Operation Global Blackout: ataque contra los servidores DNS raíz el próximo 31 de marzo

21 febrero 2012 Publicado por cLimbo 0 comentarios

Durante los últimos meses el activismo dentro de la red ha estado haciendo uso de una técnica tan antigua como la propia Internet, los ataques de DDoS. Estos ataques de denegación de servicio es generada por la saturación debido a la gran cantidad de peticiones que se realizan en poco tiempo, muchos han sido las páginas web que han caído mediante este método durante los últimos años. Y ahora hay un objetivo mucho más grande fijado en una operación que supuestamente está siendo promovida por Anonymous y que se llevará a cabo el próximo 31 de marzo.

La operación recibe el nombre de Operation Global Blackout y tiene como objetivo tumbar los servidores DNS raíz que dan servicio a todo Internet. Esto es algo muy complejo de lograr ya que se trata de un sistema que está distribuido por todo el mundo. En un documento que ha sido compartido se detallan las 13 direcciones IP de estos servidores así como las instrucciones sobre el ataque que realizarán. Harán uso de una herramienta llamada Reflective DNS Amplification DDoS que aprovecha una vulnerabilidad de muchos de los servidores de nombres que actualmente están en activo por todo el mundo.

La vulnerabilidad aprovechada permite a esta herramienta cambiar la dirección IP de origen del dominio consultado, de este modo lo que hará esta aplicación será hacer que dominio.com apunte hacía la dirección IP de los servidores DNS raíz en lugar de la verdadera. Con lo que intentan lograr que el número de peticiones que lleguen a los servidores DNS principales de la red sea mucho mayor de lo habitual y no puedan soportar la carga.

Pero cómo indico anteriormente aunque la herramienta funcione y el tráfico de los servidores DNS raíz aumente durante el ataque es complicado que estos caigan completamente, ya que cuentan con una arquitectura muy segura, con respaldos distribuidos a nivel global. Así pues para que el ataque fuese efectivo tendría que ser muy alta la cantidad de peticiones que llegasen a todos los servidores. ¿Qué consecuencias podría tener en caso de lograr tirar los trece servidores raíces? Impredecibles, pero probablemente muy serias, ya que estos servidores DNS se encargan de dar servicio al resto de servidores DNS de todo el mundo, entre los que se encuentran los de nuestros ISP, de cada servicio y sitio web de Internet, entre otros muchos.

Seguro que los responsables de cada uno de estos terce servidores DNS ya están reforzando la seguridad, pero hay muchos motivos para pensar que no podrán conseguir su objetivo.


El 6 de Junio será el lanzamiento oficial de IPv6

13 febrero 2012 Publicado por cLimbo 0 comentarios

Como sabemos existe una especificación llamada IPv6, como sin duda todos sabréis, que solventa a muy largo plazo este problema. El problema es que muy poca gente la ha adoptado en sus redes. De hecho las operadoras españolas están “probando” la implantación de IPv6, espero que con resultados satisfactorios.

El caso es que el próximo 6 de junio se ha marcado como fecha oficial del lanzamiento de IPv6. En España tendremos a RedIRIS dando el paso, mientras que en el resto del mundo veremos cómo lo hacen Comcast, AT&T, KDDI o Time Warner Cable en la parte de los ISP, y a Google, Facebook, Yahoo!, YouTube, The Pirate Bay, Menéame, los medios de Unidad Editorial… en la parte de servicios Web.

Muy buena lista de participantes en la que echo de menos, precisamente, la presencia de los ISP españoles como Telefónica o Jazztel. Aunque tarde o temprano tendrán que dar el paso, y aquí no valen soluciones intermedias.


Etiquetas: ,

Dos fallos de seguridad en Google Wallet (Android)

10 febrero 2012 Publicado por cLimbo 0 comentarios


Una de las cosas que siempre salían a la discusión cuando hablábamos de Google Wallet y los pagos por el móvil era la seguridad. Sólo nosotros deberíamos ser capaces de usarlo para pagar, y para eso Google Wallet implementaba un PIN que bloqueaba los pagos. El problema que se ha encontrado es que el PIN no es tan seguro como parecía.

El grupo de seguridad Zvelo ha encontrado dos fallos que permiten acceder a Google Wallet saltándose el PIN. Uno sólo afecta a terminales con root: ejecutando una aplicación con permisos de superusuario se puede extraer el PIN. El método es simple: el PIN se almacena cifrado en la memoria del teléfono. Como sólo hay cuatro cifras (10.000 posibilidades), la aplicación prueba todos los pins posibles hasta que uno de ellos coincide con el que está cifrado.


