Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario. El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas. Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario. Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas. La contraseña es …

Read moreTodos necesitamos un administrador de contraseñas

Prácticas abusivas de spam que terminaron en una Carta Documento

Les voy a contar una bonita historia… Resulta que allá por el mes de Diciembre de 2016 hice una compra online -bueno, como casi todos los días-, pero esta era la primera vez que compraba en ese comercio. Muchos comercios asumen que una compra online -en la que tenés que dejar tu dirección de mail para registrarte y recibir actualizaciones del estado de tus pedidos- significa que tambien aceptás recibir a partir de ese momento toda clase de publicidad por e-mail. Spam, básicamente. Resulta que este comercio empezó a mandarme correo no deseado muy esporádicamente. Realmente era tan esporádico que cuando presionaba sobre Desuscribir no recordaba haberlo hecho con anterioridad. Pero en Octubre/Noviembre del 2017 la cosa cambió. Empecé a recibir estos e-mails con publicidad todos los días. Y así como llegaban, todos-los-días hacía clic en Desuscribir. Claro que la solución es mandar los mensajes a Correo no deseado y ya. Pero para alguien que trabaja en IT y que tiene algo de experiencia en este tema del envío masivo de mails, es muy dificil conformarse con mover los mensajes a correo no deseado o crear una regla que los mueva automáticamente. Decidí contactarme con el comercio por e-mail. Después …

Read morePrácticas abusivas de spam que terminaron en una Carta Documento

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Photo by Markus Spiske on Unsplash

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Read moreLlegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Los proveedores de internet, ¿se quedan sin ancho de banda?

Photo by Markus Spiske on Unsplash

Por supuesto que sí. Y eso es lo que reclama Level 3, compañía estadounidense que provee servicios de internet del tipo Tier 1. Level 3 es, como se conoce en la jerga, un proveedor de proveedores. Básicamente ofrece servicios de interconexión a los ISP (proveedores de internet, por sus siglas en inglés) de casi todo el mundo.

Esta interconexión, conocida como peering, permite a los ISPs intercambiar tráfico (datos) entre ellos. Existen acuerdos de peering del tipo libre (en los que dos o más proveedores “dejan pasar” el tráfico que se intercambia entre sus redes) o pagos (en los que un proveedor compra ancho de banda a otro del mismo nivel o de nivel superior). Por ej. un ISP local o nacional contrata a uno regional para permitir a sus usuarios acceder a contenido alojado fuera del país. Internet es, en esencia, una red de redes interconectadas.

Hace algunas semanas Michael Mooney, General Counsel de la firma, escribió un artículo donde denunciaba públicamente que proveedores que hacen peering con Level 3 estaban saturando el ancho de banda acordado, reduciendo la calidad del servicio que brindan a sus clientes y de la red en general. Mooney, además, asegura que estos proveedores no están interesados en negociar sus contratos, lo que implicaría una degradación cada vez mayor de los servicios que ofrecen.

Read moreLos proveedores de internet, ¿se quedan sin ancho de banda?

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?

Microsoft anuncia la disponibilidad de SharePoint y Exchange 2013

Photo by Markus Spiske on Unsplash

    Parece que el 16 de Julio de 2012 será un día para recordar en la historia de Microsoft. Al anuncio de la salida de Office 2013 Customer Preview se han agregado la disponibilidad pública de SharePoint Server 2013 Preview y Exchange Server 2013 Preview.     Para SharePoint Server 2013 Preview estos son los enlaces importantes: Descripción del producto http://sharepoint.microsoft.com/en-us/preview/sharepoint-benefits.aspx Puede descargarse desde http://technet.microsoft.com/en-us/evalcenter/hh973397.aspx?wt.mc_id=TEC_121_1_33 Clave de producto: 6RNT8-XV26M-GWH36-VMGQH-94MMH Sus prerrequisitos están disponibles en http://technet.microsoft.com/en-us/library/cc262485(office.15).aspx Otras descargas disponibles en http://www.microsoft.com/en-us/download/search.aspx?q=SharePoint%202013&p=1&r=40&t=32 Para el caso de Exchange Server 2013 Preview estos son los enlaces importantes: Descripción del producto http://www.microsoft.com/exchange/en-us/exchange-preview.aspx Puede descargarse desde http://technet.microsoft.com/en-us/evalcenter/hh973395.aspx Sus prerrequisitos están disponibles en http://technet.microsoft.com/library/aa996719(EXCHG.150).aspx Otras descargas disponibles en http://www.microsoft.com/en-us/download/search.aspx?q=Exchange%202013

