Publicado por & archivado en Seguridad.

El viernes pasado en un artículo de Wired leía esto:

‘If you asked me whether intelligence agencies found this years ago, I would guess certainly yes.’

(https://www.wired.com/story/meltdown-spectre-bug-collision-intel-chip-flaw-discovery/)

Si añadimos que China y Rusia llevan años invirtiendo una fortuna en desarrollar y fabricar sus propios procesadores, la cosa empieza a tomar un cariz bastante nauseabundo.

Rusia anunció en 2014 los Baikal, que ya están fabricando en masa y que están usando para todos los ordenadores estatales, según sus propias palabras, como una prioridad de seguridad nacional.

Son procesadores basados en arquitectura ARM, pero diseñados y fabricados en Rusia.

China tomó el mismo camino en 2012 con el proyecto ISA y hoy en día ya tiene procesadores propios, también basados en ARM, fabricados por Huaxintong Semiconductor Technology y por ShenWei, estos últimos han fabricado en 2016 el supercomputador más rápido del mundo (Sunway TaihuLight), usando el procesadores SW26010, un monstruo de 260 cores.

Parece que con este escándalo Intel podría perder su hegemonía, pero aunque pudiéramos comprar procesadores de otros fabricantes para nuestros ordenadores, me pregunto si no tendrán también puertas traseras que descubriremos dentro de otros 20 años.

Creo que necesitamos microprocesadores de código abierto, pero como las fábricas submicrón están en manos de unos pocos, la verdad no se si aun así la cosa resultaría.

Lo que si podemos tener bien claro, tras 20 años con este agujero, es que no podemos fiarnos de la seguridad de nuestros equipos, sin importar que hardware estemos usando.

Publicado por & archivado en Seguridad.

Meltdown y Spectre son fallos de diseño de los microprocesadores que hacen funcionar nuestros ordenadores, móviles, tablets, e incluso televisores, impresoras y otros aparatos.

Ambos fallos permiten el acceso a zonas protegidas de la memoria del kernel que contienen información confidencial, como contraseñas o documentos cargados en el caché (normalmente todo lo que esté abierto o haya sido abierto recientemente).

Meltdown y Spectre afectan al hardware, —no es un fallo de software, ni de un sistema operativo—, por lo que puede ser explotado sin importar si usas Windows, Mac, Linux, ios, Android y lo que sea y no puede ser arreglado por software.

Tampoco existen procesadores nuevos que no sean vulnerables y no se sabe cuanto puede tardar en haberlos, porque supone rediseñar todos los procesadores del mundo.

Meltdown ha sido “ñapeado” en los sistemas operativos a costa de un 30% del rendimiento de todos nuestros ordenadores, sin ser una solución definitiva parece que el problema puede quedar solventado. Afecta sólo a los procesadores Intel, excepto Itanium y Atom anteriores a 2013, por lo que están a salvo casi todos los móviles y tablets y todos los que tengan procesadores AMD.

Spectre aprovecha un fallo de una característica de todos los procesadores del mundo fabricados desde 1995, incluidos los de los móviles, ordenadores, tables, dispositivos multimedia, impresoras y quién sabe que más.

Esta vulnerabilidad aprovecha un fallo de diseño de una característica que se llama ejecución especulativa que tienen todos los procesadores, esta característica ejecuta mediante especulaciones (de ahí el nombre), lo que cree que será necesario en el siguiente paso de la ejecución de un programa, si acierta la velocidad se incrementa, si no, se desecha.

Ahora parece que se puede hacer que en vez de especular, haga lo que dice un código de programación sin privilegios, permitiendo que cualquiera pueda acceder a zonas de memoria protegidas.

Ya existen varias pruebas de concepto y al menos he podido encontrar dos que se han hecho en javascript y se han ejecutado en el navegador, da igual si usas Chrome, Firefox, Safari o cualquier otro navegador y da igual si tienes Windows, Mac o Linux, con Spectre cualquiera podrá leer los datos de la memoria de tu ordenador con sólo cargar una página web, si tienes activo el javascript.

Aunque la noticia ha saltado ahora, ya leí documentos técnicos sobre esto hace meses en foros de hacking, con información muy precisa de este “flaw”.

Esto explicaría como es que ya han usado estas técnicas para obtener datos de usuarios de Amazon AWS, Google y Microsoft Azure, entre otros, se sabe que han contratado en Amazon 5 minutos de procesador y con eso han sacado la memoria de todos los virtuales del servidor.

Tal vez sea eso lo que explica que haya aparecido estos días una base de datos con 1400 millones de usuarios y contraseñas en texto plano, que nadie se explicaba de dónde había salido, todo tipo de credenciales de cuentas de Outlook, Google, WordPress, servicios bancarios y otros.

En conclusión:

1.- Esto es muy serio, no es “una más” de las vulnerabilidades que han aparecido, porque afecta directamente al hardware y no tiene arreglo, al menos hasta que fabriquen nuevos procesadores y cambiemos todos los servidores, ordenadores y móviles del planeta por otros nuevos.

2.- No estamos seguros. Con Spectre pueden obtener datos confidenciales y no dejar ni el más mínimo rastro, jamás sabrás como obtuvieron tus contraseñas o documentos confidenciales y esto va a ser así probablemente durante años.

 

NOTA (5/01/18): Están saliendo parches para los principales sistemas operativos, pero que nadie se lleve a engaño, —los parches NO solucionan el problema—, es un fallo de hardware. Lo que hacen los parches es interceptar el “exploit” que se conoce ahora (la forma de atacar la vulnerabilidad), lo que no impide que alguien pueda encontrar otra forma de explotar este mismo fallo. Esto no se soluciona hasta que fabriquen nuevos procesadores y cambiemos los equipos.

Publicado por & archivado en Configuración, Webmail.

Para configurar el mensaje de vacaciones o autorespuesta con Roundcube en un servidor que soporte Sieve, como Cyrus o Dovecot, es necesario activar el plugin managesieve, esto puede hacerse editando config/config.inc.php y añadiendo el plugin en el array $config[‘plugins’], luego, cada usuario puede configurar su propio mensaje de autorespuesta.

Leer más »

Publicado por & archivado en Antispam, Estadísticas, Servidores.

Esta entrada está relacionada con una cuestión técnica, pero el causante indirecto es Kanye West, el esposo de la “influencer” (como dicen ahora), Kim Kardashian. Esta es una lección múltiple, primero porque veremos como puede afectar al hospedaje web un factor externo inesperado, también el poder que puede tener alguien con 98 millones de seguidores en Instagram, más de 50 millones de seguidores en Twitter y 30 millones de seguidores en Facebook, y por último, como una moda (de la que la mayoría no sabe ni su existencia), puede mover un mercado multimillonario.
Leer más »

Publicado por & archivado en Benchmarking.

Recientemente me he comprado una memoria USB 3 SanDisk Extreme de 64GB (SDCZ80-064G-FFP), que se supone es de lo más rápido del mercado. Para ver realmente a que velocidad puedo grabar datos desde mi equipo, porque no me fío de los datos de los fabricantes, he hecho lo siguiente.

Leer más »

Publicado por & archivado en PHP.

PHP parece cada día más un lenguaje de programación, abandonando sus inicios como procesador de formularios, y tal vez es ese inicio lo que hace que sea tan cómodo de usar, entre otras cosas, por la capacidad de sus variables para almacenar cadenas o números indistintamente y su capacidad de conversión directa entre ambos tipos, pero esto, puede llegar a producir algunos problemas.

Leer más »

Publicado por & archivado en CSS.

Font Awesome son unos gráficos de vectores de uso libre que pueden incorporarse como si fueran fuentes de letra a nuestros proyectos web, con la ventaja de que pueden ser reescalados a varios tamaños y que apenas ocupan.

Leer más »

Publicado por & archivado en Estadísticas.

Con la derogación del Safe Harbor a principios de octubre de 2015, se ha puesto en cuestión el uso de algunos servicios que están alojados fuera de la UE, entre ellos se encuentra Google Analytics.

Leer más »

Publicado por & archivado en Microsoft mail y Outlook.

El error servidor 0x800CCC0F indica que el servidor ha terminado la conexión inesperadamente. Este error puede estar causado por varios motivos, pero el más probable es una interferencia del antivirus.

Leer más »

Publicado por & archivado en Bash, Linux, Seguridad.

ShellShock es probablemente la vulnerabilidad más grave que afecta a sistemas *nix (Linux, BSD, MacOS y derivados). Un atacante podría hacerse con el control de un equipo sin intervención alguna del usuario.

Leer más »

Publicado por & archivado en PHP, Programación.

Me encuentro con un problema en una web de alto tráfico y con muchos PDF de gran tamaño, en la que se está abusando de las descargas. Lo primero que hago es mandar al DROP con iptables todos los rangos de Baidu, que se comporta como un ataque de denegación de servicio, en vez de como un crawler. Luego, limito la cantidad de descargas por IP y tiempo, para evitar el abuso. Hasta aquí todo fácil, pero me doy cuenta al analizar los datos de que estoy bloqueando a los crawlers de Google, Bing y Yahoo (Slurp).

Leer más »

Publicado por & archivado en PHP, Programación.

Desde febrero de 2014 es obligatorio el uso de cuentas en formato IBAN (International Bank Account Number), y aunque casi todos los bancos aun admiten el antiguo formato, antes o después nos encontraremos con la necesidad de convertir las cuentas en formato CCC.

Leer más »

Publicado por & archivado en Seguridad.

Parece que lo gratuito no siempre sale tan barato.
El 21 de marzo de 2014 saltaba el escándalo cuando Arstechnica desvelaba que Microsoft había accedido al eMail de un blogger francés para descubrir una filtración sobre uno de sus productos, lo que nos lleva a preguntarnos si realmente existe la confidencialidad al usar emails anónimos como los de icloud, yahoo, hotmail o gmail.

Leer más »

Publicado por & archivado en PHP, Programación.

Los códigos de la Seguridad Social en España constan de tres grupos de números que suman un total de 12 dígitos. Un código inicial de 2 cifras que corresponden con la provincia, el número de afiliado de 8 dígitos y un número de control de 2 dígitos.

Leer más »

Publicado por & archivado en Seguridad.

Badoo es una red de contactos del estilo de meetic.com, amigos.com, etc. En julio de 2009 activé una cuenta gratuita usando un email del tipo badoo@uno-de-mis-dominios.com, nunca se usó para ninguna otra cosa que activar la cuenta en Badoo,  cuenta que fue borrada en septiembre de 2010. Hasta ahí todo normal, pero el 9 de diciembre de 2013, de repente, veo que me llega un spam con una estafa que pone en el asunto “Podeis ganar 120 euros al dia facilmente“.

Leer más »

Publicado por & archivado en Seguridad.

DynDNS ofrece sevicios gratuitos de DNS dinámico, por ejemplo, si tenemos una IP dinámica podemos programar nuestro router ADSL para que la actualice en un subdominio, como, minombre.getmyip.com. De esta forma es posible acceder a nuestro equipo desde Internet aunque cambie la IP.

Leer más »

Publicado por & archivado en PHP, Programación.

Un bug de PHP 5.2.6 hace que, si instalas Zend Optimizer 3.3.9 con Zend Debugger 20110410 (probado en Debian GNU/Linux de 32bits), cuando cargas cualquier página compilada con Optimizer por segunda vez y posteriores (sólo funciona la primera carga), se produzca un “segmentation fault”. El error que muestra al usuario es que el servidor cerró la conexión, pero en el error.log se ve el segmentation fault.

Leer más »

Publicado por & archivado en Postfix.

Autorizar una IP dinámica para enviar desde Postfix por la IP, sin necesidad de enviar credenciales, puede ser útil en ocasiones, pero no hay una forma sencilla de especificar que un nombre de host esté en $mynetworks.

Leer más »

Publicado por & archivado en Internet.

Los proveedores más conocidos de correo electrónico gratuito son Gmail, Hotmail y Yahoo, pero Hotmail empezó a ir a peor desde que lo compró Microsoft y cada vez es menos recomendable usarlo.

Leer más »

Publicado por & archivado en Antispam.

