Curso Gratis de Criptografía, La universidad de Stanford acaba de lanzar una iniciativa con la cual pretende difundir conocimiento de calidad y gratuitamente a cualquier interesado con una conexión por internet, de los cursos ofertados que incluye áreas como la Medicina, Ingeniería civil, Emprendimiento, Electrónica, Sistemas Complejos, se destacan los cursos enfocados a las Ciencias de la Computación y entre esta área existe un Curso Gratis de Criptografía online.

Este Curso Gratis de Criptografía será dictado por el Dr. Dan Boneh, autor de más de un centenar de publicaciones en el campo y ganador del Premio Packard, el Premio Alfred P. Sloan, el premio RSA en las matemáticas y recientemente ha recibido el premio Ishii a la innovación en industria de la educación.

El Curso Gratis de Criptografía de Stanford iniciará el próximo enero febrero de 2012, para acceder a el, solo es necesario que ingreses tus datos en este formulario y recibirás en tu correo la información necesaria para que accedas a este Curso Gratis de Criptografía en enero en febrero (por la gran cantidad de inscritos al Curso Gratis de Criptografía ampliaron el plazo de inicio un mes)

Los dejo en compañía de este video sobre el Curso Gratis de Criptografía

Pocas veces tenemos acceso a capacitaciones de alta calidad con docentes de la talla del Dr. Dan Boneh y el apoyo de grandes universidades como la de Stanford sin movernos de nuestro país, si a esto le sumamos que es totalmente gratis, seguramente sabrás que esta es una oportunidad que NO DEBES DEJAR PASAR!!!.

Si te interesan las otras áreas de conocimiento donde la universidad de Stanford está ofreciendo cursos gratis, te dejo el siguiente listado:

También puede interesarte...

• KromCAT convierte tu Google Chrome en una Herramienta para la Auditoria de Seguridad
• QueryScan 0.1 Beta – Scaneo para auditorías de seguridad Web
• La Mejor Defensa es la Información
• Revista ACIS 105, Gestión de la Inseguridad Informática
• Usando Google para descifrar Password MD5
• ¡Feliz Navidad, Prospero y Seguro 2011!
• Feliz Navidad Dragonautas… y Prospero 2012
• Mouse Inalambrico – Hacking Hardware

Yury Lifshits el conocido matemático ruso, que trabaja para como científico en Yahoo!, miembro de los grupos Paradise group y Theory group, ha publicado varios de los cursos que ha dictado en los últimos años por distintos institutos y universidades, en diferentes partes del mundo.

Dentro de los cursos publicados por lifshits podremos encontrar referencias a sistemas de búsquedas, algoritmos de reputación, charlas sobre la nueva web, entre otros que pongo a continuación:

• The New Web. Tutorial at CS Club at Steklov Institute of Mathematics – (2008)
• Reputation Systems. Tutorial at Caltech – (2008)
• Algorithmic Problems Around the Web. CS101.2 course at Caltech – (2007)
• Algorithms for Nearest Neighbor Search. Tutorial at RuSSIR’07 – (2007)
• A Guide to Web Research. Mini course at Stuttgart University – (2007)
• Obfuscation y Cryptography. Invited course at Tartu University – (2006)
• Lectures on Program Obfuscation. Course was supported by Intel Corp. – (2005)

Me llamo la atención lo completo de sus cursos sobre criptografía y ofuscación, por ese motivo he creado esta nota y hago referencia a el siguiente material.

Notas sobre el Curso Programa de ofuscación y criptografía en la Universidad de Tartu, primavera de 2005

Documentación sobre ofuscación y criptografía:

• Capitulo 1: Introduction to Obfuscation. Black-box Security Presentación en PDF y Folleto en PDF
• Capitulo 2: Obfuscation Around Point Functions Presentación en PDF y Folleto en PDF
• Capitulo 3: Oblivious RAM Presentación en PDF y Folleto en PDF
• Capitulo 4: Private Circuits Presentación en PDF y Folleto en PDF
• Capitulo 5: Industrial Approach: Obfuscating Transformations Presentación en PDF y Folleto en PDF

Notas sobre el Curso Programa de ofuscación en la Universidad Estatal de San Petersburgo, primavera de 2005

Documentación sobre ofuscación:

• Capitulo 1: Different Approaches to Program Obfuscation Presentación en PDF
• Capitulo 2: Practical Obfuscation Techniques Presentación en PDF y Folleto en PS
• Capitulo 3: Provable Secure Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 4: Applications of Program Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 5: Program Obfuscation y Classical Cryptography Presentación en PDF y Folleto en PS
• Capitulo 6: Open Problems in Program Obfuscation Presentación en PDF y Folleto en PS

Espero que les esa de utilidad esta información.

También puede interesarte...

• Capacitación gratuita para realizar el CEH de EC-Council
• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Así fue el COMBAT Training en Medellín
• Curso de Introducción a la Seguridad Informática
• Así fue el COMBAT Training en Bogotá
• El arte de ocultar información – Esteganografía

Una de las charlas mas esperadas en la EKOParty 2010 fue la del argentino Juliano Rizzo y el vietnamita Thai Duong, titulada “Padding Oracles Everywhere” donde estos dos personajes, nos mostraban un nuevo fallo no publico que afectaría el 25% de los sitios en la red.

Empieza Juliano Rizzo explicándonos de que se tratan los ataques de tipo “Oracle” (oráculo), los conceptos criptográficos de la vulnerabilidad, nos enseño la herramienta POET, que automáticamente puede encontrar y explotar las vulnerabilidades de tipo Oracle y los algoritmos que implementaron en ella.

Vídeo de POET contra Apache MyFaces

Pueden descargar la herramienta para Windows, GNU Linux y Mac OS X, del apartado de investigacion en Netifera.com.

Después de hablarnos sobre POET y los ataques Oracle, empiezan la introducción al 0Day que encontraron en ASP.NET, básicamente el problema radica en que la API de cifrado de ASP.NET que no autentica los mensajes, por lo que usando ataques de tipo Oracle se puede descifrar las cookies, ver estados, obtener tickets en formularios de autenticación, claves de suscripción, datos del usuario, y cualquier otra cosa cifrada usando la API del framework!.

Vídeo de la demo, lanzado contra dotnetnuke, uno de los proyectos en web mas populares que usan este framework de Microsoft .

Después de mostrar el demo y con toda la atención de la audiencia, a Thai se le ocurrió la “brillante” idea de tirar al aire 3 copias del exploit entre los asistentes a la charla (razón del titulo de este post), algo nunca antes visto y que quedó plasmado en el siguiente vídeo grabado por Francisco Amato.

Afortunadamente para quienes tienen desarrollos con el framework de Microsoft, las copias tiradas al aire con el exploit de esta vulnerabilidad, fue cifrado antes como “desafió” y hasta el momento no hay indicios que alguno de sus poseedores lograra romper esta barrera para poder acceder a el.

Alguna información adicional sobre el fallo y como mitigarlo:

• Security Advisory 2416728, lanzado por Microsoft
• Consejos para mitigar el fallo, por pentonizer.com
• Understanding the ASP.NET Vulnerability
• Important: ASP.NET Security Vulnerability

También puede interesarte...

• Vídeo de la Charla – Padding Oracles Everywhere en la EKOParty 2010
• Vulnerabilidad en timthumb.php afecta millones de blogs con Wordpress
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Entrevista a Dani Creus y Mikel Gastesi – Fraude Online
• winAUTOPWN – Ataques automáticos de entornos Windows

proXPN es un software de VPN (Virtual Private Network por sus siglas en Ingles) gratuito que te permite realizar una conexión segura y anónima entre nosotros e Internet, cifrando la información que recibas o transmitas por ella. Las conexiones de una Red Privada Virtual son como hacer un túnel entre tu computadora y el sitio de conexión. Esta implementación es muy utilizada en empresas que quieren darle seguridad a la información que se maneja entre sus servidores y terminales que están fuera del área de la red local (la red física de la empresa).

