, pero después de haber sido ya vistos por muchos, ya se sabía/sospechaba de que algo malo pasaba, pero no se hacia público del todo, cosa que ahora si.
Aca una breve explicación de lo que es el servicio DNS, si ya sabes, salteate este parrafo:
Cada red conectada a la Internet (red de redes) tiene un IP, asi sea una red detras de un router o gateway, o una PC conectada por un modem a la red. La Ip es un número que identifica la red. Los servidores donde estan alojados los sitios web por ejemplo tabien tienen una ip, pero como los humanos no somos muy amigables a recordar numeros para entrar a paginas web o etc, se crearon el Domain Name Services (DNS), que asigna un nombre de dominio a una direccion IP. Tipo, www.google.com, quiere decir: 200.85.195.99.
Ahora, los servidores DNS se conectan entre si para (y a los root servers).
Ahora que repasamos un poco que es el servicio DNS, vemos, los nombres se almacenan sierto tiempo en el caché del servidor, asi no tiene que rutear a los rootservers de nuevo. La dicha vulnerabilidad consiste en un envenenamiento a la cache, para esto se usa una técnica llamada spoofing, que seria algo asi como falsificar una respuesta esperada por la PC, pero el servicio de dns usa una validacion de 16 bits para asegurar que la respuesta no es falcificada, osea que las posibilidades de acertar en un ataque ciego como el spoofing, son de 2^16, osea 65.536 posibilidades de darle (y una sola oportunidad) , para saltar esto, se hace un ataque denominado Ataque de cumpleaños o birthday attack, esto se basa en un tip matematico que dice que una habitacion con 23 personas hay un 50% de posibilidades de que 2 cumplan años el mismo día. Asi que se piden muchas peticiones, y se spoffean muchas respuestas, asi subimos el porcentaje de acierto, hasta que acierte.
El problema es viejo, y sabido por algunos pero siempre se mantuvo en la sombra, hasta hace poco que salieron exploits.
Aca una breve explicación de lo que es el servicio DNS, si ya sabes, salteate este parrafo:
Cada red conectada a la Internet (red de redes) tiene un IP, asi sea una red detras de un router o gateway, o una PC conectada por un modem a la red. La Ip es un número que identifica la red. Los servidores donde estan alojados los sitios web por ejemplo tabien tienen una ip, pero como los humanos no somos muy amigables a recordar numeros para entrar a paginas web o etc, se crearon el Domain Name Services (DNS), que asigna un nombre de dominio a una direccion IP. Tipo, www.google.com, quiere decir: 200.85.195.99.
Ahora, los servidores DNS se conectan entre si para (y a los root servers).
Ahora que repasamos un poco que es el servicio DNS, vemos, los nombres se almacenan sierto tiempo en el caché del servidor, asi no tiene que rutear a los rootservers de nuevo. La dicha vulnerabilidad consiste en un envenenamiento a la cache, para esto se usa una técnica llamada spoofing, que seria algo asi como falsificar una respuesta esperada por la PC, pero el servicio de dns usa una validacion de 16 bits para asegurar que la respuesta no es falcificada, osea que las posibilidades de acertar en un ataque ciego como el spoofing, son de 2^16, osea 65.536 posibilidades de darle (y una sola oportunidad) , para saltar esto, se hace un ataque denominado Ataque de cumpleaños o birthday attack, esto se basa en un tip matematico que dice que una habitacion con 23 personas hay un 50% de posibilidades de que 2 cumplan años el mismo día. Asi que se piden muchas peticiones, y se spoffean muchas respuestas, asi subimos el porcentaje de acierto, hasta que acierte.
El problema es viejo, y sabido por algunos pero siempre se mantuvo en la sombra, hasta hace poco que salieron exploits.
Suscribirse a:
Entradas (Atom)
