DESCUBREN MAS FALLOS EN LA SEGURIDAD DE WHATSAPP

Se descubren más fallos en la seguridad de Whatsapp

Parece increíble que una empresa con más de 300 millones de usuarios cuide tan poco su seguridad. Las noticias sobre su falta de seguridad son constantes, y hoy tenemos otros dos fallos más.

Los dos comparten el mismo error: no usar claves diferentes para el envío y recepción de mensajes. Por una parte, se usa la misma clave para el algoritmo RC4, el encargado de cifrar los mensajes. Tal y como se cifran los mensajes con RC4, esto permite “anular” la clave y a partir de ahí se pueden obtener los mensajes originales.

Por otra parte, también usa la misma clave para autenticar y verificar los mensajes (HMAC). El HMACes un código que asegura que el mensaje no se ha modificado ni intencional ni accidentalmente por el camino. El problema es que, si usamos siempre el mismo, un atacante que esté entre un usuario y los servidores de Whatsapp puede reproducir cuantas veces quiera un mensaje, eliminarlo o reenviarlo de vuelta y ni el usuario ni los servidores sabrían que está pasando.

Y lo peor de todo no es ya que Whatsapp no consiga implementar bien la seguridad. Lo peor es que estos fallos se conocen desde hace más de diez años (Microsoft tuvo problemas por repetir claves RC4 en soluciones de VPN). En teoría, son fallos que alguien con una formación mínimamente decente en criptografía no debería cometer, lo que nos demuestra lo poco que se preocupa Whatsapp por su seguridad.

Whatsapp juega con el hecho de que esto no le importa a casi nadie. Y es cierto que, para la mayoría de los usuarios, no importa mucho la seguridad en un medio que, normalmente, no se usa para comunicar datos sensibles. Sin embargo, la seguridad es importante y puede que en algún momento este asunto les explote en la cara (aunque reconozco que parece difícil que un escándalo de este tipo influya demasiado en los usuarios).

FUENTE

EL SISTEMA DE FRENADO AUTOMATICO DE LOS AVE, TIENE FALLOS

El sistema que permite el frenado automático del Alvia tiene fallos

Renfe ordenó a sus maquinistas que no utilizasen el sistema automático ETCS o ERTMS

El trazado es de alta velocidad, pero el sistema de seguridad, no. Renfe ordenó a sus maquinistas el pasado noviembre que no utilizasen el sistema automático ETCS o ERTMS entre Ourense y Santiago, el único tramo de la red ferroviaria gallega en que está instalado. Con esa orden se pretendía: “Evitar retrasos, mientras tanto Talgo no nos comunique que tienen instalada la última versión de software que evita algunas urgencias”.

La compañía tomó esa decisión después de un periodo de prueba que evidenció que el sistema fallaba tanto en el Alvia como en otros trenes híbridos (eléctricos y de gasóleo). El presidente de Renfe, Julio Gómez Pomar, declaró a EL PAÍS: “El fabricante [del sistema], Bombardier, nos pidió unos meses para trabajar en el problema y ahora estamos empezando ya a hacer pruebas. Las hacemos por la noche, cuando la vía está cerrada a la circulación”.

La puesta en marcha del ERTMS se pospuso por, como apunta la circular, fallos de software, que provocaban que el sistema alertase de urgencias que resultaban no ser tales, y que casi nueve meses después no se han resuelto. El ERTMS funciona perfectamente en el otro tramo en el que estaba instalado (Madrid-Medina del Campo).Los retrasos a los que alude la circular del pasado 20 de noviembre eran los nueve o diez minutos en total que tarda el sistema informático en cargarse o en apagarse. Los conductores de Alvia tenían —y tienen— que ir al límite de lo que permite el sistema ASFA, 200 kilómetros por hora, guiándose por sistemas que utilizan trenes convencionales.

En resumen, el Alvia es un tren que en Galicia se sobrecarga con dos cabezas tractoras diésel (lo que incrementa su inestabilidad). No puede guiarse por el sistema de seguridad con el que está dotado (algo que los maquinistas tienen que advertir diariamente al Centro de Control de Madrid-Atocha) porque la compañía que suministró el software no lo corrigió después de casi un año de detectarse los fallos. Y por lo tanto, este tipo de convoyes no pueden alcanzar la velocidad de crucero que incluso contempla el itinerario marcado por la propia Renfe (220 kilómetros por hora hasta poco antes de la curva de A Grandeira, donde el pasado 24 de agosto se produjo el terrible accidente).

FUENTE