Ataque a TOR

Alrededor del cuarto de agosto se reportó al equipo de desarrolladores de Tor que se estaba efectuando un ataque contra los usuarios de su sistema, mas específicamente explotando una vulnerabilidad previamente parcheada (un mes antes de el ataque). Del blog de Tor:

Aproximadamente a la medianoche del 4 de agosto, fuimos notificados de que un gran número de “hidden services” han desaparecido de la red Tor. Hay variedad de rumores respecto a que una companía que proveía hosting para estos ha sido comprometida, esta offline, o que atacantes están esparciendo un exploit en javascript utilizando su infraestructura.

Inicialmente, la comunidad entró en pánico pues se supuso que el anonimato de Tor había sido comprometido, aunque es sabido que muchos ataques son posibles contra tor. Nada parece indicar, sin embargo, que el ataque haya sido llevado a cabo a través de una de tantas vulnerabilidades teóricas en Tor.

La prensa alegaba  que un irlandés, que fue arrestado por “hostear la red mas grande de pornografía infantil mas grande del mundo”, era también el dueño de Freedom Hosting, aunque no hay pruebas contundentes de que esto sea cierto, o de que ambos eventos estén relacionados. Mas aún, la fuente original que hizo esta suposición, borró el artículo.

El exploit tenía una función muy sencilla: mandar la IP de la persona que visitaba una pagina web en el hosting, en conjunto con su MAC, a unos servidores en EEUU, en una zona comercial donde operan varias empresas que proveen servicios a “Alguna Agencia de Inteligencia” (de ahora en mas AADI), pero no hay pruebas contundentes de que AADI tenga ninguna responsabilidad de este ataque.

Es importante recalcar que Tor sigue siendo igual de eficaz de lo que siempre supusimos, y esto es solamente una de las formas de atacar a alguien que use Tor: atacando el software que usa para conectarse a la red, en este caso firefox. También es importante notar que, contrariamente a lo que las noticias indicaban inicialmente, esto no se trata de una vulnerabilidad nueva, por lo que usuarios que actualicen su navegador cuando sea necesario, hubieran sido inmunes a este ataque.

Los mantengo informados si surge algo interesante.

Compilado de enlaces

¡Hola a todos!

Les escribo a ustedes para traerles un compilado de enlaces. Se me están acumulando los enlaces, así que voy a tener que publicar mucho mucho.

Un abrazo grande,
Pedro

Convertir extensiones de Firefox a Seamonkey

¡Hola amigos!

Me encontré, buscando por ahi, un tutorial que nos enseña a convertir extensiones de firefox a extensiones de seamonkey.

¡Me parece que podría ser útil para nosotros, usuarios de Seamonkey!

Un abrazo grande,
Pedro

¿Por qué Open Source?

Hoy en día nos encontramos con que cada día comprar software es mas barato, y existen incluso empresas que, sin algun precio para el usuario final permiten a este la utilización de su software. Este artículo no intentará demostrar la superioridad técnica del software libre, ni de su superioridad en ningún otro aspecto, sino a la diferencia de actitud frente al desarrollo y la solución de bugs.

Hay que tener en cuenta que el software libre se lleva adelante en situaciones ideales:

  • Sin presiones de ningún tipo
  • Motivadas solamente por el amor al arte
  • Son desarrolladas por quienes realmente tienen una necesidad de el producto, y un conocimiento en el área

Estos puntos, si bien pueden llegar a ser no tan acertados en algunas situaciones, son asi en la mayoría de los casos. ¿Quién dedicaría tiempo a un proyecto sin fines de lucro si este le trayera presiones de algún tipo? ¿Por qué otro motivo, dedicaría alguien tantas horas a algo si no fuera un placer? ¿Por qué desarrollaría alguen una aplicación si no tiene la necesidad de usarla?

Por otro lado, las companías, para lograr mantener su cuota del mercado, tienen que adoptar tácticas que no son quizás tan positivas para el desarrollo del software. Tomemos por ejemplo la solución de bugs críticos en un área donde companías y emprendimientos Open Source compiten a la par: Los browsers. Hace un par de semanas, se llevó a cabo pwn2own, un evento en el que hackers de todo el mundo se reunen para encontrar vulnerabilidades en todo tipo de sistemas. Este año, se encontraron varias que ponían en juego la estabilidad y/o la seguridad de los sistemas en los que se ejecutaban los tres browsers, firefox, IE y Safari.
Libertad
Esto no es para nada criticable, si no mas bien una realidad; no existe un sistema totalmente seguro. Sin embargo, la actitud que tomaron Firefox, IE y Safari demuestran claramente que la actitud correcta está en las manos de Firefox. A los diez días de el evento, firefox no solo ya había solucionado el bug, sinó que había también prometido actualizar una versión mas antigua de el navegador, para proteger aquellos usuarios que aún no se habían actualizado.

Las companías privativas, por otro lado, se comportaron como tales: Microsoft reconoció el error, y prometió arreglarlo. De Mac aún no he oido nada, aunque quizás ya hayan solucionado el problema sin decir nada. ¿La realidad? …

Se podría decir que el artículo, en este caso, es la conclusión en si. Para aquellos que saben el precio que trae el no poder acceder a el código fuente de una aplicación para la humanidad, no es necesario explicar nada… Pero para aquellos que aún no lo saben, tienen en vista otros motivos para finalmente abandonar algo que a la larga tiene consecuencias evidentemente negativas.