Historia archivos - Pablo Alejandro Fain

Todos necesitamos un administrador de contraseñas

enero 4, 2019febrero 24, 2018 por Pablo Alejandro Fain

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en …

Prácticas abusivas de spam que terminaron en una Carta Documento

enero 4, 2019febrero 20, 2018 por Pablo Alejandro Fain

Les voy a contar una bonita historia… Resulta que allá por el mes de Diciembre de 2016 hice una compra online -bueno, como casi todos los días-, pero esta era la primera vez que compraba en ese comercio. Muchos comercios asumen que una compra online -en la que tenés que dejar tu dirección de mail para registrarte y recibir actualizaciones del estado de tus pedidos- significa que tambien aceptás recibir a partir de ese momento toda clase de publicidad por e-mail. Spam, básicamente. Resulta que este comercio empezó a mandarme correo no deseado muy esporádicamente. Realmente era tan esporádico que …

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

enero 4, 2019octubre 6, 2014 por Pablo Alejandro Fain

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (2⁸⁰) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 2⁶⁹. Tiempo más tarde se avanzó hasta 2⁶³ y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 2⁵² (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Los proveedores de internet, ¿se quedan sin ancho de banda?

enero 4, 2019mayo 6, 2014 por Pablo Alejandro Fain

Por supuesto que sí. Y eso es lo que reclama Level 3, compañía estadounidense que provee servicios de internet del tipo Tier 1. Level 3 es, como se conoce en la jerga, un proveedor de proveedores. Básicamente ofrece servicios de interconexión a los ISP (proveedores de internet, por sus siglas en inglés) de casi todo el mundo.

Esta interconexión, conocida como peering, permite a los ISPs intercambiar tráfico (datos) entre ellos. Existen acuerdos de peering del tipo libre (en los que dos o más proveedores “dejan pasar” el tráfico que se intercambia entre sus redes) o pagos (en los que un proveedor compra ancho de banda a otro del mismo nivel o de nivel superior). Por ej. un ISP local o nacional contrata a uno regional para permitir a sus usuarios acceder a contenido alojado fuera del país. Internet es, en esencia, una red de redes interconectadas.

Hace algunas semanas Michael Mooney, General Counsel de la firma, escribió un artículo donde denunciaba públicamente que proveedores que hacen peering con Level 3 estaban saturando el ancho de banda acordado, reduciendo la calidad del servicio que brindan a sus clientes y de la red en general. Mooney, además, asegura que estos proveedores no están interesados en negociar sus contratos, lo que implicaría una degradación cada vez mayor de los servicios que ofrecen.

Vulnerabilidad Heartbleed. ¿De qué se trata?

abril 12, 2014 por Pablo Alejandro Fain

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

Recomendaciones para usuarios

Microsoft anuncia la disponibilidad de SharePoint y Exchange 2013

julio 16, 2012 por Pablo Alejandro Fain

Parece que el 16 de Julio de 2012 será un día para recordar en la historia de Microsoft. Al anuncio de la salida de Office 2013 Customer Preview se han agregado la disponibilidad pública de SharePoint Server 2013 Preview y Exchange Server 2013 Preview. Para SharePoint Server 2013 Preview estos son los enlaces importantes: Descripción del producto http://sharepoint.microsoft.com/en-us/preview/sharepoint-benefits.aspx Puede descargarse desde http://technet.microsoft.com/en-us/evalcenter/hh973397.aspx?wt.mc_id=TEC_121_1_33 Clave de producto: 6RNT8-XV26M-GWH36-VMGQH-94MMH Sus prerrequisitos están disponibles en http://technet.microsoft.com/en-us/library/cc262485(office.15).aspx Otras descargas disponibles en http://www.microsoft.com/en-us/download/search.aspx?q=SharePoint%202013&p=1&r=40&t=32 Para el caso de Exchange Server 2013 Preview estos son los enlaces importantes: Descripción del producto http://www.microsoft.com/exchange/en-us/exchange-preview.aspx Puede descargarse desde …

Nuevas características en Facebook

enero 4, 2019julio 10, 2012 por Pablo Alejandro Fain

Los amigos del Silocon Valley no dejan de sorprendernos con sus “inesperadas” funcionalidades. Hace algunos días anunciaban una característica que ya está disponible para todos los usuarios de la red social. Se trata de la posibilidad de editar los comentarios. ¿Cuántas veces hemos cometido un typo (typographical error) al comentar una foto de las últimas vacaciones de nuestro amigo? “Qué bonitp lugar” en vez de “Qué bonito lugar” Hasta ahora, la única vía para solucionar ese pequeño (pero insoportable) error era eliminar el comentario y enviarlo nuevamente, esta vez teniendo muchísimo cuidado y releyendo hasta cuatro veces lo escrito. A …

Orden de bloqueo a leakymails.com

agosto 10, 2011 por Pablo Alejandro Fain

Hola a todos,

Hoy no tenía pensado darme una vuelta por estos lados, pero la noticia realmente lo amerita. Y es que, con fecha 4 de Agosto del presente año, el Juzgado Nacional en lo Criminal y Correccional Federal Nº 9, Secretaría Nº 17, ordenó a los ISP (Proveedores de Servicios de Internet -Internet Service Providers, por sus siglas en inglés) de la República Argentina el bloqueo preventivo de los sitios http:/www.leakymails.com y http:/leakymails.blogspot.com

Dice el comunicado publicado por la CNC: “En cumplimiento de lo dispuesto por el Juzgado Nacional en lo Criminal y Correccional Federal Nº 9, Secretaría Nº 17, en la Causa Nº 9.177/11 caratulada “N.N. s/REVELACIÓN DE SECRETOS POLÍTICOS Y MILITARES”, en la cual se ordenó que esta COMISIÓN NACIONAL DE COMUNICACIONES, tenga a su cargo la comunicación de lo allí resuelto a todos los Licenciatarios de Telecomunicaciones que tienen Registro de SERVICIO DE VALOR AGREGADO y prestan SERVICIO DE ACCESO A INTERNET, se informa que con fecha 4 de Agosto de 2011, se ha dispuesto lo siguiente: “I. DECRETAR PREVENTIVAMENTE el bloqueo por parte de los proveedores locales de servicios de Internet en el acceso a los siguientes sitios web http:/www.leakymails.com y http:/leakymails.blogspot.com. Fdo. Sergio TORRES, Juez Federal.”

Caso inédito en el país

Gregor Mendel le da vida a Google

julio 20, 2011 por Pablo Alejandro Fain

Como ya es habitual, Google, el gigante de las búsquedas en Internet, nos sorprendió el día de hoy con un nuevo Doodle. En este caso, celebrando el 189 aniversario del natalicio de Gregor Mendel. Dice la Wikipedia “Gregor Johann Mendel ( 20 de julio de 1822 – 6 de enero de 1884) fue un monje agustino católico y naturalista nacido en Heinzendorf, Austria (actual Hynčice, distrito Nový Jičín, República Checa) que describió, por medio de los trabajos que llevó a cabo con diferentes variedades del guisante (Pisum sativum), las hoy llamadas leyes de Mendel que rigen la herencia genética. Los primeros …

¿Qué es el Día Mundial de IPv6?

junio 7, 2011 por Pablo Alejandro Fain

Desde hace algunas semanas se viene escuchando hablar de “El Día Mundial de IPv6”, pero… ¿Qué es exactamente? En esta nota, una breve y clara explicación para los no entendidos en la materia.

Comencemos definiendo IP. El Internet Protocol o Protocolo de Internet, podría ser definido como el lenguaje de comunicación que utilizan los equipos conectados a una red (Sea una red doméstica o Internet misma)

Dice Google: “Este lenguaje tiene un funcionamiento muy parecido al de los números de teléfono que permiten conectar dos aparatos telefónicos.”

Dice la Wikipedia: “Es un protocolo usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados (…)”

Hasta ahora, nos encontramos trabajando sobre la versión 4 del Internet Protocol. Es decir, IPv4. Pero esta versión tiene un limitante al que todos temimos durante años, y que finalmente ha llegado: Permite la asignación de 4.294.967.296 direcciones únicas (2 elevado a la 32).

A simple vista parece demasiado, ¿verdad?. Pero no lo es. Observen.