Distribuir contenido Informática y Tecnología

Mandriva echa el cierre

Barrapunto - 27 May 2015 - 10:27am
La empresa francesa que se encargaba del desarrollo de la distribución Mandriva está en proceso de liquidación. Aunque en 2013 consiguieron medio millón de euros parece que no ha sido suficiente para mantenerla con vida.

Bug en routers con kernel Linux y módulo NetUSB

Barrapunto - 25 May 2015 - 11:40pm
La consultora de seguridad informática SEC Consult ha anunciado en su blog el descubrimiento de un fallo que afecta a routers y otros dispositivos embebidos que implementen la funcionalidad USB-over-IP mediante el servicio propietario NetUSB. En lugar de utilizar directamente el soporte USB-over-IP incluído en el kernel Linux vanilla y las utilidades del proyecto USB/IP, varios fabricantes han preferido utilizar la variante NetUSB, de la compañía taiwanesa KCodes, que proporciona una funcionalidad equivalente en forma de un módulo de kernel propietario 'NetUSB.ko' instalado en el router, y un software asistente (disponible para Windows y OSX) instalado en las computadoras de los usuarios. El módulo 'NetUSB.ko' se pone a la escucha en el puerto 20005/TCP del router y recibe peticiones de las máquinas clientes de la red local, simulando que los dispositivos USB conectados al sistema 'embebido' están accesibles como dispositivos locales en las máquina cliente, algo útil para compartir impresoras, escáneres, webcams... El error se produce cuando, desde un cliente, se especifica un nombre de máquina mayor de 64 caracteres: un fallo de programación en el módulo propietario genera entonces una condición de 'stack buffer overflow', que al funcionar como módulo del kernel multiplica su peligrosidad. Existe una prueba de concepto que produce corrupción de memoria y cuelgue del router, pero en teoría sería posible la ejecución de código. El fallo sólo es explotable desde el lado de red local, lo que supone que el atacante debería conectarse por WiFi o Ethernet al dispositivo para poder atacarlo.

Fallece el matemático John Nash a los 86 años

Barrapunto - 25 May 2015 - 11:16pm
nitrogen nos cuenta: «El famoso matemático John Nash, cuya vida fue llevada al cine en la película 'A beautiful mind', ha fallecido junto a su esposa en un accidente automovilístico. Más información.»

Firefox 38: con y sin DRM

Barrapunto - 24 May 2015 - 11:54pm
Mozilla anunció hace un año su intención de implementar el soporte necesario en Firefox para reproducir audio y vídeo HTML5 protegido por DRM (también lo vimos en Barrapunto). Mozilla presentó entonces su decisión como un mal necesario para que Firefox no quedase apartado de una funcionalidad cada vez más demandada por los usuarios: la visualización de vídeo en plataformas de pago. El reciente Firefox 38 se convierte en la primera versión del navegador que soporta un módulo Content Decryption Module (CDM) para la reproducción de audio y vídeo a través de extensiones cifradas multimedia (EME), un estándar del W3C para HTML5. Se trata del CDM para la plataforma Adobe Primetime, que gestiona los contenidos protegidos con DRM mediante un servidor de licencias en la nube. El módulo CDM es un blob binario que se descargará de los servidores de Adobe tras la instalación del nuevo Firefox, y que se ejecuta dentro de un sandbox. Para aquellos usuarios que, por razones técnicas o políticas, no deseen interaccionar con nada protegido por DRM, Mozilla ofrece dos alternativas. La primera es deshabilitar el soporte para DRM en el Add-ons Manager del Firefox instalado. La segunda es descargar una versión alternativa de Firefox, compilada sin soporte para CDM. El visionado de material protegido por Adobe Primetime sólo está disponible en las versiones Windows 32 bits de Firefox. Mac OS X y Linux no están actualmente soportadas. Más información en el blog de Mozilla. Más información sobre Adobe Primetime, en el blog de Adobe. Más opiniones en Hacker News.

Cifrado de disco duro bajo Linux (I): Introducción

Foros: 

Por squirrel

En una nueva temporada de nuestra serie "Ya son ganas de complicarse la vida" (ver temporadas anteriores) vamos a dar una nueva vuelta de tuerca a nuestros sistemas. Si hasta ahora teníamos un acceso a disco redundante mediante RAID, sobre el que montábamos un sistema de volúmenes que nos permitía gestionar fácilmente el espacio disponible, ahora vamos a dar un paso más. añadiendo la característica de un sistema de ficheros cifrado en uno de esos volúmenes, de modo que tendremos un sistema cifrado que funciona sobre un gestor de volúmenes LVM que funciona sobre un RAID. Si os preguntáis por qué alguien querría emplear semejante configuración en lugar de un sólo disco cifrado, os recomiendo que os veáis los anteriores episodios (1 2 3 4 5 6) para entender mejor las ventajas que nos reportará: Redundancia ante errores y flexibilidad en la gestión del espacio.

No obstante, antes de entrar en materia, creo que es importante hacer una presentación mediante la que familiarizarnos con el sistema de cifrado que vamos a utilizar y que se llama LUKS...

 

Qué es LUKS

LUKS (Linux Unified Key Setup) es una definición de formato de dispositivo cifrado para Linux, creado originalmente por Clemens Fruhwirth en 2004. Creado de una manera abierta y documentada, permite la compatibilidad entre diferentes sistemas operativos y una gestión de las contraseñas segura. Existen implementaciones para Linux (mediante el subsistema dm-crypt), BSD y Windows (mediante LibreCrypt, anteriormente llamado DoxBox, un fork de FreeOTFE), por lo que a mayores nos proporciona soporte multiplataforma, que en mi caso no quiero para nada pero a otros les podría resultar interesante.

 

Cómo funciona LUKS

El funcionamiento tradicional de las herramientas de cifrado era simple y podríamos asemejarlo a un archivo ZIP cifrado: El usuario introduce una contraseña y el programa utiliza esa contraseña para cifrar los datos. Esa sencillez, sin embargo, tiene varios inconvenientes implícitos:

  1. Las contraseñas suelen ser demasiado cortas para ser seguras.
  2. Las contraseñas suelen basarse en palabras existentes, por lo que son susceptibles a ataques de diccionario. La suma de ambos inconvenientes suele llevar a contraseñas de baja entropía, que provoca que queden muy lejos de la entropía necesaria para contraseñas de 256 bits, por ejemplo, por no hablar de contraseñas más largas (512, 1024 o 2048 bits).
  3. Si alguien descubre la clave, o si tememos que eso haya ocurrido, la única forma de mantener los datos seguros incluso aunque sospechemos que los atacantes no han tenido acceso a ellos es descifrar todos los datos, elegir una nueva clave y volver a cifrar con dicha clave, lo cual puede suponer un tiempo no trivial además de un almacenamiento en claro en otro lugar que luego deberá ser borrado de forma segura. Vamos, un auténtico engorro que, conociendo al señor Murphy, nos ocurrirá en el peor momento posible.

Las implicaciones de ese funcionamiento tradicional eran claras: Dado que la capacidad de ataque por fuerza bruta crece mucho más rápidamente que la capacidad de los seres humanos para recordar contraseñas cada vez más largas y complejas, era necesario establecer otros mecanismos. Esos mecanismos son, por un lado, el establecimiento de un doble nivel de clave, y por otro, el almacenamiento seguro de la clave principal.

 

Doble nivel de clave

En lugar de utilizar la clave suministrada por el usuario para cifrar los datos, lo que se hace es generar una clave maestra del tamaño deseado, criptográficamente segura, y almacenarla cifrada con la clave del usuario. Cuando se quiere acceder a los datos cifrados, el sistema solicita al usuario su contraseña, con ella y la clave maestra cifrada inicializa un sistema de protección y con éste accede a los datos. Como medida de precaución añadida para evitar ataques de diccionario, se utiliza un sistema que sea costoso calcular para esa inicialización inicial, de modo que el tiempo para un único intento sea aceptable pero para un ataque continuado no, y se complementa con el uso de un valor aleatorio añadido (salt) para evitar ataques de diccionario precalculado. Este sistema tiene además la ventaja de que la clave maestra no está nunca almacenada en claro en la memoria, por lo que tampoco es susceptible a ataques de congelación de memoria.

 

Almacenamiento seguro de la clave principal

Teóricamente el mecanismo de doble nivel sería suficiente, pero como suele ocurrir teoría y práctica no siempre coinciden. Una de las características de los discos duros modernos es su capacidad para remapear sectores defectuosos de forma transparente, de manera que si el disco encuentra que un sector da problemas pero todavía tiene algún sector de reserva libre, "da el cambiazo" de forma que de cara al exterior todo va igual de bien y la vida del disco se prolonga. Nosotros ni nos damos cuenta del hecho y el tiempo medio entre fallos del fabricante aumenta, de modo que puedan presumir de fiabilidad.

Este comportamiento, interesante de cara a la supervivencia de los datos almacenados, tiene su contrapartida en el caso del cifrado: Si tenemos la mala suerte de que el sector que falla es el que contiene la clave maestra cifrada, nos va a quedar en disco una copia de dicha clave maestra cifrada con la contraseña que tuviésemos en ese momento, en un lugar inaccesible para nosotros pero no para las herramientas de análisis forense. Para evitar esto lo que se hace es no almacenar la clave maestra cifrada en un sector concreto, sino particionarla en varios trozos de forma que todos sean necesarios para recuperar la clave (por ejemplo, mediante un XOR) y almacenando cada trozo en un lugar diferente. De esta manera, incluso aunque tengamos la mala suerte de que el disco duro nos la juegue con los sectores defectuosos, tendría que ocurrir no sólo que todos los sectores que contienen trozos de la clave fuesen sustituidos, sino que además no se hubiese producido ningún cambio de contraseña entre el fallo del primer sector y el del último, lo que provocaría que los trozos guardados por el disco duro no se complementasen y por tanto no se pudiese recuperar la clave.

La suma de ambos mecanismos es lo que se conoce como esquema TKS1 y es la base del funcionamiento de LUKS: Una clave principal almacenada de forma segura, con la que se cifran los datos, y una o varias contraseñas que los usuarios utilizan para acceder a la clave principal y desbloquear el acceso a los datos.

En el próximo episodio veremos una implementación real de todo este esquema teórico y cómo se traduce en unos pocos cambios en un sistema que, por lo demás, mantiene las características habituales en los sistemas Linux.

 

Las autoridades recomiendan protegerse de Facebook

Barrapunto - 23 May 2015 - 2:17pm
ignacio.agullo nos cuenta: «Via Ars Technica, Wired, Slashdot y SoylentNews nos llega esta noticia, disponible en español en medios como la agencia Reuters de Reino Unido o La Nación de Argentina y en España en primicia para Barrapunto. En Bélgica, después de una investigación en profundidad llevada a cabo por universidades, la Comisión para la Protección de la Vida Privada publica una recomendación el 13 de Mayo de 2015. En esta recomendación, disponible en francés, holandés e inglés, se alerta que Facebook arrolla las leyes europeas. Por un lado, a través de los 'cupones' ('cookies') y los botones 'Me gusta' y 'Compartir', Facebook vigila la navegación de los usuarios, aún sin sesión abierta y aún sin cuenta en Facebook; por otro, ante las indagaciones de las autoridades, Facebook se escuda en que su sede europea está en Irlanda. 'Facebook se ha mostrado especialmente cicatero a la hora de entregar respuestas precisas'.»

