Categoría: Informatica

Telegram y -no te apures a creer la promesa de privacidad-

"Telegram es la aplicación del momento", la aplicación "furor" :D como dirían en TV, pero claro, salió una nueva aplicación que te asegura una comunicación segura y ya todos le creen semejante afirmación, hasta hay "fanáticos" de la primera hora insultando a cualquiera que ponga en duda su supuesta "seguridad".

En épocas de la NSA espiándote hasta el café con leche la promesa de una aplicación de comunicación que sea realmente privada, encriptada y segura es ideal, ni hablar si ya está lista para celulares y con un click podemos instalarla. Ahora bien ¿Es Telegram más segura que Hangouts o BBM? No tan rápido...

¿Porqué tanto hype? porque así funciona internet... Claramente, Telegram usa un protocolo propio para conectar cliente-servidor-cliente, sí, depende de servidores y no utiliza TLS porque es lento, utiliza un método simplificado. Pero en vez de haber optado por claves públicas, como otros sistemas, optaron por un esquema el cual, según algunos, es extremadamente suceptible a ataques del tipo Man in the Middle, ni hablar que la "nube" siempre es un regalo para cualquier agencia que quiera intervenir en tus mensajes. Pero la gente de Telegram asegura que los mensajes no llegan sin encriptar al servidor, sino que pasan directamente al receptor.

¿Es seguro?, aquí pueden leer un excelente análisis de todos los huecos que tiene el protocolo, de hecho, participan en los comentarios los developers desmintiendo algunas cosas y aclarando otras, lo que es bueno para entenderlo y muy interesante como discusión.

Para venderse sus creadores se autodefinen como gente con conocimientos de matemática, okey, pero no de criptografía. Cuando alguien aparacer con un nuevo protocolo para algo que ya está bien definido y especificado ¿Por qué razón está duplicando esfuerzo? Nunca es eficiente y siempre tiende a requerir toda una serie de chequeos desde cero, este esfuerzo duplicado se puede realizar por una buena razón, por ejemplo que no exista lo que ellos proponen, pero justo en este caso no sólo existen protocolos seguros sino que son más seguros que el propuesto.

Por otra parte los creadores de Telegram estan lo suficientemente seguros de su propio software como para ofrecer dinero para aquel que rompa su encripción, ¿Ofrecer una recompensa te hace seguro? en realidad no, pero te permite adquirir la información de tus propios bugs y arreglarlos a tiempo. En este caso vale aclarar que ofrecen recompensa por romper la encripción pero no necesariamente ese es el ataque que realizaría un hacker, pero si podés lograrlo, USD 200.000 serían tuyos. En la web pueden encontrar un mensaje cifrado, el que lo pueda descifrar verá un e-mail al cual escribir reclamando su premio.

Ya antes les comenté aquí herramientas como CryptoCat bastante seguras pero muy poco usadas, aun así hasta esa extensión tuvo un pequeño hueco detectado hace poco. Lo bueno de Telegram es que sea de código abierto, aun así ¿por qué usar un protocolo nuevo para algo que YA existe y YA se puede hacer de forma totalmente segura? existe Jabber con OTR y Jabber es un protocolo totalmente libre y fácil de implementar, mejor, YA implementado en múltiples plataformas y en código abierto y libre.

Prometer una aplicación super segura con nombres bonitos y explicaciones "para todo el mundo" a mi siempre me plantea dudas, aun si son de código abierto, y viendo los análisis de gente que sabe sobre el tema está claro que Telegram no es más seguro que cualquier otra opción, pero es bueno que la gente empiece a considerar la protección que brinde su aplicación de mensajería preferida. BBM sigue siendo muy seguro, salvo que justo seas un terrorista y se te ocurra planear un atentado con una aplicación semejante, genera desconfianza el hecho de que sea una empresa y de código cerrado el software. Hasta Hangouts es relativamente seguro y ni hablar, hasta un mail encriptado con GPG/PGP es mil veces más seguro, el tema aquí pasa por la confianza parece.

Ahora bien, lo bueno de Internet es que impone cosas a un ritmo acelerado, hoy la moda es Telegram, no podemos asegurar que cumpla con su promesa, puede que sea seguro, puede que no, estan reinventando la rueda en algunas cosas pero a la vez ofrecen dinero a quien pueda romperlo. Si te sentís seguro utilizándolo, está todo más que bien, eso sí, nada te asegura que tu iPhone o tu Android no esten detectando lo que escribís en pantalla y enviándole eso a la NSA, la seguridad de un sistema siempre tiene un eslabón extremadamente fino y es ahí donde se rompe todo.

Seguir leyendo el post »

Redes WiFi WEP y WPS, tan inseguras que mejor no tenerlas



Durante la semana pasada me puse a testear una vulnerabilidad en los routers WiFi con WPS, pero al escanear redes me di cuenta que al menos la mitad de mis vecinos seguían usando redes WiFi con claves WEP.

WEP es algo así como "Wow Estoy Penetrable" porque es tan pero tan fácil reventar una red con WEP que me sorprende, es más, cambié mi trabajo de investigación, ya que lo de WPS es interesante pero a la vez lleva más tiempo, por recordar cómo era que se quebraban estas redes, así que a continuación les explico, de una forma educativa, cómo se hace y cómo evitarlo.

Pero no es la única forma, resulta que muchos pasan al modo más seguro WPA2, hasta ahí todo perfecto pero resulta que casi todos los routers, para facilitar la conexión de múltiples equipos, tienen un pequeño protocolo llamado WPS que utiliza un PIN para conectarse.

Es decir, lograron hacer un protocolo fuerte para que venga un imbécil y le agregue un PIN y lo tire por la borda. Descubrir este pin es más fácil que WEP todavía y se los explico a continuación...

Seguir leyendo el post »

Ustedes, la mala gente

Hoy me entero vía Mariano que para Google compartir el blog es malo ¿Cómo? al parecer en otra de sus brillantes ideas creen que dejar que otros escriban en tu blog es algo que sólo hace la mala gente.



Vamos, que tan sólo un diario, sea Clarin.com o La Nación, lo escriba un sólo periodista ¿Total? En otra irrisoria medida que seguramente sólo favorecerá a unos pocos que ya reciben toda la bendición googleana de su buscador, se nos dice que invitar a otros hace mal para el SEO.

La razón que ellos ven es simple, la enorme cantidad de posteos basura pagos para lograr relevancia. Okey, podría entenderlo pero ¿Son todos los posteos de invitados publicidad? el 100% de los posteos invitados en este blog son de lectores o amigos, ni uno solo de publicidad: esos los firmo yo. Así es ¿para qué voy a dejar que la publicidad la firme otro? ¡de esa me hago cargo yo!

Sin embargo las limitaciones neurológicas del team anti-spam de Google no parecen tener techo, en vez de identificar a los sitios de spam invalidan al 100% de los que hacen buen contenido para la web. Luego vemos que esos spamsites posicionan bárbaro ¿Dónde está el error? seguramente en hacerle tanto caso a Google.

Matt Cutts, el forrazo que toma estas decisiones, la embarró y hasta tuvo que cambiarle el título a su nota por la repercusión negativa que logró, el nabo trata de decir que esto no afectaría a blogs multi-autor como un Boing Boing, lo que yo me pregunto es ¿Y cómo podés diferenciarlos si no tenés ni idea? yo puedo invitar a alguien a escribir UN artículo a mi blog, eso no lo convierte en Spammer.

Es mucho más fácil identificar a quien recibe los enlaces, el que compró el espacio en tal caso, que penalizar al que escribe, porque ¿Cómo diferencian un post pago de uno natural? decidir que todos son malos es negativo para Internet, Internet se basa en linkear, en compartir contenido, si tienen problemas con granjas de contenido entonces modifiquen el algoritmo para posicionar mejor a los creadores de contenido en vez de a los ladrones de contenido como hacen actualmente.

A ver, es muy fácil encontrar la fuente para un spider que busca todos los días contenido nuevo, hasta tenían Google Reader como fuente genial de ESA información, como para medir las tendencias, claro, lo mataron.

En fin, no será Google quien decida quien escribe o no aquí, ese soy yo exclusivamente, así que el que quiera escribir ya sabe que puede avisarme, yo invito gente Guiño

Seguir leyendo el post »

Yahoo Tech, la normalidad y Doña Rosa



En el relanzamiento de la editorial sobre tecnología de Yahoo su editor David Pogue dividió a los medios de tecnología entre los que son para los "geargeads" y ellos que ofrecerán contenido para los "normales".

Así es, el editor se apega a un extraño concepto, la normalidad, algo que luego de 35 años de ser un absoluto anormal tengo dificultad en definir, pero bueno, tal vez nuestro marginal espacio seguramente no es el mejor lugar para juzgar algo semejante, pero venga, que es lo que me disparó este post.

Este mismo concepto de "normalidad" en el periodismo tecnológico me lleva a otro caso, muy conocido entre mis colegas, que es el de "bajar" la información para "Doña Rosa" considerando a esa tal Rosa el promedio de la gente definido no por una estadística ni un informe científico, sino por la evaluación de la propia ignorancia de un productor televisivo o editor de medio tradicional.

¿Existen esos "normales"?

Seguir leyendo el post »

Youtube contra los gamers

Hace un tiempo una tendencia empezó a crecer mucho en Youtube, videos de gente jugando. Suena tonto pero si lo pensamos bien, hay una gran inmensidad de juegos dando vueltas por ahí, la cantidad es tan grande y sus valores relativamente elevados (ni hablar si tienen una economía como la nuestra) que hacen que uno quiera ver antes de comprar.



Por esta y varias razones más los "Youtubers" que tan sólo capturaban en video sus jugadas empezaron a tener una gran cantidad de espectadores, empezaron a vivir de esto, así es, tipos con miles de suscriptores cuyo trabajo era jugar hasta el último juego a un buen nivel, crear los videos, comentarlos, subirlos, videos enormes de decenas de minutos, no cortitos.

Esto terminó ayer, así de duro como suele ser Google con sus aciertos y errores garrafales, esto entra en lo segundo, han matado su propia gallinita ponedora de huevos de oro: los creadores de contenido.

¿Qué le está pasando a Google-Youtube? ni idea, a ver analicemos un poco...

Seguir leyendo el post »

CyberMonday y la incapacidad de sostener la demanda... de servidor



Para un blogger solitario tener un servidor es ya bastante carga, tener además varias instancias en un VPS y las bases de datos separadas, ni les cuento. Pero al menos muchos que venimos del lado de sistemas sabemos lo que es que se te caiga un server por alguna sobrecarga, un DDOS o simplemente porque estás en un shared de mierda y un plugin mal programado te está volteando el servidor.

Ahora bien, lo inadmisible es que empresas grandes no atiendan este problemita cuando... ¡ya les sucedió!

Apoyo la idea del CyberMonday, vender más barato un día al año, como el Black Friday norteamericano pero vía web y cosas tech, obvio que está bueno. Puede pasar que las ofertas sean una mierda, pero puede haber grandes oportunidades, creo que el año pasado se conseguía una Nexus 7 al mismo precio que en EEUU, eso sí que era un ofertón, el resto daba pena.

Ahora bien, que apenas lanzada una campaña como esta se caigan todos los servidores... es un horror fácil de evitar.

Seguir leyendo el post »

Los Bots vienen marchando



El otro día miré una vez más las estadísticas detalladas de LinksDV.com y recordé que quería escribir una nota sobre los bots que se la pasan buscando vulnerabilidades en nuestros servidores.

Con el tiempo se establecen estándares, por ejemplo todos usan Wordpress, Joomla o parecidos para hacer sitios web con contenido, de miles de CMS disponibles apenas una fracción se lleva la mayor parte de los sitios web. Lo mismo pasa con el software para administrar un servidor como el caso de PHPMyAdmin.

Pero con la estandarización se acota la oferta y por ende al tener pocos sistemas es más fácil concentrar los ataques, esto le pasa a casi todos los servidores, son blanco fácil de los scriptkiddies o de hackers más profesionales buscando algún rédito y la gran mayoría de los sitios web no pueden resistir ataques. Es que no somos expertos en seguridad tampoco, aquí les comento los ataques más comunes que recibo por parte de bots buscando huecos donde entrar...

Seguir leyendo el post »

Google+ en Youtube, la catástrofe



Durante la semana algo molestó a miles, Google decidió que era buena idea dar un paso más en su plan por "Googlepusizar" al mundo. En una desesperada movida por hacer que alguien utilice su "red social" Google+ compulsivamente obligaron a todos los usuarios de Youtube a sólo poder comentar con una cuenta de esta red.

Todos tienen una cuenta forzada pero casi nadie utiliza Google+, si lo vemos desde el lado del público masivo, no es Facebook, no es Twitter, pero sin embargo un grupo cada vez más numeroso lo utilizamos. Si, soy uno de esos extraños bichos que aprovecha algunas ventajas de la herramienta por sobre otras redes sociales, pero mi uso fue plenamente voluntario, nadie me obligó.

Y eso es lo que obviamente está fallando aquí, el cambio compulsivo, la insistencia a alguien por algo que ya te hizo saber que no quiere y el poder de la negación de las mentes detrás de Google+, el resultado... violatorio.

Seguir leyendo el post »

Usando SSH desde una red cerrada



NERD POST ALERT

No todos los ámbitos laborales tienen proxys tan sensibles. La mayoría suele ser "Tenés todo libre", "Tenés todo libre y te bloqueo el P2P" o "Te bloqueo todo y divertite con la web de la intranet de la empresa, hecha con Front Page por el sobrino de la hermana de mi cuñado".

En cambio, otros tenemos la condenada suerte de tener un proxy bien armado que filtra muchas cosas. Entre ellas todo lo referido a SSH: puerto (22) o por filtrado de paquetes.

Esto provoca que por más que cambiemos el puerto (si tenemos la suerte de acertar alguno al azar que este abierto), el proxy lo va a rechazar porque la peticion es SSH.

Yo necesitaba conectarme a la Raspberry de casa para poder divertirme desde el trabajo en los tiempos libres y adelantar algún que otro proyecto hogareño.

La solución?
1) Rápida y menos segura: usar algún servicio SSH web based, súper inseguro que vaya a saber uno por donde pasan nuestros datos.
2) Rápida, mas segura y mas divertida: Montar mi propio servidor SSH Web Based.

A continuación la respuesta...

Seguir leyendo el post »

Esos SMS raros que te llegan de un desconocido de otra región

La semana pasada me había pasado a mí, un SMS desde un celular desconocido, un 02615586755 que jamás registré porque no tengo a ningún amigo ni familiar en Mendoza. Una simple consulta por Twitter y éramos decenas, varios enlaces y pasamos a ser cientos los que recibimos mensajes parecidos.



Me pregunté ¿Es posible? y si, obvio que lo es, hace mucho tiempo los proveedores de telefonía ofrecían la posibilidad de enviar un e-mail a un teléfono y que éste llegue como SMS, si bien eso ya casi ni existe seguramente hay alguna API para conectar un mundo con el otro, email a sms o directamente el SMS vía web.

Hoy probé justamente uno de estos sistemas que prometen SMS vía web y funcionó perfectamente, pude enviarme un "spam" sencillo desde una página web sin problemas. Sin registro, sin dejar ningún dato, podría dejar una amenaza desde esa web a una persona que quiero intimidar, una extorsión, lo que sea, funciona perfectamente bien.



Pero he aquí que no parecía ser esta la forma, porque en el caso de los envíos vía web quedaban registrados con un número como los del 2020, no con característica de región ni nada parecido. También busqué si existía alguna API para hacerlo, pues bien, hay una en Google Code para Movistar de España, la interfaz llamada OpenSMS permite conectarse desde cualquier script y enviarle SMS a cualquier cliente de la empresa.

Pero ¿Hay algo Argentino? Bueno, allá por 2007 yo había escrito un post al respecto ya que por esos tiempos los proveedores tenían sus gateways para recepción de mensajes de emails como SMS y, para mi sorpresa ¡Siguen funcionando!



Ahora bien, sigue sin ser con una característica y celular propio, esto me da la idea de que efectivamente estos SMS salen de celulares y/o SIMs conectadas a una PC y desde allí envío masivo a listas de teléfonos hasta embocar a alguno.

En los casos de las APIs es más fácil controlar la cantidad de mensajes indebidos enviados, también se puede poner cualquier filtro anti-spam, pero son canales que siguen abiertos, me llama mucho la atención y no se que "cupo" tienen para bloquear mensajes, si se cierran solos cuando reciben spam, pero esto es fácil de vencer, sólo necesitás enviar unos pocos constantemente durante todo el día y desde remitentes falsos rotativos (el protocolo SMTP no es precisamente seguro), así que es un lindo hueco.

Lo otro interesante es cómo lograron mandar spam desde celulares, seguramente con contrato por tarjeta, y que no exista ni una investigación de la CNC al respecto, tiende a la estafa y el secuestro virtual, no es un tema menor.

Consejo: si no conocés el remitente y no da su nombre en el SMS, borralo, no existe. Si es alguien que te conoce que te llame y si no lo hace, es un forro :D

Seguir leyendo el post »

470 Noticias (47 páginas, 10 por página)