Descubren un serio fallo en el protocolo de cifrado más usado en Internet

Las conexiones seguras por internet no son seguras

Por Miguel Ángel Criado / Materia (bajo licencia Creative Commons).

Investigadores británicos descubren un serio fallo en el protocolo de cifrado más usado en la red. Grandes compañías como Google, Microsoft, Oracle o Cisco ya están trabajando en una solución.

Foto: "Google Data Center" Captura de pantalla de Google Street View, del centro de datos de Google en Lenoir,
Carolina del Norte, U.S.A

La banca online, los sitios de comercio seguro y hasta Google y Facebook usan un protocolo de seguridad para sus conexiones que no es seguro. Un atacante, con un poco de paciencia y habilidad, podría hacerse con el contenido de las comunicaciones de millones de personas, según han descubierto expertos en seguridad informática. Las grandes empresas de la red ya están sobre aviso y trabajan contrarreloj para solucionar el problema.

“Sí, todas esas operaciones están en peligro”, dice el profesor de seguridad de la información de la Universidad de Londres, Kenneth G. Paterson . Junto a uno de sus estudiantes, Nadhem AlFardan, Paterson ha descubierto una serie de graves debilidades en el protocolo de seguridad más usado para proteger las comunicaciones por internet, el Transport Layer Security (TLS, o seguridad de la capa de transporte, en español).

Este sistema, heredero del SSL (capa de conexión segura) y que mostraba una especie de candado en el navegador, tiene por misión dar seguridad a las conexiones en una red insegura por defecto como es internet. Para conseguirlo, el emisor y el receptor de una comunicación comparten un algoritmo de cifrado y unas claves con las que el primero cifra el contenido que va a enviar y el segundo las descifra. La práctica totalidad de las empresas y comercios de la red usan programas de cifrado que se apoyan en el protocolo TLS, como OpenSSL, GnuTLS, PolarSSL o CyaSSL. De esta manera, un tercero que pinchara en cualquiera de las máquinas por las que pasa esa información sólo vería un mar de datos sin sentido.

Lo que han demostrado estos investigadores británicos, en un estudio publicado hoy, es que TLS tiene un fallo en su diseño, es decir, que no depende de la implementación que cada software o empresa haga de él, que permite capturar la información cifrada en formato de texto plano, es decir, legible para los humanos. El riesgo es aún mayor con la variante del protocolo conocida como DTLS, donde el número de ataques necesarios para conseguir los datos es aún menor. En la jerga de la seguridad informática este tipo de ataques se llaman de Man-in-the-Middle (MITM, o el hombre en el medio, en inglés).

De la seriedad del peligro para las comunicaciones por internet da prueba el hecho de que Microsoft, Apple, Opera, Oracle, Cisco, Google, F5 y las principales empresas y grupos que han desarrollado software de cifrado basado en TLS/DTLS han sido avisados por los investigadores y ya están creando parches de seguridad.

Garantía imposible

“Hemos trabajado con la mayoría de ellos para ayudarles a comprender nuestro trabajo y su importancia y, en algunos casos, para desarrollar y probar parches”, explica el profesor Paterson. Muchos de esos vendedores lanzarán soluciones en los próximos días, por lo que los investigadores esperan que el problema esté solucionado pronto en las principales implementaciones. “Sin embargo, la extensión del uso de TLS es tanta que es imposible garantizar que todas lo arreglen enseguida”, añade.

Por fortuna, aprovechar esta debilidad no está al alcance de cualquier pirata informático. “Necesitarán hacer un concienzudo trabajo de codificación antes de crear una herramienta de ataque útil. No es sencillo, a nosotros nos ha llevado meses de desarrollo y experimentación”, asegura Paterson. Su ataque se basa en aprovechar mensajes de error en una sesión o conexión. “Pero, como las diferencias de tiempo son muy pequeñas, el atacante necesita poder situarse muy cerca del servidor TLS para obtener esa información de forma fiable. Esto limita la ventana de oportunidad de llevar a cabo el ataque”, explica.

Pero esa cercanía al servidor objetivo no significa que el atacante deba tener un acceso directo a la máquina, le basta con entrar en la red de área local (LAN) donde se encuentre su víctima, por ejemplo a través de una red WiFi, y esto se puede conseguir desde cualquier parte del mundo. / Por Miguel Ángel Criado / Materia (bajo licencia Creative Commons).

