viernes, 11 de abril de 2014

Samsung deja afuera a Argentina y Venezuela en el debut del Galaxy S5

Éste chiche, el nuevo smartphone estrella de Samsung, se vende en EEUU, Europa, Oriente Medio y en América Latina, en total 125 países con precios que van de los 600  a los 1.200 dólares, salvo en Argentina y Venezuela.

Visto en YouTube, vía Samsung Mobile

Las noticias señala que Argentina y Venezuela están teniendo serios problemas como fuertes restricciones al mercado cambiario y alta inflación, por lo que los operadores se han visto en serias dificultades para conciliar el negocio.

Así y todo han anunciado que el Galaxy S5 llegaría a Buenos Aires en mayo, y a Caracas en junio. No se tiene aún información de cuál será su precio.

El bug en OpenSSL, Heartbleed, ¿un ataque gubernamental?

Heartbleed, ¿error accidental o ataque gubernamental?
Publicado en TICbeat » Seguridad

Internet, un “canal inseguro” por definición, es desde el pasado 7 de abril un poco inseguro. Diseñada sin un concepto de seguridad “por defecto”, para soportar su uso en entornos críticos o entornos transaccionales, como los que sustentan el comercio electrónico, se desarrollaron protocolos criptográficos que permitiesen garantizar la confidencialidad de la información intercambiada. Dicho de otra forma, sin criptografía, no tendríamos mecanismos para garantizar la confidencialidad en Internet.

“Catastrófica” es la palabra correcta que define el golpe que ha supuesto para la ciberseguridad la publicación del grave error de software en las librerías de cifrado de OpenSSL, que ha comprometido seriamente desde finales de 2011 la seguridad de dos tercios de las páginas web existentes, y al que se ha bautizado como Heartbleed (corazón sangrante, en español). En la escala de gravedad del 1 al 10, podríamos valorarla como 11.

El fallo de seguridad permite a un atacante espiar las comunicaciones, robar los datos directamente de los servicios web y sus servidores. Aún desconociéndose a ciencia cierta si fue un fallo accidental de algún desarrollador o fue introducido voluntariamente, lo vivido en los últimos días ha puesto en la palestra la altísima importancia y dependencia de la criptografía como base sustantiva para garantizar la seguridad en las comunicaciones digitales.

La importancia de la criptografía y el control gubernamental

La evolución de la criptografía o el arte de ocultar la información; así como del criptoanálisis o la capacidad de acceder a la información cifrada sin conocer las claves correspondientes, ha estado íntimamente ligada con todas las formas de poder desde hace miles de años.

La capacidad acceder las comunicaciones cifradas ha cambiado en ocasiones el curso de la historia. De esta manera, el telegrama Zimmermann aceleró la entrada de Estado Unidos en la Primera Guerra Mundial; y la lectura, por parte del eje Aliado, de los mensajes cifrados de la Alemania nazi, puedo haber acortado la Segunda Guerra Mundial hasta dos años.

A pesar de que los algoritmos criptográficos son conocidos como “bienes de doble uso”, debido a su potencial aplicación tanto en el ámbito civil como militar, poco a poco la criptografía desapareció de la escena pública para imbricarse dentro de las organizaciones gubernamentales dedicadas a la inteligencia y contrainteligencia.

A modo de ejemplo, basta recordar que agencias como la NSA o el GCHQ acapararon y bloquearon casi totalmente la publicación de cualquier investigación o avance en el campo de la criptografía desde principios de los 50 hasta mediados de los 70, tanto en Estados Unidos como en Reino Unido.

Para ello, se orquestaron mecanismos ultraproteccionistas que ampararon a las agencias ante sus necesidades de control sobre los algoritmos criptográficos. De esta forma, la revelación de información sobre la criptografía ha sido considerado como un acto de traición durante más de cuatro décadas en muchos países del eje occidental, supervisándose todas las solicitudes de patentes relacionadas con la criptografía y clasificando como “secreta” cualquier idea que las agencias de inteligencia considerasen “peligrosa” y que fuese de dominio público relativa a los algoritmos criptográficos.

A día de hoy, la situación legal de los programas criptográficos varía según los países y las leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. Por ejemplo, se crearon entes globales como COCOM (Coordinating Committee for Multilateral Export Controls), una organización internacional disuelta en 1994 cuyo objetivo principal era impedir que se exportaran productos criptográficos a países “peligrosos”, que solían coincidir con aquellos que mantenían vínculos de amistad con organizaciones consideradas como terroristas, tales como Libia, Iraq, Irán y Corea del Norte.

Igualmente, en 1995, 28 países, incluido España, decidieron dar continuidad a COCOM, suscribiendo el Tratado Wassenaar, un convenio internacional que impuso nuevas restricciones sobre el comercio de armas y de bienes de doble uso, entre los que se encuentra la criptografía. Finalmente, el 23 de Noviembre de 2001, el Consejo de Europa adoptó el Convenio sobre Ciberdelincuencia, en el que se recoge explícitamente que el cifrado “se puede considerar en principio una protección legítima de la privacidad y, por tanto, considerarse que se efectúa con derecho”. Por tanto, el uso de la criptografía no puede ser penalizada por los países signatarios, aunque la frase “en principio” le aporta cierta ambigüedad.

Parece evidente que el cifrado y su casuística son intereses de primer nivel para la gran mayoría de las naciones.
La revelación de información sobre la criptografía ha sido considerado como un acto de traición durante más de cuatro décadas en muchos países del eje occidental, supervisándose todas las solicitudes de patentes relacionadas con la criptografía y clasificando como “secreta” cualquier idea que las agencias de inteligencia considerasen “peligrosa”
¿Puede dicho interés gubernamental en acceder a las comunicaciones e información cifrada estar detrás de “Heartbleed”?
Como opción, parece lógico pensar que si las corrientes legislativas han pasado de una aproximación en la que se trataba de cercar y cerrar el uso de la criptografía, actualmente se ha podido optar por un método mucho más “sutil”, mediante la introducción debilidades “por defecto” o “de fábrica“ en el primer eslabón de la cadena: el desarrollo del propio software o algoritmo de cifrado.

Obviamente, también cabría pensar que este argumento puede ser un mero artificio justificativo para algún programador informático con afán exculpatorio; pero la realidad es que en los últimos meses se han hecho públicas aproximaciones ciertamente preocupantes en sentido contrario , en las cuales contratistas y agencias de defensa, se involucran en el desarrollo de sistemas operativos así como sistemas de cifrado código abierto, como OpenSSL para poder introducir vulnerabilidades que a posteriori, puedan facilitarles la tarea de acceder a información y comunicaciones cifradas.

Una prueba de este tipo de actividades la tenemos en un email que envió Gregory Perry (CTO de NetSec) así como colaborador del FBI a Theo de Raadt (Líder del proyecto OpenBSD, OpenSSH, etc.), en el que le informa de que el FBI ha estado introduciendo numerosos fallos de seguridad “por defecto” para “pinchar” comunicaciones cifradas:
[…] Mi NDA con el FBI ha expirado recientemente, y quería hacerte participe del hecho de que el FBI implementó un número de puertas traseras y mecanismos de fugas de clave en el OCF , con el fin específico de supervisar las comunicaciones VPN implementado por EOUSA , la organización matriz del FBI. Jason Wright y varios otros desarrolladores fueron los responsables de las puertas traseras, y haría bien en revisar todo el código enviado por Wright, así como el resto de desarrolladores que trabajaron con él en NetSec.
Ésta también es probablemente la razón por la que perdió su financiación de DARPA, es más que probable que supiesen de la existencia de estas puertas traseras, y no quisieran seguir desarrollando productos derivados del mismo.
Esto también explica el por qué varias personas dentro del FBI han ido recientemente abogando por el uso de OpenBSD para implementaciones VPN y cortafuegos en entornos virtualizados, por ejemplo, Scott Lowe que es un autor respetado en los círculos de virtualización y que también es está en nómina del FBI , y que también ha publicado recientemente varios tutoriales para el uso de OpenBSD en máquinas virtuales para las implementaciones de VMware vSphere empresariales.
Feliz Navidad …
Gregory Perry
Consejero Delegado
GoVirtual Educación […]
Asimismo, también se han evidenciado casos en los que el Instituto Nacional de Estándares y Tecnología norteamericano recomienda formalmente ciertos algoritmos para la generación de números pseudoaleatorios, parte fundamental en un gran número de algoritmos de cifrado, desarrollados bajo el amparo del susodicho gobierno, especialmente llamativo teniendo en cuenta de que ya existía un algoritmo similar patentado en 2004 por Dan Brown (de Certicom One) y que los investigadores Dan Shumow y Niels Ferguson de Microsoft anunciaban que este algoritmo podría haber sido modificado para introducir debilidades criptográficas, habiéndose validado su existencia. Adicionalmente dichas vulnerabilidades también formaban parte de OpenSSL, el actual afectado por Heartbleed.

Como ya ha ocurrido anteriormente, Heartbleed fue descubierto por dos equipos de seguridad de forma paralela, el cual fue introducido en el código de OpenSSL en diciembre de 2011, y del que se dice que se podría estar explotando desde noviembre de 2013. El hecho de que los dos equipos de investigación actuasen de forma análoga tras descubrir el fallo, llama poderosamente la atención, pareciendo una actuación coordinada. Igualmente llamativo es el hecho de que, si realmente Heartbleed ha sido utilizado para obtener información desde noviembre de 2013, es evidente que los grupos que tenían constancia de la vulnerabilidad eran pocos: los dos grupos de investigación y el departamento de Homeland Security norteamericano.

Éste último fue notificado para que alertase a las empresas de la existencia de dicha vulnerabilidad , tardándose más de 5 meses en corregirla cuando en menos de 24 horas tras la publicación ya existían parches de seguridad disponibles.

La necesidad de los gobiernos de establecer controles sobre la criptografía, tener acceso a las comunicaciones civiles y captar información para labores de inteligencia, pueden dar lugar a esquemas de connivencia entre equipos de desarrollo a cargo de la programación de algoritmos de cifrado de forma que introduzcan de forma voluntaria y “por defecto” vulnerabilidades explotables por multitud de agentes.

Los autores de este contenido son:
  • Chema García (@Sch3m4), es Ingeniero Superior en Informática, consultor y auditor de ciberseguridad en Ecix Group y analista de THIBER, the cybesercurity think tank, especializado en el análisis y estudio de la seguridad y defensa en el ciberespacio.
  • Adolfo Hernández (@Adolfo_Hdez), es Ingeniero Superior en Informática, gerente de seguridad de la información en Ecix Group y subdirector de THIBER, the cybesercurity think tank, especializado en el análisis y estudio de la seguridad y defensa en el ciberespacio.
Nota publicada en TICbeat » Seguridad.-

Post relacionados:

Alfredo Alcón (1930 - 2014)

Falleció tras sufrir una complicación respiratoria esta madrugada en su casa, en la ciudad de Buenos Aires, a los 84 años el gran actor Alfredo Alcón. Sus restos serán velados en el salón de los pasos perdidos del Congreso de la Nación.

Alfredo Alcón (derecha) junto al director Leopoldo Torre Nilsson (izquierda)
en la filmación de El santo de la espada. Visto en Wikipedia

jueves, 10 de abril de 2014

Dos notas interesantes sobre el bug en OpenSSL para tener en cuenta

Consejos para protegerse de hackers y delincuentes cibernéticos que explotan errores como Heartbleed. ¿Hace tiempo que quiere actualizar su contraseña? Hoy es el día para hacerlo. El lunes, investigadores de seguridad cibernética encontraron un problema muy preocupante llamado "Heartbleed". Es una falla en una herramienta de codificación usada por alrededor de dos tercios de los servidores de Internet que podría ser explotada para filtrar sus nombres de usuario y contraseñas.
Por Geoffrey A. Fowler para The Wall Street Journal.

