Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Photo by Markus Spiske on Unsplash

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Read moreLlegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

Facebook obligará a sus usuarios a utilizar la aplicación Messenger

Photo by Markus Spiske on Unsplash

¿Querés chatear con tus amigos a través de Facebook desde un dispositivo móvil? Entonces vas a tener que descargar la aplicación Messenger. Sucede que, desde esta semana, la red social más grande del mundo ha decidido que sea Messenger, su aplicación de mensajería instantánea para teléfonos inteligentes, la encargada de intercambiar los mensajes entre sus usuarios. Los primeros en recibir esta noticia fueron los usuarios de Europa, quienes recibieron el ofrecimiento de descarga de la aplicación al intentar responder a un mensaje recibido. Una vez que la limitación sea distribuida a todos los usuarios, podremos seguir visualizando los mensajes recibidos en …

Read moreFacebook obligará a sus usuarios a utilizar la aplicación Messenger

La guerra por la geolocalización

Photo by Markus Spiske on Unsplash

la-guerra-por-la-geolocalizacion_001Todavía recuerdo la conversación telefónica que tuvimos con @arieltorres, editor del suplemento Tecnología de Diario La Nación, allá por el año 2010, en la que debatimos acerca de la popularidad (y los riesgos) de Foursquare en Argentina. La nota completa está aquí.

En ese entonces eran pocos los servicios con características como las de Foursquare, quien permite compartir con otras personas nuestra ubicación geográfica. Mediante check-ins, podemos anunciar nuestra llegada a un bar, una cafetería, cine, teatro, una plazas y cualquier otro lugar en el que nos encontremos. Solos o con amigos.

A continuación encontrarán una guía para comprender las principales diferencias de las plataformas de geolocalización más populares.

Foursquare

Foursquare permite a los dueños de negocios crear o reclamar su lugar en la plataforma, publicar descuentos y promociones, y ofrecerlos a los usuarios de acuerdo al tipo de check-in (la primera vez que visita el lugar, la décima vez que lo hace, etc.). Es una herramienta de marketing excelente para cualquier tipo de negocio. En Argentina, Bakano Pizza fue uno de los pioneros en ofrecer beneficios a sus clientes con cada check-in.

La plataforma fue una de los pioneras en introducir el sistema “colaborativo”, en el que designa a los usuarios más expertos como Super Usuarios, otorgándoles algunos privilegios adicionales, entre ellos, la posibilidad de confirmar las ediciones de lugares sugeridas por el resto de los usuarios, unificar lugares duplicados y ejecutar otras acciones para “depurar” la base de Foursquare.

Tip: En 2010 fui designado como Super Usuario Nivel 3 de Foursquare, lo que me permite realizar cualquier tipo de acción sobre los lugares de la plataforma. ¿Sugerencias o reclamos? Dejame tu comentario con el link del lugar y un mail!

Facebook Places

En Agosto del 2010, con la llegada de Facebook Places, muchos temimos el final de Foursquare, quien no había tenido tiempo siquiera de llegar a la adolescencia.

Read moreLa guerra por la geolocalización

Por qué los departamentos de IT no necesitan ser repensados

Photo by Markus Spiske on Unsplash

Hace algunos días leí un artículo escrito por Marcus Wohlsen en el sitio de tecnología Wired, en el que hacía referencia a la necesidad de replantear el funcionamiento de los departamentos de IT en las organizaciones.

Basado en opiniones de los fundadores de cuatro tech start-ups (emprendimientos tecnológicos relativamente nuevos), el autor da una visión completamente imparcial sobre el accionar de los departamentos de IT en las organizaciones de hoy. Si bien el paradigma ha cambiado y es cierto que todos los empleados poseen al menos un dispositivo móvil que llevan a cuestas a cualquier lugar (incluída la oficina), los que no han cambiado – o si, pero para peor – son los riesgos asociados a las prácticas, en ocasiones negligentes, de nuestros usuarios.

Con más de ocho años de experiencia en el mercado de los sistemas de información, y estando actualmente a cargo de un departamento de IT, quisiera dar otra mirada a esta temática. Una opinión que dará respuesta al enigma de por qué los departamentos de IT suelen rechazar los pedidos de los usuarios.

Nuestra misión

Read morePor qué los departamentos de IT no necesitan ser repensados

¿Qué está ocurriendo con la nube?

Photo by Markus Spiske on Unsplash

Algunos nuevitos, otros ya experimentados… Algunos apostadores, otros pesimistas… Lo cierto es que hoy muchos somos los usuarios (me incluyo, por supuesto) que apostamos a los servicios en la nube. Correo electrónico, almacenamiento online, mensajería instantánea, bases de datos, servidores virtuales, son algunos de los servicios que ofrecen las empresas de tecnología a través de su porfolio de cloud computing, Pero pese a ser la estrella del momento, la nube ha estado sufriendo en las últimas semanas alti-bajos que ponen en el tapete su seguridad y disponibilidad. A principios de mes el servicio de Infraestructura en la nube de Microsoft, Azure, sufrió una …

Read more¿Qué está ocurriendo con la nube?

