Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el mecanismo de enlace de 4 vias (four-way handshake), que utilizan los routers Wi-Fi y los dispositivos cliente a la hora de establecer una conexión entre ellos. El protocolo WPA2 ejecuta el mecanismo de enlace de 4 vias cada vez que un cliente intenta “unirse” a una red Wi-Fi protegida, y lo utiliza para confirmar que tanto el cliente como el router/AP poseen la contraseña adecuada (pre-shared key o clave pre-compartida). Como resultado de la ejecución del mecanismo de enlace de 4 vias, se genera una clave de cifrado nueva que será utilizada para encriptar el tráfico intercambiado entre el cliente …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

Contraseñas de usuarios de Bitly comprometidas (y van…)

Photo by Markus Spiske on Unsplash

Hace algunos días el equipo de seguridad de Bitly, popular servicio de acortamiento de direcciones conocido por sus dominios bit.ly o j.mp, fue alertado de un posible acceso no autorizado a sus bases de datos.

Al respecto, Rob Platzer, CTO de la compañía con sede en New York, informó mediante un comunicado de prensa publicado en su blog que el entorno productivo de Bitly no se encuentra comprometido.

Nuestro equipo de Seguridad logró determinar con un alto grado de confianza que no existieron conexiones externas hacia nuestra base de datos de usuarios de producción, asi como tampoco a nuestras redes o servidores. Sin embargo, observaron una cantidad inusual de tráfico originado desde nuestro sistema de almacenamiento externo de backup. En este punto, consideramos que el mejor camino era considerar nuestra base de usuarios comprometida y ejecutar un inmediato plan de respuesta que incluyó algunas tareas para proteger las cuentas de Facebook y Twitter conectadas a nuestros usuarios.

Las acciones ejecutadas por el equipo de Seguridad de Bitly fueron las siguientes:

Read moreContraseñas de usuarios de Bitly comprometidas (y van…)

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Photo by Markus Spiske on Unsplash

Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.

Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.

Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.

Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.

Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:

Read moreRedes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Por qué los departamentos de IT no necesitan ser repensados

Photo by Markus Spiske on Unsplash

Hace algunos días leí un artículo escrito por Marcus Wohlsen en el sitio de tecnología Wired, en el que hacía referencia a la necesidad de replantear el funcionamiento de los departamentos de IT en las organizaciones.

Basado en opiniones de los fundadores de cuatro tech start-ups (emprendimientos tecnológicos relativamente nuevos), el autor da una visión completamente imparcial sobre el accionar de los departamentos de IT en las organizaciones de hoy. Si bien el paradigma ha cambiado y es cierto que todos los empleados poseen al menos un dispositivo móvil que llevan a cuestas a cualquier lugar (incluída la oficina), los que no han cambiado – o si, pero para peor – son los riesgos asociados a las prácticas, en ocasiones negligentes, de nuestros usuarios.

Con más de ocho años de experiencia en el mercado de los sistemas de información, y estando actualmente a cargo de un departamento de IT, quisiera dar otra mirada a esta temática. Una opinión que dará respuesta al enigma de por qué los departamentos de IT suelen rechazar los pedidos de los usuarios.

Nuestra misión

Read morePor qué los departamentos de IT no necesitan ser repensados

Service Pack 2 para Windows Vista y Windows Server 2008

Photo by Markus Spiske on Unsplash

Lectores,

Desde el día lunes de esta semana, se encuentra disponible para descarga el Service Pack 2 para Windows Vista y Windows Server 2008.

De momento, esta descarga se encuentra en modo privado, por lo que sólo podrán realizarla los suscriptores de licenciamiento por volumen, es decir, MSDN y Technet Subscriptors.

De acuerdo a información oficial proporcionada por la compañía con sede en Redmond, el Service Pack 2 para Windows Vista provee mayor estabilidad, y un entorno altamente confiable y poderoso, mientras que para Windows Server 2008 se esperan mejoras de productividad y desarrollo de negocio.

