miércoles, 25 de junio de 2008

Es posible hacer código de explotación a partir de parches de seguridad.

Interesante documento de investigación que argumenta se puede hacer código de explotación a partir de parches de seguridad.
--
 
"The automatic patch-based exploit generation prob-
lem is: given a program P and a patched version of the
program P′, automatically generate an exploit for the
potentially unknown vulnerability present in P but fixed
in P′. In this paper, we propose techniques for auto-
matic patch-based exploit generation, and show that our
techniques can automatically generate exploits for 5 Mi-
crosoft programs based upon patches provided via Win-
dows Update. Although our techniques may not work
in all cases, a fundamental tenet of security is to con-
servatively estimate the capabilities of attackers. Thus,
our results indicate that automatic patch-based exploit
generation should be considered practical. One impor-
tant security implication of our results is that current
patch distribution schemes which stagger patch distri-
bution over long time periods, such as Windows Update,
may allow attackers who receive the patch first to com-
promise the significant fraction of vulnerable hosts who
have not yet received the patch."

¿Qué es sospechoso?

En un post pasado hablé del tema de “cómo prevenir fraudes” y en particular se habló de no hacer click en correos sospechosos. ¿Qué significa para mi un correo sospechoso? Aquí va la respuesta:

1.- Emisor desconocido: si no me es familiar la cuenta de correo, de entrada es sospechoso y gana los primeros puntos negativos.
2.- Asunto fuera de contexto: si el asunto del correo es algo no relacionado por ejemplo con mi trabajo, ya tiene más puntos negativos. Si se trata de mi correo personal por lo general mis amigos ponen asuntos del correo que tienen algún contexto que tiene sentido para mi. Por cierto, si el asunto viene en un idioma que no sea español o inglés, de plano lo borro ya que ni siquiera puedo entenderlo.

Para este punto, yo creo que ya he borrado muchos correos en base el emisor y al asunto; si un correo pasa esta fase entonces sigue el filtrado:

3.- Contenido: abro el correo y reviso el contenido como siempre en modo texto, es decir, sin abrirlo con HTML o texto enriquecido. Aquí yo creo que entra en mucha medida el sentido común. Todo lo que solicite cambiar una contraseña o ingresar a un sitio para hacer un cambio de cualquier tipo es un correo digno de ser borrado, en especial si aparentemente viene de un banco; en todo caso y aunque nunca lo he hecho porque no he tenido la necesidad, entraría yo al sitio sin hacer click en el link. Por cierto, cuando lees tu correo en texto claro, te das cuenta de todos los links tal cual como vienen y casi de inmediato detectas que el link no tiene nada o casi nada qué ver con el sitio real.

Estas son las tres reglas que sigo.

Ahora bien, en resumen, nunca hago click en NINGÚN correo (especialmente de bancos), aunque sea un correo auténtico. Si estuviera interesado en alguna promoción u oferta ingresaría directamente al sitio por mi cuenta para buscar la información o llamaría. Creo que esta última recomendación es la mejor y simplemente NUNCA hacer click en este tipo de correos, sin importar su procedencia. ¿Paranoico? Tal vez. Pero pregúntenme cuántas veces he sido defraudado por usar banca en línea.

Finalmente, me hago una pregunta: ¿Por qué las instituciones financieras siguen enviando correos? Es una práctica que sólo confunde más al usuario (si uno nunca recibe correos de la institución financiera, por qué está llegando uno ahora pidiéndome que haga “x” cosa?)

Avisar de fallas en la luz

La CFE tiene una sección en su página web donde un usuario puede avisar de fallas en la luz eléctrica. Pensemos un poco. Las laptops tienen batería, pero lo ruteadores o módems no la tienen, cómo he de reportar una falla si no tengo conexión a Internet? Por otro lado, si tengo una computadora de escritorio, mucho menos puedo hacer la queja ya que ni siquiera mi computadora enciende.

Así es que o tengo un no-break donde conecte todo para hacer mi queja o me salgo a buscar una computadora con Internet…en este último caso, no sería mejor simplemente llamar por teléfono?

Al menos la queja por Internet valdría la pena si sé que la van a atender con prontitud, será así?

En fin, curiosidades con que se encuentra uno.

¿Amenaza interna o externa?

