Portada
mis comunidades
otras secciones
En Menéame desde febrero de 2009
·
8.14k
#94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.
#71 Lo dudo. Como comentan por arriba, seguramente tenga que ver con la vulnerabilidad de la CryptoLib y la generación de claves del chip de Infineon que usa el DNIe 3.0.
#129 En vez de pensar que me saco precios de la punta del nabo, podrías mirar el comentario de #125
Las webs de phishing se basan en pequeños timos hechos por mucha gente. En tu caso tienes que sacar como mínimo 10 M$ de un único "engaño" con tu mágico certificado generado en base a esa colisión SHA-1 (que ni siquiera se ha demostrado que sea factible...no es lo mismo una colisión en dos PDFs, que además de ser un formato muy flexible, fueron creados desde cero con ese objetivo en mente, que modificar la estructura de un certificado de autenticidad para que tenga el mismo SHA-1 que otro, y SIGA pareciendo un certificado de autenticidad)
En resumen, que esto es menéame y mola mucho hablar sin tener ni puta idea. No va a haber ningún ataque al público en general usando colisiones SHA-1 en los próximos años.
cc #127 deberías leer tú la respuesta de gente que entiende de verdad lo que es la criptografía:
http://security.stackexchange.com/questions/152142/what-are-the-implications-of-a-sha-1-collision-being-found
#124 Que si, que es muy guay criticar al gobierno y tal. Se acaba de anunciar HOY el primer ataque práctico contra SHA-1, que además sólo se puede dar en archivos PDF diseñados expresamente para ello, y que tiene un coste de 3 millones de dólares por fichero. Ni siquiera se ha demostrado que puedas elegir un PDF de forma arbitraria y modificándolo ligeramente conseguir el mismo SHA-1.
¿En serio alguien en su sano juicio ve una posibilidad realista de explotar esto, ya no digo hoy, sino en los próximos 3-5 años?
Llámame loco, pero tampoco lo veo cómo una prioridad urgente desechar SHA-1 por parte del ministerio del interior.
@macfly @federico_gim Es que estuve en el pu*o Ikea hace poco (malditas velas perfumadas) y ha sido todo muy visual.
Lo compensaré siendo muy cruel con@jagüi a partir de ahora.
@Jagüi Vaya carcajada acabo de soltar en la biblioteca a media noche por tu culpa...
#22 #15 #13 #10 Que pueda pasar en teoría y que pase en la realidad son dos cosas diferentes. Al igual que hay un número finito de resultados de SHA-1 (2^160...una auténtica barbaridad) también hay un número finito de archivos en internet.
La noticia no es que haya pasado por casualidad, es que se ha encontrado un método "fácil" de engañar al hashing y generar la misma huella dactilar para dos archivos.
SHA-1 se considera "hackeado" desde hoy, pero no significa que cualquier friki con su ordenador pueda generar un SHA-1 idéntico para dos archivos. Hace falta mucha potencia de cálculo (110 años de cálculo de GPU son MUCHAS operaciones matemáticas) y muchas condiciones de partida.
En cualquier caso, ya se sabía, no es fácil de hacer en la práctica y ya hay nuevos algoritmos mucho más seguros y complejos y el uso de SHA-1 está desaconsejado desde 2011.
#3 No tienes ni idea de criptografía, ¿verdad? Si tuvieses la mínima idea del número de operaciones que hacen falta para "romper" matemáticamente un cifrado AES-256 no afirmarías que si CUDA o si la tecnología cuántica.
Edito para añadir este ilustrador extracto del libro de Schneier Applied Cryptography:
One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kTkT, where TT is the absolute temperature of the system and kk is the Boltzman constant. (Stick with me; the physics lesson is almost over.)
Given that k=1.38⋅10−16erg/∘Kelvink=1.38⋅10−16erg/∘Kelvin, and that the ambient temperature of the universe is 3.2∘K3.2∘K, an ideal computer running at 3.2∘K3.2∘K would consume 4.4⋅10−164.4⋅10−16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.
Now, the annual energy output of our sun is about 1.21⋅10411.21⋅1041 ergs. This is enough to power about 2.7⋅10562.7⋅1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all of its energy for 32 years, without any loss, we could power a computer to count up to 21922192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.
But that’s just one star, and a measly one at that. A typical supernova releases something like 10511051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.
These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.
#45 Tiene 29 años. Psicología + master son 7. Además de investigar en la universidad, que pueden ser tranquilamente otros dos años.
#32 lo ha nViado al otro barrio.
#309 ¿no te has tomado la medicación hoy? Pues a ver si con otro negativo se te pasa :). El karma de menéame son solo numeritos en una base de datos, no te vas a reencarnar en una rata por mi culpa, tranquilo.
Ea, a dormir.
#95 El negativo es por ser un cuñado y comparar el desarrollo de un sistema operativo y su mantenimiento con los "royaltis" (mal escrito) que pagan los demás a Google, el otro desarrollador de OS móviles.
#17 #74 #116 #119 No, para acceder a la copia de seguridad de tus chats tienes que conocer la contraseña de la cuenta donde almacenes el backup (Cuenta de Google para Android y de iCloud para iOS).
Si simplemente copias la SIM tendrás acceso al whatsapp del usuario para iniciar nuevas conversaciones, pero los chats antiguos no se almacenan nunca en el servidor de Whatsapp.
Y en cuanto al pin, simplemente puedes decir que lo has olvidado y no estás obstruyendo la justicia. Nadie puede demostrar que no lo recuerdas.
#99 Tú en tu grupo de amigos lo puedes llamar cómo te de la gana, pero no es correcto. Como le ha explicado #68 a #40 la escalada que tú llamas libre es en realidad solo integral.
La escalada libre es un tipo de escalada en la que sólo se progresa con pies y manos, sin usar herramientas extra, en grandes paredes.
https://es.wikipedia.org/wiki/Escalada
4 años y poco después de esto: @santiagogf89
Nos acaba de comprar Qualcomm, lo que nos convierte (si no nos echan a la calle) en el tercer fabricante de chips a nivel mundial después de Intel y Samsung.
http://www.reuters.com/article/us-nxpsemiconductors-m-a-qualcomm-idUSKCN12R1AW
@fantomax ¿Conoces el libro "¿Cómo se llama este libro?"? Me lo regaló mi profesor de matemáticas de 6º de primaria y yo creo que es uno de los grandes culpables de que hoy sea ingeniero.
@Malversan @zurditorium Mi frase de perfil de Twitter hace referencia precisamente a eso:
"Lo bueno de internet es que le puedes atribuir una frase célebre a quien quieras para justificar tu argumento - Thomas A. Edison"
@Malversan ¿Conoces el de los 100 presos con sombreros blancos/negros?
@Malversan @zurditorium @natrix @fantomax Es de mis favoritos
#98 "A veces" y "sobre todo" se escriben separado. Standard es inglés, en español es estándar.
En cuanto a tu argumentario, recuperar 900€ de iPhone (que al vendedor le cuesta 600€ por poner una cifra) subiendo "un céntimo" productos top ventas me parece tan creíble como la leyenda urbana de la empresa de vuelos que ahorró millones quitando una aceituna.
Esto es un problema real, que repercute en los beneficios de Amazon. Seguro que tienen mil formas de resolver las pérdidas de uno, diez o cien iPhones a nivel mundial, pero el problema es si esto se populariza, y sobre todo quién paga las pérdidas (¿Amazon? ¿O el pequeño vendedor que usa Amazon como plataforma de venta?)
editado:
En 3 años comprando en Amazon jamás he encontrado un producto más caro que MediaMarkt o PCComponentes. Como mucho igualdad de precio o diferencias ínfimas. Y en MM o PCC sí que te cobran los gastos de envío. En Amazon con ser premium tienes envío en 48h para miles de productos.
