El creador de Bitcoin vinculado a la ruta de la seda

noviembre 26, 2013 § Deja un comentario

Dos momentos importantes en la historia de los Bitcoin son su creación por parte Satoshi Nakamoto y la explosión de la ruta de la seda por parte de su fundador Ross William Ulbricht.

Según un informe publicado por Dorit Ron y Adi Shamir, dos científicos israelíes [PDF], Ross William Ulbricht (alias Pirata Roberts) puede vincularse económicamente a Satoshi Nakamoto. Aunque los compradores y vendedores de Bitcoin se mantienen anónimos, las transacciones son públicas y a través de ellas, los científicos fueron capaces de rastrear las interacciones.

La red Bitcoin se estableció en 2008 y se ha creído popularmente que las primeras cuentas en sus primeros días eran de Satoshi Nakamoto, quien llegó a acumular unos 77.600 BTC como resultado de la minería.
La identidad real de Nakamoto nunca ha sido descubierta a pesar de los intentos por averiguar quién tiene el conocimiento de criptografía y habilidades matemáticas suficientes para crear el sistema. Se supone que Nakamoto es el creador porque es la única persona que pudo generar esa cantidad a través de la minería en la primera semana.

Los científicos descubrieron una transferencia de 1.000 Bitcoin una semana después de que la red Bitcoin fuera lanzada y el destinatario de ese movimiento fue una cuenta controlada por Ulbricht. Sin embargo, los investigadores no pueden demostrar que la cuenta realmente pertenece a él o no.

Los investigadores creen que las comisiones incautadas por el FBI son sólo el 22% del total, mientras que ellos han sido capaces de rastrear sólo un tercio de dichas comisiones. Posiblemente, el FBI no ha incautado todos los Bitcoin de Ulbricht porque él podría estar usando otros equipo que no han sido localizado.

¿Nakamoto y Ulbricht no serán la misma persona?

Fuente: The Hacker News

Supercomputadora de Amazon, entre las 100 más grandes

noviembre 20, 2013 § Deja un comentario

La lista de los 500 ordenadores más rápidos del mundo está en constante evolución. En la última enumeración realizada, el supercomputador de Amazon alcanzó la posición número 64 coronándose como una de las novedades más importantes. Para alcanzar esta posición, el supercomputador de Amazon necesitó 26.496 núcleos que le han permitido llegar a procesar casi medio petaflop por segundo. Su anterior registro, en 2011, se quedó en 240,1 teraflops por segundo y ahora mismo se sitúa en la posición número 165.

Teóricamente el supercomputador de Amazon podría llegar a manejar 593,9 teraflop/s pero su registro fue de 484,2 teraflop/s. El resto de características técnicas son de las que dejan los ojos abiertos un buen rato:

  • 106 TB de memoria
  • Conexión 10 Gigabit Ethernet
  • Uso de instancias “c3.8xlarge”
  • Procesadores Intel Xeon E5-2680 V2 con 16 núcleos y 2,8 GHz

Pero más allá de las especificaciones hay que hablar de latencia. El supercomputador de Amazon se ejecuta en una única ubicación para reducirla al máximo. Es el único sistema virtualizado que se encuentra en el TOP 100 por lo que los responsables están más que satisfechos con el resultado.

El hecho de tener solamente un centro de datos permite esta menor latencia, pero además permite tener menores fluctuaciones en la red con lo que los paquetes que se pueden enviar son mayores. Una característica vital para el aprovechamiento del sistema.

Fuente: Alt1040

Cuántas líneas de código tiene… [Infografía]

noviembre 16, 2013 § 1 comentario

Comparar el código fuente de una aplicación con un libro es pedir demasiado pero es una forma de recrear un cuadro mental de cuánta información tiene la tecnología de hoy.

Es absolutamente asombroso cuántas líneas de código puede llevar realizar algunas operaciones. Por ejemplo, Facebook tiene por lo menos 15 veces más de código que el gran colisionador de hadrones. Aquí una excelente infografía (en proceso) de los proyectos de software más conocidos y sus respectivas cantidad de líneas de código (clic para agrandar).

Fuente: DailyInfographic

Helio y cerámica, los nuevos ingredientes para hacer un disco rígido

noviembre 5, 2013 § Deja un comentario

Presentaron discos de 6 terabytes que usan helio para reducir la fricción interna; un grupo de investigadores holandeses ideó un disco que dura un millón de años.

Aunque el almacenamiento de moda es el flash (tanto en las tarjetas de memoria del celular o en los discos de estado sólido de las computadoras más modernas, usando chips en los que se cambia el estado de un transistor para codificar la información) el disco rígido sigue dando pelea.
HGST, una subsidiaria de Western Digital, presentó una nueva línea de discos rígidos que usa helio (el gas noble con el que se inflan globos, se hacen chistes con voz finita en los cumpleaños, etc.) en vez de aire dentro de los discos.
Un rígido está formado por varios discos (platos, en la jerga) que giran a alta velocidad, y que es donde las cabezas del disco leen y escriben la información, con nanómetros de precisión. El uso de helio (más fino que el aire común) permite reducir el espacio entre platos, sumar más y tener más densidad de información, es decir, más bytes dentro de un mismo disco.
El modelo Ultrastar He6 que presentó la compañía, justamente, tiene 7 platos -contra los 5 convencionales- y 6 terabytes de capacidad, el más grande del mundo. El uso de helio, además, reduce la fricción, lo que redunda en un menor consumo de energía y de disipación, un dato clave para los centros de cómputo, los principales clientes de la compañía.
Por un millón de años
Los discos de HGST se pueden comprar hoy (aunque no están destinados, por ahora, al usuario común). Lo que proponen en la universidad de Twente , en Holanda, es un poco más a largo plazo: diseñaron un disco que almacena información por un millón de años.
En el Instituto de Nanotecnología MESA+ crearon un disco especial que soporta golpes, altas temperaturas y mucho más.

“El truco que utilizamos es insertar puntos de material en cerámica, que es químicamente, térmicamente y mecánicamente muy resistente. El material incrustado en la cerámica está protegido de cualquier embate ambiental. Esto hace que los datos sean robustos durante millones e incluso miles de millones de años”, le explicó el director de esta tesis, Miko Elwenspoek, al sitio Esmateria.com .

La información se codifica sumando capas de tungsteno y nitruro de silicio, en un dibujo de códigos QR que se va reproduciendo hasta marcas microscópicas.

No son los únicos en pensar en discos tan longevos: el año pasado un grupo de la universidad de Kyoto mostró un disco hecho de cuarzo que, dice, podría sobrevivir 300 millones de años .

En ambos casos, por supuesto, la gran incógnita es qué almacenar allí, y cómo hacerlo para que en el futuro esa información se pueda decodificar.

Fuente: La Nacion.com

Colección de antiguos virus informáticos de la epoca de MS-DOS

noviembre 2, 2013 § Deja un comentario

En 2004 el gusano Sasser infectó el computador de un adolescente llamado Daniel White. Al buscar cómo limpiar su computador, el joven se encontró con las guías de malware creadas por la empresa de antivirus F-Secure, las que tenían detallados registros desde la década de los ochenta de toda clase de virus informáticos.
White se obsesionó con el tema del malware, y actualmente es quizá uno de los mayores coleccionistas de virus de computadora en Internet. Tiene un canal de YouTube con más de 450 videos dedicados a antiguos y obsoletos virus, por lo que uno puede ver una fascinante muestra de estos odiados programas informáticos.

Contenido completo en fuente original FayerWayer

Cómo apestar en Seguridad de la Información

octubre 30, 2013 § Deja un comentario

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía “Cómo apestar en Seguridad de la Información” (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.
Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.

  1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
  2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
  3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
  4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
  5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
  6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
  7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
  8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
  9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
  10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.

Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Fuente: ESET Latinoamérica

¿Qué es Cyberpunk?

octubre 17, 2013 § Deja un comentario

Aunque el lector pertenezca a una generación que desconozca casi todo sobre la subcultura hacker, a buen seguro tendrá referencias certeras del Cyberpunk, un subgénero de la ciencia ficción al que pertenecen clásicos como Blade Runner, y que ha dado lugar a libros, películas, videojuegos, tendencias pop e incluso modas en el vestir.

¿Y qué es el cyberpunk? La misma palabra lo dice: cibernética y punk, o lo que viene a ser lo mismo, alta tecnología y redes informáticas en una sociedad que se viene abajo y profiere gritos de rebeldía.

Con una banda sonora de música industrial, techno, neurofunk, o futurepop –por citar corrientes musicales de inspiración similar–, este movimiento surge en las invenciones de novelistas como William Gibson, Lewis Shiner, Dan Simmons, Bruce Sterling, Pat Cadigan, Rudy Rucker y John Shirley.

En esas obras, asistimos a tenebrosos argumentos en los que hackers y artificios de inteligencia artificial (seres cibernéticos, replicantes, o como quiera usted llamarlos) tratan de abrirse camino en un futuro dominado por grandes corporaciones.

Con ingredientes tomados de la novela negra, del underground y de la ciencia-ficción distópica –esa que suele acabar mal–, los narradores del cyberpunk entran y salen de la realidad virtual con una pasmosa facilidad.

Aunque basta leer una obra como Neuromante (Neuromancer, 1984), de William Gibson, para apreciar el alcance de este subgénero, vale la pena conocer sus orígenes.

Contenido completo en fuente original The Cult – Guzmán Urrero Peña

¿Dónde estoy?

Actualmente estás explorando la categoría curiosidades en Seguridad Informática.