Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la…

Contraseñas de usuarios de Bitly comprometidas (y van…)

Hace algunos días el equipo de seguridad de Bitly, popular servicio de acortamiento de direcciones conocido por sus dominios bit.ly o j.mp, fue alertado de un posible acceso no autorizado a sus bases de datos.

Al respecto, Rob Platzer, CTO de la compañía con sede en New York, informó mediante un comunicado de prensa publicado en su blog que el entorno productivo de Bitly no se encuentra comprometido.

Nuestro equipo de Seguridad logró determinar con un alto grado de confianza que no existieron conexiones externas hacia nuestra base de datos de usuarios de producción, asi como tampoco a nuestras redes o servidores. Sin embargo, observaron una cantidad inusual de tráfico originado desde nuestro sistema de almacenamiento externo de backup. En este punto, consideramos que el mejor camino era considerar nuestra base de usuarios comprometida y ejecutar un inmediato plan de respuesta que incluyó algunas tareas para proteger las cuentas de Facebook y Twitter conectadas a nuestros usuarios.

Las acciones ejecutadas por el equipo de Seguridad de Bitly fueron las siguientes:

Vulnerabilidad Heartbleed. ¿De qué se trata?

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

Recomendaciones para usuarios

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.

Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.

Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.

Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.

Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:

Service Pack 2 para Windows Vista y Windows Server 2008

Lectores,

Desde el día lunes de esta semana, se encuentra disponible para descarga el Service Pack 2 para Windows Vista y Windows Server 2008.

De momento, esta descarga se encuentra en modo privado, por lo que sólo podrán realizarla los suscriptores de licenciamiento por volumen, es decir, MSDN y Technet Subscriptors.

De acuerdo a información oficial proporcionada por la compañía con sede en Redmond, el Service Pack 2 para Windows Vista provee mayor estabilidad, y un entorno altamente confiable y poderoso, mientras que para Windows Server 2008 se esperan mejoras de productividad y desarrollo de negocio.

Al respecto, Microsoft ha informado que el Service Pack 2 proporciona un solo instalador para Windows Vista y Windows Server 2008, e incluye la capacidad para detectar un controlador incompatbile y bloquear la instalación del Service Pack o advertir a los usuarios de una posible pérdida de funcionalidad.

Qué cambios traerá este SP?

Mis primeras experiencias con Windows 7

Lectores,

En este post quiero dejarles un resumen de mis primeras experiencias con Windows 7. Trabajando sobre mi notebook HP nx6120, con 2 GB de RAM, he particionado mi disco con unos sencillos 20 GB dedicados a este nuevo SO.

En principio tuve algunos traspiés por un problemita en el BIOS de mi laptop, que me impedían indicarle el orden de booteo (por seguridad tengo definido que inicie desde el disco rígido), pero fue solventado en pocos minutos y pude por fin continuar.

La instalación comenzó con Windows 7, Build 7000 (existe una build superior, la 7025, pero creo que aguardaré a la próxima), en su versión Ultimate. Idioma Inglés, configuración regional Spanish Argentina (Latin American)… Ok, ok… me estoy yendo demasiado, sigamos con lo que nos interesa… No me ha llevado más de 25 minutos la instalación completa del sistema operativo. Aquí viene el primer reinicio, donde hago un stop. Para muchos será algo sin demasiada importancia, pero para quienes le damos un alto grado de interés a la estética del producto, que al fin y al cabo es en lo que se fijará el usuario hogareño, podremos disfrutar durante unos segundos, mientras inicia el SO, del logo animado de Windows!!!

Inicia Windows, primer apariencia…

Nokia Tube con pantalla táctil

Ya hay imágenes de los primeros Nokia con pantalla táctil, los Nokia Tube, con un interfaz hace tiempo anunciada y que no son sino la respuesta al salto de calidad en interfaz y experiencia de usuario que ha supuesto iPhone.

De momento, Nokia Tube es un prototipo y poco se sabe de él, aparte de que soportará Java (Info World). Más allá de que todo tenga que ser táctil (lo del teclado me resulta bastante improductivo), lo que más me impresiona de estos interfaces es la posibilidad de armar dispositivos con pantallas que empiezan a ser decentes para mostrar y gestionar fotografías, ver pequeños clips y navegar por la web.