La Comunidad DragonJAR » SSL

Twitter ahora permite conexiones seguras SIEMPRE

DragoN — Wed, 16 Mar 2011 18:56:41 +0000

Hasta hace poco Twitter solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información; Los ingenieros de esta red social se dieron cuenta del problema y empezaron a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, algo que Facebook empezó a hacer unos meses atras.

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran una de las mejores alternativas que teníamos para asegurar nuestra conexión segura en las redes sociales.

Después de mucha espera, por fin Twitter ha decidido implementar esta funcionalidad, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento.

Como activar conexiones SSL en Twitter siempre?

Ingresa con tu cuenta en Twitter
Click en la esquina superior derecha Cuenta/Configuración de la cuenta.

Dentro de la configuración de la cuenta buscamos Solo HTTPS, y activamos la casilla Usar siempre HTTPS

Le das al botón Guardar, y listo.

Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de Twitter.

También puede interesarte...

Facebook ahora permite conexiones seguras SIEMPRE

DragoN — Thu, 03 Feb 2011 15:29:03 +0000

Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo).

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario).

Después de mucha espera, por fin Facebook ha decidido implementar esta funcionalidad también en los perfiles de cuentas en español, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento.

Como activar conexiones SSL en Facebook siempre?

Ingresa con tu cuenta en Facebook
Click en la esquina superior derecha Cuenta/Configuración de la cuenta.

Dentro de la configuración de la cuenta buscamos Seguridad en la cuenta, y activamos la casilla Navegación segura (https)

Le das al botón Guardar, y listo.

Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de Facebook.

También puede interesarte...

Repositorio con Herramientas de Seguridad

DragoN — Tue, 24 Aug 2010 06:22:40 +0000

Gracias a kagure he encontrado un repositorio bastante ordenado con herramientas de seguridad, algunos grandes conocidas, otras no tanto, pero todas muy útiles.

Les dejo los enlaces a cada categoría para que descubras nuevas herramientas, aprendas de ellas y las utilices.

También puede interesarte...

Forzando Conexiones SSL por defecto v2

DragoN — Fri, 18 Jun 2010 21:18:00 +0000

Utilizar Secure Sockets Layer (SSL) para todos los sitios que visitemos, siempre es una buena práctica de seguridad, en la comunidad ya les habiamos comentado como hacer esto utilizando Greasemonkey y personalizando un script para este excelente excelente plugins.

La solucion que ofreciamos en el articulo Forzando Conexiones SSL por defecto requiere un poco de personalización por parte nuestra, ya que por defecto solo funcionaba para Facebook, pero en el texto mencionábamos como hacerlo funcionar con cualquier otra pagina.

Para aquellas personas que les parecia demasiado complicada la personalización necesaria para visitar siempre las paginas en su version HTTPS, llega HTTPS Everywere, un plugin de firefox desarrollado por la Electronic Frontier Foundation con la colaboracion de The Tor Project que con solo activarlo, automaticamente nos obliga a usar la version HTTPS de cada pagina si esta cuenta con cifrado SSL.

Las paginas que de momento soporta HTTPS Everywhere son:

Google Search
Wikipedia
Twitter
Facebook
The New York Times
The Washington Post
Paypal
EFF
Tor
Ixquick

El numero de sitios soportados puede crecer rapidamente, con la ayuda de la comunidad, ya que ponen a disposición de todos nosotros la posibilidad de crear nuevas reglas para este plugin, facilitando que la comunidad ayude en la tarea de agregar soporte para nuevas paginas.

Mas Información:
HTTPS Everywhere
Plugin similar para Google ChromeKB SSL Enforcer

También puede interesarte...

SSLStrip – Espiando tráfico SSL

DragoN — Sun, 30 May 2010 08:20:10 +0000

Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede espiar tu trafico SSL sin problemas.

El funcionamiento de SSLStrip es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward
2. Realizando ataque ARP MITM entre las 2 maquinas:
arpspoof -i eth0 -t VICTIMA HOST
3. Redireccionar trafico con iptables:
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080
4. Iniciar SSLStrip en el puerto utilizado
python sslstrip.py -w archivo

Espero que les sea de utilidad y no olviden comentar

Mas Información:
Pagina Oficial del SSLStrip

También puede interesarte...

