Saltar al contenido principal

2023-10-21

Interceptación de tráfico cifrado en Hetzner y Linode dirigido al servicio Jabber

  • Jabber.ru, un servicio de mensajería XMPP, fue víctima de un ataque man-in-the-middle en el que el atacante interceptó el tráfico cifrado durante hasta 6 meses en los proveedores de alojamiento Hetzner y Linode en Alemania.
  • A pesar de lo prolongado del ataque, no se encontraron pruebas de violaciones de servidores o ataques de suplantación de identidad. Sin embargo, se explotaron certificados TLS falsos utilizando Let's Encrypt para secuestrar conexiones.
  • El ataque afectó principalmente a las conexiones al puerto 5222 STARTTLS del servicio XMPP. Se sospechaba que la interceptación se había realizado legalmente o como resultado de una intrusión en las redes de los proveedores de alojamiento.

Reacciones

  • En el hilo de Hacker News se habla de la interceptación del tráfico cifrado en los servicios de alojamiento que tienen como objetivo el servicio de mensajería Jabber y se abordan diversas estrategias de mitigación, como la autenticación adicional, la supervisión de los certificados SSL/TLS, las mediciones de RIPE Atlas y los sistemas basados en DLT.
  • El debate explora el uso de DANE para la autenticación de certificados y las limitaciones de las autoridades de certificación (CA). Otros temas incluyen las posibles vulnerabilidades de la infraestructura SSL, el posible compromiso de la emisión de certificados SSL y la importancia de DNSSEC, los registros CAA y los métodos de cifrado como PGP y OMEMO/OpenPGP.
  • El hilo debate la necesidad de múltiples certificados para el mismo dominio, la fiabilidad de los certificados SSL, la posible interceptación legal y los retos de garantizar la seguridad en los servicios de alojamiento.

Se cumplen diez años del rescate de Healthcare.gov

  • Hace una década, se formó un equipo experimentado llamado "oleada tecnológica", dirigido por Todd Park, para resolver los problemas del sitio web HealthCare.gov, que no funcionaba.
  • El equipo, formado por personas de dentro y fuera de la Administración, analizó los retos del sitio, incluidos, entre otros, el código, las pruebas, los lanzamientos y la supervisión.
  • Tras intensos debates y reuniones, instalaron con éxito un sistema de supervisión que reveló problemas críticos de rendimiento, lo que marcó el inicio de sus continuos esfuerzos por mejorar el sitio y permitir que millones de personas se inscribieran en la cobertura sanitaria.

Reacciones

  • Los debates se centran en la reforma sanitaria en EE.UU., incluidos los problemas surgidos durante el desarrollo de Healthcare.gov, las influencias políticas en la Ley de Asistencia Asequible (ACA) y la competencia de Medicaid.
  • La atención se centra en asuntos como la corrupción, el amiguismo, la distribución de fondos federales, el pago insuficiente a los empleados federales y la participación de empresas en proyectos informáticos relacionados con la sanidad.
  • En general, el discurso subraya los intrincados retos de la reforma sanitaria, haciendo hincapié en la necesidad de mejorar los sistemas y la intervención política.

La policía demanda a un adolescente por invasión de su intimidad tras hacerse viral un vídeo de un falso arresto

Reacciones

  • El texto abarca debates sobre diversos temas relacionados con el derecho, como el comportamiento de la policía, la privacidad, la difamación y los procedimientos legales.
  • Entre las cuestiones clave examinadas figuran la eficacia de las órdenes de protección, el papel de las fuerzas del orden, la influencia de las redes sociales en la rendición de cuentas, el comportamiento de los agentes de policía en las comunidades más pequeñas, las demandas por difamación y la autoridad de los agentes fronterizos.
  • Esta amplia gama de temas sugiere una exploración en profundidad de la aplicación de la ley y los temas legales pertinentes para la sociedad contemporánea.

En busca del artículo menos visto de Wikipedia (2022)

  • La entrada del blog examina la búsqueda de los artículos menos vistos en Wikipedia, muchos de los cuales tratan sobre insectos y lugares geográficos poco conocidos.
  • Profundiza en las políticas y prácticas comunitarias en relación con el concepto de notabilidad, que ha provocado la ausencia de artículos sobre empresas o grupos de música entre las 500 páginas más vistas.
  • Estos artículos menos vistos son importantes, ya que ofrecen una base para que los futuros editores los mejoren y amplíen.

Reacciones

  • El debate pone de relieve los retos a los que se enfrentan los editores de Wikipedia, como determinar la notabilidad de un tema, hacer frente a las limitaciones de la plataforma y gestionar las eliminaciones.
  • Saca a la luz la existencia de prejuicios de género y misoginia en la plataforma, el sesgo en los criterios de notabilidad y otros retos en la contribución.
  • Plantea dudas sobre el impacto de Wikipedia en los resultados de las búsquedas, así como sobre la exactitud y fiabilidad de la información de la plataforma.

Espacio Nakatomi

  • El artículo investiga los singulares métodos espaciales empleados por los personajes de Jungla de Cristal para navegar por la arquitectura, estableciendo paralelismos con las estrategias de las Fuerzas de Defensa israelíes utilizadas durante la invasión de Nablus.
  • Introduce el concepto de "espacio Nakatomi", una representación de la navegación arquitectónica alterada en películas como Jungla de Cristal, y considera una aplicación urbana más amplia.
  • Además, explora diversos conceptos arquitectónicos como el movimiento a través de los muros, la fluidez del espacio y la violación del espacio privado, y contempla la dinámica de poder y sus implicaciones en el cine y la literatura.

Reacciones

  • La conversación en bldgblog.com abarca una serie de temas como el impacto de la planificación urbana en los índices de delincuencia y el déficit percibido en la jugabilidad abierta de los videojuegos modernos.
  • El debate también se extiende al aparente declive de la franquicia de James Bond y analiza la representación del romance en las películas.
  • Los participantes en el debate aportan diversos puntos de vista, recomiendan juegos y películas alternativos y profundizan en los aspectos polifacéticos de los temas tratados.

El Comisario de la UE como doble agente de injerencias extranjeras

  • Una investigación reciente revela que organizaciones afiliadas a la industria tecnológica y los servicios de seguridad financian una campaña de apoyo a la propuesta de reglamento de la UE sobre "control de chats", cuyo objetivo es combatir los abusos sexuales a menores.
  • Este reglamento obliga a los proveedores de servicios a escanear y revelar los mensajes privados y fotos sospechosos. Patrick Breyer, legislador del Parlamento Europeo, critica la implicación de la Comisaria de Interior de la UE, Ylva Johansson.
  • Sus defensores consideran que la campaña impulsa el escrutinio indiscriminado de mensajes y fotos privados, lo que consideran una amenaza para la privacidad digital y la encriptación. En la actualidad, no existe una ley de este tipo en Estados Unidos.

Reacciones

  • El pasaje destaca diversos temas relacionados con la UE, como las acusaciones de corrupción e intervención extranjera, los debates sobre soberanía y las críticas a la normativa comunitaria.
  • Subraya la preocupación por la integridad de la UE y su capacidad para salvaguardar los derechos de privacidad, lo que sugiere un nivel de escepticismo hacia su normativa y gobernanza.
  • El texto también menciona los debates sobre los pros y los contras de la intervención gubernamental y las normativas en el contexto del capitalismo y el comunismo.

Pueden y van a arruinar todo lo que amas

  • El sitio de música Bandcamp, famoso por su apoyo a los artistas independientes, ha sido adquirido por la empresa de licencias y servicios de contenidos Songtradr.
  • Esta adquisición ha provocado inquietud entre artistas y aficionados, pues ya se han anunciado despidos que afectan a la redacción y al equipo de vinilos de Bandcamp.
  • La venta ha generado incertidumbre sobre el futuro de Bandcamp y su compromiso de seguir apoyando a los artistas independientes, lo que hace temer que la reputación del sitio como plataforma de música independiente pueda verse comprometida bajo la nueva propiedad.

Reacciones

  • El discurso se centra en la pérdida de puestos de trabajo de los empleados de Bandcamp, la importancia de Bandcamp como plataforma musical y la preocupación por su adquisición por parte de Epic Games.
  • Se debaten en profundidad los inconvenientes de las tiendas digitales de juegos con ánimo de lucro, la necesidad de que las entidades sin ánimo de lucro cultiven las comunidades y la relación empleador-empleado.
  • Otros temas son el equilibrio entre el valor del trabajo y el del capital, cuestiones de sostenibilidad para las propiedades web, la conservación de contenidos culturales por organizaciones como Internet Archive, los derechos de privacidad personal y el declive de plataformas de medios sociales como MySpace y Twitter.

Hackers robaron tokens de acceso de la unidad de soporte de Okta

  • Okta, proveedor de herramientas de identidad empresarial, ha sufrido una brecha de seguridad en su unidad de atención al cliente, lo que permitió a los hackers acceder durante aproximadamente dos semanas hasta que fue contenida.
  • La brecha permitió a los atacantes ver los archivos cargados por ciertos clientes, revelando potencialmente datos sensibles como cookies y testigos de sesión.
  • A pesar de que el incidente afectó a un pequeño número de clientes, Okta aconseja a todos los clientes que limpien las credenciales y tokens de los archivos antes de compartirlos y especula con la posibilidad de que el objetivo fuera un actor de amenazas conocido.

Reacciones

  • Okta, un proveedor de identidad centralizada, sufrió una brecha de seguridad en la que los hackers robaron tokens de acceso de su unidad de soporte, que se produjo después de que un empleado cargara datos confidenciales en la herramienta de soporte de Okta.
  • Este incidente suscitó discusiones sobre la integridad y fiabilidad de Okta en la gestión de importantes sistemas informáticos, la eficacia de sus protocolos de seguridad y el continuo debate que contrasta entre los sistemas locales y los servicios en la nube para la autenticación.
  • Se hace hincapié en la necesidad de aplicar medidas de seguridad sólidas, mantener una vigilancia proactiva en materia de ciberseguridad y considerar proveedores de autenticación alternativos.

Progresos en CPython sin GIL

  • El consejo directivo de Python está considerando hacer opcional en futuras versiones de Python el bloqueo global del intérprete (GIL), un mecanismo que impide que varios hilos nativos ejecuten bytecodes de Python a la vez.
  • Se está debatiendo la compatibilidad con las extensiones, proponiendo cambios en la API y posibles nombres para la versión sin GIL, con "free-threading" y "nogil" como sugerencias. También se está considerando la introducción de una nueva interfaz binaria de aplicación (ABI) denominada "abi4".
  • Está pendiente la aprobación final de la Propuesta de Mejora de Python (PEP) relacionada con estos cambios. El consejo de dirección está definiendo sus criterios de aceptación al tiempo que debate las posibles repercusiones en la migración y la percepción.

Reacciones

  • El debate versa sobre diversos aspectos de la programación paralela en Python. Entre ellos, la necesidad de un paralelismo más explícito en los planes de estudios universitarios y la posible eliminación del Global Interpreter Lock (GIL), un mecanismo que impide la ejecución simultánea de bytecodes de Python por múltiples hilos.
  • Los participantes tienen opiniones diferentes, algunos promueven el código funcional sin efectos secundarios, mientras que otros proponen enfoques alternativos como las máquinas virtuales (VM) aisladas y la descarga de tareas en bibliotecas.
  • Preocupa el rendimiento de Python con un solo hilo y la transición de Python 2 a 3, pero también se reconocen las posibles repercusiones y ventajas de eliminar GIL y potenciar el paralelismo.

Mitigación del incidente de interceptación MitM de Hetzner/Linode XMPP.ru

  • El propietario de jabber.ru y xmpp.ru informó de un ataque man-in-the-middle, probablemente originado en Alemania, que implicaba la interceptación automática del tráfico y la emisión de un certificado no autorizado.
  • El informe destaca los fallos de la infraestructura de seguridad de la capa de transporte (TLS) y propone medidas de seguridad mejoradas, como el uso del Entorno de Gestión Automática de Certificados (ACME)-Autorización de Autoridades de Certificación (CAA) y Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC).
  • El artículo desaconseja confiar en soluciones de terceros, aboga por el cifrado de extremo a extremo y cuestiona la eficacia de las tecnologías de "computación confidencial" para ofrecer una seguridad sólida.

Reacciones

  • Recientemente se ha detectado una brecha de seguridad relacionada con la interceptación de tráfico XMPP en la red Hetzner/Linode, dirigida específicamente al puerto XMPP STARTTLS.
  • El ataque fue mitigado, pero expuso vulnerabilidades y puso de relieve los riesgos de seguridad asociados a los centros de datos y los posibles compromisos de la cadena de suministro.
  • Los debates se centraron en las preocupaciones de los usuarios sobre el uso de Cloudflare, con una exploración de sus ventajas y desventajas. XMPP son las siglas de Extensible Messaging and Presence Protocol, un protocolo de comunicación, y STARTTLS es una forma de tomar una conexión sin cifrar y convertirla en una conexión cifrada (TLS o SSL).

["31M"? Seguridad de los terminales ANSI en 2023 y detección de 10 CVE

  • En este artículo se analizan las vulnerabilidades y las posibles cadenas de explotación presentes en los emuladores de terminal, haciendo hincapié en las secuencias de escape.
  • Identifica los riesgos en los emuladores de terminal más populares y subraya la importancia de aplicar medidas adecuadas de gestión y mitigación contra estas vulnerabilidades.
  • El estudio también apunta al desarrollo de una herramienta de prueba para terminales y reconoce las contribuciones de anteriores investigadores en este campo.

Reacciones

  • El artículo destaca la importancia de sanear los caracteres de control en las herramientas basadas en texto para mitigar los riesgos de seguridad, haciendo hincapié en los problemas de algunos sistemas de terminales.
  • Llama la atención sobre las dificultades y retos asociados a la emulación de terminales, en particular debido a la falta de normalización, proponiendo la necesidad de un nuevo protocolo de terminal de texto.
  • El contenido también abarca temas relacionados con los emuladores de terminal y las secuencias de control, tocando el contexto histórico de la tecla de escape, el uso de PostScript en programas Lisp y proyectos asociados.

F-Droid: Tienda de aplicaciones FOSS para Android

  • F-Droid es un repositorio de aplicaciones de software libre y de código abierto (FOSS) para Android, que ofrece un cliente para navegar, instalar y actualizar fácilmente en los dispositivos.
  • La actualización más reciente introdujo nuevas aplicaciones y características mejoradas, aumentando la usabilidad y funcionalidad de F-Droid.
  • F-Droid es una organización sin ánimo de lucro que depende de las donaciones públicas para mantener sus servicios y seguir proporcionando sus ofertas a la comunidad Android.

Reacciones

  • El artículo explora F-Droid, una tienda de aplicaciones Android gratuitas y de código abierto. Los usuarios recomiendan otros clientes, como Aurora Droid y Neo Store, para mejorar la funcionalidad y la instalación de aplicaciones.
  • En el artículo se discute la falta de estadísticas de uso de F-Droid, los posibles obstáculos en la implementación y la lenta incorporación de nuevo software. Los usuarios recomiendan añadir repositorios adicionales para mejorar el acceso y mencionan F-Droid Basic, una versión de F-Droid.
  • Los usuarios destacan tanto los aspectos positivos como los negativos de F-Droid, señalando que mientras a algunos les encanta, otros critican la plataforma por contener varias aplicaciones que llevan años sin actualizarse.

Rejillas hexagonales (2013)

  • La guía detalla cómo crear y trabajar con rejillas hexagonales, cubriendo diversos sistemas de coordenadas, algoritmos y fórmulas con ejemplos de código de programación.
  • Analiza el cálculo de distancias, el trazado de líneas y la determinación de rangos de movimiento para cuadrículas hexagonales, junto con algoritmos para la gestión de obstáculos, el almacenamiento de mapas, los mapas envolventes y la búsqueda de rutas.
  • El autor recomienda recursos pertinentes como la biblioteca GameLogic Grids en Unity, la biblioteca Hex-Grid Utilities, código de ejemplo, un artículo en PDF y código de generación procedimental para uso en sitios web.

Reacciones

  • El artículo arroja luz sobre Red Blob Games, una página web que ofrece recursos y guías para manejar cuadrículas hexagonales.
  • Explica las diferencias entre hexágonos puntiagudos y hexágonos planos, y ayuda a comprender su uso en la codificación.
  • El debate versa sobre los sistemas de coordenadas y los pros y contras del uso de cuadrículas hexagonales en el diseño de juegos.

Un informe revela que los hospitales sin ánimo de lucro escatiman en obras de caridad mientras sus directivos ganan millones

  • Los hospitales sin ánimo de lucro de EE.UU. se enfrentan al escrutinio por favorecer la retribución de los ejecutivos en detrimento de la atención caritativa a pacientes con rentas bajas.
  • Según un informe de la Comisión de Sanidad, Educación, Trabajo y Pensiones del Senado, muchos hospitales sin ánimo de lucro dedican menos del 2% de sus ingresos a la atención caritativa, mientras que los directores generales de los hospitales reciben sueldos multimillonarios.
  • El informe acusa a los hospitales de abusar de los precios y violar sus mandatos sin ánimo de lucro. La Asociación Americana de Hospitales, sin embargo, protesta porque el informe pasa por alto los beneficios que los hospitales ofrecen a la comunidad.

Reacciones

  • El informe revela que los hospitales sin ánimo de lucro son objeto de escrutinio por su relativamente baja asistencia benéfica a pesar de los elevados salarios de sus directores generales, lo que plantea dudas sobre la equidad de las organizaciones financiadas con fondos públicos.
  • En este debate se abordan los retos del hospital a la hora de atender a pacientes de Medicaid y Medicare, el impacto de los pagos gubernamentales en los costes sanitarios y las opiniones sobre la remuneración de los directivos, lo que sugiere la necesidad de abordar esta cuestión.
  • El informe también aborda la transparencia en relación con la naturaleza y las operaciones financieras de las organizaciones sin ánimo de lucro, las acusaciones de colusión, la necesidad de modificar las leyes de financiación de las campañas electorales y la importancia de destinar fondos hospitalarios a la asistencia caritativa.

Flappy Bird implementado en tipos TypeScript

  • El autor desarrolló un juego Flappy Bird en 2D utilizando únicamente anotaciones de tipo TypeScript, demostrando el potencial de aprovechar estas anotaciones fuera del compilador TypeScript.
  • El estado del juego se actualiza basándose en los principios de la programación funcional y la renderización a través de un búfer de comandos repleto de órdenes de dibujo, lo que demuestra la destreza técnica del proyecto.
  • El tiempo de ejecución, creado en Rust y Zig, emplea bytecode y la API web canvas para la ejecución del juego con planes futuros de utilizar este tiempo de ejecución TypeScript a nivel de tipo como un verificador de tipo de alto rendimiento y para desarrollar un Lenguaje Específico de Dominio (DSL) competente para crear esquemas.

Reacciones

  • El artículo explora la utilidad del sistema de tipos de TypeScript a través de su aplicación en la implementación del juego Flappy Bird, y hace referencia al uso de Ocaml en la resolución de sudokus a modo de comparación.
  • Discute la fuerza y la complejidad del sistema de tipos de TypeScript, su capacidad para generar interfaces complejas y los beneficios de un sistema de tipos avanzado.
  • El artículo señala la flexibilidad y las restricciones del sistema de tipos de TypeScript, y aborda las implicaciones de la completitud de Turing, un término que describe un sistema capaz de resolver cualquier problema de cálculo si se dispone de tiempo y recursos suficientes.