La Comunidad DragonJAR » Cifrado

Tus busquedas en Google ahora Cifradas

DragoN — Mon, 24 May 2010 22:30:27 +0000

Si eres tan paranoico que utilizas en casa el “modo porno” de Internet Explorer, Firefox, Opera o Chrome solo para revisar tu correo electrónico y asegurarte que no queda ningún rastro en el equipo, cuando borras algo no utilizas un método inferior a Gutmann y aunque vives solo, constantemente volteas la cabeza, para ver si alguien esta observando lo que escribes en tu ordenador… Google tiene un regalo para ti.

Google acaba de sacar en modo beta (como es costumbre), un nuevo servicio llamado Google SSL, que nos permite realizar búsquedas cifradas, evitando así que puedan capturar nuestro trafico y saber que estamos buscando o crear un perfil de nuestros gustos.

Las principales características de Google SSL son:

Cifrado de nuestras búsquedas en Google
No se guardaran registros de acceso en nuestro historial
No aparecerá el completado automático

Si te preocupa que otras personas vean tus búsquedas en Google, este nuevo servicio fue creado para ti.

Pd. De momento estas búsquedas solo arrojan paginas como resultado, se piensa que poco a poco agreguen imágenes, vídeos, mapas, noticias, búsquedas en tiempo real y todas las opciones actuales de Google.

Ingresa a Google SSL (httpS://www.google.com)

Mas Información:
Google SSL Search

También puede interesarte...

Geelbe crackeado ¡Cambia tus Claves YA!

DragoN — Tue, 23 Mar 2010 06:11:49 +0000

Geelbe es un club privado de compras por Internet dónde un exclusivo grupo de miembros registrados recibe propuestas para adquirir productos de las mejores marcas al precio más bajo del mercado.

Pero ademas de estos descuentos, ahora su usuarios también recibirán una gran sorpresa si utilizan la misma combinación de usuario:contraseña que en este servicio, ya que se ha filtrado en internet la base de usuarios y contraseñas de todos los usuarios de este servicio, por lo que es mas que recomendable que si utilizas normalmente la misma clave para otros servicios.. CAMBIA INMEDIATAMENTE LAS CONTRASEÑAS para evitar que estos otros servicios caigan en manos de personas mal intencionadas o simples curiosos.

Al parecer este servicio en el que han invertido mas de 30 millones de dolares, utilizaba un cifrado demasiado débil (base64) para “codificar” las claves de sus usuarios, lo que facilitó a el atacante conseguir y publicar las contraseñas en texto plano.

Otra razón mas para NO UTILIZAR LA MISMA CONTRASEÑA en mas de un servicio web, de momento no hay un comunicado oficial, tan pronto sea publicado actualizaremos la entrada para dárselos a conocer.

También puede interesarte...

Fallo en OpenSSL permite obtener clave privada

DragoN — Wed, 03 Mar 2010 20:08:58 +0000

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA.

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios” para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL

También puede interesarte...

Bits y Qubits, El camino de la criptografía – Parte I

Anaxmon — Sat, 13 Feb 2010 17:52:42 +0000

Siglos atrás, cuando empezaron a conformarse sociedades grandes y complejas en donde existían intereses particulares que no debían ser conocidos, se recurría a la utilización de métodos de comunicación que garantizaran el secreto o confidencialidad de la información a compartir. Por ejemplo Julio César utilizaba un sistema de cifrado1 (de sustitución monoalfabética) para comunicarse con sus fuerzas militares dentro y fuera de Roma, diseño que mucho más tarde fue mejorado en el siglo XIX por Blaise de Vigenère a quien se le atribuyó el desarrollo de un cifrador de sustitución polialfabética2 mucho más elaborado, en el cual se empleó por primera vez el uso de una clave compartida (tal como en la actualidad).

Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir, mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. De hecho el alemán Auguste Kerckhoffs3, planteó un principio en el que argumenta que “la fortaleza de un cifrador está en la fortaleza de su llave y no en cuán secreto sea su algoritmo”, valiosa lección que fue comprobada con sangre por sus compatriotas derrotados en la segunda guerra mundial, que se comunicaban con máquinas que cifraban las comunicaciones (como la Enigma4) cuyo diseño era evidentemente secreto, mecanismo que fue realmente efectivo hasta que el inglés Alan Turing5 (quien sentó las bases de la computación moderna) logró descifrar sus transmisiones en uno de los casos de criptoanálisis más memorables, evidenciando que el esfuerzo de mantener secreto un algoritmo de cifrado es inútil y que la seguridad del mismo recae directamente en la dificultad para descifrar su clave.

Siguiendo el principio de Kerckhoffs un gran número de diseños de cifradores actuales son abiertos y utilizan claves tan fuertes que podría tardarse años (cientos o miles) intentando descifrarlas con la capacidad de cómputo actual, aspecto que será revaluado al final del documento.

Teniendo ahora una somera visión del camino de la criptografía hasta nuestros días, es importante mencionar de forma muy breve algunas de sus aplicaciones.

Bases de Datos

Los motores de bases de datos incluyen algoritmos criptográficos dentro de su abanico de funciones, cuya implementación en sistemas de información es muy recomendable, evitando codificarlos o reusar código fuente de terceros.

Comunicaciones en Internet

TLS v1.2 es un protocolo derivado de SSL que provee comunicaciones seguras a través de la Internet, previniendo eavesdropping, tampering o message forgery. Una gran ventaja del protocolo es su capacidad de encapsular datos de capa de aplicación, ofreciendo transparencia en el desarrollo e implementación de aplicaciones, así como servir de plataforma de seguridad para protocolos (de capa superior) como HTTP, SMTP, NNTP o SIP.
TLS ofrece confidencialidad mediante criptografía simétrica, cifrando los datos con diferentes llaves para cada conexión, integridad utilizando funciones de hashing y autenticación mediante el uso de algoritmos de llave
pública.

Autenticación: Kerberos

Protocolo de autenticación que permite validar identidades de participantes durante un intercambio de mensajes, fue desarrollado por el MIT con base en el paper de Needmham y Schroeder de1978.

Su funcionamiento requiere un servidor central contra el cual los usuarios deben autenticarse primero, conocido como Key Distribution Center (KDC). Una vez se ha validado su identidad, se le entrega al usuario un ticket de sesión que utilizará para autenticarse contra los demás servidores que “confían” plenamente en el KDC y sólo aceptan solicitudes de cualquier usuario que se identifique con un ticket de sesión, mismo que podrá ser reutilizado en diferentes servidores hasta que termine su tiempo de expiración. Kerberos constituye uno de los mecanismos más seguros de autenticación además de proveer una solución robusta de single sign-on.

La última versión, Kerberos 5, permite utilizar una gran cantidad de algoritmos criptográficos simétricos, asimétricos y de hashing, que implementa mayoritariamente de forma híbrida (por ejemplo 3DES-CBC-SHA1).

GnuPG

Herramienta de línea de comandos que implementa el protocolo OpenPGP (que a su vez usa PGP 5 como base), que permite ofrecer confidencialidad, administración de llaves, autenticación y firmas digitales, mediante la combinación del uso de criptografía simétrica y de llave pública.

P2P: MSE

El Message Stream Encryption (MSE) es un protocolo de cifrado utilizado en gran parte de la red torrent (y otros protocolos P2P), que sirve de envoltura a los flujos de datos y los protege de ser detectados como tráfico torrent, evitando así su filtrado por parte de terceros (como ISPs). De igual forma se consideró durante su diseño que MSE ofreciera protección en contra de eavesdroping y ataques man-in-the-middle.
MSE utiliza Diffie-Hellman para acordar la llave secreta, SHA-1 como función de hashing y RC4 para cifrar la comunicación debido a su
seguridad y velocidad (razón por la cual fue elegido en lugar de AES). Es importante aclarar que el objetivo del protocolo es “aleatorizar” el flujo de datos sin garantizar su integridad o la autenticación de los peers.

