Yury Lifshits el conocido matemático ruso, que trabaja para como científico en Yahoo!, miembro de los grupos Paradise group y Theory group, ha publicado varios de los cursos que ha dictado en los últimos años por distintos institutos y universidades, en diferentes partes del mundo.

Dentro de los cursos publicados por lifshits podremos encontrar referencias a sistemas de búsquedas, algoritmos de reputación, charlas sobre la nueva web, entre otros que pongo a continuación:

• The New Web. Tutorial at CS Club at Steklov Institute of Mathematics – (2008)
• Reputation Systems. Tutorial at Caltech – (2008)
• Algorithmic Problems Around the Web. CS101.2 course at Caltech – (2007)
• Algorithms for Nearest Neighbor Search. Tutorial at RuSSIR’07 – (2007)
• A Guide to Web Research. Mini course at Stuttgart University – (2007)
• Obfuscation y Cryptography. Invited course at Tartu University – (2006)
• Lectures on Program Obfuscation. Course was supported by Intel Corp. – (2005)

Me llamo la atención lo completo de sus cursos sobre criptografía y ofuscación, por ese motivo he creado esta nota y hago referencia a el siguiente material.

Notas sobre el Curso Programa de ofuscación y criptografía en la Universidad de Tartu, primavera de 2005

Documentación sobre ofuscación y criptografía:

• Capitulo 1: Introduction to Obfuscation. Black-box Security Presentación en PDF y Folleto en PDF
• Capitulo 2: Obfuscation Around Point Functions Presentación en PDF y Folleto en PDF
• Capitulo 3: Oblivious RAM Presentación en PDF y Folleto en PDF
• Capitulo 4: Private Circuits Presentación en PDF y Folleto en PDF
• Capitulo 5: Industrial Approach: Obfuscating Transformations Presentación en PDF y Folleto en PDF

Notas sobre el Curso Programa de ofuscación en la Universidad Estatal de San Petersburgo, primavera de 2005

Documentación sobre ofuscación:

• Capitulo 1: Different Approaches to Program Obfuscation Presentación en PDF
• Capitulo 2: Practical Obfuscation Techniques Presentación en PDF y Folleto en PS
• Capitulo 3: Provable Secure Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 4: Applications of Program Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 5: Program Obfuscation y Classical Cryptography Presentación en PDF y Folleto en PS
• Capitulo 6: Open Problems in Program Obfuscation Presentación en PDF y Folleto en PS

Espero que les esa de utilidad esta información.

También puede interesarte...

• Capacitación gratuita para realizar el CEH de EC-Council
• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Así fue el COMBAT Training en Medellín
• Curso de Introducción a la Seguridad Informática
• Así fue el COMBAT Training en Bogotá
• El arte de ocultar información – Esteganografía

Habiendo recorrido -brevemente- el pasado y presente (ver parte I de este articulo), el camino de la criptografía sólo nos permite mirar hacia el futuro, en el cual esta área de estudio tendrá grandes desafíos por cuenta de la aparición de la computación cuántica, término que puede tener tintes de ficción, pero que se encuentra más cercano de lo que se cree debido a la aceleración de desarrollos e investigaciones que se adelantan actualmente. A continuación se enumeran algunos ejemplos.

D-Wave anuncia en 2007 que trabaja en el prototipo de la primera computadora cuántica
comercial. http://www.dwavesys.com/

Científicos de la Delft University of Technology de Holanda fabrican el primer componente cuántico en un chip.
JR Minkel – Scientific American. Superconducting Qubits Tie the NOT Gate.

http://www.scientificamerican.com/article.cfm?id=superconducting-qubits-tie-the-not-gate

Google investiga el área de búsquedas con algoritmos cuánticos.
Official Google Research Blog. Machine Learning with Quantum Algorithms. Diciembre 8 de 2009.

http://googleresearch.blogspot.com/2009/12/machine-learning-with-quantum.html

Científicos del NIST crean el primer computador cuántico con fines prácticos, debido a que incluye un procesador cuántico programable.
NIST. NIST Demonstrates „Universal‟ Programmable Quantum Processor. Noviembre 17 de 2009.

