Portada Blogs Álbumes Notas Herramientas Usuarios Ayuda
Blog de BLei couRT (cambiar): Página Principal Entradas Historial Estadísticas
Bienvenid@ a LoG85. Puedes registrarte o logearte.
Estás viendo la página 5 de BLei couRT, un blog de LaNsHoR. Escrita el 28/04/2009 a las 06:58:52.
Privacidad, Secretos, y Seguridad
Foto de la página 5 del blog de blei_court
Entrada 1 de 5
La historia de la criptografía comienza simultánea a la historia de las civilizaciones. Desde siempre el hombre ha tenido la necesidad, por unas u otras razones, de transformar un mensaje original que cualquiera podía entender en otro cuyo contenido aparente fuese caótico y sin sentido, de forma que sólo quienes conociesen el método para descifrar el mensaje clave pudieran acceder al contenido original del mismo.

Los romanos por ejemplo, usaban un sencillísimo sistema de cifrado que consistía en desplazar cada letra del mensaje un número determinado de posiciones dentro del alfabeto, tal como sigue:

Mensaje original: "las tropas deben ir al norte"
Mensaje con 1 desplazamiento: "mbt uspqbt efcfo wjbkbs bm opsufm"
Mensaje con 2 desplazamientos: "ncu vtqrcu fgdgp xkclct cn pqtvgn"
Mensaje con 3 desplazamientos: "odv wursdv ghehq yldmdu do qruwho"
(...)
Etcétera.

Este método de cifrado se llama "Cifrado César", presuntamente porque Julio César lo utilizó frecuentemente con un desplazamiento de 3 en sus órdenes militares.

Para descifrar un mensaje, generalmente se requieren 3 cosas: el mensaje cifrado (obviamente), la clave (datos que nos permiten aplicar el descifrado), y el método de cifrado (para saber cómo aplicar la clave). En el caso del Cifrado César, por ejemplo, la clave sería el número de desplazamientos utilizados.

Por supuesto este método es muy inseguro y hay múltiples formas de romperlo (incluso aunque el atacante no sepa que clase de cifrado se está usando). Variantes de este método consisten en tablas que cambian una letra por otra de forma fija (la tabla incrementa el tamaño de clave a costa de mejorar sensiblemente la dificultad de ruptura), este método es conocido como Cifrado de Vigenère.

Estos algoritmos eran muy precarios. En realidad, cualquier proceso que consista en cambiar de forma fija una letra por otra (es decir, hacer el mismo cambio durante todo el mensaje), o una letra por un símbolo o conjunto de idems, etc, puede romperse fácilmente usando las más básicas herramientas de criptoanálisis. En estos casos concretos, la distribución estadística del número de repeticiones de cada letra deja en evidencia el cambio utilizado.

Aunque no nos lo parezca, cada letra del abecedario tiene en cada idioma una frecuencia de aparición muy personal. En textos suficientemente largos la frecuencia de aparición apenas varía de la media teórica total calculada, de esta forma este tipo de cifrados se vuelven inútiles si el atacante tiene un texto mediano o muchos textos pequeños.

Por ejemplo, en español la letra 'a' representa (de media) el 12.53% de las letras de un texto, la letra 'b' el 1.42%, y la letra 'c' el 4.68%. Basta con estudiar cuanto se repite cada símbolo o cada carácter de un texto cifrado con estos métodos y comparar luego los porcentajes para revelar el símbolo original. Por supuesto algunas letras tienen porcentajes parecidos o el texto puede tener violaciones estadísticas en algunos caracteres; pero siempre podremos adivinar la mayor parte de las letras o reducir las posibilidades a unas pocas opciones, con lo que el mensaje quedará suficientemente descifrado como para ser leído y entendido.

Esta técnica de ruptura es conocida como "análisis de frecuencias". Fue inventada en algún momento alrededor del año 1000 y fue el avance criptoanalítico más importante de la historia hasta la segunda guerra mundial. Esencialmente, todos los cifrados conocidos hasta esa época quedaron vulnerables a esta técnica.

(***)

No fue hasta el renacimiento cuando nacieron los primeros sistemas criptográficos invulnerables al análisis de frecuencias, todos basados en el cifrado polialfabético ideado por Leon Battista Alberti. Ejemplo clásico de este tipo de cifrados es el Cifrado de Trithemius, que usaba una tabula recta como tabla de desplazamientos basándose en el Cifrado César; de esta forma se lograba anular la aparición estadística de símbolos.

Hasta el año 1800 la criptografía se hizo todavía más importante (de forma secreta) como consecuencia de la competición política y la revolución religiosa. Lamentablemente esta importancia no se tradujo en técnicas más sofisticadas. Por ejemplo, en Europa, durante el Renacimiento, ciudadanos de varios estados italianos, incluidos los Estados Pontificios y la Iglesia Católica, fueron responsables de una rápida proliferación de técnicas criptoanalíticas. Por desgracia, muy pocas reflejaban un entendimiento (o siquiera el conocimiento) del avance de Alberti en métodos polialfabéticos. Los "cifrados avanzados", incluso después de Alberti, no eran tan avanzados como afirmaban sus inventores/desarrolladores/usuarios (y seguramente ellos mismos creían).

(***)

Desde el siglo XIX hasta la segunda guerra mundial se mejoraron e idearon métodos matemáticos más sólidos que mejoraban considerablemente la dificultad de ruptura de los mensajes, generalmente basados en sistemas de rotaciones que darían lugar a los cifrados base hasta finales del siglo XX. Hasta esta época, el cuello de botella para el avance criptográfico era lo tedioso que resultaba cifrar y desencriptar mensajes con estas técnicas; sin ordenadores ni máquinas, los procesos se volvían cada vez más largos, lentos y costosos.

Ante esta necesidad aparecieron las primeras máquinas manuales que aplicaban algoritmos de rotación de forma mecánica, prototipos de lo que sería pocos años después la archiconocida máquina Enigma.

Estas máquinas permitían realizar el gran número de iteraciones que requerían los nuevos cifrados de forma rápida y automática. La complejidad y seguridad que los nuevos estudios matemáticos proporcionaban junto a la comodidad y velocidad de las máquinas, hicieron que por primera vez en la historia el descifrado de códigos se convirtiese en un auténtico reto de proporciones colosales (tanto temporales como económicas y humanas).

