Y2K36: protocolo de sincronización de tiempo (NTPv3)

El protocolo de sincronización de tiempo (NTP) se utiliza para mantener el reloj de las computadoras en la hora correcta. Muy utilizado en internet y de muy alta precisión. Sin embargo, su versión 3 tiene un límite de precisión de poco más de 136 años.

Utilizando como fecha cero el 1º de Enero de 1900, la marca de 32 bits para los segundos implica que el problema sucedería en el año 2036. Afortunadamente, el protocolo ya previno dicho inconveniente y su última versión NTPv4 ya utiliza 64 bits para dicha representación, suficiente como para mantener las horas sincronizadas hasta el fin del universo.

Sin embargo, numerosos sistemas aún utilizan la versión 3. En particular, Windows XP y Windows Server 2003, sistemas operativos utilizados desde hace 6 ó 7 años. Y, por lo que pude leer, Windows Vista utilizaría la misma aplicación, lo que aumenta las probabilidades de que haya problemas al respecto con estos sistemas operativos.

Y2K38: tiempo Unix

Los sistemas basados en Unix cuentan el tiempo en segundos desde el 1º de Enero de 1970 (llamado Epoch) con 31 bits - 32 en realidad, pero 1 bit es para el signo -. Esto quiere decir que sólo pueden contar hasta 2147483647 (un poco más de 2 mil millones) segundos, equivalente a las 03:14:07 del 19 de Enero de 2038 en UTC. Esto sería la 01:14:07 en Argentina si para aquél entonces todavía cambiamos la hora como hicimos este verano (las 00:14:07 si no).

Eso nos da aproximadamente 30 años, pero hay aplicaciones que trabajan 30 años a futuro. En particular: aquellas que son utilizadas para préstamos hipotecarios o similares. Ésto, sin embargo, podría llevar a errores de cálculo en este momento si dichos programas hacen una simulación de los pagos de dichos préstamos.

El problema no existe en plataformas de 64 bits, cuya adopción debería de ser popular para aquél entonces. Sin embargo, una solución para los dispositivos de 32 bits es necesaria. Y cualquier cambio que se haga será complicado de implementar ya que implicaría romper muchos programas que no están preparados para ello.

Por suerte el futuro queda muy lejos

Sin embargo, dados recientes estudios, el NIST (Instituto Nacional de Estándares y Tecnología - USA) publicó 4 algoritmos para generar números pseudo-aleatorios. Uno de ellos utiliza una gran cantidad de constantes cuya explicación brilla por su ausencia. Como si eso fuese poco, hace unos meses descubrieron que esas constantes tienen relación con otros números que formarían el esqueleto de una llave maestra que permitiría predecir la generación de números. Esto, evidentemente, es un problema de seguridad grande como una casa.

Aquí traduzco el artículo completo escrito por Bruce Schneier (una persona dedicada a la seguridad y la criptografía desde hace décadas) y publicado en Wired el día de hoy.

Notas de Traducción

• Esto es una traducción, el original debe de ser atribuído a Bruce Schneier
• Los links se mantuvieron como en el original, por lo que seguramente conducen a información en inglés
• Los acrónimos utilizados tendrán su correspondiente traducción aunque ésta no se encuentre en el original
• Artículo Original: Did NSA Put a Secret Backdoor in New Encryption Standard?

(more…)

He aquí una recopilación de lo que pasó (y sigue pasando) con el DRM en este año:

(more…)

1. /etc/password: el archivo donde están los usuarios (las contraseñas se guardan en otro archivo en el 99% de los sistemas)
2. el perfil de Firefox: lee desde las configuraciones del perfil hasta los plugins instalados

Como si fuese poco, hace tiempo ya se comprobó que Skype para Windows lee la BIOS.

Si uno lee un poco hay al menos un par de razones para necesitar leer estos archivos:

• El programa necesita saber dónde está nuestro home
• Quiere convertir un UID a un nombre de usuario o viceversa
• Verifica si tenemos instalado o activado el plugin de Skype para Firefox

Eso sí, ¿por qué no pide permiso para hacer esas cosas? ¿por qué no hay algún tipo de respuesta oficial al respecto? Yo no me preocuparía demasiado; pero he aquí un gran punto a favor del Software Libre y el de Código Abierto. De tener acceso al código podríamos saber exactamente qué es lo que hace con la información que busca y nadie se preocuparía.

Por un lado, vía TechTear Mozilla libera una herramienta para probar software. Básicamente, toma un programa y lo hace trabajar como si alguien lo estuviese usando pero de forma aleatoria. Este tipo de software no es novedad y existe desde hace años (le llaman “Testing Difuso”), pero éste es el primero liberado para ser usado por quien lo desee y con el respaldo de la Fundación Mozilla. Quienes acertadamente dicen que la seguridad de su sistema depende de los usuarios, al liberar esta aplicación sólo les están dando más herramientas.

