admin

Categorías

Coobis

Seguridad

Desmitificando Heartbleed

Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba . Y por supuesto… aparecen varias listas  de sitios afectados .

En INTECO , también han seguido de cerca la información sobre ésta que, dada la importancia del fallo, exigía una especial atención y esfuerzo. Publicaron dos avisos de seguridad relacionados con el mismo:

A nivel de investigación, parecía imprescindible conocer más sobre el fallo, probar en el laboratorio a extraer de la memoria esos datos “jugosos”, aunque tan solo se tratara de una porción pequeña y aleatoria de la misma (64kb).

Así, en las pruebas que hAN hecho se ha encontrado que en realidad muchos servicios en internet e intranets realmente no están afectados.

Uno de los motivos es que productos de la familia Microsoft no son vulnerables  ya que utilizan sus propias librerías de SSL. Y no sólo eso, si no que muchos sistemas utilizan versiones de la librería OpenSSL anteriores y, por tanto, no adolecen del fallo  identificado.

A nivel estadístico, y gracias a la colaboración con Red.es  en materia de seguridad de dominios .es, el análisis realizado sí permite aportar algunos datos (bastante alejados de los dos tercios de dominios ):

    • De los dominios .es activos a fecha de 16 de Marzo sólo el 0,42% utilizaban librerías OpenSSL potencialmente vulnerables

    • A nivel de direcciones Web (<dominio>.es, o www.<dominio>.es, y las redirecciones existentes de dominios .es) los porcentajes de servicios potencialmente vulnerables bajo dichos dominios son:

Esta sería la información puramente estadística obtenida a partir de las versiones utilizadas en los servicios.

Fuente:  INTECO


alquiler carrozas gran canaria
Trasteros Las Palmas

xkcd explica como funciona Heartbleed

Actualidad Informática. xkcd te explica como funciona Heartbleed . Rafael Barzanallana

 

Qué es Heartbleed y cómo afecta a la seguridad

Actualidad Informática. Qué es Heartbleed y cómo afecta a la seguridad. Rafael BarzanallanaDesde hace unos días internet se ha llenado de personas discutiendo un mismo tema: la seguridad en la red. Puede que hayas escuchado sobre esto,  y tal vez  Heartbleed y OpenSSL se te hacen dos términos muy extraños.

Qué es Heartbleed, cómo te afecta, y por qué deberías cambiar tus contraseñas

Uno de los fallos de seguridad más graves que han afectado a internet en su historia, se trata de Heartbleed. Te explicamos qué es, por qué todos podemos estar afectados, y que medidas puedes tomar como usuario, para protegerte.

¿Qué es OpenSSL?

OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source. Muchos sitios web  de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca de código abierto. El icono con un candado que aparece en la barra de direcciones, o a las siglas HTTPS de los navegadores, ambos son símbolos de que estamos accediendo a un sitio seguro, y que el intercambio de datos que hacemos, está siendo cifrado. Imprescindible en la banca electrónica por mencionar un ejemplo obvio. Pero usado en el correo electrónico, redes sociales, y hasta un simple blog.

¿Qué es Heartbleed?

Heartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.

Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs.

La solución: cambiar las contraseñas

Puedes utilizar el Heartbleed Bug Cheker para comprobar si un sitio ha sido afectado por la vulnerabilidad. Si recibes un mensaje de error es probable que el sito no use SSL. De resto, no deberían haber falsos positivos. También puedes usar la herramienta de comprobación de LastPass.

En Mashable han publicado una lista con algunos de los sitios web más populares, respondiendo si han sido afectados, si han parcheado sus sistemas, si necesitas cambiar tu contraseña en estos sitios, y que dijo la empresa respecto al problema. Muy recomendado que pasemos a leerla.

Fuente:  Bitelia
Licencia CC

Criptografía cuántica para teléfonos móviles

Actualidad Informática. Criptografía cuántica para teléfonos móviles. Rafael BarzanallanaLas comunicaciones móviles seguras sustentan nuestra sociedad y a través de los teléfonos móviles , tabletas y ordenadores portátiles  se han convertido en consumidores en línea. La seguridad de las transacciones móviles es oscura para la mayoría de la gente, pero es absolutamente esencial si vamos a estar protegido contra ataques maliciosos en línea , el fraude y el robo.

Actualmente está disponible la tecnología de criptografía cuántica, pero  es voluminosa  costosa y limitada a ubicaciones físicas fijas – a menudo las salas de servidores en un banco. El equipo de investigadores de Bristol ha mostrado cómo es posible reducir estos recursos voluminosos y costosos para que un cliente sólo requiera la integración de un chip óptico en un teléfono móvil.

El esquema se basa en el protocolo avanzado desarrollado por el investigador Dr. Anthony Laing y sus colegas, que permite el intercambio robusto de la información cuántica a través de un entorno inestable. La investigación se publica en el último número de la revista Physical Review Letters .

El Dr. Anthony Laing dijo: Con mucha atención se centró en la actualidad sobre la privacidad y seguridad de la información, la gente está buscando  la criptografía cuántica como una solución ya que su seguridad está garantizada por las leyes de la física. Nuestro trabajo demuestra que la criptografía cuántica no tiene por qué limitarse a grandes. corporaciones , podría ponerse a disposición de los miembros del público en general. el siguiente paso es tomar nuestro esquema del laboratorio e implementarlo en una red de comunicación real » .

El sistema utiliza los fotones – partículas individuales de luz – como el portador de la información y el esquema se basa en los circuitos cuánticos integrados desarrollados en la Universidad de Bristol. Estos diminutos microchips son cruciales para la adopción generalizada de las tecnologías de la comunicación cuántica seguras y anuncian un nuevo amanecer para la banca móvil segura, el comercio en línea, y el intercambio de información y en breve podrían dar lugar a la producción del primer teléfono móvil  a prueba de la NSA .

Universidad de Bristol

Fuente: Reference frame independent quantum key distribution server with telecom tether for on-chip client
P. Zhang, K. Aungskunsiri, E. Martín-López, J. Wabnig, M. Lobino, R. W. Nock, J. Munns, D. Bonneau, P. Jiang, H. W. Li, A. Laing, J. G. Rarity, A. O. Niskanen, M. G. Thompson, J. L. O’Brien, Physical Review Letters, 2 April 2014.

La abuela encuentra software malicioso

Actualidad Informática. La abuela encuentra software malicioso. Rafael Barzanallana

Réplicas de la máquina Enigma

Actualidad Informática. Réplicas de la máquina Enigma. Rafael Barzanallana

The Open Enigma Project es una forma educativa de entender las máquinas Enigma y aprender algo de matemáticas, criptografía e historia, construyendo una desde cero.

La máquina utiliza cables, led y muchos interruptores; su núcleo es una placa de Arduino pero el sistema de cifrado y descifrado es exactamente el mismo que en las máquinas alemanas de la II Guerra Mundial. Sin duda como proyecto de hacking tiene un encanto especial.

Actualmente está en Kickstarter buscando financiación colectiva; por unos 100 euros se pueden recibir todos los componentes necesarios para crear una totalmente funcional, a la par que elegante. Dado que ya llevan unos 15000 dólares de los 20000 necesarios y queda un mes parece claro que conseguirán sacarlo adelante.

Ampiar en: Hacked Gadgets

Primer código malicioso que se propaga vía WiFi

Actualidad Informática. Primer código malicioso que se propaga vía WiFi. Rafael Barzanallana

La amenaza “Chameleon”, que fue diseñada por un equipo de estudiantes de la universidad de Liverpool, demostró altos niveles de inteligencia y complejidad para evitar la detección e infiltrarse en redes WiFi personales y corporativas utilizando puntos débiles de la configuración y propagándose a un ritmo alarmante.

Alan Marshall, profesor de Seguridad de Redes en la universidad de Liverpool, comentó que la amenaza no intenta dañar o desactivar las redes. Por el contrario, se infiltra sin ser detectada para recolectar datos y credenciales de sesión de todos los usuarios que estén conectados a la red y se encuentren navegando en sitios sin protocolos de cifrado. Asimismo, busca otras conexiones Wi-Fi para propagarse.

En este sentido, en un blog de ciencia Marshall manifestó:

“Las redes WiFi se convierten cada vez más en el objetivo principal de los ciberdelincuentes debido a las vulnerabilidades de configuración y administración que tienen, lo que hace que sea más difícil detectar y defenserse frente a una amenaza”.

“No obstante, se asumía que no era posible desarrollar una amenaza que pudiera atacar redes WiFi, pero hemos demostrado que no solo sí es posible, sino que la propagación es muy veloz“.

El secreto de “Chameleon” es el método que utiliza para evitar la detección: no ingresa en los equipos ni en Internet, se quedaría únicamente en la red WiFi y podría eludir las barreras de seguridad, ya que muchas redes Wi-Fi no están debidamente configuradas con contraseñas y protocolos de autenticación seguros.

En uno de los laboratorios de la universidad, los estudiantes generaron una simulación de un ataque ingresando en puntos de acceso de WiFi públicas y privadas. La amenaza se propagó muy rápidamente entre los puntos que estaban en un radio de hasta 50 metros.

Fuente: welivesecurity

Una joven mujer al frente de la seguridad de Google Chrome

Una embajadora de las mujeres en la tecnología y la educación STEM.

Parisa Tabriz es responsable de seguridad de Google Chrome. Ella ha trabajado en seguridad de la información en Google por más de seis años, comenzando como un «hacker» y contratada como ingeniera de software para el equipo de seguridad de Google. Como ingeniero, encontró y cerró los agujeros de seguridad en aplicaciones web de Google, y enseñó a otros ingenieros la forma de hacer lo mismo.

Hoy en día, Parisa gestiona el equipo de ingeniería de seguridad de Google Chrome, cuyo objetivo es hacer de Chrome el navegador más seguro y mantener a los usuarios seguros mientras navegan por la web. A finales de 2012 , fue seleccionada por la revista Forbes como uno de los 30 pioneros en  tecnología menores de 30 años. Cuando no está trabajando sobre,  le gusta hacer otras cosas (arte, comida, proyectos de bricolaje diversos) o escapar a Silicon Valley para hacer senderismo y escalada en rocas de las montañas.

«El buen código se caracteriza por cualidades que van más allá de lo puramente práctico, como las ecuaciones de la física o las matemáticas, el código puede aspirar a la elegancia»,  recientemente exclamó Vikram Chandra en un artículo en el Financial Times. En un entorno donde las estadísticas de educación en EE.UU. no son precisamente halagüeñas en el número de los jóvenes, especialmente las mujeres, que van a la ciencia y la programación informática.

Los columnistas se han aliado con los críticos y condenan el estado de la educación tecnológica en EE.UU. y cada vez más los trabajos dependen más de la computadora y la codificación en todos los sectores. Un informe de 2010  de la Association for Computing Machinery y la Computer Science Teachers Association encontró que más de dos tercios de los ciudadanos de Estados Unidos tuvieron poco o nada de  alfabetización en ciencias de la computación en la enseñanza secundaria. Es un problema, lo que sugiere el informe, ha dejado a EE.UU. «lamentablemente detrás en la preparación de los estudiantes en el conocimiento de la informática fundamental y las habilidades que necesitan para el futuro».

Artículo completo en: Nature

Google lanza su nuevo Centro de Seguridad

Actualidad Informática. Google lanza su nuevo Centro de Seguridad. Rafael Barzanallana

Google, a través de su firme compromiso con la transparencia y con el otorgamiento del control a los usuarios de su propia seguridad, remodela su espacio “Es bueno saberlo” para convertirlo en su nuevo Centro de Seguridad con motivo del día de internet Segura, que cuenta con informaciones y recursos de Google dirigida a todos los usuarios, tanto a nivel individual como a nivel familiar, para que todos puedan hacer un uso responsable y seguro de internet como herramienta de uso diario para sus tareas.

Este nuevo Centro de Seguridad se divide en diferentes apartados y trata temas como la creación de contraseñas seguras, el cuidado con redes WiFi desconocidas y configuración de redes WiFi seguras, la prevención ante posibles aplicaciones maliciosas en dispositivos móviles, la prevención ante posibles trampas, estafas, robos de identidad, el bloqueo de contenidos inadecuados mediante filtros, la creación de perfiles restringidos para tabletas Android desde la versión 4.3 a la hora de compartirlas para evitar el acceso de aplicaciones y juegos, el contenido adecuado para cada edad, el manejo de la reputación online, etc.

La presentación del Centro de Seguridad se ofrece de forma clara e intuitiva, fácil de navegar y con explicaciones concisas, que permita el entendimiento de sus contenidos por parte de cualquier usuario. Su enfoque va dirigido a la navegación segura tanto desde equipos de escritorio como en dispositivos móviles, y supone un buen punto de partida en la información que necesitan los usuarios para que las ventajas que suponen el uso diario de Internet no se vean empañadas por algunos posibles inconvenientes que se puedan dar.

Ampliar en: wwwhat’s new

 

Protección de datos personales

Actualidad Informática. Protección de datos personales. Rafael Barzanallana


Alquiler camaras frigorificas
alquiler de carpas
audifonos
autobuses las palmas
casas vacaciones con encanto Cerdanya
material cualificaciones profesionales
muebles

Related Posts with Thumbnails

Calendario

noviembre 2024
L M X J V S D
« Nov    
 123
45678910
11121314151617
18192021222324
252627282930  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa