#148 ¿Cuanto tiempo decías que iba a tardar en tener consecuencias lo de la colisión de los carísimos PDFs? Y no ha sido ni siquiera un ataque: alguien subió los PDFs para ver cómo reaccionaba un sistema que usa SHA-1 para controlar los cambios de versión al repositorio SVN de, nada más y nada menos, WebKit, el motor de Safari, Opera o Konkeror:
Resultado: el sistema no ha sabido lidiar con dos ficheros diferentes pero con el mismo hash, y se ha corrompido todo el sistema. ¿Ves? No ha tenido que ver ni siquiera con un ataque criptográfico, pero ha tumbado un sistema que no contemplaba esa posibilidad. ¿Nos ponemos a probar cuántos sistemas están en esa misma situación?
Ah, y ha bastado un día desde la publicación de la colisión.
#119 Pues no, "cualquier friki con su ordenador" no se lo puede permitir... Pero cualquier interesado con suficiente dinero, y mucho que ganar con la prueba, si que puede. Mis numeros:
* 110 años de GPU son aprox. equivalentes a 1 año de 26 instancias con 4 GPUs cada una. Como las g2.8xlarge de Amazon. Precio por hora: $2,6
* 6500 años de CPU son aprox. equivalentes a 1 año de 181 instancias con 36 cores cada una. Como las c4.8xlarge de Amazon. Precio por hora: $1,6
* 1 hora de todas esas instancias funcionando = $2,6 x 26 + $1,6 x 181 = $357,2
* 1 año = 8.760h
* Coste anual de instancias: 8.760h x 357,2$/h =~ $3.130.000
En resumen: coste de generar un par de ficheros PDF con el mismo SHA1 y siguiendo la tecnica de estos pavos (de la que en 90 días publicarán el codigo fuente): 3.130.000 dolares.
Indudablemente, no cualquier friki se lo puede permitir, pero es un precio a pagar más que razonable, a cambio de no ir a la carcel, o de ser encontrado inocente en vez de culpable... para el que pueda permitirselo.
#117 En 2005 se encontraron suficientes vulnerabilidades como para desaconsejar su uso futuro. En 2010 fue declarado por varias organizaciones, incluyendo el NIST norteamericano, como inseguro, que desde 2011 lo ha desechado como algoritmo aprobado para tomar "huellas digitales" de documentos y certificados digitales. Estamos en 2017. Sería de esperar que una institución tan importante como el Ministerio del Interior adoptase las medidas necesarias y desechara un sistema criptográfico que se ha demostrado vulnerable, porque tiempo parece que han tenido. Por ejemplo, este año varios navegadores (todos los principales, vamos: Fifo, Chrome, Safari y Explorer/Edge) han declarado que no van a aceptar certificados SSL con hash SHA-1. Pero el Ministerio del Interior no hace como el NIST, que no lo acepta más: te avisa, recomienda cambiarlo y se espera a que los usuarios se encuentren con el problema cuando el navegador deje de funcionar con sus conexiones seguras a organismos oficiales:
#120 Claro, casi siempre te capan en 200 maquinas simultaneas. Y por mucho que tuvieses la informacion bancaría de alguien aún necesitas su la tarjeta de cordenadas y/o telefono movil por la doble validación. Pero la premisa es buena.
#310 ui si.... Bajate esos humitos intelectuales mainstream de cibermoderna postureante que escondes bajo un nik no vaya a ser que explote tu ego y nos salpique a los demas.
#308 el negativo te lo metes por el culo. Si ves que he explicado algo que no es asi, me corriges e informas y punto. En ningún caso mi comentario ha ido con prepotencia. Ea, a dormir.
#52 Ya me explicarás el por qué del negativo que me has puesto en #26. No creo ni haberte insultado, ni haberte faltado el respeto ni haber incumplido alguna norma de uso. En todo caso, te lo devuelvo, que igual se te ha caído.
#141#124 entonces creo que en mi caso fue que recuperé los datos a través de titanium backup, porque no tengo una copia en google.
#147 mi padre nunca se acuerda, y ya han sido varias veces que ha tenido que llamar a la compañía para que le dieran el PUK. Pregunta: ¿podría el juez ordenar a la compañía que lo desbloqueasen con el PUK?
#141 Te crees que los jueces nacieron ayer?, si les dices que no te acuerdas, muy bien, pero eso no se lo cree nadie. Y luego a la hora de pedir fianza etc, esas cosas cuentan.
#266 Tu dices que me ciega el odio a los monopolios, yo te digo que a ti te ciega el acceso a lo gratis. La prueba de que lo que hace Whatsapp está tirado está en que hay miles de alternativas, y por lo único que no funcionan (en este país) es por el número de adeptos. Otros países tienen otras plataformas con las mismas funcionalidades.
#264 En Whatsapp si que ocurre eso que menciono, busca 'banned from whatsapp'.
"""Hola campeón. La tecnología xmpp utilizada por whatsapp tiene 15 años de madurez y no han tenido que desarrollar nada nuevo, los datacenters brutales ya los tienen de la infraestructura de facebook, y el supuesto cifrado no existe.."""
#254 Al principio era la gente la que perdía privacidad, ahora son sociedades enteras, comunicaciones de países enteros analizadas rutinariamente por corporaciones no gubernamentales extranjeras, con más poder para hacerlo que los propios gobiernos pues los usuarios han renunciado a sus derechos.
Este estado de cosas es incompatible con un régimen democrático.
La forma en que se comunica la gente ha cambiado a peor, antes solo un juez podía aislarte de un teléfono o intervenirte las comunicaciones. Ahora una multinacional de otro país te puede excluir del sistema porque le envías una foto de tus calzoncillos a tu novia, sin juicio ni justificación y gracias que no tengas que indemnizarles.
#51 --122466-- 
