Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba . Y por supuesto… aparecen varias listas de sitios afectados .
En INTECO , también han seguido de cerca la información sobre ésta que, dada la importancia del fallo, exigía una especial atención y esfuerzo. Publicaron dos avisos de seguridad relacionados con el mismo:
A nivel de investigación, parecía imprescindible conocer más sobre el fallo, probar en el laboratorio a extraer de la memoria esos datos “jugosos”, aunque tan solo se tratara de una porción pequeña y aleatoria de la misma (64kb).
Así, en las pruebas que hAN hecho se ha encontrado que en realidad muchos servicios en internet e intranets realmente no están afectados.
Uno de los motivos es que productos de la familia Microsoft no son vulnerables ya que utilizan sus propias librerías de SSL. Y no sólo eso, si no que muchos sistemas utilizan versiones de la librería OpenSSL anteriores y, por tanto, no adolecen del fallo identificado.
A nivel estadístico, y gracias a la colaboración con Red.es en materia de seguridad de dominios .es, el análisis realizado sí permite aportar algunos datos (bastante alejados de los dos tercios de dominios ):
Esta sería la información puramente estadística obtenida a partir de las versiones utilizadas en los servicios.
Fuente: INTECO
Desde hace unos días internet se ha llenado de personas discutiendo un mismo tema: la seguridad en la red. Puede que hayas escuchado sobre esto, y tal vez Heartbleed y OpenSSL se te hacen dos términos muy extraños.
Qué es Heartbleed, cómo te afecta, y por qué deberías cambiar tus contraseñas
Uno de los fallos de seguridad más graves que han afectado a internet en su historia, se trata de Heartbleed. Te explicamos qué es, por qué todos podemos estar afectados, y que medidas puedes tomar como usuario, para protegerte.
¿Qué es OpenSSL?
OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source. Muchos sitios web de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca de código abierto. El icono con un candado que aparece en la barra de direcciones, o a las siglas HTTPS de los navegadores, ambos son símbolos de que estamos accediendo a un sitio seguro, y que el intercambio de datos que hacemos, está siendo cifrado. Imprescindible en la banca electrónica por mencionar un ejemplo obvio. Pero usado en el correo electrónico, redes sociales, y hasta un simple blog.
¿Qué es Heartbleed?
Heartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.
Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs.
La solución: cambiar las contraseñas
Puedes utilizar el Heartbleed Bug Cheker para comprobar si un sitio ha sido afectado por la vulnerabilidad. Si recibes un mensaje de error es probable que el sito no use SSL. De resto, no deberían haber falsos positivos. También puedes usar la herramienta de comprobación de LastPass.
En Mashable han publicado una lista con algunos de los sitios web más populares, respondiendo si han sido afectados, si han parcheado sus sistemas, si necesitas cambiar tu contraseña en estos sitios, y que dijo la empresa respecto al problema. Muy recomendado que pasemos a leerla.
Fuente: Bitelia
Licencia CC
Las comunicaciones móviles seguras sustentan nuestra sociedad y a través de los teléfonos móviles , tabletas y ordenadores portátiles se han convertido en consumidores en línea. La seguridad de las transacciones móviles es oscura para la mayoría de la gente, pero es absolutamente esencial si vamos a estar protegido contra ataques maliciosos en línea , el fraude y el robo.
Actualmente está disponible la tecnología de criptografía cuántica, pero es voluminosa costosa y limitada a ubicaciones físicas fijas – a menudo las salas de servidores en un banco. El equipo de investigadores de Bristol ha mostrado cómo es posible reducir estos recursos voluminosos y costosos para que un cliente sólo requiera la integración de un chip óptico en un teléfono móvil.
El esquema se basa en el protocolo avanzado desarrollado por el investigador Dr. Anthony Laing y sus colegas, que permite el intercambio robusto de la información cuántica a través de un entorno inestable. La investigación se publica en el último número de la revista Physical Review Letters .
El Dr. Anthony Laing dijo: Con mucha atención se centró en la actualidad sobre la privacidad y seguridad de la información, la gente está buscando la criptografía cuántica como una solución ya que su seguridad está garantizada por las leyes de la física. Nuestro trabajo demuestra que la criptografía cuántica no tiene por qué limitarse a grandes. corporaciones , podría ponerse a disposición de los miembros del público en general. el siguiente paso es tomar nuestro esquema del laboratorio e implementarlo en una red de comunicación real » .
El sistema utiliza los fotones – partículas individuales de luz – como el portador de la información y el esquema se basa en los circuitos cuánticos integrados desarrollados en la Universidad de Bristol. Estos diminutos microchips son cruciales para la adopción generalizada de las tecnologías de la comunicación cuántica seguras y anuncian un nuevo amanecer para la banca móvil segura, el comercio en línea, y el intercambio de información y en breve podrían dar lugar a la producción del primer teléfono móvil a prueba de la NSA .
Fuente: Reference frame independent quantum key distribution server with telecom tether for on-chip client
P. Zhang, K. Aungskunsiri, E. Martín-López, J. Wabnig, M. Lobino, R. W. Nock, J. Munns, D. Bonneau, P. Jiang, H. W. Li, A. Laing, J. G. Rarity, A. O. Niskanen, M. G. Thompson, J. L. O’Brien, Physical Review Letters, 2 April 2014.
The Open Enigma Project es una forma educativa de entender las máquinas Enigma y aprender algo de matemáticas, criptografía e historia, construyendo una desde cero.
La máquina utiliza cables, led y muchos interruptores; su núcleo es una placa de Arduino pero el sistema de cifrado y descifrado es exactamente el mismo que en las máquinas alemanas de la II Guerra Mundial. Sin duda como proyecto de hacking tiene un encanto especial.
Actualmente está en Kickstarter buscando financiación colectiva; por unos 100 euros se pueden recibir todos los componentes necesarios para crear una totalmente funcional, a la par que elegante. Dado que ya llevan unos 15000 dólares de los 20000 necesarios y queda un mes parece claro que conseguirán sacarlo adelante.
Ampiar en: Hacked Gadgets
La amenaza “Chameleon”, que fue diseñada por un equipo de estudiantes de la universidad de Liverpool, demostró altos niveles de inteligencia y complejidad para evitar la detección e infiltrarse en redes WiFi personales y corporativas utilizando puntos débiles de la configuración y propagándose a un ritmo alarmante.
Alan Marshall, profesor de Seguridad de Redes en la universidad de Liverpool, comentó que la amenaza no intenta dañar o desactivar las redes. Por el contrario, se infiltra sin ser detectada para recolectar datos y credenciales de sesión de todos los usuarios que estén conectados a la red y se encuentren navegando en sitios sin protocolos de cifrado. Asimismo, busca otras conexiones Wi-Fi para propagarse.
En este sentido, en un blog de ciencia Marshall manifestó:
“Las redes WiFi se convierten cada vez más en el objetivo principal de los ciberdelincuentes debido a las vulnerabilidades de configuración y administración que tienen, lo que hace que sea más difícil detectar y defenserse frente a una amenaza”.
“No obstante, se asumía que no era posible desarrollar una amenaza que pudiera atacar redes WiFi, pero hemos demostrado que no solo sí es posible, sino que la propagación es muy veloz“.
El secreto de “Chameleon” es el método que utiliza para evitar la detección: no ingresa en los equipos ni en Internet, se quedaría únicamente en la red WiFi y podría eludir las barreras de seguridad, ya que muchas redes Wi-Fi no están debidamente configuradas con contraseñas y protocolos de autenticación seguros.
En uno de los laboratorios de la universidad, los estudiantes generaron una simulación de un ataque ingresando en puntos de acceso de WiFi públicas y privadas. La amenaza se propagó muy rápidamente entre los puntos que estaban en un radio de hasta 50 metros.
Fuente: welivesecurity
Una embajadora de las mujeres en la tecnología y la educación STEM.
Parisa Tabriz es responsable de seguridad de Google Chrome. Ella ha trabajado en seguridad de la información en Google por más de seis años, comenzando como un «hacker» y contratada como ingeniera de software para el equipo de seguridad de Google. Como ingeniero, encontró y cerró los agujeros de seguridad en aplicaciones web de Google, y enseñó a otros ingenieros la forma de hacer lo mismo.
Hoy en día, Parisa gestiona el equipo de ingeniería de seguridad de Google Chrome, cuyo objetivo es hacer de Chrome el navegador más seguro y mantener a los usuarios seguros mientras navegan por la web. A finales de 2012 , fue seleccionada por la revista Forbes como uno de los 30 pioneros en tecnología menores de 30 años. Cuando no está trabajando sobre, le gusta hacer otras cosas (arte, comida, proyectos de bricolaje diversos) o escapar a Silicon Valley para hacer senderismo y escalada en rocas de las montañas.
«El buen código se caracteriza por cualidades que van más allá de lo puramente práctico, como las ecuaciones de la física o las matemáticas, el código puede aspirar a la elegancia», recientemente exclamó Vikram Chandra en un artículo en el Financial Times. En un entorno donde las estadísticas de educación en EE.UU. no son precisamente halagüeñas en el número de los jóvenes, especialmente las mujeres, que van a la ciencia y la programación informática.
Los columnistas se han aliado con los críticos y condenan el estado de la educación tecnológica en EE.UU. y cada vez más los trabajos dependen más de la computadora y la codificación en todos los sectores. Un informe de 2010 de la Association for Computing Machinery y la Computer Science Teachers Association encontró que más de dos tercios de los ciudadanos de Estados Unidos tuvieron poco o nada de alfabetización en ciencias de la computación en la enseñanza secundaria. Es un problema, lo que sugiere el informe, ha dejado a EE.UU. «lamentablemente detrás en la preparación de los estudiantes en el conocimiento de la informática fundamental y las habilidades que necesitan para el futuro».
Artículo completo en: Nature
Google, a través de su firme compromiso con la transparencia y con el otorgamiento del control a los usuarios de su propia seguridad, remodela su espacio “Es bueno saberlo” para convertirlo en su nuevo Centro de Seguridad con motivo del día de internet Segura, que cuenta con informaciones y recursos de Google dirigida a todos los usuarios, tanto a nivel individual como a nivel familiar, para que todos puedan hacer un uso responsable y seguro de internet como herramienta de uso diario para sus tareas.
Este nuevo Centro de Seguridad se divide en diferentes apartados y trata temas como la creación de contraseñas seguras, el cuidado con redes WiFi desconocidas y configuración de redes WiFi seguras, la prevención ante posibles aplicaciones maliciosas en dispositivos móviles, la prevención ante posibles trampas, estafas, robos de identidad, el bloqueo de contenidos inadecuados mediante filtros, la creación de perfiles restringidos para tabletas Android desde la versión 4.3 a la hora de compartirlas para evitar el acceso de aplicaciones y juegos, el contenido adecuado para cada edad, el manejo de la reputación online, etc.
La presentación del Centro de Seguridad se ofrece de forma clara e intuitiva, fácil de navegar y con explicaciones concisas, que permita el entendimiento de sus contenidos por parte de cualquier usuario. Su enfoque va dirigido a la navegación segura tanto desde equipos de escritorio como en dispositivos móviles, y supone un buen punto de partida en la información que necesitan los usuarios para que las ventajas que suponen el uso diario de Internet no se vean empañadas por algunos posibles inconvenientes que se puedan dar.
Ampliar en: wwwhat’s new