Finalmente los nuevos estudios y análisis sobre los métodos de rotación, junto a la aparición de los primeros ordenadores (máquinas electrónicas más que ordenadores tal y como conocemos el término hoy en día), permitieron que ataques de fuerza bruta empezaran a dar resultados efectivos. Con la aparición de la computación comercial, ya en la segunda mitad del siglo XX, y la constatación de la ley de Moore, la humanidad comenzó a sumirse en una lenta pero inexorable crisis de fe hacia la criptografía: pues parecía que cualquier sistema podría romperse con ordenadores en sólo algunos meses.

(***)

En realidad, a lo largo del siglo XX se desarrollaron sistemas mucho más seguros que los utilizados en la práctica y que eran incluso inmunes a cualquier ataque por fuerza bruta que pudiese desarrollarse en la época, y por ende, al uso de ordenadores. Pero estos sistemas eran engorrosos de utilizar y no se generalizaron.

El sumun de estos sistemas alternativos, y que merece un comentario especial, fue el llamado "Secreto Perfecto", menos mística pero más popularmente conocido como "Libreta de un sólo uso". Este método acabó siendo demostrado como irrompible por Claude Shannon 25 años después de su invención; la teoría de la información y la matemática dictaminaron que del mensaje cifrado era imposible extraer ninguna característica, propiedad, o información de algún tipo, y que éste era análogo a una secuencia perfectamente aleatoria de símbolos.

Este aparente santo de grial de la criptografía no lo fue tanto como puede parecer, pues la clave debía tener ciertas características que hacía su manejo muy poco práctico, a saber:

- La clave debía ser una secuencia 100% aleatoria, cualquier fallo en el generador de símbolos aleatorios volvía al mensaje irremediablemente vulnerable.

- La clave debía ser estrictamente igual de larga que el mensaje, una sóla repetición de una porción de la clave hacía el mensaje fácilmente rompible.

- La clave sólo podía usarse una sola vez, por cada mensaje había que generar una nueva clave aleatoria.

En otros sistemas, la clave solía ser corta (como una contraseña) y se repetía en todos los mensajes. De esta forma si una persona A quiere mandar un mensaje cifrado a B, basta con que los 2 conozcan la clave y el método para ir descifrando los mensajes que intercambien. Con "Secreto Perfecto", primero A debía crear una libreta con las claves aleatorias a utilizar, darle esa libreta a B, y luego mandar los mensajes a B adjuntando en cada mensaje qué clave de las que tiene B utiliza. Después, tanto A como B deben destruir la clave usada para evitar el robo o un uso posterior por error (por eso se le llama "libreta de un sólo uso"). Dado que las claves tenían que ser guardadas en formatos físicos (no se podían memorizar por largas y aleatorias), y que perder la clave (por descuido o robo) impedía irremediablemente descifrar el mensaje, el uso de este método no se generalizó tanto como cabría de esperar en un principio.

(***)

Y entonces, nació Internet.
Archivado en: Seguridad, Spanish.
Con la aparición de las primeras redes, a partir de 1969, surgió el problema de la seguridad. El enorme potencial que la codificación de información sobre los canales de telefonía clásica tenía salpicaba a todos los ámbitos imaginables. El problema era, de nuevo, la facilidad con la que se podía pinchar una línea telefónica y leer así cualquier dato transmitido de computadora a computadora.

Las técnicas de criptografía conocidas hasta esa época tenían un problema para ser usadas en Internet, y es que, cuando dos entidades quisieran comunicarse con datos cifrados, tenían primero que ponerse de acuerdo en establecer la clave que usarían (uno la usaría para cifrar, y el otro para descifrar). Esto era poco práctico... porque obviamente mandar la cable no cifrada por la propia red hubiera supuesto que cualquiera pudiera interceptarla y obtener la capacidad de descifrar todos los mensajes posteriores (esto mismo se aplicaba al teléfono, al correo, etc). Además imaginemos que una entidad quiere comunicarse con muchas otras, por ejemplo, un banco con todos sus clientes; el banco debería usar claves separadas para cada cliente particular (para que unos no pudieran descifrar los datos del otro). Esto era muy costoso de implantar y mantener, además todavía estaba el problema de cómo hacer llegar a cada cliente la clave de la que dependerían todos sus ahorros.

Un ejemplo que ilustra este problema es que, incluso con la producción en serie de máquinas Enigma, Berlín tenía que mandar agentes que hicieran llegar a los capitanes de los submarinos y de otras divisiones los libros con el funcionamiento, la puesta a punto, y los códigos y configuraciones usadas en la máquina para los mensajes diarios. Naturalmente, si el enemigo hubiera capturado uno solo de estos libros, todo habría terminado.

Imaginemos por un momento que tuviéramos uno de esos sistemas criptográficos en el Internet actual. Para registrarnos en Gmail, Google tendría que ponerse en contacto con nosotros por medio de un canal seguro (probablemente un correo confidencial) para mandarnos nuestra clave para cifrar nuestra contraseña cada vez que quisiéramos comprobar el correo, si no, la contraseña viajaría sin cifrar y cualquiera podría obtenerla fácilmente. Esto mismo se aplica a foros, sitios de subastas como ebay, cuentas de mensajería instantánea, y en general, cualquier sitio que requiera contraseñas o mande información confidencial como números de tarjetas de crédito, etc; por cada sitio tendríamos que ponernos en contacto con la empresa para obtener la clave por una vía segura. Sería engorroso, ¿verdad?.

La respuesta a este problema se forjó a partir de la segunda mitad de la década de los 70, con una magnífica idea teórica que luego se volvió práctica. Hasta ese momento, todos los sistemas criptográficos eran simétricos, es decir, para descifrar se hacía exactamente lo mismo que para cifrar, pero al revés; en sentido contrario.

Fueron los sistemas de clave pública que conocemos hoy, que funcionan en un sólo sentido gracias al uso de funciones trampa, los que permitieron la seguridad cómoda y práctica en la red que conocemos. La idea es que hay dos claves diferentes usadas cada una en un proceso, una para cifrar, y la otra para descifrar.

La primera clave es la clave pública, con esta clave ciframos la información que queramos, pero no podremos descifrarla de ninguna manera mientras no conozcamos la segunda clave: la clave privada.