Sin embargo, Christen Krough, vicepresidente de Opera dice que liberar este tipo de aplicaciones es completamente contraproducente debido a los usos indebidos que se le pueda dar. Mi opinión al respecto es completamente opuesta:

si alguien puede encontrar un agujero de seguridad haciendo uso de las mismas herramientas que podemos tener nosotros nos merecemos que nos hagan lo que fuera que nos quieren hacer

Como si eso fuese poco, via Slashdot me entero que ya existe una forma de obtener acceso a una cuenta con dos clicks. Durante la conferencia de seguridad “Black Hat”, Robert Graham explicó y demostró en vivo cómo podía obtener acceso a una cuenta sin necesidad de saber el nombre de usuario o la password de quien quiera. Lo único que necesitaba hacer es capturar la información que entra y sale de la PC. Cosa que sería muy complicada de no ser por la popularidad de las conexiones WiFi, una puerta abierta para que todos vean lo que hacemos.

Graham desarrolló dos aplicaciones de uso muy específico (que serán liberadas) que permiten obtener acceso a cualquier cuenta que utilice cookies. No importa de qué servicio sea, ni quién la utilice… nisiquiera necesita la contraseña. Sólo obtiene la información de las cookies con un programita, y con otro programita duplica esa información en su propio navegador y voilà, acceso instantáneo. Obviamente, no funciona en conexiones seguras tipo SSL, VPN o sobre SSH.

Nuevamente si no tenemos cuidado sobre cómo accedemos y enviamos nuestra información no podemos pedir que no nos saquen todo.

Salió bien, según uno de los presentes: No lo vendí, fui directo a la información importante y útil. Si bien sé que lo dijo como queriéndome ayudar para la próxima vez (en caso de que la haya) fue justo lo que yo quería lograr. Para explicaciones detalladas y largas hay mucha documentación ya, yo tenía una hora para resumir las 30 páginas que había escrito y pretendía demostrar las capacidades del sistema, no dar un curso detallado sobre cómo usar iptables ó cómo armar un firewall.

Mi visión sobre las herramientas que manejo es demostrar las capacidades del sistema. No sólo porque eso es lo que realmente interesa, sino porque eso es lo que me convence a mí. Obviamente di alternativas a iptables (aunque sobre la hora y bastante apurado), muchas de las que no manejo por lo que no puedo opinar objetivamente; pero eso queda en cada uno. Yo ya mostré qué es lo que se puede hacer con todo esto, cada quien que tome lo que quiera.

Si quieren leer lo que dije pueden bajarlo bien desde la página de GrULiC o bien desde esta misma página. Es un archivo PDF de poco menos de 200K con el informe y, si bien tiene más detalles en algunas cuestiones que en las que no me detuve durante la charla, no contiene exactamente todo lo que se dijo :P. Se podría trabajar un poco más en el formato; pero no lo voy a hacer por ahora.

Pueden utilizar el documento para lo que gusten. Estaría bueno que me contaran también para ver cuán útil fue (y de paso les puedo dar una mano)

Gracias a GrULiC por la oportunidad y a todos los que fueron.

El año pasado, como parte de la materia Redes y Sistemas Distribuídos, hice un trabajito de investigación al respecto y resultó más interesante de lo que creía. Lo vieron unos amigos y me dijeron que podía hacer una charla al respecto en el marco de las Charlas de GrULic. Por ello, considérense cordialmente invitados:

El próximo Miércoles 15 de Noviembre, a las 21hs., en el aula 34 (subsuelo) de la Facultad de Ciencias Exactas, Físicas y Naturales, sede centro (Vélez Sársfield y Duarte Quirós de la ciudad de Córdoba), Matías Bellone dará una charla titutlada “iptables en español (aka: dejá el paquete sobre la mesa)“. Entrada libre y gratuita.

Resumen de la charla

Desde 1998 un grupo de gente decidió cambiar la historia del manejo de conexiones en Linux. Modificó el kernel, logró que sus cambios se introdujeran al código principal y crearon la herramienta más potente desde la creación de root. Un repaso de su historia, funcionamiento y capacidad en completo español.

Recuerdo que Franco había dicho tener un router FON activo en Córdoba pero no lo encontré. Lo que sí es impersionante la cantidad que hay en Buenos Aires y Capital Federal. Pueden ver dónde están en todo el mundo gracias a los Mapas FON que funcionan sobre Google Maps

En estos días, FON estuvo regalando Foneras en Alemania y Austria bajo la condición que éstos fuesen conectados y utilizados como puntos de acceso FON. He aquí que unos muchachos, estudiantes alemanes, encontraron la forma de entrar al sistema sobre el que trabaja la Fonera y publicaron cómo. Obviamente, la publicación fue en inglés… ahora también en el idioma de cervantes

Las razones

Debido al revuelo causado, los autores han publicado un breve artículo explicando porqué lo hicieron. Dejan muy claro que no pretenden que se usen los routes para otra cosa, boicotear una propuesta como la de FON - que nos beneficia a todos - es simplemente estúpido. Los fundamentos sobre porqué lo hicieron son muy claros; entre ellos:

