Los empleados deciden en qué idioma publican sus entradas.
Puedes encontrar más contenidos seleccionando el idioma inglés en el enlace superior.

Archivo de octubre, 2011

Videojuegos del siglo XXI

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Autor: Valentín Alonso

 

Los juegos en red han ido mejorando sus prestaciones poco a poco con títulos con una temática clásica pero logrando cada uno tener personalidad propia. Dentro de este segmento de juegos de acción multijugador destaca  la saga Battlefield que con su próximo lanzamiento el 27 de octubre [1] está ya marcando un hito antes de su lanzamiento. No en vano  el poder interactuar con el entorno y la posibilidad de utilizar todo tipo de vehículos  junto con el “team chat”  y tácticas de equipo han sido una de las marcas diferenciales de esta saga.

La tecnología de autenticación, seguridad y anti-trucos que rodean este tipo de aplicaciones es impresionante,  existiendo un mercado paralelo de programadores vendiendo “mejoras”  para el “software” de las compañías oficiales.

Como novedad  Battelfiled utilizará la tecnología  “online pass” para autenticar el juego.

Paralelamente  empiezan a aparecer  los primeros prototipos  de lo que serán los recreativos del XXI   siendo estas empresas  unos clientes potenciales  importantes para las operadoras.

[simulador Battlefield 3]

Dentro de este sector  la necesidad de  comunicaciones de alta velocidad,  servidores  de  “puntos neutros “ para compensar la latencia entre todos los jugadores , etc..   generará en los próximos meses/años  una nueva generación de empresas dedicadas a organizar partidas  para particulares, empresas   y  se organizarán torneos  nacionales e internacionales   con un nivel muy superior al existente actualmente.

La experiencia de usuario puede ser tan impresionante como se muestra en este video:


¿Qué empresa de tecnología no querría tener un demostrador como este en su laboratorio de demostraciones?

La inteligencia de un dumb pipe

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Autor: Paulo Villegas

Advertencia: Aunque he intentado no estarlo, estadísticamente hablando lo más probable es que esté sesgado. Sin embargo, espero que la argumentación sea válida incluso a pesar de los sesgos.

El principio de neutralidad de la red es un tema bastante polémico, donde abundan razones políticas y económicas, y con fuertes posturas (y a veces cambiantes) por actores clave en el área de Internet. Es el tema general de este artículo, pero no voy a abordar sus fundamentos. Me voy a centrar más bien en un aspecto concreto: su asociación con la metáfora del “dumb pipe”, aplicado para calificar las redes de datos (sobre todo las de Internet). Y voy a calificar esa metáfora como errónea (al menos en su formulación estándar).

Esta analogía del “dumb pipe” es en la actualidad omnipresente, sea para utilizarla como argumento o para posicionarse en contra. En esencia es tan solo una aplicación a la red de comunicación de conceptos de las redes de distribución de servicios públicos como energía y agua. Por analogía con estas redes, en las que el distribuidor se limita a transportar los elementos implicados (electrones, moléculas de agua) desde la fuente hasta la demanda, una red de datos considerada un “dumb pipe” debería limitarse a transportar sus elementos de información (bits) de un sitio a otro, sin tomar en consideración alguna qué es lo que contienen. Cualquier servicio de valor añadido se ofrecerá por encima de ese dumb pipe, pero con una separación clara de él, tanto en la operación como en el modelo de negocio.

Analogías que no funcionan

Sin embargo, este símil no responde muy bien en el nivel básico: no se pueden comparar satisfactoriamente los elementos transportados por los dumb pipes originales con los nuevos. En el transporte de agua y energía es imposible distinguir unos “bits” de otros. Por lo tanto el operador no necesita preocuparse del enrutado: su única tarea es mantener el flujo de “tráfico”, pero no interesa lo mas mínimo el origen de los bits que llenan el conducto. Está claro que este no es el caso en una red de datos, que debe garantizar el camino correcto de un extremo a otro para cada bit transportado.

Se puede concluir con ello que los problemas son fundamentalmente distintos, así que las comparaciones habituales del “dumb pipe” no funcionan: son peras y manzanas. La electricidad y el agua pueden ser permitirse ser bobas (aunque están intentando no serlo, véase mas abajo), pero las redes de comunicación necesitan ser complejas, si no no podrían proporcionar el servicio.

Dicho esto, sí que existen sentidos en el que la correspondencia entre distribución de utilities y distribución de datos tiene algún tipo de validez. Pero el efecto neto es convertir el transporte de energía en algo parecido a las redes de datos, no al contrario.

Uno es el concepto de “Smart Grid”, con iniciativas que tratan de “enlistecer” el dumb pipe energético, haciendo que las redes conozcan lo que hay en sus extremos. Las propuestas en marcha eliminarían la “neutralidad de la energía”, permitiendo distintos niveles de servicio  acordados con los clientes, incluyendo negociaciones dinámicas que dependan del actual estado de la red y su situación en el futuro (un cliente podría aceptar un servicio de peor calidad agregada con la posibilidad de una degradación ocasional a cambio de un descuento, y en una situación de congestión la compañía energética asignaría recursos basada en esos acuerdos).

Además, actualmente hay una manera (teórica) en muchos países por los que podrías “elegir” la fuente de tu energía: puedes escoger una compañía eléctrica, y en teoría eso cambia la “fuente” de tus bits energéticos. La mayor parte de la elección se lleva a cabo en el nivel “paperware”: la transmisión energética real no cambia mucho (no se instala ningún cableado eléctrico nuevo en tu casa). En este sentido, tu compañía energética se convierte en un tipo de “operador de energía virtual”, utilizando la infraestructura de tu “última milla de energía” (la del distribuidor) para proporcionar la electricidad.

Además de los costes (algunas compañías energéticas serán más baratas que otras), un criterio utilizado para decidir cuál sería tu proveedor energético podría ser el tipo de producción. Las compañías energéticas dan la descomposición por el tipo de generación y como mezclan distintas formas de producción energética; en teoría, podrías elegir una fuente de energía que vaya acorde con tu gusto (e.g. eligiendo una compañía más “verde”). Sin embargo esta descomposición se calcula a un nivel agregado (comparando la composición de cada empresa con la composición global), así que no se garantiza realmente que la energía que llega a tu casa tenga esa composición. Las partículas electromagnéticas no identifican su origen excepto en extraños experimentos cuánticos (que podrían aportar importantes aplicaciones criptográficas, pero están muy lejos de ser útiles para fines de facturación).

Existe un intento similar de “enlistamiento” en la distribución de gas natural a consumidores. En teoría, también se podría aplicar para el suministro de agua, aunque el agua suele tener una regulación más estricta, con una única compañía abasteciendo tu zona. Además la distribución del agua sigue estando mayoritariamente controlada por el estado (la privatización solo se ha llevado a cabo en unos pocos países, y sigue siendo un tema polémico). También se suele “producir” a nivel más local,  i.e. la fuente y el destino están más próximos, y tiene interconexiones menos densas que el gas o la electricidad (se trata de una red menos conectada).

Una analogía que sí funciona

¿Podemos encontrar una analogía para una red de datos mejor que aquellas que proceden de los “dumb pipes” tradicionales? Claro que podemos. Simplemente tiene que ser un servicio en el que el transporte debe conocer y respetar la fuente y el destino de cada elemento transportado. Se me ocurren por lo menos dos opciones interesantes para este tipo de comparación.

La primera es el servicio de correos (ejemplo evidente, por otra parte). Es claramente un servicio en el que los elementos de información deben viajar entre un origen y destino definido, y cualquier cambio en el destino destruye el servicio.

Cualquier analogía entre Internet y el servicio postal, sin embargo, debe tener en cuenta una diferencia importante en el proceso, el método de facturación: en la práctica habitual de intercambio de información postal es el remitente el que paga todos los costes. Uno de los mayores avances en la historia de los servicios postales fue precisamente la creación del sello franqueado (atribuido principalmente a Sir Rowland Hill , que en 1840 creó el Penny Black o Penique negro para el servicio de correos en Reino Unido). Antes del despliegue de los sellos postales, el correo lo solían pagar los destinatarios (fuente de numerosos problemas para el servicio);a partir de ese momento el sistema cambió y eran ahora los remitentes los que pagaban. Esto no se parece mucho a Internet (aunque el franqueo en destino también existe, por ejemplo, mediante los sobres con franqueos pre-pagados enviados como respuesta comercial).

Aceptando de todas formas que esta comparación es más justa, ¿podemos ahora utilizar los servicios de correos actuales como ejemplo de neutralidad en la red? Pues sí y no. Es cierto que toda la correspondencia ordinaria se trata en igualdad de condiciones: el servicio universal es un principio fundamental. Las tarifas son también casi fijas (dentro de un rango de destinos). Pero también existen servicios especializados de correos (con un coste adicional) sobre la misma red postal. Por ejemplo, podemos tener una garantía de seguridad adicional (correo certificado) o una mayor rapidez en el envío pagando una tasa. Los correos certificados son ejemplos de “servicios de valor añadido” que utilizan la misma red pero proporcionan garantía (y la prueba) de envío (por cierto que  esto implica que el correo estándar no garantiza el envío, o al menos una limitación de responsabilidad por parte del operador de red).

El correo urgente o exprés ofrece una velocidad mayor que la del envío normal, de nuevo privilegiando ciertos bits dentro de la red postal con un coste adicional (¡el retardo bajo cuesta más!). En estos servicios especializados, los servicios postales corrientes tienen la competencia de las empresas privadas como DHL, UPS, FedEx, las cuales utilizan redes alternativas.

Es también interesante destacar que un servicio universal con tarifas fijas puede ser forzado a establecer límites. Un famoso caso es el del Banco de Vernal, un edificio creado en 1916 en Vernal, Utah (EEUU). Los 80.000 ladrillos que se necesitaron para su construcción fueron enviados por correo (empaquetados en grupos y correctamente franqueados) desde su lugar de producción, a unas 400 millas, con lo que  se aprovecharon de las bajas tarifas en el (por entonces) recién inaugurado Parcel Post Service -servicio postal de envío de paquetes- (sorprendentemente este procedimiento era más barato que utilizar los medios de transporte corrientes para ladrillos). Podríamos considerarlo una demanda insostenible sobre un servicio de tarifa plana, y al menos el servicio postal de Estados Unidos sí que lo consideró así, ya que poco después de hacer entrega de todos los ladrillos pasó una regulación que limitaba el peso total que una única persona puede enviar o recibir por día. Es decir, un límite de transferencia.

Otra analogía más

Nuestro segundo ejemplo está un poco más alejado, pero sigue valiendo como analogía: aquí también es muy importante enviar cada “entidad” específica a un destino único y bien definido. Estas entidades, en este caso, son personas. Y la red, la red de líneas aéreas.

¿Qué hay de las tarifas en este ejemplo? Bien, quien piense que las tarifas de los operadores móviles son complicadas (que lo son) deberían echar un vistazo a las incomprensibles tarifas aéreas. La única pauta real es el intento de maximización del beneficio de la compañía aérea, jugando con la disponibilidad de asientos y costes, y estableciendo restricciones más o menos arbitrarias en tarifas más bajas (con el objetivo principal de mejorar el aspecto de las tarifas más altas, por comparación).

En cuanto a la neutralidad en la red, si seguimos su definición más estricta, que afirma que la red no debe discriminar a ningún usuario contra otro en su uso de la infraestructura, y prohíbe una diferenciación en calidad de servicio basada en las tarifas de acceso, las aerolíneas presentan un ejemplo claro de violación de ese principio. Se suele denominar Business Class. Pero incluso en este caso extremo se mantiene un principio mínimo de  acceso “no discriminatorio” para “contenidos” (destinos), ya que es poco común encontrar un destino de vuelo cubierto solo por asientos de clase preferente. Además, los pasajeros de clase preferente tienen privilegios de ancho de banda (o mejor dicho ancho de asiento), pero no tienen diferencias de trato en el retardo extremo a extremo, ya que todos llegan al mismo tiempo.

Por último, una incorporación más o menos reciente a las redes de aerolíneas es la de las compañías de bajo coste. Éstas representarían el caso de neutralidad absoluta en la red, dado que tratan a todos los clientes por igual: no hay clases preferentes, ni asientos reservados, ni servicios extras. Sus tarifas se basan en el ajuste de costes, intentando garantizar una ocupación completa y quitando todos los extras, sería lo equivalente a una red básica (la “tubería boba” otra vez). Sin embargo, no pueden ofrecer conexiones de largo radio (al parecer las tarifas de bajo coste no pueden hacer frente a las exigencias de los trayectos transoceánicos), y el “principio de igualdad absoluta” también se incumple a veces, con servicios como los de prioridad de embarque. Al parecer, la neutralidad absoluta en la red es demasiado exigente para ser sostenible.

Conclusión

Resumiendo,  podemos extraen tres conclusiones principales: Internet como una “tubería boba” no es tan tonta como parece, las “verdaderas” tuberías bobas (utilities) se están esforzando por hacerse más inteligentes, y las redes que encajan en una analogía de alto nivel con Internet no respetan realmente la metáfora de la “tubería boba”.

Podríamos concluir rebautizando Internet como una “tubería inteligente”. La pregunta lógica sería hasta qué nivel una tubería inteligente  necesita respetar alguno de los principios que están bajo el paradigma de neutralidad de red.

Esa sí que es una buena pregunta.

El eslabón más débil

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

Autor: Carlos Plaza

La seguridad de un sistema viene marcada por el eslabón más débil, y éste suele ser el usuario -alguno de los hackers más famosos usaba la ingeniería social como arma principal para acceder a sistemas empresariales-.

Y en ese eslabón más débil, nos encontramos a un grupo aún más vulnerable: los niños.

Durante el mes de septiembre, un fabricante de seguridad, BitDefender, ha realizado una campaña informativa -evidentemente, con un interés comercial por difundir sus productos-, sobre este punto: los niños de hoy en día están creciendo y educándose con Internet, pero como niños, tienen aún menos consciencia que los adultos a la hora de aplicar medidas que eviten la infección de los equipos que usan.

Y ello hace que los sitios que visitan se hayan convertido en el objetivo de los atacantes para la propagación de malware, ya sea infestando el sitio o con mensajes tipo “spam” a los niños -con la esperanza normalmente de que los padres usen el mismo equipo para sus operaciones bancarias (-: -

Algunos ejemplos que se han usado para difundir softwara malicioso:

- Los niños buscan dibujos de sus series/personajes favoritos para pintarlos online o imprimirlos y pintarlos en papel; los atacantes difunden malware con este cebo.

- Juegos interactivos de buscar diferencias

- Mascotas virtuales, se pide al niño que se descargue una aplicación para poder pintar la mascota, alimentarla, etc

¿La solución? Pues si es complicado educar a los mayores, a los niños… técnicamente, se recomienda usar un buen antimalware o crear cuentas separadas con privilegios mínimos para los niños, con el fin de que la potencial infección cause el mínimo daño.

Docu-mientos anexos: El valor de los antivirus

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Autor: Antonio Manuel Amaya

Hace un rato me ha llegado un correo que reproduzco a continuación:

 

 

 

 

 

 

Para que el correo fuese más bonito, hasta le dije al Thunderbird que descargase la imágenes, tras verificar que, efectivamente, la descarga era de la web de la policía. Si bien a primera vista (bueno, a primera vista rápida desde una cierta distancia) el correo puede parecer legítimo, una vez nos ponemos las gafas de leer, el correo es más sospechoso que un duro de madera. No solo la palabra ‘procedimiento’ aparece escrita de tres formas distintas (una incluso correcta), sino que no se han molestado ni en disimular con el ‘adjunto’. Ya avisan de que es un “documiento”, el enlace es a un servidor web externo, y ni se han molestado en esconder el tipo del archivo (SCR).

Claro que, por otra parte, ¿por qué tiene un usuario medio, digamos mi hermana, que saber que SCR es la extensión de los salvapantallas, y que en realidad son ficheros ejecutables a los que simplemente se les cambia la extensión? Particularmente si desde Windows 200 para acá en Microsoft decidieron que eso de las extensiones era una cosa fea y cutre y decidieron ocultarlas.

En cualquier caso, no se trata hoy de despotricar contra la extendida costumbre de confundir ‘facilidad de uso‘ con ‘ocultar la información‘ sin mirar que implicaciones puede tener no mostrar la información. Y, afortunadamente para mi ordenador, mi tranquilidad mental, y posiblemente mi cuenta corriente, yo no soy mi hermana.

Ni siquiera se trata de pensar en la ironía de usar un supuesto correo de la policía para distribuir malware. Supongo que en este caso con lo que juegan más que con la curiosidad o la lujuria de los usuarios es con su mala conciencia de los mismos (posiblemente relacionado con la curiosidad o la lujuria :P) y esperarán que cuando reciban el correo pensarán ‘¿que habré hecho?’ y pulsarán rápidamente el enlace sin pararse a leer el texto, ni a pensar que puñetas significará “el procedimiento de investigación de que se trata en esta conducta regional“.

Así pues hagamos un ejercicio de imaginación y pensemos que somos alguien que no sabe lo que es un SCR, y que pulsa compulsivamente en los enlaces que le vienen en los correos. Pero supongamos además que, irónicamente, estamos concienciados de que la red es un sitio peligroso y por lo tanto tenemos instalado un antivirus. Así que, confiando en nuestras medidas profilácticas, pulsamos el enlace, y descargamos el fichero.

¿Que pasará? A juzgar por los dos antivirus que yo tengo en este PC, que el ejecutable será considerado benigno y digno de confianza.

Es más, suponiendo una distribución uniforme de ventas de los antivirus, que tendremos un 88.4% de posibilidades de que el antivirus nos diga que el fichero que hemos descartado es puro y limpio, y que lo podemos ejecutar con total alegría:

Y, para eso, tres de los cinco que lo detectan deben dar falsos positivos a mansalva. Solo dos de los antivirus (cuales es irrelevante) lo identifican como un Troyano/descargador. El resto lo identifica como ‘sospechoso‘ simplemente porque está empaquetado con AsPack, es decir el ejecutable real está comprimido/cifrado dentro del ejecutable descargado. Supongo que en AsPack Software no cabrán en sí de gozo de que todo el software que sus clientes hagan, bueno o malo, sea marcado como sospechoso por algunos antivirus.

Tras esto no me queda otra que inclinarme ante los comerciales de la industria de seguridad. No se me ocurre ningún otro campo en el que se venda un producto profiláctico que consume recursos constantemente, es irritante, y que, cuando de verdad hace falta, falla en un casi 90% de los casos.

Y lo mejor de todo es que visto el enorme éxito que tiene el modelo en los PCs de sobremesa para controlar las infecciones, la industria está lanzada a toda máquina para exportar el mismo modelo hacia los nuevos dispositivos: Una búsqueda de ‘antivirus móvil’ en Google devuelve casi 40 millones de resultados. Y, solo en el primero, hay 38 antivirus para descargar.

 

 

Femtonodos ¡gratis! … ¿pero cuánto cuestan realmente?

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

Autor: Luis Cucala

Hace poco ha aparecido la noticia de que SFR (segundo operador móvil en Francia) ofrece a todos sus clientes la posibilidad de disponer en sus hogares un femtonodo, sin coste para el usuario. De hecho, en la web de SFR ya se ofrece esa posibilidad; el cliente solicita un femto e inicialmente le cuesta 49€, que le son reembolsados cuando se realiza la primera conexión del equipo a la red.

El femtonodo que instalan está fabricado por la británica Ubiquisys. Según la información disponible en su página web, la solución que ofrecen para entornos residenciales es la llamada G3-Mini, que permite hasta 8 llamadas simultáneas y soporta HSPA. Según la web de SFR, su femtonodo podrá soportar hasta 4 llamadas simultáneas solo, lo cual hace pensar que se trata de alguna limitación impuesta por motivos comerciales.

¿Quiero lo anterior decir que el femtonodo cuesta 49€? No necesariamente. El coste por femtonodo debe incluir el coste del equipo en si, y la parte repercutida de los equipos de red y sistemas de gestión asociados.

Por una parte veamos el coste del femtonodo en si. La información sobre costes de femtonodos es absolutamente opaca, pues nadie puede ir todavía al supermercado y comprarse uno por su cuenta, de modo que es el operador el que adquiere partidas de cierto volumen, con precios que se fijan a partir de múltiples y variados criterios, y los distribuye por su red comercial. El coste del femtonodo depende, entre otras cosas, del grado de integración de su HW; la tendencia ha sido pasar de diseños que emplean múltiples chips, a diseños que emplean un único chipset o SoC (System on Chip), de forma similar a lo que ha sucedido en los puntos de acceso Wi-Fi.

Ubiquisys no fabrica sus chips, sino que se los suministran terceros. Explorando un poco por webs especializadas, parece que inicialmente emplearon chips de Picochip, y que actualmente emplean los de Percello(adquirida por Broadcom). Tirando un poco del hilo vemos que sí, Percello suministra el SoC de Ubiquisys.

Se trata de un encapsulado de los llamados BGR (Ball Grid Array), nada barato de fabricar, y bastante complejo de montar en placa. Este chip es caro, ¿pero cuanto?. Vamos a compararlo con un SoC para Wi-Fi, por ejemplo el BCM4329 de Broadcom y que está instalado en los IPhone 4, IPad, etc, y que tiene un encapsulado similar al SoC femtonodo de Percello. Bien, ¿y cuanto cuesta este SoC de Wi-Fi?. Tampoco aquí podemos ir al súper para saber lo que cuesta, pero hay una web de “hackeadores” de HWque han destripado el Iphone4 y dan una lista de componentes y sus precios (el Iphone4 ya no aparece en su web, si bien yo me descargué el análisis hace un par de meses).

Si nos podemos fiar de ellos, el chipset de Wi-Fi BCM4239 cuesta 7,80 USD (se supone para pedidos de millones de unidades). A esto habría que añadir el coste del “front-end” de radiofrecuencia (pues el SoC de Percello para femto no lo incluye), que puede ser similar al de la Banda Base, y el coste de los pasivos; conclusión, el coste de la interfaz radio en el femtonodo, para cantidades de MILLONES de unidades no puede ser inferior a los 10 USD. A esto hay que añadir como mínimo el coste de los chips de comunicaciones (Ethernet o USB), un procesador de propósito general, antena y caja, además del montaje.

Conclusión, el femtonodo de Ubiquisys podría llegar a valer 49 €, pero si se fabrican millones de unidades, cuando los costes fueran similares a los de un punto de acceso Wi-Fi, gracias a los grandes volúmenes.

En cuanto a los costes repercutidos, un grupo de femtonodos debe conectarse a un nodo de agregación (Access Gateway, de coste desconocido), que en el caso de Ubiquisys no lo fabrican y están asociados a Nokia Siemens Networks, capaz de gestionar varios miles de femtonodos, y es necesario dimensionar el resto del núcleo de red radio para poder absorber el tráfico generado por los femtonodos. También tiene un impacto sobre los costes repercutidos la necesidad de emplear sistemas de provisión y gestión automática de los femtonodos que se instalan, pues si se despliegan por miles no es posible darlos de alta en la red de forma manual. Estas herramientas, si se hacen bien, cuestan mucho dinero. Otra cosa es que no se hagan bien, y el despliegue sea “best-effort”…

Conclusión final; SFR cobra inicialmente 49 € al cliente por el femtonodo y se los devuelve cuando lo activa, probablemente para que no lo guarde en un cajón, y establecer una correlación entre esa cifra de 49 € y el coste real del femtonodo es aventurado.

 

Lo que Google no dice…

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 4,00/5)
Loading ... Loading ...

Hace un par de días Google activó una nueva funcionalidad, para ‘proteger a la gente del malware‘:

The Internet brings remarkable benefits to society. Unfortunately, some people use it for harm and their own gain at the expense of others. We believe in the power of the web and information, and we work every day to detect potential abuse of our services and ward off attacks.

¿En que consiste esta protección? Pues hay una cosa que hace algún malware cuando se instala que es cambiar la configuración del equipo/navegador para que la navegación hacia Google y otros buscadores pase por un proxy controlado por el dueño del malware. De esta forma, el malware puede alterar las peticiones que viajan hacia Google, y puede alterar los resultados que se envían al usuario. Es algo parecido a lo que hace Google Sharing, por ejemplo:

Google Sharing es un plugin para Firefox que reenvía todas las peticiones a Google a través de un proxy que sirve para anonimizarlas en nombre de la privacidad… y para meter publicidad del propio Google Sharing que de alguna forma habrá que pagar el desarrollo y el tráfico del proxy, claro. De esta forma Google no puede correlar los datos de tus búsquedas, porque recibe las búsquedas de todos los usuarios desde un mismo punto. A cambio el que provea el proxy (el desarrollador del plugin, Moxie Marlinspike, por defecto) sí que puede ver todas tus búsquedas. Misterios de la privacidad.

En cualquier caso, Google observó que había algunas anomalías en las búsquedas y tras identificar que el tráfico se generaba como consecuencia de la instalación de malware en el equipo de los clientes, decidió tomar cartas en el asunto. ¿Cómo? Pues de una forma sencilla a la par que aparentemente efectiva: cuando detectan una petición con las características sospechosas, en la página en la que devuelven los datos insertan un mensaje que dice:

De esta forma, el usuario averigua que está infectado, y en el mismo sitio puede encontrar información sobre como resolver el problema. Y si la vida fuese un cuento, acabaríamos aquí. Había un problema para los usuarios, y se ha resuelto de una forma inocua y efectiva. Pero la vida no es un cuento ni las cosas son tan sencillas. Empezando por el final, ¿es efectiva?

Pues es efectiva mientras el desarrollador del malware no adapte el proxy. Y ni siquiera tiene que adaptarlo para modificar la forma en que se comunica con Google para que Google no lo detecte. Basta con que, al igual que añade o modifica enlaces en los resultados y altera o puede alterar las búsquedas que se envían a Google, modifique la página de vuelta para quitar la caja amarilla. El problema de que toda la comunicación entre el usuario y Google se realice a través de un proxy es que quien controla lo que ve el usuario no es Google sino el proxy. Curiosamente, este problema se podría resolver si quien metiese la caja amarilla fuese alguien que está, a su vez, entre el usuario y el proxy: el ISP del usuario.

Pero… ¿es conveniente que el ISP haga eso? Eso nos lleva a la primera afirmación… ¿es de verdad inocua la solución? ¿Que otra cosa hay que al visitar una página web te avise de que estás infectado y te de la solución? El scareware. Los antivirus falsos. De forma irónica, por cierto, los usuarios que estén infectados con el malware detectado por Google lo están, precisamente, por haberse creído que estaban infectado al visitar una página:

The malware appears to have gotten onto users’ computers from one of roughly a hundred variants of fake antivirus, or “fake AV” software that has been in circulation for a while. We aren’t aware of a common name for the malware.

Es gracioso que el mecanismo que Google esté usando para avisar a los usuarios de que están infectados de verdad sea el mismo mecanismo por el que los usuarios se infectaron en primer lugar. Es gracioso pero en absoluto inocuo. ¿Porqué? Yo no soy partidario de que a los usuarios haya que ‘educarlos’ para que los sistemas sean seguros. Creo que los sistemas deberían ser seguros inherentementes. Pero mientras eso no sea así, hay algunas normas sencillas de comportamiento que esperamos que los usuarios sigan.

Y las normas que son absolutas son sencillas de seguir. ‘Nunca abras un adjunto’ es sencillo. ‘Nunca te fíes de un enlace que venga en un correo’ es sencillo. Igual que ’si una página web te dice que tienes un virus y que pulses para arreglarlo, es mentira’.  En cambio ‘Si una página web te dice que tienes un virus y que pulses para arreglarlo, es mentira… salvo que sea Google y esté pintado de amarillo’ pues ya no es tan sencillo.

Y el problema no es tanto que los ‘malos’ puedan suplantar la página de Google y usarla para distribuir más malware, como dice el blog de Google:

We’ve heard from a number of you that you’re thinking about the potential for an attacker to copy our notice and attempt to point users to a dangerous site instead. It’s a good security practice to be cautious about the links you click, so the spirit of those comments is spot-on. We thought about this, too, which is why the notice appears only at the top of our search results page. Falsifying the message on this page would require prior compromise of that computer, so the notice is not a risk to additional users.

El problema es, esta vez sí, de entrenamiento de los usuarios. De entrenamiento negativo. Los usuarios se infectaron por tener un comportamiento de riesgo. Y ahora se van a desinfectar por tener el mismo comportamiento de riesgo.  ¿Que creéis que pasará la próxima vez que otra página les diga que tienen un virus?

Por cierto… lo de proteger a los usuarios está muy bien. Pero ¿porqué alguien que infecta mi equipo quiere que mi tráfico hacia Google pase por un servidor suyo? En algún sitio he leído que es para incrustar enlaces a más software malicioso. Lo cual es una tontería, si el equipo ya está comprometido no necesitan que yo pulse en ningún sitio para instalarme más malware. ¿Entonces? Pues redirigen el tráfico para ganar dinero, claro. ¿Cómo? Pues en última instancia de los anunciantes en Google, y en primera instancia… del propio Google.

Pero titular el artículo ‘Using data to protect ourselves from scam’ no queda tan bien como ‘Using data to protect people from malware’, claro.

Hackers rompen la encriptación de SSL usada por millones de webs

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

Autor: Antonio Manuel Amaya

 

Podría haber titulado el post como ‘No dejes que la realidad te estropee un buen titular’, pero como total parece que todo el mundo ha copiado el titular de The Register, que es justo el del post, para que molestarme. Es una de las noticias estrella del mundillo de la seguridad de hace unos días, y se puede leer en el enlace anterior por ejemplo.

Para aquellos que no tengan tiempo o ganas de leer la noticia completa, el primer párrafo lo resume muy bien:

Researchers have discovered a serious weakness in virtually all websites protected by the secure sockets layer protocol that allows attackers to silently decrypt data that’s passing between a webserver and an end-user browser.

Ahí es nada. Hay una vulnerabilidad muy seria en prácticamente todos los sitios que usan SSL/TLS que permite a un atacante realizar ataques de Man-in-the-middle. Que es, precisamente, una de las dos cosas que se supone impide SSL.  A partir de ahí la noticia se dedica a asustarnos más contándonos que a partir de ahora (bueno, en realidad desde antes, ahora solo se ha presentado una prueba de concepto) nuestra navegación ha dejado de ser segura y vamos a tener que volver a ir al supermercado a hacer la compra a mano. Y todo porque los navegadores no implementan TLS 1.1 y 1.2. Y no lo hacen porque los desarrolladores de NSS y OpenSSL son una panda de vagos que no han implementado un estándar que tiene cinco años. Curiosamente, yo hubiese jurado que Chrome usa CryptoAPI y no NSS, pero en realidad es lo de menos.

Pero… ¿es cierta la noticia? ¿Tenemos de verdad que volver a ir al banco a hacer las transferencias en persona? ¿Que va a ser de nuestra vida online?

Pues sí, y no. Lo que no cuenta la noticia es cual es el problema real. El problema para el que se ha presentado una prueba de concepto se conoce desde el año 2002 (al menos el enlace más antiguo que yo he encontrado eshttp://www.openssl.org/~bodo/tls-cbc.txt que incluye correos de Febrero del 2002), y se debe a la forma en la que se realiza el cifrado en SSL.

De forma muy sencilla, y obviando algunas cosas, cuando se manda un mensaje cifrado normalmente el mensaje se parte en bloques de un tamaño fijo (tamaño de la clave normalmente). Hay varias formas de cifrar los bloques, a su vez. El mecanismo más sencillo es ECB (Electronic Codebook Cipher), que consiste en cifrar cada bloque de forma independiente:

Este es el mecanismo más sencillo, pero tiene un problema básico: un bloque se cifra siempre de la misma forma. Y esto da lugar a dos problemas:

  • da información del contenido del mensaje
  • permite ataques de texto elegido: Un atacante que capture un mensaje cifrado cuyo valor sea ‘ABCD’ no puede descifrarlo para saber que es en realidad ‘HOLA’ cifrado. Pero si puede inyectar bloques, o incluso mensajes completos, puede introducir ‘HOLA’, obtener ‘ABCD’ y así sabrá lo que se había transmitido. En un ejemplo más real, si sabemos que hay una parte del mensaje interceptado es un PIN que tiene un valor entre 0000 y 9999, y podemos inyectar bloques en el proceso de cifrado, podemos probar todos los valores y así averiguar cual era el PIN original.

Para solucionar estos dos problemas hay otros mecanismos de cifrado por bloques. El usado por SSL se conoce como CBC (Cipher Block Chaining) y podemos verlo en la siguiente figura:

 Este mecanismo de cifrado evita los dos problemas que tiene ECB: un mismo bloque de texto en claro se cifrará de forma distinta según la posición del mensaje en la que esté. Y, si además el mensaje de inicialización es aleatorio (o pseudoaleatorio), un mismo mensaje completo, cifrado con la misma clave, dará un mensaje cifrado distinto cada vez que se introduzca en el sistema. Y el problema que tiene TLS 1.0 es que usa un vector de inicialización pseudoaleatorio para el primer mensaje que se intercambia. Pero para el resto de los mensajes se usa como vector de inicialización el último bloque cifrado del mensaje anterior.

Así pues, si llamamos

  • C(K,B) a la función que cifra un bloque B con clave K,
  • (B1,…,Bn) a los bloques de un mensaje M
  • + a la función XOR (ya, ya sé que tradicionalmente + es OR, pero no sé poner el + con un círculo en ASCII)

Entonces, los bloques cifrados son

  • C1=C(K,IV+B1)
  • C2=C(K,C1+B2)
  • Ci=C(K,Ci-1+Bi)
  • Cn=C(K,Cn-1+Bn)

Y, en SSL, el mensaje M’, que está compuesto por los bloques (B’1,…,B’n) se cifrará como

  • C’1=C(K,Cn+B’1)
  • C’2=C(K,C’1+B’2)
  • C’n(C(K,Cn-1+B’n)

Ahora supongamos que el que realiza el cifrado es un navegador web que usa SSL, que yo soy un pirata ruso, que creo que Bi es un PIN, y quiero verificar si el valor del PIN es 1234. Y supongamos que yo, con los superpoderes que me proporciona el ser un pirata ruso, puedo generar mensajes (o bloques) con el valor que yo quiera en el navegador del usuario. Entonces simplemente genero un mensaje cuyo primer bloque sea Cn+Ci-1+’1234′, y lo envío tal cual. El mecanismo de cifrado, amablemente, me calcula C’1=C(K,Cn+Cn+Ci-1+’1234′). O lo que es lo mismo, C’1=C(K,Ci-1+’1234′).

Entonces, si Bi=’1234′, C’1 será igual a Ci. Y ya sé el PIN. Si sé que Bi contiene el PIN, pero no es ‘1234′ basta con repetir esta operación otras 9999 veces y sacaré el PIN.

Como decía, este ataque se conoce desde el 2002, pero se creía que no era explotable porque los superpoderes de los piratas rusos no incluían el envío de paquetes escogidos desde el navegador del usuario. He encontrado un paper del 2006 que explica el problema y propone un ataque factible basado en applets en el navegador.

Y la ruptura del SSL a la que hace referencia el artículo de The Register es una prueba de concepto basada en Javascript, que lo que permite es realizar ataques de fuerza bruta remota. O sea, adivinar el PIN generando todas las opciones posibles, mandándolas cifradas como comentaba antes, y verificando en un Sniffer si el valor que se envía es el que se capturo originalmente. En la noticia dicen que funciona para extraer cookies, supongo que porque es más fácil saber en que bloques se envían las cookies.

Para que el ataque sea práctico, es necesario:

  • Que la víctima descargue un Javascript malicioso. El Javascript debe quedarse corriendo en segundo plano.
  • Que la víctima visite el sitio de el que el pirata quiere obtener algún dato, como por ejemplo Paypal (es el ejemplo del artículo).
  • Que sea factible sacar el valor de la cookie por fuerza bruta. O tienen un valor pequeño, o tienen una estructura conocida. Por cierto, en este caso el que el cifrado sea en bloques es una ventaja para el atacante. Si los bloques son de 4 bytes, para romper un PIN de 8 dígitos hay que probar  100.000.000 de combinaciones. Solo hay que probar 20.000 combinaciones, o sea los cuatro primeros dígitos y los cuatro últimos por separado.
  • Que la víctima no cierre el navegador mientras estamos haciendo el ataque.
  • Y que la sesión SSL no caduque en el proceso, porque  caduca cambia la clave K.

¿Es un ataque interesante? Sí. ¿Práctico? No mucho, la verdad. Creo que sigue siendo más sencillo mandarle un correo a la víctima en perfecto castellano powered-by-Google diciéndole que vaya a piratasrus.com a cambiar la contraseña de Paypal o le cerramos la cuenta.

Fuente:

De APTs y hombres

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 2. Media: 5,00/5)
Loading ... Loading ...

Autor: David Barroso

 

Cualquiera que esté metido en el mundo de la seguridad habrá escuchado o leído alguna vez (sobre todo los dos últimos años) el término APT en algún lugar. APT son las siglas de Advanced Persistent Threat, es decir, una amenaza (una persona motivada con un objetivo claro), avanzada (por el método y la técnica utilizada), y persistente (generalmente en el tiempo, pero también por la forma y los objetivos de los atacantes). Aunque realmente el término proviene del mundo militar (parece ser que fue la US Air Force la que inventó el término en el año 2006) y la amenaza puede ser de cualquier estilo, últimamente se ha asociado a los ataques por medios informáticos.

Al final después de tanto usarlas, las siglas APT han perdido todo su significado en el contexto actual en el que se mencionan, puesto que es normal encontrarlas en cualquier presentación o artículo donde se relacionan con incidentes normales, y la gran mayoría de los ataques recientes que han sufrido grandes empresas no se pueden considerar como APTs propiamente dichos aunque los atacados digan lo contrario.

La mayoría de los incidentes informáticos son ataques masivos en donde lo importante es conseguir cuantos más ordenadores infectados mejor, puesto que:

  • Existirá una probabilidad mayor de que el usuario de ese ordenador infectado se conecte a páginas web ‘interesantes’ (entidades financieras, pagos on-line, subastas, loterías, páginas de compra/venta de acciones, redes sociales, etc.) para el atacante
  • Podremos enviar más spam por segundo
  • Lograremos tener un ancho de banda más grande para realizar ataques de denegación de servicio distribuido (DDoS)
  • Ganaremos más dinero engañando al usuario de ese ordenador infectado con el pretexto de que está muy infectado y que nos tiene que comprar nuestro (fake) antivirus; o le diremos que hemos cifrado todos sus datos y que nos tiene que pagar para descifrarlos (ransomware)
  • Podremos ganar más dinero con nuestras campañas de Pay-per-install, o pay-per-click (clickfraud)
  • Obtendremos más proxies para poder anonimizar nuestras operaciones posteriores
  • Cualquier otra idea malévola que se nos ocurra

En definitiva, son ataques indiscriminados que generalmente instalan algún tipo de malware, y muchas veces revenden el control de ese ordenador infectado a terceros; generalmente va a existir una conexión a un panel de control (C&C) para poder gestionar el ordenador remotamente, y ese C&C podrá estar en cualquier país del mundo, y muchas veces en un bullet-proof hosting.

¿Y qué tiene que ver con los APTs? Realmente el problema es que cuando alguien encuentra una máquina infectada, con un malware que está haciendo cualquiera u otra de las actividades anteriores, y se conecta a un C&C remoto para enviar los datos, muchas veces la presión, histeria, o el intento de no mancillar la reputación obliga a decir que ha sido un ataque muy avanzado dirigido al robo de información de una empresa/gobierno, acusando directamente al grupo/país que más de moda esté en ese momento (Anonymous, Lulzsec, China o Irán, por ejemplo).

El resto de ataques que no son masivos e indiscriminados, sí que son ataques dirigidos, pero muchas veces distan de ser un APT en el sentido estricto de la palabra. Muchos ataques de robo de información mediante SQL InjectionRemote File Inclusion (RFI), o servicios mal configurados son ataques dirigidos, pero la mayoría de las veces son simples (aunque eficaces). Y ya por fin, los que quedan, podríamos considerarlos APTs, donde generalmente el acceso a información confidencial es la principal razón de estas amenazas.

Los verdaderos APTs son muy difíciles de detectar, y sobre todo, muy difícil de responder ante ellos, con lo que muchas veces sólo la pericia del equipo de respuesta a incidentes podrá contrarrestar los efectos de tales ataques; muchas de las herramientas de seguridad que tenemos actualmente no nos servirán de mucho para detectar a tiempo estos ataques, y tendremos que fijarnos en los pequeños detalles (con un foco importante en network security monitoring - conoce lo que tus sistemas y redes suelen hacer, e investiga si de repente ves algo nuevo) para poder enlazar todos los indicios que nos lleve a detectar un ataque de estas características.

El problema es que en la industria de seguridad la palabra APT se utiliza hoy en día como se utilizaba la palabra zero-day (0-day), donde muchos fabricantes se suben a la ola y aseguran que su producto detecta ya no sólo contra zero-days, sino también contra APTs. Algunos otros fabricantes, aún sabiendo que están cometiendo un grave error, incluyen también el tema de los APTs en su estrategia de marketing, puesto que hoy en día parece que tu producto no funciona si no es capaz de parar todo lo que aparezca.

En resumen, las siglas APT,como la palabra zero-daycyber-perl harbour,cyber-9/11, etc. son palabras que se utilizan generalmente con un objetivo totalmente diferente al que fueron concebidas, con lo que es necesario cuidar nuestro lenguaje para no caer en malinterpretaciones.