Un estudio de Verizon arroja que los atacantes externos representan una amenaza mayor en comparación con los ataques internos. Según el estudio, un 73% involucra ataques externos mientras que un 18% involucra ataques internos. Normalmente se maneja en la comunidad de seguridad que los atacantes internos son más peligrosos que los externos.

Y es aquí donde está la confusión de Verizon,a mi parecer, ya que los ataques internos son por su naturaleza más peligrosos; tal vez sean menos en cantidad (según el estudio) pero con un impacto potencialmente mayor.

El hecho de que el porcentaje de incidentes internos sea bajo puede demostrar que efectivamente los empleados o contratistas tendrán una menor inclinación a atacar, pero cuando se deciden a hacerlo el impacto puede ser mayor por la cantidad de información que poseen y los accesos con que ya cuentan. Es diferente que una persona externa ataque a un servidor web a que el propio administrador del servidor web o el administrador de la red lo ataque.

Al final de cuentas, un análisis de riesgos nos definirá mucho mejor que una estadística cuáles son nuestras amenazas y el nivel de riesgo al que estamos expuestos por atacantes internos y externos. Y tener una discusión de quién representa la mayor amenaza (empleados/contratistas vs crackers/otros criminales) creo que es de poca utilidad y perdemos el punto importante: ambos son peligrosos de alguna manera u otra y deberemos de mitigar esos riesgos al final del día.

lunes, 23 de junio de 2008

Mejoras para "Recomendaciones para prevenir fraudes"

Un periódico publica hoy varias recomendaciones para prevenir fraudes. Creo que algunos puntos podrían mejorar:

a).- "Mantener el equipo de cómputo actualizado con los elementos de seguridad básicos": aquí yo listaría los elementos de seguridad básicos porque a un usuario no le puede quedar claro a qué se refiere esto. Es decir, basta con mencionar que se requiere de un antivirus, un firewall personal y de actualizaciones del sistema operativo (y aplicaciones). Así, pienso yo, queda más claro.

b).- "Crear contraseñas difíciles": siempre le pedimos a los usuarios que seleccionen contraseñas difíciles, largas, y una por cada servicio que se accede. ¿No estamos pidiendo demasiado? Hoy en día estamos hablando de recordar alrededor de 10 contraseñas como mínimo para un usuario promedio de Internet: varias cuentas de correo, FaceBook, Hi5, Linkedin, Amazon, Twitter, etc. ¿Qué usuario va a memorizar alrededor de 10 contraseñas complejas? Los que estamos interesados en la seguridad tal vez lo hagamos; los usuarios promedio simplemente no lo harán. Lo más que harán (con suerte) es tener una sola contraseña compleja y usarla en todos lados. Aquí no se trata de seleccionar contraseñas difíciles (porque serían difíciles hasta para uno mismo) sino más bien contraseñas que no las pueda adivinar alguien más (fácil para uno mismo, difícil para el resto). Existen algunos tips para crear contraseñas o "passphrase" y no se mencionan claramente en el artículo.

c).- "No hacer clic en links de correos electrónicos sospechosos": ha llegado el día en que dejar al usuario decidir lo que es sospechoso de lo que no puede resultar peligroso. ¿Qué tal: no hagas click en ningún link relacionado con sitios financieros? (aún esta recomendación puede resultar insuficiente). Mi punto es que "sospechoso" puede significar algo para un profesional de seguridad, otra cosa para un adolescente y otra para la mamá que hace compras en línea.

d).- "Si algún desconocido llega a su casa pidiendo revisar su token, no lo haga": no estaba al tanto de que había personas que llegan a nuestra casa tocando el timbre para que le permitamos revisar nuestro token de banca en línea. No sé cuanta gente lo proporcione para que lo "revisen", pero esta recomendación me resulta muy razonable en caso de que haya ataques generalizados de este tipo.

e).- "Si al querer acceder a la dirección de su institución bancaria aparece el mensaje de página en remodelación, sospeche": los ataques modernos de phising rara vez usan la técnica de "páginas en remoledación" al menos en la primera fase del ataque; la idea es presentar al usuario una página idéntica a la del banco o institución financiera y no algo que parezca raro o inusual. Tal vez una vez que el usuario ingresa sus claves y el atacante las recibe (segunda fase del ataque), la víctima recibe una página web de "remodelación" y un "inténtelo más tarde". Si a esto se refiere la sugerencia estoy de acuerdo.

viernes, 20 de junio de 2008

Vulnerabilidades hacen la nota de la semana.

