No sé si se acuerdan de lo que les comentamos hace algún tiempo en relación con esas páginas en las que, a cambio de tu usuario y password de MSN, te dicen quién te tiene bloqueado en su MSN. O eso afirman ellas, porque el propósito final al parecer es muy diferente, según lo visto: generar spam (que es desde luego, casi lo más benigno que se puede hacer).

No vamos a repetir lo mismo que les dijimos aquella vez, pero al parecer, a raíz de una entrada en Genbeta (posiblemente inaccesible en estos momentos; su reproducción puede verse en el blog de Enrique Dans, a partir del cual he conocido la noticia) que advertía del peligro que supone dar este tipo de información a desconocidos, dicho blog, propiedad de Weblogs S.L., está sufriendo un ataque distribuido de denegación de servicio desde el pasado 3 de febrero.

Creo que ya lo he dicho alguna vez, y lo repito. Es un error pensar que este tipo de cosas las hacen cuatro mataos. Nada más lejos de la realidad. Estas cosas están bien organizadas, y sus responsables gestionan en la sombra (y no me refiero a la cárcel) una cantidad de recursos (botnets) en ocasiones nada despreciable, a los que muchas veces simplemente no es posible hacerles frente. Así de simple, y así de duro.

Nada más por esta semana. Para la que viene, entre otras cosas, tenemos la continuación de la serie sobre WPA-PSK de Roberto, y empezaremos a entrar en detalle con VoIP. Como siempre, pasen un buen fin de semana y nos vemos el lunes.

Actualización 09/02: Al parecer, algún otro weblog de Weblogs S.L., blogs relacionados con ellos (Error500.net, por ejemplo) y Menéame.net (directamente de su FAQ, una web que te permite enviar una historia que será revisada por todos y será promovida, o no, a la página principal) están sufriendo ataques de DDoS. Meneame incluso parece estar sufriendo algún tipo de extorsión por parte de los autores del ataque, por lo que cuentan en su blog, que se extendería a todas aquellas webs afectadas.

Actualización 10/02: Genbeta ya funciona de nuevo.

Actualización 11/02: Ricardo Galli da una explicación del ataque, procedencia, autores, y demuestra que como suele decirse, el mundo es un pañuelo: enlace.

En las ultimas décadas, el mercado de las redes de comunicaciones es uno de los que ha obtenido un mayor avance, debido principalmente a varios motivos, como son (a) la total generalización del uso del protocolo IP que ha posibilitado la difusión de servicios como el correo electrónico o el acceso a web hasta el usuario final, y (b) la apertura de la industria a las nuevas tecnologías, que ha llevado a un sistema flexible de transmisión de datos y a la aparición de tecnologías de comunicaciones ópticas, lo que a su vez ha incrementado el ancho de banda disponible para las comunicaciones.

Principalmente, las redes desarrolladas a lo largo de los años para transmitir voz se basan en el concepto de conmutación de circuitos, es decir, que la realización de una comunicación entre el emisor y el receptor requiere el establecimiento de un circuito físico durante el tiempo que dura ésta. Esto significa que los recursos que intervienen en la realización de una llamada no pueden ser utilizados en otra hasta que la primera no finalice, incluso durante los silencios que se suceden dentro de una conversación típica, por lo que las redes de conmutación de circuitos hacen un uso ineficiente de los recursos.

Como les adelanté el pasado 28 de enero, nuestro compañero Antonio Villalón —que debería prodigarse más por estos lares— participó vía videoconferencia en el I Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. A continuación, y a la espera del video de la ponencia, tienen el documento de la presentación que realizó, que pueden bajarse si lo desean de su página personal (donde encontrarán material adicional), o de este enlace (PDF, 360Kb).

Si leyeron la entrada de ayer, nos quedamos preguntándonos por los elementos que se utilizan para construir la PMK. La respuesta es muy sencilla: la contraseña precompartida, el ESSID del AP, la longitud del ESSID, y un barajado de 4096 procesos. Todo ello es generado por una función matemática llamada PBKDF2 (PBKDF2 es una función de PKCS #5 v2.0: Password-based Cryptography Standard) ofreciendo como resultado una clave PMK de 256 bits:

Una vez obtenida esta clave, comienza el proceso de autenticación con el AP al que se denomina 4-Way Handshake, o saludo inicial, que se puede ver en la imagen al final del post. En ese proceso, tanto la estación como el AP generan la PTK y la GTK utilizadas para cifrar los datos, siendo ambas diferentes en cada sesión.

[N.d.E. Comenzamos con esta entrada una serie de tres artículos, de cierto nivel técnico, en relación con WPA, concretamente con WPA-PSK. Los dos primeros posts están dedicados a la exposición teórica del problema, mientras que los dos últimos entrarán en detalles prácticos. Para aquellos menos introducidos en temas WiFi, les prometo un artículo en breve describiendo los conceptos relacionados con esta tecnología.]

El método empleado por WPA para autenticar a las estaciones WiFi supone uno de los puntos débiles de este protocolo de seguridad, como veremos a continuación. Por lo que respecta a la autenticación, en función del entorno de aplicación, es posible emplear dos modos de autenticación diferentes WPA-PSK (Pre Shared Key) o WPA-EAP (Extensible Autentication Protocol).

En entornos personales, como usuarios residenciales y pequeños comercios, se utiliza WPA con clave pre-compartida o también llamada WPA-PSK y autenticación IEEE802.1X. En estos entornos no es posible contar con un servidor de autenticación centralizado, tal y como hace la autenticación EAP. En este contexto, WPA se ejecuta en un modo especial conocido como “Home Mode” o PSK, que permite la utilización de claves configuradas manualmente y facilitar así el proceso de configuración del usuario domestico.

Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado “Seguridad por oscuridad”, que es la traducción del homólogo inglés “Security thru obscurity“. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].

Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild” (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.