Archive for 28 febrero 2016

servicios de correo web con encriptación

28/02/2016

buzones

Cuando accedemos a un servicio de correo en la web, como gmail o yahoo u otros, normalmente se hace con una conexión https que cifra el tráfico desde nuestro ordenador hasta el servidor, pero eso no significa que en el servidor se guarde el mensaje cifrado.
Además si el correo se envía a otro servicio ( por ejemplo de Gmail a Hotmail ) la conexión entre esos servidores nadie garantiza que vaya cifrada, pasa por distintos nodos y puede ser interceptada. Así que si se quiere tener una confidencialidad en los sistemas de correo – y  hay muchas actividades profesionales que lo requieren :  abogados, médicos, ingenieros, etc. ) no deben usar estos servicios.
La solución pasa por montar un servidor de correo propio con sistema de cifrado de los mensajes de extremo a extremo. El sistema más extendido es PGP que se basa en el par de claves pública/privada.

En la web también hay algunas soluciones de correo que sí encriptan el mensaje en el servidor y que mantienen la encriptación hasta el cliente. Algunas son de pago y otras gratuitas.

Cuando se necesita publicar la clave pública se puede usar alguno de los servidores de claves poúblicas del mundo , están interconectados y se difunden lo que se publica en uno para todos.

Aquí está el de la red IRIS y en este otro sitio el del MIT.

o también publicarla en una web o en el blog.  aquí va mi clave pública de carlosac6@hushmail.com

si creaste tu buzón en hushmail puedes ver la clave pública con  hushtools

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: Hush 3.0
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=Bnfe
—–END PGP PUBLIC KEY BLOCK—–

Anuncios

Fraude online

21/02/2016

Payo-pal728 

Hemos tenido otra conferencia de Álvaro Gómez , esta vez sobre fraude online.

Nos habló de los sistemas de pago en internet, de las tarjetas securizadas, de los medios de pago en otros países, de como Amazon se implanta en muchas áreas e incluso le puede hacer competencia a los bancos, de que los fines de semana hay más fraudes, de Pay-Pal, de  . . .   Imposible resumirlo en una nota corta, así que algunas notas de la conferencia están en el siguiente documento : conferencia_fraude_online.

En la imagen: la web de payopal, que  fue creada como experimento y que actualmente ya no existe.

Payopal.net fue presentado en la  Rootedcon2012 por Yago Jesús, uno de los autores del blog securitybydefault.com , como ejemplo de que los certificados de seguridad, (algunos certificados , los de clase 1) –  solo certifican que estás conectado a esa web mediante https , pero no que estás en una web de una empresa real.

Payo-pal728_certificado 

 

pastebin, cryptobin y otros sitesbin

13/02/2016

agente_secreto_nocredit

Pastebin es un sitio que surgió para compartir código entre los programadores y todavía se usa para eso,  pero además  se utiliza para compartir casi todo tipo de información en formato texto.

Uno de los usos que ahora tiene Pastebin es publicar información de sitios hackeados. El año pasado alguien había conseguido las credenciales ( usuario y password ) de más de seis millones de cuentas de dropbox y fue publicando algunas miles en pastebin a modo de prueba y dejando ver que tenía el resto y que las vendía.

Esta semana Chema Alonso publicaba una nota en la que contaba que se habían conseguido y publicado los datos de 20.000 agentes del FBI, que se supone que deberían tener un alto grado de seguridad.

Esta vez se publicaron en un sitio llamado cryptobin que en vez de publicar los datos en claro los publica encriptados y en algún otro sitio publican la clave. Así evitan que los sistemas que examinan  webs como Pastebin ( haveibeenpwned  examina pastebin, para saber qué datos han sido publicados ) detecten esa publicación y tomen medidas, ya que los datos no se entienden sin la clave.

El sitio de cryptobin está fuera de servicio, aunque ya hay algún otro acceso alternativo directamente por ip. https://151.236.x.11x/  ( x es 7)

Con todos estos sitios donde se supone que te ofrecen información privada hay que tener cuidado, a veces dicen que descargues un programa para que puedas leer los datos encriptados o que pongas tus datos de redes sociales u otra condición para acceder a esos datos. Datos que la mayoría de las veces no nos interesan salvo como caso de estudio (pregúntate si te sirve a tí de algo tener los datos de los agentes del FBI ) . Cuidado con caer en estas trampas, pues es fácil que en el programa a descargar venga un troyano o cualquier otro tipo de malware, puedes acabar con tu disco encriptado : ransonware.

otros sitesbin

Un ejemplo de lo que puedes encontrar:   http://slexy.org/view/s20aI7iVRs

La presentación es estupenda , “fíate de nosotros,  somos gente de palabra”

 

En la foto un agente secreto – eso pone en la placa que lleva en el pecho- vigila la casa blanca después de una nevada.

 

 

criptografía e identidades digitales

06/02/2016

 

Hemos visto un video sobre la seguridad de las identidades digitales y una solución a los problemas que se plantean : LATCH .

El vídeo es intenso, Chema Alonso habla rápido y es capaz de contar cuestiones técnicas de forma divertida. En el minuto 17:50 nos dice todo lo que hay que considerar para montar una red wifi de forma segura. También  para recordarnos que no todos los usuarios de internet son técnicos informáticos cita a Penny,  de la serie the big bang therory

En el video se menciona la web  haveibeenpwned.com , donde se puede comprobar si alguna cuenta que tengamos en los servicios más habituales pudo haber sido birlada

También se menciona el bug Hearthbleed que se notificó hace ya dos años, y que en su momento supuso una de las mayores brechas de seguridad en internet.

Además del video empezamos con el tema de criptografía, con una breve introducción histórica y un ejercicio de cifrado (cifrar o encriptar es lo mismo) .

Criptografía y enigma –> ver el apunte del curso pasado

Empezamos a ver estos dos sistemas de cifrado:

  • criptografía simétrica : una única clave utilizada para encriptar /desencriptar
  • criptografía asimétrica : basada en un par de claves ( pública + privada ).

en Genbeta tienen una explicación ilustrada fácil de entender y aquí hay otra más detallada en formato prezi

Y dado que también salió en la conferencia de Álvaro Gómez, podéis leer aquí el caso de la linterna molona, como ejemplo de malware para móviles.

Álvaro Gómez va a volver al instituto para impartir una conferencia sobre “Medios de pago y gestión del fraude”, será el lunes 15 a las 16:00

hasta la vuelta de carnaval

carnaval2

 

 

 

 

 

– – – – – – – – – – – – – – – – – – – – – – – – – – –