Claves planas, MD5, sha1

Este es un post de recomendacion 🙂

Creo que en todo tutorial de desarrollo de aplicaciones, sobre todo para web, en donde seguro va a haber multiples usaurios, recomienda que no se guarden las claves en texto plano, ya sea que se graben dentro del código (sucede), en un archivo de texto (también), o en una base de datos.

Bueno, por qué no es buena idea ?

Empecemos porque todos cometemos errores, y hay algunas personas que solo cometen errores, entonces, toda aplicación va a tener algún defecto, frecuentemente el defecto va a ser suficientemente grave como para que un usuario bien o mal intencionado pueda leer la lista de usuarios del sistema, y sus respectivas claves.

Entonces que problema tiene con que el usuario vea algo como:

root:827ccb0eea8a706c4c34a16891f84e7b

o incluso

root:8cb2237d0679ca88db6464eac60da96345513964

Pues simple, resulta ser que por ejemplo podemos buscar “827ccb0eea8a706c4c34a16891f84e7b” en alguna paginita como esta: http://gdataonline.com/seekhash.php

Y para el segundo caso qué ?, pues a lo mejor no va a ser tan rápido, sha1 es un método ligeramente más complejo, pero que tal si nos damos una vuelta por http://www.openwall.com/john/ y nos bajámos y compilamos (las distros normalmente tienen una version vieja) para luego darle una manoseadita al string pa que quede como:

root:8cb2237d0679ca88db6464eac60da96345513964:0:0:root:/root:/bin/bash/

Que es más o menos lo que le gusta leer a john, y corremos un sencillo

./john -format=raw-sha1 crackme.txt

Pos resulta que más rápido que inmediatamente nos va a decir que la clave es “12345”, y bueno, con el tiempo nos irá diciendo más claves, típicamente podemos esperar que claves sencillas salgan en cuestión de minutos u horas, y claves de mediana calidad van saliendo en días de proceso, y con suerte claves muy complejas van a requerir años, pero normalmente en una lista de 10 usuarios, al menos 3 o 4 usan claves bastante sencillas, esas claves van a ser “adivinadas” en tiempos suficientemente cortos como para que sea posible que nos hagan daño.

Y por si no lo sabían, john the ripper existe desde hace mucho años, según el repositorio del código al menos tiene 7 años, según recuerdo lo conozco desde hace más, pero desde hace 7 años es posible crackear claves “crypt” que es un algoritmo con “salt” y más complejo, así que POR FAVOR !!!! no uses claves planas, ni MD5 ni SHA1 !!! hazle un bien a tus cuates.

Lo que nos puede enseñar Facebook sobre Sociedad y Economía

Hola

Hoy tengo varios detalles que hacer, pero voy a empezar la semana de una manera agradable, desahogandome 🙂 (que raro, si no es mi costumbre).

Yo nos soy un gran fanático de Facebook, yo soy más del tipo twitter, en realidad para mi ambos sitios son recreativos, y twitter es muuucho más divertido que facebook, será pq la gente de facebook se engaña a si misma pensando que están haciendo algo productivo en esa red ? no se.

El caso es que ya se ha hablado mucho de la privacidad, de los efectos sociales, y de la falta o no de sentido común de la gente para liberar en internet datos que pueden comprometerlos en cosas bastante serias.

Hoy leí una nota que habla de un estudio que se hace sobre usuarios de facebook australianos, para determinar que tan fácilmente liberan datos personales o de sus contactos (amigos, etc). La conclusión no es nada asombrosa, están “peor” que los londinenses de hace 2 años.

Y al final hace 3 recomendaciones:

  • No aceptes amigos ciegamente.
  • Aprende las reglas de privacidad que tiene la red social a la que te suscribas.
  • Asume que todo lo que escribas en el sitio va a ser visible en internet (Esta es la mejor en mi opinion).

Y bueno, tengo varias cosas que decir al respecto. Empecemos por la primera recomendación, si entramos a una red social, usualmente es para hacer contactos social, es lo mismo que si vamos a un bar o una disco, incluso muchos van a bibliotecas y cosas así a conocer gente, estamos buscando gente que tenga gustos afines !!, entonces qué podemos hacer si no los vamos a aceptar con facilidad ??, solo personas muy obsesivas van a lograr entablar relaciones de esa manera, el promedio no va a lograr nada porque siempre va a estar “ofendiendo” a la otra persona (por la actitud elitista), o la otra persona va a peder el interés (por el tiempo requerido para lograr apertura del otro lado).

Lo que estamos viendo en la sociedad actual es un fenómeno muy curioso, se nos ha enseñado que lo mejor que podemos hacer es integrarnos al mundo de una forma “globalizada”, que es mejor estar abiertos a lo que ofrece la tecnología y los cambios sociales y económicos, pero a su ves, “debemos ser muy cuidadosos”. Es totalmente cierto que tanto en la vida cotidiana como en la vida cibernética debemos tener bien claro tanto nuestro objetivo como las consecuencias de nuestros actos, pero la manera en la que se está desenvolviendo la sociedad actualmente tiene 2 vertientes que se oponen a si mismas de una manera muy fuerte: Queremos sociabilizar al máximo, pero hay demasiados locos y delincuentes allá afuera.

Entonces que pasa ?, que todo mundo quiere encontrar amigos y/o pareja, incluso en facebook, pero en el inter pierden dinero por medio de estafas, extorsiones y clonación de identidad.

Pasemos al segundo punto de las recomendaciones, la privacidad. Sabemos que si no liberamos información personal, dificilmente alguien va a tener la capacidad de hacernos daño económico o personal, pero si no liberamos información no podemos hacer relaciones, y por otro lado, los sitios de internet tienen la gran necesidad de ofrecer información de las personas, o están destinados a no tener “éxito”. Entonces aqui entramos en un estira y afloja que por ejemplo google conoce muy bien, fue la empresa que inició con el lema de no hacer daño, y con el tiempo se han dado cuenta de que no hay manera de evitar hacer daño de vez en cuando si quieres mantenerte en la cima, si no recuerden (o googleen) el caso de la censura en China.

Ya vimos la segunda contradicción, y vamos por el último punto, y posiblemente el más importante: toda tu información puede ser usada en tu contra, no solo en la vida real, en estos días prácticamente el 100% de la población que está ya sea en posición media o alta depende directamente del manejo de su dinero a través de los bancos, con transferencias electrónicas, tarjetas de débito o crédito, etc. Y el internet solo ha venido a complicar la cosa, antes era necesario buscar con bastante esfuerzo información personal en los botes de basura, robando documentos en oficinas, hablando por teléfono, y ahora es posible hacer una búsqueda en google para encontrar los 3 datos clásicos que te pide por ejemplo un banco para el acceso a “tu clave perdida”, nombre completo, día de nacimiento, nombre de tu mascota/equipo favorito/exnovia que más extrañas/profesora con la que tenías fantasías/etc.

Y bueno, todo esto que nos puede enseñar de la sociedad ??? pues algo que todos sabemos perfectamente, que estamos muy mal !!!

Estamos impulsando un sistema que promueve la globalización, pero ni siquiera estamos listos para afrontar los problemas más simples, por ejemplo el grueso de la población no está dispuesta a recordar cosas complicadas como claves de banco, mucho menos van a poner una pregunta y respuesta complicada para la recuperación de la misma, por lo que los bancos no pueden hacer otra cosa que hacer “sistemas amigables” que están de manera permanente en modificación, porque no hay sistema que pueda asegurar la información cuando la información es trivialmente encontrable, entonces llegamos aun ciclo en el que ni se pueden corregir los sistemas bancarios, ni la gente está dispuesta a poner de su parte para que desaparesca el problema.

Y entonces saltan preguntas, porque dependemos tanto de los bancos ??, porque necesitamos esconder tantas cosas de nosotros mismos ??? que no queríamos vivir en un mundo globalizado ?? hacer sociedad con gente de paises que nunca hemos visitado, y probablemente nunca visitaremos ???

Y es ahí donde yo me pregunto, no se puede hacer nada ? y la respuesta es muy sencilla, si. Siguiente pregunta, por qué no se hace?, porque no estamos dispuestos a poner de nuestra parte, hemos dejado que la sociedad se rija por lo que los grandes economistas creen que es mejor para nosotros, y lo mejor para nosotros es que no tengamos una vida complicada, no podemos dedicarle 1 o 2 horas a la semana a andar en los bancos, porque serían horas de productividad perdidas, entonces tenemos que poder hacer todo electrónicamente, pero como no nos gusta recordar nada complicado, ahora resulta que nuestro dinero está en peligro, y el banco no puede hacer nada al respecto mas que estar cambiando el sistema cada medio año para que los hackers tengan que chambearle otro rato en automatizar sus herramientas de nuevo.

Y entonces para que queremos vivir globalizadamente ?? porque no hay manera de subsitir si no lo hacemos, no es viable, el mundo no vivió miles de años antes de la globalización, no hubo adelantos tecnológicos ni nada de eso !!, obviamente todo esto es sarcasmo, y si, estoy de acuerdo en que adeltantos como la medicina, y prácticamente todo lo que se ha logrado con electrónica y computación han hecho una gran diferencia en la sociedad, pero eso no tiene que significar que nos encerremos en un círculo vicioso, la tecnología debió haber sido la que mejorara la calidad social, y solo nos ha servido para mejorar la calidad de vida de los que tienen suficiente para comprarla.

Algo está muy mal tanto en el modelo económico como en el modelo social, y nadie está haciendo nada para mejorarlo, solo vemos nuevas empresas lograr “el sueño de todos”, estamos super orgullosos de que MS logró crear al hombre más rico del mundo por unos años, que apple logró sobrevivir a 15 años de miseria para convertirse en la empresa que todos los fresas adoran, y estamos aún más orgullosos de que google ha sido un gran impulsor de la libertad de información, logrando liberar un monton de aplicaciones para web de manera gratuita a través de las grandes ganancias que han logrado a través de la publicidad, y claro, manteniendo en sus archivos la información personal de millones de personas que usan sus herramientas.

