La seguridad de todo Internet depende de 7 llaves maestras repartidas por todo el mundo. Suena a película pero es realmente así y cada 3 meses los "guardianes de Internet" se reúnen para actualizar las claves que permiten acceder al ordenador que controla los DNS raíz de Internet. El 12-2 tocaba una nueva reunión y actualización, pero hubo que posponerla, una de las cajas fuertes que forman parte del proceso de actualización está atascada y no había forma de abrirla. Simplificándolo al máximo, un cerrajero nos ha salvado del caos en Internet.
Comentarios
You're the Keeper of the Seven Paswords
That lock up the seven DNS servers
And the IANA said before he went blind
Hide them from hackers and rescue mankind
Or the internet we're all in will soon be sold
To the throne of the evil payed with Google's gold
Weiki: Piruriruiruiruiruriuiiiii 🎸 🎼 🎶 🎵 🎶 🎵 🎵
#4
. Helloween rules!
"y cada tres meses los "guardianes de Internet" se reúnen para actualizar las claves que permiten acceder al ordenador que controla los DNS raíz de Internet. "
Lo que hacen es cambiar las claves DNSSEC del propio servicio de resolución, no "la clave de acceso al PC". Como siempre, el redactor simplificando porque no entiende nada.
No sé para qué pincho en Xataka, sólo sirve para ponerte de mala leche.
A mi en el curro me hacen cambiar la clave todos los meses, y estos cada tres meses, manda cojones. #6 Gracias por la aclaración.
#7 No te lo tomes a mal, pero tu ordenador del curro es mucho más vulnerable que los raíces del DNS.
#8 Pena que lo de forzar a cambiar la clave periódicamente sea más contraproducente que otra cosa. Las recomendaciones del NIST ya lo desaconsejan: "Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)." (https://pages.nist.gov/800-63-3/sp800-63b/sec5_authenticators.html).
#10 Esto es correcto para claves que deben memorizar los usuarios. Se resisten a poner claves buenas y van haciendo variaciones de la misma.
#10 Estoy de acuerdo en que es una molestia muy grande para el usuario y se convierte en un peligro porque la gente empieza a tomar atajos (el postit, poner la misma, etc). No diría que es contraproducente porque aun así una clave robada o publicada en internet tiene un corto tiempo de vida, aunque la antigua sea "1234" y la nueva "12345". Muchos ataques son automáticos y no tienen la inteligencia para suponer estas cosas.
Lo que hago yo es aconsejar a la gente que se invente su propio método. Por ejemplo, el que vaya en el puesto 7 de la liga al revés, el estribillo de la canción de moda sin vocales, etc. Cosas así, que no sean muy evidentes pero fáciles de recordar.
#12 Lo que hago yo es aconsejar a la gente que se invente su propio método
El problema es que la mayoría de la gente no tiene imaginación para esas cosas y terminan poniendo cosas como "Enero.2020", "Febrero.2020", etc. así no se olvidan.
#16 Ya les prevengo de ello.
#19 ¿Y tu crees que te hacen caso? Porque generalmente con este tipo de cosas la gente suele mirar con condescendencia pensando "este es un paranoico".
#20 Afortunadamente en donde curro están bastante concienciados con la ciberseguridad y la inmensa mayoría se lo toma en serio. Pero reconozco que la gente sólo quiere hacer su trabajo y pasa de imposiciones y estorbos. Es la lucha de cada día.
#10 Tienes razón. Yo trabajé para Google hace unos 3-4 años y nos dejaron de obligar a cambiar las contraseña cada 3 meses. La justificación era que las contraseñas nuevas cada 3 meses se van haciendo más y más fáciles de adivinar. Además pusieron autenticación de 2 pasos con yubikey para todo.
En empresas posteriores en las que he estado siguen obligando a cambiar la contraseña...
#17 Pero el token es uno de los 2FA, el otro sigue siendo la contraseña.
#17 ¿No usaban Google Authenticator? En casa del herrero...
#23 Google Authenticator está muy bien pero es más inseguro que una Yubikey fisica porque alguien que acceda a tu móvil podría robar el secreto y empezar a generar los códigos. Yubikey y GA básicamente usan el mismo sistema pero uno hace más difícil acceder al secreto.
Es como tener una cartera de criptomoneda por software o por hardware.
#25
Pregunta tonta (por total desconocimiento de la tecnología) ¿si la pierdes o se estropea cómo consigues otra (con acceso a las claves, claro)?
#26 Pues no lo sé la verdad. Supongo que hubiera ido al servicio de IT que hay en cada edificio para conseguir una nueva y avisar de que desactiven la que he perdido. No sé si ellos pueden transferir los códigos o simplemente asignan unos nuevos.
La última versión que me dieron era la que he puesto en 25. Es tan pequeña que normalmente la dejas en el puerto USB y ya no la quitas nunca. Tendría que perder el portátil para perder la yubikey.
#7 Siempre hubo ricos y pobres...
#7 Realmente forzar los cambios de claves así es contraproducente. A la gente se le acaban las ideas y empieza a poner como clave "Enero.2020", "Febrero.2020", etc. para no olvidarse. Al final es peor porque las claves son más predecibles.
Genial, es sorprendente como el ser humano es gran amigo de las ceremonias, en este caso me recuerda muchísimo a las que aplicamos en la masonería. Me gustaría ser el Guardian de las Llaves de las DNS.
#1 Al fin y al cabo, se hace liturgia en cualquier cosa que parezca importante. Y los que no, se meten con los primeros. Y la vida sigue.
#1 Yo prefiero ser el Maestro de las llaves, para encontrarme con la Guardiana de la puerta.
#22 Me parece muy vieja y de otro estilo para mi
Al final en The IT Crowd tenían razón:
El cerrajero del metal, amo y señor de las puertas de internet
Ya me imagino al de mantenimiento, con su mono azul, un bote de 3 en 1 del chino y un martillo.
1 minuto despues
Bueno puesto esto parece que ya esta, ya abre, mira, la visagra va como la seda, ni 1 chirrido.
Ese cerrajero es todo un hacker
Na... la NSA se la había llevado y no les había dado tiempo de devolverla.
¿Y si una de las 7 cyber-llaves se rompe ya no se puede cambiar las claves DNS? 😱
Al final un humilde martillo lo arregla todo.
Ese cerrajero ha salvado a la humanidad, y nadie se lo va a agradecer.