http://www.nist.gov/public_affairs/techbeat/tb2009_1117.htm#processor

Entrando en materia, la mecánica cuántica estudia el mundo a escala de una millonésima de metro, donde las leyes de la mecánica (newtoniana) que conocemos dejan de tener validez, y en cambio surgen nuevos postulados que parecen no tener el más absoluto sentido para nuestra “lógica normal”. Ésta es un área muy estudiada cuyas demostraciones no dejan prácticamente duda de su naturaleza dual y aleatoria, que afirma que una partícula no se
encuentra en un punto exacto medible, sino dentro de una “nube” de posibles ubicaciones, es decir, que en un momento una partícula tendría la misma posibilidad de estar en un punto determinado o en un punto cercano (realmente se ha demostrado que la partícula está en todos lados  simultáneamente)…

Aplicada a la informática, la computación cuántica traería un incremento increíble en el número de operaciones por segundo que un procesador puede  ejecutar, así un computador  cuántico puede realizar en un tiempo razonable algunas tareas que tomarían tiempos ridículamente largos en un computador actual. Mediante un ejemplo Google explica esta afirmación: si hay una pelota escondida en un mueble con un millón de cajones, ¿cuánto podría tardarse en encontrar la pelota? En promedio, con un computador normal, sería necesario revisar 500.000 cajones para resolver el problema,  mientras un computador cuántico podría hacerlo buscando en apenas 1.000 cajones. El secreto radica en que un computador cuántico puede calcular varias operaciones simultáneamente en lugar de hacerlo de forma lineal (una a una) como un computador clásico, debido a que puede tomar varios estados en un momento determinado conforme a la mecánica cuántica descrita anteriormente. Mientras un computador actual funciona con bits que pueden cambiar entre 2 estados (cero o uno), un computador cuántico lo hace con qubits que pueden tomar ambos valores a la vez o en superposición.

Habiendo “entendido” un poco de computación cuántica y reflexionando desde un punto de vista criptográfico, lo primero que puede pensarse es que el  tiempo para encontrar una llave sería drásticamente reducido, poniendo en completo peligro la seguridad de la información protegida. De hecho, es  probable que las matemáticas en que se basa la criptografía moderna puedan no ofrecer una resistencia apropiada frente a un computador cuántico. Esta  situación afectaría los intereses de un gran número de compañías que ofrecen servicios tales como PKI (public key infrastructure), e-commerce, banca, comunicaciones, etc.

Paradójicamente la misma computación cuántica trae consigo nuevas posibilidades para proteger la información, que los profesionales de seguridad  deberán conocer para implantar en las organizaciones y ayudarles a superar ataques “cuánticos” contra sus sistemas criptográficos.
Al final del camino nos resta, como siempre en el área de tecnología, continuar estudiando e investigando, esta vez en el nuevo campo de la  computación cuántica y su influencia sobre la seguridad de los datos que tenemos protegidos mediante criptografía moderna, su impacto sobre negocios  como comercio electrónico, y por qué no, qué nuevos desarrollos podemos proponer para proteger la información usando esta tecnología  emergente. Al menos, y debido su importancia, es conveniente estar al tanto de la evolución de los adelantos que la mecánica cuántica induce sobre la  informática y cómo afecta directamente nuestros sistemas e información.

Bibliografía

• K. Raeburn, “Encryption and Checksum Specifications for Kerberos 5″, RFC 3961, Febrero de 2005.

  http://www.rfc-editor.org/rfc/rfc3961.txt

• T. Dierks, “The Transport Layer Security (TLS) Protocol Version 1.2”, RFC5246, Agosto de 2008.

  http://tools.ietf.org/html/rfc5246

• Azureus Wiki, “Message Stream Encryption”, 2007.

  http://www.azureuswiki.com/index.php/Message_Stream_Encryption

• GSM WORLD, “GSM Security Algorithms”.

  http://www.gsmworld.com/our-work/programmes-and-initiatives/fraud-and-security/gsm_security_algorithms.htm

• MySQL 5.1 Reference Manual. “Encryption and Compression Functions”.

  http://dev.mysql.com/doc/mysql/en/encryption-functions.html

• PostgreSQL 8,3,8 Documentation, “pgcrypto”.

  http://www.postgresql.org/docs/8.3/static/pgcrypto.html

• BERSON, Tom. “Skype Security Evaluation”. Octubre de 2005.

  http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf

• Werner Koch. GnuPG Features. 2002.

  http://www.gnupg.org/features.en.html

• J. Callas, L. Donnerhacke, H. Finney, D. Shaw, R. Thayer. OpenPGP Message Format. RFC 4880. Noviembre de 2007.

  http://www.ietf.org/rfc/rfc4880.txt

• Johannes Buchmann, Erik Dahmen, Alexander May and Ulrich Vollmer, TU Darmstadt. Perspectives for long-term cryptographic security. Mayo 2007
• Wayne Redmond. “Is the future of cryptography in qubits” 2002. SANS Institute.