Tus busquedas en Google ahora Cifradas

DragoN — Mon, 24 May 2010 22:30:27 +0000

Si eres tan paranoico que utilizas en casa el “modo porno” de Internet Explorer, Firefox, Opera o Chrome solo para revisar tu correo electrónico y asegurarte que no queda ningún rastro en el equipo, cuando borras algo no utilizas un método inferior a Gutmann y aunque vives solo, constantemente volteas la cabeza, para ver si alguien esta observando lo que escribes en tu ordenador… Google tiene un regalo para ti.

Google acaba de sacar en modo beta (como es costumbre), un nuevo servicio llamado Google SSL, que nos permite realizar búsquedas cifradas, evitando así que puedan capturar nuestro trafico y saber que estamos buscando o crear un perfil de nuestros gustos.

Las principales características de Google SSL son:

Cifrado de nuestras búsquedas en Google
No se guardaran registros de acceso en nuestro historial
No aparecerá el completado automático

Si te preocupa que otras personas vean tus búsquedas en Google, este nuevo servicio fue creado para ti.

Pd. De momento estas búsquedas solo arrojan paginas como resultado, se piensa que poco a poco agreguen imágenes, vídeos, mapas, noticias, búsquedas en tiempo real y todas las opciones actuales de Google.

Ingresa a Google SSL (httpS://www.google.com)

Mas Información:
Google SSL Search

También puede interesarte...

Análisis del Fallo en el Generador de Números Aleatorios de OpenSSL/Debian

DragoN — Mon, 15 Mar 2010 02:27:08 +0000

El año pasado en el Tercer Encuentro Internacional de Seguridad Informática (EISI), contamos con la participación de Luciano Bello, desarrollador de Debian e investigador del Si6. quien salto a la fama tras descubrir un problema en el generador de números pseudoaleatorios (PRNG) de la versión de OpenSSL distribuída por Debian y derivados (Ubuntu, Kubuntu, etc).

Precisamente sobre este tema habló en el EISI III (descarga las diapositivas si deseas) y nos explico claramente el origen del problema, como se explotaba y su solución; para quienes no asistieron al encuentro internacional de seguridad informática (el encuentro de seguridad en Colombia), les dejo una serie de vídeos realizados por el mismo Luciano Bello para la Universitat Oberta de Catalunya (Universidad Abierta de Cataluña) en el que nos explican paso a paso el famoso fallo en OpenSSL que afectó Debian y sus derivados hace ya 2 años.

El vídeo se encuentra dividido en 5 módulos, en los que se explica en profundidad cada una de las etapas del fallo para entenderlo mejor.

Análisis del Fallo en el Generador de Números Aleatorios

El error

Explotación del bug

Explotación del bug: Descifrando PFS en EDH

Explotación del bug: MitM, DSA y conclusión

Espero que les gustara esta serie de vídeos, la verdad esta explicación es mucho mas simple que cualquier otra en la que Luciano explicara el fallo (incluso en vivo), por lo que es recomendado incluso si ya sabes como es el Fallo en el Generador de Números Aleatorios de OpenSSL/Debian.

También puede interesarte...

Fallo en OpenSSL permite obtener clave privada

DragoN — Wed, 03 Mar 2010 20:08:58 +0000

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA.

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios” para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL

También puede interesarte...

“Crean” un navegador pensando en su seguridad

DragoN — Thu, 18 Feb 2010 18:13:56 +0000

La empresa de seguridad Comodo, famosa por su Antivirus y Firewall, ha creado un navegador llamado Comodo Dragon, pensando totalmente en la seguridad del usuario.

Comodo Dragon esta basado en el navegador Chromium (igual que Google Chrome), pero ademas de las características que ya incluye Chromiun el nuevo navegador seguro de Comodo incluye las siguientes:

Privacidad de Chromium Mejorada
Fácil identificación del certificado SSL
Acceso a sitios web más rápido
Mayor estabilidad y menos consumo de memoria
Modo Incognito (también conocido como “modo porno”) detiene las Cookies, Mejora de privacidad
Si usas Cromium o Google Chrome es Muy fácil de cambiar de su navegador a Comodo Dragón

De momento Comodo Dragon esta disponible para Windows XP/Vista/7/Server, pero funciona adecuadamente con Wine en Mac (aun no probado en GNU Linux).

Descargar Comodo Dragon, el navegador pensado en tu seguridad.

También puede interesarte...