La clave pública se llama así porque cualquiera puede tenerla y cifrar lo que quiera. En el caso de un banco, o de un proveedor de correo electrónico, a todos los clientes nos llega la misma clave pública de forma clara y transparente cada vez que visitamos sus páginas web. Con esa clave, nuestro ordenador cifra la contraseña y los números de tarjeta de crédito y las manda, ya cifradas y teóricamente indescifrables, al servidor central del banco o del proveedor de correo, el cual es el único que dispone de la clave privada usada para descifrar los mensajes y acceder a la información original.

Este método difiere de los anteriores en que el proceso de descifrado no es la inversa (práctica) del de cifrado, y pertenece pues a los métodos de cifrado asimétrico.

Este fantástico sistema empezó a forjarse en 1976 con la publicación de un importante artículo científico escrito por dos matemáticos de la universidad de Stanford, en California: Whit Diffie y Martin Hellman. Este artículo sentaba la idea pero no describía ningún algoritmo que la implementase. Las bases de lo que se buscaba eran claras: un sistema de clave pública y clave privada asimétrico, pero nadie conocía ninguno (y ni siquiera estaba probado que tal cosa existiese y fuese posible).

Diffie en particular, era el arquetipo del antisistema melenudo y joven de los años 70. Hellman tenía firmes ideales en que los avances sobre criptografía debían ser públicos para beneficio de todos y no exclusivamente gubernamentales. Las agencias de inteligencia del país (USA) fueron basándose en los avances públicos de los científicos y haciéndolos suyos; sólo que sus avances quedaban archivados bajo un elegante sello de "Top Secret". Por suerte, los matemáticos convencidos de la distribución libre del conocimiento llevaron la delantera en todo momento hasta la resolución final del sistema que conocemos hoy.

(***)

Ron Rivest, del Massachussets Institute of Tecnology, fue uno de los muchos que se inspiraron en el artículo de Diffie y Hellman. Rivest, en contraste con el estilo rebelde de Diffie y Hellman, era (y es) un hombre que respeta las convenciones: una persona reservada, que habla en voz baja, y que actúa con prudencia ante el mundo que le rodea. En la época en la que le leyó el New Directions of Cryptography (el artículo de Diffie y Hellman), soñaba con formar parte del stablishment académico. Sus sueños estaban plagados de teorías y teoremas, pero no de espías y códigos secretos: no podía imaginar que la lectura de aquel artículo le llevaría a diseñar uno de los sistemas criptográficos más potentes y de más éxito comercial jamás creados.

Rivest ingresó en el departamento de informática del MIT en 1974. Rivest al igual que Turing, amaba la relación entre la teórica abstracta puramente matemática y las máquinas reales. En tiempos de Turing la cuestión más importante en el ámbito del cálculo matemático, inspirada por el segundo y el décimo problema de Hilbert, era la existencia teórica de programas que pudieran determinar cuales de las verdades matemáticas eran demostrables (el famoso Entscheidungsproblem). En los años 70 otra cuestión causaba furor en los departamentos informáticos: y era, en la suposición de un programa determinado capaz de resolver un problema determinado... ¿se puede analizar cuanto tardará o cuanto le costará al programa resolver el problema?: esta pregunta fue la precursora de la complejidad computacional.

Resumiendo (o si no me tiro aquí 2 meses escribiendo): Rivest pensó en las funciones trampa e imaginó como base los problemas que hasta entonces a los ordenadores les había costado mucho tiempo resolver (basándose en parte en los recién nacidos estudios de complejidad computacional). También necesitaba a alguien con quien discutir sus ideas y, aunque él era un informático teórico, compartía pasillo de despacho con algunos matemáticos, especialmente con Leonard Adleman y Adi Shamir. Finalmente (la historia detallada de todo lo que pasó es apasionante y os recomiendo leerla en la bibliografía), tomaron como base el problema de la factorización de enteros en números primos. No se conocía (ni se conoce) ningún algoritmo para factorizar rápidamente enteros muy grandes en tiempos aceptables (dependiendo de la longitud del número (con un mínimo de longitud aceptable), desde muchísimos años hasta tiempos incalculables aún con los ordenadores más potentes). Así nació el algoritmo criptográfico de cable pública y clave privada que usamos hoy en día, conocido como RSA, que son las siglas de Rivest, Shamir y Adleman. Adleman pensaba que en cualquier momento podría aparecer un algoritmo capaz de factorizar enteros rápidamente y no creía que aquello fuese a llegar tan lejos... por ello aceptó a regañadientes que su nombre formara parte del algoritmo sólo con la condición de ser el último.

En la wikipedia tenéis ejemplos y explicación de como funciona el algoritmo. Su belleza radica en lo simple y sencillo que resulta, y la potencia y dificultad que desata romperlo.

Como adición adicional, el algoritmo RSA requiere "bastante" potencia para encriptar información con la clave pública; algo que a un ordenador común no le cuesta más que unos milisegundos, pero que nuevos dispositivos como teléfonos móviles (sobretodo los primeros modelos, hoy en día eso ya no es un problema) no pueden permitirse. Por ello en estos dispositivos también se usa criptografía de curvas elípticas, un sistema alternativo a RSA formulado en 1985. Como curiosidad, no hace mucho el gobierno Ruso anunció que todas sus comunicaciones confidenciales habían dejado de usar RSA en sustitución por las curvas elípticas. Esto no quiere decir que RSA sea más inseguro, de momento las competiciones de factorización dejan entrever que RSA seguirá vivo durante muchos años.
Archivado en: Seguridad, Spanish.
Ahora que ya tenemos un poco de culturilla nerd sobre el tema y unas nociones básicas de criptografía moderna, veamos como funciona (a groso modo) la interconexión de equipos y hasta que punto estamos protegidos.

Primero veamos la red interna:

En una red interna (una red local típica, o una wifi no cifrada), en general tenemos un montón de equipos conectados a un router, el cual está conectado al exterior. El router es la puerta por la que sale y entra información desde internet hacia la red local. Salvo que tengamos routers internos, routers con diferentes segmentos de red o switchs, todo lo que mandemos al router será legible por todos los ordenadores de la red local. Así por ejemplo si leéis vuestro correo o habláis por el msn, a no ser que dichas comunicaciones estén cifradas (no suelen estarlo más que para mandar la contraseña e iniciar sesión), cualquier miembro de vuestra familia podrá leer lo que recibís/mandáis (a no ser que, como ya he dicho, estéis en segmentos diferentes por un switch, un router intermedio, etc).

Esta es la primera lección sobre privacidad. Si os preocupa vuestra privacidad dentro de vuestra red local debéis, o cifrar la comunicación (lo cual muchas veces no es posible porque el servicio que usáis no lo soporta), o aislar vuestro ordenador en un segmento de red independiente mediante switchs u otros routers (ojo, los hubs no valen para esto).

Leer datos de tu red local (de tu segmento de red, mejor dicho) que "salen de"/"son para" otros equipos es muy sencillo y basta un sniffer y poner vuestra tarjeta de red en modo promiscuo.

Red externa:

En la red externa es más aparatoso filtrar la información, pero es perfectamente posible y el proceso es análogo a un pinchazo teléfonico. La diferencia es que no podemos controlar ni aislar un cable particular desde nuestra línea de teléfono hasta el ISP tal y como sí podemos hacer en la red local. De esta forma, todos los datos importantes que vayan al exterior deben estar cifrados: el método normalmente es el RSA del que hemos hablado.

Para ello se usan "certificados". Un certificado lo emite una empresa internacional que te asegura, que la empresa que te ofrece el certificado con la clave pública correspondiente, es quien dice ser. La mayoría de los navegadores tienen una lista de proveedores de certificados válidos a los que consultan cada vez que una página nos manda el suyo, si el navegador comprueba con éxito que ese certificado es válido, entonces muestra el icono de un candado (usualmente en la parte inferior derecha) el cual indica que: todo lo que se trasmita hacia esa página irá cifrado, y que el dueño de esa página es de verdad quien dice ser.

Que una empresa proveedora de certificados te certifique suele ser bastante caro (unos 300/400 euros al año). Por ello muchas páginas no validan sus certificados y, en este caso, el explorador dice que no ha podido comprobar la identidad del emisor del certificado; es responsabilidad del usuario confiar en si esa empresa es quien dice ser.

Ejemplo:

Si yo ahora hago un sistema de inicio de sesión cifrado para el log85, vuestro navegador recibiría el certificado cuando fueseis a iniciar sesión. Si pago a una autoridad certificadora para que me investigue y compruebe que legalmente soy quien digo ser, entonces este proceso será transparente para vosotros y sólo veréis un candado en vuestro navegador web cuando iniciéis sesión. Si no, el navegador os dirá algo parecido como "Firefox no ha podido comprobar la identidad del emisor del certificado, quien dice ser un tal "LoG85", ¿quieres aceptar el certificado?".

Esto funciona así para evitar que yo me haga pasar por otra entidad. Por ejemplo, imaginemos que me hago pasar por twenty (obviamente tendría que imitar la estética de dicha página para que alguien se lo crea, y usar una url falsa que pase desapercibida como "twenti.com" o algo así). Entonces os mando mi "certificado" diciendo que soy twenty, y vosotros iniciáis sesión tan felizmente con la clave pública que os proporciona mi certificado "mentiroso". Yo recibo los datos y los descifro con la clave privada correspondiente... con lo que obtengo los datos de vuestra cuenta.

La firma digital es en muchos sentidos similar al certificado, sólo que además de comprobar si, por ejemplo, un documento viene de quien dice venir, puede asegurar que el documento esté intacto, entre otras cosas más (dependiendo del tipo de firma). El método es el mismo que con los certificados: si yo os mando un documento con firma electrónica por email diciendo "soy microsoft", vuestro software (si es fiable y seguro) debería avisaros de que no ha podido comprobar la validez de esa firma que viene de un tal "Microsoft"; vosotros, que sabéis mi dirección de email y que no soy "Microsoft", sabréis que os estoy engañando. En cambio, si os mando lo mismo pero diciendo que soy "Log85", sabréis que digo la verdad y podréis aceptar el documento aunque vuestro software no haya podido comprobarlo. El problema por supuesto, es cuando no conocéis o no confiáis en quien os manda el documento (ya es vuestra responsabilidad aceptarlo (y ante la duda mejor no aceptar, es mi consejo)).

Por ello, todas las empresas grandes validan sus certificados para que el usuario pueda estar seguro de que las páginas y las conexiones son de quien de dicen ser y no imitaciones. 300 euros al año es algo que una empresa mediana debería poderse permitir.
Archivado en: Seguridad, Spanish.
Entrada 4 de 5
Básicamente eso es un buen resumen respecto a la seguridad en las comunicaciones. No obstante el peligro real viene no por la conexión, si no de parte de virus, troyanos, y usuarios ignorantes.

En cualquier ordenador público (o en el vuestro privado si alguien tiene acceso y no os dais cuenta) es fácil instalar un keylogger que registrará todas vuestras pulsaciones de teclado. El atacante luego leerá el log y podrá recuperar vuestras cuentas, contraseñas, conversaciones... etc. Los keyloggers "caseros" son prácticamente idetectables por antivirus.

Otro peligro son los virus y troyanos, que buscan contraseñas o información útil en vuestro ordenador, o permiten que un atacante se conecte y os espíe abriendo agujeros de seguridad desde dentro. Aún con todo, los antivirus sólo logran detectar una pequeña porción de los virus existentes (muchos de los cuales nunca serán descubiertos), por lo que la eficacia de estos programas, es limitada.

Si os preocupa la seguridad en este sentido, debéis usar sistemas operativos bien diseñados para limitar la acción, el daño, y la propagación de malware en la medida de lo posible. Como Linux, MaxOSX, *BSDs, Solaris, y en general, cualquiera cuyo nombre no empieza por Win y acabe por dows.

Estas amenazas no son triviales, pero el mayor riesgo hoy en día es sin duda el desconocimiento de los usuarios. Mucha gente usa, por ejemplo, la misma contraseña para muchas cosas. Si usáis la misma contraseña para la web del banco y para la cuenta de email, el banco podrá leer vuestro mail o el proveedor de correo podrá hacerse pasar por vosotros en vuestro banco. Si usáis la misma contraseña para el msn que para el log85 podré tomar el control de vuestro messenger o microsoft podrá tomar el control de vuestro log85*.