Referencia:

• Lucky Thirteen: Breaking the TLS and DTLS Record Protocols.

Señalan la difícil situación del sistema eléctrico de Argentina

Advierten que la situación del sistema eléctrico del país es muy difícil

Publicado por Región Norte Grande.

En los últimos días se registraron innumerables cortes de luz en diversas provincias.

El sector energético argentino necesita inversiones por u$s 15 mil millones anuales para poder acompañar un crecimiento económico de 4 ó 5% anual.

La advertencia fue realizada por el exsecretario de Energía, Daniel Montamat, quien alertó que con la actual política oficial, esos fondos “no van a venir”. Asimismo, Montamat agregó que ese monto no puede salir exclusivamente de las arcas públicas o ahorro interno, sino que se necesitan capitales internacionales.

“Eso nos obliga al desafío de repensar la política energética, porque con la actual no van a venir”, aseveró.

Consultado sobre si en las actuales condiciones el país corre el riesgo de un apagón energético, sentenció: “Así es. La Argentina tiene un problema energético que se va agravando porque nos hemos comido las reservas necesarias. El país depende del gas natural en un 51% para sus necesidades básicas de energía, y las reservas disminuyeron a la mitad, nos quedan siete años y medio del actual consumo”, describió.

Vale recordar que Montamat fue secretario de Energía durante la presidencia radical de Raúl Alfonsín. El funcionario destacó que en la historia argentina “varias veces se entramparon los precios de la energía en el cortísimo plazo”. Pero para Montamat “esta vez fue la peor de todas, porque hay algunas tarifas del sector eléctrico y gas que están sin actualizarse, con inflaciones crecientes, desde la caída de la convertibilidad en 2002”.

Por su parte, el también exsecretario de Energía, Emilio Apud, advirtió que los cortes en el suministro de electricidad serán “muchísimos mayores” si se registran altas temperaturas en la “segunda quincena de febrero o en marzo” y reiteró que el sector está “ante un problema serio”.

“Veo bastante lejos la solución al problema porque requiere tiempo y dinero. Inversiones que no se han hecho, en el orden de los 200 millones de dólares anuales entre Edenor y Edesur, no se pueden hacer de golpe porque nuestro país está lejos de los mercados de capitales”, analizó.

Demanda récord

El Sistema Energético Nacional batió el viernes otro récord de consumo de energía, mientras que continuaron los cortes de luz en distintos barrios de la Ciudad de Buenos Aires y del conurbano, así como también en provincias como Córdoba, Tucumán, Catamarca y La Rioja, ante un sistema cada vez más exigido y con necesidad de inversiones.

El consumo energético alcanzó los 22.169 megavatios registrados a las 15.35, debido a la ola de calor que afecta a todo país. Este nuevo récord supera al que había sido alcanzado el 30 de enero de 2013, cuando a las 14.30 se ubicó en 21.982 megavatios, informó el Ministerio de Planificación Federal.

El miércoles 31 de enero de 2013 también se batió el récord de energía diaria entregada al sistema, al alcanzar los 455,7 gigavatios hora (Gwh), para superar el anterior del pasado 7 de febrero de 2012, el cual fue de 454,8 GWh. / Región Norte Grande.

Sobre la seguridad del plugin de Java

No pocos opinan que "Java se está convirtiendo en un serio problema de seguridad" y es importante "entender cuáles son los riesgos de los applets de Java". En "una al dìa", el servicio de noticias y análisis sobre seguridad de Hispasec, desde el mes pasado vienen publicando unos muy interesantes post sobre entender la seguridad del plugin de Java. Una lectura más que recomendada.

Mejorar y entender la seguridad del plugin de Java (I) 

Mejorar y entender la seguridad del plugin de Java (II) 

Mejorar y entender la seguridad del plugin de Java (III) 

Mejorar y entender la seguridad del plugin de Java (IV)

Dan una interesante opinión sobre qué hay que prevenir en Java, y a partir de ello cómo configurar. Finalmente, adelantan que en una próxima entrega tratarán otras formas de proteger el plugin a través de las funcionalidades del navegador.

Actualización:
Nueva entrega:

• Mejorar y entender la seguridad del plugin de Java (y V).

