BGP, uno de los pilares de Internet

Internet es una gran red de redes interconectadas entre sí que funciona gracias a tres pilares fundamentales: los cables de fibra óptica, el protocolo BGP y el protocolo DNS. Los cables de fibra óptica submarinos son su pilar principal. A través de ellos viaja gran parte de la información que circula por Internet y, como se observa en la siguiente imagen, atraviesan mares y océanos conectando las principales ciudades del mundo. Mapa del cableado submarino global. Fuente: submarinecablemap.com. El protocolo DNS es una suerte de “libreta de direcciones”. Se encarga de “traducir” los nombres de dominio (por ej. www.facebook.com) en una dirección IP, que será la que nuestro dispositivo deberá buscar para llegar a destino. En otras palabras, evita que tengamos que recordar las direcciones IP de los sitios que visitamos a diario. Podrán encontrar más detalles en un artículo que escribí hace algunos años, aquí. Como hemos visto anteriormente, en Internet existen tres tipos de ISP (o Proveedores de Servicios de Internet, por sus siglas en inglés). Los proveedores de nivel 3 son aquellos que brindan servicio a usuarios hogareños o empresas y que “compran” mediante acuerdos de peering el acceso a las demás redes a proveedores de nivel 2 (normalmente regionales). Estos últimos, a su vez, celebran acuerdos de peering con los de nivel 1 (como Level 3 …

Read moreBGP, uno de los pilares de Internet

Google comenzará a penalizar a sitios no compatibles con dispositivos móviles

Photo by Markus Spiske on Unsplash

Los rumores comenzaron a circular hace algunos meses, cuando el gigante de las búsquedas en Internet adaptó su página de resultados identificando a los sitios compatibles con dispositivos móviles con la frase Mobile-friendly: Días atrás Google puso fin al misterio, asegurando que a partir del 21 de abril próximo pondrá en marcha un nuevo algoritmo de búsqueda que planea “penalizar” a los sitios que no sean compatibles con dispositivos móviles. Mediante un artículo publicado en el blog oficial de webmasters, amplían los detalles de esta decisión indicando que el nuevo algoritmo tomará como señal de ranking si el sitio tiene una versión compatible con dispositivos móviles o no.  En caso que si, el sitio tendrá mejor posicionamiento en la página de resultados de búsqueda. Para los administradores de web, sigue vigente la sección Usabilidad móvil que permite identificar los errores detectados por Google en los intentos de rastreo de su motor de búsqueda y la nueva herramienta de verificación de compatibilidad con dispositivos móviles que, en caso de detectar que el sitio no es compatible con estos dispositivos, ofrecerá algunas sugerencias para mejorar su visualización: En el pasado, Google ya había modificado su algoritmo priorizando en los resultados de búsqueda a aquellos sitios que operen bajo protocolo de transferencia seguro (HTTPS). ¡Hasta la …

Read moreGoogle comenzará a penalizar a sitios no compatibles con dispositivos móviles

Puntos clave de la ley “Argentina Digital”

Photo by Markus Spiske on Unsplash

Durante la mañana del día de ayer,  el jefe de Gabinete (Jorge Capitanich), el ministro de Planificación (Julio de Vido), el ministro de Economía (Axel Kicillof) y el Secretario de Comunicaciones (Norberto Berner), anunciaron el envío al Congreso del proyecto de ley Argentina Digital. Este proyecto busca regularizar la normativa vigente sobre los servicios de telecomunicaciones en el ámbito de la República Argentina, que actualmente se rige por la Ley de Telecomunicaciones N° 19.798 que data del año 1972. Si solo contempláramos los últimos cuatro o cinco años, deberíamos decir que esta legislación es totalmente obsoleta. Los puntos clave Declara de interés público el desarrollo y la regulación de las tecnologías de la información, las comunicaciones y sus recursos asociados, garantizando la completa neutralidad de sus redes. Garantiza el acceso de todos los habitantes a las telecomunicaciones, independientemente de la ubicación geográfica en la que se encuentren dentro de la República Argentina. Considera al correo electrónico como un derecho inviolable, al igual que ya lo es la correspondencia postal, y plantea que su interceptación solo podrá ser posible mediante requerimiento oficial de un juzgado. Declara como servicios de Tecnologías de la Información y las Comunicaciones (TIC) a aquellos de transmisión de información como voz, datos, texto, video e imágenes. Incorpora …

Read morePuntos clave de la ley “Argentina Digital”

Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

It’s time to replace SHA-1 certificates

Photo by Markus Spiske on Unsplash
It has been 20 years since SHA-1, the world’s most used encryption method, was released.

SHA-1 is an encryption method developed by the National Security Agency of the United States and is considered a federal information processing standard for the Government of that country. The method of output of SHA-1 produces a 160 bits (20 bytes) secure hash value, equivalent to an hexadecimal number of 40 digits long.

In 2005 were published two investigations in which big vulnerabilities in this mechanism were demonstrated. It happens that the hashes have a natural enemy called “collisions”. Collisions are the possibility of encountering an identifier that is notunique, i.e. that a same SHA-1 represent two different incoming data flows through brute force attacks.

By definition, we could say that there is 1 chance in 1208925819614629174706176 (280) of generating collisions in SHA-1. However, at the beginning of 2005, a group of Chinese researchers reduced the number of attempts to 269. Finally, researches of the Macquarie University of Australia were able to reduce it to 252 (about 2000 times faster than expected).

As a result, the CA/Browser Forum recommended in 2011 start to leave SHA-1 as soon as possible. In fact, the Government of the United States stopped using this mechanism in 2010.

About SHA-2

Read moreIt’s time to replace SHA-1 certificates

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Photo by Markus Spiske on Unsplash

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Read moreLlegó la hora de reemplazar los certificados SSL con cifrado SHA-1

El impuesto a Netflix o cómo una mala interpretación puede causar estragos

Photo by Markus Spiske on Unsplash

Hoy, como todos los días, me desperté, puse el canal de las noticias en la TV, respondí algunos mails urgentes y seguí adelante mi rutina con Twitter. Entre tweet y tweet encontré uno de la queridísima @roxe__ en el que hacía retweet al periodista Werner Pertot, quien horas atrás compartía un artículo del portal de noticias Tiempo Argentino. ¿Macri le va a cobrar un impuesto a los que tengan Netflix? ¿Es joda, no? http://t.co/2haMRvVzGZ Buen día! — Werner Pertot (@WernerPertot) September 3, 2014 El título era arrasador: “Impuesto porteño a los que consuman películas por la Web“. Y hacía referencia a la resolución número 593 de la AGIP (Agencia Gubernamental de Ingresos Públicos de la Ciudad de Buenos Aires), publicada el día de ayer en el boletín oficial número 4471, en la que se establece una retención del 3% sobre los ingresos brutos generados por la contratación de servicios de suscripción online para acceder a películas, TV y otros tipos de entretenimiento audiovisual (música, juegos, videos, o similares) transmitidos por Internet o televisión por Cable. [gview file=”https://blog.pablofain.com/wp-content/uploads/2014/09/el-impuesto-a-netflix-o-como-una-mala-interpretacion-puede-causar-estragos.pdf”] Sin embargo, Tiempo Argentino malinterpretó la resolución generando bronca en los usuarios de estos servicios. En su artículo afirma “No queda claro por qué el …

Read moreEl impuesto a Netflix o cómo una mala interpretación puede causar estragos

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

¿Qué es la neutralidad de red y por qué debe preocuparnos?

Photo by Markus Spiske on Unsplash

Internet es una gran red de redes. Se la conoce de esta forma ya que funciona gracias a miles y miles de redes de distinto tamaño interconectadas. El periódico que leemos en la mañana, las fotos que subimos a Facebook, los mensajes que publicamos en Twitter y toda la actividad que realizamos en Internet es posible gracias a estas interconexiones.

Del mismo modo en que nosotros elegimos a un ISP (proveedor de servicios de Internet) para que nos conecte a la red, éstos deben elegir a otros de nivel superior y éstos, a su vez, a los del siguiente nivel (el nivel más alto es conocido como Tier-1).

La lista de ISPs Tier-1 es bastante pequeña. Son ellos quienes, de alguna manera, sostienen a Internet:

AT&T, CenturyLink, Deutsche Telekom (ICSS), XO Communications, GTT (ex Tinet), Verizon, Sprint, TeliaSonera, NTT Communications (ex Verio), Level 3, Tata, Zayo, Cogent y Seabone (Telecom Italia Sparkle).

Estas compañías, mediante acuerdos conocidos como peering, intercambian tráfico entre ellas y con ISPs Tier-2, quienes operan normalmente a nivel regional.

Existen acuerdos de peering del tipo libre (en los que dos o más proveedores “dejan pasar” el tráfico que se intercambia entre sus redes) o pagos (en los que un proveedor compra ancho de banda a otro del mismo nivel o de nivel superior).

Sin estos acuerdos, un ISP local (con presencia en un determinado país) solo podría ofrecer a sus clientes acceso a contenidos alojados exclusivamente en su red. En cambio, el ISP celebra acuerdos de peering con otras compañías de su país y/o regionales, garantizando que sus clientes puedan llegar a cualquier destino en la red.

Existen también puntos de interconexión, como el NAP CABASE en Buenos Aires, que permiten a los ISPs conectarse a un único punto que los llevará hacia otros ISPs, grandes compañías y organismos estatales. Esta interconexión tiene como objetivo reducir el tráfico generado en las redes intermedias (aquellas por las que debe pasar el tráfico para llegar a destino) y mejorar los tiempos de transmisión del contenido.

Por ejemplo, supongamos que somos clientes del proveedor A. El proveedor B aloja en su red el diario que leemos junto al desayuno. Sin embargo, estos dos proveedores no tienen acuerdo de peering. En su defecto, el proveedor A le paga al proveedor C para que le permita llegar hasta el B.

Para evitar el uso de redes intermedias, se diseñaron los puntos de interconexión. Éstos permiten al proveedor A conectarse al equipamiento que lo llevará directamente al proveedor B y a muchos otros, sin necesidad de firmar un acuerdo con cada uno de ellos. De esta manera, el tráfico del proveedor A será enrutado directamente hacia el proveedor B sin pasar por el C.

En el siguiente cuadro observamos un ejemplo muy similar al anterior. El proveedor local A (ISP-A) debería “transportar” el tráfico de sus clientes a través de un proveedor internacional (nube “Internet”) para llegar al proveedor local B (ISP-B). En su lugar, proveedores A y B deciden interconectar sus redes en un NAP o punto de interconexión para beneficiarse y a su vez beneficiar a sus clientes.

que-es-la-neutralidad-de-red-y-por-que-debe-preocuparnos_001

Lo que ocurre desde hace algunos años, es que los grandes ISPs se están quedando sin ancho de banda.

Read more¿Qué es la neutralidad de red y por qué debe preocuparnos?

Internet Explorer 6 sigue teniendo cerca del 4% del mercado

Photo by Markus Spiske on Unsplash

Internet Explorer 6, navegador que fuera oficialmente lanzado el 27 de Agosto de 2001, sigue estando presente en el mercado de los navegadores. Según estadísticas brindadas por Microsoft, China lidera la lista de países que aun utilizan este navegador (12,5%), seguida por Rusia (1,6%) e India (1%). La versión 6 de Internet Explorer introdujo mejoras respecto al tratamiento de DHTML (Dynamic HTML, por sus siglas en inglés), integración con Windows Messenger, barra multimedia, y algunas mejoras de seguridad respecto a sus antecesores. Sin embargo, hoy ya es completamente obsoleto y ha dejado de recibir actualizaciones de seguridad de su fabricante, lo que representa un gran riesgo para sus usuarios. La última versión del navegador está disponible en su página oficial.