Latest Entries »

images

A medida que emergen de los laboratorios y se integran al mundo real, las computadoras cuánticas resultarán muy útiles para la humanidad, sin lugar a duda. No sustituirán a las máquinas convencionales, pero toda vez que se trate de optimizar tareas y cálculos estadísticos, superarán a sus antecesoras. Desafortunadamente, la revolución no se limitará a investigar nuevas medicinas y a desarrollar aviones más avanzados, sino que incluirá la violación del cifrado computacional. Puede que pasen entre cinco y veinticinco años antes de que dichos métodos de hackeo se vuelvan viables, pero ten por seguro que existen datos cifrados en el mundo que necesitan permanecer protegidos durante ese tiempo y posteriormente. Por ello, las grandes empresas y las dependencias gubernamentales necesitan prepararse ahora para el futuro cuántico.

El principal obstáculo para esa preparación en el cifrado de la era cuántica es la ausencia de estándares claros. La comunidad global de criptógrafos ya ha desarrollado varios algoritmos prometedores que resistirán los ataques cuánticos; sin embargo, estos algoritmos tienen que pasar las pruebas y la verificación en varias etapas. La resistencia de los algoritmos debe ser verificable no solo frente a ataques cuánticos sino también convencionales. Debe determinarse cuáles son los más rápidos y eficientes en términos de recursos, de modo que puedan usarse en los dispositivos, como aquellos del IdC, que tienen una potencia computacional limitada; y sus parámetros (por ejemplo, longitud de la clave, etc.) tendrán que encontrar equilibrio óptimo entre la fiabilidad y el desempeño.

Pero esto es apenas un comienzo en el cifrado de la era cuántica. Los estándares existentes de comunicación (por ejemplo, TLS) tendrán que integrar los algoritmos y tendremos que establecer reglas para que los nuevos cifrados coexistan con los pasados. Este trabajo tomará algunos años, claramente. ¿Qué deben hacer mientras tanto los desarrolladores de aplicaciones y plataformas, los fabricantes de coches autónomos y los guardianes de datos estratégicos?

Durante la RSAC 2020, una mesa de expertos en criptografía vio la solución en la “agilidad criptográfica.” Dicho de modo sencillo, si actualmente estás desarrollando o dando soporte al cifrado de datos o al sistema de hash, no establezcas restricciones estrictas. Asegúrate de que los algoritmos de cifrado en uso se puedan actualizar y permite un ajuste amplio a los tamaños de la clave y el búfer. En síntesis, permite que el sistema tenga un espacio para crecer. Esto es especialmente importante para las soluciones integradas o de IdC, porque dichas tecnologías necesitan mucho tiempo para implementarse y décadas para modernizarse. Así, si compras un nuevo sistema, pregunta a los desarrolladores acerca de la criptoagilidad.

 

Ciclo de vida de la criptografía: seguridad del algoritmo con el tiempo. Fuente.

Si la ignoran, será un verdadero fastidio tener que eliminar los algoritmos de cifrado obsoletos e insertar otros nuevos. Un buen ejemplo lo da Brian LaMacchia de Microsoft. Cuando estuvo claro que el código hash MD5 podía ser violado y que ya no era adecuado para generar firmas digitales, Microsoft decidió prescindir de él. Una auditoría extensa reveló que los productos de la empresa contenían cerca de 50 versiones independientes del código de cálculo de MD5, y cada una tuvo que ser eliminada por separado. En consecuencia, el proceso tomó cerca de dos años para completarse.

Otro problema potencial que probablemente se agudice a medida que los algoritmos tradicionales se vean reemplazados por aquellos a prueba de ataques cuánticos es la carencia de memoria para almacenar las claves. Si los desarrolladores de tu sistema decidieron en algún momento que un búfer de 4096 bits era suficiente espacio de almacenamiento de clave para cualquier algoritmo de cifrado, entonces tendrás serias dificultades al implementar el cifrado poscuántico, incluso si los nuevos sistemas son compatibles con la incorporación de nuevos algoritmos.

Para comprobar la criptoagilidad de tus sistemas, intenta implementar soluciones criptográficas basadas en aquellos algoritmos que se disputen el título de estándar oficial de cifrado poscuántico. Muchos algoritmos de cifrado y protocolos incipientes se encuentran disponibles a través del proyecto Open Quantum Safe. Además del código fuente de los propios algoritmos, el sitio ofrece compilaciones preconcebidas de los productos populares de software como OpenSSL y una versión del poscuántica de OpenVPN, hecha por Microsoft.

Fuente | Kaspersky

Ahora que estamos más tiempo en casa debido a la situación excepcional que vivimos a causa del Covid-19, podemos aprovechar e intentar agregar algún tipo de seguridad en nuestra red interna.

En este artículo, vamos a crear un bot de Telegram que nos avise cada vez que se inicie sesión por SSH en alguno de nuestros dispositivos (para este ejemplo usaremos una Raspberry).

Existe un script en github https://github.com/MyTheValentinus/ssh-login-alert-telegram (todos los créditos son de @MyTheValentinus), simplemente se explicará cómo utilizarlo en nuestros dispositivos y cómo generar el bot en Telegram.

1. Requisitos

Para poder configurar todo necesitamos:

  • Una Raspberry con acceso por SSH
  • Cuenta Telegram

2. Proceso

El primer paso será crear el bot de Telegram. Desde la propia aplicación se puede buscar @BotFather o vía web accedemos al siguiente enlace https://telegram.me/BotFather

Información de BotFather

Una vez abierto lo primero que haremos será iniciar el bot con el comando:

/start

Comando /start para iniciar la comunicación con BotFather

El bot nos mostrará la lista de comandos que tiene disponibles para interactuar con él, para crear un bot nuevo necesitaríamos escribir:

/newbot

Comando /newbot para iniciar el bot

Posteriormente, nos solicitará introducir el nombre que deseamos darle a nuestro bot, en este caso será Pruebademo_bot

Nombre del bot

A continuación, nos pide generar el nombre de usuario del bot, para esta demostración vamos a poner demohackpuntes_bot (cada uno puede poner el que desee, pero recordar que debe ser nombre_bot).

Nombre del usuario asociado al bot

Una vez asignados los nombres, se generará un token que tendremos que guardar.

Token del bot

Para comprobar si se ha creado correctamente el bot, deberíamos ir desde la aplicación y buscar @demohackpuntes_bot:

Búsqueda del bot en Telegram

Es posible que exista un botón que indique “Iniciar”, aunque se recomienda escribir cualquier frase en el chat para activarlo.

Por último, tendremos que ir al siguiente enlace, https://api.telegram.org/bot<KEY>/getUpdates (sustituir la palabra [KEY] por el token anterior) y nos devolverá una imagen similar a esta:

ID del usuario asociado al bot

Ahí obtendremos el id del usuario que necesitaremos para configurar el script.

Ahora procederemos a descargar el script de https://github.com/MyTheValentinus/ssh-login-alert-telegram. Desde nuestra Raspberry debemos seguir estos pasos para la instalación:

  • En primer lugar debemos descargar el script con el siguiente comando:

cd /opt/ && git clone https://github.com/MyTheValentinus/ssh-login-alert-telegram

Descarga del script
  • Para editar la configuración de las variables del archivo credentials.config, debemos escribir:

nano ssh-login-alert-telegram/nano credentials.config.

Allí debemos introducir tanto el id de usuario como el token. Y en él añadimos dos valores tal y como se puede apreciar en la imagen:

USERID: Como recordatorio, en este campo se debe introducir el id del usuario asociado al bot. Para obtener este campo hay que enviar un mensaje cualquiera a nuestro bot a través de Telegram y acceder a la ruta https://api.telegram.org/bot<KEY>/getUpdates (sustituimos la parte de <KEY> por el token de antes).

KEY: Es el token que nos ha proporcionado @BotFather al crear nuestro bot.

Edición del archivo credentials.config
  • De manera opcional podemos modificar el archivo alert.sh (para añadir parámetros o traducirlo)
Edición del script alert.sh
  • Ejecutar el script con el comando:

bash deploy.sh

  • Probar el script. Como podéis comprobar el script funciona a las mil maravillas.
Prueba de funcionamiento

Debemos este fantástico tutorial al aporte realizado a la comunidad por parte del site Hackpuntes. Esperamos que os haya sido de utilidad.

Si deseáis que se publiquen otros tutoriales con alguna temática específica animáos a comentar.

Fuente | Hackpuntes

 

El giroscopio es el componente que permite saber en todo momento en qué posición está tu teléfono. Es de lo más útil para -por ejemplo- juegos en los que interviene la realidad aumentada (véase Pokémon GO), pero ahora se ha descubierto que también se trata de una pieza que puede revelar el código de desbloqueo de nuestra pantalla.

Fíjate en la forma en que sujetas el móvil cuando introduces el PIN de desbloqueo: seguro que tú también inclinas ligeramente la pantalla hacia uno u otro lado para llegar hasta cada uno de los números en el teclado. Ese ligero movimiento, prácticamente inapreciable a primera vista, queda registrado en detalle en el teléfono precisamente gracias al giroscopio. Por eso… ¿qué ocurriría si alguien decidiera aprovechar el giroscopio para robar el código de desbloqueo de tu móvil?

Esa es precisamente la pregunta que ha llevado a los expertos en seguridad informática de la Universidad de Newcastle (Reino Unido) a hacer un estudio al respecto. Y las conclusiones han sido demoledoras: un código de desbloqueo de cuatro dígitos se puede averiguar gracias al giroscopio en el 70% de los casos… ¡al primer intento!

LA FORMA EN QUE INTRODUCES TU PIN ES SUFICIENTE PARA AVERIGUAR EL CÓDIGO SECRETO

Tal y como explican los autores de la investigación, un simple código de JavaScript ejecutado en el móvil de la víctima es más que suficiente para poner en marcha el mecanismo que consigue descifrar una contraseña por los gestos que el usuario realiza con el teléfono en la mano. Dicho código se puede introducir a través de, por ejemplo, una página web que ha sido previamente infectada para distribuir esta amenaza.

Robar el PIN de un móvil a través de gestos en el giroscopio

El estudio se ha llevado a cabo sobre cinco usuarios que tuvieron que introducir 50 contraseñas diferentes en un móvil infectado (un Nexus 5) por el ataque en cuestión; en tan solamente tres intentos, el sistema es capaz de averiguar el código que ha introducido el usuario con una tasa de acierto cercana al 100%.

Por supuesto, el sistema para descifrar un PIN de desbloqueo a través del giroscopio no es infalible. Tal y como se explica en el estudio, para alcanzar una tasa de éxito relativamente razonable primero es necesario que el sistema estudie la forma en que la víctima utiliza su móvil.

El estudio no pretende poner la industria de los móviles patas arriba con este descubrimiento, ya que ningún hacker se va a molestar en realizar un procedimiento tan complejo para robar una simple contraseña de desbloqueo de la pantalla, sino que su intención reside en evidenciar lo poco conscientes que somos de los peligros que pueden llegar a representar los más de 20 sensores diferentes que incorporan nuestros teléfonos.

Pese a que todos sabemos los riesgos de seguridad que entrañan componentes de nuestro teléfono tales como la cámara o el GPS, muchos otros sensores tales como el giroscopio, el acelerómetro o el sensor de proximidad pueden llegar a representar los mismos -o incluso más- peligros para nuestra privacidad.

Fuente | Computerhoy.com

A %d blogueros les gusta esto: