Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
mayo
(Total:
22
)
- Nueva campaña de Ransomware suplantando factura de...
- Condenan a prisión al hacker eslovaco que avisó de...
- Desmantelada red española de distribución ilegal d...
- Análisis del hackeo al Sindicato de los Mossos de ...
- Roban 5.000€ a un Mosso de Esquadra después de la ...
- Phineas Fisher hackeó el Sindicato de los Mossos, ...
- Phineas Fisher filtra los datos personales de unos...
- El creador de VNC Roulette descubre y vende fallo ...
- Proyecto kickstarter quiere monitorizar tus pedos ...
- Habilita automáticamente HTTPS en tu sitio web con...
- La Policía oculta las caras de unos corderos para ...
- Al director del FBI no le gusta el cifrado de What...
- Usar un contenedor Docker de Metasploit Framework ...
- Chica de 19 años transmite su suicidio en directo ...
- El grupo turco Bozkurt hackea más bancos y publica...
- Nueva (para variar) vulnerabilidad crítica en Adob...
- PornHub también se suma al programa de recompensas...
- 3.000 estudiantes de Tailandia deberán repetir exa...
- No, Craig Wright ni es Satoshi Nakamoto, ni es el ...
- Un niño de 10 años obtiene una recompensa de 10.00...
- Múltipes y graves vulnerabilidades en ImageMagick
- Cifrar documentos, ficheros o carpetas con GnuPG e...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
No, Craig Wright ni es Satoshi Nakamoto, ni es el creador del Bitcoin
jueves, 5 de mayo de 2016
|
Publicado por
el-brujo
|
Editar entrada
El drama del origen de las bitcoins finalmente ha dado giro inesperado. Hace un par de días el académico australiano Craig Wright salió a la luz pública para afirmar que él era el hombre detrás del alias de Satoshi Nakamoto y por lo tanto el creador y padre fundador de la criptodivisa "BitCoin". La BBC, The Economist y muchos otros medios internacionales y Españoles lo publicaron en primera línea, pero ha resultado ser completamente falso. Un engaño, una farsa, un timo. Y no es la primera vez, es la segunda vez que lo intenta.
El bitcoin es una moneda virtual surgida en Internet que se genera mediante un complejo proceso de algoritmos y puede ser comprada a cambio de dólares, euros o yenes. La identidad de su inventor es un misterio desde sur origen, entre otras cosas porque posee un millón de bitcoins, que en la actualidad equivaldrían a unos 450 millones de dólares.
Un empresario australiano aseguró ser "Satoshi Nakamoto", el creador de la moneda virtual que irrumpió en 2009. Sin embargo han ido creciendo las dudas sobre su persona.
Tras años de misterio y de especulaciones, parecía que el verdadero creador de la moneda virtual bitcoin detallaba este lunes su identidad ante medios de la talla de la BBC, The Economist y a la revista GQ: se trataba del empresario australiano Craig Wright. "Soy el principal conceptor (del bitcoin), pero otros me ayudaron", indicó.
El experto en seguridad informática Rob Graham explicó en una amplia entrada de blog un método por el cual se puede generar la impresión de que se usa la clave privada de codificación de "Satoshi", pero en verdad lo que se utiliza es una versión codificada de la clave pública de acceso general. En la comunicación cifrada hacen falta tanto las claves privadas como las públicas. Por su parte, Dan Kaminsky, demostró exactamente lo mismo. Drew Blas igual, Ryan Castellucci más de lo mismo:
La llave original fue creada supuestamente en octubre de 2008, mediante cifrado DSA-1024, que hoy en día se considera ser demasiado débil. Se recomienda el uso RSA-2048 o superior. Pero en ese momento, DSA-1024, era la opción por defecto en GnuPG, una implementación de software libre de Pretty Good Privacy que usaba la mayoría de gente que utiliza para cifrar mensajes con PGP L
La fecha de una clave PGP está ligado a la fecha y la hora de la máquina en la que se creó . Así que basta con cambiar la fecha del ordenador a 2008, para crear una llave PGP en 2015 del 2008.
Y también es posible crear una clave PGP además de una fecha falsa con un e-mail (una cuenta de correo electrónico) que no es tuya.
Wright reconoció ser "Satoshi Nakamoto", el seudónimo bajo el que se ocultó el fundador de la moneda en su lanzamiento en 2009. Para demostrarlo presentó a Gavin Andresen -el principal desarrollador actual de bitcoin- y a periodistas de la BBC y de la revista "The Economist" una serie de pruebas digitales, como una firma que coincide con el código de cifrado que tuvo que utilizar en las primeras transacciones con bitcoin.
De inmediato comenzaron las controversias debido a que la prueba presentada era muy cuestionable, por lo que Wright prometió mostrar evidencias contundentes este viernes, pero en lugar de eso publicó una extraña, fugaz y difusa nota en su blog personal (vía Popular Science), donde a grandes rasgos el campeón afirma que no es lo suficientemente fuerte para demostrar su identidad y se disculpa con el mundo por intentarlo (¿?):
En criptografía, un "collision attack" (ataque criptográfico de colisiones de hash) de un hash trata de encontrar dos entradas que producen el mismo valor de hash, es decir, una colisión hash.
Es decir, que dos mensajes diferentes, den el mismo resultado:
mensaje1 y mensaje2, sea igual a hash(mensaje1) = hash(mensaje2).
En un ataque clásico de "collision attack", el atacante no tiene el control del contenido de ninguno de los mensajes.
Craig fue bastante inteligente aquí. Él no engañó, y no hizo uso de herramientas de línea de comandos modificadas. En realidad lo único que hizo fue publicar un mensaje firmado por la clave de Satoshi, que valida correctamente. Nada más. Esto podría explicar cómo engaña a bastantes personas. Sin embargo, ese mensaje que pasa de ser un hash de una transacción antigua de Bitcoin, no esuna cosa que demuestra su identidad. Así es como él lo hizo:
El bitcoin es una moneda virtual surgida en Internet que se genera mediante un complejo proceso de algoritmos y puede ser comprada a cambio de dólares, euros o yenes. La identidad de su inventor es un misterio desde sur origen, entre otras cosas porque posee un millón de bitcoins, que en la actualidad equivaldrían a unos 450 millones de dólares.
Un empresario australiano aseguró ser "Satoshi Nakamoto", el creador de la moneda virtual que irrumpió en 2009. Sin embargo han ido creciendo las dudas sobre su persona.
Tras años de misterio y de especulaciones, parecía que el verdadero creador de la moneda virtual bitcoin detallaba este lunes su identidad ante medios de la talla de la BBC, The Economist y a la revista GQ: se trataba del empresario australiano Craig Wright. "Soy el principal conceptor (del bitcoin), pero otros me ayudaron", indicó.
El experto en seguridad informática Rob Graham explicó en una amplia entrada de blog un método por el cual se puede generar la impresión de que se usa la clave privada de codificación de "Satoshi", pero en verdad lo que se utiliza es una versión codificada de la clave pública de acceso general. En la comunicación cifrada hacen falta tanto las claves privadas como las públicas. Por su parte, Dan Kaminsky, demostró exactamente lo mismo. Drew Blas igual, Ryan Castellucci más de lo mismo:
- blog.erratasec.com/2016/05/satoshi-how-craig-wrights-deception.html
- blog.erratasec.com/2016/05/satoshi-thats-not-how-any-of-this-works.html
- dankaminsky.com/2016/05/02/validating-satoshi-or-not/
- dankaminsky.com/2016/05/03/the-cryptographically-provable-con-man/
- github.com/patio11/wrightverification
- rya.nc/sartre.html
La llave original fue creada supuestamente en octubre de 2008, mediante cifrado DSA-1024, que hoy en día se considera ser demasiado débil. Se recomienda el uso RSA-2048 o superior. Pero en ese momento, DSA-1024, era la opción por defecto en GnuPG, una implementación de software libre de Pretty Good Privacy que usaba la mayoría de gente que utiliza para cifrar mensajes con PGP L
La fecha de una clave PGP está ligado a la fecha y la hora de la máquina en la que se creó . Así que basta con cambiar la fecha del ordenador a 2008, para crear una llave PGP en 2015 del 2008.
Y también es posible crear una clave PGP además de una fecha falsa con un e-mail (una cuenta de correo electrónico) que no es tuya.
Wright reconoció ser "Satoshi Nakamoto", el seudónimo bajo el que se ocultó el fundador de la moneda en su lanzamiento en 2009. Para demostrarlo presentó a Gavin Andresen -el principal desarrollador actual de bitcoin- y a periodistas de la BBC y de la revista "The Economist" una serie de pruebas digitales, como una firma que coincide con el código de cifrado que tuvo que utilizar en las primeras transacciones con bitcoin.
De inmediato comenzaron las controversias debido a que la prueba presentada era muy cuestionable, por lo que Wright prometió mostrar evidencias contundentes este viernes, pero en lugar de eso publicó una extraña, fugaz y difusa nota en su blog personal (vía Popular Science), donde a grandes rasgos el campeón afirma que no es lo suficientemente fuerte para demostrar su identidad y se disculpa con el mundo por intentarlo (¿?):
I’m Sorry
I believed that I could do this. I believed that I could put the years of anonymity and hiding behind me. But, as the events of this week unfolded and I prepared to publish the proof of access to the earliest keys, I broke. I do not have the courage. I cannot.
When the rumors began, my qualifications and character were attacked. When those allegations were proven false, new allegations have already begun. I know now that I am not strong enough for this.
I know that this weakness will cause great damage to those that have supported me, and particularly to Jon Matonis and Gavin Andresen. I can only hope that their honour and credibility is not irreparably tainted by my actions. They were not deceived, but I know that the world will never believe that now. I can only say I’m sorry.
And goodbye.
¿Cómo lo hizo? Collision attack o Preimage attack
En criptografía, un "preimage attack" de una función hash de cifrado trata de encontrar un mensaje que tenga un valor hash específico.En criptografía, un "collision attack" (ataque criptográfico de colisiones de hash) de un hash trata de encontrar dos entradas que producen el mismo valor de hash, es decir, una colisión hash.
Es decir, que dos mensajes diferentes, den el mismo resultado:
mensaje1 y mensaje2, sea igual a hash(mensaje1) = hash(mensaje2).
En un ataque clásico de "collision attack", el atacante no tiene el control del contenido de ninguno de los mensajes.
Craig fue bastante inteligente aquí. Él no engañó, y no hizo uso de herramientas de línea de comandos modificadas. En realidad lo único que hizo fue publicar un mensaje firmado por la clave de Satoshi, que valida correctamente. Nada más. Esto podría explicar cómo engaña a bastantes personas. Sin embargo, ese mensaje que pasa de ser un hash de una transacción antigua de Bitcoin, no esuna cosa que demuestra su identidad. Así es como él lo hizo:
Esta jugada deja terriblemente mal parados a Jon Matonis, viejo miembro de la Bitcoin Foundation, y a Gavin Andresen, uno de los primeros programadores de esta criptodivisa, ya que ambos, contando con una reputación intachable en el medio, salieron a la par que Wright para asegurando que efectivamente él era Satoshi.
Aunque más tarde Gavin Andresen reconocía que se había precipitado al afirmar la identidad.
Afirmó en un e-mail a Dan Kaminsky
En un blog personal del Dr. Craig Wright Wright afirma su renuencia a ser identificado como el hombre que hizo bitcoin, conocido sólo como "Satoshi Nakamoto," al igual que Jean-Paul Sartre.
Sartre rechazó el Premio Nobel de Literatura en 1964 diciendo:
Otra de las trampas que publicó Craig Wright en su blog fue el script EcDSA.verify.sh en una imagen:
El script de arriba llamado EcDSA.verify.sh es lo que Craig Wright dice que usó para verificar su firma con de la clave pública de Satoshi Nakamoto, como prueba para los no expertos de la BBC y The Economist.
Se puede ver como una "firma" variable (resaltado en rojo) toma la entrada de la línea de comandos. A continuación, la variable de firma es base64 decodificado y escrito en un archivo, después de lo cual la verificación real se realiza usando OpenSSL.
A primera vista, esto parece como un proceso de verificación válida. Sin embargo, se puede ver claramente que la ortografía de la supuesta segunda referencia a la variable $ firma está mal escrita
Aunque más tarde Gavin Andresen reconocía que se había precipitado al afirmar la identidad.
Afirmó en un e-mail a Dan Kaminsky
Yo estaba tan sorprendido por la "prueba" como cualquiera, y todavía no sé exactamente lo que está pasando.
Fue un error de acordar la publicación de mi post antes de ver toria asumí el cargo sería simplemente un mensaje firmado nadie puede fácilmente verificar.
Y fue probablemente un error incluso comenzar a jugar el juego de encontrar Satoshi, pero me siento muy agradecido a Satoshi.
Si, estoy dando credibilidad a la idea de que una operación de clave pública debe seguir siendo privada, que es del todo casual. Por supuesto el simplemente ha publicado un mensaje firmado o (equivalentemente) mover algunos BTC través de la llave asociada.
Siéntase libre de citar o publicar este correo electrónico.
Sartre rechazó el Premio Nobel de Literatura en 1964 diciendo:
“If I sign myself Jean-Paul Sartre it is not the same thing as if I sign myself Jean-Paul Sartre, Nobel Prizewinner.”
Otra de las trampas que publicó Craig Wright en su blog fue el script EcDSA.verify.sh en una imagen:
El script de arriba llamado EcDSA.verify.sh es lo que Craig Wright dice que usó para verificar su firma con de la clave pública de Satoshi Nakamoto, como prueba para los no expertos de la BBC y The Economist.
Se puede ver como una "firma" variable (resaltado en rojo) toma la entrada de la línea de comandos. A continuación, la variable de firma es base64 decodificado y escrito en un archivo, después de lo cual la verificación real se realiza usando OpenSSL.
A primera vista, esto parece como un proceso de verificación válida. Sin embargo, se puede ver claramente que la ortografía de la supuesta segunda referencia a la variable $ firma está mal escrita
$signitureEn vez de $signature. Eso demuestra que Wright nunca usó ese script.
El anuncio de Wright ha desconcertado a todos, tanto detractores como seguidores, la gente de Wired ha establecido contacto con Matonis y Andresen, y ambos afirman que han visto en privado una pieza de evidencia que ratifica sin lugar a dudas la veracidad de las declaraciones de Wright.
Take the signature being “verified” as proof in the blog post:
MEUCIQDBKn1Uly8m0UyzETObUSL4wYdBfd4ejvtoQfVcNCIK4AIgZmMsXNQWHvo6KDd2Tu6euEl13VTC3ihl6XUlhcU+fM4=
Convert to hex:
3045022100c12a7d54972f26d14cb311339b5122f8c187417dde1e8efb6841f55c34220ae0022066632c5cd4161efa3a2837764eee9eb84975dd54c2de2865e9752585c53e7cce
Find it in Satoshi's 2009 transaction:
https://blockchain.info/tx/828ef3b079f9c23829c56fe86e85b4a69d9e06e5b54ea597eef5fb3ffef509fe?format=hex
Genesis block: http://explorer.litecoin.net/block/12a765e31ffd4059bada1e25190f6e98c99d9714d334efa41a195a7e7e04bfe2
Genesis address: Ler4HNAEfwYhBmGXcFP2Po1NpRUEiK8km2
Signature: G7W57QZ1jevRhBp7SajpcUgJiGs998R4AdBjcIgJq5BOECh4jHNatZKCFLQeo9PvZLf60ykR32XjT4IrUi9PtCU=
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.