La Comunidad DragonJAR » Universidad

Rompen el primer sistema de criptografía cuántica

DragoN — Wed, 19 May 2010 20:25:16 +0000

Nada supera la criptografía cuántica a la hora de cifrar información o realizar una trasmisión segura de esta, ya que en teoría si alguien observa la información esta se modifica de tal forma que no sea posible recuperar su contenido.

Eso es lo que pasa sobre el papel, pero a la hora de implementar la teoría la cosa es muy diferente; Los investigadores Feihu Xu, Bing Qi y Hoi-Kwong de la Universidad de Toronto en Canadá lograron romper el primer sistema comercial de criptografía cuántica creado por la empresa ID Quantique.

Feihu Xu, Bing Qi y Hoi-Kwong, basaron su ataque en las suposiciones hechas sobre el tipo de errores que pueden aparecer en los mensajes cuánticos. Alice y Bob siempre mantienen un ojo alerta sobre el nivel de error en sus mensajes debido a que saben que Eve introducirá errores si intercepta y lee cualquiera de los bits cuánticos. Por lo que una alta tasa de error es una señal de que el mensaje está siendo capturado.

No obstante, es imposible librarse por completo de los errores. Siempre habrá ruido en cualquier sistema del mundo real por lo que Alice y Bob tendrán que ser tolerantes a un pequeño nivel de error. Este nivel es bien conocido. Distintas pruebas demuestran que si la tasa de error en bits cuánticos es menor del 20 por ciento, entonces el mensaje es seguro.

Estas demostraciones asumen que los errores son resultado del ruido del entorno. Feihu y compañía dicen que una suposición clave es que el emisor, Alice, puede preparar los estados cuánticos requeridos sin errores. Entonces envía estos estados a Bob y juntos los usan para generar una clave secreta que puede usarse como clave única para enviar un mensaje seguro.

Pero en el mundo real, Alice siempre introduce algunos errores en los estados cuánticos que prepara y esto es lo que Feihu ha aprovechado para romper el sistema.

Dicen que este ruido extra permite a Eve interceptar parte de los bits cuánticos, leerlos y enviarlos de nuevo, de una forma que eleva la tasa de error sólo hasta el 19,7 por ciento. En este tipo de “ataque de intercepción y reenvío”, la tasa de error se mantiene por debajo del umbral del 20 por ciento y Alice y Bob no se enteran, intercambiando felizmente claves, mientras Eve escucha sin problemas.

Feihi y compañía dicen que han probado la idea con éxito en un sistema de ID Quantique.

Este es un golpe significativo a la criptografía cuántica, pero no debido a que el sistema de ID Quantique sea ahora rompible. No es por eso. Ahora que la debilidad es conocida, es relativamente fácil para la compañía instalar chequeos más cuidadosos en la forma en que Alice prepara sus estados de forma que sean menos probables los errores.

No obstante, hay un cuerpo significativo de trabajo que demuestra cómo romper sistemas de criptografía cuántica convencional basándose en distintas debilidades por la forma en que está configurados; cosas como reflejos internos no deseados que generan bits cuánticos, eficiencia dispar entre los detectores de fotones y lásers que producen fotones ocultos extra que Eve puede capturar. Todo esto se ha usado para encontrar grietas en el sistema.

Pero aunque pueden solucionarse los problemas conocidos, son los desconocidos los que representan amenazas futuras. El problema que han abierto Feihu y compañía está en la demostración de cómo de fácil es con un pequeño intento malicioso esquivar las suposiciones tras la perfecta criptografía cuántica. Esto quitará el sueño a unos cuantos criptógrafos cuánticos en los próximos meses y años.

Más Información:
Experimental Demonstration Of Phase-Remapping Attack In A Practical Quantum Key Distribution System

También puede interesarte...

Memorias del DISI 2009

DragoN — Thu, 11 Mar 2010 07:03:37 +0000

Por fin tenemos acceso a las memorias del Cuarto Día Internacional de la Seguridad de la Información DISI 2009 celebrado el 30 de noviembre de 2009 en la EUITT del campus sur de la Universidad Politécnica de Madrid, esta excelente jornada de la que ya hablamos el año pasado y cuenta con un estupendo grupo de ponentes de habla española entre los que se encuentran Jose Maria “Chema” Alonso, Ruben Santamarta , Alejandro Ramos y Hugo Krawczyk entre otros.

Sin mas preámbulos, los dejos con las memorias del DISI 2009

Inauguración DISI 2009
D. José Manuel Perales, D. Ramón Capellades, D. César Sanz, D. Jorge Ramió

Duración: 07:28 minutos

Conferencia Inaugural. Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones
D. Hugo Krawczyk, IBM Research – Estados Unidos

Duración: 01:10:19 horas, Las diapositivas puedes descargarlas de aquí.

