Ad Astra Errans

Tuve muchos nombres que ya nadie recuerda

Leemos en Armed with warsobre los nuevos desarrollos en materia de geolocalización de DARPA:

When the GPS is inaccessible, whether as a result of a malfunction, or as a consequence of enemy action, information critical for navigation must be gathered using the missile’s on-board sensors.

DARPA’s Chip-Scale Combinatorial Atomic Navigator (C-SCAN) effort seeks an atomic inertial sensor to measure orientation in GPS-denied environments. The type of thing that goes where no electronic map has gone before.

El GPS es un sistema redundante a propósito, con varios satélites cubriendo la misma zona para evitar que la desaparición de uno deje al sistema cojo. Pero eso no significa que no sea susceptible de ataque. (Y a ese tio de incertidumbre bélica apuntaba China cuando en enero de 2007 destruyó de un misilazo un satélite meteorológico.)

Si este desarrollo de DARPA llega a buen término, unido a la esperable miniaturización, tendríamos dispositivos tan pequeños como un GPS, con la misma capacidad de geolicalizar que éstos pero aún más resilientes.

La compra de Skype por Microsoft ya comienza a dar frutos. El primero, cambios en la topología de la red de servidores de Skype, que desde su creación había sido p2p:

Microsoft has drastically overhauled the network running its Skype voice-over-IP service, replacing peer-to-peer client machines with thousands of Linux boxes.

(…)

Kortchinsky’s analysis, which has not yet been confirmed by Microsoft, shows that Skype is now being powered by a little more than 10,000 supernodes that are all hosted by the company. It’s currently not possible for regular users to be promoted to supernode status. What’s more, the boxes are running a version of Linux using grsecurity, a collection of patches and configurations designed to make servers more resistant to attacks.

Desde el punto de vista de la seguridad es predecible: Microsoft no quiere confiar el funcionamiento de un activo fundamental en la estrategia online de la empresa a una red difusa de colaboradores y prefiere controlar la experiencia poniendo sus propias máquinas dedicadas a ello.

Interesante paradoja la que encontramos ahora: Skype corre sobre decenas de miles de servidores con Linux… pero en tu portátil con Linux tienes una versión profundamente desactualizada de la aplicación, que va a trompicones.

A falta de confirmación, parece ser que han descubierto más de 100 documentos de al Qaeda embebidos en una peli porno usando esteganografía (vía Schneier, gracias, Sergio):

Several weeks later, after laborious efforts to crack a password and software to make the file almost invisible, German investigators discovered encoded inside the actual video a treasure trove of intelligence — more than 100 al Qaeda documents that included an inside track on some of the terror group’s most audacious plots and a road map for future operations.

Ya veremos cuánto hay de cierto en esta noticia.

¿Recuerdan el USB con candado? Era una prueba de concepto sin mayor utilidad. Éste de abajo que vemos en lo de Schneier es un USB que físicamente se encierra en un candado con combinación, como los de los equipajes.

USB seguro

Claro que no protege de nada si alguien nos roba el USB, pero que nos copien lo que llevemos en el pendrive porque le quitemos el ojo de encima a la llave durante 30 segundos es un poco más inviable.

Había leído sobre la campaña de los servicios de inteligencia británicos para seleccionar nuevos candidatos entre aquellos que fueran capaces de romper un código cifrado, que al ser descifrado devolvía una URL en la que dejar el Curriculum. Parecía un reto y una idea llamativa, hasta inteligente, pero cuentan en Naked Security:

All it takes to find the page is to use the site: command in Google, as the “Can You Crack It?” webmaster seemingly didn’t hide the success page from search engines.

Para ser espías han hecho un trabajo de mierda, ¿no?

Google implementa Forward Secrecy en sus servicios. Lo leemos en una-al-dia de Hispasec:

«A efectos prácticos, y como explica la propia Google, si se envía un email cifrado y algún atacante capturase el tráfico con la esperanza de poder romper el cifrado con la tecnología de dentro de 10 años, esto se lo impediría. Tener en sus manos la clave privada del servidor no le serviría. Google ha confirmado que esta implementación está ya disponible para Chrome y Firefox en servicios como Gmail, SSL Search, Docs y Google+, excepto para Internet Explorer que todavía no soporta ECDHE.  Google ha publicado el trabajo realizado sobre la librería OpenSSL necesario para implementar esta funcionalidad.»

No me queda claro si es parte de la implementación de SSL que anunciaron hace unas semanas, pero más allá de las mejoras de seguridad que provee SSL, este nuevo detalle parece digno de mención. Quizá no todo sea aumentar la asimetría de la información (algo bastante más importante de lo que parece) respecto de los usuarios de sus servicios. También hay detalles valiosos en seguridad.