¿#Fail de Truecrypt?
Jun09

¿#Fail de Truecrypt?

Desde hace unos años atrás estoy cogiendo realmente pánico a las cosas que están saliendo relacionadas con la seguridad. Están saliendo a la luz ciertos incidentes que hace que te plantees el modo en el que usas la tecnología que te rodea. Por si todavía no os habéis percatado de la noticia, hace unos días se hacía eco de que había algún problemilla con truecrypt. ¿Que ha pasado? Si te dirigías a la página web del proyecto aparecía el siguiente mensaje: “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issuesThis page exists only to help migrate existing data encrypted by TrueCrypt.The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.” Lo mas sorprendente del asunto es que aconsejan usar Bitlkocker. Precisamente creo que si mucha gente usaba Truecrypt era por un tema de filosofía, y que ahora te quieran hacer usar Bitlocker, rompe un poco los esquemas. El proyecto se sometió a una auditoría de código ya que debido a los incidentes que había habido de que existían puertas traseras en software que usaba casi todo el mundo. En la auditoría de código se encontraron varias vulnerabilidades. El reporte está disponible por si alguien quiere leerlo.   El índice del informe es el siguiente: El reporte lo puedes descargar online, Segun las malas lenguas, el proyecto ha sido descontinuado por dos razones: A día de hoy hay otras soluciones de cifrado fuerte en el mercado, además algunas de las soluciones integradas en el sistema operarivo (File Vault, Bitlocker) Servicios secretos y federales han presionado para que dejen de desarrollar la herramienta. Si quieres encontrar el repositorio de código de truecrypt En github, diferentes usuarios han colgado el código para todos. Alternativas a cifrado? Muchas TcPlay,Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE,AxCrypt, AESCrypt, etc. Si quieres seguir usando, han abierto un site web truecrypt.ch, en el que han colgado la última versión disponible. Además al parecer seguirán con el proyecto. Más información en...

Leer Más

Tus busquedas en Google ahora Cifradas

Si eres tan paranoico que utilizas en casa el “modo porno” de Internet Explorer, Firefox, Opera o Chrome solo para revisar tu correo electrónico y asegurarte que no queda ningún rastro en el equipo, cuando borras algo no utilizas un método inferior a Gutmann y aunque vives solo, constantemente volteas la cabeza, para ver si alguien esta observando lo que escribes en tu ordenador… Google tiene un regalo para ti. Google acaba de sacar en modo beta (como es costumbre), un nuevo servicio llamado Google SSL, que nos permite realizar búsquedas cifradas, evitando así que puedan capturar nuestro trafico y saber que estamos buscando o crear un perfil de nuestros gustos. Las principales características de Google SSL son: Cifrado de nuestras búsquedas en Google No se guardaran registros de acceso en nuestro historial No aparecerá el completado automático Si te preocupa que otras personas vean tus búsquedas en Google, este nuevo servicio fue creado para ti. Pd. De momento estas búsquedas solo arrojan paginas como resultado, se piensa que poco a poco agreguen imágenes, vídeos, mapas, noticias, búsquedas en tiempo real y todas las opciones actuales de Google. Ingresa a Google SSL (httpS://www.google.com) Mas Información: Google SSL...

Leer Más

Geelbe crackeado ¡Cambia tus Claves YA!

Geelbe es un club privado de compras por Internet dónde un exclusivo grupo de miembros registrados recibe propuestas para adquirir productos de las mejores marcas al precio más bajo del mercado. Pero ademas de estos descuentos, ahora su usuarios también recibirán una gran sorpresa si utilizan la misma combinación de usuario:contraseña que en este servicio, ya que se ha filtrado en internet la base de usuarios y contraseñas de todos los usuarios de este servicio, por lo que es mas que recomendable que si utilizas normalmente la misma clave para otros servicios.. CAMBIA INMEDIATAMENTE LAS CONTRASEÑAS para evitar que estos otros servicios caigan en manos de personas mal intencionadas o simples curiosos. Al parecer este servicio en el que han invertido mas de 30 millones de dolares, utilizaba un cifrado demasiado débil (base64) para “codificar” las claves de sus usuarios, lo que facilitó a el atacante conseguir y publicar las contraseñas en texto plano. Otra razón mas para NO UTILIZAR LA MISMA CONTRASEÑA en mas de un servicio web, de momento no hay un comunicado oficial, tan pronto sea publicado actualizaremos la entrada para dárselos a...

Leer Más

Fallo en OpenSSL permite obtener clave privada

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA. Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits. Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo. Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa. Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo. Mas Información: ‘Severe’ OpenSSL vuln busts public key crypto Boffins Crack OpenSSL Library Using Power Fluctuations Pagina Oficial del...

Leer Más

Bits y Qubits, El camino de la criptografía – Parte I

Siglos atrás, cuando empezaron a conformarse sociedades grandes y complejas en donde existían intereses particulares que no debían ser conocidos, se recurría a la utilización de métodos de comunicación que garantizaran el  secreto o confidencialidad de la información a compartir. Por ejemplo Julio César utilizaba un sistema de cifrado1 (de sustitución monoalfabética) para comunicarse con sus fuerzas militares dentro y fuera de Roma, diseño que mucho más tarde fue mejorado en el siglo XIX por Blaise de Vigenère a quien se le atribuyó el desarrollo de un cifrador de sustitución polialfabética2 mucho más elaborado, en el cual se empleó por primera vez el uso de una clave compartida (tal como en la actualidad). Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir,  mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. De hecho el alemán Auguste Kerckhoffs3, planteó un principio en el que argumenta que “la fortaleza de un cifrador está en la fortaleza de su llave y no en cuán secreto sea su algoritmo”, valiosa lección que fue comprobada con sangre por sus compatriotas derrotados en la segunda guerra mundial, que se comunicaban con máquinas que cifraban las comunicaciones (como la Enigma4) cuyo diseño era evidentemente secreto, mecanismo que fue realmente efectivo hasta que el inglés Alan Turing5 (quien sentó las bases de la computación moderna) logró descifrar sus transmisiones en uno de los casos de criptoanálisis más memorables, evidenciando que el esfuerzo de mantener secreto un algoritmo de cifrado es inútil y que la seguridad del mismo recae directamente en la dificultad para descifrar su clave. Siguiendo el principio de Kerckhoffs un gran número de diseños de cifradores actuales son abiertos y utilizan claves tan fuertes que podría tardarse años (cientos o miles) intentando descifrarlas con la capacidad de cómputo actual, aspecto que será revaluado al final del documento. Teniendo ahora una somera visión del camino de la criptografía hasta nuestros días, es importante mencionar de forma muy breve algunas de sus aplicaciones. Bases de Datos Los motores de bases de datos incluyen algoritmos criptográficos dentro de  su abanico de funciones, cuya implementación en sistemas de información es muy recomendable, evitando codificarlos o reusar código fuente de terceros. Comunicaciones en Internet TLS v1.2 es un protocolo derivado de SSL que provee comunicaciones seguras a través de la Internet, previniendo eavesdropping, tampering o message forgery. Una gran ventaja del protocolo es su capacidad...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES