Factorizando clave RSA 1024 bits en 20 minutos!!!

Hola, muy buenas a todos!!

La semana pasada, se celebró en tierras Manchegas , más concretamente en Albacete, el “cuartocongreso de Seguridad Navaja Negra” en el cual se desarrollaron una gran variedad de talleres y charlas sobre seguridad informática, contando con algunos de los mayores expertos de seguridad del país como Lorenzo Martínez(Securízame / Security by Default) o el gran Chema Alonso y su presentación “No me cachees que me indexo”, entre otros.

Hoy me quería centrar en una de las charlas que expuso un miembro, presentándonos una herramienta que permite explotar una vulnerabilidad en RSA de 1024 bits de longitud en una librería OpenSSL, factorizando dicha clave en unos 20 minutos con la potencia de un ordenador convencional de casa.

Antes de explicaros como hace esto la herramienta, vamos a ver que es eso de RSA y para que se utiliza.

RSA, es un sistema criptográfico de clave pública (método criptográfico que usa un par de claves para el envío de mensajes), desarrollado en 1977, cuya seguridad radica en el problema que se nos presenta a la hora de factorizar números enteros. El funcionamiento se basa en el producto de dos números primos grandes elegidos al azar, los cuales actualmente son del orden de diez elevado a doscientos. Como os podéis imaginar, esto es bastante complejo y se pensaba que solo la computación cuántica podría dar una solución a este problema de factorización.

La herramienta que se nos presentaba se llama RSAhack, y lo que hace es explotar un fallo de implementación de RSA en OpenSSL (fallo que se encuentra en todas las versiones) mediante fuerza bruta (forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso).

OpenSSL genera una clave mediante la función rsa_builtin_keygen dentro del directorio /crypto/rsa/rsa_gen.c

Para que nosotros podamos atacar una clave de 1024 bits necesitamos atacar una de 512bits y como vemos en el código en la parte final se divide en dos la clave quedando una de 512,5 bits y otra de 511,5 bits.

A continuación pinchando aquí podéis descargar de forma totalmente gratuita esta herramienta.

Si os interesa más información sobre esta herramienta y el RSA en general, os dejo aquí debajo la página web oficial del autor de la herramienta y su vídeo demostrándonos como se hace.

Un saludo a tod@s y no os olvidéis de comentar para ir mejorando mi blog :D

Steganos Online Shield VPN, para navegar de forma segura.

Buenas a todos.

Antes de ayer os hablaba de Proton Mail un servidor de correos electrónico seguro, fácil de utilizar y que mantiene nuestra privacidad a salvo. Bueno pues hoy os traigo un programa llamado Steganos Online Shield VPN que también nos ayudará a mantener nuestra privacidad en internet.

¿Qué es Steganos Online Shield VPN?

Es un programa que sirve para navegar de forma totalmente segura, privada y anónima por internet, siendo capaz de evitar cualquier limitación de acceso relacionadas con nuestra ubicación.

Esto último viene muy bien sobre todo a países que están en guerra o tienen un sistema político autoritario que restringen a la población el uso de internet, como por ejemplo Irán donde están prohibidas las páginas sobre religión, política... , Siria que de 750 millones de peticiones realizadas desde ordenadores o móviles de ciudadanos Sirios, el 93% son cursados por los servidores instalados por las propias autoridades sirias entre la conexión de los usuarios y las grandes redes internacionales que llevan hasta internet. Y otros muchos países como Vietnam, Túnez, China y por desgracia un largo etc.

Como todos sabéis, gracias a las cookies de navegación, las empresas saben en todo momento nuestros gustos para poder ofrecernos anuncios personalizados, ya que analizan nuestros patrones de navegación. Es sabido por todos, que la empresa que más sabe de nosotros es Google y la red social que sabe más de nosotros que nuestros propios amigos es Facebook.

Con Steganos Online Shield VPN se reducen de forma cuantitativa los anuncios dirigidos, ya que borra automáticamente las cookies cuando cerramos el navegador, con lo que no podemos ser reconocidos por los sitios web y además es posible controlar el seguimiento de las redes sociales . Algunas de ellas como Facebook o Twitter rastrean a sus propios usuarios incluso cuando estos no están conectados. Esto lo hacen gracias a los botones de “me gusta” y “twittear” que se muestran en diversas páginas web, que monitorizan nuestro rastro. Steganos oculta estos botones permitiendo nuestra navegación más anónima por la red.

Para hacer nuestra navegación aún más segura, Steganos nos permite la opción de seleccionar una ubicación de servidor alternativa (parecido a utilizar un servidor proxy), de manera que si en tu país (por ejemplo Ucrania) está bloqueado youtube, con este programa podrás saltarte el bloqueo saliendo a internet desde España.

Cabe destacar que todo el tráfico de datos es encriptado mediante uno de los algoritmos más rápidos y más seguros de encriptación que disponemos hoy en día, el AES de 256 bits (también conocido como Rijndael). Este algoritmo lo utilizan, entre otros, las agencias gubernamentales de Estados Unidos.... y si, me habéis pillado, este algoritmo también lo utiliza la NSA ;D jajaja .(Nota: ayer los EEUU prohibieron a la NSA los backdoors en los dispositivos, pincha para ver la noticia.)

En definitiva, con esta encriptación se hace mucho más seguro, por ejemplo, conectarse a una wifi pública (aunque yo os sigo recomendando que no lo hagáis). También tiene un modo invisible para los sitios web, permitiéndonos navegar sin que los rastreadores de datos sepan nuestra dirección IP, la versión del navegador, el sistema operativo o la ubicación.

Para ir acabando, os dejo a continuación la página de Steganos en la que podéis informaros más a fondo de todas las ventajas que tiene el programa y lo podéis descargar gratis, con una limitación de 500 Mb de tráfico al mes y de tráfico ilimitado durante un año por 49,95€.

¡¡¡Steganos Online Shield VPN!!!

Si os ha gustado la noticia ya sabéis compartidla, y nos vemos en la siguiente.

Un saludo a tod@s.

Proton Mail, el correo electrónico seguro

Muy buenas a todos.

Ayer hablando con unos amigos, después de que leyeran la publicación de los maravillosos móviles chinos, mi amiguete Pablo me dijo, “Oye Ernesto ¿por que no escribes un artículo de opinión sobre Proton Mail? ” y dije, suena bien, venga vale mañana lo escribo. Así que no es ninguna sorpresa de que os voy hablar hoy jejeje.

Bueno, primero vamos a ver que es eso de “Proton Mail”.

Proton Mail no es más que un servidor de correo electrónico, como lo son también Gmail o Yahoo!, con la diferencia de que es el servicio de mensajería más seguro del mundo.

Como muchos sabéis, siempre que puedo, me gusta meter a la NSA en mis entradas del blog, ya que es como una atracción que siento hacia esa organización jajaja y hoy no va a ser la excepción.

Debido al escándalo producido, cuando todos nos enteramos, de como la NSA nos espiaba a nosotros y a los gobiernos con sus infinitos recursos, Edward Snowden (antiguo empleado de la CIA y de la NSA ), publicó que uno de los principales recursos que utilizaban era los correos electrónicos de ciudadanos y mandatarios.

Este hecho indignó a la par que inspiró al investigador Andy Yen del CERN (Organización Europea para la Investigación Nuclear ), para crear con ayuda de estudiantes de MIT y Harvard el correo electrónico más seguro del mundo, Proton Mail.

Como anécdota, fue en el CERN, donde hace más de 20 años (concretamente en el 1989), vimos nacer el HTML de la mano de Tim Berners-Lee y Anders Berglund.

El sistema de cifrado que utiliza Proton Mail es punto a punto (Las redes punto a punto son aquellas que responden a un tipo de arquitectura de red en las que cada canal de datos se usa para comunicar únicamente dos nodos, en clara oposición a las redes multipunto, en las cuales cada canal de datos se puede usar para comunicarse con diversos nodos), y los correos que se quieran eliminar se pueden hacer mediante un sistema de borrado seguro.

Cada uno de los mensajes que se envían y reciben, contiene un encriptado que según sus propios creadores, ni ellos mismo podrían descifrar su contenido y por tanto si “alguien” les pidiese revisar los correos de los usuarios, esta tarea sería casi imposible.

Proton Mail se financia mediante una campaña de Crowdfunding, a la cual si estáis interesados en contribuir os dejo a continuación la página, pincha en →¡¡campaña Crowdfunding!!.

