Noticias::Artículos
Iván Sánchez (de Null Code Services) ha informado de la existencia de una vulnerabilidad en la utilidad Nslookup de Microsoft Windows, una herramienta de línea de comandos que se utiliza para comprobar los servidores DNS.
La vulnerabilidad (sobre la que aún no se han dado detalles) permitiría la ejecución de código arbitrario en la máquina víctima, incluso si ésta ejecuta Windows XP SP2 totalmente parcheado.
De momento no existe parche. Microsoft asegura estar estudiando la situación, mientras algunos medios afirman que la vulnerabilidad ya está siendo activamente explotada...
A través de un artículo en PC World, llego a las declaraciones de principios sobre seguridad y privacidad en Internet de los dos candidatos a Emperador presidente de los EE.UU.: el republicano John McCain y el demócrata Barack Obama.
De McCain se ha dicho que sabe menos de Nuevas Tecnologías que el tendero de la esquina, mientras Obama pasa por ser un avezado usuario de artefactos tecnológicos, incluida su inseparable BlackBerry.
A mi modo de ver ninguno dice gran cosa, y si le añadimos que este tipo de declaraciones son presumiblemente creadas por sus gabinetes de comunicación a la medida de lo que sus probables electores desean oir, y que llegado el momento cualquier presidente hará lo que le parezca, el asunto completo no puede resultar más intrascendente; un mero entretenimiento para un día festivo.
En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.
El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.
Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después "Guardar cambios":
OpenID prometía, pero a mí sólo me producía desconfianza. Por eso rechacé en su día algunas sugerencias sobre su implementación en Kriptópolis.
La idea tras OpenID es sencilla: con el mismo usuario y contraseña puedes acceder a tus cuentas en todos los blogs que soporten el sistema.
Ahora, varios investigadores han descubierto que al menos tres grandes proveedores de OpenID (entre ellos el de Sun Microsystems) han utilizado certificados digitales debilitados por el famoso bug de Debian. La combinación de esto con la vulnerabilidad DNS de Kaminsky forma un cóctel letal, que impide confiar en esos proveedores. En estas condiciones, un atacante puede utilizar ambas vulnerabilidades para dirigir a la víctima a un falso proveedor que, sin embargo, mostraría un certificado válido, obteniendo así, de una sola tacada, sus datos de identificación para cualquiera de los 9.000 sitios que utilizan OpenID...
Actualización (12:52): Afortunadamente Hacienda ha reaccionado. Al menos hora mismo la página afectada ya no está accesible:
Recién llegada la democracia, los partidos no se fíaban de los restos del régimen franquista, la amenaza del golpismo y el pucherazo... ni de los otros partidos. Todo ello hizo que se desarrollara una ley electoral fruto de la desconfianza, llena de garantías y procedimientos de comprobación y verificación. Una ley tan buena y efectiva que consigue hacer recuentos en tres horas, y que es ejemplo para muchos otros países.... Lástima que ni los electores ni los elegidos hagan honor a dicha ley, pero ésa es otra historia...
Yo vivo, trabajo y como gracias a internet, pero precisamente por ello soy consciente de que hay cosas y aplicaciones que no se deben hacer en el mundo virtual. Existe una definición para este tipo de programas que no son sino propaganda, proyectos para cobrar la subvención, y autobombo del gobierno de turno: molaware.
El voto electrónico no es una cuestión de nuevas tecnologías. Es una cuestión de Libertad.
Jonsito dixit... y yo no puedo estar más de acuerdo.
Según acaba de informar The Register, la defensa de Gary McKinnon ha logrado que su caso pase a ser considerado por el Tribunal Europeo de Derechos Humanos, sobre la base de que su extradición, y su más que probable sometimiento de McKinnon a la jurisdicción militar norteamericana, podrían vulnerar sus derechos civiles.
En el peor de los casos, esta acción retrasaría su extradición al menos hasta el 28 de agosto.
Es un tema interesante, al que debería prestar atención cualquiera que tenga una empresa con presencia en Internet y algún riesgo especial de ser espiada.
Al parecer algunos indeseables registran dominios similares al de ciertos objetivos, que sólo se diferencian por algún error típico al escribirlos. Para más sospecha, muchos de estos dominios ni siquiera disponen de página web (o disponen de la típica página estándar del alojador del dominio) pero sí disponen de registros MX que les permiten recibir email.
Por tanto -y por poner un ejemplo- si alguien dirige un email importante (y sin cifrar, claro) al editor de kritopolis punto org, ese mensaje podría ser leído por la gente inapropiada.
Conclusión: no está de más que quienes puedan ver en esto un problema serio comprueben si están registradas ligeras variaciones con errores tipográficos de sus dominios...
KeyCzar es un proyecto open source (licencia Apache 2.0) surgido del equipo de seguridad de Google, que intenta proporcionar al programador un "toolkit" que le permita implementar criptografía segura de forma rápida y sencilla.
De momento sólo dispone de implementaciones en Java y Python, con C++ en proyecto.
Los ejemplos disponibles en su página web son un perfecto ejemplo de cómo KeyCzar puede simplificar las cosas, pero también está disponible un documento más detallado.
Por Román Ceano
Este dia en que brilla el sol con la luna,
la flecha abandona el arco.
Conmigo están cien millones de almas,
el dia que la luna brilla,
y el sol brilla también.-- Matsushita
LA CAIDA
Singapur era la verdadera joya del Imperio. No sólo su posesión inmueble más valiosa, sino también el símbolo de su vigencia. En la India, 250 años de ocupación apenas habían logrado rascar la superficie de una sociedad con su propia tradición milenaria. En cambio en Singapur el Imperio había llevado a una región casi virgen la semilla del mundo moderno. Allí había germinado y si ahora las raices llegaban hasta el Himalaya, sus ramas daban sombra a todo el hemisferio.
Fue fundada al término de las guerras napoleónicas para ser la capital de la enorme extensión de tierra virgen que la derrota de franceses y holandeses en Europa ponía a disposición de la Compañía Inglesa de las Indias Orientales. Era un área varias veces mayor que Europa, limitando al oeste con el Virreinato británico de la India (el Raj), al norte con China y al este con las posesiones francesas en la costa de Vietnam.
Su fundación fue un acto plenamente imbuido de todos los valores de Occidente. Los empleados de la Compañía contemplaron cuidadosamente mapas de todas las escalas. Varias localizaciones prometedoras fueron visitadas para comprobar la profundidad de los puertos naturales, la naturaleza del fondo, las corrientes, la configuración del terreno situado más hacia el interior y la situación política de los reinos titulares.
La racionalidad dictó sentencia señalando una isla casi llana de unos 30 Km de anchura situada en la punta inferior de la península malaya. Estaba en el cruce de caminos entre dos continentes y dos océanos, el lugar más céntrico del hemisferio Oriental...
