Todo lo que necesitas saber acerca de POODLE

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Google subirá el ranking de los sitios que usen HTTPS

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

La guerra por la geolocalización

Todavía recuerdo la conversación telefónica que tuvimos con @arieltorres, editor del suplemento Tecnología de Diario La Nación, allá por el año 2010, en la que debatimos acerca de la popularidad (y los riesgos) de Foursquare en Argentina. La nota completa está aquí.

En ese entonces eran pocos los servicios con características como las de Foursquare, quien permite compartir con otras personas nuestra ubicación geográfica. Mediante check-ins, podemos anunciar nuestra llegada a un bar, una cafetería, cine, teatro, una plazas y cualquier otro lugar en el que nos encontremos. Solos o con amigos.

A continuación encontrarán una guía para comprender las principales diferencias de las plataformas de geolocalización más populares.

Foursquare

Foursquare permite a los dueños de negocios crear o reclamar su lugar en la plataforma, publicar descuentos y promociones, y ofrecerlos a los usuarios de acuerdo al tipo de check-in (la primera vez que visita el lugar, la décima vez que lo hace, etc.). Es una herramienta de marketing excelente para cualquier tipo de negocio. En Argentina, Bakano Pizza fue uno de los pioneros en ofrecer beneficios a sus clientes con cada check-in.

La plataforma fue una de los pioneras en introducir el sistema “colaborativo”, en el que designa a los usuarios más expertos como Super Usuarios, otorgándoles algunos privilegios adicionales, entre ellos, la posibilidad de confirmar las ediciones de lugares sugeridas por el resto de los usuarios, unificar lugares duplicados y ejecutar otras acciones para “depurar” la base de Foursquare.

Tip: En 2010 fui designado como Super Usuario Nivel 3 de Foursquare, lo que me permite realizar cualquier tipo de acción sobre los lugares de la plataforma. ¿Sugerencias o reclamos? Dejame tu comentario con el link del lugar y un mail!

Facebook Places

En Agosto del 2010, con la llegada de Facebook Places, muchos temimos el final de Foursquare, quien no había tenido tiempo siquiera de llegar a la adolescencia.

¿Qué está ocurriendo con la nube?

Algunos nuevitos, otros ya experimentados… Algunos apostadores, otros pesimistas… Lo cierto es que hoy muchos somos los usuarios (me incluyo, por supuesto) que apostamos a los servicios en la nube. Correo electrónico, almacenamiento online, mensajería instantánea, bases de datos, servidores…

Creando una Aplicación de Servicio de Búsqueda en SharePoint 2010

En nuestras dos últimas entregas hemos creado una Aplicación web y una Colección de sitios en SharePoint 2010. En esta ocasión crearemos una Aplicación de Servicio de Búsqueda, con el fin de encontrar contenido alojado en nuestro sitio con gran…

Instalando SharePoint Server 2010 – Parte I

Queridos lectores y colegas,

En esta ocasión veremos, en tres entregas, una introducción a SharePoint Server 2010. Los requisitos de instalación, la instalación, configuración, y todo lo que un Profesional de IT debe conocer antes de decidir dar el salto a esta tecnología. Recomendaciones, buenas prácticas, guías de referencia, y un sinfín de recursos.

Requisitos de instalación:

En relación al software previo requerido para la instalación de SharePoint Server 2010, es importante saber que debemos contar con al menos un servidor (no importa si hablamos de un equipo físico o virtual) con Windows Server 2008 Standard, Enterprise, DataCenter o Web edition, de 64 bits, con Service Pack 1 instalado o Windows Server 2008 R2 Standard, Enterprise, DataCenter o Web edition, de 64 bits.

También debemos tener instalado un servidor de bases de datos con al menos SQL Server 2005, de 64 bits, con Service Pack 3, o SQL Server 2008, de 64 bits, con Service Pack 1 y Cumulative Pack 2, o SQL Server 2008 R2, de 64 bits.

En lo que respecta a hardware, debemos tener varios puntos en consideración:

– SharePoint Server 2010 solo funciona bajo arquitectura de 64 bits.

– Procesador de 64 bits de cuatro núcleos para instalaciones pequeñas.

– Procesador de 64 bits de ocho núcleos para instalaciones medianas a grandes.

– Al menos 4 GB de memoria RAM para escenarios de evaluación o desarrollo, en cada servidor.

– Al menos 8 GB de memoria RAM para escenarios de producción, en cada servidor.

– Al menos 80 GB de espacio en disco previos a la instalación.