Para ir terminando, cabe destacar que si queréis haceros una cuenta en Proton Mail tenéis que enviar una solicitud primero y después se os notificará si la petición válida o no y si hay espacio en sus servidores para un usuario más. 

 

Si queréis tener más información o directamente intentar haceros una cuenta, os dejo a continuación la página web de Proton Mail.

Proton Mail!!

Espero que os halla gustado esta entrada, y si tenéis algún tema del que queráis que hable o simplemente queráis informaros, no dudéis en dejarlo en los comentarios.

Un saludo a tod@s y compartidlo si os a gustado. :D

¿¿Tienes un móvil Chino o vas a comprarte uno?? quizás esto te interesa.

Bueno, después de unos meses sin poder escribir ya que estaba de exámenes finales (los cuales por cierto, me han ido muy bien), retomo el blog con muchas ganas y sobre todo con muchas noticias que aunque no haya podido escribir he ido siguiendo todos estos días.

La verdad es que me ha resultado muy difícil elegir una noticia para comentar, ya que en este tiempo que no he hecho una publicación hemos tenido de todo, desde los robos de las bases de datos de Domino's pizza en Francia y Bélgica, pasando por el filtrado de un grupo hacker de 1.218.229 direcciones de correo y contraseñas de cuentas en Origin, hasta el Spyware preinstalado en smartphones chinos.

Me he decidido a escribir sobre los smartphones chinos, ya que entre mis amigos y conocidos cuento con un buen número de usuarios de dichos móviles. Espero que no os asustéis al leer esto si no todo lo contrario, como dijo Francis Bacon (célebre filósofo y canciller de Inglaterra) “la información es poder”.

A todos nos ha entrado la tentación de comprar un móvil chino cuando vamos a cambiar el nuestro, debido a que su funcionamiento no es el correcto o sencillamente creemos que está anticuado. Esto es muy normal sobre todo cuando vemos, que un Samsung Galaxy S4 por ejemplo se vende en the phone house por 389 € y un Star N9500 con prácticamente las mismas características por 120 €.

Lo que no sabíamos hasta hace poco, es que algunos de estos smartphones chinos son como los huevos kinder, vienen con sorpresa. Concretamente esta sorpresa se llama Uupay.D, un troyano que se esconde en nuestro terminal haciéndose pasar por la aplicación de google play, y que como esta, no se puede eliminar del sistema haciendo que el teléfono pueda leer la identidad del usuario y sus datos mandándolas posteriormente a unos servidores chinos. Pero ahí no acaba la cosa, este spyware (software malicioso que recopila información de un ordenador o terminal y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del terminal), también permite operar el teléfono de forma remota por ejemplo instalando aplicaciones maliciosas o cambiando funcionalidades del sistema.

Este troyano fue descubierto por una conocida empresa en ciberseguridad llamada G DATA, fundada en Bochum, Alemania en 1985 con la filial de América del Norte que ahora mismo se encuentra en Durham, Carolina del Norte.

G Data señalaba en una entrevista, que este modelo de smartphone (Star N9500) “representa una seria amenaza para los usuarios y que las opciones con este programa espía son casi ilimitadas. Los criminales online pueden tener acceso completo al teléfono”.

Como reflexión final sobre esto, quizás deberíamos pensarnos muy bien antes de comprar un móvil, si preferimos gastarnos más dinero en un terminal en el cuál confiamos que sea seguro en cuanto al spyware se refiere, o nos podemos ahorrar bastante dinero y confiar en que el móvil que compremos no venga con sorpresa desagradable.

Una cosa está clara, los chinos no tienen nada que envidiar a la NSA de EEUU ;) (pincha aquí para saber más sobre la NSA).

Espero que si os ha gustado lo compartáis y comentéis.

Un saludo a tod@s.

Viernes de Repaso

Bueno, por fin es viernes y como este es el primer viernes desde que tengo el blog, he decidido dejarlo como los “Viernes de Repaso”, donde haré un repaso de las noticias de la semana y os dejaré un enlace de otras que también me parecen muy interesantes y que no me han dado tiempo a comentar.