Coloquio Tendencias en Malware
D. José Bidot Director de Segurmática Cuba, D. Ero Carrera Chief Research Officer Collaborative Security VirusTotal España y D. Emilio Castellote Director de Marketing de Panda Security España. Modera D. Justo Carracedo Catedrático de la EUITT-UPM

Duración: 01:20:50 horas, Puedes descargar diapositivas de D . José Bidot (aqui) y las Diapositivas de D . Ero Carrera (aqui).

Coloquio Mitos y Realidades en Hacking
D. Luis Guillermo Castañeda Director de Servicios Profesionales de Rusoft México, D. Chema Alonso Consultor de Seguridad de Informática64 España, D. Alejandro Ramos Manager de TigerTeam en SIA España y D. Rubén Santamarta Consultor Técnico Independiente España. Modera D. Daniel Calzada Profesor Titular de la EUI-UPM

Duración: 01:46:57 horas, Puedes descargar las Diapositivas de D . Luis Guillermo Castañeda (aquí), y las Diapositivas de D . Chema Alonso (aquí)

Clausura DISI 2009
D. Justo Carracedo, Dña. Gemma Déler, D. Jorge Ramió

Duración: 06:15 minutos

Si quieres descargar los vídeos de estas charlas puedes instalar el plugin para Mozilla Firefox Video DownloadHelper.

Para mas información visita la página oficial del evento, donde encontraras también las Ponencias del DISI 2006, las del DISI 2007. y las ponencias del DISI 2008.

También puede interesarte...

El futuro de la industria de la Seguridad Informática

DragoN — Sat, 06 Mar 2010 00:43:02 +0000

Cada vez más empresas externalizan su infraestructura de TI – tratándolo como un servicio más, como la electricidad, limpieza de oficinas, o de preparación de impuestos y esto tiene profundas implicaciones para la seguridad de TI. Los usuarios de la organización se preocupan menos por los detalles técnicos de la seguridad.

Bruce Schneier es un experto en seguridad informática de renombre internacional, autor de numerosos libros y papers. Descrito por The Economist como un “gurú de la seguridad”, es mejor conocido como un crítico de la seguridad refrescantemente franco, lúcido y comentarista. En esta charla, realizada en la Universidad Politécnica de Madrid, Bruce nos muestra como ve el futuro de la seguridad informática.

Aunque la charla en su mayoría esta hablada en ingles, es muy fácil seguirla; Sorprende ademas como Bruce sin ningún tipo de ayudas visuales habla por casi una hora y media sin perder en ningún momento la atención de los asistentes a la charla, lo que demuestra el total control que tiene sobre este tema.

Mas Información:
Pagina Oficial de Bruce Schneier
The future of the security Industry. Bruce Schneier

También puede interesarte...

¿Dónde estudiar seguridad informática en Colombia?

DragoN — Thu, 28 Jan 2010 05:16:47 +0000

Esta pregunta es bastante común en los correos que me envían desde el formulario de contacto de la comunidad y la realizan mas que todo, estudiantes universitarios interesados por seguir su formación académica con alguna especialización o maestría en seguridad de la información, para estas personas y los interesados en realizar post grados en seguridad informática, les dejo un listado con información de programas de especialización o maestría en auditoría de tecnologías de información y seguridad Informática en Colombia.

En esta lista no se han tenido en cuenta los cursos, seminarios y capacitaciones en seguridad informática, solo se tienen en cuenta programas universitarios de post grado y maestrias.

Universidad: Universidad Pontifica Bolivariana (Sede Bucaramanga)
Programa: Especialización en Seguridad Informática
Tiempo: 1 año
Mas Información…

Universidad: Corporación Universitaria de Investigación y Desarrollo – UDI Sede Bucaramanga
Programa: Especialización en Seguridad Informática
Tiempo: 1 año
Mas Información…

Universidad: Universidad de los Andes
Programa: Especialización en Seguridad de la Información
Tiempo: 1 año
Mas Información…

Universidad: Universidad Externado de Colombia
Programa: Especialización en Riesgo Informático
Tiempo: 1 año
Mas Información…

Universidad: Universidad Católica de Colombia
Programa: Especialización en Seguridad en Redes
Tiempo: 1 año
Mas Información…

Universidad: Universidad Católica de Colombia
Programa: Especialización en Auditoría de Sistemas de Información
Tiempo: 1 año
Mas Información…

Universidad: Corporación Universitaria de la Costa
Programa: Especialización en Auditoria de Sistemas de Información
Tiempo: 1 año
Mas Información…

Universidad: Universidad EAFIT
Programa: Especialización en Auditoría de Sistemas
Tiempo: 1 año
Mas Información…

Universidad: Universidad Santo Tomás
Programa: Especialización en Auditoría de Sistemas
Tiempo: 1 año
Mas Información…

Universidad: Universidad Piloto de Colombia
Programa: Postgrado en Seguridad Informática
Tiempo: 1 año
Enviado por: sp1b0t
Mas Información…

Universidad: Universidad Piloto de Colombia
Programa: Postgrado en Seguridad Informática
Tiempo: 1 año
Enviado por: sp1b0t & ingedah
Mas Información…

Si conoces otra universidad que cuente con un programa relacionado con la seguridad de la información, por favor háznolo saber por medio de un comentario, para agregarla a la lista (recuerda que solo añadiremos programas universitarios de pre o post grado, maestrías y especializaciones)

También puede interesarte...

¿Qué se siente asistir a una DEFCON?

DragoN — Tue, 19 May 2009 05:04:18 +0000

Es la pregunta que muchos nos hacemos cada año cuando la DEFCON, una de las conferencias mas grandes y prestigiosas sobre seguridad informática se lleva a cabo en las Vegas, para tratar de responder esta duda me puse a buscar artículos de personas contando su experiencia en la DEFCON y me encontré algo muy interesante.

Se trata de un documental sobre la experiencia de un grupo de estudiantes de la Universidad de Delaware, que viajaron desde Newark, a Las Vegas para asistir por primera vez a la DEFCON en su edición numero 16.

El vídeo dura algo mas de media hora y realmente vale la pena.

También puede interesarte...

Encuesta Latinoamericana de Seguridad Informática

DragoN — Sat, 07 Mar 2009 00:12:16 +0000

La Asociación Colombiana de Ingenieros de Sistemas – ACIS, la Universidad del Valle de Atemajac UNIVA, México y el Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones – ANTEL, de URUGUAY, han unido
esfuerzos para adelantar la I Encuesta Latinoamericana de Seguridad de la Información, que busca comprender mejor las tendencias en seguridad de la información en Latinoamérica.

En La Comunidad DragonJAR apoyamos esta causa e invitamos a todos nuestros visitantes a llenar la encuesta, los resultados serán presentados en la IX Jornada Nacional de Seguridad Informática, ACIS 2009 a realizarse en Bogotá, Colombia, del 17 all 19 de Junio de 2009.

Click Aquí para Llenar la Primer Encuesta Latinoamericana de Seguridad Informática

También puede interesarte...

Memorias y Videos del Asegúr@IT III

DragoN — Thu, 25 Dec 2008 22:35:18 +0000

El pasado 25 de septiembre se celebró en Bilbao españa el evento gratuito Asegúr@IT III, en la sede de la Universidad de Deusto, Contó con la partición de ponentes que trabajan en empresas como Panda Security, Microsoft, S21Sec e Informatica64.

Chema Alonso en su blog (Un Informático en el Lado del Mal) ha publicado las memorias y los vídeos de casi todas las charlas de este evento, espero que sean de su agrado.

Asegúr@IT III – Técnicas de protección de Software y Cracking

Rootkits: Memory Subverting

Iñaki Etxeberria [Panda Security]

Asegúr@IT III – Rootkits: Memory Subvertion

Tempest: Mitos y Realidades

Pablo Garaitzar “Txipi” [Universidad Deusto]

Asegúr@IT III – Tempest: Mitos y Realidades

Network Access Protecction (NAP)

Juan Luís Rambla [Informática64]

Asegúr@IT III – Network Access Protection (NAP)

Ataques Masivos SQL Injection

David Carmona [Spectra]

Asegúr@IT III – Ataques SQL Injection masivos

También puede interesarte...

Papers sobre Seguridad Informática

DragoN — Sat, 19 Jan 2008 20:50:27 +0000

Hoy Carlos Castillo, un estudiante de Ingeniería de Sistemas en la Universidad Javeriana (Colombia) me ha enviado un mail donde me da a conocer una serie de papers producto del trabajo realizado por estudiantes de su universidad en la asignatura “Informática Forense”. Los papers han sido publicados en CriptoRed, HispaSec, y ahora en La Comunidad DragonJAR , a continuación les dejo los papers con sus respectivos datos.

