Bitcoin Cash, Phishing wallet, Lightning Network, Doble gasto, EE25, Próximos audios

Vuelvo a grabar después de 2 años. Hablo sobre Bitcoin Cash, intento de robo a un amigo usando phishing de una wallet Bitcoin, Euskal Encounter 25. Anuncio temas de próximos audios del podcast: Bitcoin Cash en profundidad, doble gasto de transacciones 0-conf en Bitcoin SV, Lightning Network, experiencia minería.

Artículo doble gasto 0-conf en BSV:
https://seguridadoverflow.com/2018/12/haciendo-doble-gasto-0-conf-en-bitcoin-sv/
https://honest.cash/reizu/making-double-spending-0-conf-with-bitcoin-sv-117/

Memo.cash @reizu:
https://memo.cash/profile/1s1cVayXugixqp2cwozoijbN3LRxRfpUZ

Grupo de telegram “Bitcoin es Cash”:
http://t.me/BitcoinEsCashBCH

Realizando doble gasto 0-conf en Bitcoin SV

Siempre me pregunté si sería posible realizar un doble gasto de una transacción 0-conf en Bitcoin. Aunque todos los aspectos técnicos indicaban que sí sería posible, siempre que consultaba a algún experto obtenía las mismas respuesta:

  • La propagación de las transacciones en Bitcoin es muy rápida, es casi imposible hacer doble gasto.
  • Los mineros siguen la regla de «first seen safe»: una vez que aceptan una transacción no aceptarán otra que intente hacer un doble gasto de la primera.
  • Sobornar a un minero para hacer doble gasto de una transacción 0-conf no es rentable para cantidades pequeñas.
  • Siempre que se usen comisiones >= 1 satoshi/byte es seguro.
  • Aunque alguien consiga hacer un doble gasto de una 0-conf, detectarlo es trivial conectándote a varios nodos y esperando 5 segundos.
  • No hay forma de hacer un doble gasto sin ser detectado.

Como esas respuestas no me convencían, decidí hacer por mi cuenta una pequeña investigación. Como suele decirse: no confíes, verifica.

Seguir leyendo Realizando doble gasto 0-conf en Bitcoin SV

izubitcoin

He creado una pequeña herramienta para experimentar con nodos bitcoin a nivel de protocolo: izubitcoin. Está programada en C++ (para GNU Linux). Quería programar algo en ese lenguaje para practicarlo, principalmente porque es el lenguaje en el que están escritos varios nodos de Bitcoin Cash (como Bitcoin ABC o Bitcoin Unlimited).

Está en sus inicios, de momento sólo consigue la versión de un nodo bitcoin remoto. La idea es ir añadiendo funcionalidades y hacer una especie de Nmap para bitcoin.

Si alguien se anima a probarla, o quiere colaborar programando algo, bienvenido sea.  🙂

Dejo por aquí la URL de su repositorio en GitHub:

https://github.com/segoverflow/izubitcoin

Grupo de Telegram: no es la mejor opción

Hace más de un mes creé un grupo de Telegram llamado Seguridad Overflow (a modo de experimento), para hablar sobre temas relacionados con la seguridad informática. O al menos esa era mi idea. Con el paso de las semanas he llegado a la conclusión de que Telegram no es el medio adecuado para mantener debates en grupo.

Uno de los problemas es que no puedes elegir a quien escuchar dentro del grupo, o escuchas a todos o no escuchas a nadie. Eso hace al grupo de Telegram una opción menos interesante respecto a Twitter, donde tienes mucho más control sobre a qué personas seguir. Obviamente hay temas y personas que te parecen más interesantes que otras, por lo que la posibilidad de poder hacer un filtrado es importante.

El segundo problema, directamente enlazado con el anterior, es que muchas veces las conversaciones derivan en temas que nada tienen que ver con la seguridad informática. Cada uno tiende a hablar sobre lo que le interesa o le preocupa; ya sea política, conspiraciones, historia, deportes y un largo etcétera. Al no haber un sistema de etiquetado de conversaciones (como pueden ser los hashtags en Twitter), se hace imposible evitar conversaciones que no te interesan.

La suma de ambos problemas da como resultado la «obligación» para todos los usuarios de leer todas las conversaciones existentes, independientemente de su temática. Podría mitigarse aplicando un férreo control sobre el grupo, intentando ceñir los temas a la seguridad informática, pero no creo que esa sea la solución. Lo primero porque detesto la censura de un poder centralizado (el administrador del grupo de Telegram en este caso), y lo segundo porque la solución no creo que sea obcecarse en utilizar un sistema que no cumple tus necesidades. Lo que hay que hacer es utilizar un sistema mejor.

