« Entradas por tag: cifradoMostrando 1 a 10, de 19 entrada/s en total:
28 de Junio, 2015
□
General |
|
Ataques como POODLE y BEAST
pusieron en entredicho la seguridad de SSL. A principios de año, los
principales fabricantes (Microsoft, Google y Mozilla) bloquearon SSL por
defecto en sus navegadores y surgieron iniciativas como disablessl3.com para ayudar a los administradores a desactivarlo.
Todo
ello ha acelerado que el IETF (Internet Engineering Task Force) declare
definitivamente obsoleto a SSL v3. El documento de norma RFC7568
publicado este mes asevera SSLV3 como "no suficientemente seguro" y prohíbe volver a usarlo en nuevas aplicaciones:
"SSLv3 NO DEBE ser utilizado", dice el documento. "La
negociación de SSLv3 desde cualquier versión de TLS no debe permitirse.
Cualquier versión de TLS es más segura que SSLv3, aunque la versión más
alta disponible es preferible".
RFC http://www.rfc-editor.org/rfc/rfc7568.txt
Publicado por
Vicente Motos |
|
publicado por
alonsoclaudio a las 22:11 · Sin comentarios
· Recomendar |
|
19 de Junio, 2015
□
General |
|
Ilustración gracias a la cortesía de Alejandro Cuenca.
El Ransomware es una amenaza digital que está en pleno apogeo, causando estragos por todo el mundo.
En Agosto de 2014 se dio a conocer un portal: https://www.decryptcryptolocker.com/ puesto
a disposición del público gracias a investigadores de compañías de
seguridad como Fox-IT y FireEye, donde se podían recuperar los datos
cifrados por CryptoLocker, tal y como podemos leer en la siguiente
noticia de la BBC:
http://www.bbc.com/news/technology-28661463
La información obtenida de la operación llevada a cabo por los
investigadores dio a conocer que, en menos de un año, estos
ciber-criminales habían llegado a infectar a unos 500.000 usuarios con
esta variante de ransomware, siendo aproximadamente el 1,3% de los
afectados los que habrían pagado los 400$ (USD) solicitados como
rescate, para recuperar los ficheros cifrados. Se estimaron sus
beneficios por ese periodo y para esa única ... Continuar leyendo |
|
publicado por
alonsoclaudio a las 00:24 · Sin comentarios
· Recomendar |
|
26 de Mayo, 2015
□
General |
|
A todos nos ha pasado alguna vez, que guardamos algo
tan seguro, tan seguro, tan seguro,…. que no nos acordamos dónde lo
dejamos. Hace unos días me tocó tirar de un disco duro que guardo
cifrado, mediante el sistema de ficheros HFS+ de Mac, con las opciones Journaled, Encrypted.
Cuando insertas el USB, Mac te muestra un Pop-Up, en el
que se te pide la contraseña de desbloqueo del volumen. Todo esto está
bien cuando usas esa contraseña a menudo, pero cuando no es el caso
dices… por qué habré puesto una contraseña de cifrado tan rara.
A todo esto, el pop-up, no te permite ver la contraseña
en claro, por lo que si te has equivocado en una letra,... Continuar leyendo |
|
publicado por
alonsoclaudio a las 22:24 · Sin comentarios
· Recomendar |
|
08 de Mayo, 2015
□
General |
|
En la red han pasado una enorme
cantidad de iniciativas, que durante algún tiempo se viralizaron o
lograron consumo masivo, pero luego terminaron fracasando. Producto de
que es muy habitual que sucedan ese tipo de cosas en Internet muchas
veces se han vaticinado finales y cierres de algunas iniciativas
mainstream (como Facebook, que por desgracia goza de buena salud y está
luchando por convertirse en Internet y destronar a Google).
Sin anunciarlo, aunque tal vez pretendiéndolo, estas aplicaciones
mainstream buscaron reemplazar al más elemental de los servicios, tan
elemental es que pasa prácticamente a un octavo plano: tu email. Pero el
email es la llave de ingreso a tu vida. Nos llueven pedidos de “hackear
una cuenta de facebook” o de “hackear una cuenta de XXX”. ¿Será que
nadie ha notado que si ganan tu email te ganaron todo?
El email es la base para recuperar contraseñas, por lo general
además, la contraseña del email es la más personal, porque es aquella en
la... Continuar leyendo |
|
publicado por
alonsoclaudio a las 10:30 · Sin comentarios
· Recomendar |
|
29 de Abril, 2015
□
General |
|
Cifrar los archivos de la víctima y luego pedir bitcoins para descifrarlos es un negocio muy lucrativo: las campañas de ramsonware se están convirtiendo en una amenaza cada vez mayor. Después de la caída de CryptoLocker surgió Cryptowall, con técnicas anti-depuración avanzadas, y después numerosas variantes que se incluyen en campañas dirigidas cada vez más numerosas.
Una de las últimas variantes se llama TeslaCrypt y parece ser un derivado del ransomware CryptoLocker original. Este ransomware está dirigido específicamente a gamers y, aunque dice estar usando RSA-2048 asimétrico para cifrar archivos, realmente está usando AES simétrico, lo que ha permitido a Talos Group (Talos Security Intelligence & Research Group) desarrollar una herramienta que descifra los archivos...
... Continuar leyendo |
|
publicado por
alonsoclaudio a las 09:29 · Sin comentarios
· Recomendar |
|
13 de Diciembre, 2014
□
General |
|
En octubre se dio a conocer la
vulnerabilidad POODLE ("Padding
Oracle On Downgraded Legacy Encryption"), que basa su ataque sobre el
modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un
ataque variante de Padding Oracle.
En aquel momento, se daba por
enterrado SSL y se instaba a obligar al uso de TLS. Recomendábamos también el
uso de la opción TLS_FALLBACK_SCSV... Continuar leyendo |
|
publicado por
alonsoclaudio a las 13:29 · Sin comentarios
· Recomendar |
|
19 de Noviembre, 2014
□
General |
|
Información
vital personal y de negocios fluye a través de Internet con más
frecuencia que nunca, y no siempre sabemos cuando está sucediendo. Está
claro que en este punto el cifrado es algo que todos nosotros deberíamos
estar haciendo. Entonces, ¿por qué no usamos TLS (el sucesor de SSL)
en todas partes? Cada navegador en cada dispositivo lo soporta. Cada
servidor en cada centro de datos lo soporta. ¿Por qué no acabamos de
empezar a utilizarlo?
El reto está en los certificados de servidor.
La base para cualquier comunicación protegida con TLS es un certificado
de clave pública que demuestra que el servidor al que estás hablando es
en realidad el servidor con el que tratabas de hablar. Para muchos
operadores de servidores, conseguir un certificado de servidor básico es
simplemente demasiada molestia. El proceso de solicitud puede ser
confuso, por lo general cuesta dinero, es difícil de instalar
correctamente y, en general, es un dolor de cabeza actualizar... Continuar leyendo |
|
publicado por
alonsoclaudio a las 23:13 · Sin comentarios
· Recomendar |
|
13 de Noviembre, 2014
□
General |
|
En muchas ocasiones sucede que es necesario tener una política de
cifrado de logs y no siempre es fácil 'convencer' a los servidores para
que guarden la información cifrada.
Para abordar ese tipo de escenarios he liberado la versión 0.1
(mini-beta?) de libCryptoLog que permite manipular 'al vuelo' la forma
en la que cualquier servidor guarda los logs. Y digo cualquiera porque
en realidad, si bien este post va de Apache, el método que voy a
explicar sirve para cualquier otro servicio (Postfix, Nginx ...).
De lo que se trata es de 'convencer' al servidor en cuestión de que toda
información que vuelque al fichero que nos interese cifrar se almacene
cifrada desde el minuto 0.
Después de pensar y re-pensar una forma que me convenciese para abordar
este problema, programé libCryptoLog con la ... Continuar leyendo |
|
publicado por
alonsoclaudio a las 21:46 · Sin comentarios
· Recomendar |
|
|
CALENDARIO |
|
Octubre 2024 |
|
|
DO | LU | MA | MI | JU | VI | SA | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
| |
AL MARGEN |
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes |
(Técnicos en Informática Personal y Profesional) |
| |
|