Evento conjunto MongoDB y PostgreSQL España: ToroDB

Barrapunto - 21 May 2015 - 11:04pm
postgrespana nos cuenta: «El próximo martes 26 de mayo, a las 19h, se va a celebrar el primer evento conjunto de las comunidades MongoDB Spain y PostgreSQL España, en Telefónica Flagship Store. Vamos a contar con la charla 'ToroDB = MongoDB + PostgreSQL', donde se va a presentar ToroDB, una base de datos software libre, compatible con MongoDB, que guarda toda la información en PostgreSQL. Es, además, un desarrollo español y la charla la impartirán los propios creadores. Quedan pocas plazas libres. No tardes en apuntarte. Como siempre, el evento es gratuito y habrá cañas gratis a los asistentes, a la finalización, cortesía de 8Kdata, los desarrolladores de ToroDB.»

BQ Ciclop, escáner 3D de bajo coste

Barrapunto - 21 May 2015 - 11:34am
sinman nos cuenta «Dando una vuelta por la página de BQ descubro que, a parte de sus impresoras 3D, ahora ofertan un escáner 3D de bajo coste, el bq Ciclop. Está controlado por una placa ZUM BT-328 basada en Arduino, tanto el firmware del escáner como el software para PC están publicados bajo licencia GPL, así como el hardware que lo está bajo licencia CC-by-SA. Más información en la sección DIWO de bq.»

Bill C-51: la ley antiterrorista de Canadá

Barrapunto - 20 May 2015 - 10:55pm
El proyecto de ley antiterrorista Bill C-51, Anti-terrorism Act, 2015 de Canadá ha pasado su último trámite de lectura en el parlamento (183 votaciones a favor, 96 en contra), y se ha enviado al senado canadiense para su aprobación final. La nueva ley (Bill C-51, texto completo) quiere dotar de mayores atribuciones y poderes a los servicios de inteligencia canadienses, CSIS, lo que supondría una merma en las libertades civiles de los ciudadanos. Según el texto, los servicios de inteligencia podrán operar dentro y fuera de territorio canadiense. Se les autoriza a tomar medidas contra 'actividades que constituyan un peligro para la seguridad de Canadá'. Las medidas no podrán vulnerar las leyes canadienses 'a no ser que se les autorice por escrito' en ventanas de 120 días y con objetivos delimitados. El proyecto de ley menciona de manera explícita que estará prohibido causar de manera intencionada 'daños físicos o la muerte a un individuo' así como 'violar la integridad sexual' de los sospechosos. El delito de promoción o apoyo del terrorismo pasará a tener un seguimiento especial. Los jueces podrán ordenar la retirada o bloqueo de material de internet considerado como propaganda terrorista. Las inspecciones en las fronteras aumentarán para requisar escritos, símbolos y grabaciones que se consideren propaganda terrorista; para ello, se podrá inspeccionar tanto el equipaje como las computadoras y teléfonos de los viajeros. Se establece una lista negra de ciudadanos que no podrán usar el avión en sus viajes por ser sospechosos de colaborar con terroristas; las razones para incluir a un ciudadano en la lista pasan de 'riesgo inminente' a 'sospechas razonables'. Los manifestantes que participen en protestas que afecten a infraestructuras críticas o a la estabilidad económica de Canadá podrán convertirse en sujetos de vigilancia especial. Finalmente, se compartirá información confidencial entre casi una veintena de instituciones gubernamentales por motivos amplios, siendo el terrorismo sólo uno de ellos. Y todo ello redactado con la habitual ambigüedad y falta de mecanismos de control y transparencia utilizados en leyes análogas en otros países.

Publicado OpenXava 5.3

Barrapunto - 20 May 2015 - 1:51pm
El equipo de OpenXava nos cuenta: «OpenXava es una herramienta de desarrollo orientada al dominio, para desarrollar aplicaciones empresariales rápidamente. La versión 5.3 cuenta con gráficos generados automáticamente a partir de los datos de la lista, listas ordenables con 'arrastrar y soltar', actualización a JPA 2.1 y Bean Validation 1.1 y mucho más. Toda la información en el anuncio de su publicación.»

¿Cómo navega en Internet Richard Stallman?

Barrapunto - 19 May 2015 - 11:13pm
Leo en boingboing, (haciéndose eco del artículo 'How Richard Stallman does his computing'), la nota 'How free software activist Richard Stallman surfs the web' ('¿Cómo el activista del software libre Richard Stallman navega en Internet?'). No aporta grandes secretos ni sorpresas acerca del uso y la manera en la que Stallman accede y utiliza Internet, así como los criterios éticos y de defensa de la privacidad que asume en su navegación en la Red. Entre los programas que emplea están los tradicionales Wget, Lynx y Konqueror; IceCat para Tor; y por supuesto su negativa a usar Skype. Y como curiosidades, no suele usar su ordenador personal para navegar excepto para accceder a los pocos sitios relacionados con su persona. También declara que nunca realiza pagos en Internet excepto con ocasión del dominio stallman.org puesto que es algo que le representa. Y tú, ¿también eres tan estricto y obsesivo en tu uso de Internet como Stallman?

Yotaphone, las dificultades de un smartphone ruso

Barrapunto - 19 May 2015 - 9:13am
Neil MacFarquhar escribe en el New York Times sobre las dificultades que está teniendo el Yotaphone 2 para hacerse un hueco en el mercado. Es un 'smartphone' con Android que tiene una pantalla 'normal' y otra de tinta electrónica para mostrar información de refresco lento sin gastar apenas batería. El diseño es ruso y finlandés y la fabricación en Singapur. A pesar de las capacidades técnicas, ha sido criticado por usar Android 4.4 y porque pocas aplicaciones usan la pantalla de tinta electrónica. El precio de 599 euros también es un obstáculo. MacFarquhar aprovecha este ejemplo para comentar sobre las dificultades de los inventores rusos para convertir sus conocimientos en productos de éxito.

II Edicion Curso URJC Programacion de Drones y Campeonato abierto de Programación Drones

Barrapunto - 18 May 2015 - 11:05pm
jmplaza nos cuenta: «Tras el éxito de la primera edición del Curso URJC de Programación de drones los días 12, 19, 26 de junio impartiremos en la Universidad Rey Juan Carlos la segunda edición del curso superior universitario en 'Programación de drones'. La principal novedad es que se podrá seguir también a distancia (por streaming) y cuenta con el aliciente extra de que unos días después de acabarlo organizamos un campeonato abierto de programación de drones, que será divertido. El plazo de preinscripción finaliza el 25 de mayo. Toda la información en la web del curso»

Evento OpenExpoDay, 16 de junio en Madrid, sobre open source y software libre

Barrapunto - 18 May 2015 - 3:41pm
Philippe Lardy nos cuenta: «El próximo 16 de Junio celebramos en Madrid la segunda edición del evento #OpenExpoDay, un encuentro sobre open source y software libre durante todo un día con más de 80 ponentes, casos de éxito, meetups, talleres, networking... Nos gustaría ofrecer a la comunidad Barrapunto 15 entradas gratuitas, para los 15 primeros en registrarse a través de este link: #OpenExpoDay. También estamos buscando proyectos open source y software libre para poder presentarlos en el evento, así que si conoces alguno, comparte con nosotros!»

Seminario sobre 'MOOC on campus" (UAM, Madrid)

Barrapunto - 18 May 2015 - 2:38pm
pobrecito hablador nos cuenta: «El 22 de mayo se celebra el seminario eMadrid sobre 'MOOCs on campus: extendiendo el aula con tecnología MOOC' en la Universidad Autónoma de Madrid. El seminario se compone de 3 ponencias en las que se analizará esta nueva tendencia del uso de los MOOCs en la educación presencial. Las ponencias serán impartidas por Susan White (U. of Southamton), Gonzalo Martínez y Estrella Pulido (U. Autónoma de Madrid), y Ella Hamonic (UCLouvain). Para acudir al evento es necesario realizar un registro (gratuito). La red eMadrid es un proyecto subvencionado por la Comunidad de Madrid que fomenta la investigación y el desarrollo de tecnologías de apoyo al aprendizaje (Technology-Enhanced Learning), coordinado por la Universidad Carlos III de Madrid, tiene como socios a las universidades Autónoma de Madrid, Complutense de Madrid, Politécnica de Madrid, Rey Juan Carlos y UNED, además de participar otras universidades y empresas del sector como entes asociados.»

