Tomas Bradanovic

NULLA DIES SINE LINEA. Filosofía barata, historias, historietas, mecánica, moralejas, chamullos, relatos absurdos, la vida de un vago, cosas de Arica, literatura, música, pornografía, política, física, cocina regional, minas, copete y cosas por el estilo. The awesome, absurd and often bored adventures of our Man of Mistery in Arica, from the trenches, in the Northern Front. Sacar a mil, sacar a mil. Streams of brilliance often springs from boredom. Atendido por su propio dueño, dentre nomás.

Esos si que eran insultos

domingo, 1 de diciembre de 2013


Nada es seguro, Hace un tiempo había instalado un correo seguro usando Paws Mail con GPG. He colocado muchas veces acá mismo que enviar un mail es lo mismo que mandar una carta sin sobre, no solo cualquiera la puede leer sino que además no existe ninguna ley que en la práctica prohiba interceptarlo y difundirlo, Internet es un canal inseguro por definición así es que si hay algo que no nos gustaría que lo vea todo el mundo la única alternativa es encriptar.

Y para que la encriptación sea segura debe estar en los dos extremos, es decir tanto el que manda como el que recibe el mail deben tener el mismo sistema, no existe ningún sistema seguro de uno-a-muchos y esa es la razón por la que las llamadas de Merkel o del propio Obama pueden ser interceptadas no importa cuan sofisticada sea el método de encriptación que usen, solo de uno-a-uno es seguro.

La línea directa entre Washington y Moscú usa un sistema arcaico y poco práctico, pero es el único que se conoce que es teóricamente imposible de romper, se llama el one-time-pad, es muy simple, se basa en hacer operaciones XOR entre el mensaje plano y la clave. La clave se puede usar solo una vez y debe ser igual de larga que el mensaje, esos son sus dos inconvenientes que lo hacen casi inútil en la práctica, excepto para aplicaciones muy especiales.

Un mensaje encriptado con one-time-pad es indistinguible de un montón de caracteres al azar y no puede ser criptoanalizado con métodos estadísticos. Claude Shannon, el papá de la teoría de la información y la criptografía moderna demostró que era un sistema perfecto -aunque poco práctico-  en su más famoso artículo donde también fundamentaba la teoría matemática de la comunicación.

Para efectos prácticos lo que se usa ahora son dos sistemas normalmente en conjunto, el RSA se usa para resolver el problema del intercambio de claves, usando pares de clave pública y privada y el AES para hacer la encriptación/decriptación, ninguno de los dos métodos es teóricamente seguro sino que tienen seguridad práctica o matemática: para romperlos se requiere de cálculos que tomarían más de la edad del universo con las máquinas actuales. Sin embargo el algoritmo RSA ya se ha roto para claves relativamente cortas y es muy posible que en el futuro las claves que hoy se usan ya no sean seguras. Incluso nadie sabe si no hay ya matemáticos que han roto la seguridad de las claves actuales y están calladitos, aunque no es my probable que digamos.

Hoy el AES y RSA tienen la certificación de nivel "top secret" y son usados por gobiernos y empresas, sin embargo leí tiempo atrás un inquietante artículo que decía por que no es seguro usarlos y daba la siguiente razón: con las enormes granjas de cientos de miles de servidores y peta-bytes de capacidad de almacenamianto, hoy es perfectamente posible almacenar todo el tráfico encriptado que circula por Internet y dejarlo guardado hasta que el RSA sea inseguro, se supone que solo es cuestión de tiempo. Entonces se podrán abrir y revisar todos los mensajes privados y todos los volúmenes encriptados con TrueCrypt, así será como mis videos porno y papeles comprometedores saldrán finalmente a la luz pública. Espero estirar la pata antes que eso ocurra.


Las peleas literarias son muy comunes, pero la primera que se recuerda por su gran virulencia fue entre Góngora y Quevedo, realmente se odiaban intelectual y personalmente. Góngora era narigón y Quevedo le escribió:

Érase un hombre a una nariz pegado,
érase una nariz superlativa,
érase una alquitara medio viva,
érase un peje espada mal barbado;

era un reloj de sol mal encarado.
érase un elefante boca arriba,
érase una nariz sayón y escriba,
un Ovidio Nasón mal narigado.

Érase el espolón de una galera,
érase una pirámide de Egito,
los doce tribus de narices era;

érase un naricísimo infinito,
frisón archinariz, caratulera,
sabañón garrafal, morado y frito.

Realmente se odiaban, Góngora escribió de su enemigo:

Anacreonte español, no hay quien os tope,
Que no diga con mucha cortesía,
Que ya que vuestros pies son de elegía,
Que vuestras suavidades son de arrope.
¿No imitaréis al terenciano Lope,
Que al de Belerofonte cada día
Sobre zuecos de cómica poesía
Se calza espuelas, y le da un galope?
Con cuidado especial vuestros antojos
Dicen que quieren traducir al griego,
No habiéndolo mirado vuestros ojos.
Prestádselos un rato a mi ojo ciego,
Porque a luz saque ciertos versos flojos,
Y entenderéis cualquier gregüesco luego.

Corrieron ríos de tinta y pasaron años insultándose en forma de soneto, letrilla, romances burlescos y terza rima ¡esas si que eran peleas! ¡así se insulta! Neruda y de Rocka, Cervantes y Lope de Vega también eran enemigos, pero nunca se insultaron con tanta gracia como este par. En todo caso yo voy por Quevedo, es mi ídolo.

16 Comments:

Blogger hugo solo said...

Este comentario ha sido eliminado por el autor.

1 de diciembre de 2013, 05:59

 
Blogger Ulschmidt said...

... y con la nueva generación de celulares, más las gafas de realidad aumentada, al final los dispositivos se activarán por voz del usuario - la clave de acceso será su timbre de voz - y para activarse cuando se le requiera el dispositivo estará escuchando todo el tiempo, y la NSA podrá conocer cada palabra de cada persona.

1 de diciembre de 2013, 08:43

 
Blogger Tomas Bradanovic said...

jaja ¿en que estaría pensando cuando puse "Gorgora? ¿en hacer gargaras?

Ulschmidt, hasta el momento la identificación biométrica no ha dado resultados. Los escaner de iris y de huella digital son poco fiables y más o menos fáciles de burlar (hasta con una fotocopiadora se puede a veces, otros identificadores como la voz son demasiado complejos para hacer una identificación unívoca.

La mayoría de los biométricos son poco prácticos y poco confiables. Lo otro es que la identificación es solo una parte del asunto (la "clave secreta" biométrica o lo que sea) en teoría casi todos los métodos de encriptación se pueden romper sin necesidad de autentificarse ya sea por cálculo de la clave a partir del texto cifrado, análisis estadístico, etc.

Hasta el momento lo más probable es que con los métodos comunes y corrientes (como el GPG o Truecrypt) ni siquiera la NSA puede romperlos, siempre y cuando sean bien usados y bien implementados, ese es el talón de aquiles de estos sistemas

1 de diciembre de 2013, 11:00

 
Blogger hugo solo said...

Y con las millones de fotografias que se envian por whatsapp no seria mas facil enviar el mensaje de momento dudo que si escribes en una hoja el mensaje vital para la humanidad o para su destruccion o para lo que sea si luego lo fotografias y lo envias alguna maquina este controlando los millones de fotografias que se envian etc etc un sistema barato y sencillo salvo por la complicacion de darle al boligrafo.

1 de diciembre de 2013, 13:58

 
Blogger Tomas Bradanovic said...

eso se llama esteganografia si mal no recuerdo, es uno de los métodos más inseguros que existen, anda por ahí con la "clave murcielago" o con el ROT-7. En cualquier caso es divertida para mandarse mensajes secretos entre amigos, siempre que no ande cerca ningún profesional interesado en ellos.

1 de diciembre de 2013, 13:59

 
Blogger Tomas Bradanovic said...

El "ecubrimiento en la multitud" tampoco existe como alternativa, con el poder de computación actual no es problema analizar liles de trillones de archivos de manera rápida y casi transparente.

1 de diciembre de 2013, 14:01

 
Blogger Tomas Bradanovic said...

Es lo que hacen los que desarrollan software antivirus y antimalware por ejemplo, detectan anomalías a nivel global.

1 de diciembre de 2013, 14:02

 
Blogger Tomas Bradanovic said...

http://www.cybsec.com/upload/ESPE_Esteganografia.pdf

1 de diciembre de 2013, 14:02

 
Blogger hugo solo said...

El asunto es que la Merkel esta bajo control total sea Obama u otros personajes importantes habia un espia ingles que antes de estallar la segunda guerra mundial espiaba a los japoneses y dibujaba mariposas en donde estaban escondidas las fortificaciones en los dibujos de las alas hasta que lo pillaron pero para muchos este sencillo sistema puedes ser mas seguro que enviar un email por ejemplo si sabes que todas las palabras que escribes en un email como terrorista bomba etc etc echelon o carnivore la desvian para se r analizada pero una fotografia de texto no se si la maquina puede leer ya que es una imagen no se ideas y con el sistema en donde las fotos pueden ser enfocadas una vez hechas donde queramos pueden se enviadas con el foco en un palno y cuando la tengamos en casa le cambiamos el foco en donde aparecera la informacion ideas.

1 de diciembre de 2013, 15:23

 
Blogger Tomas Bradanovic said...

En el concepto moderno la seguridad de la información no puede basarse en secretos, todos los sistemas basados en secretos terminan siendo rotos más ahora con la disponibilidad de computadores capaces de analizar enormes volúmennes de datos de manera muy rápida. Hasta los secretos atómicos que supuestamente fueron los mejor guardados del mundo terminaron siendo conocidos por todos.

La seguridad moderna se basa en usar algoritmos conocidos por todos pero de solución teóricamente imposible (por ejemplo el one-time-pad) o imposible en la práctica de calcular (como el RSA o AES), no existe ningún secreto excepto las claves de autenticación, y aunque estas sean reveladas no compromete al sistema completo sino solo al usuario que se autentifica.

Los algoritmos públicos son mucho más seguros porque hay decenas de miles de criptoanalistas, profesionales y aficionados en el mundo tratando de romperlos de manera simultánea, no existe nada más seguro que eso.

Aunque la seguridad absoluta no existe la criptografía moderna entrega las mejores y más confiables soluciones que podemos disponer

1 de diciembre de 2013, 15:52

 
Blogger Javier Bazán Aguirre said...

La seguridad informática es un tema interesante. Lo mismo que la criptografía.

El espía que usaba mariposas eran Baden Pawell en la Guerra de los Boers en Sudáfrica.

1 de diciembre de 2013, 16:25

 
Anonymous Anónimo said...

Me llama la atencion que no mencionara quien esta detectando y guardando para un futuro cercano los mesajes encriptados.

Son los mismos que han infiltrado la NIST y otros organismos con el fin de debilitar los algoritmos y estandares de encriptacion. Los mismos que han puesto 'backdoors' en software comercial, sistemas operativos y pronto, ahora mismo en el hardware. Incluso se sospecha de algunas lineas raras de codigo abierto.

Los mismos que han creado incluso empresas fantasmas de ISP con el fin de redirigir trafico. Los mismos que pasan informacion de manera ilegal al FBI o IRS sobre las operaciones de sus cuidadanos. Tambien han influenciado la politica de su pais con el fin de que los tratados internacionales les sea favorables en sus asquerosas operaciones. Uno de esos tratados incluye a Chile.

MV


1 de diciembre de 2013, 17:33

 
Blogger hugo solo said...

Javier acabo de mirarlo en el wikipedia pues no era espionaje contra los japoneses ni era la 2ªGM.

1 de diciembre de 2013, 17:36

 
Blogger Tomas Bradanovic said...

Javier, conozco solo superficialmente la historia de Baden Pawell (el fundador de los scout, creo) si había escuchado que fue destacado veterano de guerra, buscaré sobre eso, me parece una historia interesante.

Miguel, yo creo que todos los gobiernos y todas las policías del mundo están en eso. USA más que ninguno por su superior tecnología, pero China, Europa y hasta en Chile le hacemos empeño.

La gente piensa que existe alguna especie de "derecho a la privacidad" en las comunicaciones por Internet, bueno, ese derecho no existe y es completamente legal meterse al mail de otra persona. De hecho cuando uno abre una cuenta de Gmail está dando permiso a Google para que indexe los contenidos del mismo, ese es el paraíso del data minning.

Y obre la criptografía, bueno, pasa lo mismo que con el espionaje, todo vale y cada uno tiene que ver la mejor manera de esconder lo que quiere mantener secreto. la privacidad en Internet -incluso legalmente- es muy distinta de la privacidad en cualquier otro ámbito, hay leyes pero son todas inoperantes, imposibles de hacer cumplir correctamente por el carácter global y distribuído de Internet. Es parecido al derecho en Alta Mar, donde solo funcionan ciertas convenciones.

Sobre el TrueCrypt dicen que el gobierno de Brasil mandó un disco encriptado al FBI para que trataran de abrirlo y no pudieron, vaya uno a saber si no pudieron o no quisieron.

1 de diciembre de 2013, 17:46

 
Blogger Tomas Bradanovic said...

Ah Miguel, también hay un problema de los usuarios. Nadie ha auditado hasta ahora el Truecrypt por ejemplo (y se le considera muy seguro pese a que no se sabe quien o quienes lo escribieron). Mal que mal son como 180.000 líneas de código y nadie se ha dado el trabajo, se acepta por pura fe en que el código está abierto.

El mismo problema existe con el Open BSD que se supone que es la fortaleza de Linux para servidores seguros. Los módulos y algoritmos criptográficos pueden estar correctos pero hay un mundo de cuchufletas que se pueden hacer en la implementación de estos dentro de un software. Dicen que hacer una buena implementación es casi tan difícil como desarrollar los algoritmos.

1 de diciembre de 2013, 20:42

 
Blogger Jose Cornejo said...

Respecto al tema de la criptografía siempre se ha buscado la manera de "codificar" los mensajes que se envían de un punto a otro. pero como actualmente estamos interconectados, es muy dificil implementar una medida de seguridad.

Por ejemplo recuerdo que alguien me estaba balseando wifi. cambié la contraseña de red una decena de veces pero el tipo tardaba casi 20 minutos en encontrarla y colgarse de nuevo. incluso desconecté el servicio de wifi y se dejó de joder un poco. paralelo a eso uno de mis colegas me mandó un programilla para captar al que me estaba balseando wifi que permitía bloquear la tarjeta de red wifi del "barzácula" e impedir que se conectara mediante su MAC Address, al bloquearla.

Santo remedio. solo que ahora el programa (el instalador) lo borré accidentalmente.

2 de diciembre de 2013, 14:49

 

Publicar un comentario

<< Home

Entradas antiguas Entradas nuevas