También quiero daros las gracias a todos los que cada día habéis leído las entradas, por que en una semana que lleva el blog en funcionamiento van ya 423 visitas, muchas de ellas desde el otro lado del Atlántico. Muchas gracias :)

Empezábamos con la noticia sobre Latch, la magnífica aplicación para proteger nuestras cuentas:

 Una buena herramienta de protección, LATCH

El lunes comenzábamos la semana aclarando ese término que se mueve mucho por las webs y blogs sobre seguridad informática, ¿Qué es Heartbleed?:

 ¿Qué es Heartbleed?

El martes el Tribunal de Justicia de la Unión Europea (TJUE) emite su sentencia a favor del “derecho al olvido” :

El derecho al olvido es ya una realidad!

El miércoles teníamos la entrada más visitada de todas ¿Crees que tu contraseña es infranqueable?:

¿Crees que tu contraseña es infranqueable?

Y ayer jueves, os contaba algunas de las técnicas de la NSA para espiarnos:

 ¿Cómo nos espía la NSA? 

A continuación os dejo otras noticias muy interesantes:

 Uno de mis blogs favoritos (por no decir EL favorito) Un informático en el lado del mal:

Alise Devices: Una seguridad anti-falsificación para Penny

Muy buena página sobre seguridad en apple Seguridad Apple:

OS X Mavericks 10.9.3 arregla 13 CVEs de seguridad 

Como detectar certificados falsos Segu-Info:

Un side-channel con Flash para detectar certificados falsos

Que paséis buen día y mañana vuelvo con más noticias. Un saludo ;D

¿Cómo nos espía la NSA?

Bueno, lo primero, por si alguien no sabe todavía que es la NSA, vamos a hablar un poco de ella.

La NSA (Agencia de Seguridad Nacional), es una agencia de inteligencia del Gobierno de los Estados Unidos que se encarga de todo lo que tiene que ver con la seguridad de la información. Fue creada en secreto el 4 de noviembre de 1952 por el trigésimo tercer presidente de los Estados Unidos, Harry S. Truman.

Un dato que me resultó curioso cuando leía hace tiempo cosas sobre la NSA es que, durante los años 50, 60 y 70 dicha agencia acaparó y bloqueó la publicación de cualquier avance en el campo de la criptografía. Tal era su afán por tener el monopolio del conocimiento en ese campo que presionó al historiador David Khan para evitar que publicara su famoso libro “ The Codebreakers”, considerado una obra maestra y libro de referencia en temas de historia de la criptografía. Además, por ley, durante la Segunda Guerra Mundial revelar información sobre criptografía era un acto de traición.

Ahora que ya sabemos un poco quién es esta gente y como se las gasta, os voy a contar algunos de los métodos que tiene la NSA para espiarnos.

Como cualquier hacker que quiere entrar en nuestro ordenador, la NSA aprovecha los fallos de seguridad en el software de nuestros ordenadores para recolectar datos mediante diversos exploits (un exploit es un fragmento de software , utilizado con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo).

Y diréis, “bueno Ernesto, como bien has dicho esto lo puede hacer cualquier hacker que sepa del tema”, y lleváis toda la razón pero ahora viene lo curioso.

Se sabe (y ahora os explico como lo hacían), que operadores de la NSA lograban instalar puertas traseras en el hardware de los equipos como por ejemplo PCs y portátiles. Si, habéis leído bien, en el HARDWARE.

Accedían físicamente a los equipos para poder instalar en cada uno de ellos una versión especial de un firmware (bloque de instrucciones de máquina para propósitos específicos ) reflasheando la BIOS.

Algunos de estos ataques más conocidos son por ejemplo, el ataque SWAP, que permite instalar software de control durante el arranque del ordenador. Programas que lograban ejecutar rootkits ( programas que permiten un acceso de privilegio continuo a una computadora pero que se mantiene oculto al control de los administradores ya que corrompe el funcionamiento normal del sistema operativo) en servidores y tener acceso total a todos los datos como por ejemplo DEITYBOUNCE.

Como os podréis imaginar, todo esto se puede hacer también en smartphones. Programas como DROPOUTJEEP para acceder a los datos de un iPhone o TOTEGHOSTLY que era una versión para dispositivos Windows Mobile, antes de que sacaran el Windows Phone.

En general, un inagotable catálogo de métodos para espiarnos.

