sábado, 17 de mayo de 2008

Windows Original o Linux????


Esto me parecio una verdadera publicidad para Linux, verdaderamente muy importante.
La publicidad de Microsoft, dice:

"Cuando un proveedor le ofrece una PC con windows trucho desconfie, se esta cometiendo un delito".

"Es una infracción al aLey Nº 11.723 de Propiedad Intelectual"
Si un profesional le recomienda Windows trucho es probable que tambien le esté vendiendo componentes de baja calidad. Utilizar copias piratas de software puede ser peligroso y traerle muchos problemas:
  • Un menor nivel de seguridad en su PC.
  • No acceder a las actualizaciones gratuitas.
  • Su PC funciona más lento.
  • Su proveedor no se hará responsable por el servicio técnico.
LLAME AL 0800 999 4617 Y VERIFIQUE SI SU PROVEEDOR DE SOFTWARE ESTÁ REGISTRADO EN MICROSOFT".

Simplemente muy acertado, me parece que nosotros los profesionales, entre los cuales me incluyo deberiamos tener en cuenta esto, y ofrecer verdaderamente un servicio real y confiable, por el cual podamos garantizar ciertas libertades y condiciones generales.

Muchas grandes cadenas venden PC con software libre y es el tecnico que viene a instalarlas, el que se encargar de instalarnos el Windows trucho, cobrando obviamente. Estas grandes cadenas saben de esto y no hacen nada, ademas si uno quiere utilizar el Linux que viene instalado se dara cuenta que este no funciona como deberia, no soporta todo las recursos que compramos o no lo hace de la manera que deberia. Esto es debido a que no se configuran los equipos para que funciones correctamente, contribuyendo a la instalacion software pirata.

Luchando contra Google???

Hace unos dias, encontre en mi cuenta de gmail (www.gmail.com), que tenia nuevas funcionalidades, desgraciadamente las pocas que he podido apreciar me satisfacen. Asi que opte por volver a la version anterior, eligiendo la opcion en la parte superior.
Grande fue mi sorpresa y aun mayor mi decepcion al ver que no contaba con la posibilidad de utilizar el chat.
Verdaderamente, quede decepcionado al saber que me imponian utilizar la nueva version para poder utilizar el chat, que tan util me es.

Sera que estamos ante un nuevo monopolio?????

Problema critptográfico de Debian

Por estos dias me encuentro realizando un curso "Impacto Juridico de las Nuevas Tecnologías", y se estan tratando temas interesantes:
  1. Firma Digital
  2. Protección de datos y educación.
  3. Régimen legal de ls Telecomunicaciones.
  4. Datos personales y seguridad de la información.
  5. Software y Pirateria.
  6. Protección de datos en la Banca.
  7. Protección de datos y marketing.
  8. Protección de datos y salud.
  9. Propiedad Intelectual.

Este articulo me parecio verdaderamente interesante y sorprendente desde muchos puntos de vista, el error fue encontrado por uno de los acompañantes que vinieron a Santa Fe a realizar el Seminario de Segu-Info, Luciano Bello - Debian Developer.

---------------------------------------------------------------------------------------------------

"El problema encontrado en OpenSSL de Debian puede ser considerado, lamentablemente, un verdadero acontecimiento criptográfico. La criptografía es una ciencia compleja, y con el ánimo de aclarar las graves y extensas consecuencias del fallo, hemos redactado una serie de preguntas frecuentas para intentar, aun tratándose de un tema tan complejo, arrojar algo de luz.

¿Qué ha pasado exactamente?

Alguien (por error) del equipo de Debian eliminó una línea de código en el paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular el par de claves pública y privada. Las claves sólo se calculaban tomando como semilla el PID del proceso. Al estar limitado a 32.768 semillas (tantos como PIDs de proceso son posibles) para la generación de números seudoaleatorios, el número de claves posibles es pequeño. Se han estado generando las mismas claves dentro de este número limitado de posibilidades desde septiembre de 2006. Como son pocas y de entropía pobre, se puede deducir la clave privada a partir de la pública porque el espacio de primos es muy pequeño y está precalculado. Ya se han generado listas disponibles para todos con la clave pública (del espacio a que han quedado limitado después del fallo) y su
correspondiente privada. Para los usuarios de este OpenSSL de Debian sin entropía suficiente, se han roto las reglas de la criptografía asimétrica en la que por ahora confiamos todos y que sustentan las bases de la (poca) seguridad y confianza que pueda existir en Internet.

¿Es tan grave como parece?

Es más grave. Mucho más grave. Podríamos considerar que la criptografía de Debian en los últimos dos años ha sido una pantomima. Y es grave además porque no se resuelve por completo parcheando. Esa no es la solución definitiva. Hay que regenerar claves, revocar las antiguas, certificarlas en el caso de SSL, comprobar dónde fueron a parar claves generadas con Debian... No es un bug en un programa que eventualmente quedará obsoleto porque todo el mundo estará parcheado. Habrá administradores que no comprueben la debilidad sus claves, servidores SSL que jamás certifiquen de nuevo sus claves, claves perdidas de usuarios que dejen la puerta abierta a servidores SSH... También es grave porque arrastra a decenas de programas y sistemas que se valen de claves generadas con OpenSSL. SSL, SSH, OpenVPN, DNSSEC... Alguien lo ha calificado de "apocalipsis criptográfico". Además los principales perjudicados son los servidores que precisamente hayan buscado más seguridad con la criptografía de clave pública, porque contenían información crítica.

El SANS Internet Storm Center ha elevado el nivel de alerta general a 'amarillo'. No ocurre a menudo.

¿Cómo ha podido ocurrir?

Ha sido todo un desafortunado error. Aunque surgirán las teorías conspiratorias porque el código abierto ha estado ahí durante dos años, no ha sido hasta que Luciano Bello se ha dado cuenta que se ha corregido el fallo y se ha dado la voz de alarma. Pero el daño ya está hecho. Dos años de claves débiles generándose en cientos de miles de sistemas. Ha pasado desapercibido porque en general cualquier programa es complejo, pero la criptografía lo es aún más. Además, Bruce Schneier dijo algo así como 'Good security looks the same as bad security' ('La buena seguridad
se ve igual que la mala', frase aplicable aún más a la criptografía).

Kurt Roeckx fue quien planteó en un principio borrar líneas que consideraba problemáticas. Existe un correo de 2006 en una lista pública, en el que Roeckx plantea en una lista de OpenSSL qué pasaría si las eliminara. Pregunta si resultaría en una posible pérdida de aleatoriedad. La respuesta no oficial desde OpenSSL es que "no mucho" y que es partidario de borrarlas si ayuda en la depuración. Y era cierto, esas líneas no suponían problema: el problema es que en Debian se borraron más líneas de la cuenta, de las habladas en la conversación y para colmo los cambios no se enviaron a OpenSSL para que fueran revisados.

¿Se soluciona parcheando?

No. No se trata de un fallo de seguridad al uso. Ha existido una fuente de claves inseguras que se han esparcido durante dos años. Hay que comprobar y regenerar claves. El fallo fue anunciado a la vez que el parche, pero hay que tener en cuenta, que las primeras versiones de los parches para Debian y Ubuntu contenían regresiones. Han publicado nuevas actualizaciones para los propios parches que es necesario aplicar también.

¿Qué pasa si tengo un servidor web con acceso por HTTPS?

Si las claves han sido generadas con la versión de OpenSSL con el problema, las consecuencias son que alguien se puede hacer pasar por el servidor porque tendrá la privada de forma instantánea a partir de la pública. Además, cualquiera que haya tenido acceso a una conversación cifrada con el servidor, podría también descifrarla. Esto es así porque la clave simétrica que se utiliza para el cifrado ha sido intercambiada con la ayuda de claves asimétricas débiles. Un administrador debe además revocar la clave, generar una nueva, enviarla a la Autoridad Certificadora (que cobra por certificar) e instalarla. La catástrofe hubiese sito total, si una Autoridad Certficadora, hubiese generado claves y firmado certificados con estas claves débiles, pues el problema se extendería hacia abajo a todos sus clientes, en cuyos certificados ya no se podría confiar. Al parecer han comprobado que las principales Autoridades no se ven afectadas.

¿Qué pasa con SSH?

Los administradores que controlan sus sistemas a través de SSH se suelen autenticar a través de su clave privada y el servidor de SSH almacena la pública correspondiente. Esto es más seguro que usar una sola contraseña simétrica para autenticarse. El servidor cifra una cadena con la clave pública del que pretende autenticarse y se la envía, si puede descifrarla le deja pasar. En este caso puede que la clave pública sea realmente pública o no. En el primer caso, deducir la privada es instantáneo, y en el segundo caso, si no se conoce la pública, se debe hacer un ataque de fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos 20 minutos con un ordenador de hoy día. Se ha creado un exploit para esto.

Todos los administradores que permitan a sus usuarios utilizar la clave privada para acceder a sus sistemas a través de SSH, deben auditar las claves para saber si son de las "débiles". Los administradores de SSH también se encuentran ante una tarea concienzuda, peligrosa, (y que deben emprender ya) incluso si no utilizan Debian, porque puede que sus claves hayan sido generadas en una distribución Debian y exportadas.

Los administradores de SSH comprobarán, con total seguridad, como los intentos de acceso ilegítimo se multiplican en estos días.

¿A Windows le pasó lo mismo?

No. Se demostró que el generador de números aleatorios de Windows era débil, pero la diferencia es que según el estudio, había que conocer el estado previo del generador para saber el siguiente cálculo. Esto podría permitir descifrar conversaciones SSL entre dos sistemas. Pero para poder llegar a tener acceso a esa información inicial de la que se deducirían el resto de "estados del algoritmo", un atacante necesitaría poder tener acceso como administrador en el sistema. Digamos que para poder aprovechar el problema del algoritmo y poder descifrar la información, necesitaría tener el total control de la máquina para llegar a conocer un estado, con lo que el sistema ya estaría comprometido en sí.

Conclusiones

Lo peor no está ocurriendo ahora. Lo verdaderamente grave ha podido ocurrir antes (en los últimos dos años si alguien ha conocido este error y lo hubiese mantenido en secreto) y después (lo que nos espera a medida que se vaya descubriendo que sistemas importantes ha generado claves débiles)."

Fuente:http://www.hispasec.com/unaaldia/3492/comentar

sábado, 10 de mayo de 2008

Reunión Pyar Santa Fe - 9 de Mayo 2008




Anoche se realizo con exitos la reunion de Pyar en santa Fe, por decir de alguna manera, eran mayoria los entrerianos.
Hablamos de varios temas:
  • Pyweek
  • OLPC
  • 3ª Jornada Python en Santa Fe.
  • otros...
Fueron variado los temas, y sobre todo, me dejo unos puntos para analizar. Como siempre esto de las reuniones, a mi, me viene genial escuchos cosas muy interesantes y me dan pautas para investigar sobre nuevas herramientas y nuevas formas de pensar.
Como cierre, sortearon mechardacing (creo que se escribe asi). verdaderamente Gane!!!!!

viernes, 9 de mayo de 2008

Ubuntu de 7.10 a 8.04

Cerca del comienzo del dia de ayer actualize mi version de Ubuntu 7.10, que tan feliz me hace. habia una actualizaciones de seguridad esperando para descargarse e instalarse.
Procedi de la manera habitual abri el Gestor de Paquetes Synaptic y las selecciones, ingrese la contraseña y listo se bajaron e instalaron.
Fue ahi que note que podia actualizar mi Ubuntu 7.10 a 8.04 si mas que presionar el boton de Actualizar.
Precionado el boton me dijo los pasos que deberia seguir y listo comenzo a descargar los paquetes necesarios para su actualizacion. Como ya era tarde me acoste a dormir y deje la PC descargando.
Me levante para ir al laburo y ya estaba en las ultimas, estaba informando un error de conpatibilidad, asi que envie el correspondiente informe y deje que continuara mientras me cambiaba.
Informo 3 incompatibilidades (qemu, virtualbox, y pidgin), ninguno causo molestias, para nada y listo antes de irme al laburo ya tenia mi Flamante Ubuntu 8.04 andando.
Lamentablemente lo deje esperando hasta las 15 que fue cuando llegue a casa. pero estoy muy contento pense que iba a necesitar mas tiempo y mas interaccion por parte mia.
Verdaderamente estamos rompiendo la barrera con M$, y simplificando muchas otras.

Verdaderamente, Ubuntu es simple, completo y no le envidia nada a nadie.

jueves, 1 de mayo de 2008

Modem Wi-Fi (Fin)


Luego de varias idas y vueltas, me sente a instalar el modem Wi-Fi de Arnet, verdaderamente simple. Ahora ya podemos juntarnos en casa a compartir la conexion.

El modem lo compro mi hermano en un esfuerzo por tener Internet en su casa, ya que no tiene telefono fijo y no pretan el servicio por cableModem en esta zona.

Asi que le dije que necesitamos comprar este modem, pensando a futuro en comprarme una Notebook, para mejorar asi mis comodidas de moverme dentro de casa, y sacar de mi pieza el fabuloso monitor de 17" CRT Samsung.

Ademas es mas sencillo compartir Internet con el, ademas de proveer tambien a una vieja maquina que tenemos en casa (Pentium 200 MMX)y a la actual (AMD 2000). Asi que ahora si estariamos verdaderamente todos conectados.