admin

Categorías

Coobis

claves

Logran romper la clave escuchando el sonido de la CPU con un micrófono

Actualidad Informática. Logran romper la clave escuchando el sonido de la CPU con un micrófono. Rafael Barzanallana. UMU

Tres investigadores de la Universidad de Tel Aviv han conseguido romper elalgoritmos RSA de 4096 bits. El método de extracción de claves se basa en escuchar con un micrófono los sonidos que realiza la CPU del equipo atacado mientras trabaja con datos codificados.

El procesador central de cada ordenador emite diferentes sonidos que delatan los procesos que se están ejecutando. Al trabajar con datos codificados, el procesador emite sonidos característicos entre los que se pueden reconocer patrones que corresponden a la clave utilizada para la codificación.

Este «lenguaje» involuntario de las CPUs lo provoca su regulador de voltaje al intentar contrarrestar constantemente los cambios de carga. Eso deja una «huella acústica» de alta frecuencia (de entre 10 y 150 KHz) que se puede aislar aplicando diferentes filtros de sonido.

Los científicos israelís han conseguido capturar las frecuencias chivatas con el micrófono de un smartphone dispuesto a 30 cm del equipo atacado, pero también desde una distancia de 4 metros con un sofisticado micrófono direccional. En ambos casos consiguieron romper la clave tras una hora de escucha.

Fuente: elotrolado

alquiler carrozas gran canaria
oferta de viajes a india
regalos de empresa

Economía sumergida de los hackers

Actualidad Informática. Economía sumergida de los hackers. Rafael Barzanallana. UMU

Según un estudio de Dell sobre la economía sumergida del hacking, eso es lo que se paga de media a un hacker por los datos de una tarjeta de crédito Visa o Mastercard estadounidense. Obviamente, no encontraréis estos servicios buscando en Google: hay que irse a partes más oscuras de la red, sólo accesibles buceando con herramientas como Tor.

Los precios varían. En el caso de necesitar más datos para usar la tarjeta de crédito, puedes conseguir todos los datos de la identidad de una persona (incluyendo teléfonos, PINs de tarjetas y números de la seguridad social) por 25 dólares. Incluso puedes conseguir acceso a una cuenta bancaria con entre 70000 y 150000 dólares por el módico precio de 300 dólares.

Eso sí, no estamos hablando de cuentas o tarjetas específicas, sino una cualquiera de las que los hackers tendrán almacenadas. Y es que cada vez que un usuario poco precavido instala un keylogger o un troyano, los datos que obtienen no se explotan directamente: los analizan y almacenan para después venderlos.

¿Por qué hacerlo así y no sacar directamente el dinero de esas cuentas robadas? La razón es sencilla: para mantenerse ocultos. Es difícil saber cuándo y por qué se filtraron las credenciales de tu cuenta bancaria, pero en el momento en el que en esa cuenta haya movimientos sospechosos será fácil encontrar al culpable. Y al que encontrarán no será al hacker original, sino al que ha comprado la cuenta si no ha tomado las precauciones necesarias. Un regalo envenenado, como quien dice.

Pero no sólo hay almacenes de cuentas bancarias y tarjetas. El estudio de Dell comenta los precios para otros servicios, digamos, poco ortodoxos: hasta 100 dólares por obtener todos los datos posibles de una persona concreta a través de redes sociales, ingeniería social e infección con troyanos; troyanos con kits anti-detección por algo menos de 300 dólares; o redes de hasta 15.000 bots por 250 dólares.

Fuente: GENBETA

Licencia CC

Humor con las claves

Actualidad Informática. Humor con las claves. Rafael Barzanallana

La criptografía cuántica es capaz de detectar a un intruso en el escenario más paranoico posible

Actualidad Informática. Seguridad en computación cuántica. Rafael Barzanallana
La clave secreta de tu cuenta bancaria online puede estar bien guardada en tu cerebro, pero alguien que pueda manipular tu ordenador de forma maliciosa con absoluta libertad tiene muchos medios para descubrirla. La criptografía clásica no puede hacer nada, pero la cuántica sí que puede. Los paranoicos de la seguridad tienen un protocolo cuántico capaz de detectar intrusos en el peor escenario posible. Un nuevo protocolo de criptografía cuántica capaz de luchar contra el libre albedrío del manipulador del equipo y contra cualquier manipulación posible de dicho equipo se ha presentado hoy en el congreso anual de la AAAS de 2012. El nuevo protocolo ha sido obtenido por uno de los mayores expertos mundiales en cifrado cuántico, Artur Ekert, profesor de la Universidad de Oxford, GB y director del Centro de Tecnologías Cuánticas de la Universidad Nacional de Singapur. Me he enterado gracias a Jenny Hogan, “Twists to quantum technique for secret messaging give unanticipated power,” EurekAlert!, 18 Feb. 2012, que no presenta detalles del nuevo protocolo cuántico. Ekert presentará en su charla “A Powerful Twist on Quantum Cryptography,” 2012 AAAS Meeting, un protocolo de cifrado cuántico independiente del dispositivo (device independent cryptography) basado en su reciente artículo Koh et al., “The effects of reduced “free will” on Bell-based randomness expansion,” ArXiv, 16 Feb 2012; supongo que será similar al publicado por Barrett, Colbeck y Kent, “Prisoners of their own device: Trojan attacks on device-independent quantum cryptography,” ArXiv, 20 Jan 2012.

¿Quieres saber algo más sobre cifrado cuántico? Te recomiendo la lectura del breve artículo de Artur Ekert, “Cracking codes,” +plus magazine, March 1, 2005, y “Cracking codes, part II,” +plus magazine, April 30, 2005. El artículo de Artur Ekert, “Less reality, More Security,” también merece una lectura.

Fuente: Francis (th)E mule Science’s News

Aportar contraseñas en un juicio es ilegal

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

¿Qué significa “ininteligible”?, pues según el Diccionario de la Real Academia: “No inteligible”, así que con el concepto aclarado podemos continuar.

En el caso de hoy tenemos a  Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el Juzgado correspondiente.
Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora.

Este hecho lo puso en conocimiento de la Agencia Española de Protección de Datos mediante la correspondiente denuncia.

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Sin embargo, luego afirmó que las contraseñas se almacenan generando un hash con el criptosistema SHA-1 y luego aplicando una codificación Base64, y que no es posible descifrarlas, sino que la clave que introduce el cliente en la autentificación se encripta y se compara con la que hay almacenada. Declaraciones contradictorias.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.

Ninguna de las alegaciones de Interflora prosperan y finalmente, aunque la infracción constituye una sanción mínima de 60.000 euros, la Agencia se lo deja en 1.000 euros.

Este caso también ha puesto de manifiesto las diferencias entre lo que se indica en el Documento de Seguridad de la empresa y lo que ocurre realmente. Según el Documento de Seguridad de Interflora, respecto a las contraseñas de afirma que “en el caso de aplicaciones de gestión definidas en el presente documento de seguridad, el cifrado de contraseñas será realizado por el sistema gestor de bases de datos o por la propia aplicación”, lo cual no era cierto. Así como tampoco los Avisos Legales que afirman algo parecido en su página web.

La Resolución sancionadora es de fecha 4 de junio de 2009. Descargar.

Fuente:  Samuel Parra

__________________

Enlaces relcionados:

Nuevas amenazas a la seguridad en la Web 2.0

Actualidad informática. Protección datos

Related Posts with Thumbnails

Calendario

noviembre 2024
L M X J V S D
« Nov    
 123
45678910
11121314151617
18192021222324
252627282930  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa