BrunoProg64 Blog

Este post en realidad es para avisar a las personas que bajan anime con subtítulos en inglés vía BitTorrent, que el tracker de BoxTorrents, un proveedor Norteamericano de anime con subtítulos se encuentra caído desde el día de ayer.

El post oficial se encuentra en el foro de BoxTorrents.

Adjunto una prueba gráfica de que el tracker se encuentra caído:

(Nota: Haz click en la imagen para verla más grande)

Para que sepan que efectivamente es el Tracker de BoxTorrents.com, adjunto también esta imagen:

El cliente usado es ABC: Another BitTorrent Client, que no es muy común actualmente, pero que fue uno de los primeros clientes multiplataforma libres que han existido.

Hay que destacar que BoxTorrent.com y demás trackers de anime en general (En español tenemos como ejemplo a Frozer Layer) son mantenidos y ejecutados por voluntarios a los que los mueve el deseo de compartir, en este caso anime, aunque hay trackers con otros materiales como software libre, ISO, música, etc la mayoría son mantenidos por voluntarios.

Justamente BitTorrent es una alternativa a Megaupload y demás sitios que permiten descargas directas, pero con muchas dificultades. Sin embargo, BitTorrent al ser una red descentralizada dificulta un poco más el obtener los .torrent para realizar la descarga y lo peor de todo es que algunos trackers suelen tener vida efímera.

Esperemos que el Tracker de BoxTorrents.com se recupere pronto de su caída y este nuevamente para disfrute de los amantes del anime en general. En lo personal deseo que regrese pronto para poder terminar la serie Uninhabited Planet Survive, o Planet Survival como la llaman en español.

Actualización (23 - 11 - 07): El Tracker de BoxTorrents.com regresó después de 72 horas de inactividad.

Leo en Barrapunto que sobre los usos alternativos de Google, esta vez como un Crackeador de Contraseñas, ya que al buscar el Hash MD5 en el buscador, suele devolver la contraseña desencriptada.

Pero advirtamos que Google no es un supercomputador que desencripta la contraseña, sino que la contraseña descencriptada es facilitada por varios sitios web y por webmasters que llaman a funciones hash en URLs, por lo que suelen aparecer el hash y la contraseña original. Una forma de derrotarla es incluir “saltos” ya que el método de usar a Google es similar a las Rainbow Tables (Tablas Arcoiris, en inglés), que son simplemente grandes colecciones de palabras y su hash respectivo.

Vamos a ver un ejemplo de como trabaja esta tecnología y de sus deficiencias. Supongamos que vamos a encriptar la palabra ‘Nyu’ usando un hash MD5.

El hash obtenido es: 583fa847254818549132d141ed2f4f58.

Probemos buscar en Google este Hash. Rápidamente seremos informados que este hash corresponde a la palabra ‘Nyu’. Sin mucho esfuerzo hemos “reventado”, por así decirlo, un hash que normalmente tomaría un tiempo reventar por fuerza bruta.

Ahora insertemos “saltos” que son caracteres aleatorios al final de la palabra a cifrar, para dificultar el descifrar el Hash. Volvamos a usar ‘Nyu’ pero añadamos ‘1ghdhj’, por lo que la palabra a cifrar sería ‘Nyu1ghdhj’

El hash obtenido es: 58f2122560dc6e93a319fdd94916f406

Probemos buscar este hash en Google y rápidamente seremos informados (A fecha 19 de Noviembre del 2007) que la busqueda del hash no devolvió resultados.

¿Qué ha pasado? Como ya explicamos, Google no revienta los hash, sino que los busca ya que algún usuario debe haber colgado el hash y su correspondiente en texto, por lo que esto es más que nada un ataque de Rainbow Tables, fácilmente vencibles insertando saltos en las contraseñas.

El problema es que todo cracker de contraseñas serio sabe que MD5 es un algoritmo inseguro y en aplicacioens delicadas se ha sustituido por otros de más complejidad. Sin embargo sigue siendo útil ya que muchas páginas web y foros usan MD5 como hash para cifrar sus contraseñas.

En fin… ahí tienen otra funcionalidad de Google y espero que sepan aprovecharla. De seguro se podría crear una herramienta en línea de comandos para automatizar el proceso.

Feliz Cracking de Contraseñas.

No sabría decir si esto es una vulnerabilidad o no, pero creo que es algo intrínseco a las líneas DSL. Pero antes de hablar de la vulnerabilidad en si misma… veamos algo de teoría de como trabajan nuestros routeres hogareños.

Nuestra conexión a Internet viene de un router, en el cual conectamos una línea telefónica y extraemos un cable Ethernet hacia nuestra PC. Originalmente en las épocas del modem clásico conectábamos nuestra línea telefónica directamente. Y esto tiene una explicación:

El ser humano puede oir en un rango de 20 Hz a 20 Khz (20 000 Hz), por lo que ese pequeño rango de frecuencias es el asignado para la telefonía convencional. Cuando se creó Internet la conexión era por el propio ancho de banda reservado para la voz, por lo que no se podía usar Internet y hacer llamadas al mismo tiempo. Esto sumado a que el ancho de banda de la voz humana fuera tan pequeña hizo que el ancho de banda ofrecido en Internet en sus primeros años sea muy bajo.

Posteriormente apareció DSL que permitía enviar información usando anchos de banda superiores al de la voz humana, lo cual aumentó el ancho de banda de Internet y permitió poder usar el teléfono mientras se navegaba por Internet. De DSL han surgido muchas tecnologías… la más famosa de todas es ADSL, ya que permite una mayor descarga de información, al reducir espacio de envío a la red. Es precisamente ADSL el protocolo de modulación que está contenido en la mayoría de routeres conocidos.