Creando una Aplicación de Servicio de Búsqueda en SharePoint 2010

Photo by Markus Spiske on Unsplash

En nuestras dos últimas entregas hemos creado una Aplicación web y una Colección de sitios en SharePoint 2010. En esta ocasión crearemos una Aplicación de Servicio de Búsqueda, con el fin de encontrar contenido alojado en nuestro sitio con gran facilidad. Para comenzar, debemos estar en la Administración central. Allí daremos clic al enlace Administrar aplicaciones de servicio, dentro del apartado Administración de aplicaciones. Una aplicación de servicio nos permitirá brindar a una o más aplicaciones web características determinadas, como la posibilidad de buscar contenido dentro de los sitios, visualizar documentos de Word o planillas de Excel desde la web, entre …

Read moreCreando una Aplicación de Servicio de Búsqueda en SharePoint 2010

Instalando SharePoint Server 2010 – Parte I

Photo by Markus Spiske on Unsplash

Queridos lectores y colegas,

En esta ocasión veremos, en tres entregas, una introducción a SharePoint Server 2010. Los requisitos de instalación, la instalación, configuración, y todo lo que un Profesional de IT debe conocer antes de decidir dar el salto a esta tecnología. Recomendaciones, buenas prácticas, guías de referencia, y un sinfín de recursos.

Requisitos de instalación:

En relación al software previo requerido para la instalación de SharePoint Server 2010, es importante saber que debemos contar con al menos un servidor (no importa si hablamos de un equipo físico o virtual) con Windows Server 2008 Standard, Enterprise, DataCenter o Web edition, de 64 bits, con Service Pack 1 instalado o Windows Server 2008 R2 Standard, Enterprise, DataCenter o Web edition, de 64 bits.

También debemos tener instalado un servidor de bases de datos con al menos SQL Server 2005, de 64 bits, con Service Pack 3, o SQL Server 2008, de 64 bits, con Service Pack 1 y Cumulative Pack 2, o SQL Server 2008 R2, de 64 bits.

En lo que respecta a hardware, debemos tener varios puntos en consideración:

– SharePoint Server 2010 solo funciona bajo arquitectura de 64 bits.

– Procesador de 64 bits de cuatro núcleos para instalaciones pequeñas.

– Procesador de 64 bits de ocho núcleos para instalaciones medianas a grandes.

– Al menos 4 GB de memoria RAM para escenarios de evaluación o desarrollo, en cada servidor.

– Al menos 8 GB de memoria RAM para escenarios de producción, en cada servidor.

– Al menos 80 GB de espacio en disco previos a la instalación.

En una próxima entrega analizaremos en detalle cómo realizar un dimensionamiento exitoso de SharePoint Server 2010. Mientras tanto, pueden seguir la guia oficial aquí: http://technet.microsoft.com/en-us/library/cc262485.aspx

 

El proceso de instalación

Read moreInstalando SharePoint Server 2010 – Parte I

Algunas cuestiones sobre las redes móviles en Argentina

Photo by Markus Spiske on Unsplash

Hace algunas semanas les comentaba una experiencia vivida con mi celular, junto a ciertos detalles sobre las redes de telefonía móvil en Argentina.

Nuestro amigo Edgardo se tomó unos momentos para contarnos algunas cuestiones al respecto:

“GSM, la actual norma que rige las telecomunicaciones celulares de la mayoría del planeta nace como un standard de comunicaciones del ETSI, en Europa, para reemplazar a las dispares redes de primera generación que eran prácticamente disimiles en todos los paises del viejo continente. Es así que luego de mucho trabajo se desarrollo un sistema unificado. No voy a entrar en detalles. Las redes GSM son de 2nda generación, habiendo evolucionado desde TDMA (a la par de CDMA, su contraparte americana).

Las redes GSM en verdad son, por así decirlo, un conjunto de redes, o capas, solapadas que transportan los distintos tipos de comunicaciones. La red GSM original (2G) es una red de voz, señalización y mensajeria corta (mantengan esto en mente a la hora de comprender la facturación de las operadoras). Esta red por si misma no trafica datos, para eso se requiere de otra red (de datos, valga la redundancia) solapada (usa la red GSM como transporte, modelo OSI capa 1) y es lo que comercialmente algunos denominaron 2.5G que realmente es GPRS.

GPRS es la capa de transición de datos básica de la norma GSM. si bien soporta mayores velocidades, tiene aproximadamente la velocidad de un modem de 56k. Esto permitio por ejemplo los MMS, WAP y otros servicios más como la descarga de contenidos. Pero claro, se hizo patente al poco tiempo que GPRS no alcanzaba. Y es aqui donde entra una nueva extensión de GSM, a la que muchos mal llamaron 2.75G, EDGE.

 

Read moreAlgunas cuestiones sobre las redes móviles en Argentina