Para el que usa el eMail muchas veces pasa desapercibido a lo que nos enfrentamos los que administramos servidores de correo, pero hoy tengo que hablar de ello porque estamos batiendo marcas.

Leer más »

Publicado por & archivado en Apache.

La autentificación de Apache (esa ventana emergente que pide usuario y contraseña), normalmente se usa desde una lista de usuarios en un archivo de texto o con una base de datos de Berkeley, pero en ocasiones puede ser útil pedir usuario y contraseña consultando una base de datos MySQL.

Leer más »

Publicado por & archivado en Varios.

Si tienes un servidor gestionado con VHCS2 y actualizas el PHP a la versión 5.3, por ejemplo al pasar de Debian Lenny a Squeeze, te encontrarás con la desagradable sorpresa de que en vez de cargarse los textos y valores, aparecen sólo los nombres de las variables.

Leer más »

Publicado por & archivado en Recuperación de datos.

Cada vez hay menos fabricantes de discos duros, lo que podría llevarnos a una situación de monopolio mundial.

 

Leer más »

Publicado por & archivado en Bash.

Por algún motivo que desconozco, al hacer un ls en el bash (al menos en Ubuntu y Debian que es lo que uso), los directorios con permisos de escritura aparecen en azul sobre fondo verde y no hay quién lea los nombres.

Leer más »

Publicado por & archivado en Ubuntu.

Por algún motivo que nadie entiende, Canonical decidió poner su interface Unity por defecto a partir de Ubuntu 11.10, pero además, no hay opción para arrancar con Gnome. Entiendo que Unity está muy bien para usuarios inexpertos, pero seamos realistas, cualquiera que esté acostumbrado a Gnome enloquecerá con Unity.

Leer más »

Publicado por & archivado en Internet.

  • Niños enfermos que recibirán unos céntimos por cada eMail que envíes
  • Niños perdidos del Tsunami que no encuentran a su familia, pidiendo reenvíes su foto a todo el mundo
  • Noticias alarmantes avisando de falsos virus y pidiendo que avises a todo el mundo
  • Noticias falsas diciendo que Hotmail cobrará por el servicio dentro de una semana, y que hay que avisar a todos para evitarlo

Son los llamados HOAX (del inglés engaño).

Leer más »

Publicado por & archivado en Microsoft mail y Outlook.

S1i Outlook le muestra uno de estos errores:

  • Falló la conexión con el servidor. Cuenta: ‘su_cuenta’
  • Servidor:’su_servidor_POP3′, Protocolo:POP3, Puerto: 110, Seguro(SSL): NO
  • Error de socket: 10061, Número de error: 0x800ccc0e
  • Falló la conexión con el servidor. Cuenta: ‘su_cuenta’
  • Servidor:’su_servidor_SMTP’, Protocolo:SMTP, Puerto: 25, Seguro(SSL): NO
  • Error de socket: 10061, Número de error: 0x800ccc0e

Es debido a un fallo de conectividad con su servidor de correo en los puertos 25 ó 587,
usados para enviar correo, o en el 110 ó 143, usados para recibir correo. Estos fallos pueden deberse a un fallo del servidor, pero con más probabilidad se deba a la conexión de acceso a Internet (línea ADSL, cable, etc.).

Leer más »

Publicado por & archivado en Internet.

Internet Explorer dibuja mal muchas páginas e interpreta erróneamente el xml y las hojas de estilo, que han sido normalizados por el World Wide Web Consortium (W3C), además llega al punto de manipular sus webs para hacerlos aparecer mal en otros navegadores (debajo hay varios links sobre el tema), pero esto no es lo peor.

Leer más »

Publicado por & archivado en Internet.

¿Qué es un dominio?

El Nombre de Dominio es un mnemónico que se corresponde con una serie
de 4 grupos de números
 conocidos comunmente como “dirección IP” o más formalmente “Internet Protocol Numbers”. Sirve para la ubicación universal de recursos y servicios en Internet, como las páginas web o el correo electrónico entre otros, al formar una dirección de Internet conocida como URL (Universal Resource Locator).  Un ejemplo de URL es:
http://www.intervia.com/