Bits y Qubits, El camino de la criptografía – Parte I

Anaxmon — Sat, 13 Feb 2010 17:52:42 +0000

Siglos atrás, cuando empezaron a conformarse sociedades grandes y complejas en donde existían intereses particulares que no debían ser conocidos, se recurría a la utilización de métodos de comunicación que garantizaran el secreto o confidencialidad de la información a compartir. Por ejemplo Julio César utilizaba un sistema de cifrado1 (de sustitución monoalfabética) para comunicarse con sus fuerzas militares dentro y fuera de Roma, diseño que mucho más tarde fue mejorado en el siglo XIX por Blaise de Vigenère a quien se le atribuyó el desarrollo de un cifrador de sustitución polialfabética2 mucho más elaborado, en el cual se empleó por primera vez el uso de una clave compartida (tal como en la actualidad).

Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir, mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. De hecho el alemán Auguste Kerckhoffs3, planteó un principio en el que argumenta que “la fortaleza de un cifrador está en la fortaleza de su llave y no en cuán secreto sea su algoritmo”, valiosa lección que fue comprobada con sangre por sus compatriotas derrotados en la segunda guerra mundial, que se comunicaban con máquinas que cifraban las comunicaciones (como la Enigma4) cuyo diseño era evidentemente secreto, mecanismo que fue realmente efectivo hasta que el inglés Alan Turing5 (quien sentó las bases de la computación moderna) logró descifrar sus transmisiones en uno de los casos de criptoanálisis más memorables, evidenciando que el esfuerzo de mantener secreto un algoritmo de cifrado es inútil y que la seguridad del mismo recae directamente en la dificultad para descifrar su clave.

Siguiendo el principio de Kerckhoffs un gran número de diseños de cifradores actuales son abiertos y utilizan claves tan fuertes que podría tardarse años (cientos o miles) intentando descifrarlas con la capacidad de cómputo actual, aspecto que será revaluado al final del documento.

Teniendo ahora una somera visión del camino de la criptografía hasta nuestros días, es importante mencionar de forma muy breve algunas de sus aplicaciones.

Bases de Datos

Los motores de bases de datos incluyen algoritmos criptográficos dentro de su abanico de funciones, cuya implementación en sistemas de información es muy recomendable, evitando codificarlos o reusar código fuente de terceros.

Comunicaciones en Internet

TLS v1.2 es un protocolo derivado de SSL que provee comunicaciones seguras a través de la Internet, previniendo eavesdropping, tampering o message forgery. Una gran ventaja del protocolo es su capacidad de encapsular datos de capa de aplicación, ofreciendo transparencia en el desarrollo e implementación de aplicaciones, así como servir de plataforma de seguridad para protocolos (de capa superior) como HTTP, SMTP, NNTP o SIP.
TLS ofrece confidencialidad mediante criptografía simétrica, cifrando los datos con diferentes llaves para cada conexión, integridad utilizando funciones de hashing y autenticación mediante el uso de algoritmos de llave
pública.

Autenticación: Kerberos

Protocolo de autenticación que permite validar identidades de participantes durante un intercambio de mensajes, fue desarrollado por el MIT con base en el paper de Needmham y Schroeder de1978.

Su funcionamiento requiere un servidor central contra el cual los usuarios deben autenticarse primero, conocido como Key Distribution Center (KDC). Una vez se ha validado su identidad, se le entrega al usuario un ticket de sesión que utilizará para autenticarse contra los demás servidores que “confían” plenamente en el KDC y sólo aceptan solicitudes de cualquier usuario que se identifique con un ticket de sesión, mismo que podrá ser reutilizado en diferentes servidores hasta que termine su tiempo de expiración. Kerberos constituye uno de los mecanismos más seguros de autenticación además de proveer una solución robusta de single sign-on.

La última versión, Kerberos 5, permite utilizar una gran cantidad de algoritmos criptográficos simétricos, asimétricos y de hashing, que implementa mayoritariamente de forma híbrida (por ejemplo 3DES-CBC-SHA1).

GnuPG

Herramienta de línea de comandos que implementa el protocolo OpenPGP (que a su vez usa PGP 5 como base), que permite ofrecer confidencialidad, administración de llaves, autenticación y firmas digitales, mediante la combinación del uso de criptografía simétrica y de llave pública.