Las 5 carreras mejor pagadas en Estados Unidos
vidayestilo.terra.com.peLas carreras mejor remuneradas según la empresa de estadísticas PayScale, que incluye solo a profesionales norteamericanos con grado de bachiller.
Gritando en Silencio, Rock con Creative Commons
gritandoensilencio.net"Creemos que hacértelo llegar gracias a un solo “click” desde nuestra propia página web, es actualmente la forma adecuada de hacer las cosas." Así presenta el grupo andaluz su nuevo trabajo,disponible de forma gratuita desde su web. Autoproducido y con licencia Creative Commons.
Adelanto del nuevo disco de los riojanos enBlanco
manerasdevivir.comPor fin podemos escuchar uno de los temas que forman Enemigo mío, el esperado tercer disco de enBlanco. "Vamos a quemar la ciudad, esta noche os declaramos la guerra". Una canción sobre la pasividad de la gente,y la necesidad en estos tiempos de movilizarnos por nuestros derechos. Si te gusta el rock,o la música para remover conciencias,dale una oportunidad.
Ciencia española en 2020 [Humor]
mimesacojea.com(Artículo copiado de Wikipedia el 12 de marzo de 2020) La década de 2010 a 2020 es conocida como la Era Dorada de los científicos españoles, particularmente de los alquimistas, los grafólogos, los numerólogos y, en general, los capricornio.
Windows 7 RC ya disponible
microsoft.comLa release candidate del último sistema operativo de los de Redmond ya esta disponible para descargar en la página oficial de Microsoft. Además, como aliciente, la licencia no caducará hasta el 1 de Junio de 2010,momento en el que nuestro ordenador comenzará a reiniciarse cada 2 horas,para recordarnos que tenemos que pagar.
![La Sgae en 2020 [Humor]](https://cdn.mnmstatic.net/cache/08/f3/media_thumb_2x-link-586510.jpeg?1417821217)
La Sgae en 2020 [Humor]
mimesacojea.com"En 2011, tras un largo proceso de negociación con el Gobierno, la SGAE consigue sacar adelante una ley por la cual se considera al ser humano “un dispositivo de almacenamiento masivo”. Esta ley permite a la SGAE cobrar un canon mensual a las personas, ya que se entiende que éstas son capaces de memorizar y reproducir textos y melodías sin control alguno..." Fuente Mi Mesa Cojea
#44 ¿provinientes?
#94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.
#71 Lo dudo. Como comentan por arriba, seguramente tenga que ver con la vulnerabilidad de la CryptoLib y la generación de claves del chip de Infineon que usa el DNIe 3.0.
#129 En vez de pensar que me saco precios de la punta del nabo, podrías mirar el comentario de #125
Las webs de phishing se basan en pequeños timos hechos por mucha gente. En tu caso tienes que sacar como mínimo 10 M$ de un único "engaño" con tu mágico certificado generado en base a esa colisión SHA-1 (que ni siquiera se ha demostrado que sea factible...no es lo mismo una colisión en dos PDFs, que además de ser un formato muy flexible, fueron creados desde cero con ese objetivo en mente, que modificar la estructura de un certificado de autenticidad para que tenga el mismo SHA-1 que otro, y SIGA pareciendo un certificado de autenticidad)
En resumen, que esto es menéame y mola mucho hablar sin tener ni puta idea. No va a haber ningún ataque al público en general usando colisiones SHA-1 en los próximos años.
cc #127 deberías leer tú la respuesta de gente que entiende de verdad lo que es la criptografía:
http://security.stackexchange.com/questions/152142/what-are-the-implications-of-a-sha-1-collision-being-found
#124 Que si, que es muy guay criticar al gobierno y tal. Se acaba de anunciar HOY el primer ataque práctico contra SHA-1, que además sólo se puede dar en archivos PDF diseñados expresamente para ello, y que tiene un coste de 3 millones de dólares por fichero. Ni siquiera se ha demostrado que puedas elegir un PDF de forma arbitraria y modificándolo ligeramente conseguir el mismo SHA-1.