No afecta a demasiados usuarios porque son pocos los que tienen el terminal rooteado. Sin embargo, no inspira mucha confianza el hecho de que en unos segundos una aplicación pueda adivinar tu PIN, tal y como demuestran en el vídeo de arriba.

El otro fallo es más grave, porque es más fácil de explotar y no requiere root. Simplemente hay que borrar los datos de la aplicación desde el menú de ajustes. Así, cuando volvamos a abrir Google Wallet nos pedirá un nuevo PIN que podremos usar para desbloquear la tarjeta. Fácil, rápido y muy peligroso.





Google ha hecho unas declaraciones sobre las vulnerabilidades. Sobre la primera, han recomendado a los usuarios con el móvil rooteado que no instalen Wallet. Vale, muy bien, pero ¿qué ocurre si me alguien me roba el teléfono y lo rootea? ¿en quién recae la culpa?

En cuanto al otro fallo, lo que recomiendan es añadir más capas de protección al teléfono, como por ejemplo un patrón o un PIN para desbloquearlo.


Se enfrentan los juegos en Flash vs. HTML5 ¿cuál ganará?

Publicado por cLimbo 0 comentarios


Internet y el mundo de la tecnología en general está lleno de épicas batallas: entre navegadores (Firefox vs. Chrome vs. Internet Explorer vs. Opera vs. Safari), entre sistemas operativos de escritorio (Windows vs. Linux vs. Mac), móviles (Android vs. iOS vs. Windows Phone), entre redes sociales (Facebook vs. Google+) e infinitas más, pero hay una en particular que ha comenzado no hace mucho y se hace cada vez más fuerte; tiene a Flash y HTML5 como protagonistas, y el terreno de los juegos como escenario principal.

Hasta hace poco Flash no tenía oposición, pero ahora mismo, no solo tiene oponentes muy fuertes sino que además encontró en HTML5 un duro rival, que poco a poco, a medida en que los principales navegadores soportan más de sus funcionalidades, le va restando terreno y lo amenaza con arrebatar su corona.

A pesar de que muchos juegos están desarrollados en Flash, varios de los más populares del momento, como es el caso de Angry Birds, tienen también versiones en HTML5, que nada tienen que envidiar a su contra parte, y grandes como Zynga, principal socio de Facebook, ha desarrollado versiones HTML5 de tres de sus juegos más importantes.

Del lado de los móviles, las cosas tampoco pintan bien para Flash. La recientemente liberada versión de Android, Ice Cream Sandwich, será la última en brindarle soporte y desde Microsoft anunciaron que su próximo sistema operativo, Windows 8, en su versión para tablets, tampoco admitirá Flash.

Aunque se trata de una lucha particular entre dos maneras distintas de hacer juegos; los navegadores, sistemas operativos, así como las redes sociales, se encuentran muy involucrados y es necesario evaluar el conjunto completo para tener una visión clara de la realidad actual. Comencemos:


  • Cantidad de juegos: Tenemos más de 100.000 juegos desarrollados en Flash, contra unos pocos cientos en HTML5. No hay mucho que discutir aquí. Punto para Flash.


  • Compatibilidad: Flash es soportado por el 99.9% de los navegadores modernos (+2 Billones de usuarios), por su parte, HTML5 solo es soportado por el 40% de ellos (+800 Millones de usuarios). Una diferencia abismal si vemos el número de usuarios directamente. Punto para Flash.


  • Método de distribución: Flash solo necesita de un archivo swf. Su contra parte requiere de múltiples archivos (js, css, html, etc.). Discutible si lo analizamos desde otra perspectiva, pero como método de distribución no hay nada que decir. Punto para Flash.


  • Tecnologías necesarias: En Flash, el soporte para juegos 3D es limitado y se requiere tener instalado un complemento en el navegador para poder disfrutarlo, algo muy criticado. Por su lado, en HTML5 el soporte para 3D es extremadamente limitado, también hay limitaciones para hacer uso del audio y es 100% dependiente del navegador. Un empate aquí, sería justo.