Tres debilidades hacen la nota esta semana y son para:
a).- FireFox versión 3 (día cero).

b).- Microsoft Word 200 y 2003 (día cero).

c).-Re-publicación de MS08-030.

 

La primera debilidad es una de día de cero, para variar, y salió a la luz el martes 17 de junio. Al parecer sólo afecta a Word 2000 y 2003 y puede producir ejecución remota de código. Ya hasta hay videos por aquí y por allá que demuestran cómo se explota la debilidad (aunque yo ya los vi y me quedé con más dudas que respuestas). Como es de día cero, la recomendación (por cierto bastante absurda) es no abrir documentos sospechosos. Pacientemente esperaremos una solución.

 

La segunda debilidad es para FireFox versión 3 y salió a la luz el miércoles 18 de junio. De hecho y como sabrán,  la versión 3 fue publicada hace unos días y promete varias nuevas funcionalidades y mejoras en su seguridad. Junto con Opera, es mi navegador favorito pero bueno, esta vez tuvo una debilidad a los pocos días de salir del horno. Por cierto, no hay parches.

  

La tercera debilidad se refiere a una re-publicación del parche MS08-030 (que originalmente se publicó el martes 10 de junio)  y que se suponía solucionaba una debilidad en Bluettoth; la re-publicación se produjo el jueves 19 de junio y  aplica para Windows XP SP2 y SP 3 (es decir, para la mayoría de los usuarios Windows). El punto es que "dice mi abuelita que siempre no", y el fabricante dice que el parche no soluciona "totalmente" la debilidad; no dice más detalles. Traducción: programaron mal el parche y es totalmente inútil. Así es que a des-parchar y re-parchar se ha dicho.

 

En fin, estas son las tres debilidades que llamaron mi atención esta semana.

 

martes, 17 de junio de 2008

Troyano: Última Hora Muere Fidel Castro.

Todos los días aparecen decenas de virus, gusanos y troyanos. Sería una tarea titánica hablar de todos ellos. Pero esta vez deseo atraer su atención a uno en particular, ya que sospecho que es muy específico para México y de hecho, hasta el día de ayer (16-junio-2008), muchos de los fabricantes antivirus no reconocían el dichoso archivo ejecutable como malicioso, lo cual significa que bien podría intentar infectar una computadora.

 

La manera de operar de este bicho es por medio del correo electrónico; la víctima recibe un mensaje con el Asunto: "Última Hora Muere Fidel Castro" y aparentemente viene de Noticieros Televisa; adentro del mensaje se puede leer :

 

"Muere el ex-mandatario Fidel Castro.

Esta madrugada a las 3:50 am hora de cuba el exmandatario cubano Fidel Castro muere debido a problemas respiratorios...para ver más detalles de la noticia vea el video de lo acontecido. Descague y Vea el Video de la Noticia."

 

Cuando la víctima hace click en la liga para descargar el dichoso video, el navegador va a la dirección "http://5thelement.XXX.XX/video-encoder.zip" para descargar un ZIP; adentro del mismo podremos encontrar el archivo llamado video-encoder-mpg.exe. El análisis efectuado por el portal VirusTotal lo pueden encontrar aquí, donde podrán observar que la mayoría de los antivirus no reconoce a este ejecutable como malicioso, lo cual significa que es muy nuevo o que es muy específico para México. Cabe mencionar que el hash MD5 de este ejecutable es el "58 88 5F FE 98 B2 94 CD  C2 1C 65 33 B0 92 F0 D0".

 

Aún no llevo el análisis para averiguar qué hace exactamente este código malicioso, pero mientras lo llevo a cabo, deseo alertar a la comunidad para NO hacer click en este tipo de correos alertando sobre cualquier tipo de noticia; ante la duda, es mejor ir nosotros mismos al sitio de noticias (en este caso el portal de Noticieros Televisa) y buscar la información.
 

lunes, 16 de junio de 2008

Hoax de Telmex

Llegó a mis manos un hoax de lo que parce ser un ya viejo engaño relacionado con los servicios que ofrece Telmex. El documento tiene varias características de ser una broma, pero aún así me di a la tarea de investigar un poco más al respecto, ya que confieso que no estaba 100% seguro de podía simplemente ignorarlo.