Espero que les sea de ayuda este texto, recuerden que la primera parte del articulo la encuentran en Bits y Qubits, El camino de la criptografía – Parte I

Otras partes del Articulo:

• Bits y Qubits, El camino de la criptografía – Parte I
• Bits y Qubits, El camino de la criptografía – Parte II

Este articulo fue escrito por Anaxmon para La Comunidad DragonJAR, si deseas descargar este articulo en pdf, puedes hacerlo desde este enlace. Recuerda que tú también puedes enviar tus artículos para publicarlos en la comunidad, como ya lo hicieron Axiacamus, Eduardo Restrepo,, Epsilon, 4v4t4r, Cortex, Cronopio, D7n0s4ur70, Laura JAR y SamuraiBlanco; Solo tienes que enviar tu articulo a dragon(arroba)dragonjar.org.

También puede interesarte...

• Rompen el primer sistema de criptografía cuántica
• Bits y Qubits, El camino de la criptografía – Parte I
• The Pirate Bay planea cifrar la red, hora de utilizar criptografía fuerte.
• El desarrollo de la criptografía cuántica descifrará todas las claves actuales
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Importar Musica del iPhone o iPod Touch al Disco Duro
• LapSec – Asegura tu Laptop con un Click
• Congreso Nacional de Estudiantes de Ingeniería de Sistemas y Computación

Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir,  mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. De hecho el alemán Auguste Kerckhoffs3, planteó un principio en el que argumenta que “la fortaleza de un cifrador está en la fortaleza de su llave y no en cuán secreto sea su algoritmo”, valiosa lección que fue comprobada con sangre por sus compatriotas derrotados en la segunda guerra mundial, que se comunicaban con máquinas que cifraban las comunicaciones (como la Enigma4) cuyo diseño era evidentemente secreto, mecanismo que fue realmente efectivo hasta que el inglés Alan Turing5 (quien sentó las bases de la computación moderna) logró descifrar sus transmisiones en uno de los casos de criptoanálisis más memorables, evidenciando que el esfuerzo de mantener secreto un algoritmo de cifrado es inútil y que la seguridad del mismo recae directamente en la dificultad para descifrar su clave.

Siguiendo el principio de Kerckhoffs un gran número de diseños de cifradores actuales son abiertos y utilizan claves tan fuertes que podría tardarse años (cientos o miles) intentando descifrarlas con la capacidad de cómputo actual, aspecto que será revaluado al final del documento.

Teniendo ahora una somera visión del camino de la criptografía hasta nuestros días, es importante mencionar de forma muy breve algunas de sus aplicaciones.

Bases de Datos

Los motores de bases de datos incluyen algoritmos criptográficos dentro de  su abanico de funciones, cuya implementación en sistemas de información es muy recomendable, evitando codificarlos o reusar código fuente de terceros.

Comunicaciones en Internet

TLS v1.2 es un protocolo derivado de SSL que provee comunicaciones seguras a través de la Internet, previniendo eavesdropping, tampering o message forgery. Una gran ventaja del protocolo es su capacidad de encapsular datos de capa de aplicación, ofreciendo transparencia en el desarrollo e implementación de aplicaciones, así como servir de plataforma de seguridad para protocolos (de capa superior) como HTTP, SMTP, NNTP o SIP.
TLS ofrece confidencialidad mediante criptografía simétrica, cifrando los datos con diferentes llaves para cada conexión, integridad utilizando funciones de hashing y autenticación mediante el uso de algoritmos de llave
pública.

Autenticación: Kerberos

Protocolo de autenticación que permite validar identidades de participantes durante un intercambio de mensajes, fue desarrollado por el MIT con base en el paper de Needmham y Schroeder de1978.

Su funcionamiento requiere un servidor central contra el cual los usuarios deben autenticarse primero, conocido como Key Distribution Center (KDC). Una vez se ha validado su identidad, se le entrega al usuario un ticket de sesión que utilizará para autenticarse contra los demás servidores que “confían” plenamente en el KDC y sólo aceptan solicitudes de cualquier usuario que se identifique con un ticket de sesión, mismo que  podrá ser reutilizado en diferentes servidores hasta que termine su tiempo de expiración. Kerberos constituye uno de los mecanismos más seguros de autenticación además de proveer una solución robusta de single sign-on.