Wi-Fi

Tres diferentes protocolos permiten a un usuario conectarse a una red inalámbrica: WEP, WPA y WPA2.
A pesar de ser el más utilizado, WEP presenta vulnerabilidades serias debido principalmente a una deficiente alimentación del cifrador RC4. Fue
tan grave este error que se decidió generar un nuevo protocolo de comunicaciones wi-fi que reemplazara a WEP, así apareció WPA que utiliza
de una forma más adecuada a RC4 e incluye dos nuevos protocolos: TKIP (Temporal Key Integrity Protocol), que genera llaves diferentes para cada
sesión de usuario, y EAP (Extensible Authentication Protocol) que permite autenticar clientes de forma segura utilizando un servidor tipo RADIUS,
características que solucionan gran parte de los problemas de WEP. Sin embargo el protocolo wi-fi más seguro es WPA2, que incluye las
características de WPA y reemplaza a RC4 por AES, incrementando así en mayor medida la seguridad de la conexión.

Celular: GSM-EDGE-GPRS

La transmisión de voz vía GSM o EDGE desde el handset del usuario hasta la antena de la estación es cifrada mediante el algoritmo A5/3, mientras que GPRS utilliza GEA3. Ambos son cifradores de flujos que utilizan el cifrador de bloque Kasumi en modo OFB (output feedback) que les sirve como generador pseudoaleatorio.

Mensajería Instantánea

La mensajería instantánea es una actividad convertida en costumbre para un gran número de internautas, que desconocen que la mayoría de clientes de
IM que utilizan transmiten todas sus conversaciones en texto claro, de hecho usuarios poco experimentados comparten información sensible por
este medio de comunicación sin saber los riesgos que están corriendo.
Existe una comparación de diferentes características de clientes de mensajería instantánea en wikipedia:

http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_clients

Evidentemente la criptografía se encuentra presente en algunas de nuestras actividades diarias, y poco (o nada) sabemos acerca de qué tipo de algoritmos criptográficos se utilizan en cada una de ellas, imposibilitándonos entender qué tan seguros o vulnerables nos encontramos. Así como en los cuadros anteriores, existen muchas más aplicaciones de la criptografía, como transmisión de televisión (y su respectiva restricción de canales premium),
transmisión de señales satelitales, telefonía celular, creación de contraseñas, e-commerce, comunicaciones militares, bluetooth, VPN, etc. Es importante conocer cómo las aplicaciones o dispositivos con que interactuamos cotidianamente transmiten nuestra información, no sólo qué algoritmos implementan, sino también el tamaño de las claves que utilizan, porque según el principio de Kerckhoffs, en la fortaleza de la llave reside realmente la seguridad de la información transmitida.

El número de bits de la llave o del hash, dependiendo del caso, es un tema realmente crítico en criptografía que debe ser evaluado cuidadosamente por el profesional encargado de seguridad, afortunadamente existen recomendaciones útiles como apoyo técnico en este sentido que pueden ser consultadas en www.keylength.com.

Para terminar de hablar de criptografía moderna, el siguiente cuadro sugiere los algoritmos recomendables a implementar en las soluciones tecnológicas de la actualidad.

Hasta aquí llega la primera parte de este articulo, en la segunda edición hablaremos sobre la criptografía cuántica, espero que les gustara este articulo y me lo hagan saber con sus comentarios.

Otras partes del Articulo:

Este articulo fue escrito por Anaxmon para La Comunidad DragonJAR, tú también puedes enviar tus artículos para publicarlos en la comunidad, como ya lo hicieron Axiacamus, Eduardo Restrepo,, Epsilon, 4v4t4r, Cortex, Cronopio, D7n0s4ur70, Laura JAR y SamuraiBlanco; Solo tienes que enviar tu articulo a dragon(arroba)dragonjar.org.

También puede interesarte...

Manual de TrueCrypt

DragoN — Sun, 17 May 2009 08:54:15 +0000

TryeCrypt es una de las mejores soluciones disponibles en el mercado, para cifrar información importante, es gratuita y multiplataforma (GNU/Linux, Mac OS X, Windows XP/2000/2003/Vista/Seven), es recomendada para proteger tu información sensible y así evitar que personas no autorizadas tengan acceso a ella.

En la comunidad Seifreed ha realizado una serie de manuales muy graficos y paso a paso de TrueCrypt, que van desde su instalación hasta el uso de la herramienta, los dejo a continuación con la primera parte del manual:

Bueno voy hablaros de TrueCrypt un software que permite crear un volumen virtual cifrado en un archivo de forma rápida y transparente. Lo que hace TrueCrypt es crear un “volumen secreto”, que consiste en un archivo que puede tener cualquier nombre y que TrueCrypt puede montar como una unidad de disco, con su identificación respectiva, según el sistema operativo utilizado. El contenido de ese archivo tiene su propio sistema de archivos y todo lo necesario para operar como una unidad común de almacenamiento. Lo que se grabe en esa unidad virtual se cifra usando tecnología punta y con la potencia de cifrado que el usuario elija. Cuando se “monta” la unidad a través de TrueCrypt, se pide la contraseña que el usuario escogió al momento de crear este archivo secreto.
Fuente
Bien hare una guía sobre todas las funcionalidades de TrueCrypt que irá dividida en varias partes.
En la primera veremos crear un volumen cifrado con TrueCrypt y poder llevárnoslo a donde queramos.
Bajamos el software de la página principal
TrueCrypt
Y luego nos bajamos el paquete de idiomas para TrueCrypt
Idiomas
Para instalar TrueCrypt no tiene demasiada complicación es siguiente siguiente hasta finalizar aunque tendremos que escoger si lo queremos para PC o en un USB:
En el caso que sea para instalar en PC local ponemos install y en el caso de que sea para USB ponemos Extract
Para instalar el paquete de idiomas descomprimimos el paquete de idiomas dentro de la carpeta
C:\Archivos de Programa\TrueCrypt
Una vez instalado lo iniciamos nos saldrá esto:
Una vez nos salga esta pantallita le damos a Crear Volumen y entonces nos saldrá el tipo de volumen que queramos crear:
Aqui podemos hacer tres cosas, :
Create and Encrypted file container: crear un “Baul” en donde dentro pondremos los archivos y cuando se monte dicho baul es decir se quiera mirar lo que hay dentro se montará como disco duro virtual.
Encrypt a non-systempartition/Drive: Esta opción encriptará una partición o un disco duro externo.
Encriptar la partición del sistema o la unidad system: Esto cifrará la partición del sistema actual es decir normalmente la C:
Nosotros dejaremos la primera opción, y le daremos a siguiente.
Entonces nos saldrá algo así:
Podemos crear un volumen comun que o un volumen escondido de Truecrypt la diferencia es que en el escondido creas un volumen truecrypt dentro de otro volumen truecrypt
Nosotros escojeremos la primera opción y le daremos a siguiente aquí nso saldrá algo así:
Aqui seleccionaremos donde guardaremos el baul que contendrá nuestros archivos cifrados, elejimos una ruta donde lo guardamos:
Como veis ahi está en mi caso la ruta donde se guardarán los archivos, le damos a siguiente y nos encontraremos con el tipo de encriptacióna cojer,
Hay diferentes tipos de encriptación buscad por ahí las especificaciones de cada una y escojed la que mas se adeque a vuestras necesidades.
La cojemos y le damos a siguiente:
En mi caso he cojido 50 Mb no necesito mas, a de quedar una cosa clara.
El baul creado por TrueCrypt una vez creado NO se le puede cambiar el tamaño asi que aseguraros de cojer bien el tamaño que necesiteis entonces le damos a siguiente:
Aquí esta muy claro lo que hemos de hacer que es ponerle una contraseña al Volumen que crearemos, luego le damos a siguiente:
Ahora en este paso estamos creando la encriptación del volumen, si movemos el raton encima de lo de Pool Aletorio
haremos que la encriptación sea mejor, una vez que pensemos que ya estará bien encriptado le damos a Formatear
Una vez que haya acabado nos saldrá este mensaje:
Vale ahora una vez hayamos creado el volumen vamos a aprender a montar el volumen para su uso posterior, es decir poder guardar nuestros archivos en el baul cifrado. Abrimos true Crypt le damos a Seleccionatr Archivo cojemos el archivo cifrado que hayamos echo y le damos a montar, nos pedirá password pero le ponemos la que habíamos configurado previamente
Una vez hayamos metido la contraseña nos montara una unidad de disco duro que será donde deberemos guardar nuestros archivos hemos de escojer una letra para montar la unidad:
Como veis me la ha creado con la letra C:, vamos a MI PC a comprobar si es verdad:
Como veis ahí está la partición donde podremos nuestros datos cifrados
Y hasta aquí la primera parte de Usando TrueCrypt, para continuar con la segunda parte del articulo pueden entrar al Foro de La Comunidad DragonJAR en el post Usando TrueCrypt-Parte II

Mas Información:
Pagina Oficial de TrueCrypt
Segunda Parte del Manual

También puede interesarte...

Sin SSL ¿Y Ahora Quien Podrá Defendernos?

DragoN — Fri, 20 Feb 2009 04:46:42 +0000

¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip en el Black Hat 2009. Herramienta que pone en duda la fiabilidad el protocolo de cifrado mas utilizado en Internet (SSL – Secure Socket Layer).

SSLStrip es una herramienta que permite realizar un ataque “man-in-the-middle” engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado SSL (HTTPS). En realidad tus datos se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.

Últimamente la seguridad del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.

Recuerdo que Buanzo en el Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.

Les dejo una entrevista realizada por Jeff Moss (Fundador de Black Hat) a Moxie Marlinspike (Creador del SSLStrip)

Mas Información:
Presentacion en Black Hat
SSL-Strip en Kriptopolis
Articulo en Forbes
Enigform: Firefox Addon for OpenPGP signing of HTTP requests

También puede interesarte...

OpenStego, solución libre para esteganografía

DragoN — Fri, 22 Feb 2008 19:37:52 +0000

Ya han sido nombradas varias soluciones referentes a temas de esteganografía en el Blog (Esteganografía Documentacion y Software, Proyecto libre StegSecret). El día de hoy queremos nombrar otra solución más para este tipo de técnicas.

Se trata de la herramienta libre OpenStego, una solución de código abierto distribuida bajo los términos de la licencia GNU/GPL en su versión número 2.
OpenStego permite llevar a cabo el proceso de ocultación de mensajes en imágenes, además de reforzar la técnica mediante la utilización de una contraseña, haciendo más dificil el descifrado del texto.

OpenStego destaca por su sencillez en el momento de uso, sumado a la portabilidad y tamaño de la herramienta.
Veamos un pequeño manual “paso a paso” de este proceso:

Después de descargar la herramienta OpenStego (+/- 200 Kb), procedemos a ejecutar el archivo openstego.bat (en windows) o openstego.sh (en linux)

Interfaz gráfica de la herramienta

Seleccionamos el mensaje a cifrar (Messaje File)

En este caso un simple mensaje de texto

Seleccionemos ahora la imágen en la cual ocultaremos el mensaje (Cover File)

En este caso un banner de DragonJAR

Imágen de salida (Output Stego File, la imágen que enviaremos a nuestro destinatario)

Otras opciones adicionales de cifrado. Se recomienda utilizar cifrado de datos (Encrypt Data), para ello se nos pide una contraseña

Si seguimos el “paso a paso”, debemos tener una imágen similar a la siguiente

Finalmente clic en ok para ejecutar el cifrado con OpenStego

Veremos el siguiente mesaje de terminado

El destinatario del mensaje debe llevar a cabo los siguiente pasos para descifrar el mensaje original recibido

Ejecutar la herramienta OpenStego y ubicarse en la pestaña Extract

Acto seguido seleccionamos el archivo cifrado (imágen generado por el emisor, mensaje_oculto.bmp), además de la carpeta que almacenará el mensaje descifrado.

Es necesario digitar la contraseña adicionada en el paso anterior (ya que decidimos darle un mayor nivel de seguridad).

Mensaje de proceso completado. Ha descifrado el mensaje oculto en la imágen (esteganografía)

Aquí termina este pequeño manual paso a paso de la herramienta OpenStego, mediante un ejemplo simple de uso.