Pero os preguntaréis, ¿todo esto es verdad o son conspiranoias?. Bueno pues en respuesta a esta pregunta tenéis el libro de Glen Greenwald titulado “No place to hide”, en el que encontraréis, entre otras cosas, fotos de la llamada “Tailored Access Operations (TAO)” una división de la NSA que interceptaba dispositivos de comunicaciones como routers y switches antes de que llegasen a sus compradores, para incluir en ellos los chips o firmwares anteriormente citados.

Greenwald se encargó de entevistar a Edward Snowden y de filtrar los documentos, que este antigüo experto en informática de la NSA había estado recolectando.

En la foto que os pongo a continuación, se puede ver a los empleados de la NSA abriendo la caja de un router Cisco e instalando el firmware, para posteriormente ser enviado de nuevo a su comprador.

Bueno, hasta aquí este pequeño post sobre la NSA y algunos de sus métodos de espionaje. Si queréis saber más sobre el tema no dudéis de ponerlo en los comentarios e intentaré hacer otra entrada más larga y con más citas del libro “No place to hide” de Glen Greenwald.

Un saludo ;)

¿Crees que tu contraseña es infranqueable?

Muy buenas a todos, hoy quería hablaros sobre una noticia que me parece muy importante. Esta noticia dice así “Descubierta (y corregida) una vulnerabilidad grave en el kernel de Linux”. Iba a empezar a escribir en la nueva entrada de hoy, cuando he visto otra noticia que decía “El 90% de las contraseñas de todo tipo son vulnerables”, y se me han venido a la cabeza unas cuantas historias sobre este tema, así que os voy a dejar el enlace (pincha aquí para ver la noticia sobre Linux) ya que me parece bastante interesante y voy a comentar esta otra con algunas anécdotas que me han surgido.

Como bien sabéis en la actualidad está muy de moda que todos los días del año sean el día mundial de algo (el día del Padre, el día de la Madre, el de los enamorados, el día internacional de la lucha contra el uso indebido y el tráfico ilícito de drogas... podéis ver todos pinchando aquí), en fin cosas comunes, y como no iba a ser menos también existe el Día Mundial de la Contraseña (World Password Day). Con motivo de este día McAfee, compañía de software relacionado con la seguridad informática, ha publicado unos datos que aseguran que el 90% de las contraseñas son vulnerables a ataques. Y que las preferidas por los usuarios son cosas como “123456” ó ”Password”...

Según McAfee, para que nuestras contraseñas sean “infranqueables” recomiendan que sean de 14 caracteres como mínimo, alternando mayúsculas y minúsculas y que no sea una única palabra.

Y diréis vosotros, “joder Ernesto todo esto ya lo sabíamos, tenías que haber hablado de la noticia de Linux”.Bien, pues aunque no os lo creáis hay gente que esto no lo sabe y sigue poniendo como contraseña a sus cuentas “123456”, “Password”, “admin” “mi fecha de nacimiento(o la de mi madre,padre,hermano,novio,hijo etc)” y no creáis que esto lo hacen solo unos abuelos en su casa que no saben manejar un ordenador.

Siempre cuento el caso del banco (no diré el nombre, como pista os diré que es rojo y termina en tander :P) que hay cerca de mi casa, en el cual una vez fui a hacer una trasferencia al extranjero y vi como la amable señorita que me atendía le preguntaba a su compañera como era la contraseña para entrar en el programa, y esta otra le contestaba en un tono que podía oír la gente de ese banco y el de al lado, “LA CONTRASEÑA ES 01234!!!”...

Pero eso no era lo peor, si no ver la pantalla llena de posits con “contraseña de mi Facebook *****”, “contraseña de mi cuenta gmail *****” o “Contraseña tarjeta crédito ****”...

El motivo de este post es intentar concienciar un poco más a la gente de que las contraseñas, por muy “infranqueables” que las pongas como dice McAfee, siempre hay alguien que la va a poder sacar, cuanto más si ponemos cosas tan obvias como las citadas anteriormente.

Así que revisad vuestras contraseñas, y si después de leer esta entrada pensáis que no es segura cambiarla y ponedles a los malos las cosas más difíciles para que no entren.

