edición general
santiagogf89

santiagogf89

En menéame desde febrero de 2009

8,14 Karma
9.303 Ranking
Enviadas
Publicadas
Comentarios
Notas

Compilatorio de caídas de astronautas en la luna [58]

  1. #44 ¿provinientes?

Los certificados electrónicos del DNIe serán sustituidos para garantizar la máxima seguridad [100]

  1. #94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.  media
  1. #71 Lo dudo. Como comentan por arriba, seguramente tenga que ver con la vulnerabilidad de la CryptoLib y la generación de claves del chip de Infineon que usa el DNIe 3.0.
  1. #73 #34 ¿Lo habéis comprobado con vuestra propia clave pública? ¿Podéis poner un pantallazo de keychest.net y el fallo?

Google anuncia la primera colisión de SHA1 [ENG] [157]

  1. #129 En vez de pensar que me saco precios de la punta del nabo, podrías mirar el comentario de #125
    Las webs de phishing se basan en pequeños timos hechos por mucha gente. En tu caso tienes que sacar como mínimo 10 M$ de un único "engaño" con tu mágico certificado generado en base a esa colisión SHA-1 (que ni siquiera se ha demostrado que sea factible...no es lo mismo una colisión en dos PDFs, que además de ser un formato muy flexible, fueron creados desde cero con ese objetivo en mente, que modificar la estructura de un certificado de autenticidad para que tenga el mismo SHA-1 que otro, y SIGA pareciendo un certificado de autenticidad)

    En resumen, que esto es menéame y mola mucho hablar sin tener ni puta idea. No va a haber ningún ataque al público en general usando colisiones SHA-1 en los próximos años.

    cc #127 deberías leer tú la respuesta de gente que entiende de verdad lo que es la criptografía:
    security.stackexchange.com/questions/152142/what-are-the-implications-
  1. #124 Que si, que es muy guay criticar al gobierno y tal. Se acaba de anunciar HOY el primer ataque práctico contra SHA-1, que además sólo se puede dar en archivos PDF diseñados expresamente para ello, y que tiene un coste de 3 millones de dólares por fichero. Ni siquiera se ha demostrado que puedas elegir un PDF de forma arbitraria y modificándolo ligeramente conseguir el mismo SHA-1.
    ¿En serio alguien en su sano juicio ve una posibilidad realista de explotar esto, ya no digo hoy, sino en los próximos 3-5 años?
    Llámame loco, pero tampoco lo veo cómo una prioridad urgente desechar SHA-1 por parte del ministerio del interior.
  1. #58 Alquilar 11.000 GPUs no te lo ofrece ningún servicio cloud hoy en dia, pero si te lo ofreciesen, el precio sería de 10 millones de dólares...sospecho que te cazarían antes de que pudieses rentabilizar tu inversión, sea cual sea el oscuro uso que tienes en mente para una colisión SHA-1.
    cc #78
  1. #22 #15 #13 #10 Que pueda pasar en teoría y que pase en la realidad son dos cosas diferentes. Al igual que hay un número finito de resultados de SHA-1 (2^160...una auténtica barbaridad) también hay un número finito de archivos en internet.

    La noticia no es que haya pasado por casualidad, es que se ha encontrado un método "fácil" de engañar al hashing y generar la misma huella dactilar para dos archivos.
    SHA-1 se considera "hackeado" desde hoy, pero no significa que cualquier friki con su ordenador pueda generar un SHA-1 idéntico para dos archivos. Hace falta mucha potencia de cálculo (110 años de cálculo de GPU son MUCHAS operaciones matemáticas) y muchas condiciones de partida.

    En cualquier caso, ya se sabía, no es fácil de hacer en la práctica y ya hay nuevos algoritmos mucho más seguros y complejos y el uso de SHA-1 está desaconsejado desde 2011.
  1. #79 #71 #27 #16 ¿Habéis leído la cantidad de esfuerzo necesario para crackear un PDF? ¿Habéis visto que no es aplicable a cualquier archivo? ¿Sabéis que el DNIe 3.0 utiliza AMBOS métodos de hashing precisamente porque SHA-1 fue marcado como inseguro en 2011?
    Que atrevida es la ignorancia...
  1. #3 No tienes ni idea de criptografía, ¿verdad? Si tuvieses la mínima idea del número de operaciones que hacen falta para "romper" matemáticamente un cifrado AES-256 no afirmarías que si CUDA o si la tecnología cuántica.

    Edito para añadir este ilustrador extracto del libro de Schneier Applied Cryptography:

    One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kTkT, where TT is the absolute temperature of the system and kk is the Boltzman constant. (Stick with me; the physics lesson is almost over.)

    Given that k=1.38⋅10−16erg/∘Kelvink=1.38⋅10−16erg/∘Kelvin, and that the ambient temperature of the universe is 3.2∘K3.2∘K, an ideal computer running at 3.2∘K3.2∘K would consume 4.4⋅10−164.4⋅10−16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.

    Now, the annual energy output of our sun is about 1.21⋅10411.21⋅1041 ergs. This is enough to power about 2.7⋅10562.7⋅1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all of its energy for 32 years, without any loss, we could power a computer to count up to 21922192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.

    But that’s just one star, and a measly one at that. A typical supernova releases something like 10511051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.

    These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.

Irene Montero sustituirá a Iñigo Errejón como portavoz en el Congreso [549]

  1. #45 Tiene 29 años. Psicología + master son 7. Además de investigar en la universidad, que pueden ser tranquilamente otros dos años.

Un fan de NVIDIA asesina a un fan de AMD (Eng) [71]

  1. #32 lo ha nViado al otro barrio.