Si estamos navegando con proXPN en un lugar publico como un hotel, una universidad, o un café, podremos estar “tranquilos” por que nuestro datos viajan codificados (con 2048 Bits) por medio del túnel que se a creado entre el servidor y nosotros, aunque los datos sean interceptados no podrán hacer nada con ellos ya que estos se encuentran cifrados, puedes hacerte una mejor idea sobre el funcionamiento de proXPN con el siguiente vídeo:

Para utilizar proXPN, basta con descargarlo desde su pagina oficial, instalarlo en nuestro sistema (de momento solo disponible para Windows, Mac OS X e iPhone) seguido de esto basta con iniciar el programa, nos aparecerá un icono en la barra de estado, donde debemos darle en conectar, metemos nuestro datos de acceso (si no tienes cuenta, puedes crearla desde el mismo software) y una vez el icono del proXPN quede en verde, podremos navegar de forma segura y anónima desde donde queramos.

Este software es de gran utilidad ya que no solo codifica y vuelve anónima nuestra conexión, sino que al tener una ip externa estadounidense podremos entrar a distintos sitios en los que las ip’s de este país tienen algún privilegio, por ejemplo megaupload, o pandora (que ahora solo se puede acceder desde usa). En fin una excelente utilidad que ayudara un poco a mantenernos anónimos en la red… que la disfruten.

Descarga proXPN para tu Sistema Operativo

PD. si nos desconectamos y nos volvemos a utilizar obtendremos otra ip de estados unidos totalmente diferente (muy útil para servicios de descargas como rapidshare x ejemplo).

Más Información:
Pagina oficial del proXPN

También puede interesarte...

• Hotspot Shield – Asegura tu Conexión Wi-Fi usando VPN
• WiBOG – Wireless Bogotá
• Seminarios de Seguridad Informatica Gratis en Perú
• Kits de crackeo wireless en china
• Aircrack NG v1.0 Final
• Redes Inalámbricas en los Países en Desarrollo : Un buen libro
• Nueva Herramienta de la Suite Aircrack
• WI-FI Defense – Protege tu conexión Wi-Fi

TrueCrypt es una aplicación gratuita y de código abierto que nos permite crear particiones cifradas virtuales, donde podemos almacenar toda nuestra informacion sensible para que solo quien cuente con la contraseña correcta o el archivo de clave pueda acceder a ella.

Esta aplicación se ha vuelto realmente popular, ya que cuenta con muchas características que la hacen resaltar frente a herramientas comerciales similares, es multiplataforma (de momento Windows, GNU Linux y Max OS X), permite cifrar con una gran cantidad de algoritmos (AES, TWOFISH, SERPENT, etc..), sencillo de manejar e instalar (ver tutorial de TrueCrypt en la comundiad), permite cifrar múltiples medios (discos duros, memorias USB, DVD’s, CD’s, etc..) y todo esto totalmente gratis.

En la ultima versión de TrueCrypt (7.0) se han incluido otras interesantes características, que hacen de esta solución una de las mas completas del mercado y posiblemente la mejor de código abierto para realizar volúmenes cifrados, comentare brevemente algunas de ellas:

• AES acelerado por hardware, lo que permite una mejora en el rendimiento cuando utilizamos este algoritmo.
• Montado de volumen automatizado, ahora es posible montar una partición automáticamente tan pronto ingresamos un medio cifrado (siempre y cuando suministremos la clave correcta o los keyfiles necesarios)
• Nuevo sistema de favoritos, que nos permite ajustar varias opciones personalizadas para nuestros volúmenes mas utilizados.
• Ahora cifra también los archivos de hibernación en Windows Vista y 7.
• Si quieres ver todos los cambios introducidos en TrueCrypt 7 puedes visitar este enlace

Descargar TrueCrypt para GNU/Linux, Mac OS X y Windows

Mas Información:
Pagina Oficial de TrueCrypt
Manual de TrueCrypt en Español

También puede interesarte...