El inédito error informático llamado Heartbleed les está causando grandes dolores de cabeza a los expertos en seguridad. Mientras tanto, los sitios web intentan solucionar el problema y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.
Por BBC Mundo Tecnología.
---.---

Por éste grave problema de seguridad todos los que ofrecen servicios en línea están tomando medidas para solucionar y evitar el problema.

Se puede consultar si un servicio ha actualizado su seguridad al introducir el nombre de dominio de su website en Qualys SSL Server Test (https://www.ssllabs.com/ssltest).

Se trata de un servicio gratuito en línea que realiza un test ejecutando un profundo análisis de la configuración de cualquier servidor web SSL en Internet público. Es conveniente tener cierta preparación en el tema y leer ingles.

¿Qué sitios corrigieron su vulnerabilidad ante Heartbleed? es la consulta que más se hace, en Cnet la respondieron para algunos de los 100 principales sitios web. Allí han publicado una lista con los resultados obtenidos usado Qualys SSL Server Test. En el caso que Ud. encuentre el servicio que usa allí, con el problema superado, es importante que cambie su contraseña y asuma la importancia de cambiarla al menos cada 90 días.

Si Ud. utiliza homebanking, es muy recomendable que consulte con su banco respecto de la solución del tema.

Post relacionados:

El paro en Santiago del Estero

Por el pago sólo los micros urbanos, los ómnibus interurbanos, los de larga distancia y los vuelos de línea no brindaron servicios.

Los demás servicios funcionaron, hemos visto transporte de reparto y camiones con materiales entregando sus cargas en las obras. Taxis y remises están en la calle.

Paseo España, ubicado sobre sobre calle Absalón Rojas
en la ciudad de Santiago del Estero
Foto de Gergas (CC)Algunos derechos reservados
Visto en Wikipedia
Los comercios en su gran mayoría atienden, dicen que en algunos comercios y los supermercados se nota menos personal pero están atendiendo.

En las oficinas de la administración pública sólo aquellos que viven lejos y no tienen movilidad propia se han ausentado. Se notó importante presencia en las oficinas públicas.

Los gremios provinciales no se adhieren al paro, sin embargo algunos gremios convocados por sus federaciones se plegaron a la huelga.

Las expendedoras de combustibles y las entidades del sector financiero funcionaron normalmente.

Muchos padres no enviaron a los chicos al colegio por el tema transporte. Por ahí se dice que fue interesante el nivel de ausentismo.

No se puede decir que es un día normal porque de alguna manera las actividades están relativamente afectadas por el paro contra el gobierno nacional.

La gente está dividida, están los que de alguna manera apoyan la medida de fuerza y quienes no, y difícil decir que opinión pesa más.

miércoles, 9 de abril de 2014

Ode to Joy - Rock version por Ana Rucner

Un espectacular vídeo de Ana Rucner interpretando la Oda a la Alegría de Beethoven, el himno europeo organizado por Thomas Buritch. Compilado con hermosas imágenes de Croacia, que se disfrutan acompañadas por la música.

Visto en Vimeo

Idea de Ana Rucner. Directora: Hrvoje Hribar. Producción: Agencia turística de Croacia. Este vídeo es el más premiado de vídeo turístico con 10 premios internacionales.

Imagen: Captura de pantalla del vídeo en Vimeo
Ana Rucner (nacida el 12 de febrero 1983 en Zagreb, Croacia) es un violonchelista, creció en una familia musicalmente influenciada. Su madre y su hermano Mario Rucner son también violonchelistas en el Teatro Nacional de Croacia, y su padre es un violinista de la Filarmónica de Zagreb.

Durante sus estudios en la Escuela de Música, Ana era un miembro permanente de la Filarmónica en Maribor (Eslovenia). Esto fue seguido de premios y actuaciones en Italia y en otros países europeos.

Aconsejan cambiar contraseñas por el bug masivo de seguridad en OpenSSL

Las empresas de internet toman medidas para poner parches a sus sistemas después de que se alertara de un grave error de software en el método de encriptación OpenSSL, que ha puesto en peligro la seguridad de dos tercios de las páginas web que existen en el mundo. El fallo, llamado "Heartbleed", fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada aunque se remonta a hace dos años.