Hoy, 17 de mayo, se celebra el Día mundial de Internet

Barrapunto - 17 May 2015 - 5:52pm
Leyendo la noticia 'El futuro de Internet: conexión para todos y en todas partes, desde la ropa hasta la nevera' me entero que hoy se celebra el Día mundial de Internet. Suponiendo que aún queden personas que desconozcan que es eso del Internet, ¿como se lo explicaríais? ¿Le habéis tenido que explicar recientemente a alguna persona qué es Internet? Y ya que estamos, ¿cómo le explicaríais que barrapunto ya no es lo que era?

VENOM: escapar de una VM QEMU a través de la disquetera

Barrapunto - 17 May 2015 - 7:19am
El equipo de ciberseguridad CrowdStrike ha publicado en su blog el descubrimiento de una vulnerabilidad que afecta al software de virtualización QEMU en cualquier sistema operativo. La vulnerabilidad CVE-2015-3456 (nombre en clave 'VENOM') afecta a QEMU, KVM y Xen, y permite a los procesos del interior de una máquina virtual acceder a los recursos de la máquina anfitrión. Para conseguirlo, se envían comandos de bajo nivel a la controladora de disquetera virtual, causando un buffer overflow y la ejecución en la máquina anfitrión de código arbitrario con los mismos privilegios con los que corre el proceso QEMU. La vulnerabilidad sigue existiendo incluso si la disquetera virtual aparece como deshabilitada en la configuración de QEMU. La vulnerabilidad es teórica, ya que todavía no se conoce ningún exploit que sea capaz de aprovecharla en la práctica. Aún así, la mayoría de proveedores de VPS ya han actualizado sus máquinas (Amazon, Digital Ocean, Linode, Rackspace). Las plataformas Bochs, VMWare y Hyper-V no están afectadas. Xen ha propuesto que, para mitigar otras posibles vulnerabilidades futuras, las máquinas virtuales siempre deberían ejecutarse en sandboxes aislados y con privilegios mínimos, utilizando mecanismos ya existentes como los stubdomains. La información completa sobre la vulnerabilidad puede encontrarse en la página de VENOM. Más opiniones en reddit y Slashdot.

Raspberry Pi B+ baja su precio a 25 dólares

Barrapunto - 16 May 2015 - 2:57am
La fundación Raspberry Pi ha anunciado que bajan el precio de venta recomendado de la Raspberry Pi B+ a 25 USD (impuestos y gastos de envío no incluídos), lo que supone una rebaja de 10 USD respecto de su precio anterior. Según la fundación, la bajada en el precio no indica que el fin de la vida del modelo B+ esté próximo, sino que es un efecto colateral de las optimizaciones que introdujeron en su sistema de producción para conseguir el modelo Pi 2 a 35USD (aún con su problema de timidez ante los fotógrafos). Más opiniones en reddit.

Telefónica compra Canal+ por 750 millones de euros

Barrapunto - 14 May 2015 - 8:10pm
El organismo español regulador de la competencia (CNMC) acaba de dar el visto bueno a la oferta de compra, por parte de Telefónica, del 56% del capital social de Distribuidora de Televisión Digital, S.A. (DTS) (más conocida como Canal+), empresa de televisión de pago del grupo PRISA. Los movimientos de Telefónica para controlar la televisión de pago se iniciaron en 2014, cuando el accionariado de Canal+ estaba dividido en 3 partes: PRISA (56%), Telefónica (22%) y Mediaset (22%). Telefónica compró las acciones de Mediaset en verano de 2014, y realizó una oferta de compra por las acciones controladas por PRISA, oferta que quedó en suspenso a la espera del visto bueno de la CNMC. En su dictamen, la CNMC obliga a que Telefónica comparta el 50% de sus canales premium con sus competidores, para evitar una situación de posición dominante, y Telefónica se compromete a no llevar a cabo técnicas de gestión de red y tráfico en España que puedan degradar de forma discriminatoria el flujo de datos de vídeo.