En una próxima entrega analizaremos en detalle cómo realizar un dimensionamiento exitoso de SharePoint Server 2010. Mientras tanto, pueden seguir la guia oficial aquí: http://technet.microsoft.com/en-us/library/cc262485.aspx

 

El proceso de instalación

Algunas cuestiones sobre las redes móviles en Argentina

Hace algunas semanas les comentaba una experiencia vivida con mi celular, junto a ciertos detalles sobre las redes de telefonía móvil en Argentina.

Nuestro amigo Edgardo se tomó unos momentos para contarnos algunas cuestiones al respecto:

“GSM, la actual norma que rige las telecomunicaciones celulares de la mayoría del planeta nace como un standard de comunicaciones del ETSI, en Europa, para reemplazar a las dispares redes de primera generación que eran prácticamente disimiles en todos los paises del viejo continente. Es así que luego de mucho trabajo se desarrollo un sistema unificado. No voy a entrar en detalles. Las redes GSM son de 2nda generación, habiendo evolucionado desde TDMA (a la par de CDMA, su contraparte americana).

Las redes GSM en verdad son, por así decirlo, un conjunto de redes, o capas, solapadas que transportan los distintos tipos de comunicaciones. La red GSM original (2G) es una red de voz, señalización y mensajeria corta (mantengan esto en mente a la hora de comprender la facturación de las operadoras). Esta red por si misma no trafica datos, para eso se requiere de otra red (de datos, valga la redundancia) solapada (usa la red GSM como transporte, modelo OSI capa 1) y es lo que comercialmente algunos denominaron 2.5G que realmente es GPRS.

GPRS es la capa de transición de datos básica de la norma GSM. si bien soporta mayores velocidades, tiene aproximadamente la velocidad de un modem de 56k. Esto permitio por ejemplo los MMS, WAP y otros servicios más como la descarga de contenidos. Pero claro, se hizo patente al poco tiempo que GPRS no alcanzaba. Y es aqui donde entra una nueva extensión de GSM, a la que muchos mal llamaron 2.75G, EDGE.

 

Y se fue otro MDQ Blog Day!

Así es, mis queridos lectores. Luego de algunas semanas sin dar novedades por estos lugares, y con un Montaner de fondo (Comentarios exclusivamente a los responsables de la música funcional del hotel), les traigo un completísimo informe sobre todo lo que se vivió el día de ayer en la cuarta edición del Mar del Plata Blog Day.

Ahora sí, cafecito de por medio, comienza el relato. Hasta aquí, quienes estén leyendo, creerán que soy un frecuente seguidor del Mar del Plata Blog Day (#MDQBD de aquí en adelante), pero a decir verdad, es la primera vez que me acerco a este evento, organizado por Jose Di Bártolo (@josedibar)

Alrededor e las 9:05 AM (suelo llegar temprano) daba mis primeros pasos dentro del Complejo Cultural La Cuadrada (4sq), donde un @josedibar y compañía, ultimaban los detalles antes del comienzo de lo que se esperaba sea una larga jornada de charlas (Foto)

Pero qué es realmente el #MDQBD?

 

Mis primeros pasos en Twitter

Queridos lectores:

Este post va dedicado a todos aquellos que quieren dar sus primeros pasos en Twitter y aún no saben para donde correr y, por qué no, a quienes no se animan a incursionar en esta red social de microblogging.

Antes de continuar me gustaría ampliar la dedicatoria anterior, pero muy especialmente, a María Fernanda Luna (@mfernandal), quien ha sido madre de un hermoso niño y está intentando aprovechar sus horas de siesta para compartir con sus seguidores el crecimiento y todas las novedades en torno a T. Michelis (cuando sea más grande, revelaremos su nombre)

Para comenzar, intentaré traducir al lenguaje de los mortales la funcionalidad de Twitter. En principio, se trata de una red social, al igual que Facebook o MySpace, pero a su vez con grandes diferencias.

Avancemos con el caso de Facebook. Los últimos meses ha tenido su boom de altas de cuentas e interacción con servicios móviles. Hoy en día, de los más de 400 millones de usuarios de la red social, alrededor del 80% actualiza su estado al menos una vez al día desde un dispositivo móvil. Por otro lado, Facebook ha sido diseñado para dar soporte no solo a texto, sino a imágenes, videos, audios, y demás (Una suerte de gran panel de control mundial)

Twitter, por su parte, ha comenzado sigilosamente a entrar en el campo de las redes sociales. Si bien es una de ellas, tiene grandes diferencias con sus pares. En primer lugar, y manteniendo la línea del párrafo anterior, Twitter solo soporta texto (incluyendo enlaces), por lo que siempre estaremos ante una interfaz limpia, pero a su vez, compleja de analizar.

Sus características