JesusBusters.

Cuando las comunidades tiemblan.

Este es un articulo muy interesante que aclara algunas de las riñas que he visto últimamente sobre la comunidad de GNU/Linux y OpenSolaris. Es de muy mal gusto leer comentarios de como Solaris/OpenSolaris es irrelevante, ya que es este el tipo de FUD que solo una persona que de verdad no tiene ni idea de que es Solaris ni como funciona, y de la misma manera no sabe que es exactamente Linux y como se las arregla para funcionar.

Quien define que es apropiado para una lista de correo?

Lo que faltaba, aparte de ser una lista que carece de valor tecnico y académico ya que su contenido siempre hace referencia a publicaciones no verídicas (independiente de las ultimas llamadas de atención), también se toman la molestia de decidir que es apropiado para la lista y que no siguiendo unos criterios ridículamente infantiles (y algo ambiciosos si se tiene en cuenta el nivel de los administradores de la lista).

El mensaje enviado tenía como asunto "Re: [Segurinfo] Inseguridad Iphones"

ha sido rechazada por el moderador dando la siguiente razón:

"Un cordial saludo:

Este correo no hace referencia a un tema de seguridad informática"

Este es un ejemplo de que tan verdes estamos en cuanto a conciencia y conocimiento sobre lo que de verdad significa la seguridad informática. Tambíen refleja el estado actual de la lista y porque esta debería desaparecer ya que no cumple con los objetivos originales y según como yo lo veo, esta desinforma más de lo que de verdad informa.

Porque siempre intentan sobredimencionar las cosas?

Hace poco un post llego a slashdot diciendo como WPA esta condenado gracias a una nueva herramienta de Elcomsoft.

Ahora, como se ha vuelto costumbre, todo el mundo corre arrancándose los pelos asegurando que la era de la conexión inalámbrica ha llegado a su fin, o lo que es peor aun, las opiniones de "expertos" en el tema que aseguran que se deben tomar medidas mucho más drasticas.

Dos cosas: Uno, utilizar la GPU solo acelera el proceso de ataque por fuerza bruta, así que una contraseña lo suficientemente buena bastará. Dos, hay que utilizar RADIUS ya que para eso existe.

Es decepcionante ver como lanzan FUD de manera tan masiva, como por cualquier cosa se tiende a sobredimencionar el alcance del problema y como compañías fantasmas tienden a exagerar en sus comentarios a la prensa solo para ganar rating de audiencia en el mismo circo del que hablaba hace unos días...

Como nota aparte, la utilización de la arquitectura CUDA para acelerar el proceso de fuerza bruta no es tan exclusivo, ya existen implementaciónes open source. Tambíen existen proyectos que utilizan verdaderos ataques estadísticos y generación de tablas mediante GPUs.

Algunas fotos del SFD2008

El SFD2008 fue todo un éxito. Hubieron varias charlas interesantes, como la de Maria del Pilar en donde nos explicaba el porque es necesario un cambio de paradigma en el escritorio y como experimentar con conceptos básicos de definición de área de trabajo. Fue interesante ya que en esas mismas fechas yo me preguntaba que aspectos de mi manejador de ventanas cambiaría y porque.

Algunas otras fotos...

Acá estaba arreglando una presentación para un taller que se realizo por la tarde.

Esto fue durante el taller de OpenSolaris que se ofreció en el SFD2008. Se explicaron algunas tecnologías fundamentales de OpenSolaris con ejemplos en algunos casos. IPS y zonas fueron los temas que abrieron el taller. Fue interesante ya que desde el principio del taller la gente preguntaba los beneficios reales de las zonas y en que tipo de casos se utilizaría en lugar de cualquier otra tecnología de virtualización.

Otros temas que se trataron fueron IPFilter, xVM y algo de SMF.

Más fotos acá.

Como en aquellas vacaciones del '97.

Últimamente todo el mundo ha estado siguiendo los pasos de Kaminsky. Existen algunos fallos en el core de Internet que han logrado atraer la atención de los medios de comunicación, volviendo al circo en donde se profetiza el fin de la Internet, el bug más importante de los últimos tiempos y demás estupideces.

El turno de ser el payaso del mes en el circo de la seguridad informática es para Robert Lee y Jack Louis. No tengo nada en contra de estos dos personajes, pero me parece que la actitud de alarmar a la prensa y armar un mierdero en la red y luego publicar detalles sobre el asunto en una conferencia semanas después es exactamente el tipo de comportamiento que siempre he criticado ya que hacen de la industria un juego sobre quien es el más famoso, quien es el más aclamado en los medios.

When you tell the press that you've discovered a core Internet protocol flaw so severe that you can't even provide any details for fear that the entire network could come crashing down, they just eat that up and it devolves into a media circus.

Los detalles de la vulnerabilidad que encontraron se discutirán en T2, Finlandia, este 17 de octubre. Básicamente, este fallo permite tumbar cualquier maquina que posea un stack de TCP/IP, y gracias a que el fallo reside en TCP, IPv6 tambíen se ve afectado. El ataque puede ser trazado ya que se necesita una conexión TCP legitima, por ende no se pueden spoofear las direcciones IP en este tipo de ataque, sin embargo no se necesita gran ancho de banda ni nada similar para poder tumbar las maquinas de manera satisfactoria.

Puedo estar equivocado. Esta nueva técnica podría hacer uso de direcciones IP spoofeadas, sin embargo no lo sabremos hasta que alguien decífre la vulnerabilidad o que los detalles salgan a la luz. Lo que puedo asegurar, es que este ataque (y sus variaciones) no es algo nuevo y no deberían alabar a dichos personajes por haber descubierto aquella característica en el stack de TCP. Técnicas como la descrita por ellos (o similares) se han venido utilizando desde el año 2000 y cualquier persona con conocimiento solido sobre TCP/IP puede concluir las mismas debilidades básicas de TCP.