La última versión, Kerberos 5, permite utilizar una gran cantidad de algoritmos criptográficos simétricos, asimétricos y de hashing, que implementa mayoritariamente de forma híbrida (por ejemplo 3DES-CBC-SHA1).

GnuPG

Herramienta de línea de comandos que implementa el protocolo OpenPGP (que a su vez usa PGP 5 como base), que permite ofrecer confidencialidad, administración de llaves, autenticación y firmas  digitales, mediante la  combinación del uso de criptografía simétrica y de llave pública.

P2P: MSE

El Message Stream Encryption (MSE) es un protocolo de cifrado utilizado en gran parte de la red torrent (y otros protocolos P2P), que sirve de envoltura a los flujos de datos y los protege de ser detectados como tráfico torrent, evitando así su filtrado por parte de terceros (como ISPs). De igual forma se consideró durante su diseño que MSE ofreciera protección en contra de eavesdroping y ataques man-in-the-middle.
MSE utiliza Diffie-Hellman para acordar la llave secreta, SHA-1 como función de hashing y RC4 para cifrar la comunicación debido a su
seguridad y velocidad (razón por la cual fue elegido en lugar de AES). Es importante aclarar que el objetivo del protocolo es “aleatorizar” el flujo de datos sin garantizar su integridad o la autenticación de los peers.

Wi-Fi

Tres diferentes protocolos permiten a un usuario conectarse a una red inalámbrica: WEP, WPA y WPA2.
A pesar de ser el más utilizado, WEP presenta vulnerabilidades serias debido principalmente a una deficiente alimentación del cifrador RC4. Fue
tan grave este error que se decidió generar un nuevo protocolo de comunicaciones wi-fi que reemplazara a WEP, así apareció WPA que utiliza
de una forma más adecuada a RC4 e incluye dos nuevos protocolos: TKIP (Temporal Key Integrity Protocol), que genera llaves diferentes para cada
sesión de usuario, y EAP (Extensible Authentication Protocol) que permite autenticar clientes de forma segura utilizando un servidor tipo RADIUS,
características que solucionan gran parte de los problemas de WEP. Sin embargo el protocolo wi-fi más seguro es WPA2, que incluye las
características de WPA y reemplaza a RC4 por AES, incrementando así en mayor medida la seguridad de la conexión.

Celular: GSM-EDGE-GPRS

La transmisión de voz vía GSM o EDGE desde el handset del usuario hasta la antena de la estación es cifrada mediante el algoritmo A5/3, mientras que GPRS utilliza GEA3. Ambos son cifradores de flujos que utilizan el cifrador de bloque Kasumi en modo OFB (output feedback) que les sirve como generador pseudoaleatorio.

Mensajería Instantánea

La mensajería instantánea es una actividad convertida en costumbre para un gran número de internautas, que desconocen que la mayoría de clientes de
IM que utilizan transmiten todas sus conversaciones en texto claro, de hecho usuarios poco experimentados comparten información sensible por
este medio de comunicación sin saber los riesgos que están corriendo.
Existe una comparación de diferentes características de clientes de mensajería instantánea en wikipedia:

http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_clients

Evidentemente la criptografía se encuentra presente en algunas de nuestras actividades diarias, y poco (o nada) sabemos acerca de qué tipo de  algoritmos criptográficos se utilizan en cada una de ellas, imposibilitándonos entender qué tan seguros o vulnerables nos encontramos. Así como en los cuadros anteriores, existen muchas más aplicaciones de la criptografía, como transmisión de televisión (y su respectiva restricción de canales premium),
transmisión de señales satelitales, telefonía celular, creación de contraseñas, e-commerce, comunicaciones militares, bluetooth, VPN, etc. Es importante conocer cómo las aplicaciones o dispositivos con que interactuamos cotidianamente transmiten nuestra información, no sólo qué algoritmos implementan, sino también el tamaño de las claves que utilizan, porque según el principio de Kerckhoffs, en la fortaleza de la llave reside realmente la seguridad de la información transmitida.

El número de bits de la llave o del hash, dependiendo del caso, es un tema realmente crítico en criptografía que debe ser evaluado cuidadosamente por el profesional encargado de seguridad, afortunadamente existen recomendaciones útiles como apoyo técnico en este sentido que pueden ser consultadas en www.keylength.com.

Para terminar de hablar de criptografía moderna, el siguiente cuadro sugiere los algoritmos recomendables a implementar en las soluciones tecnológicas de la actualidad.

Hasta aquí llega la primera parte de este articulo, en la segunda edición hablaremos sobre la criptografía cuántica, espero que les gustara este articulo y me lo hagan saber con sus comentarios.

Otras partes del Articulo:

• Bits y Qubits, El camino de la criptografía – Parte I
• Bits y Qubits, El camino de la criptografía – Parte II

Este articulo fue escrito por Anaxmon para La Comunidad DragonJAR, tú también puedes enviar tus artículos para publicarlos en la comunidad, como ya lo hicieron Axiacamus, Eduardo Restrepo,, Epsilon, 4v4t4r, Cortex, Cronopio, D7n0s4ur70, Laura JAR y SamuraiBlanco; Solo tienes que enviar tu articulo a dragon(arroba)dragonjar.org.

También puede interesarte...

• Crackear redes inalambricas con WPA en 1 Minuto
• Las peores Contraseñas en Español
• Las Peores 500 Contraseñas de Todos los Tiempos
• Tus busquedas en Google ahora Cifradas
• Kits de crackeo wireless en china
• WiBOG – Wireless Bogotá
• Geelbe crackeado ¡Cambia tus Claves YA!
• Fallo en OpenSSL permite obtener clave privada

El primer día del EISI comienza con el proceso de inscripciones, algo que puedo decir (ya que tengo bastante experiencia asistiendo a este tipo de encuentros), es que este proceso algunas veces es muy estresante y demorado, pero en este caso no fue así, si estabas pre inscrito y habías confirmado tu pago con la universidad de manizales, solo tenias que ingresar por tu escarapela (que ya tenia tu nombre), la carpeta con las memorias y programación del evento, si no estabas pre inscrito tenias que hacer un breve registro, bastante organización en este aspecto por las personas de la logística.

Directivos de la Universidad, Del Municipio y La Gobernación

Después de la inscripción se inauguró oficialmente el evento por parte del rector de la universidad, el decano de la facultad de ingeniería y representantes de la gobernación, el municipio y después pasamos a la primera charla de luciano bello llamada Kryptos.

Luciano Bello dando su Charla sobre Kryptos

En la primera charla de Luciano Bello nos habla sobre Kryptos, una de las esculturas creada por el artista James Sanborn,  que se encuentra instalada en el exterior de las oficinas de la CIA en Langley, Virginia desde 1990 y criptografia clásica.

Descargar Charla de Luciano Bello sobre Krytos

Luego de la charla de luciano, Martin Rubio de LowNoise nos explica como estará implementado el WarGame, las reglas y la infraestructura que tendrá, este es el primer wargame del tipo CTF (Capture The Flag) que se hace públicamente en Colombia y nuestra comunidad participa en el con 2 equipos.

La siguiente charla fue sobre desarrollo de malware, dictada por el ingeniero Guillermo Jurado, donde nos explica cómo detectar un desbordamiento de buffer (Buffer Overflow) en una aplicación y cómo desarrollar un malware que de aproveche de este fallo

Descargar Charla de Guillermo Jurado sobre Desarrollo de Malware

Respaldos multinivel robustos y simples utilizando rsync – Gunnar Eyal Wolf

En la comunidad ya hemos hablado sobre el uso de rsync para enviar archivos por SSH, pero en esta charla de Gunnar Wolf aprenderemos a llevar estas herramientas un paso mas adelante, realizando Respaldos multinivel robustos y simples en entornos *nix.

Descargar Charla de Gunnar Wolf sobre Respaldos robustos y simples

Leonardo Huertas – Ciberdefensa

La siguiente charla sobre ciberdefensa es realizada por un ponente “de la casa”, nuestro querido Leonardo Huertas (SamuraiBlanco) donde nos explica como se realiza una ciberguerra, por que cada vez es más frecuente este tipo de ataques entre países y en el caso de Colombia, como estamos en esta materia.

Descargar Charla de Leonardo Huertas sobre Ciberseguridad

Si eres un linuxero la chalar de Luis Uribe te gustará, en ella nos explica como funciona el kernel linux, encargado de hacer el puente entre el hardware y nuestro sistema operativo, veremos como asegurar nuestro kernel y que hacer para des-asegurarlo.

Descargar Charla de Luis Uribe sobre LKM’s – (des)asegurando el kernel

Marcelo Rivero – La evolución del Malware (El juego del gato y el ratón)

Marcelo Rivero es el director de www.InfoSpyware.com, una comunidad enfocada a prestar ayuda a usuarios que se ven infectados por este tipo de amenazas a diario, en su charla sobre La evolución del Malware (El juego del gato y el ratón), marcelo rivero se comprometió a enviarnos sus memorias para publicarlas en la comunidad, quedamos a la espera.

Comunidad DragonJAR + Ponentes

Después de las charlas, nada como unas cervecitas para integrar a la gente… y mas si van por cuenta de la comunidad

Esto fue todo lo sucedido el primer día del Encuentro Internacional de Seguridad Informática, aunque en la comunidad ya se empiezan a ver las ya tradicionales “crónicas de…” donde cada usuario muestra su versión del evento, les pongo el enlace a la cronica de axiacamus sobre el primer dia del evento, aunque es muy geek es bastante divertida…

Revisa el reporte de los otros 2 días:

• Tercer Encuentro Internacional de Seguridad Informática – Día I
• Tercer Encuentro Internacional de Seguridad Informática – Día II
• Tercer Encuentro Internacional de Seguridad Informática – Día II

También puede interesarte...

• Call for Papers abierto para el ACK Security Conference
• ACK Security Conference
• Encuentro Internacional de Seguridad Informática – Día 3
• Segundo Encuentro Internacional de Seguridad Informática
• ACK Security Conference – Reviviendo el EISI – Manizales Colombia
• Nuevas Capacitaciones del proyecto Hacking Day
• BackTrack 5
• Se libera The Hacking Day en Colombia

En un movimiento heroico, nuestros segundos suecos favoritos han lanzado un proyecto para cifrar la red entera y así asegurar las comunicaciones y el intercambio de información entre si. Entre los rumores se especula de que puede ser una forma de wrapper a nivel de OS en todas las conexiones de red que podría retroceder a conexiones no cifradas cuando el host de destino no tenga el mismo equipo.

Esta decisión ha sido gracias a un cambio reciente en la ley Sueca, donde se le otorga a las autoridades el poder de escuchar el trafico en la red.

Por lo general, esto no tendría que afectarnos a nosotros ya que vivimos bajo otra legislación, sin embargo, en España ya empezó la inminente cacería para las personas que utilizan P2P para intercambio de información. El ministerio de Cultura e Industria española buscan frenar el intercambio gratuito de contenidos y para ello buscan una colaboración de operadores de comunicaciones e ISPs con entidades que gestionan los derechos de autor. Esto es grave, ya que se están gestionando dichas acciones inclusive a tal punto de modificar el marco jurídico español (y europeo) para poder cumplir con dichos cometidos.

Es hora de empezar a utilizar criptografía fuerte en todas nuestras actividades. ¿Comentarios?

También puede interesarte...

• Bits y Qubits, El camino de la criptografía – Parte II
• Bits y Qubits, El camino de la criptografía – Parte I
• Sacale el jugo a tu conexión de Telmex, Claro, Embratel o NET
• Libro: Internet, Hackers y Software Libre
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Mastercard y Microsoft me premiaron!!
• Me gané 2 Millones de Dolares!!
• WarGame Reto Panda 2010

Juzguen ustedes mismos, personalmente me parece asombroso:

Encerrado, pero no encriptado.
Arranque en frió a ataques a claves cifrados
Aquí les dejo paper completo

También puede interesarte...

• File-Encryptor.com, Encripta y desencripta tus datos de manera OnLine
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Bits y Qubits, El camino de la criptografía – Parte II
• Bits y Qubits, El camino de la criptografía – Parte I
• Recogiendo Evidencias para Análisis Forense en Windows
• Tercer Encuentro Internacional de Seguridad Informática – Día I
• Manual de TrueCrypt
• Análisis forense de memoria RAM en entornos Windows

Quien realizó tal profecía no fue un simple adivino, sino respetables investigadores como Martin Hellman, coinventor de la criptografía de clave pública, y el criptólogo argentino Hugo Scolnik, durante sus intervenciones en el Día Internacional de la Seguridad de la Información en la Universidad Politécnica de Madrid.

Hellman y Scolnik sostienen que la criptografía cuántica está aún en un estado embrionario y hasta dentro de 30 años no se verán sus primeras aplicaciones prácticas, que romperán con facilidad los actuales sistemas de cifrado. Mientras tanto, ha empezado una carrera paralela para proteger la información que debería seguir siendo secreta cuando irrumpa la criptografía cuántica.

Hellman aseguró que está preocupado por si cae en malas manos. De momento, los investigadores trabajan en una de las pocas soluciones a su alcance: cifrar las cosas por duplicado, combinando criptografía simétrica y asimétrica, de forma que si la cuántica rompe la asimétrica, quede aún en pie la simétrica. El problema, dijo, es que “es muy caro, por lo que sólo puede usarse para información realmente valiosa”.

El riesgo de que esta novedosa tecnología se use con fines perversos no es ninguna utopía, ya ha sucedido con los programas informáticos, como demostró Sergio de los Santos, consultor de seguridad de Hispasec Sistemas: “En el código malicioso hemos pasado del romanticismo al todo por la pasta, gente organizada que presta especial atención a atacar la banca en línea”. Como ejemplo de su creciente poder, mostró fotos de una lujosa fiesta en Praga que reunió a algunos de estos nuevos criminales.
Troyanos latentes

Según De los Santos, “funcionan como una industria, el código que producen es muy bueno y sofisticado, optimizando los recursos para obtener mayores beneficios”.

Ni los antivirus ni los cortafuegos protegen ya contra estos criminales que “han tomado la web para distribuir sus códigos y también como parte de su infraestructura”, refiriéndose a la Rusian Business Network, una empresa de San Petersburgo que vende servicios web para distribución de código maligno y phishing.

Muestra de la sofisticación de esta industria es la familia de troyanos Sino Wall, explicó De los Santos: “Una vez te has infectado, el troyano queda latente, vigilando tus hábitos de navegación. Cuando detecta que has visitado algo interesante, por ejemplo un banco, envía esta información cifrada al criminal, que decide si es un objetivo apetecible y si tiene algún código malicioso específico para él. Si se da el caso, lo instala en tu máquina para que robe tus claves”.

Otra muestra de la complejidad de estos troyanos es su funcionamiento modular, de forma que el mismo pueda servir para diversas funciones, al gusto del criminal: enviar correo basura, bombardear redes o infectar otros ordenadores. Además, detectan el navegador que está usando su víctima y descargan troyanos específicos para aprovechar los agujeros de este programa. Fernando Acero, de Hispalinux, añadió: “Si tu ordenador está infectado con un troyano, hará las operaciones que quiera con tu DNI electrónico”.

El director de la Agencia Española de Protección de Datos, Artemi Rallo, ofreció otro ejemplo de mal uso de la tecnología: el trabajador que instala en el ordenador de su oficina un programa de intercambio de archivos y lo configura mal, de forma que abre al acceso público la base de datos de la empresa, con información privada de miles de personas. “Ya ha habido una sanción y habrá otras, algunas por datos más sensibles”, anunció Rallo.

El director de la agencia se quejó de que “no hay información sobre los riesgos que plantean las herramientas tecnológicas, ni tampoco conciencia ciudadana sobre privacidad”. Y preguntó al público: “¿Cuántos ciudadanos pulsan la cláusula de privacidad de la web que visitan?: uno de cada 10.000. Nadie quiere perder ni tres segundos en conocer los riesgos a que se expone”.

También puede interesarte...

• Bits y Qubits, El camino de la criptografía – Parte II
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Rompen el primer sistema de criptografía cuántica
• Bits y Qubits, El camino de la criptografía – Parte I
• Tercer Encuentro Internacional de Seguridad Informática – Día I
• The Pirate Bay planea cifrar la red, hora de utilizar criptografía fuerte.
• Burlada tecnología de encriptacion de Discos
• File-Encryptor.com, Encripta y desencripta tus datos de manera OnLine

File-Encryptor.com no se queda atrás, y ofrece de manera gratuita el servicio de encriptación y desencriptación de datos. Datos que después de este proceso pueden enviarse de manera cotidiana por los medios comunes de transmisión de datos y mensajes.

Apuestan además a afirmar que son la única herramienta en línea que ofrece dicho servicio gratuito, además de retar a los usuarios a que “rompan” este sistema de cifrado, por medio de una sección en su web con información para tal fin.

El sitio web ofrece también una sección dedica a ofrecer un espacio de debate e intercambio de experiencias en el uso de la herramienta. Hasta el momento File-Encryptor.com presenta un servicio más que completo.

El modo de uso del servicio no puede ser más sencillo, veamos un paso a paso de como hacerlo.

Ingresar a la web File-Encryptor.com

1 – Asignamos una contraseña

2 – Seleccionamos el archivo a cifrar

3 – Método a utilizar (Encriptar-Desencriptar), por defecto trae activada la opción de descarga-upload activada.

4 – Encriptar, botón que ejecuta la orden establecida en los pasos anteriores.

Más información sobre la herramienta en www.file-encryptor.com

También puede interesarte...

• Manual de TrueCrypt
• Almacenamiento Online de 10GB Gratis
• Burlada tecnología de encriptacion de Discos
• Cursos Gratis de Seguridad Informática Online
• Curso Gratuito de Ethical Hacking – Presencial y Online
• Ver Campus Party Colombia en Vivo
• Curso gratuito de Ethical Hacking y Pen Testing
• El curso de Criptografía y Ofuscación de Yury Lifshits

Muy interesante la charla.

También puede interesarte...

• Bits y Qubits, El camino de la criptografía – Parte I
• Firmando Documentos y Correos con GPG
• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Cómo Recuperar una Cuenta de Twitter?
• ¿Cómo Recuperar una Cuenta de Facebook?
• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Las peores Contraseñas en Español
• Recupera tu Password de FileZilla

Todo empieza cuando es publicado en digg  “la clave de la AACS” que pondría fin a este DRM (abreviado en inglés de Digital Rights Management) que se usa los nuevos sistemas HD-DVD y Blu-Ray cuyo autor  Arnezmai (usuario de los foros doom9) publico para toda la comunidad de la red.

Pero ¿que es la AACS?

El
Sistema de Contenido de Acceso Avanzado (AACS por sus siglas en inglés)
es un estándar para distribución de contenido y gestión de derechos
digitales, destinado para permitir acceso restringido y proteger contra
copia a la próxima generación de discos ópticos y DVDs.

En otras palabras es lo que pretende acabar con la “piratería” y proteger los derechos de autor en los próximos años..

La
reacción de la industria no se hizo esperar presionando a digg para que
retirara el post pero sus usuarios lo volvían a enviar, así que kevin
rose tomo la decisión de no eliminar mas post o comentarios con el
numero y dice en el blog oficial de digg:

“Ustedes prefieren
hundirse luchando que arrodillarse ante una compañía. Los hemos
escuchado y de ahora en más no borraremos historias o comentarios
conteniendo el código y nosotros nos enfrentaremos a las consecuencias
que puedan venir. Si perdemos, que diablos!, al menos habremos muerto
intentándolo.”

Eso ha causado mucho revuelo en la red a tal punto de:

Tener Canción y Video en YouTube
Camisetas y Vasos
Aproximadamente 1.560.000 resultados en las búsquedas de google para ese numero.
Gran cantidad de artículos que hablan sobre esto.
Tener su propio dominio.
Tatuaje
T Shirt

Salir en:
BBC
Google
Wired
Slashdot
Forbes
DragonJAR

Existen
amenazas para atacar legalmente a todos los sitios que publiquen el
“numerito” o la forma de implementarlo para des proteger el AACS pero
la verdad ¿como van a pelear contra 1.560.000 portales? y este numero crece día a día.

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Opps… 1.560.001 portales…

En la fuente de la noticia (el foro Doom9) ya hay un software que permite implementar este numerito… CLICK AQUI, solo es cuestión de tiempo para que salga cada vez mejores programas que automaticen todo el proceso.

Si quieren saber mas sobre este tema te recomiendo los siguientes enlaces:

http://www.microsiervos.com/archivo/seguridad/09-f9-11-02.html
http://www.kriptopolis.org/todos-a-la-carcel
http://www.kriptopolis.org/el-numerito
Gooogle.

¿Que opinan UDs?

También puede interesarte...

• Taller del Hacking Day en el ACK Security Conference
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Repositorio con Herramientas de Seguridad
• Kits de crackeo wireless en china
• Respuesta jurídica frente ataques informáticos
• Bits y Qubits, El camino de la criptografía – Parte II
• Bits y Qubits, El camino de la criptografía – Parte I
• Tercer Encuentro Internacional de Seguridad Informática – Día I