Nuevas características en Facebook

Photo by Markus Spiske on Unsplash

Los amigos del Silocon Valley no dejan de sorprendernos con sus “inesperadas” funcionalidades. Hace algunos días anunciaban una característica que ya está disponible para todos los usuarios de la red social. Se trata de la posibilidad de editar los comentarios. ¿Cuántas veces hemos cometido un typo (typographical error) al comentar una foto de las últimas vacaciones de nuestro amigo? “Qué bonitp lugar” en vez de “Qué bonito lugar” Hasta ahora, la única vía para solucionar ese pequeño (pero insoportable) error era eliminar el comentario y enviarlo nuevamente, esta vez teniendo muchísimo cuidado y releyendo hasta cuatro veces lo escrito. A partir de hoy, eso será historia del pasado. Y es que los ingenieros de la compañía de Mark Zuckerberg sacaron a la luz la posibilidad de editar un comentario luego de enviado. De esta manera podremos corregir el error de inmediato, casi sin que nadie se entere. Pero esto no es todo. La nueva funcionalidad, viene de la mano del queridísimo Historial de cambios. Luego de corregir un comentario, éste quedará marcado como Editado y permitirá visualizar el antes y el después. Nada mal, no? Gracias Daniel por modificar tu comentario! 🙂 ¡Hasta la próxima!

Orden de bloqueo a leakymails.com

Photo by Markus Spiske on Unsplash

Hola a todos,

Hoy no tenía pensado darme una vuelta por estos lados, pero la noticia realmente lo amerita. Y es que, con fecha 4 de Agosto del presente año, el Juzgado Nacional en lo Criminal y Correccional Federal Nº 9, Secretaría Nº 17, ordenó a los ISP (Proveedores de Servicios de Internet -Internet Service Providers, por sus siglas en inglés) de la República Argentina el bloqueo preventivo de los sitios http:/www.leakymails.com y http:/leakymails.blogspot.com

Dice el comunicado publicado por la CNC: “En cumplimiento de lo dispuesto por el Juzgado Nacional en lo Criminal y Correccional Federal Nº 9, Secretaría Nº 17, en la Causa Nº 9.177/11 caratulada “N.N. s/REVELACIÓN DE SECRETOS POLÍTICOS Y MILITARES”, en la cual se ordenó que esta COMISIÓN NACIONAL DE COMUNICACIONES, tenga a su cargo la comunicación de lo allí resuelto a todos los Licenciatarios de Telecomunicaciones que tienen Registro de SERVICIO DE VALOR AGREGADO y prestan SERVICIO DE ACCESO A INTERNET, se informa que con fecha 4 de Agosto de 2011, se ha dispuesto lo siguiente: “I. DECRETAR PREVENTIVAMENTE el bloqueo por parte de los proveedores locales de servicios de Internet en el acceso a los siguientes sitios web http:/www.leakymails.com y http:/leakymails.blogspot.com. Fdo. Sergio TORRES, Juez Federal.”

Caso inédito en el país

Read moreOrden de bloqueo a leakymails.com

Gregor Mendel le da vida a Google

Photo by Markus Spiske on Unsplash

Como ya es habitual, Google, el gigante de las búsquedas en Internet, nos sorprendió el día de hoy con un nuevo Doodle. En este caso, celebrando el 189 aniversario del natalicio de Gregor Mendel. Dice la Wikipedia “Gregor Johann Mendel ( 20 de julio de 1822 – 6 de enero de 1884) fue un monje agustino católico y naturalista nacido en Heinzendorf, Austria (actual Hynčice, distrito Nový Jičín, República Checa) que describió, por medio de los trabajos que llevó a cabo con diferentes variedades del guisante (Pisum sativum), las hoy llamadas leyes de Mendel que rigen la herencia genética. Los primeros trabajos en genética fueron realizados por Mendel. Inicialmente realizó cruces de semillas, las cuales se particularizaron por salir de diferentes estilos y algunas de su misma forma. En sus resultados encontró caracteres como los dominantes que se caracterizan por determinar el efecto de un gen y los recesivos por no tener efecto genético (dígase, expresión) sobre un fenotipo heterocigótico.” Un poco de historia acerca de los Doodle’s… Desde Agosto de 1998, Google decide recordar o celebrar hechos históricos con bonitas y amigables animaciones de su logo. Cualquier ocasión es buena para los amigos de Google… Independencias, natalicios de próceres o figuras …

Read moreGregor Mendel le da vida a Google

¿Qué es el Día Mundial de IPv6?

Photo by Markus Spiske on Unsplash

Desde hace algunas semanas se viene escuchando hablar de “El Día Mundial de IPv6”, pero… ¿Qué es exactamente? En esta nota, una breve y clara explicación para los no entendidos en la materia.

Comencemos definiendo IP. El Internet Protocol o Protocolo de Internet, podría ser definido como el lenguaje de comunicación que utilizan los equipos conectados a una red (Sea una red doméstica o Internet misma)

Dice Google: “Este lenguaje tiene un funcionamiento muy parecido al de los números de teléfono que permiten conectar dos aparatos telefónicos.”

Dice la Wikipedia: “Es un protocolo usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados (…)”

Hasta ahora, nos encontramos trabajando sobre la versión 4 del Internet Protocol. Es decir, IPv4. Pero esta versión tiene un limitante al que todos temimos durante años, y que finalmente ha llegado: Permite la asignación de 4.294.967.296 direcciones únicas (2 elevado a la 32).

A simple vista parece demasiado, ¿verdad?. Pero no lo es. Observen.

Read more¿Qué es el Día Mundial de IPv6?