P2P: MSE

El Message Stream Encryption (MSE) es un protocolo de cifrado utilizado en gran parte de la red torrent (y otros protocolos P2P), que sirve de envoltura a los flujos de datos y los protege de ser detectados como tráfico torrent, evitando así su filtrado por parte de terceros (como ISPs). De igual forma se consideró durante su diseño que MSE ofreciera protección en contra de eavesdroping y ataques man-in-the-middle.
MSE utiliza Diffie-Hellman para acordar la llave secreta, SHA-1 como función de hashing y RC4 para cifrar la comunicación debido a su
seguridad y velocidad (razón por la cual fue elegido en lugar de AES). Es importante aclarar que el objetivo del protocolo es “aleatorizar” el flujo de datos sin garantizar su integridad o la autenticación de los peers.

Wi-Fi

Tres diferentes protocolos permiten a un usuario conectarse a una red inalámbrica: WEP, WPA y WPA2.
A pesar de ser el más utilizado, WEP presenta vulnerabilidades serias debido principalmente a una deficiente alimentación del cifrador RC4. Fue
tan grave este error que se decidió generar un nuevo protocolo de comunicaciones wi-fi que reemplazara a WEP, así apareció WPA que utiliza
de una forma más adecuada a RC4 e incluye dos nuevos protocolos: TKIP (Temporal Key Integrity Protocol), que genera llaves diferentes para cada
sesión de usuario, y EAP (Extensible Authentication Protocol) que permite autenticar clientes de forma segura utilizando un servidor tipo RADIUS,
características que solucionan gran parte de los problemas de WEP. Sin embargo el protocolo wi-fi más seguro es WPA2, que incluye las
características de WPA y reemplaza a RC4 por AES, incrementando así en mayor medida la seguridad de la conexión.

Celular: GSM-EDGE-GPRS

La transmisión de voz vía GSM o EDGE desde el handset del usuario hasta la antena de la estación es cifrada mediante el algoritmo A5/3, mientras que GPRS utilliza GEA3. Ambos son cifradores de flujos que utilizan el cifrador de bloque Kasumi en modo OFB (output feedback) que les sirve como generador pseudoaleatorio.

Mensajería Instantánea

La mensajería instantánea es una actividad convertida en costumbre para un gran número de internautas, que desconocen que la mayoría de clientes de
IM que utilizan transmiten todas sus conversaciones en texto claro, de hecho usuarios poco experimentados comparten información sensible por
este medio de comunicación sin saber los riesgos que están corriendo.
Existe una comparación de diferentes características de clientes de mensajería instantánea en wikipedia:

http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_clients

Evidentemente la criptografía se encuentra presente en algunas de nuestras actividades diarias, y poco (o nada) sabemos acerca de qué tipo de algoritmos criptográficos se utilizan en cada una de ellas, imposibilitándonos entender qué tan seguros o vulnerables nos encontramos. Así como en los cuadros anteriores, existen muchas más aplicaciones de la criptografía, como transmisión de televisión (y su respectiva restricción de canales premium),
transmisión de señales satelitales, telefonía celular, creación de contraseñas, e-commerce, comunicaciones militares, bluetooth, VPN, etc. Es importante conocer cómo las aplicaciones o dispositivos con que interactuamos cotidianamente transmiten nuestra información, no sólo qué algoritmos implementan, sino también el tamaño de las claves que utilizan, porque según el principio de Kerckhoffs, en la fortaleza de la llave reside realmente la seguridad de la información transmitida.

El número de bits de la llave o del hash, dependiendo del caso, es un tema realmente crítico en criptografía que debe ser evaluado cuidadosamente por el profesional encargado de seguridad, afortunadamente existen recomendaciones útiles como apoyo técnico en este sentido que pueden ser consultadas en www.keylength.com.

Para terminar de hablar de criptografía moderna, el siguiente cuadro sugiere los algoritmos recomendables a implementar en las soluciones tecnológicas de la actualidad.

Hasta aquí llega la primera parte de este articulo, en la segunda edición hablaremos sobre la criptografía cuántica, espero que les gustara este articulo y me lo hagan saber con sus comentarios.

Otras partes del Articulo:

Este articulo fue escrito por Anaxmon para La Comunidad DragonJAR, tú también puedes enviar tus artículos para publicarlos en la comunidad, como ya lo hicieron Axiacamus, Eduardo Restrepo,, Epsilon, 4v4t4r, Cortex, Cronopio, D7n0s4ur70, Laura JAR y SamuraiBlanco; Solo tienes que enviar tu articulo a dragon(arroba)dragonjar.org.