Práctica de Asalto a una Sesión TCP

Autores: Guillermo Fonseca, María Camila González, Bernardo Andrés Neira
Bajo la dirección de: Julio Álvarez y Jeimy Cano
Fecha: Noviembre de 2007
Formato: Word (8 páginas)
Resumen: En este documento se explica la estructura de un asalto a una sesión TCP, se presenta un ejemplo práctico utilizando la herramienta Hunt y se evidencian los rastros que se dejan tras el ataque. Este documento fue realizado en el contexto del curso Introducción a la Computación Forense ofrecido en la Pontificia Universidad Javeriana, durante el segundo semestre de 2007.

Descargar: (Mirror de La Comunidad DragonJAR) (CriptoRed)

Métodos de Control y Acceso a través de Dispositivos de Almacenamiento USB

Autores: Paola Peña, Iván Vásquez
Bajo la dirección de: Julio Álvarez y Jeimy Cano
Fecha: Noviembre de 2007
Formato: PDF (11 páginas)
Resumen: Este documento presenta un análisis de mecanismos de acceso a través de dispositivos USB, siendo éstos destinados principalmente a quebrantar la seguridad de sistemas basados en Microsoft Windows. Igualmente, el documento presenta una aplicación de “Hackblade” la cual es una de las técnicas que pueden ser utilizadas para realizar un ataque a través de un dispositivo USB. Por último, se discuten algunas medidas de detección y prevención recomendables para evitar un ataque realizado con un dispositivo USB. Este documento fue realizado en el contexto del curso Introducción a la Computación Forense ofrecido en la Pontificia Universidad Javeriana, durante el segundo semestre de 2007.

Descargar: (Mirror de La Comunidad DragonJAR) (CriptoRed)

Blue MAC Spoofing: El Backdoor de Bluetooth

Autores: Carlos Castillo, José Luis Gómez-Casseres, Edgar Torres
Bajo la dirección de: Julio Álvarez y Jeimy Cano
Fecha: Noviembre de 2007
Formato: Word (9 páginas)
Resumen: El siguiente documento es un análisis del ataque de seguridad informática Blue MAC Spoofing en dispositivos móviles. Se inicia con una introducción de la tecnología de telefonía celular, incluyendo el protocolo de comunicación Bluetooth y sus mecanismos de seguridad. Luego de esto se expone la realización del ataque, cómo se realiza y cuales de las políticas de seguridad del protocolo son vulneradas. Por último realizamos un análisis forense buscando rastros en el celular afectado para poder identificar el posible atacante y que acciones realizó en el dispositivo sin autorización. Al final del artículo se exponen las conclusiones y las consecuencias de este fallo de seguridad en los dispositivos móviles actuales. Este documento fue realizado en el contexto del curso Introducción a la Computación Forense ofrecido en la Pontificia Universidad Javeriana, durante el segundo semestre de 2007.

Descargar: (Mirror de La Comunidad DragonJAR) (CriptoRed)

Agradesco a Carlos Castillo por enviarme la información y recuerden que pueden hacer uso del formulario de contacto para hablar con 4v4t4r o conmigo.

También puede interesarte...

Todas las tésis de la Pontificia Universidad Javeriana – Bogotá

DragoN — Mon, 02 Jul 2007 00:40:40 +0000

Comparto este excelente recurso para quienes estén desarrollando sus proyectos de grados-tésis, también para las personas que aún no se inspiran al elegir un tema y requieren una base para iniciarla.

La variedad de temas permite no solo encontrar asuntos relacionados con la informática, sino que además ofrece otras materias de interés para la comunidad.

Trabajos de grado y tésis por facultad

Ciencias Económicas y Administrativas
Ciencias Jurídicas
Comunicación y Lenguaje
Educación
Ingeniería
Medicina
Psicología

Como ven tenemos a disposición muchos temas, citaré algunas de las tésis y trabajos para las carreras de ingeniería (en Sistemas):

- API de comunicaciones para pocket pc basado en la programación orientada a aspectos
- Aporte a RUP para el Desarrollo de Aplicaciones Web Transaccionales – Requerimientos no Funcionales y Administración de Riesgos.
- Desarrollo adaptable de software, una solución ágil para aplicaciones e-commerce
- Enrutador ip multiservicio con configuración via web (lxrouter) *
- Framework de manejo de mensajes para dispositivos moviles (celulares)
- Herramienta para el análisis de requerimientos dentro de la pequeña empresa desarrolladora de software en Bogotá
- Librería para el manejo y configuración de dispositivos de realidad virtual
- Mecanismos de Control de Acceso en Web Services*
- Seguridad Informática en Web Services*

Bueno no más carreta… y a disfrutar

Enlace a las diferentes categorías temáticas

Y si lo que quieren es descargarse en totalidad las tésis y trabajos pueden utilizar la extensión DownThemAll para FF.

Enlace a directorio contenedor de todos los trabajo y tésis