Y hay muchos más inconvenientes con el grupo de Telegram… Por nombrar el último: la nula posibilidad del usuario de marcar mensajes favoritos. Ahora éramos unas 14 personas en el grupo, pero si ese número crece la cantidad de mensajes también lo haría. Imaginad que entráis al grupo y os encontráis 600 mensajes sin leer, ¿son todos igual de relevantes? Para Telegram sí, para el usuario lo dudo.

Por todo, creo que sería mejor opción utilizar Twitter, ya sea por medio de un hashtag concreto para mantener conversaciones entre varios usuarios, o soluciones similares. No creo que haya que reinventar la rueda.

El grupo de Telegram actual se cerrará dentro de unos días, dejando algo de plazo por si los usuarios quieren crear un grupo nuevo (a modo de fork).

¡Nos vemos en Twitter!

Podcast-blog

He decidido que voy a intentar convertir Seguridad Overflow en un podcast-blog.

¿Y qué es un podcast-blog?, os estaréis preguntando. Pues no lo tengo yo muy claro, imagino que la mezcla de publicar audios en formato podcast y artículos en formato texto. Lo que en mi caso se traduce por: publicar un audio cada 10 meses y un artículo cada 2 años. Eso sí, aprovechando cada ocasión que se me presente para prometer y reprometer que a partir de ese momento empezaría a hacerlo con una regularidad pasmosa. Los viejos del lugar ya sabéis cómo va el tema…

Fuera bromas, me apetece escribir algún artículo de vez en cuando. No sólo artículos técnicos (que los habrá), sino también poder escribir sobre cualquier tema relacionado con la tecnología de una u otra forma. Por ejemplo podría escribir un artículo técnico para complementar un episodio del podcast, pero también otro sobre el postureo en el mundo del podcasting (adelanto en exclusiva de mi próximo post). Según me dé.

Supongo que es el tiempo libre del que dispongo desde que estoy desempleado, pero me ha dado por intentar mejorar Seguridad Overflow. He pensado en los siguientes aspectos:

  • Lo primero, obviamente, sería aumentar la regularidad del podcast (léase parte final del segundo párrafo de este post).
  • Complementar audios técnicamente complejos con artículos de texto en el blog.
  • Escribir de vez en cuando (es decir, prometiendo cada 2 meses y haciéndolo cada 2 años) artículos relacionados con la seguridad informática o con la tecnología en general.
  • Escribir algún programita y subirlo a github.com/segoverflow.
  • Intentar crear una pequeña comunidad para hablar sobre seguridad informática, hacking, podcasting o sobre cualquier tema relacionado con la tecnología. De ahí surge el grupo de Telegram (al que os podéis unir accediendo a seguridadoverflow.com/telegram desde vuestro móvil o tablet).

Respecto al RSS; para el blog (sólo los artículos de texto) hay un feed RSS diferente al del podcast. Es decir, los artículos del blog no aparecerán en vuestras aplicaciones de podcast como Pocket Casts, iOS Podcasts, etc. Si queréis suscribiros al blog por RSS desde algún servicio tipo Feedly la URL es: seguridadoverflow.com/c/blog/feed.

Nos vemos en el siguiente podcast-blog 😉

Euskal, Bitcoin, Seguridad Spreaker, iPad Pro, Hackers, Mr. Robot

Hablo sobre la futura Euskal Encounter 2017, cotización al alza de bitcoin, varias debilidades de seguridad en Spreaker, multitarea en el iPad Pro, el listón para llamar a alguien hacker y mi opinión sobre la serie Mr. Robot.

Seguridad Meetup, Podcasts de seguridad, Bitcoin Mac mini, Apps nativas

¡Comienza la segunda temporada de Seguridad Overflow!

En este audio hablo sobre: debilidades de seguridad en la red social Meetup, otros podcasts de seguridad informática, minar bitcoins en Mac mini, aplicaciones nativas versus web y la aplicación Pocket Casts.

Fallo de seguridad, Programación, Euskal encounter, Cajero bitcoin, Fitbit Charge HR

Hablo sobre la euskal encounter (lan party), mi futura perra, seguridad y rendimiento en programación, cajero bitcoin, fitbit charge hr, bici eléctrica, licencia de windows 10, lg watch r, spreaker y podcast conjunto.