*Tranquilos, las contraseñas están cifradas en la base de datos y no tengo forma de leerlas. No obstante podría cambiar la aplicación si quisiera y hacer que cuando iniciéis sesión, por ejemplo, se guarde aparte con qué password lo habéis hecho en un archivo de texto que yo pueda leer después (lo cual sería ilegal, pero 100% posible). Es por ello, que debéis usar una contraseña para cada sitio, porque aunque os podéis fiar de mí, en muchos foros y páginas web de segunda el admin será para vosotros un completo desconocido con intenciones desconocidas.

Aparte de eso, los emails se guardan sin cifrar en el disco duro del servidor del proveedor de correo, así como todas vuestras conversaciones de msn quedan también grabadas por Microsoft. Cualquier empleado podría, de nuevo, acceder a esa información fácilmente (esto también sería ilegal, pero es una práctica casi imposible de detectar que se suele hacer...). Si queréis que nadie tenga acceso a esos datos debéis cifrarlos, usando bien un cliente de correo que soporte cifrado (como Mozilla Thunderbird) o protocolos de mensajería instantánea que soporten cifrado (como Jabber (google talk usa jabber, por ejemplo)).

Y la última moda son páginas web como meebo (por decir una), desde las que podemos usar el messenger desde el explorador. Estás páginas son muy peligrosas porque, en primer lugar, las contraseñas viajan directamente sin cifrar, y en segundo lugar, le estamos dando a una empresa desconocida nuestra cuenta y nuestro password de msn. Generalmente estas empresas (no digo que esta en particular lo haga, pues no tengo pruebas), suelen leer toda la lista de contactos del usuario y luego venden esas direcciones a spammers.

Como ha ocurrido siempre a lo largo de la historia, es la confianza infundada, el logro que hace la ingeniería social, el eslabón más débil en seguridad confidencial.
Archivado en: Seguridad, Spanish.
Entrada 5 de 5
Todo lo que digo está basado en cosas que he ido aprendiendo a lo largo de los años leyendo diversos papers, páginas, etc. La criptografía, aunque no soy un experto ni mucho menos, es algo que siempre me ha interesado (en realidad casi todos los aspectos matemáticos/informáticos me han interesados siempre xD).

En especial muchas cosas las he refrescado volviendo a leer la wikipedia (ya os he puesto múltiples enlaces sobre los conceptos).

Por último, muchas cosas de "El camino a la práctica" las he sacado de un pequeño capítulo de "La música de los números primos", el cual se centra en la historia de la Hipótesis de Riemann, pero tiene este pequeño capítulo sobre la criptografía y su relación con los números primeros al final.

De este libro ya he hablado y os lo recomiendo fervientemente, no es un libro de matemáticas, es un libro de historia de las matemáticas; escrito de manera apasionante. Si tenéis un mínimo de interés por estos temas os aseguro que el libro os encantará.
Archivado en: Seguridad, Spanish.
23 PostsPrimogénita: BLei couRT
** ** ** ** ** Cargando...
Post 1 de 23 // 28/04/2009 a las 07:02:50 ACK! x 13.47c.
BLei couRT
Diestra Y Entendida
Avatar de blei_court
***---
7.00 culombios
10412 p.d.exp.
70d
Doncella
Me ha llevado unas cuantas horitas escribir toda esta página, pero creo que ha quedado bien y ha valido la pena ^^

En cualquier caso no sé si es a lo que granaína se refería, he intentado abordar todos los aspectos generales de cómo funcionan las cosas y qué medidas básicas de seguridad podemos tomar para proteger nuestras comunicaciones. Si hay algo concreto que no haya puesto o no esté claro, lo añadiré/aclararé con mucho gusto :)
C te facilita dispararte en el pie. C++ lo hace más difícil, pero cuando lo haces, te vuela la pierna entera.
Post 2 de 23 // 28/04/2009 a las 11:07:51 Buen Intento x 19.59c.
Big Kahuna
Vórtice Paladínico
Avatar de big_kahuna
****--
8.00 culombios
86444 p.d.exp.
Un eón
Caballero
cLicK
Te pongo el 10, principalmente, por la currada que te has tenido que pegar con la actu...y pq me supera completamente xD. Me la iré leyendo poco a poco para no bloquearme y explotar...
-Que empiece el juego, nena.
Post 3 de 23 // 28/04/2009 a las 17:18:47 13.33c.
BLei couRT
Diestra Y Entendida
Avatar de blei_court
***---
7.00 culombios
10412 p.d.exp.
70d
Doncella
Es muy fácil! Eso sí, es larga :)

Pero se lee en un ratito... gracias por el 10!
C te facilita dispararte en el pie. C++ lo hace más difícil, pero cuando lo haces, te vuela la pierna entera.
Post 4 de 23 // 03/05/2009 a las 19:27:04 Troll x -15.83c.
Anónimo
Cobarde Anónimo
Avatar anónimo
------
Hermafrodita
Fast, Fast, I kill you, say me a funny lizard, oh my god, hello, my name is Pau
Post 5 de 23 // 03/05/2009 a las 19:53:38 0c.
Riviera
Cobarde Anónimo
Avatar anónimo
------
Hermafrodita
Jajaja, ooooh, jajaja, eres un Admin efikaz, ya tardabas en limpiar el trolleo extremo ke estaba produciendo :D

Kuxa, si vas a postear lo de la cena del viernes o vais a konkretar algo avisa, ke esta semana no voy a aparecer muxo, asi ke hablame x gtalk aunke no este konektado y kuando mire el korreo te leere


No hace falta ke te diga kien soy no? XD

Es ke hemos kedado Javi y yo en kasa de Pau xa en teoria tener algo de ocio y llevamos 2 horas Javi y yo mirando a la pared, no es kulpa nuestra xD
Post 6 de 23 // 03/05/2009 a las 19:55:16 13.96c.
BLei couRT
Diestra Y Entendida
Avatar de blei_court
***---
7.00 culombios
10412 p.d.exp.
70d
Doncella
xDDD.

Ok, te mandaré mail, te postearé, o te llamaré si es preciso para la cena :-)

Mi eficacia me la dan mis herramientas ;)
C te facilita dispararte en el pie. C++ lo hace más difícil, pero cuando lo haces, te vuela la pierna entera.
Post 7 de 23 // 03/05/2009 a las 19:57:26 Divertido x 0.7c.
Lanshorseama
Cobarde Anónimo
Avatar anónimo
------
Hermafrodita
Jajajaja, mira a ver si de paso ahi te publicitas. Ya me lo enseñaste, al final no lo instale tio, komo a penas me meto x aki salvo kuando tengo extremo tiempo libre like now... Tio, esto es horrible, kuando no tengo NADA ke hacer me vuelvo molesto y dañino xD
Post 8 de 23 // 03/05/2009 a las 20:01:12 Divertido x 54.75c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Suele pasar... yo estaba estudiando en la biblioteca tan tranquilo, a lo que súbitamente he cogido un folio y he empezado a trazar un plan para conquistar el universo y esclavizar a la humanidad.

Si consigues hacer alguna verdadera maldad (descubrir algún fallo de seguridad y hacerte pasar por un usuario, borrar la base de datos, etc) haré que tu muerte sea rápida e indolora, de lo contrario, estás chiquilladas mediocres no van a librarte de la tortura eterna...

muahahaha
For the good of all of us (except the ones who are dead).
Post 9 de 23 // 03/05/2009 a las 20:05:30 Buen Intento x 1.88c.
Lanshorseama
Cobarde Anónimo
Avatar anónimo
------
Hermafrodita
oye, he hexo lo ke he podido kon lo ke tenia XD, ambos sabemos ke podria haber sido peor, xo si solo me dan un ordenador e internet, trollear es la unika molestia ke se me okurre :(
Post 10 de 23 // 03/05/2009 a las 20:15:41 Magnánimo x 55.75c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Lanshorseama dijo:
...xo si solo me dan un ordenador e internet...

¿Acaso hay un arma más poderosa?.
For the good of all of us (except the ones who are dead).
Post 11 de 23 // 06/05/2009 a las 19:28:25 Magnánimo x 49.16c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Joder, otro fallo arreglado!! Las calificaciones salían debajo de la cita... xD

Primo eres el dios de los betatesters!!
For the good of all of us (except the ones who are dead).
Post 12 de 23 // 06/05/2009 a las 19:32:02 Inspirado x 13.07c.
12.00 culombios
1144 p.d.exp.
Un eón
Caballero
Lo sé, lo sé...
xD
El que vende piedras en el mercadillo
Post 13 de 23 // 06/05/2009 a las 23:14:58 13.6c.
Verso
Eviscerador Perpetuo
Avatar de verso
*****-
9.88 culombios
138475 p.d.exp.
Un eón
Caballero
cLicK
cLicK
Riviera dijo:
si vas a postear lo de la cena del viernes o vais a konkretar algo avisa

¿Cómo es eso? A mí me vendría perfecto.
DDK
Post 14 de 23 // 06/05/2009 a las 23:17:56 Interesante x 85.64c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Está todo en el aire... pero por lo que he hablado con BK iremos al wok. A ver si mñn lo anuncio oficialmente...
For the good of all of us (except the ones who are dead).
Post 15 de 23 // 14/05/2009 a las 02:16:34 Interesante x 16.54c.
granaína
Dama De Las Tinieblas
Avatar de granaina
****--
16.00 culombios
71328 p.d.exp.
Un eón
Doncella
UUUUFFFFFFFFFFFFFFFF LO HE CONSEGUIDO! empezaba a sentirme mal x incitarte a hablar sobre esto y luego no tener tiempo xa leerla xD de hecho he soñado q me enviabas un mail en el q ponía: "!!!!!!!!!!!". jajaj CÁGATE :p

Esta página está genial; me he reído un montón con los comentarios de ¿tu primo?, y los nombres q se pone y eso, xo ha sido una desilusión q cada post no fuese de alguien q ha leído la página!
en fin, sí q es larga, y de fácil nada! no nos vaciles x dios! xDD la verdad sq no sé como has podido escribir todo eso y unirlo de manera lógica, como decía big kahuna: x momentos creía q iba a explotar.

xa mis dudas creo q volveré a leérmela en un par de días, más del tirón xa q mi cabeza pueda asimilar ciertas cosas, de todas maneras lo qno acababa de concebir viene explicado en la parte de cifrado de mensajes de el enlace q has puesto en RSA.
luego hay cosas como esta: "en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato" q son xa abrir la ventana y tirarse.


haber cosas q tenía q decir y q recuerde ahora...

-está muy bien pensada la manera en la q los has estructurado, la entrada "el cifrado evolutivo" es un puntazo xa ir situándose y las segunda "protótipo de un solo sentido" y todos sus enlaces además me va a servir mucho xa cuando empiece con "la nueva mente del emperador", de ahí q vaya a releer ésta actualización pronto, así luego me será más fácil el libro, y además entenderé todo esto mejor (q probabilidades hay de q lo entienda mejor cuantas más veces lo lea??)

-lo q originó mis dudas era, como dije, q había pedido la firma electrónica desde un ordenador q no era el mío, gran cagada, de ahí q empezase a preguntarme cómo funciona todo esto. y, aunq ahora tengo más claro el proceso en general de este tipo de certificados, me tengo q buscar q c*** de firma electrónica es la q te dan, xq leo x ahí q hay tres tipos. mucha información en el folio q te entregan xo nada q me interese sobre cómo funciona, de todas maneras es curiosidad personal xo ahí va donde " me he liao":
leo en la información en wikipedia de firma digital q el algoritmo q se usa es la tal "funcion hash" y dentro de esta SHA-1 del q pone "ha sido examinado muy de cerca por la comunidad criptográfica pública, y no se ha encontrado ningún ataque efectivo. No obstante, en el año 2004, un número de ataques significativos fueron divulgados sobre funciones criptográficas de hash con una estructura similar a SHA-1; lo que ha planteado dudas sobre la seguridad a largo plazo de SHA-1." tb hablan de un tal MD5 (este nombre molaba más xa un modelo de avión q xa un algoritmo, xo bueno) del q se descubrió su vulnerabilidad en 2004,
me pregunto yo: qué pasa si el supuesto maravilloso algoritmo usado en estas cosas resulta no ser tan maravilloso dentro de X años??

x no hablar de q sigo sin saber cómo llamar a esto, ya q en el folio pone pone: cerficado de identidad de persona física. y en internet encuentras: "Los términos de firma digital y firma electrónica se utilizan con frecuencia como sinónimos, pero este uso en realidad es incorrecto.
Mientras que firma digital hace referencia a una serie de métodos criptográficos, firma electrónica es un término de naturaleza fundamentalmente legal y más amplio desde un punto de vista técnico, ya que puede contemplar métodos no criptográficos" xo lo q es aún mejor, cada funcionario lo llama como quiere. :S el maravilloso mundo de la bur(r)ocracia.

este hecho no me preocupa especialmente, ya q desde el primer día tiendo a pensar q es una gilipollez este nuevo invento y además dudo de q me sirva en años, xo bueno, no está mal ir enterándose de qué va la cosa...
a decir verdad mi "preocupación" (q como comprenderéis no es tanta xq la usurpación de mi identidad x ahora no me supondría mucho) es q al final me la enviaron x email, la persona desde cuyo ordenador lo hice es de confianza xo eso de q estuviese en hotmail, aunq yo no abriese el correo es lo q me hizo pensar: quién tiene acceso a ésto? puede afectarme? lo tiene aunq el email no esté abierto? me ha parecido deducir q sí...

x otro lado me hubiese gustado tener un poco más de informacion sencilla sobre xq gnu/linux y los otros q has puesto son más seguros... confieso q ese link a la wikipedia no me lo he leído...

otra cosa, te has equivocado al escribir varias cosas te pregunto: te las digo y las corriges? las revisas tu? pasas? sq no quiero ser pedante y q parezca q estoy a la q salta xo no sé sq me doy cuenta... en fin.

y una última pregunta q puedes saltarte puesto q es "íntima y personal": tú como informático concienciado (no hombre esto no es tono irónico!) tienes una clave de acceso xa cada sitio? totalmente aleatorias, y de esas q ningún número se repite ni son correlativos ni la su suma de los anteriores etc???

la poesía no es de quien la escribe, sino de quien la necesita...
Post 16 de 23 // 14/05/2009 a las 03:08:41 Interesante x 51.54c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Jaja, quizás no haya conseguido que fuese tan fácil después de todo, pero ya sabes... empiezas a escribir y una frase aparentemente sencilla puede que requiera ciertos conocimientos previos que tú tienes y los demás no, y quizás ni te des cuenta; al final a ti te parece fácil pero no lo es tanto en realidad. O quizás es que está todo muy condensado (y eso que todo lo que digo es taaaan superficial) y es mucha información nueva que no da tiempo a asimilar.

La nueva mente del emperador no tiene mucho que ver con esto (de hecho no sé si tiene algo que ver en absoluto xD), de todas formas es un libro que si no tienes algo de base, como ya te dije, en algunas partes (no más de 4 o 5 páginas seguidas) puede resultarte difícil. Aún así te digo lo que el mismo autor dice en el prólogo: que sigas leyendo quedándote con lo que puedas. En general las partes matemáticas sólo sirven de demostración o de hilado fino pero basta con las ideas generales para seguir el tono del libro sin problemas, verás como en cuanto te acostumbres al tono te es muy fácil seguirlo :)

granaína dijo:
me pregunto yo: qué pasa si el supuesto maravilloso algoritmo usado en estas cosas resulta no ser tan maravilloso dentro de X años??

Es una cuestión muy divertida, mañana podría alguien descubrir por azar un algoritmo para factorizar semiprimos rápidamente. Con esto se derrumbaría todo el sistema comercial actual y sería una catástrofe financiera de consecuencias terribles e inimaginables, peor que cualquier crisis de cualquier tipo: nuestra sociedad se basa en el comercio fácil, las empresas no podrían comprar ni vender. No se podría pagar con tarjeta de crédito, los bancos no podrían funcionar, las grandes empresas, la bolsa, todo quedaría paralizado. Las comunicaciones confidenciales también quedarían descubiertas.

Por ello la A de RSA era escéptico con este método, por eso quiso aparecer al final de las siglas. Pensaba que cuando la cosa tomase importancia mucha gente trataría de encontrar dicho algoritmo y que finalmente aparecería destruyendo la idea inicial de ese método criptográfico.

Asusta pensar que todo nuestro mundo depende de que nadie descubra X.

###

En general puedes fiarte de hotmail, al menos estás protegida legalmente si algún empleado de microsoft se decide a usmear. La otra opción es montar tu propio servidor de correo y pedir que te manden el correo cifrado, pero no creo que sea necesario tanto follón para algo que tampoco es tan importante.

###

A ver si próximamente escribo algo sobre linux y tal, ahora que carlos se ha instalado ubuntu :) y explico las razones de diseño que lo hacen más seguro.

Los errores, faltas y lo que sea ponlos aquí mismo :) Muchos los habré cometido por desconocimiento y otros por descuido xD. Hazlos públicos sin reparo :D

###

MD5 aunque ya no se usa para cosas importantes, sí se usa la suma MD5 para comprobar que cuando te bajas un archivo de internet está intacto. Un sólo bit que cambie en un archivo produce una suma md5 completamente distinta, así que cuando te bajas algo calculas su suma md5 y la comparas con la teórica.

###

Yo uso varias contraseñas tal que así:

- Sitios importantes: Mail, msn, universidad... una contraseña distinta y difícil para cada uno.

- Sitios regulares: Foros, webs de noticias, blogs, etc. Una contraseña dinámica, esto es, un algoritmo que según el nombre del sitio me genera una contraseña para él (de todas formas con el gestor de contraseñas de firefox no necesito recordarlas, pero si las perdiese sé el algoritmo para recuperarlas).

- Sitios que me la sudan: una fija para todos.

Perdón por la respuesta esquematizada y rápida, a estas horas ya no doy para más xDDD.
For the good of all of us (except the ones who are dead).
Post 17 de 23 // 15/05/2009 a las 02:16:51 19.59c.
granaína
Dama De Las Tinieblas
Avatar de granaina
****--
16.00 culombios
71328 p.d.exp.
Un eón
Doncella
jajaja sí bueno, tiene una explicación lo de mi post con un punto... xo sq es demasiado ridícula xDDD podrías borrarlo? :)

corramos un tupido velo...

Decía q tus links me iban a servir x lo de la máquina de turing, la tesis de church-turing, la insolubilidad del problema de Hilbert, etc. como has podido comprobar, yo de eso no tenía ni idea, ahora a lo mejor con lo q he ido leyendo cuando empiece el libro me resulta más fácil, o ya se donde buscar. x supuesto ólvidate de q vaya yo a intentar demostrar algo matemáticamente :S xo no creo q eso sea un problema.

Me alegra saber que si se descubre "x" lo último q va interesarle a nadie es mi firma digital xD

Algunas veces he estado por pedirte que escribas sobre linux, xo no solo sobre xq es mejor, sino en plan práctico xa inútiles (leáse yo, a ver si se ofende carlos jaja) q se decidan a probarlo (tengo q formatear mi ordenador sí o sí, y ya aprovecharía) xo creo q ya hay páginas para eso no? y si empezases seguramente tendrías q dedicar muchas actualizaciones a algo q seguramente ya haya en otras páginas, aunq nos fiemos menos q de ti ;)

Lanshor dijo:
Una contraseña dinámica, esto es, un algoritmo que según el nombre del sitio me genera una contraseña para él
 
WHAT??



* las faltas que me acuerdo ahora (son chorradas):
-entrada 2, 2º párrafo, línea 5. has puesto la cable, x la clave.
-lo de tuenti x supuesto :D
-en alguna parte pones "a groso modo" la expresión creo que es grosso modo, sin a, ya se q hablando siempre se dice así xo al menos escribirlo se debería poner bien, y si no con comillas? (esto es una manía quizá :S)
-en tu post último has puesto husmear sin h, xo esta te la digo xq ya q estoy... jaja xo vamos q sé q en los post las faltas son frecuentes xq se escriben con rapidez y más a esas horas!
la poesía no es de quien la escribe, sino de quien la necesita...
Post 18 de 23 // 15/05/2009 a las 02:30:05 62.93c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Es cierto! No sabía que la "a" en grosso modo era incorrecto, útil saberlo :D

El resto de fallos, quitando lo de twenty (lo escribo ahora mal a propósito xD), son por ir demasiado rápido (pero la verdad es que paso de corregir nada ahora xD).

###

Pues sí, quizás algunos conceptos te sean útiles para el libro, aunque la mayoría los encontrarás mejor explicados en el propio libro que en la wikipedia :)

A ver te explico lo del algoritmo:

Por ejemplo, uno podría ser el nombre del sitio al revés, así mi contraseña para log85 sería "58gol", para meneame sería "emaenem", etc. Obviamente el algoritmo que uso es lo bastante sofisticado para que no pueda entenderse el proceso a simple vista, aunque lo bastante simple como para poderlo realizar mentalmente. De todas formas ya te digo, que esto es sólo para los sitios no muy importantes en los que perder la cuenta no sería ningún drama.

Escribiré sobre linux. Tienes razón en que guías hay muchas, pero me da la sensación de que no hay ninguna buena xD, al menos una introducción para quitar el miedo creo que sería positiva... a ver si saco algo de tiempo en las próximas semanas (mayo y junio son los peores meses del año para mi tiempo libre buaah).
For the good of all of us (except the ones who are dead).
Post 19 de 23 // 15/05/2009 a las 03:43:52 19.59c.
granaína
Dama De Las Tinieblas
Avatar de granaina
****--
16.00 culombios
71328 p.d.exp.
Un eón
Doncella
ainsss si todos los algoritmos fuesen darle la vuelta... q vida estudiantil más feliz hubiese llevado yo!

escribe escribe sobre linux! del 11 al 28 de junio quizá tengas tiempo? :P
la poesía no es de quien la escribe, sino de quien la necesita...
Post 20 de 23 // 15/05/2009 a las 03:54:12 ACK! x 63.13c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
Es probable, de todas formas creo que lo haré en varias páginas para hacerlo más ameno, así puedo ir escribiendo poco a poco y centrándome en un tema, o pasar al siguiente según vuestras sugerencias. También así se aprovecharán mejor los ratos libres escribiendo más eventualmente y publicando en el momento.

Trataré de compaginarlo como pueda.
For the good of all of us (except the ones who are dead).
Post 21 de 23 // 15/05/2009 a las 04:01:10 ACK! x 20.22c.
granaína
Dama De Las Tinieblas
Avatar de granaina
****--
16.00 culombios
71328 p.d.exp.
Un eón
Doncella
oook solo un apunte: empieza desde el principio, como en ésta, q como ves carlos y yo no somos nada sueltos en esto y somos los q más a corto plazo le podemos sacar partido...

la poesía no es de quien la escribe, sino de quien la necesita...
Post 22 de 23 // 15/05/2009 a las 04:06:33 19.59c.
granaína
Dama De Las Tinieblas
Avatar de granaina
****--
16.00 culombios
71328 p.d.exp.
Un eón
Doncella
se me olvidaba! ¿programas como el ccleaner sirve xa algo en materia de seguridad o solo xa "limpiar mierda"?
la poesía no es de quien la escribe, sino de quien la necesita...
Post 23 de 23 // 15/05/2009 a las 04:10:19 ACK! x 63.13c.
LaNsHoR
Eviscerador Perpetuo
Avatar de lanshor
*****-
43.59 culombios
439761 p.d.exp.
-
Caballero
cLicK
No he oído hablar de eso... pero por lo que veo es sólo un limpiador de clave de registro y cosas así. En casos muy concretos y si tu ordenador tiene muchísima "mierda" puede acelerar medio microsegundo el arranque. Ese tipo de programas son útiles para calmar la sensación psicológica de "sistema limpio y ordenado" más que para alguna actividad práctica real.

La única forma de hacer que windows sea un poco más seguro... es ponerse un linux que imite la apariencia de xp cursi
For the good of all of us (except the ones who are dead).

Anónimo

Páginas
Vista Previa de la página 10 del blog de blei_courtPágina 10
Vista Previa de la página 9 del blog de blei_courtPágina 9
Vista Previa de la página 8 del blog de blei_courtPágina 8
Vista Previa de la página 7 del blog de blei_courtPágina 7
Vista Previa de la página 6 del blog de blei_courtPágina 6
Puntuación
WARNING!!!
Sorry for my poor English

llorandollorandollorandollorandollorando
Estadísticas
3878 Días
2399 Visitas
23 Posts
Postea una de
cada 104 visitas
Licencia

"La Biblia nos enseña a amar al prójimo y a amar a nuestros enemigos: probablemente porque se trata de la misma gente." Gilbert Keith Chesterton