07 de Abril, 2015
□
General |
|
El portal Cipherli.st realiza una labor más que interesante: recopilar en una sóla página fragmentos de configuraciones seguras para establecer el cifrado más fuerte posible en multitud de aplicaciones y servicios.
En ella podréis encontrar configuraciones de cifrado robustas para servidores web como Apache, nginx y Lighttpd.
Sobre dichas configuraciones se puede realizar un copy/paste sobre
nuestros ficheros propios, lo que hará fortificar al máximo recomendable
la configuración referente a cifrado.
... Continuar leyendo |
|
publicado por
alonsoclaudio a las 20:59 · Sin comentarios
· Recomendar |
|
01 de Abril, 2015
□
General |
|
Este post es una
recopilación de herramientas de seguridad informática para el
protocolo SSL. En concreto para tres tipos de técnicas: MITM
(man-in-the-middle), Test de penetración y Hardening.
MITM (man-in-the-middle):
Para
realizar la técnica de MiTM en SSL las herramientas: SSL Diagnos,
Sslstrip, SSLsplit. y LittleBlackBox.
SSL
Diagnos.
Diseñada para probar la seguridad de SSL y
obtener información acerca de los protocolos SSL (pct, SSL2, SSL3,
tls, DTLS) y conjuntos de cifrado utilizados en un servidor. También
puede ser utilizado para probar y valorar el nivel de seguridad de
los cifrados en clientes SSL.
Cuenta con un apoyo específico
para los protocolos POP3S, SIP, SMTP y FTPS. Por otra parte incluye
una herramienta independiente, SSLPressure, para comprobar todo el
espectro de posibles protocolos SSL en un servidor.
SSL
Diagnos se puede utilizar para probar el protocolo SSL en servidores
Microsoft SQL Server y también permite realizar MitM en... Continuar leyendo
|
|
publicado por
alonsoclaudio a las 19:40 · Sin comentarios
· Recomendar |
|
13 de Diciembre, 2014
□
General |
|
En octubre se dio a conocer la
vulnerabilidad POODLE ("Padding
Oracle On Downgraded Legacy Encryption"), que basa su ataque sobre el
modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un
ataque variante de Padding Oracle.
En aquel momento, se daba por
enterrado SSL y se instaba a obligar al uso de TLS. Recomendábamos también el
uso de la opción TLS_FALLBACK_SCSV... Continuar leyendo |
|
publicado por
alonsoclaudio a las 13:29 · Sin comentarios
· Recomendar |
|
16 de Octubre, 2014
□
General |
|
Hoy
despedimos a SSL. El último clavo necesario para la tapa de su ataúd
fue amartillado por tres
investigadores a nómina de Google. No tuvo una existencia fácil. Ya desde
su nacimiento demostró una debilidad que le auguraba un porvenir lleno de
complicaciones.
La primera versión ni siquiera vio la luz, se
quedó en la morgue de Netscape. Sus creadores, que al poco presentaron la
versión 2.0 al público, vieron como el escrutinio de la comunidad dejó en
evidencia al protocolo con una lista de errores de seguridad que desmoronaba la
confianza en su criatura. En 1996 se
publicaba la versión definitiva de SSL, la tercera. A la tercera va la vencida.
Y vencida fue.
|
|
publicado por
alonsoclaudio a las 23:22 · Sin comentarios
· Recomendar |
|
28 de Junio, 2014
□
General |
|
Un nuevo troyano bancario, al que se denominó Dyreza o Dyre,
tiene la capacidad de saltear el protocolo SSL para simular conexiones
seguras en sitios de entidades financieras. Su código está diseñado para
que funcione de manera similar a Zeus,
la conocida botnet diseñada para robar de información bancaria, y al
igual que otras amenazas similares, utiliza una técnica conocida como
browser hooking para interceptar el tráfico entre la máquina de la
víctima y el sitio web de destino. Puede hacer esto en Internet
Explorer, Google Chrome y Mozilla Firefox.
Se propaga a través de campañas de spam, en mails con asuntos como "Su ID de pago FED TAX [número aleatorio]" y "RE: Recibo #[número aleatorio]", según la publicación de Peter Kruse, Partner & Security Specialist de CSIS, la compañía responsable del hallazgo.
... Continuar leyendo |
|
publicado por
alonsoclaudio a las 20:34 · Sin comentarios
· Recomendar |
|
15 de Mayo, 2014
□
General |
|
Visitar un sitio certificado con un certificado SSL no significa que el sitio no sea falso. Secure Socket Layer (SSL) protege a los usuarios de dos formas, usa la clave pública de cifrado para cifrar información sensible entre la computadora del usuario y el sitio web, tal como usuarios, contraseñas, números de tarjeta de crédito, y también verifica la identidad de los sitios web. |
|
publicado por
alonsoclaudio a las 18:51 · Sin comentarios
· Recomendar |
|
|
CALENDARIO |
|
Octubre 2024 |
|
|
DO | LU | MA | MI | JU | VI | SA | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
| |
AL MARGEN |
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes |
(Técnicos en Informática Personal y Profesional) |
| |
|