 

El archivo con el texto completo lo pueden bajar de aquí, y únicamente les comparto algunos extractos del mismo:

 

"Necesitamos tener cuidado:  Llaman por teléfono diciendo que son del servicio técnico de la compañía telefónica o de una empresa que trabaja para ellos, parece una llamada de ATT, y preguntan si dispones de marcación de tonos, los botones, no ruletas (disco). Con la excusa de que necesitan realizar comprobaciones de línea piden que marques el 90# (nueve-cero-numeral)   Una vez que lo has hecho, te dicen que no hay problema y te dan las gracias. Resultado: Han convertido tu línea en receptora de llamadas del teléfono desde el cual te han llamado, con lo cual todas las llamadas que hagan ellos, te las cobraran a ti. Si recibes un mensaje en tu celular indicando que llames al número "0141455414" NO LO HAGAS BAJO NINGUN CONCEPTO, tu factura podría aumentar hasta el infinito, mediante el uso fraudulento de tu celular."

 

La información viene en un archivo de Word con el logotipo de Telmex, y proviene aparentemente del "Director Regional de Telmex" llamado Ing. Jorge López Ditch; no se ofrecen más datos del Director ni cómo localizarlo, lo cual es ya sospechoso.

 

Mi investigación me llevó a un sitio al parecer de Telmex Perú donde desmienten esta información y comentan que se trata de un engaño. Confieso que al principio sí tuve mis dudas porque en los últimos tiempos, desgraciadamente, los defraudadores y personas de esta calaña se han visto cada vez más creativos, pero resultó afortunadamente que todo esto no es verdad, aunque también qué ganas de andar divulgando datos falsos que sólo fomentan aún más el ambiente de inseguridad prevaleciente.

viernes, 13 de junio de 2008

¡Ups! Ya no es top secret.

Un empleado de La Oficina del Gabinete ("Cabinet Office", algo así como la Secretaría de Gobernación) dejó olvidado documentos "top secret" en el vagón de un tren en Inglaterra. La información contenía datos confidenciales de lo último en inteligencia de la red terrorista Al-Qaeda, según informó la BBC.
 

¿En qué estaba pensado esta persona? "De camino a casa puedo leer una revista o aprovechar para leer los documentos confidenciales".  Al final hizo una mala decisión. Y peor decisión fue dejarlos ahí botados, como si de la sección de Espectáculos de un periódico se tratara. Afortunadamente un buen ciudadano entregó estos papeles. Por cierto, el empleado fue despedido según fuentes oficiales y habrá una investigación en marcha.

Efectivamente, un firewall, un antivirus y muchas otras medidas tecnológicas quedan sobrepasadas ante este tipo de incidentes que más tienen que ver con criterio y educación.
 
No dudo que los operadores de taxis y otros transportes públicos aquí en México se han encontrado más de una vez con documentos cuyo contenido no debería de ser público…o es que aquí sí somos muy cuidadosos con este tipo de cuestiones? ¿O tal vez sí pasa con frecuencia pero se teme entregar los documentos a la autoridad por temor a ser involucrado injustamente?

 

¿Alguno de ustedes conoce alguna historia donde se hayan dejado olvidados documentos importantes en lugares públicos? Si es que  la saben, la podrían compartir con el resto de la audiencia?
 

Ya para terminar, un funcionario del gobierno inglés comentó sobre este penoso asunto que  "tales documentos confidenciales deberían de estar bajo llave, no deberían de ser leídos en los trenes". Yo digo:  "¿a poco? ¿en serio?".

martes, 10 de junio de 2008

Datos secuestrados (de nuevo).

¿Cuánto valen tus archivos creados en Word o Excel? Piensa una cifra. ¿Tal vez $100 USD o $200 USD? Ese es el rango que exactamente pide el código malicioso GPcode una vez que cifró tus archivos con extensiones como DOC, XLS o PPT, entre 80 extensiones más. Este GPcode (alias PGPCoder) no es nuevo, ya es “viejo”, pero ha regresado con más fuerza en su llave: 1024 bits usando el algoritmo RSA. Este código lo que hace al infectar un máquina es cifrar los archivos con las extensiones ya mencionadas, luego borra el archivo original y deja un archivo TXT con instrucciones para “rescatar” al archivo.

En lugar de encontrar “Datos financieros.xls”, uno se encuentra con dos archivos llamados “!_READ_ME_!.txt" y “Datos financieros._CRYPT”.

Adentro del TXT uno podrá leer: “Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: content715@yahoo.com”. Interesante es que cuando uno les escribe, efectivamente nos responden con instrucciones de lo que debemos de hacer y hasta nos retan a enviarles un archivo cifrado para que nos lo devuelvan en texto en claro como estaba originalmente y comprobemos que “ellos sí que pueden hacerlo”.

Los pagos deberán ser efectuados en dinero virtual que ofrece el servicio www.e-gold.com. Al parecer los atacantes provienen de Rusia. La empresa antivirus Kaspersky ya hasta ha creado un foro para tratar este tema y pide ayuda a la comunidad para tratar de hacer fuerza bruta y recuperar los datos sin tener que pagar a los secuestradores.

¿Mi recomendación? Mejor no averiguar lo que se siente pagar hasta $200 USD por nuestros archivos y mejor tengamos un antivirus actualizado; tener respaldos de nuestra información será también de gran ayuda. Y sobre todo, no abrir archivos de dudosa procedencia.

viernes, 6 de junio de 2008

Piratería...en todos lados.

¿Películas pirata? Ya lo he visto. ¿iPod pirata? Nada nuevo. ¿Switches y ruteadores Cisco piratas? Eso es nuevo para mi. Y peor aún si vienen con troyano incluido en el hardware. El FBI lanzó la alarma hace un mes más o menos respecto a switches y ruteadores piratas adquiridos por la milicia de EUA y otras entidades gubernamentales, quienes pensaron que se trataban de dispositivos marca Cisco. Gran sorpresa se llevaron cuando una investigación (de la cual no encontré detalles) arrojó que esos dispositivos eran falsos.


El FBI asegura que encontró código malicioso en el hardware de esos aparatos, abriendo la posibilidad de que se trate de una mala jugada del gobierno chino para espiar a sus camaradas en el continente americano. Un representante de Cisco comentó (luego de recibir uno de esos aparatos) que no encontraron evidencia de que exista ese código malicioso, dejando entrever que se trata de una estrategia más "mundana" con el simple objetivo de hacer dinero haciendo aparatos falsos y sin tintes de conspiración.


¿Quién tiene la razón? Digamos que ambas teorías bien pudieran ser ciertas. Dejando de lado quién tiene la explicación correcta (Cisco o el FBI), no imaginé que llegaríamos hasta el punto de encontrar piratería en este tipo de aparatos, supongo que era cuestión de tiempo, y el tiempo ya llegó.


Mi recomendación, sobre todo para entidades que manejan información clasificada, es que revisen una segunda vez sus dispositivos de red, espero no se encuentren con una sorpresa. ¿Qué viene? ¿Procesadores, memorias y discos duros piratas con y sin troyanos? Mi bola de cristal dice que sí...tal vez uno de nosotros ya lo tenga. Permítanme revisar...Un momento, mi USB es marca Qingston, que no la marca es con "k"? :-)

Más información aquí.

jueves, 5 de junio de 2008

Gmaill

Me equivoqué al teclear gmail.com y le puse dos "l": gmaill.com. Curioso que exista una página "viva" con ese nombre. Obviamente ese sitio fue creado con toda la intención de que cuando uno se equivoque, lo manden a uno a ese sitio.
De entrada no parece malicioso, pero sale un "pop-up" en el navegador y por el solo hecho de tener ese nombre que aprovecha el error del usuario, preferí no navegar en él. Por cierto en su página principal anuncia pornografía, cuentas de correo y boletos de avión…mmmhhh, extraña combinación. Tiene toda la pinta de ser un sitio de mala muerte.

 

Safari enfrenta a Microsoft y Apple

Se descubrió una funcionalidad no deseada en el navegador Safari por el investigador Nitesh Dhanjani, pueden ver su investigación aquí. El punto es que el navegador permite bajar código de ejecución a la computadora (PC o Mac) sin permiso del usuario al entrar en una página web especialmente diseñada para "explotar" esta particularidad de Safari.

La gente de Apple no ve un peligro en esto y al parecer no piensa sacar un parche pronto; por otro lado Microsoft ha recomendado, en base a la respuesta de Apple, "restringir" el uso que se le da a Safari para ser usado como navegador.En pocas palabras, nos dicen que no lo usemos. La negativa de Apple para solucionar esto fue bien aprovechada por Microsoft para "pegarle" amablemente a su compañía rival y emitir un comunicado de "restricción".

¿Bajar un ejecutable sin permiso al entrar a una página es una debilidad? En Windows, si tengo un firewall personal bidireccional y un antivirus actualizado, tal vez estemos mitigando el riesgo. Claro, sería mejor que a parte de estas dos protecciones básicas, el navegador me pregunte si deseo bajar un ejecutable y si yo no estoy bajando nada, un usuario responsable dirá que "no".

Ya veremos en qué acaba este asunto, que hasta ahora ya sirvió para un pequeño intercambio de golpes.

domingo, 1 de junio de 2008

La Criptografía ganó la Segunda Guerra Mundial.

Bien, no sólo la criptografía la ganó, pero fue un buen truco para atraer la atención del lector y por cierto, sí puso su granito de arena para dar una ventaja a las fuerzas aliadas. Me explico. Durante la Segunda Guerra Mundial hubo un esfuerzo inicialmente polaco, luego británico y finalmente estadounidense para descifrar las señales nazis enviadas entre las unidades militares (submarinos, infantería, etc.) y los centros de mando, principalmente ubicados en Berlín.

Hemos visto innumerables películas de la Segunda Guerra y hemos leído (al menos en la escuela) la historia bélica de esta época. Sin embargo, la mayoría no tiene presente las actividades de criptoanálisis que se llevaron a cabo en esos años y que definitivamente jugaron un papel muy importante para que los aliados ganaran la batalla.

El régimen nazi, como cualquier otro gobierno, requería que sus comunicaciones fueran cifradas para evitar que sus enemigos "leyeran" la información militar. Empezaron a hacer uso de la Máquina de Enigma, una máquina muy similar a una de escribir con teclas, donde por medio de complejos algoritmos criptográficos, lograban cifrar y descifrar la información. Al ser Polonia de los primeros países atacados, fueron los primeros que se dieron a la tarea de tratar de leer esos mensajes sin tener las llaves correspondientes, es decir, haciendo trampa (criptoanálisis).

Estas actividades se trasladaron después a Inglaterra, a un pueblo llamado Bletchley Park.

En Bletchley se armaron unas computadoras "prehistóricas" bajo el liderazgo del gran matemático Alan Turing y día a día se intentaban leer los mensajes cifrados de los nazis. Se lograron leer varios de estos mensajes y esto permitió a los aliados conocer diversos secretos militares nazis y lograr así una mucho mejor estrategia de defensa y ataque; no siempre pudieron hacer uso de esta información para evitar que los nazis se percataran de que los aliados conocían muchos de sus secretos.

Si alguien duda de la importancia de la criptografía para los aliados, los EUA consideraron el cifrado "fuerte" como un arma por muchos años; de ahí que Phil Zimmermann, creador de PGP, tuviera problemas con la justicia norteamericana en los años noventa (fue considerado como exportador de armas por poner su programa a disposición del público, sobre todo el extranjero).

Hoy día, Bletchley Park es un museo. Yo tuve la fortuna de visitarlo y resultó por demás interesante; pude observar los "avances " tecnológicos de aquella época, incluyendo máquinas Enigma originales nazis y las "bombs" (así llamaban los ingleses a las "computadoras" que les ayudaban a conocer los mensajes cifrados nazis hechos con la máquina de Enigma). Una serie de fotos y artículos permiten al visitante adentrarse en este mundo de guerra, criptografía, matemáticas y seguridad de la información.

En fin, todos estos datos sirven como antecedente para informarles que por falta de fondos, tal vez este museo pudiera ser cerrado. Como practicante de la seguridad de la información, el posible cierre de este sitio emblemático no es una noticia agradable. Espero que esto no llegue a suceder. Por cierto, existe una película llamada precisamente Enigma con Kate Winslet que la recomiendo; sirve bien como una introducción a lo que fue este sitio. Claro, la película se centra en una relación de amor al estilo Hollywood, pero aún así vale la pena.

Si a alguien le interesa donar para esta causa seguramente será bien recibida.

Ligas útiles:

Bletchley Park.

Posible cierre de Bletchley Park.