Crear usuario · Acceder

Categoría Descubrimientos

Bug en el servicio SMS (remitente personalizado)

Desde hace muchos años tengo conocimiento de una característica desconcertante del servicio SMS. Una característica que más de uno pensará -como yo- que es un bug. Un fallo de seguridad de base.

sms remitente personalizadoEste bug no es un hack, ni nada avanzado. Es una característica del servicio SMS muy poco conocida, que no se suele mencionar, pero que sin embargo ahí está disponible para cualquiera.

Para usarlo solo hace falta contratar el servicio adecuado, por Internet hay varias empresas que lo ofrecen por unos céntimos. Cualquier usuario intermedio, tras leer este articulo -y conocer alguna de estas empresas- podría hacer uso de ello.

El bug/característica es el siguiente:

Cualquier persona puede enviar un SMS a otra con un número de remitente "personalizado". Sin validación de ningun tipo.

Lo de "personalizado" es la clave. En verdad es un eufemismo que suaviza lo que realmente significa: suplantación. Parece inofensivo, pero no lo es.

Te deberías preguntar... ¿Como? ¿Si me llega un SMS no puedo saber a ciencia cierta quien lo ha enviado? Pues no. Puede ser cualquiera.

De hecho, cualquier persona que conozca tu numero puede enviar SMS a diestro y siniestro con tu numero. Sin que haya forma de distinguirlo. Con total seguridad creerán que lo has enviado tu y difícilmente creerán lo contrario.

Y me pregunto yo... ¿qué objetivo tiene esta "característica"? ¿Qué necesidad hay? No tiene ni pies ni cabeza. No puede ser una limitación técnica porque si pueden cobrar pueden identificar. ¿Cual es la ventaja? Para mi no tiene sentido.

Inconvenientes tiene muchos. Por costumbre social se otorga total credibilidad al remitente de un mensaje SMS, cuando en realidad es pisar barro.

Otro inconveniente es que muchos servicios web se apoyan en el servicio SMS. Algunos incluso confían la verificación o recuperación de usuario en este sistema. Lo cual implica que cualquiera que averigüe tu número de teléfono podrá hacerse con tu usuario.

Un ejemplo de este problema es que rechacé la validación de ciudadanos de VirtualPol mediante SMS pues no aportaba ninguna seguridad.

Otro ejemplo. En 2007 comprobé el alcance real consiguiendo dejar esta nota en Menéame con otro usuario (tras testear el problema, acto seguido avisé del problema). Sinceramente, pensé que no sería posible, pero el agujero de los SMS es así de basto y sencillo.

En definitiva. No se quien ha diseñado esto de los SMS, pero me resulta muy difícil de imaginar la razón por la cual las operadoras permiten remitentes personalizados. No es más que una fuente de problemas, que a priori nadie se imagina.

0 GONZO
11-04-2011

Descubre las diferencias en los transbordadores Buran y Atlantis

transbordador burantransbordador discovery

Transbordador Buran, CCCP | Transbordador Atlantis, USA

¿Juegas a descubrir el fallo en la imagen? Podria ser cierto si no llega a ser por el detalle CCCP, en realidad no es ningún juego son dos transbordadores nacidos de la competición de EEUU y la Unión Soviética durante la Guerra Fria.

Los Estadounidenses desarrollaron el concepto. Un transbordador es una nave reutilizable que despega verticalmente apoyandose de cohetes de combustible sólido (como los fuegos artificiales) que transporta una astronave similar a un avión con un hangar en la panza. Con la maniobrabilidad que estas naves ofrecian los EEUU aseguraron su presencia espacial.

Pero eso no es todo, los Soviéticos fueron informados de que el transbordador Estadounidense tenia una secundaria pero fundamental capacidad bélica. En concreto podía ser enviada al espacio de forma secreta para modificar o destruir cualquier satélite.

Por ello desarrollaron su propio transbordador. Siguiendo el mismo concepto pero con intensas mejoras en su interior. Por ejemplo, decidieron que el combustible sólido era demasiado peligroso porque no había manera de detenerlo y resultaba demasiado volátil. Desarrollaron un sistema equivalente con combustible líquido. También se sabe que tenía un sistema de navegación por control remoto con el que se hicieron varias pruebas sin tripulación y con exito.

En realidad el transbordador Buran nunca despegó hacia el espacio, como siempre por cierre del proyecto. Pero aquí quedará constancia como una curiosidad del ingenio de la humanidad.

[video]http://www.youtube.com/watch?v=iCilwgwXgBw[/video]

5 GONZO
12-05-2006

Reuters y compañía necesitan un poco de usabilidad básica

Me preocupa que una entidad tan importante como Reuters tenga tan descuidada su estrategia en Internet. Veo en su web en Español, la cual en un enorme numero de noticias es la fuente original, me resulta muy preocupante que tengan semejantes URLs.

http://es.today.reuters.com/news/NewsArticle.aspx?type=top News&storyID=2006-08-28T203721Z_01_LAR874052_RTRID ST_0_OESTP-CANARIAS-INMIGRANTES-MUERTOS.XML

No hace falta ser ningún experto para entender que una dirección así es infumable, por supuesto imposible de memorizar y que además no aporta ningún dato.

¿Cómo se llega al punto de desarrollar algo así?

1 GONZO
29-08-2006

Test de microexpresiones y mentiras, serie Mienteme (Lie to me) y Dr Paul Ekman

lie-to-me-mienteme-fox-serie-television-tvMiénteme es una nueva serie de televisión muy recomendable. Trata de como una consultoría logra resolver casos dificiles.

Sin embargo tiene una peculiaridad. Es similar a CSI, donde todo gira entorno a las evidencias científicas. En Miénteme la espiral gira entorno a la mentira que es destapada gracias a las micro-expresiones.

Lo mejor de esta serie es que está basada en la real historia del Doctor Paul Ekman. La obsesion de Paul como psicologo es su teoría de las microexpresiones.

Muchos colegas ridiculizaron sus teorías, pero gracias a su persistencia logró demostrar su teoría de que las microexpresiones son universales, y por tanto no se aprenden. Para demostrarlo tuvo que recorrer Africa y América para convivir con tribus indígenas.

doctor paul ekman mienteme fotoLas microexpresiones son involuntarias. Es un acto reflejo que no se puede ocultar, o al menos no completamente. Revelan el verdadero pensamiento tras una mentira.

Despues de pasar toda su vida estudiando las micro expresiones y las mentiras, Paul es capaz de detectar las mentiras, de hecho trabaja para el FBI, la CIA y ha enseñado sus habilidades a miles de personas.

El Doctor Paul Ekman también inventó un sistema entrenador de microexpresiones ingenioso y sencillo. Consiste en un surtido de imagenes de expresiones en las que se imprime un gesto durante solo 15 o 40 milisegundos.

mett-paul-ekman-microexpresiones-expresiones-micro

Vende este sistema a agencias y empresas de todo el mundo. Y por suerte podemos acceder a una versión de prueba del entrenador.

  1. Acceder al entrenador demo de "METT".
  2. Pulsar en el boton Start Demo.

Está en inglés, pero es elemental.

  • HAPPY - Felicidad
  • SAD - Tristeza
  • SURPRISE - Sorpresa
  • ANGRY - Ira
  • CONTEMPT - Desprecio
  • FEAR - Miedo
  • DISGUST - Repugnancia
1 GONZO
22-10-2009

Internet NO será otra TV

Creado por: internetnoseraotratv.net

Internet NO será otra TV

PD: He optimizado las imagenes para aligerarlas de forma que ocupen poco espacio y a la vez se vean bien. Recomiendo usar estas pues las originales estan un poco desorbitadas.

0 GONZO
11-04-2010

Optimizar es un arte, Parte I: compresión Gzip, incluyendo CSS y javascript

Este es el primer artículo de una serie de métodos que he conseguido implementar con éxito ahorrando CPU y transferencia, haciendo que mis servicios web soporten más lectores online, sirviendo más rápido y con menos hardware.

Parte I: Compresión Gzip

Este método ya es bastante familiar, casi todo el mundo que lo necesita realmente lo utiliza, pero no lo aprovecha al máximo.

La compresión Gzip hace que el servidor comprime los archivos de texto antes de transferirlos, reduciendo su tamaño entre 5 y 9 veces el original. Como por arte de magia consigue que la información que envía el servidor hacia el cliente sea notablemente menor.

Por ejemplo, un archivo que pesa 68 Kb gzipeado se queda en 9 Kb ahorrando mas de 7 veces el tamaño

Conseguimos de un plumazo tres enormes ventajas:

  1. Mayor capacidad de carga: ahorrando tiempo en transferir archivos se minimiza la carga de CPU y RAM del servidor.
  2. Mejor velocidad de carga: al transferir menos información las paginas cargarán bastante más rápido, la experiencia de tus usuarios será mejor y evade la necesidad de que el server esté en el país objetivo.
  3. Considerable ahorro de dinero: el gasto elemental de un servidor web es la transferencia mensual, esta se mide en Gb/mes. Comprimiendo con Gzip el ahorro será tremendo.

[Curiosidad: existe una supuesta delgada linea de eficiencia, algunos dicen que activando Gzip on-the-flight se gasta más CPU que en modo normal. Por mi experiencia pienso que se ahorra CPU, sin embargo en la Parte II explicaré un método muy interesante para hace Gzip estáticamente (mas magia)]


Puede parecer trivial, ya que mucha gente lo conoce y lo aplica. Sin embargo mi truco "avanzado" es que recomiendo activar Gzip en TODOS los archivos planos y no solo a las páginas HTML como veo en la mayoría de webs. Cualquier archivo plano se debe gzipear, me refiero especialmente a archivos html, estilos css y archivos javascript. El ahorro triple será más significativo aún.

Distintos métodos para implementar Gzip:

  • Con Wordpress: es fácil, Opciones > Lectura > Marcar opción Gzip (abajo). Sin embargo el error común es olvidarse aquí del tema, un error porque con esta opción solo consigues comprimir las páginas html olvidandote del archivo css y posibles javascripts.
  • Con PHP: para comprimir una página html donde puedes ejecutar PHP has de añadir estas lineas de código al principio de cualquier proceso:
     
    Al final de cualquier código:
  • Para CSS y javascript (recomendado) En .htaccess
    AddHandler application/x-httpd-php .css .js
    php_value auto_prepend_file /home/... RUTA LOCAL .../public_html/gzip-start.php
    php_value auto_append_file /home/... RUTA LOCAL .../public_html/gzip-end.php
    En gzip-start.php
    En gzip-end.php
  • Combinando htaccess + PHP: poner en .htaccess:
    php_flag zlib.output_compression on

    #Con el numero se controla el nivel de compresion donde 0 es null y 9 el maximo php_value
    zlib.output_compression_level 5
    AddHandler application/x-httpd-php .css .js

    #Poner una ruta local cualquiera hacia un archivo php
    php_value auto_prepend_file /home/.../public_html/gzip-head.php
    Crear el archivo gzip-head.php con el siguiente contenido

Y esto es todo...

En la Parte II explico un interesantísimo metodo para comprimir con Gzip estáticamente, en vez de on-the-flight gastando 0 CPU en comprimir cada pagina, completando el circulo de eficiencia perfecta.

3 GONZO
23-12-2007
◄ Página anterior
 
Ocio Tecnología Mujer Informática Contactos Cultura Vacaciones Interesante Personal English
Ocio Alarmas Internet Chat Poesías Turismo
Juegos Tecnología Salud Adsl Messenger Mundo Viajes
CineTV Inventos Música Tech
ComoHacer
Enlaces: MovilZona Eventos Sagas Loteria Navidad 2012 Test de velocidad Pedrea

Blogs Teoriza™ · Red de Blogs · · Aviso Legal · Creative Commons · 2003-2011