¿En serio alguien en su sano juicio ve una posibilidad realista de explotar esto, ya no digo hoy, sino en los próximos 3-5 años?
Llámame loco, pero tampoco lo veo cómo una prioridad urgente desechar SHA-1 por parte del ministerio del interior.
#22 #15 #13 #10 Que pueda pasar en teoría y que pase en la realidad son dos cosas diferentes. Al igual que hay un número finito de resultados de SHA-1 (2^160...una auténtica barbaridad) también hay un número finito de archivos en internet.
La noticia no es que haya pasado por casualidad, es que se ha encontrado un método "fácil" de engañar al hashing y generar la misma huella dactilar para dos archivos.
SHA-1 se considera "hackeado" desde hoy, pero no significa que cualquier friki con su ordenador pueda generar un SHA-1 idéntico para dos archivos. Hace falta mucha potencia de cálculo (110 años de cálculo de GPU son MUCHAS operaciones matemáticas) y muchas condiciones de partida.
En cualquier caso, ya se sabía, no es fácil de hacer en la práctica y ya hay nuevos algoritmos mucho más seguros y complejos y el uso de SHA-1 está desaconsejado desde 2011.
#3 No tienes ni idea de criptografía, ¿verdad? Si tuvieses la mínima idea del número de operaciones que hacen falta para "romper" matemáticamente un cifrado AES-256 no afirmarías que si CUDA o si la tecnología cuántica.
Edito para añadir este ilustrador extracto del libro de Schneier Applied Cryptography:
One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kTkT, where TT is the absolute temperature of the system and kk is the Boltzman constant. (Stick with me; the physics lesson is almost over.)
Given that k=1.38⋅10−16erg/∘Kelvink=1.38⋅10−16erg/∘Kelvin, and that the ambient temperature of the universe is 3.2∘K3.2∘K, an ideal computer running at 3.2∘K3.2∘K would consume 4.4⋅10−164.4⋅10−16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.
Now, the annual energy output of our sun is about 1.21⋅10411.21⋅1041 ergs. This is enough to power about 2.7⋅10562.7⋅1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all of its energy for 32 years, without any loss, we could power a computer to count up to 21922192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.
But that’s just one star, and a measly one at that. A typical supernova releases something like 10511051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.
These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.
#45 Tiene 29 años. Psicología + master son 7. Además de investigar en la universidad, que pueden ser tranquilamente otros dos años.
#32 lo ha nViado al otro barrio.
#309 ¿no te has tomado la medicación hoy? Pues a ver si con otro negativo se te pasa :). El karma de menéame son solo numeritos en una base de datos, no te vas a reencarnar en una rata por mi culpa, tranquilo.
Ea, a dormir.
#95 El negativo es por ser un cuñado y comparar el desarrollo de un sistema operativo y su mantenimiento con los "royaltis" (mal escrito) que pagan los demás a Google, el otro desarrollador de OS móviles.
#17 #74 #116 #119 No, para acceder a la copia de seguridad de tus chats tienes que conocer la contraseña de la cuenta donde almacenes el backup (Cuenta de Google para Android y de iCloud para iOS).
Si simplemente copias la SIM tendrás acceso al whatsapp del usuario para iniciar nuevas conversaciones, pero los chats antiguos no se almacenan nunca en el servidor de Whatsapp.
Y en cuanto al pin, simplemente puedes decir que lo has olvidado y no estás obstruyendo la justicia. Nadie puede demostrar que no lo recuerdas.
#99 Tú en tu grupo de amigos lo puedes llamar cómo te de la gana, pero no es correcto. Como le ha explicado #68 a #40 la escalada que tú llamas libre es en realidad solo integral.
La escalada libre es un tipo de escalada en la que sólo se progresa con pies y manos, sin usar herramientas extra, en grandes paredes.
https://es.wikipedia.org/wiki/Escalada
#98 "A veces" y "sobre todo" se escriben separado. Standard es inglés, en español es estándar.
En cuanto a tu argumentario, recuperar 900€ de iPhone (que al vendedor le cuesta 600€ por poner una cifra) subiendo "un céntimo" productos top ventas me parece tan creíble como la leyenda urbana de la empresa de vuelos que ahorró millones quitando una aceituna.
Esto es un problema real, que repercute en los beneficios de Amazon. Seguro que tienen mil formas de resolver las pérdidas de uno, diez o cien iPhones a nivel mundial, pero el problema es si esto se populariza, y sobre todo quién paga las pérdidas (¿Amazon? ¿O el pequeño vendedor que usa Amazon como plataforma de venta?)
editado:
En 3 años comprando en Amazon jamás he encontrado un producto más caro que MediaMarkt o PCComponentes. Como mucho igualdad de precio o diferencias ínfimas. Y en MM o PCC sí que te cobran los gastos de envío. En Amazon con ser premium tienes envío en 48h para miles de productos.
#61 Léete los comentarios anda. Wyoming es otro ladrón de guante blanco, le pese a quién le pese.
#25 ¿una imagen tridimensional? ¿De dónde te sacas eso? El sensor de huella dactilar no es más que una cámara. Sólo "ve" en dos dimensiones. Y se le puede engañar sin muchos problemas.
#267 Que si, que está tirado. Pues monta tú una empresa y que te compre Facebook, y luego me cuentas lo fácil que es todo.
Cuñaos everywhere
#260 Estás mezclando churras con merinas.
Lo primero que dices tiene sentido, antes eran las telecos las que tenian el poder y los jueces daban acceso judicial, lo cual me parece peligroso igualmente. Pero ahora con orden judicial, tanto google como facebook también proporcionan información del usuario.
https://es-la.facebook.com/safety/groups/law/guidelines/
En cuanto a que la multinacional te eche de su servicio si incumples las normas, pues me parece normal. Para eso es su servicio y ponen las normas que quieren. Pero vamos, ni en Whatsapp ni en Messenger pasa eso que mencionas, así que me parece una salida del tiesto importante.
Ahora nadie puede aislarte de un sistema, te compras otra tarjeta SIM en el peor de los casos y ya tienes otra identidad. Igual que con las leyes judiciales anteriores.
#257 Supongo que podrás negarlo ya que no tienen forma de demostrar que tú has hecho ese pago, y debería devolvertelo el seguro de la tarjeta.
P.D. Disculpa, pensaba que me estabas respondiendo al otro tema, que me parece mucho más preocupante que el del cajero...en ese caso son negligencias de personas, en el que yo menciono el problema es tecnología mal usada.
#247 Ya coño, si nos ponemos así pues seguimos usando el email y que nadie desarrolle nada nuevo. Que whatsapp ha cambiado la forma en que se comunica la gente es innegable, y no creo que la gente pierda mucha más privacidad que cuando usaba gmail o hotmail para mandar fotos de su boda o de gatitos.
No hay votos.
@macfly @federico_gim Es que estuve en el pu*o Ikea hace poco (malditas velas perfumadas) y ha sido todo muy visual.
Lo compensaré siendo muy cruel con@jagüi a partir de ahora.
@Jagüi Vaya carcajada acabo de soltar en la biblioteca a media noche por tu culpa...
4 años y poco después de esto: @santiagogf89
Nos acaba de comprar Qualcomm, lo que nos convierte (si no nos echan a la calle) en el tercer fabricante de chips a nivel mundial después de Intel y Samsung.
http://www.reuters.com/article/us-nxpsemiconductors-m-a-qualcomm-idUSKCN12R1AW
@fantomax ¿Conoces el libro "¿Cómo se llama este libro?"? Me lo regaló mi profesor de matemáticas de 6º de primaria y yo creo que es uno de los grandes culpables de que hoy sea ingeniero.
