Tras ver el titulo probablemente habréis pensado: ¿quién y cómo haría ping a todas las IPs (del protocolo IPv4)?, pues los chicos de Security Art Work lo han realizado y tras ver las respuestas han hecho una tabla, relacionado el primer byte de la IP (0.X.X.X hasta 255.X.X.X) con el número de pings resueltos en ese rango y sin contar las IP reservadas ni las IP de clase D y E (destinadas a multicast e investigación, respectivamente) probablemente se podría exprimir mucho más el rango “útil” de IPs, aunque aún así llegaría igualmente el día de usar IPv6 sin más remedio.

¿Qué coste tendría hacer ping a todas las IP?

Muchos pensaréis que se necesitará mucho tiempo para realizar esta tarea, pero echando cálculos… es totalmente viable realizarlo de forma casera con una conexión a Internet buena (ya que este es el límite) y si es una conexión muy rápida, de las que actualmente uno podría contratar (a un precio algo elevado) lo podrá realizar en menos de 24 horas.

Por pasos, lo primero sería calcular el número de direcciones existentes, que es de 256⁴ (perteneciente a los cuatro bloques de 0 a 255 que tiene una IP) y daría como resultado más de cuatro mil millones de direcciones (4.294.967.296), sin hacer ninguna exclusión.

Si tenemos en cuenta el tamaño que tiene una solicitud de ping, que es de 58kbytes, al multiplicarlo por el número de direcciones IP tendríamos un total de 232GB que deberían de pasar por ese cacharrito que nos da Internet (algunos a una velocidad de 10mbps de subida y otros a mucho menos), pero en concreto, con una conexión de 100mbps (de disponerlos) la calculadora nos asegura que tardaríamos un poco menos de seis horas (aquí habría que sumar algo de tiempo, teniendo en cuenta que no se aprovechará todo el ancho de banda y que la recepción de la respuesta también influirá), y con una conexión de 10mbps serían 60 horas.

Como realizarlo

Para realizarlo en Security Art Work han creado un pequeño programa en C, que por un lado se encargaba de enviar el ping y por otro lado se encargaba de almacenar las respuestas, en el caso de producirse.

¿Cual es el objetivo del experimento?

El objetivo de este experimento reside en demostrar si sería viable realizar un ataque a gran escala a todas las IPs existentes y tras hacer unos cálculos rápidos está claro que si y sobre todo optimizando un poco el proceso y teniendo paciencia.

Datos relevantes del experimento

Viendo los datos resultantes del experimento realizado extraemos que casi 300 millones contestaron (el 7% de todas ellas) y vemos otro dato, el que revela que hay muchas direcciones IP que no se aprovechan y no se aprovecharán, ya que hay unas cuantas compañías que disponen de 256³ (16 millones) de direcciones IP que tienen totalmente en desuso, por motivos bastante obvios.

¿Qué motivos son esos?, compañías como Apple, IBM, Intel, Xerox, Ford o General Electic disponen de ese enorme rango de IPs y no lo aprovechan (en algunos casos no responde ni un host, en algunos dos o tres y en otros un par de miles), aunque puede que le den uso y los ping no lo demuestren, ya que se puede evitar su recepción, pero sin duda, no alcanza una cantidad importante… aunque quien sabe, puede que Ford se dedique a vender IPs fijas de su rango propio (el 19.X.X.X) y no lo supiésemos.

Todo esto es una reflexión personal y puede que este equivocado y si le den uso a ese rango de IPs, pero en la mayoría de los casos de estas compañías podrían apañarse 256² direcciones.

Más información | Security Art Work

Puede sonar raro el título, pero puede aproximarse mucho a la realidad, en Dubai durante esta semana se están reuniendo en la Conferencia Mundial de Telecomunicaciones Internacionales representantes de más de 160 países para definir el nuevo tratado mundial que establecerá las “bases de Internet“ (esto no estaría mal si no hubieses países que quieren “regular Internet“).

Desde 1988 no ha habido una reunión de esta envergadura, donde se hizo la primera revisión de la normativa de telecomunicaciones a nivel mundial.

Como he dicho antes, está el problema que está dando mucho que hablar y con el que se está especulando mucho (por lo que debemos de cogerlo con pinzas) es la posibilidad de que distintos países prohíban el anonimato en la red, creen limites para no poder hacer circular una noticia al rededor del mundo y se comenta la creación de un organismo similar al ICANN (la corporación que distribuye los nombres de dominio de Internet), pero no hay nada seguro de lo que va a salir de esta conferencia, pero no sería raro que intentasen poner en marcha estas medidas, ya que es un paso lógico de los gobiernos que se ven tan afectados por la libertad que ofrece Internet.

Por otro lado, para evitar esto hay una gran oposición por entidades como el Parlamento Europeo, empresas como Google y como no, Anonymous, que denuncian que limitar el uso de Internet va en contra de sus bases, limitaría el crecimiento y causaría daños económicos y sociales.

Debemos de partir de que esto puede ser lo que quieran unos cuantos gobiernos, pero es difícil que sigan adelante estas propuestas y mucho más de implementarlas, ya que Internet como arquitectura está hecha para no depender inevitablemente de nadie y así garantizar su continua disponibilidad.

Y esto ya es mi opinión: si se consiguiera limitar el uso de Internet o se llegase a tener que hacer trámites cada vez que nos conectásemos a un servicio probablemente todos estos avances económicos y sociales se irían al garete, ya que nosotros como desarrolladores (desde el que hace la web de una empresa hasta el que crea algoritmos más eficientes en los CPDs de un banco) sabemos que Internet es necesario para el avance en términos generales.

Vía | Desarrollo Web
Más información | CNN

La seguridad informática es un tema en el que muchos de nosotros estamos concienciados y sabemos que prácticas debemos de tener en cuenta cuando usamos medios informáticos, pero no siempre es así, este mes de noviembre a sido un mes muy duro para la ciberseguridad… ¿Aumenta el número de hackers más que el de personas que adoptan buenas prácticas?.

Si lo pensáis os daréis cuenta de que este mes habréis escuchado alguna noticia sobre falta de seguridad en todo tipo de dispositivos informáticos (es imposible, si vivís en España, no haber escuchado y visto la noticia de las fotografías robadas de las universitarias de Deusto) y en unas cuentos servicios como en Skype (que se podía robar cualquier cuenta simplemente teniendo el mail de la persona), WhatsApp (con el fallo que permitió enviar mensajes falsos sobre que este servicio sería totalmente de pago) o los incidentes de Twitter (que hizo indispensable cambiar la contraseña de muchos usuarios para garantizar la seguridad de sus cuentas).

Y como no, Windows 8 también ha sido noticia por algunos fallos de seguridad (que en mi opinión entran dentro de lo normal al haber pasado tan poco tiempo desde su lanzamiento) y permitían aprovecharse de algunas vulnerabilidades de Internet Explorer sobre este sistema.

Por estos motivos es normal ver también noticias como las que protagoniza la Unión Europea, que aumenta el presupuesto en seguridad informática hasta 2020.

Vía | Tic Beat
Más información | IDG (Aumento del presupuesto en seguridad)

El término Big Data hace referencia a los sistemas que capturan, analizan, buscan y visualizan grandes conjuntos de de datos, que últimamente están dando mucho que hablar en sectores como la meteorología, la genómica, la biología y ahora cada vez más en el sector de las finanzas o en el de los buscadores de Internet y empresas que estudian a la sociedad.

¿Y que tiene que ver esto con el desarrollo y que tiene que ver Obama?, como es de esperar estos análisis los tienen que hacer supercomputadoras con softwares muy complejos, como el que creó un grupo de “cerebritos“ durante dos años para que Barack Obama ganara estas elecciones.

Este grupo formado por programadores, ingenieros, sociólogos y matemáticos estuvieron confinados en “La Cueva” (el nombre es en honor a las ventanas que no tuvieron la oportunidad de tener, estando totalmente aislados) desarrollaron una base de datos con todos los datos electorales, sondeos, listas de donantes, datos recogidos por encuestadores… todo esto fue dividido por franjas de edad, sexo, raza, y por el lugar donde viven.

Todo lo anterior entra dentro de lo normal, y no haría falta un supercomputador durante dos años para analizar estos datos, pero entra en juego otro factor: Facebook y las redes sociales, que fueron rastreadas letra por letra analizando a cada potencial votante en búsqueda de esas personas que estaban dudosas, recogiendo sus aficiones, perfiles de consumo, preferencias, círculos de amigos… y esto fue la clave (aunque no parezca mucho), pero con solo estos datos y el gran computador trabajando hicieron las primeras pruebas, intentado que las personas hicieran microdonaciones (y si, funcionó, recaudaron mil millones de dólares), gracias a ese software de estadística y previsión hecho por ese conjunto de genios.

El software que usaron en los últimos meses de campaña iba más lejos que analizar parámetros básicos de la población, sino que era capaz de saber con precisión que personas eran las que estaban dudosas y crearon una APP que transmitía automáticamente (cosa normal cuando no se mira los permisos que se otorgan en Facebook) mensajes elaborados por sociólogos que mandaban mensajes por Facebook animando a acudir a las urnas, a bajarse la APP y sobre todo a votar a Obama (y el 20% picó y se la bajó). Es más, por poner un ejemplo este software identificó como grupo de población dudosa a las mujeres menores de 35 años del condado de Dade, que casualmente la gran mayoría seguían la serie Sons of Anarchy, donde casualmente se llenó de publicidad diseñada para convencer a las personas que cumplían este perfil.

Resumen

Lo importante del artículo no es la creación de la mayor máquina política creada jamás, sino la importancia que tendrá el Big Data para las empresas, que serán capaces de encontrar las necesidades de la población incluso antes de que haya la necesidad, todo gracias a el software creado para este análisis y las impresionantes máquinas necesarias para procesar esta cantidad ingente de datos.

En este terreno cada vez se está avanzando muchísimo más (que está más ligado a la potencia de procesamiento casi que al software), ya que dentro de poco se almacenarán y analizarán miles de petabytes, formado por todo tipo de información. En estos momentos IBM se podría decir que encabeza el sector con soluciones de una envergadura enorme, acabando de presentar hace poco lo que denomina la nueva generación de “Smarter Computing, que al igual que otras tecnologías similares están pensadas para analizar grandes cantidades de datos en tiempo real y también están hechas para autoprotegerse de amenazas que pueden afectar a la seguridad de sus sistemas y a la de su valiosa información.

Aunque el artículo no estaría completo si nombramos solo a IBM y no nombramos a la mayor empresa de recolección, guardado, análisis y venta de datos: Google, que analiza en tiempo real datos de millones de páginas web, arrastrando su información de un lado a otro de sus resultados de búsqueda, sin contar las datos personales de los hábitos en la web de cada individuo, con su popular herramienta de análisis web (Google Analytics), su plataforma de publicidad (Google Adsense) y todo su ecosistema, que al fin y al cabo nos da de forma gratuita… y a cambio reciben “Big Data“, de una envergadura enorme, tan grande que la información que recibió Obama para ganar las elecciones sería irrelevante.

Más información | Wikipedia – Big Data y Publico (como ganó las elecciones Obama)

Paradójicamente Google Chrome es el navegador que más vulnerabilidades tiene, a su vez es el más usado (según que estudio) y el más seguro.
Y esto se explica fácilmente: mientras navegadores como Internet Explorer se esfuerzan en quitar vulnerabilidades (dejando otras que se pueden explotar) el equipo de Google se encarga de hacerlas inexplotables, aún que siga estando la vulnerabilidad.

Todo esto no viene de nuevo, ya que desde el inicio de los navegadores ha habido fallos de seguridad, solo que no siempre se le ha dado la misma importancia como se les ha estado dando a finales de la década pasada.

Internet Explorer y Netscape

En sus inicios, en los años 90, ambos navegadores tenían una seguridad a la altura de una caja de caramelos en un parque ya que no era necesario tenerla porque en esa época se podía infectar los PCs a través del email o atacando a los puertos abiertos (porque no se usaban los cortafuegos y los servicios de correo electrónico no destacaban por sus sistemas anti malware).

La década pasada

Como todos sabemos Netscape acabó extinto, por lo que el navegador de Microsoft se estancó y dejó de mejorar, sobre todo en temas de seguridad.
A esto se sumó la llegada de los cortafuegos por defecto, las conexiones ADSL (con el propio cortafuegos del router) y los usuarios de email se concienciaron que no era seguro abrir las cosas sin mirarlas.

El resultado de todo esto se traduce en que si como se hacía antes no se puede infectar un equipo habría que hacerlo por el navegador (y el único que prácticamente existía era Internet Explorer) con sus grandes carencias en temas de seguridad, lo que se convirtió en un enorme problema y favoreció el uso de navegadores emergentes como Firefox y posteriormente Chrome (que ambos navegadores se centraban en ofrecer mejores servicios y mayor seguridad en lugar de buscar solo la cuota de mercado a toda costa).

En la actualidad la seguridad es lo primero

El trabajo de los de Redmond hay que decir que en los últimos años ha dado sus frutos en materia de seguridad, desarrollando su software desde cero para mejorar este factor, y ha tenido sus frutos, Internet Explorer ha mejorado muchísimo y han disminuido las vulnerabilidades (y volvemos a lo anterior, las que hay son graves).

Y por otro lado los de Mountain View además de trabajar en la seguridad, recompensan a las personas que encuentren vulnerabilidades y fallos en Chrome, lo que se puede llamar matar dos pájaros de un tiro, encuentran los fallos y lo solucionan y las personas que lo encuentran no lo explotan para cara hacer maldades. Y hay que destacar que ofreció hasta 1.000.000 de dólares al que ejecutara un código arbitrario en Chrome corriendo en Windows 7 que finalmente se lo llevó el equipo de Vupen tras 6 semanas de trabajo.

En cuanto a recompensas por encontrar vulnerabilidades… Microsoft destaca por no soltar ni un solo euro, por lo que a estas personas les toca recibir recompensas de formas menos legítimas, pongamos por ejemplo que vendiendo 0-day, que actualmente es la pesadilla del equipo de Internet Explorer, ya que se les acumulan, y el problema no es solo la existencia, sino que los afectados acaban siendo los usuarios, ya que se siguen explotando y explotando día tras día.

Y por último y no por ello menos importante también comentaré el estado de Opera que básicamente destaca por no implementar medidas modernas de seguridad y Firefox se encuentra en mejor estado, pero aún así no ha sabido hacer frente a Chrome.

Destaco esta noticia también, en la que un adolescente ha creado un exploit completo para Chrome y le han dado una recompensa de 60.000 dólares en la conferencia HackInTheBox de Malasia.
Google esta dedicando tres equipos para parchear los fallos que se encuentren en la conferencia, y creen que en 24 horas lo tendrán finalizado.

Vía | hispasec

ENISA (european network and information security agency) es la organización Europea encargada de la seguridad informática y las redes y ha organizado por primera vez el mes de la ciberseguridad en Europa. El Instituto Nacional de Tecnologías de la Comunicación (INTECO) es el que coordina este proyecto y los eventos que se celebrarán este mes.

El objetivo de esta campaña es promover el correcto uso de las dispositivos informáticos, concienciarnos sobre la importancia de la seguridad cibernética, proporcionarnos información actual sobre seguridad y en definitiva modificar la percepción ante las amenazas y sabes evitarlas.

Eventos en España

INTECO otro año más pone en marcha el Encuentro Internacional de Seguridad de la Información (ENISE), junto con otros países de la Unión Europea. El evento se celebrará los días 23 y 24 de octubre en el Parador San Marcos de León, donde se harán numerosas ponencias y talleres.

Además en este Mes Europeo de la Seguridad, INTECO buscará a un hacker ético a través de un “wargame” que tendrá lugar durante el mes de octubre, y cuyo ganador será agraciado con una beca de 6 meses en el INTECO.

Eventos para los más jóvenes

Se realizarán actividades dirigida a menores y también a jóvenes para concienciarles sobre la importancia de tener hábitos seguros en internet y en el uso de las nuevas tecnologías.

Y para los más pequeños también se ha organizado un concurso de dibujos y cuentos a través de los que pueden dar a conocer las pautas a seguir en internet para estar seguros, desde la Oficina de Seguridad del Internauta de INTECO en el portal de Menores OSI.

En Nación Red | Estamos celebrando el mes europeo de la ciberseguridad
Más información | ENISA
Más información | ENISE – INTECO

Hoy en día tenemos a nuestra disposición cientos de redes sociales, pero a simple vista parecen muy pocas (Facebook, Twitter, Pinterest…) y además actualmente están siendo sometidas a fuertes críticas debidas a violaciones de la privacidad, censura o simplemente por cambios en las API que destroza el trabajo de muchos desarrolladores.

La gran mayoría de los usuarios de estas redes sociales (en los que me incluyo) nos resulta difícil abandonarlas por el efecto de red, que se basa en que contra más gente conozcas dentro de una red más probabilidad tienes de entrar en ella y menos tienes de salir.
Pero esto podría cambiar ya que existen alternativas que no hacen negocio con nuestra privacidad y por su estructura nunca podrán ser controladas por terceros (que nos puedan censurar, vetar el acceso por ejercer nuestro derecho a expresarnos libremente y sobre todo que no recojan todos nuestros datos para “ofrecernos mejor servicio”).

Diaspora* salva nuestra privacidad

Diaspora es una red social distribuida sin fines lucrativos creada a finales de 2010 por cuatro estudiantes de Instituto Courant de Ciencias Matemáticas (de la Universidad de Nueva York).

¿Como funciona?

A diferencia de la mayoría de las redes sociales que son centralizadas (agrupando toda la información en centros de datos) Diaspora es distribuida, y se sostiene sobre una red de servidores que alojan muchas personas o instituciones usando el software propio de esta red social, actuando como servidores web personales que interactúan entre si.

Open source

No solo el código de la propia red es libre, sino que la empresa también lo es, para mantenerse libre de adquisiciones corporativas o publicidad y así poder garantizar la privacidad de los usuarios, como bien dice el manifiesto que plantearon en septiembre:

[…] nuestro diseño distribuido significa que ninguna gran corporación controlará jamás a Diaspora. Diaspora nunca venderá tu vida social a los anunciantes, y nunca tendrás que ajustarte a las reglas arbitrarias de alguien más, o mirar por encima del hombro antes de hablar.

¿Que ventajas tiene para los desarrolladores?

Seguramente no ofrezca las mismas APIs que puede tener por ejemplo Facebook (con una cantidad de recursos bastante grande), pero si ofrece una API que la podría hacer viable como plataforma de interacción para distintos propósitos.

La API nos permite usar el sistema de mensajes (en todos los casos la respuesta es en JSON):

• GET /stream: Nos devuelve los últimos “streams” que son las novedades en tu red.


• GET /post/[post]: aquí debemos de establecer la ID del post (de Diaspora), que la podríamos haber conseguido mediante una consulta para ver los streams.


• GET /conversations: Nos devuelve todas nuestras conversaciones.


• GET /conversation/[conversation]: estableciendo la ID de la conversación nos devuelve todos los post que están en ella.

Colaborar con un servidor o pod

Al ser una red social distribuida open source cualquiera puede colaborar instalando un servidor, que se unirá a la red social.
El sistema de esta red esta desarrollado en Ruby on Rails, por lo que debemos de instalar software adicional (MySQL, Ruby, Git, OpenSSL…) para hacer funcionar el setrvidor, podemos encontrar todo en Github.
De esta forma se puede garantizar que no habrá intermediarios que puedan usar nuestra información y así aseguramos nuestra privacidad.

Esto es lo que me mostró al entrar (click para ver grande)

Características

Lo primero de todo es decir que la traducción al Español no tiene fallos, y además incluye soporte para más de 60 idiomas (esperanto, chino, coreano, “ingles de 1337” o “ingles pirata”…).
Y la interfaz esta limpia, es intuitiva y agradable.

Fácil interacción con los demás

A simple vista al entrar llama la atención que tiene el sistema para nombrar personas o etiquetar los mensajes idéntico al de Twitter, con @ para menciones y # para etiquetas, que realmente es jugar sobre seguro, ya que es algo muy fácil de entender para el gran público.

Total configuración de la privacidad

La verdad es que ofrece más opciones que las que pueden ofrecer servicios como Facebook, ya que puedes elegir si hacer tu entrada totalmente pública, entre todos tus “aspectos” (que serían todos tus contactos) y “aspectos” independientes (que por defecto te viene el de familia, contactos, trabajo y conocidos) además de permitirte personalizar los que quieras.

Otras alternativas

Diaspora no es la única alternativa open source y totalmente transparente con la privacidad de los usuarios también existe Friendica y StatusNet entre muchas otras, ahora solo falta que nos concienciemos del valor de nuestra privacidad y probar cosas nuevas aunque no sea lo más usado.