Pero cuando hemos visto a alguna de estas empresas luchar realmente por mejoras sociales verdaderas ?? a los niños del campo no les sirve de mucho que google tenga disponibles libros de manera gratuita, y mucho menos a los campesinos les sirve de gran cosa el GPS que tiene el iphone.

Es necesario cambiar, pero para cambiar necesitamos sustituír de manera completa a los líderes actuales, ni las empresas, ni los políticos actuales están trabajando para mejorar la calidad de vida de los pobres, están trabajando en mejorar la elite del poder, disminuyendo al máximo a la clase media, para que nos quedemos con 2 tipos de personas, los ricos que hacen lo que se les antoja cuando se les antoja, y los pobres que no tienen educación ni opinión para nada más que maquilar productos que enriquescan más a los que ya son ricos.

No necesitamos enseñare a la gente cómo cuidar su información !!!, necesitamos enseñarle a la gente la verdadera educación para que no tengamos que vivir con el temor de ser asaltados, o extorcionados, necesitamos que todos tengamos el valor para alzar la voz cuando somos testigos de una actitud dañina, necesitamos gente que pueda escoger buenos políticos y que pueda destituír a los malos, pero obviamente esto no lo vamos a lograr a través de los políticos actuales, estos están muy ocupados generando un ambiente “seguro” en el que todos nos sentamos intimidados por las fuerzas policiacas y militares, y claro, están trabajando duro para reformar la educación, disminuyendo cada vez más las exigencias hacia los alumnos, y sacando de los libros de historia todo aquel evento que no les conviene recordar.

Cuando la clase media se de cuenta de que lo que necesita es luchar contra la clase alta, y no tener el objetivo de llegar a convertirse en ella, las cosas en este país (o en el que lo haga) y posiblemente en el mundo van a cambiar. Mientras tanto, el que nada debe nada teme !!!, por qué ocultar tu información si no has hecho nada malo ?? que las leyes se encarguen de castigar de verdad a los que intenten abusar de esta apertura social y del sistema económico que la nueva tecnología nos ha permitido alcanzar !!

Google ataca de nuevo

Yo no se ni para que se sorprende uno de las cosas que google hace.

Ahora están abriendo un nuevo proyecto, tienen un “cache de DNS” segun ellos muy chido.

http://code.google.com/speed/public-dns/

Con esto están diciendo que el servicio es más rápido, y seguro, o sea, están proponiendo un servicio similar al de opendns.

Hay que tener en cuenta que google no está ofreciendo un servicio que sustituye los DNS internos de tu dominio, ni mucho menos los caches locales de DNS que todo lugar con mas de unas 5 o 10 máquinas debe tener.

Sin embargo, el anuncio si parece, y de hecho la recomendación de explícitamente dice que pongas tu configuracion de red con el DNS de google, lo cual es bastante tonto, porque eso en efecto va a alentar tu navegacion en general, lo que deberían recomendar es que “los administradores de redes configuren sus DNS para usar a google como el que resuelve externamente”, pero no lo están haciendo, por una simple razon, entre más gente lo use, más estadísticas van a tener de lo que hacen.

En fin, yo solo le pido a google que por favor ya se cree un servicio de hosting ilimitado y gratuito, y un servicio de VPS igual.

poscas linux_mx #2, ver 0.99 beta

Hola

Pues el viernes pasado grabamos el segundo poscas de #linux_mx, hubo creo que un poco más de discusión, un poco más de orden, y la misma cantidad de plática windowzera.

En esta ocación me aventé un experimentito de edición, obviamente ni se me da la edición, ni soy bueno pa el asunto de la originalidad y la imaginación, pero pos ahí está el resultado, como sea, si no quieres chutarte “mi versión” del poscas, puedes bajar el mp3 original sin ediciones en http://garaged.org/poscas

Y bueno, aqui está el #2

[display_podcast]

La música de fondo es cortesía de Triplexity (Between Light and Shadow)

Si Juanito es un tramposo, el peje qué es ?

Me da mucha tristeza ver el estado del país, el estado de la política y de los medios de comunicación, ya hace meses que hemos estado viviendo la novela de “juanito”, desde que el peje decidió darle la espalda al PRD para decir que votaran por juanito porque votar por el PRD era votar por corrupción.

Y ahora con todo el show de que si toma poseción, de que no toma, etc, lo que más tristeza me da es ver como los noticieros y periódicos están completamente dedicados a intentar enterrar a juanito, así como en las elecciones presidenciales pasadas estaban dedicados a destruír al peje, solo que ahora el tinte es diferente, por alguna razon ahora han decidido todos los medios hablar de los horrores de juanito, de su estado mental, etc, y NADIE, pero NADIE !!! dice nada de la burla electoral, del ridículo sistema legal que rige a nuestro IFE, de que el peje en su momento rompió todas las reglas morales, y nadie se lo impidió, y ahora que se le volteo la tortilla, todo mundo está a favor de que juanito renuncie porque no está capacitado !!

Eso lo hubieran pensado antes de apoyarlo, noooo ?

Lo peor es que ese es uno de lo males menos importantes del país.

En fin, buen día