• Manual de TrueCrypt
• Documentación y herramienta para inyección de código
• SElinux – Asegura tu Distribución GNU/Linux Preferida
• Manual de Metasploit Framework en Español
• Descargar Ultima Versión del Nero Gratis
• Varias Distribuciones Live CD de Seguridad en un DVD
• Curso de Ubuntu
• Migrar instalación de Linux a una partición ó disco diferente

Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede espiar tu trafico SSL sin problemas.

El funcionamiento de SSLStrip es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. Realizando ataque ARP MITM entre las 2 maquinas:

arpspoof -i eth0 -t VICTIMA HOST

3. Redireccionar trafico con iptables:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

4. Iniciar SSLStrip en el puerto utilizado

python sslstrip.py -w archivo

Espero que les sea de utilidad y no olviden comentar

Mas Información:
Pagina Oficial del SSLStrip

También puede interesarte...

• Video Tutoriales de Metasploit Framework
• Creando un Exploit Paso a Paso
• Vídeo Tutorial de IPTables
• Video Tutorial, Cómo descargar y editar archivos Flash (SWF)
• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Cómo localizar usuarios de twitter y flickr a través de sus fotos
• Cómo conservar la privacidad en las redes sociales
• The Real Hustle – Los fraudes al descubierto

Nada supera la criptografía cuántica a la hora de cifrar información o realizar una trasmisión segura de esta, ya que en teoría si alguien observa la información esta se modifica de tal forma que no sea posible recuperar su contenido.

Eso es lo que pasa sobre el papel, pero a la hora de implementar la teoría la cosa es muy diferente; Los investigadores Feihu Xu, Bing Qi y Hoi-Kwong de la Universidad de Toronto en Canadá lograron romper el primer sistema comercial de criptografía cuántica creado por la empresa ID Quantique.

Feihu Xu, Bing Qi y Hoi-Kwong, basaron su ataque  en las suposiciones hechas sobre el tipo de errores que pueden aparecer en los mensajes cuánticos. Alice y Bob siempre mantienen un ojo alerta sobre el nivel de error en sus mensajes debido a que saben que Eve introducirá errores si intercepta y lee cualquiera de los bits cuánticos. Por lo que una alta tasa de error es una señal de que el mensaje está siendo capturado.

No obstante, es imposible librarse por completo de los errores. Siempre habrá ruido en cualquier sistema del mundo real por lo que Alice y Bob tendrán que ser tolerantes a un pequeño nivel de error. Este nivel es bien conocido. Distintas pruebas demuestran que si la tasa de error en bits cuánticos es menor del 20 por ciento, entonces el mensaje es seguro.

Estas demostraciones asumen que los errores son resultado del ruido del entorno. Feihu y compañía dicen que una suposición clave es que el emisor, Alice, puede preparar los estados cuánticos requeridos sin errores. Entonces envía estos estados a Bob y juntos los usan para generar una clave secreta que puede usarse como clave única para enviar un mensaje seguro.

Pero en el mundo real, Alice siempre introduce algunos errores en los estados cuánticos que prepara y esto es lo que Feihu ha aprovechado para romper el sistema.

Dicen que este ruido extra permite a Eve interceptar parte de los bits cuánticos, leerlos y enviarlos de nuevo, de una forma que eleva la tasa de error sólo hasta el 19,7 por ciento. En este tipo de “ataque de intercepción y reenvío”, la tasa de error se mantiene por debajo del umbral del 20 por ciento y Alice y Bob no se enteran, intercambiando felizmente claves, mientras Eve escucha sin problemas.

Feihi y compañía dicen que han probado la idea con éxito en un sistema de ID Quantique.

Este es un golpe significativo a la criptografía cuántica, pero no debido a que el sistema de ID Quantique sea ahora rompible. No es por eso. Ahora que la debilidad es conocida, es relativamente fácil para la compañía instalar chequeos más cuidadosos en la forma en que Alice prepara sus estados de forma que sean menos probables los errores.

No obstante, hay un cuerpo significativo de trabajo que demuestra cómo romper sistemas de criptografía cuántica convencional basándose en distintas debilidades por la forma en que está configurados; cosas como reflejos internos no deseados que generan bits cuánticos, eficiencia dispar entre los detectores de fotones y lásers que producen fotones ocultos extra que Eve puede capturar. Todo esto se ha usado para encontrar grietas en el sistema.

Pero aunque pueden solucionarse los problemas conocidos, son los desconocidos los que representan amenazas futuras. El problema que han abierto Feihu y compañía está en la demostración de cómo de fácil es con un pequeño intento malicioso esquivar las suposiciones tras la perfecta criptografía cuántica. Esto quitará el sueño a unos cuantos criptógrafos cuánticos en los próximos meses y años.

Más Información:
Experimental Demonstration Of Phase-Remapping Attack In A Practical Quantum Key Distribution System

También puede interesarte...

• Bits y Qubits, El camino de la criptografía – Parte II
• Bits y Qubits, El camino de la criptografía – Parte I
• Memorias y Videos del Asegúr@IT III
• Las peores Contraseñas en Español
• Las Peores 500 Contraseñas de Todos los Tiempos
• WarGame Reto Panda 2010
• Tus busquedas en Google ahora Cifradas
• Almacenamiento Online de 10GB Gratis

Precisamente sobre este tema habló en el EISI  III (descarga las diapositivas si deseas) y nos explico claramente el origen del problema, como se explotaba y su solución; para quienes no asistieron al encuentro internacional de seguridad informática (el encuentro de seguridad en Colombia), les dejo una serie de vídeos realizados por el mismo Luciano Bello para la Universitat Oberta de Catalunya (Universidad Abierta de Cataluña) en el que nos explican paso a paso el famoso fallo en OpenSSL que afectó Debian y sus derivados hace ya 2 años.

El vídeo se encuentra dividido en 5 módulos, en los que se explica en profundidad cada una de las etapas del fallo para entenderlo mejor.

Análisis del Fallo en el Generador de Números Aleatorios

El error

Explotación del bug

Explotación del bug: Descifrando PFS en EDH

Explotación del bug: MitM, DSA y conclusión

Espero que les gustara esta serie de vídeos, la verdad esta explicación es mucho mas simple que cualquier otra en la que Luciano explicara el fallo (incluso en vivo), por lo que es recomendado incluso si ya sabes como es el Fallo en el Generador de Números Aleatorios de OpenSSL/Debian.

También puede interesarte...

• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• Mundo Hacker TV
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• THD’ Weekend llega a Ecuador
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Call for Papers abierto para el ACK Security Conference

La esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. En este articulo, se dan a conocer las técnicas en que se basa la estenografía, sus aplicaciones y diferencias frente a la criptografía.

Si deseas descargar el articulo en PDF, puedes hacerlo con el siguiente enlace “La esteganografía, el arte de ocultar información”.

Mas Información:
Pagina oficial de INTECO
Articulo “Esteganografía, el arte de ocultar información”

También puede interesarte...

• FOCA – Herramienta para análisis de Meta Datos
• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• El curso de Criptografía y Ofuscación de Yury Lifshits
• eBook sobre Analisis de PDF’s Maliciosos
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• ¿Cómo Configurar la Privacidad en las Redes Sociales?
• Taxonomía de un Ataque con Backtrack 4

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL

También puede interesarte...

• Bits y Qubits, El camino de la criptografía – Parte I
• Tus busquedas en Google ahora Cifradas
• “Crean” un navegador pensando en su seguridad
• Manual de TrueCrypt
• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Cómo Recuperar una Cuenta de Twitter?
• ¿Cómo Recuperar una Cuenta de Facebook?