Si solo esto fuera la parte de red de nuestros routeres, cualquier persona se conectaría a la red con tan solo un router que soporte ADSL. Sin embargo esto no es así y se añade una etapa de conexión directa por cable, en la que se autentifica al usuario. El protocolo usado originalmente es PPP, pero debido al auge de las conexiones de banda ancha se extendió dando como resultado el PPPoE, que es el protocolo que usamos cuando el router envía nuestros datos de usuario y contraseña de nuestro Proveedor de Internet, cada vez que encendemos el router.

Y explicando esto llegamos a donde queremos llegar. Se supone que todo router es capaz de enviar a la central telefónica una señal de PPP indicando un usuario y una contraseña para poder tener acceso a Internet y que el Proveedor de Internet le devolverá una fuente de datos por la cual enviar y recibir información. La pregunta es… ¿Necesariamente todo el que se presente con usuario y contraseña es el usuario legítimo? Mucho me temo que no.

Tomaremos como ejemplo esta información (Ficticia por supuesto):

Nombre Titular: Fernando Manrique
Usuario PPP: fernaman21@speedy
Contraseña PPP: 268945

(En el servicio de Internet Speedy de la empresa Telefónica, la contraseña PPP suele ser el teléfono del abonado)

Esta información será ingresada por el personal de Telefónica al realizar la instalación del Router en la casa del abonado Fernando Manrique y se le dejará en un papel esta información para futuras referencias. ¿Que sucedería si Fernando Manrique introduce esta información en un router que no es necesariamente el suyo?

La respuesta es simple… el Proveedor de Acceso a Internet aceptaría al usuario y la contraseña como válidas y le daría acceso a Internet. Hasta donde yo sé… PPP no implementa ninguna forma de identificar al usuario por algun detalle intrínseco a el mismo, como la MAC de la Tarjeta de Red, algo único por tarjeta. (Aunque la MAC también puede ser cambiada)

¿Qué pasaría si en el momento en que Fernando Manrique está usando su conexión de Internet, alguien intenta conectarse usando sus datos?

Realmente no sabría que responder, pero se esperaría que el Proveedor rechazara la conexión porque alguien ya está conectado con esos datos.

¿Pero que sucedería si el Proveedor de Acceso a Internet permitiera el acceso? Simplemente se habría cometido una metida de pata tal, que permitiría a miles tener Internet con sólo comprarse un router y consultar alguna web que reuniera lista de usuarios y contraseñas del PPP. Esto todavía no lo he comprobado, pero lo que sí probé es que es posible conectarse a Internet con los datos de PPP en una computadora que no es la del titular, ya que no se filtra por MAC ni nada por el estilo. Aunque en lo personal creo que sí se podrían conectar varios a un solo punto.

Espero opiniones y que alguien se anime a probar lo que propongo. De ser cierto… tenemos nuevo acceso a Internet… totalmente gratis.

Según Meneame, Steve Chen, uno de los fundadores de YouTube ha dicho que pronto YouTube aumentará la resolución de los videos que tienen, adaptándola a la velocidad del usuario.

Quizá lo más sorprendente de todo esto es que se asegura que YouTube almacena el video original y una copia de 320x240 píxeles para servirla en el portal. De ser esto cierto miles de videos de alta calidad estarían disponibles cuando se haga público este cambio.

En lo personal, felicito a YouTube si toman el paso… ya que si se hace esto YouTube desbancaría a Stage6 en lo que se refiere a cantidad de videos. Sin embargo una cosa que hay que recordar es el formato… no tendría ninguna gracia que YouTube coloque videos .flv de alta resolución porque serían demasiado lentos para verlos correctamente… al menos un .avi creo que deberían colocar como video de Alta Resolución.

Por otro lado… preguntarme si esta decisión la toma YouTube por la cantidad de usuarios que se ha mostrado satisfecha de Stage6 y otros servicios de Video de Alta Resolución. De ser cierto esto… podemos decir que la competencia es buena ya que ha hecho que YouTube se replantee su forma de servir videos, ya que la resolución es muy baja y la calidad también es mala.

Esperemos que estos rumores sean ciertos y no pasen de ser Vaporware para que YouTube tenga presencia por ahora. Si resulta ser cierto… muy bien por ellos. Nos acercamos al mundo de la alta definición.

Y esto me lleva irremediablemente a las preguntas… ¿Cúando Telefónica bajará sus tarifas de ancho de banda? ¿Cúando disfrutaremos de HDTV (High Definition Television) en el Perú? Solo el tiempo lo dirá…

Como decia en un post anterior, una de las lacras de Internet son las cadenas, usadas para recaudar direcciones de e-mail, que luego son víctimas de marketing viral o phishing.

Lamentablemente hay gente tan testaruda que insiste que las cadenas son inofensivas y que divulgar su correo tan tranquilamente no hará daño a nadie. Esta testarudez me recuerda a…

Para quien no sepa quien es el de la imagen, el de la izquierda es un chico llamado Howard, a mi parecer la testarudez encarnada y la de la derecha es una gata robot llamada Chako, que también es una testaruda pero en menor grado. Ambos personajes pertenecen a la serie de anime Planet Survival.

Así que recordando esa testarudez vino a mi mente la idea de crear una web en contra de las cadenas, al mismo estilo que Rompecadenas.com.ar. Solo que después de pensarlo un tiempo, decidí que sería un Wiki.

¿Porqué un Wiki? Porque no soy sólo yo el que recibe las cadenas, sino casi todos los usuarios, por lo que me gustaría que todos contribuyeran a hacer más completo el sitio.

El sitio se llama Cadenas Howard, un irónico homenaje a la testarudez, representada en ese personaje rubio.

¡Difundan el sitio y luchemos contra las cadenas! ¡No al spam!