Apple fabrica más barato y vende más caro que Samsung [311]

  1. #309 ¿no te has tomado la medicación hoy? Pues a ver si con otro negativo se te pasa :). El karma de menéame son solo numeritos en una base de datos, no te vas a reencarnar en una rata por mi culpa, tranquilo.

    Ea, a dormir.
  1. #95 El negativo es por ser un cuñado y comparar el desarrollo de un sistema operativo y su mantenimiento con los "royaltis" (mal escrito) que pagan los demás a Google, el otro desarrollador de OS móviles.

Torbe iba a chantajear al padre de una menor con enseñar a su hija "follando por todos lados” [179]

  1. #17 #74 #116 #119 No, para acceder a la copia de seguridad de tus chats tienes que conocer la contraseña de la cuenta donde almacenes el backup (Cuenta de Google para Android y de iCloud para iOS).
    Si simplemente copias la SIM tendrás acceso al whatsapp del usuario para iniciar nuevas conversaciones, pero los chats antiguos no se almacenan nunca en el servidor de Whatsapp.

    Y en cuanto al pin, simplemente puedes decir que lo has olvidado y no estás obstruyendo la justicia. Nadie puede demostrar que no lo recuerdas.

Cómo no volar con un traje de alas (wingsuit) salvo que te la quieras pegar [153]

  1. #99 Tú en tu grupo de amigos lo puedes llamar cómo te de la gana, pero no es correcto. Como le ha explicado #68 a #40 la escalada que tú llamas libre es en realidad solo integral.
    La escalada libre es un tipo de escalada en la que sólo se progresa con pies y manos, sin usar herramientas extra, en grandes paredes.
    es.wikipedia.org/wiki/Escalada

Un poco de arcilla para engañar a Amazon y conseguir un iPhone gratis [109]

  1. #98 "A veces" y "sobre todo" se escriben separado. Standard es inglés, en español es estándar.

    En cuanto a tu argumentario, recuperar 900€ de iPhone (que al vendedor le cuesta 600€ por poner una cifra) subiendo "un céntimo" productos top ventas me parece tan creíble como la leyenda urbana de la empresa de vuelos que ahorró millones quitando una aceituna.
    Esto es un problema real, que repercute en los beneficios de Amazon. Seguro que tienen mil formas de resolver las pérdidas de uno, diez o cien iPhones a nivel mundial, pero el problema es si esto se populariza, y sobre todo quién paga las pérdidas (¿Amazon? ¿O el pequeño vendedor que usa Amazon como plataforma de venta?)

    EDIT: En 3 años comprando en Amazon jamás he encontrado un producto más caro que MediaMarkt o PCComponentes. Como mucho igualdad de precio o diferencias ínfimas. Y en MM o PCC sí que te cobran los gastos de envío. En Amazon con ser premium tienes envío en 48h para miles de productos.

Ben Butler, el padre que recuperó la custodia de su hija de 6 años para luego matarla a golpes [161]

  1. #93 #27 O podéis leeros el comentario entero, donde se menciona claramente que la vecina cobra 1600 LIBRAS, en vez de venir a tocar la moral.

Wyoming reflexiona en el pico de la mesa sobre el fraude fiscal [102]

  1. #61 Léete los comentarios anda. Wyoming es otro ladrón de guante blanco, le pese a quién le pese.

Cinco minutos, plastilina y un molde: con eso bastó para falsear mi huella y desbloquear mi móvil [72]

  1. #25 ¿una imagen tridimensional? ¿De dónde te sacas eso? El sensor de huella dactilar no es más que una cámara. Sólo "ve" en dos dimensiones. Y se le puede engañar sin muchos problemas.

WhatsApp anuncia que se hace gratuito para siempre [313]

  1. #267 Que si, que está tirado. Pues monta tú una empresa y que te compre Facebook, y luego me cuentas lo fácil que es todo.

    Cuñaos everywhere
  1. #265 Lo que @mr_kiwi te está diciendo es que te ciega el odio a los monopolios para afirmar que lo que hace Whatsapp está tirado, y no lo está.
  1. #260 Estás mezclando churras con merinas.

    Lo primero que dices tiene sentido, antes eran las telecos las que tenian el poder y los jueces daban acceso judicial, lo cual me parece peligroso igualmente. Pero ahora con orden judicial, tanto google como facebook también proporcionan información del usuario.
    es-la.facebook.com/safety/groups/law/guidelines/

    En cuanto a que la multinacional te eche de su servicio si incumples las normas, pues me parece normal. Para eso es su servicio y ponen las normas que quieren. Pero vamos, ni en Whatsapp ni en Messenger pasa eso que mencionas, así que me parece una salida del tiesto importante.
    Ahora nadie puede aislarte de un sistema, te compras otra tarjeta SIM en el peor de los casos y ya tienes otra identidad. Igual que con las leyes judiciales anteriores.
  1. #257 Supongo que podrás negarlo ya que no tienen forma de demostrar que tú has hecho ese pago, y debería devolvertelo el seguro de la tarjeta.

    P.D. Disculpa, pensaba que me estabas respondiendo al otro tema, que me parece mucho más preocupante que el del cajero...en ese caso son negligencias de personas, en el que yo menciono el problema es tecnología mal usada.
  1. #247 Ya coño, si nos ponemos así pues seguimos usando el email y que nadie desarrolle nada nuevo. Que whatsapp ha cambiado la forma en que se comunica la gente es innegable, y no creo que la gente pierda mucha más privacidad que cuando usaba gmail o hotmail para mandar fotos de su boda o de gatitos.
« anterior1

menéame