  • Uso de CPU en Mac: Safari es muchísimo más eficiente con juegos programados en HTML5 que con los desarrollados en Flash. Prácticamente no hay diferencias en Chrome, y Firefox es apenas un poco menos eficiente que Safari. En números, HTML5 consume al rededor de un 12,39% de CPU mientras que Flash consume cerca del 35%, con una mejoría leve si hablamos de la versión 10.1. Aquí HTML5 se gana un punto.


  • Uso de CPU en Windows: Aquí las cosas son muy distintas. Safari solo consume 7,43% de CPU cuando se trata de Flash 10.1, y es incapaz de reproducir vídeos HTML5. Google Chrome es 58% más eficiente cuando usa Flash, números similares para Firefox. Nuevamente, punto para Flash.


  • Seguridad: Un aspecto muy importante, y donde nuevamente Flash tiene la ventaja. Si bien en Internet nada está a salvo, un archivo SFW puede ser protegido a través de técnicas de encriptación y ofuscación, dándole así dos capas de seguridad. Por su parte, HTML5 no cuenta con mecanismos de seguridad (hasta el momento) y alterar una aplicación construida con este lenguaje puede ser relativamente sencillo. El punto va para Flash.


  • Juegos en Facebook: Como lo mencionaba al principio, Facebook le debe gran parte de su éxito a los juegos y hay una enorme cantidad de ellos dentro de la red social. Tomando como referencia los 10 más populares, solo 2 de ellos están escritos en HTML5, y mirando fuera del top, casi la totalidad de juegos fueron hechos en Flash. Un punto fácil para los de Adobe.


  • Tiempo de vida: Considerando que Flash ha tenido más tiempo de desarrollo (octubre, 1998) y que eso representa una clara ventaja frente a un lenguaje mucho más joven como HTML5 (junio, 2004), restaré un punto al anciano y se lo daré al joven prometedor. De esta forma -y de cualquier otra-, Flash es el claro vencedor.


  • Etiquetas: , ,

    Anonymous intercepta una audioconferencia entre el FBI y Scotland Yard

    03 febrero 2012 Publicado por cLimbo 0 comentarios


    Las acciones acometidas por el colectivo Anonymous, o por Luzlsec, que llegaron a poner contra la espada y la pared a empresas como Sony y organismos como la CIA, siguen siendo investigadas por las fuerzas de seguridad de Estados Unidos, Reino Unido y otros países. Es habitual que los países establezcan acuerdos en materia de cooperación policial y, ante problemas comunes, trabajar de manera coordinada; una coordinación que también se sigue en las investigaciones abiertas alrededor de los grupos hacktivistas.

    Lógicamente, el contenido de estas reuniones se espera que sea secreto, sin embargo, Anonymous ha publicado que tuvo acceso a una audioconferencia mantenida entre el FBI (Estados Unidos) y Scotland Yard (Reino Unido) en la que intercambiaron datos y revisaron las líneas abiertas.

    El acceso a la audioconferencia no tiene desperdicio alguno para el colectivo puesto que abordaba asuntos tan cruciales como las investigaciones abiertas alrededor de Anonymous y otros grupos hacktivistas, redadas policiales planificadas, fechas de arrestos o nombres de supuestos miembros. Un material de gran criticidad que ha ido a parar, precisamente, al objetivo de las investigaciones. Por si esto fuese poco, el colectivo ha publicado un correo electrónico que supuestamente procede del FBI y contiene los correos electrónicos de los asistentes a la reunión.


    ¿Y de qué trataba la reunión? La reunión tuvo lugar el pasado 17 de enero y se realizó por vía telefónica, algo bastante habitual para evitar desplazamientos (sobre todo si la reunión es corta, como en este caso que duró 17 minutos). Según parece, esta reunión de coordinación se convocó a través de un correo electrónico (de título “Anon-Lulz International Coordination Call”) y se invitó, además del FBI y a Scotland Yar, a representantes policiales de Suecia, Holanda, Francia, Irlanda y algunos otros países que tienen investigaciones abiertas en torno a Anonymous, LulzSec, Anticsec y otros grupos hacktivistas. De hecho, entre los asistentes intercambiaron información y el nombre de algunos sospechosos bajo investigación, si bien en la grabación filtrada se habrían suprimido los nombres de los sospechosos.

    El FBI ha confirmado que la grabación es auténtica y que, claro está, ha sido obtenido por métodos al margen de la ley por lo que han abierto una investigación para esclarecer los hechos y localizar la fuente de la filtración, algo que también está haciendo Scotland Yard (el otro gran perjudicado).