Anonymous y LulzSec iniciaron el 2013 con acciones de ciberprotesta contra websites oficiales argentinas

Anonymous y LulzSec Perú realizaron durante Enero y éste 1 de Febrero una serie de ciberataques, que son consideradas "acciones de ciberprotesta", contra varios websites de diferentes instituciones gubernamentales argentinas, generando un verdadero dolor de cabeza a sus responsables. Como el INDEC, fueron atacados los websites del Ministerio de Defensa, de la Policía Federal, y de la Provincia de Buenos Aires.

Durante el ataque del 1 de Febrero "Brazo argentino" de Anonymous atacó los websites: http://policiafederal.gov.ar; http://www.sistemaspfa.gov.ar/ y http://www.buenosairesgestion.gba.gov.ar/, y publicó un mensaje en Twitter que había dejado in operativas esas páginas, y “colgaron” en una de ellas un amenazante mensaje diciendo "este 1 de febrero debe marcar el inicio de la `guerra por nuestro pueblo´".

Fuente:

• Los “hacktivistas” comenzaron el 2013 “tomando de punto” a varios sitios web del Gobierno argentino. Por Cesar Dergarabedian para iProfesional.com.

Post relacionado:

• "Brazo argentino" del grupo Anonymous ataca website del Indec. 17/01/2013.

Standard & Poor's Ratings Services sería demandada en Estado Unidos

Gobiernos federal y estatales de EE.UU. planean demanda contra S&P.- "El Departamento de Justicia de Estados Unidos y fiscales estatales pretenden demandar civilmente a Standard & Poor's Ratings Services por irregularidades vinculadas a la calificación de bonos hipotecarios antes de que estallara la crisis financiera en 2008, según fuentes al tanto". Por Jean Eaglesham, Jeannette Neumann y Evan Pérez para The Wall Street Journal.

La Casa Blanca planea acuerdo público-privado sobre la seguridad cibernética

Se está informando que el presidente de EE.UU., Barack Obama, espera llamar al intercambio de información y la cooperación entre el sector privado y el gobierno, para establecer un nuevo conjunto de normas para las empresas que operan infraestructuras críticas de EE.UU..

Según se ha informado el gobierno del Presidente Obama quiere evitar los ataques catastróficos y construir sistemas más flexibles para los operadores de infraestructuras críticas. Se establecerá una orden ejecutiva para empresas involucradas en estas áreas. La administración pedirá, a las empresas participen voluntariamente, los nuevos procedimientos que se deben escribir un plazo de 120 días para una iniciativa que se llamaría "Ciberseguridad Servicios Enhanced", con la cual se abordarán las preocupaciones de seguridad cibernética.

Según el acuerdo, el gobierno de EE.UU. entregará detalles de sus preocupaciones de seguridad cibernética a las grandes empresas. Algunos creen que la orden ejecutiva podría abrir la puerta a una nueva legislación de seguridad cibernética.

Se espera que el Presidente Obama publique el decreto sobre ciberseguridad y protección de infraestructuras críticas después del debate del Estado de la Unión del próximo día 12 de febrero.

Aunque grupos de presión ya anularon un esfuerzo por aprobar una ley integral de seguridad cibernética en el Congreso el año pasado, se ha informado que Kiersten Coon Todt, ex alto funcionario del Senado Comité de Seguridad Nacional y ahora presidente de Liberty Ventures Group, señaló que las empresas se han comprometido con un nivel de "diligencia e intensidad" que el sector financiero en particular, nunca antes había experimentado.

Fuentes:

• White House plans public-private cyber security deal. TechEye. 04/02/2013.
• Obama aprobará un decreto sobre ciberseguridad. Computerworld. 04/02/2013.

El valor del Dólar alrededor de $ 6,30 según el Índice Big Mac

El Índice Big Mac para la Argentina oculta un tipo de cambio real de $6,30.- "...para equipararse a los u$4,35 que se despacha en los EEUU y Chile el tipo de cambio oficial de mercado debiera subir a $6,30. Esto indica que la paridad cambiaria mantiene un atraso de casi el 30 por ciento. Cabe destacar que si la metodología de cálculo utilizara el tipo de cambio de mercado libre que el viernes quedó en $7,92 por dólar, el valor de la clásica hamburguesa base resulta de apenas equivalente a u$s2,43, fenómeno que pone al descubierto una devaluación del peso de casi el 45 por ciento". Por Daniel Sticco para Infobae.

Interesante artículo para aquellos que por éstos rumbos santiagueños andan estimando el valor de la moneda estadounidense en relación al precio de la docena de empanadas. Ojo!, no le andan lejos los changos.