@Malversan @zurditorium Mi frase de perfil de Twitter hace referencia precisamente a eso:
"Lo bueno de internet es que le puedes atribuir una frase célebre a quien quieras para justificar tu argumento - Thomas A. Edison"
@Malversan ¿Conoces el de los 100 presos con sombreros blancos/negros?
@Malversan @zurditorium @natrix @fantomax Es de mis favoritos
@elwing ¡Qué currada! Un millón de gracias!
@elwing Te he intentado mandar un privado pidiendote la guia pero no me ha dejado. Si pudieses enviármela a mi también, te estaría muy agradecido :). Mi mail es como el usuario aqui,@gmail.com
Gracias!!
Alguien dijo la otra noche que le gustaba la serie Mr Robot porque los hacks en los que se basa el argumento eran "factibles".
¿En serio? Aún no he visto ni uno que se aproxime mínimamente a la realidad, excepto el del pincho USB tirado cerca de la comisaría de policía.
@Ander_ @rojovelasco ¿Seguimos hablando de precio/prestaciones? ¿Y comparas HW actual con HW de hace 4 años? ¿A qué precio?
@rojovelasco Hola @Ander_ te voy a ahorrar parte del ridículo. Déjalo ya, en serio. Tu argumento es que ahora los PCs ya han superado a la PS4, lo cual no es cierto para cualquier PC ni muchísimo menos. Para empezar PS4 usa DDR5 como memoria de sistema, mucho más rápida que la DDR3 que montan ahora el 99% de PCs.
No dudo que HOY puedes configurarte un PC que quizás supere a la PS4 (HW de hace 4 años) Pero ni sueñes en que sea competitiva a nivel de precio con la PS4. NI-DE-COÑA
@Pancar @angelitoMagno Y todo ello pese a la aparición de Podemos y diferentes formaciones de izquierda que han arrasado con los votos en Madrid y Barcelona
@sanchesky @Kobardo @Ajusticiator Yo no recuerdo haber respondido a esas tres preguntas cuando empecé a notear... 
@dystopic @Perrofacio @natrix No creo que tenga nada que ver con la picaresca patria. A ver si ahora va a resultar que los alemanes con 17 añitos que quieren aprender retoque fotográfico pagan 1000€ o usan Gimp. Pasa lo mismo que aquí.
@HuggyBear Aquí tienes mi reacción:
Hemos echado a rodar algo que ya nada ni nadie puede detener.
Dependemos de una sociedad que lo hace todo por nosotros. Nos hemos especializado en cosas tan complicadas que no sabemos nada de lo imprescindible. No sabemos trocear un pollo, ni seríamos capaces de sembrar con éxito una huerta.
Desconocemos las medicinas y curaciones que se realizaban antiguamente. Sin el lobby farmacéutico que tanto criticamos, la mortandad humana se multiplicaría en cuestión de semanas. No podríamos fabricar ni la más simple de las herramientas con lo que la naturaleza nos ofrece. Ni un martillo, ni un tornillo, nada.
La rueda del consumo nos mantiene vivos. Y cuando esa rueda se detenga, todos estaremos condenados. Y si no se detiene, da igual, ya estamos condenados igualmente.
Tarde o temprano acabaremos con todo.
Y no quedará nadie para enseñarnos a sobrevivir con lo básico.
Lo sé, me sienta muy mal trasnochar.
@El_Mentecato Jajaja, al principio pensaba que el Label, y el goto representaban que estabas viendo el video una y otra vez porque era gracioso.
Después de verlo todo cobra sentido
@accorn Pero ha sido breve de narices, al menos en la zona de tribunal. Ha durado lo que yo tardo en ducharme.
@aversion2.1 @yerena A mi me faltan 5. Y no-hay-forma de cogerlos.
#44 ¿provinientes?