    Las operadoras preparan una alternativa a WhatsApp llamada Joyn

    Publicado por cLimbo 0 comentarios

    La idea en la que se basa WhatsApp no es precisamente nueva, pero sus creadores tuvieron la virtud de estar en el lugar adecuado y en el momento preciso, gracias a lo cual han marcado un punto de inflexión en la era de Internet móvil. Que una herramienta tan sencilla haya sido capaz de poner en jaque un negocio tan lucrativo como el de los mensajes de texto, lógicamente, no es del agrado de las operadoras de telefonía móvil, que ya están moviendo ficha para hacerle frente.

    Para tomar de nuevo el control de la situación, más de 800 compañías agrupadas bajo la bandera de la GSMA planean presentar una alternativa común a WhatsApp, algo que ya sabíamos desde hace un tiempo. Ahora hemos conocido también que dicha solución, que contará con el apoyo de Movistar, Vodafone y Orange, ha sido bautizada como Joyn.

    Los rumores apuntan a que la herramienta podría presentarse este mismo mes en el Mobile World Congress de Barcelona, incluyendo además del imprescindible servicio de chat otras propuestas como mensajería instantánea multimedia, agenda avanzada o videoconferencia. Para conseguir un éxito total, el plan pasa porque los fabricantes incluyan la aplicación de serie en sus terminales, algo que por lo visto ya tendría el visto bueno de Samsung, HTC, LG y Sony Ericsson. Parece que se lo están tomando en serio.


    EEUU incauta 307 dominios

    Publicado por cLimbo 0 comentarios

    Nuestro mensaje es simple y claro: cumplir con las leyes de derechos de propiedad intelectual no es una opción, es la ley

    Con este mensaje de película, los federales han querido dejar claro que las acciones no han acabado ni mucho menos. Englobada en la denominada operación En Nuestros Dominios (la misma utilizada para el caso de rojadirecta), actividad iniciada en el 2010 por el Servicio de Inmigración y Control de Aduanas (ICE), las autoridades federales de Estados Unidos han confiscado y cerrado de una “tacada” hasta 307 dominios, 16 de ellos supuestamente involucrados en la reproducción o enlaces de deporte en streaming y el resto en la venta de mercancía supuestamente falsa de deporte. Un movimiento que se produce a pocos días del conocido como Super Sunday en el país.

    El movimiento se trataría de la mayor incautación hasta la fecha en el país que habría acumulado un total de 650 dominios cerrados desde que comenzara a estar operativo allá por el mes de junio del 2010. Además, se produce unos días antes de que se juegue el partido de la NFL entre los New England Patriots y los New York Giants.

    Según, Morton, el director de ICE:

    Aunque la mayoría de las personas se centran en si los Patriots o los Giants gana el domingo, en el ICE tenemos la mirada en un tipo de victoria muy diferente; derrotar el círculo de falsificación que saca ganancias ilegalmente de este evento, la NFL, de sus jugadores y del deporte.
    En los deportes, los jugadores deben cumplir con las reglas del juego, y en la vida, las personas deben seguir las leyes que imperan. Nuestro mensaje es simple: cumplir con las leyes de derechos de propiedad intelectual no es una opción, es la ley.


    Morton se refería así a todos los sitios web que supuestamente venden mercancía falsificada aprovechando el tirón del macro-evento deportivo así como a aquellas webs que enlazan o alojan señal en streaming del mismo.

    Como hicieran con rojadirecta, los federales han tomado los dominios .com, .org y .net. Junto a los dominios, ICE informa que se hará lo mismo con las cuentas bancarias y otros bienes relacionados a la presunta actividad ilícita.

    En el caso de los dominios, la incautación es posible gracias a Verising, quién controla las .com y .net y de Public Interest que lo hace con los .org. Bajo las leyes de confiscación en el país la persona/s pierden la propiedad hasta que no demuestren que los elementos no fueron utilizados para cometer ningún delito.

    Sin entrar a debatir la ilegalidad o no de cada uno de estos 307 dominios incautados, resulta complicado defender movimientos como En Nuestros Dominios donde la presunción de inocencia no existe y eres culpable hasta que no lo demuestres. A poco más de un mes de haber comenzado el 2012, la censura que se cierne sobre la red es tan peligrosa que resulta una temeridad pensar en cómo acabará este año.