Al respecto, Microsoft ha informado que el Service Pack 2 proporciona un solo instalador para Windows Vista y Windows Server 2008, e incluye la capacidad para detectar un controlador incompatbile y bloquear la instalación del Service Pack o advertir a los usuarios de una posible pérdida de funcionalidad.

Qué cambios traerá este SP?

Read moreService Pack 2 para Windows Vista y Windows Server 2008

Mis primeras experiencias con Windows 7

Photo by Markus Spiske on Unsplash

Lectores,

En este post quiero dejarles un resumen de mis primeras experiencias con Windows 7. Trabajando sobre mi notebook HP nx6120, con 2 GB de RAM, he particionado mi disco con unos sencillos 20 GB dedicados a este nuevo SO.

En principio tuve algunos traspiés por un problemita en el BIOS de mi laptop, que me impedían indicarle el orden de booteo (por seguridad tengo definido que inicie desde el disco rígido), pero fue solventado en pocos minutos y pude por fin continuar.

La instalación comenzó con Windows 7, Build 7000 (existe una build superior, la 7025, pero creo que aguardaré a la próxima), en su versión Ultimate. Idioma Inglés, configuración regional Spanish Argentina (Latin American)… Ok, ok… me estoy yendo demasiado, sigamos con lo que nos interesa… No me ha llevado más de 25 minutos la instalación completa del sistema operativo. Aquí viene el primer reinicio, donde hago un stop. Para muchos será algo sin demasiada importancia, pero para quienes le damos un alto grado de interés a la estética del producto, que al fin y al cabo es en lo que se fijará el usuario hogareño, podremos disfrutar durante unos segundos, mientras inicia el SO, del logo animado de Windows!!!

Inicia Windows, primer apariencia…

Read moreMis primeras experiencias con Windows 7

10 consejos para optimizar tu conexión WiFi

Photo by Markus Spiske on Unsplash

Las redes wireless de acceso a Internet se han convertido en una realidad cotidiana en la mayoría de hogares y oficinas. No obstante, el usuario descubre en muchas ocasiones que el servicio contratado no es todo lo veloz o efectivo que debería.

Esto se debe a múltiples factores, que sin embargo pueden evitarse con unas sencillas claves de instalación y consejos de ubicación pensados para optimizar la calidad de la señal o la recepción de los dispositivos inalámbricos. Edimax Technology, fabricante líder de soluciones de red y conectividad, propone diez pasos que pueden aplicarse a todos sus routers y soluciones de red con el fin de optimizar nuestra conexión inalámbrica:

1. Centro de gravedad. La señal wireless de un router es de 360 grados. Se expande en todas direcciones, reduciéndose a medida que aumenta la distancia o se encuentran obstáculos. Así, lo importante es encontrar el centro de gravedad de la sala para situar el punto de acceso WiFi. Es el mismo donde podríamos una radio si quisiéramos escucharla desde todos los puntos.

2. Situar el router en un sitio abierto, lejos del suelo, de ventanas y muros gruesos; nunca dentro de un mueble o rodeado de artefactos metálicos, ya que estos afectan considerablemente a la señal.

Read more10 consejos para optimizar tu conexión WiFi

Nokia Tube con pantalla táctil

Photo by Markus Spiske on Unsplash

Ya hay imágenes de los primeros Nokia con pantalla táctil, los Nokia Tube, con un interfaz hace tiempo anunciada y que no son sino la respuesta al salto de calidad en interfaz y experiencia de usuario que ha supuesto iPhone.

De momento, Nokia Tube es un prototipo y poco se sabe de él, aparte de que soportará Java (Info World). Más allá de que todo tenga que ser táctil (lo del teclado me resulta bastante improductivo), lo que más me impresiona de estos interfaces es la posibilidad de armar dispositivos con pantallas que empiezan a ser decentes para mostrar y gestionar fotografías, ver pequeños clips y navegar por la web.

Read moreNokia Tube con pantalla táctil