Ya para terminar esta entrada de hoy os voy a contar la historia de Dan Kaminsky y sus contraseñas. Para los que no sepáis quien es este hombre, es un famoso investigador de seguridad que trabaja para IOActive y fue conocido por descubrir el error de envenenamiento de Cache DNS en el 2008 y el Rootkit de Sony. Bueno pues este experto, mientras estaba dando una conferencia de seguridad en el Black Hat (una de las conferencias más importantes sobre seguridad informática y técnicas hacker) le hackearon la cuenta de facebook consiguiendo su contraseña que era “fuck.facebook” con lo que a partir de ahí descubrieron todas, “fuck.gmail”, “fuck.yahoo” etc

Espero que os haya gustado esta entrada y que ayudéis a tomar un poco de conciencia a las personas de vuestro entorno que no se toman enserio la seguridad de su password.

Espero vuestros comentarios :D

El derecho al olvido es ya una realidad!

Hoy, el Tribunal de Justicia de la Unión Europea (TJUE) ha emitido su sentencia, fallando a favor del “derecho al olvido” de los usuarios de la Unión Europea, frente a los intereses comerciales de Google.

Esto quiere decir, que ahora los buscadores son los responsables del tratamiento de los datos personales de los usuarios, los cuales pueden pedir a Google su eliminación de los resultados de las búsquedas. Todo esto siempre y cuando se cumplan una serie de requisitos y que el usuario considere que vulneran su privacidad.

La verdad, es que esta decisión nos ha sorprendido a más de uno después de recordar las declaraciones de hace unos meses de Niilo Jääskinen (Abogado general del Tribunal), las cuales decían , “Google trata los datos personales publicados por otros y no se puede obligar a que el buscador elimine esta información, ya que no es de su propiedad.”

Jääskinen se basaba en que Google “trata” la información puesto que rastrea e indexa páginas, pero el buscador no es el “responsable del tratamiento” de datos personales en páginas web de terceros. Vamos pa' que nos entendamos... que si pongo en una web “Ernesto cabrón!!” y Google indexa eso, el responsable soy yo o incluso el medio de transmisión, pero no los buscadores ya que no tienen control alguno sobre el contenido...

Y os preguntareis, ¿de dónde viene todo esto?

Pues el origen de la sentencia del TJUE, está en la denuncia que hizo un abogado español, reclamando a Google que eliminara su nombre de un anuncio en el cual se mencionaba un embargo y que ,como no, Google había indexado. A partir de ahí, más de 200 casos similares se llevaron a la Audiencia Nacional en una batalla legal entre la AEPD (Agencia Española de Protección de Datos) y Google.

Después de escribir el artículo y reflexionar un poco sobre todo esto os hago esta pregunta ya que yo no tengo clara la respuesta, ¿Pensáis que aunque Google (u otros buscadores) tenga que eliminar los enlaces sobre información personal que no queréis que estén, esta información deja de estar en Internet?

En definitiva, al menos el “derecho al olvido” en Europa es ya una realidad.

Espero vuestros comentarios ;)

¿Qué es Heartbleed?

Hoy quería hablaros sobre un término que se viene utilizando mucho en estos últimos meses por las redes y blogs sobre seguridad informática. Ese término es Heartbleed.

¿Qué es Heartbleed?
Empezaré explicando a grandes rasgos que significa esa palabreja:
Heartbleed es un error de software que permite capturar información sensible y desencriptarla. Para entender un poco mejor que significa todo eso, debemos conocer como funcionan las webs y como encriptan esa información sensible.

Una de las formas que tienen las webs para gestionar y encriptar las contraseñas y demás información privada, es utilizando un paquete de herramientas que suministra funciones criptográficas llamado OpenSSL. La vulnerabilidad de Heartbleed se remonta a la versión 1.0.1 de OpenSSL que fue lanzada el 14 de marzo de 2012, y también afecta a la versión OpenSSL 1.0.1f . 

El problema es, que todas las webs que utilicen OpenSSL podrían tener este fallo, el cual permite que un atacante tenga acceso a la información privada que SSL está protegiendo con sus funciones criptográficas alojadas en servidores.

 
Según estadísticas, este agujero de seguridad afecta a dos tercios de todo internet por lo que algunas organizaciones como Electronic Frontier Foundation o grandes criptógrafos como Bruce Schneier denominaron el fallo como una de las peores vulnerabilidades encontradas desde que Internet comenzó a tener tráfico comercial.
 
Nosotros como usuarios, realmente, podemos hacer poco ya que al ser un fallo en los servidores solo queda esperar a que estos actualicen el software a la versión OpenSSL 1.0.1g la cual sacaron especialmente para arreglar este problema. Lo único que podemos hacer nosotros es verificar que los servicios que utilizamos no son vulnerables, esto se puedo hacer con una herramienta de LastPass (pincha aquí para ver como funciona), y cambiar las contraseñas.

Desde sitios web como Facebook, Amazon, Yahoo o el gran Google ( y de su afición por indexar urls de la cual hablaré en una de las siguientes entradas) nos han explicado y asegurado que ya han tomado las medidas necesarias para mitigar este fallo y que lo usuarios estén más tranquilos. 
 

Bueno espero que con esta pequeña entrada haya quedado un poco más claro que es Heartbleed.
Un saludo a tod@s y espero vuestros comentarios :) 

Una buena herramienta de protección, LATCH

Hoy quería hablaros de esta herramienta, Latch desarrollada por Eleven Paths.

Latch es una app que añade un nivel más de seguridad a nuestras cuentas. Cuando pensamos en los métodos que tenemos para aumentar la seguridad de las cuentas en redes sociales, webs etc siempre se nos viene a la cabeza cosas como biometría, autenticación en dos pasos, gestores de contraseñas (como por ejemplo 1Password, Keepass o Roboform entre otros)...

Pero no siempre, lo más complicado es la mejor opción. Latch nos permite proteger nuestras cuentas simplemente pareando una vez la cuenta con la clave que proporciona la aplicación y ya tendremos un pestillo que nos permitirá tenerla abierta para ingresar nuestro usuario y contraseña o tenerla cerrada.

 De esta forma tan sencilla, aunque otra persona tuviera nuestros usuarios y contraseñas de todas las cuentas que usamos en Internet, no podrían entrar ya que estaría bloqueada con nuestro pestillo.

Otro de los puntos a favor que tiene Latch, es que no almacena los usuarios y contraseñas de las cuentas que pareamos con la app, por lo que no hay miedo de que los atacantes se centren en los servidores de Latch y consigan nuestros datos.

Hace unos meses estuve en la conferencia del gran Chema Alonso ( Un informático en el lado del mal ) en la UPM sobre Latch, y la verdad es que sus explicaciones sobre como funciona y lo fácil que es manejar la herramienta junto con las demostraciones que nos hizo en directo, me dieron ganas de descargarme la app y probarla. Funciona a las mil maravillas pero aún tiene un pequeño problema que sin duda con el tiempo se irá mejorando, y es que, a penas está disponible en la mayoría de las páginas.

A continuación, os dejo la página de Eleven Paths donde os vienen todos los sitios donde podéis implementar Latch, y si sois proveedores de servicios online como ofrecer las funcionalidades de esta app magnífica.

¿Dónde puedo poner Latch? 

 Un saludete a tod@s.

Primera entrada: presentación.

Buenas a todos, soy Ernesto un estudiante de informática apasionado de la seguridad y por eso os traigo este blog. Un blog donde intentaré recopilar cada día una o varias noticias sobre actualidad en seguridad informática. Iré poniendo las noticias que me parezcan más interesantes y de vez en cuando también escribiré yo algunas.

A diario, para estar informado sobre la actualidad en seguridad, tengo que visitar distintos blogs y páginas ( de los cuales iré añadiendo los enlaces ), y mi idea es con esa información hacer un blog que sea un resumen para estar al día. De ahí nace mi necesidad de hacer este blog.

Para empezar esta primera entrada, me gustaría compartir con vosotros uno de los libros que más me han hecho coger el gusto por la seguridad informática y empezar a investigar por mi cuenta.
Este libro es, "El arte de la intrusión" del gran Kevin Mitnick, uno de los hackers más famosos de la historia.

Desde la ingeniería social más perspicaz hasta la programación más simple este es un libro que te va a gustar, seas un experto en informática o un simple aficionado. Diez capítulos en los que cada uno es una historia de verdad de unos hackers de verdad todos ellos entrevistados por el propio Kevin Mitnick.

Un libro con el que "aprenderás a ser un hacker o a evitarlos".

Pincha aquí para descargarlo.

 Espero que os guste y agradeceré vuestros comentarios para mejorar cada día el blog.

Un saludete a tod@s.