• Tener control sobre nuestra red: la Fonera procesa y transfiere todos nuestros datos en nuestra red. Un hacker que ingrese a FON podrá meter código arbitrario (como un sniffer) en nuestro router.
• Verificación: FON publicó el código fuente; pero no hay forma de comprobar que dicho código fuente es el que hace funcionar la Fonera (por cuestiones de DRM).
• Seguridad: Todas las Foneras tienen la misma autoridad, con sólo el nombre de usuario y contraseña de la cuenta FON podemos insertar todo lo que queramos dentro de la Fonera de esa persona… inclusive un programa que saque los nombres de usuarios y contraseñas de los usuarios FON que se conecten a nuestro router.
• Inevitabilidad: pretender que la Fonera iba a ser una caja negra permanentemente es una ilusión que nosotros demostramos errada. El que alguien lo hiciera con posibles intenciones maliciosas era una cuestión de tiempo.

Notas de Traducción

• El artículo fue traducido y publicado con permiso por escrito (via un comentario) de uno de sus autores: Stefan Tomanek y Michael Kebe
• Es muy probable que los links conduzcan a sitios en inglés
• Artículo original: Hacking the La Fonera
• Vía Slashdot

(more…)

Muchos le echan la culpa a los geeks, otros a los usuarios. Que unos no hacen sistemas confiables, que no toman las precauciones necesarias o que son ellos mismos (los de “su tipo“) los culpables de tanta inseguridad. Los otros dicen que el usuario promedio no sabe qué es lo que hace, que utilizan claves de diccionario o fáciles de adivinar, que hacen click en cualquier lado y revelan información que no deberían. Yo creo que están equivocados… los dos. El problema de la seguridad es de todos.

Tanto de quienes somos responsables de diseñar, construir, implementar y/o mantener sistemas, como aquellos que los utilizan. Pero hay un tercer personaje en esta novela: los medios. Reconozcamos que, por más que nos esforcemos, es complicado hacerle entender al usuario promedio qué es el phishing, cómo decidir qué información revelar o cómo detectar ventanas falsas y sitios peligrosos. En cambio, si lo ven en el diario, el noticiero, o en un blog o sitio de internet que les interese sí prestan atención.

Pero ¿qué pasa cuando esos medios dicen cualquier cosa, o verdades a medias? Es entonces donde se arma el revuelo y todos apuntan dedos. Pero nadie hace nada. Claro ejemplo es un artículo en DiarioTI avisando de un grupo de hackers que publican una vulnerabilidad por día durante Julio. Los errores del artículo son, a mi entender, los siguientes:

• Falta de links: no hay ni un mísero vínculo para poder informarte más al respecto.
• Presunto mal uso de la palabra hackers: el término, si bien está correctamente utilizado, tiene una connotación completamente negativa. El publicar una vulnerabilidad es justamente lo que enaltece el trabajo realizado y los hace hackers y no crackers ya que ésto obliga a los desarrolladores a preparar sus productos contra dicha vulnerabilidad. Caso contrario, cualquiera (y no sólo ellos como sucedería en caso que no la publiquen) podría utilizarla para sus propios objetivos non-sanctos.
• Falta de información: dicen que publicarán vulnerabilidades, no especifican cuáles ni sobre qué navegadores. Estando una semana ya dentro de Julio, significa que se han publicado al menos 7.
• Causar pánico: no dicen cómo protegerse en contra de estas vulnerabilidades. Ni siquiera proveen de recursos para informarse más al respecto.

En caso de haber contenido toda esa información, el artículo sería útil tanto al usuario como a los encargados de sistemas. Además, la publicación gana prestigio y/o audiencia. Todos ganan. Pero no es negocio la seguridad si no se hace escándalo. Otro ejemplo: todos anuncian que Micro$oft dejará de dar soporte a Windows 98/98SE/ME/XP SP1. Esto implica falta de actualizaciones de seguridad y otras tantas cosas; pero nadie dice qué hacer si no se tienen opciones de actualizar (por cuestiones económicas o de hardware). Mi primera respuesta sería, obviamente, Linux; pero hay otras opciones, como extender ciertas medidas de seguridad y minimizar daños. Eso es cuestión de cada uno, pero nadie lo dice… todos se quedan en el escándalo.

Para no quejarme de lleno y hacer de esto una crítica constructiva, he aquí el servicio que yo utilizo para alertas de seguridad. Hay muchos dando vueltas, pero Alerta Antivirus es el que uso yo. Con opción de recibir un e-mail por día con las últimas novedades en materia de Virus clasificados según cuán amenazantes son. También proveen de e-mails especiales en casos extremos (virus de rápida propagación) e información en general sobre el mundo de la seguridad.

Sabiendo o no qué significan todas las cosas que nos pueden pasar. Entendamos o no qué es el phishing, scamming, los troyanos, backdoors, exploits y mil otras palabras estar informados es ir un paso más adelante ¿no?