Vía e imagen | Wikipedia
Más información | Diaspora*

Hoy podrías ser que, sin saberlo, estemos viviendo un día que en futuras generaciones sea tan señalado como el día que el hombre pisó la luna, se envío la primera señal radiotelefónica sin cables o se escribió el primero correo electrónico.

Al igual que en la antigua red ARPANET, nunca hubieran podido suponer que esas comunicaciones que estaban realizando en aquellos momentos se iban a convertir en la revolución de la sociedad humana más importante de los últimos milenios; hoy es el día en donde se está realizando el primer esfuerzo verdadero y multitudinario para cambiar el protocolo IP actual, por el IPv6.

Esto es una esfuerzo organizado por la Internet Society, y que tiene detrás a los mayores gigantes de la industria de las telecomunicaciones y el software como son: Microsoft, Google, AT&T, D-Link, Cisco, Akami, Comcast y muchos más que tienen algo que decir en el diseño y despliegue de Internet.

Para los más aprensivos, todos los sistemas operativos de Microsoft desde el Windows XP SP1,vienen con el protocolo IPv6 activado por defecto. Y el resto de los SO del mercado también lo soportan. Por lo cual, para la inmensa mayoría de navegantes va a ser una migración transparente.

Mientras que, para los profesionales de la comunicación vía TCP/IP representa la desaparición del cuello de botella de las direcciones IP, y muchas más ventajas que dan para escribir un libro.

Ha muerto IPv4, viva IPv6!!

Más información | World IPv6 Launch Day, Microsoft IPv6 Support

Hoy se ha lanzado la versión once del navegador de Mozilla. Lo más sorprendente de esta nueva versión es sin duda el inspector DOM 3D que incluye como parte de su toolset de desarrollo web.

El nuevo inspector está basado en el addon Tilt con el que se pueden navegar las páginas en 3D. Esta nueva versión incluye ademas un editor de CSS en vivo.

También se han mejorado otros aspectos de las herramientas para desarrolladores para reducir así la dependencia de los usuarios de Firefox del plugin Firebug.

Otros aspectos como mejora en el consumo de la memoria, animaciones 3D con CSS y mejora del rendimiento quedan, me temo, completamente eclipsadas por lo awesome del inspector DOM 3D.

Aunque Mozilla ha mejorado mucho en éste último año su navegador, sigue siendo bastante más lento que su competidor directo Chrome de Google, eso si, las nuevas herramientas para desarrolladores son ya todo un referente.

Sitio Web | Mozilla.org
Más en Genbeta Dev | Mozilla Firefox 10 con nuevas herramientas para desarrolaldores

A las 14:35:15 hora española de hoy, Thomas Hervé anunciaba en la lista de desarrollo de Twisted la release de la versión 12.0.0 de la conocida librería de desarrollo.

Entre los cambios añadidos a esta nueva release se incluye la resolución de 47 tickets entre ellos:

• Un fix al reactor de GTK2 que previene de wake-ups innecesarios
• Soporte preliminar para IPv6 en el lado servidor
• Bastantes arreglos a la implementación del nuevo protocolo basado en TLS
• Mejoras a la documentación principal en la página web

Como aviso, cabe comentar que Twisted 12.0.0 ya no soporta la versión 2.4 de Python, ahora la versión 2.5 pasa a ser la versión más antigua soportada de forma oficial.

Twisted Core Features

Otra de las mejoras a las constantes es la posibilidad de que contengan valores arbitrarios usando twisted.python.contants.Values algo solicitado hace algún tiempo en la lista de correo.

Como ya hemos dicho, la posibilidad de usar IPv6 con los sockets TCP es parte de las mejoras al core de la librería.

Twisted Core major Bug Fixes

Desfasados (Deprecated) y Eliminados

Además se ha eliminado printTraceBack y noOperation de twisted.spread.pb de Perspective Broker que de hecho estaba marcado como “deprecated” desde Twisted 8.2. Todos estos módulos son ahora oficialmente obsoletos.

Twisted Conch Features

Twisted Conch Bug Fixes

Twisted names Bug Fixes

Twisted Web Features

En el resto de módulos los cambios han sido prácticamente irrelevantes. Lo cierto es que los cambios de la versión 11.1.0 fueron mucho más abundantes pero no todas las releases pueden ser un “chorrazo” de features.

Via Thomas Hervé
Más Información | Página oficial de Twisted Matrix Labs