Archive for abril, 2020


images

A medida que emergen de los laboratorios y se integran al mundo real, las computadoras cuánticas resultarán muy útiles para la humanidad, sin lugar a duda. No sustituirán a las máquinas convencionales, pero toda vez que se trate de optimizar tareas y cálculos estadísticos, superarán a sus antecesoras. Desafortunadamente, la revolución no se limitará a investigar nuevas medicinas y a desarrollar aviones más avanzados, sino que incluirá la violación del cifrado computacional. Puede que pasen entre cinco y veinticinco años antes de que dichos métodos de hackeo se vuelvan viables, pero ten por seguro que existen datos cifrados en el mundo que necesitan permanecer protegidos durante ese tiempo y posteriormente. Por ello, las grandes empresas y las dependencias gubernamentales necesitan prepararse ahora para el futuro cuántico.

El principal obstáculo para esa preparación en el cifrado de la era cuántica es la ausencia de estándares claros. La comunidad global de criptógrafos ya ha desarrollado varios algoritmos prometedores que resistirán los ataques cuánticos; sin embargo, estos algoritmos tienen que pasar las pruebas y la verificación en varias etapas. La resistencia de los algoritmos debe ser verificable no solo frente a ataques cuánticos sino también convencionales. Debe determinarse cuáles son los más rápidos y eficientes en términos de recursos, de modo que puedan usarse en los dispositivos, como aquellos del IdC, que tienen una potencia computacional limitada; y sus parámetros (por ejemplo, longitud de la clave, etc.) tendrán que encontrar equilibrio óptimo entre la fiabilidad y el desempeño.

Pero esto es apenas un comienzo en el cifrado de la era cuántica. Los estándares existentes de comunicación (por ejemplo, TLS) tendrán que integrar los algoritmos y tendremos que establecer reglas para que los nuevos cifrados coexistan con los pasados. Este trabajo tomará algunos años, claramente. ¿Qué deben hacer mientras tanto los desarrolladores de aplicaciones y plataformas, los fabricantes de coches autónomos y los guardianes de datos estratégicos?

Durante la RSAC 2020, una mesa de expertos en criptografía vio la solución en la “agilidad criptográfica.” Dicho de modo sencillo, si actualmente estás desarrollando o dando soporte al cifrado de datos o al sistema de hash, no establezcas restricciones estrictas. Asegúrate de que los algoritmos de cifrado en uso se puedan actualizar y permite un ajuste amplio a los tamaños de la clave y el búfer. En síntesis, permite que el sistema tenga un espacio para crecer. Esto es especialmente importante para las soluciones integradas o de IdC, porque dichas tecnologías necesitan mucho tiempo para implementarse y décadas para modernizarse. Así, si compras un nuevo sistema, pregunta a los desarrolladores acerca de la criptoagilidad.

 

Ciclo de vida de la criptografía: seguridad del algoritmo con el tiempo. Fuente.

Si la ignoran, será un verdadero fastidio tener que eliminar los algoritmos de cifrado obsoletos e insertar otros nuevos. Un buen ejemplo lo da Brian LaMacchia de Microsoft. Cuando estuvo claro que el código hash MD5 podía ser violado y que ya no era adecuado para generar firmas digitales, Microsoft decidió prescindir de él. Una auditoría extensa reveló que los productos de la empresa contenían cerca de 50 versiones independientes del código de cálculo de MD5, y cada una tuvo que ser eliminada por separado. En consecuencia, el proceso tomó cerca de dos años para completarse.

Otro problema potencial que probablemente se agudice a medida que los algoritmos tradicionales se vean reemplazados por aquellos a prueba de ataques cuánticos es la carencia de memoria para almacenar las claves. Si los desarrolladores de tu sistema decidieron en algún momento que un búfer de 4096 bits era suficiente espacio de almacenamiento de clave para cualquier algoritmo de cifrado, entonces tendrás serias dificultades al implementar el cifrado poscuántico, incluso si los nuevos sistemas son compatibles con la incorporación de nuevos algoritmos.

Para comprobar la criptoagilidad de tus sistemas, intenta implementar soluciones criptográficas basadas en aquellos algoritmos que se disputen el título de estándar oficial de cifrado poscuántico. Muchos algoritmos de cifrado y protocolos incipientes se encuentran disponibles a través del proyecto Open Quantum Safe. Además del código fuente de los propios algoritmos, el sitio ofrece compilaciones preconcebidas de los productos populares de software como OpenSSL y una versión del poscuántica de OpenVPN, hecha por Microsoft.

Fuente | Kaspersky

Ahora que estamos más tiempo en casa debido a la situación excepcional que vivimos a causa del Covid-19, podemos aprovechar e intentar agregar algún tipo de seguridad en nuestra red interna.

En este artículo, vamos a crear un bot de Telegram que nos avise cada vez que se inicie sesión por SSH en alguno de nuestros dispositivos (para este ejemplo usaremos una Raspberry).

Existe un script en github https://github.com/MyTheValentinus/ssh-login-alert-telegram (todos los créditos son de @MyTheValentinus), simplemente se explicará cómo utilizarlo en nuestros dispositivos y cómo generar el bot en Telegram.

1. Requisitos

Para poder configurar todo necesitamos:

  • Una Raspberry con acceso por SSH
  • Cuenta Telegram

2. Proceso

El primer paso será crear el bot de Telegram. Desde la propia aplicación se puede buscar @BotFather o vía web accedemos al siguiente enlace https://telegram.me/BotFather

Información de BotFather

Una vez abierto lo primero que haremos será iniciar el bot con el comando:

/start

Comando /start para iniciar la comunicación con BotFather

El bot nos mostrará la lista de comandos que tiene disponibles para interactuar con él, para crear un bot nuevo necesitaríamos escribir:

/newbot

Comando /newbot para iniciar el bot

Posteriormente, nos solicitará introducir el nombre que deseamos darle a nuestro bot, en este caso será Pruebademo_bot

Nombre del bot

A continuación, nos pide generar el nombre de usuario del bot, para esta demostración vamos a poner demohackpuntes_bot (cada uno puede poner el que desee, pero recordar que debe ser nombre_bot).

Nombre del usuario asociado al bot

Una vez asignados los nombres, se generará un token que tendremos que guardar.

Token del bot

Para comprobar si se ha creado correctamente el bot, deberíamos ir desde la aplicación y buscar @demohackpuntes_bot:

Búsqueda del bot en Telegram

Es posible que exista un botón que indique “Iniciar”, aunque se recomienda escribir cualquier frase en el chat para activarlo.

Por último, tendremos que ir al siguiente enlace, https://api.telegram.org/bot<KEY>/getUpdates (sustituir la palabra [KEY] por el token anterior) y nos devolverá una imagen similar a esta:

ID del usuario asociado al bot

Ahí obtendremos el id del usuario que necesitaremos para configurar el script.

Ahora procederemos a descargar el script de https://github.com/MyTheValentinus/ssh-login-alert-telegram. Desde nuestra Raspberry debemos seguir estos pasos para la instalación:

  • En primer lugar debemos descargar el script con el siguiente comando:

cd /opt/ && git clone https://github.com/MyTheValentinus/ssh-login-alert-telegram

Descarga del script
  • Para editar la configuración de las variables del archivo credentials.config, debemos escribir:

nano ssh-login-alert-telegram/nano credentials.config.

Allí debemos introducir tanto el id de usuario como el token. Y en él añadimos dos valores tal y como se puede apreciar en la imagen:

USERID: Como recordatorio, en este campo se debe introducir el id del usuario asociado al bot. Para obtener este campo hay que enviar un mensaje cualquiera a nuestro bot a través de Telegram y acceder a la ruta https://api.telegram.org/bot<KEY>/getUpdates (sustituimos la parte de <KEY> por el token de antes).

KEY: Es el token que nos ha proporcionado @BotFather al crear nuestro bot.

Edición del archivo credentials.config
  • De manera opcional podemos modificar el archivo alert.sh (para añadir parámetros o traducirlo)
Edición del script alert.sh
  • Ejecutar el script con el comando:

bash deploy.sh

  • Probar el script. Como podéis comprobar el script funciona a las mil maravillas.
Prueba de funcionamiento

Debemos este fantástico tutorial al aporte realizado a la comunidad por parte del site Hackpuntes. Esperamos que os haya sido de utilidad.

Si deseáis que se publiquen otros tutoriales con alguna temática específica animáos a comentar.

Fuente | Hackpuntes

 

A %d blogueros les gusta esto: