ElOtroBlog.com murió, blog.melizeche.com nació

Chau wordpress, de ahora en más sigo actualizando el blog en

http://blog.melizeche.com

Anuncios

Estado de la vulnerabilidad “Heartbleed” en el sistema bancario de Paraguay

Imagen

Antes de migrar el blog aprovecho esta la oportunidad actualizarlo con el tema “de moda” en cuanto a seguridad, seguramente en estos últimos días se toparon la noticia de la vulnerabilidad CVE-2014-0160 de la librería OpenSSL, mas conocida como Heartbleed.

Antes que nada hay que aclarar que Heartbleed NO ES un virus ni tampoco un gusano(como muchos sitios de noticias reportaron), es un Bug, un error de programación. Lo peligroso de esta vulnerabilidad pasa por tres factores: El hecho que es muy dificil detectar si un servidor fue victima de este ataque, La popularidad de OpenSSL y el tiempo que lleva presente.

Imagen

OpenSSL se utiliza para proveer conexiones seguras y encriptadas mediante los protocolos SSL/TLS (como cuando aparece el candado en la barra de direcciones y en vez de http aparece https), pero no solamente se utiliza en la web, sino hay muchas aplicaciones como el correo electrónico, mensajería instantánea y muchos dispositivos de red.

El fallo pasó sin detectado desde inicios del 2012 hasta unos dias atrás(07-04-2014), durante todo ese tiempo millones de servidores estuvieron vulnerables, siendo así posible el robo de datos, incluyendo usuarios, contraseñas e inclusive las claves de encriptación, las cuales permiten desencriptar todo el trafico inclusive, trafico anteriormente capturado.

Para más información pueden ver este articulo de Ejempla o el “sitio oficial” de la vulnerabilidad http://heartbleed.com

El fallo ya fue corregido y como primer paso para no ser victimas de esta situación es actualizar los servidores afectados, como ya comenté mas arriba la versión de OpenSSL que corrige el fallo se publicó el 7 de Abril del 2014.

Pero no basta con actualizar la librería ya que si la vulnerabilidad fue explotada en el pasado(no deja rastros) la clave de encriptación pudo haber sido robada, con esto el atacante tiene la posibilidad de usar las claves para que su sitio o servicio fraudulento pueda hacerse pasar por el legítimo. 

Por eso el siguiente paso es generar nuevas claves de encriptación, revocar los certificados SSL para luego solicitar nuevos certificados SSL.

Bueno, ahora vamos a la razón de este artículo

Realice un análisis sobre el estado de los sitios web de banca electrónica de Paraguay, asi como también de otros actores del sistema financiero como las procesadoras de pagos. Fue grata la sorpresa al encontrar que todos los sitios ya se encontraban parchados y no eran vulnerables al Heartbleed, pero quise indagar un poco más con respecto a la fecha de emisión de los certificados SSL.

Es muy poco probable que esta vulnerabilidad haya sido explotada en algún sitio de banca electronica del pais pero no deja de ser posible.

Metodología

Cree un script que comprueba cada los certificados de todos los bancos habilitados por el BCP(incluyendo al BCP) y las procesadoras de tarjetas de crédito. Utiliza las librerias M2Crypto y OpenSSL de python para obtener los datos. Lo subí a mi cuenta de github https://github.com/melizeche/heartbleedpy (script rápido y sucio, se aceptan mejoras). 

Resultados

De 6 sitios no se pudo precisar si usan OpenSSL para las conexiones seguras, si no lo utilizan no son ni estuvieron en vulnerables.

Imagen

Dejo una capturas de pantalla aquí pero es mas interesante ver en mi servidor donde se actualiza cada 10 minutos la información

Para ver los datos actualizados entrar a http://melizeche.com/heartbleedpy/ donde se explica bien como leer la tablaImagenConclusión

La noticia positiva es que ninguna entidad es vulnerable al Heartbleed pero por otro lado vemos que hay muchos certificados que aún no se renovaron, como explique mas arriba, el riesgo es bajo al ser poco probable que algún banco local haya sido victima en el pasado pero no deja de ser un factor a tener en cuenta

Hay que destacar la rápida respuesta de parte de los encargados de seguridad de los bancos al parchar la vulnerabilidad pero como se explico más arriba no es suficiente eso y sería interesante que las entidades emitan algún comunicado explicando las medidas que se tomaron.

Espero que con los días la tabla se vaya poniendo cada vez más verde.

Si algo no quedó claro o pensás que no es preciso o tenés algún aporte no dudes en comentarlo más abajo.

 

Ojalá Me hubiesen enseñado Matemáticas de esta manera

Vagando por Twitter [no recuerdo quien lo posteó] me encontré un link a esta TED Talk, me llamó mucho la atención porque pienso que si así hubiese aprendido Matemática en la secundaria mi vida universitaria hubiera sido mucho mas simple, básicamente en la universidad tuve que re-aprender (realmente aprendí por primera vez) miles de conceptos que “me enseñaron” en el colegio.

Las clases de Matemáticas necesitan un makeover:

Las clases actuales de matemáticas le enseñan a los estudiantes a esperar -y a sobresalir- en un trabajo que es como pintar por números; quitándole a los niños una habilidad mucho más importante que resolver problemas: Formularlos. En TEDxNYED, Dan Meyer muestra ejercicios probados en salones de clases que incitan a que los estudiantes se detengan y piensen.

Dejo el Link al blog de Dan Meyer http://blog.mrmeyer.com/

A Todos Nos Gusta Republicar (via WordPress.com en Español)

WordPress habilito la opcion “Me Gusta” y “Republicar” claramente importado de Facebook(Like) y Twitter(reTweet), esto es una prueba de ello 😉

A Todos Nos Gusta Republicar Alguna vez te ha pasado que te gusta tanto una entrada en un blog que te gustaría compartir con los lectores de tu propio blog? Seguramente copias y pegas el link o quizá extraes un poco del texto añadiendo tus propios comentarios, pero sabemos que no es una experiencia cómoda.  Por eso queremos cambiar la forma en que se comparten otras entradas con tus lectores facilitando la creación de un nuevo post en tu blog. Hoy introducimos la opción Me G … Read More

via WordPress.com en Español

Entre joda y joda ya son mas de 50.000 visitas a El Otro Blog!

50mil

Sin darme cuenta ya son mas de 54mil visitas a mi blog, como ya lo dije antes para muchos eso no es nada, hay blogs que por dia tienen esa cantidad pero bueno me chupa un huevo esos blogs, el que me importa es el mio 😉
Lo que si hoy respondi todos los comentarios que no habia respondido(algunos de noviembre 08) hasta la fecha, me llevo como 3.5 horas pero ya esta!

Bueno Algunas estadisticas

Visitas Totales del 2008: 39.580
Visitas del 2009 actualizado a ahora mismo: 13.221 (solo 1 mes y medio)
Promedio por dia: 283
Maximo en un dia: 454

GeoLocalizacion

No me arrepiento de haber agregado esto, inclusive ahora se que entraron a mi blog desde alaska y desde la Polinesia Francesa jajaja

Top Ten

Mirando el top ten es claro que a la gente le gustan los tutoriales,  porque el N# 10 es recien un divague

Como Cambiarle el firmware a un Nokia N9 15.622
Nuevo Firmware 21.0.016 para el Nokia N9 10.832
Nokia lanza nuevo Firmware 30.0.015 para 5.241
Como Hacer Funcionar Wifi con Ndiswrappe 2.168
Product Codes para Nokia N95-1 N95-2 N95 1.943
Como saber el modelo exacto de una Noteb 1.288
Instalar Kubuntu Feisty Fawn en una HP P 1.258
Como Crear Imagenes ISO en Linux 1.055
Entendiendo la Crisis Financiera Global 951
Heroe o Anti-heroe? 726

Mas de 10.000 Visitas!!

Mas de 10.000 Visitas para <El Otro Blog>, quizas para muchos no sera nada pero para mi es bastante impresionante, muchos blogs llegan a los millones, pero asi se empieza jaja! Quiero agradecer a todos los lectores y especialmente a los que comentan las entradas, Hace un año que mude el blog a WordPress y no sera mucho pero cada vez mas gente visita el blog.

Aca les dejo un Top 15 de los Topico mas Visitados

Sigue leyendo

Muerte de un Blogger

En Momentos de insomnio, cuando el silencio me obliga a escucharme y como un ultimo intento de evitar eso, decidi leer varios blogs de los que soy asiduo lector(ver “Blog Amigos” en la barra de la derecha), viendo que alguno que otro no estaba escribiendo desde hace un tiempo, preguntandome los “porqués”, suponiendo que seria por las mismas dificultades a la que yo como blogger me enfrento, dar un espacio de tu vida a un blog, a escribir tus pensamientos y que al leerlos otros los puedan hacer suyos, muy linda la idea pero como ya lo dije ese “pequeño espacio” puede ser extremadamente dificil de conseguir, e inclusive con tiempo libre, no siempre uno esta “inspirado” o con ganas de escribir algo interesante(Calidad sobre Cantidad), y mientras divagaba conmigo mismo me invadio la siguiente duda: “Que pasa cuando muere un Blogger?”… Sigue leyendo