Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)

Breve resumen de las novedades producidas durante el mes de julio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292o.htm

* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292p.htm

* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292q.htm

* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292r.htm

* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292s.htm

* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España) http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI

* 321 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008

(España)

http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf

* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009875&random=9025

* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111&random=9352

Continuar leyendo “Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)”

Contenidos Criptored Junio 2008

Breve resumen de las novedades producidas durante el mes de junio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* Actualización Artículo Proceso Implementación Infraestructura de Clave Pública (María Paula Espinoza, artículo pdf, 15 páginas, Ecuador) http://www.criptored.upm.es/guiateoria/gt_m538b.htm

* ISO 27001 y las PyMEs (Alejandro Corletti, artículo pdf, 6 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292k.htm

* El nicho de mercado principal de ISO-27001 son las PyMEs (Alejandro Corletti, artículo pdf, 2 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292l.htm

* Metodología de implantación y certificación en las PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292m.htm

* Problemática, ventajas y desventajas de ISO-27001 en PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292n.htm

* Análisis forense de dispositivos móviles con Symbian OS (Rodrigo Hernández, Carlos Agualimpia, Coord. Jeimy Cano, artículo pdf, 6 páginas, Colombia) http://www.criptored.upm.es/guiateoria/gt_m142e1.htm

* 316 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

Continuar leyendo “Contenidos Criptored Junio 2008”

Mitos y leyendas: “Compruebe el candadito del navegador para estar seguro” I (Phishing)

Via: HispaSec
Esta frase es una de las recomendaciones de seguridad básicas que todo sistema de banca online ofrece a sus usuarios. Ha sido uno de los consejos estrella para intentar evitar el phishing en los últimos años.
En realidad, SSL podría ser un arma poderosa contra le phishing pero no ha sido así. En parte porque no se entiende la tecnología, en parte porque se ha vuelto tan popular y barata que ha dejado de tener el efecto deseado. El SSL y “el candadito del navegador” simplemente ya no significan nada. Tanto, que se ha tenido que crear un nuevo concepto de certificado. Un consejo obsoleto que ofrece una falsa sensación de seguridad de la que se están aprovechando los phishers.

¿Para qué sirve el SSL?

Incluso entre los profesionales de la informática existe cierta confusión al entender el SSL y qué significa que se navegue bajo el protocolo HTTPS. Se sabe que es un “canal seguro”, pero ¿seguro por qué?
Sin entrar en tecnicismos, hay que decir que SSL debería cumplir dos funciones. Primero es una conexión cifrada sobre un canal público. Cifra la conexión de forma que en teoría sólo el servidor y el navegador pueden acceder al flujo de datos entre ellos. Lo que olvidan muchos es que SSL también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Esto lo hace gracias a la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener.

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto.
Siguiendo con la analogía del DNI, sólo el Estado (las autoridades
certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿Es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la
saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello abría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros.
Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS.
Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

Existen certificados de hasta 300 euros al año, y estas autoridades certifican el dominio, los datos… es un proceso caro y costoso que se paga. Pero como se ha dicho también los hay “light” en los que toda la gestión se hace online y con una mínima comprobación. Esto es legítimo y válido, pero llevado al contexto del phishing, resulta ventajoso para los atacantes. Los phishers pagan 20 euros (con tarjetas que a su vez han robado) y tendrán un candadito y una conexión HTTPS en su phishing.
El nivel de credibilidad aumenta con respecto a sus víctimas.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: “si tiene candadito, es seguro”, se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Continuar leyendo “Mitos y leyendas: “Compruebe el candadito del navegador para estar seguro” I (Phishing)”

Nosotros Usamos Linux: migracion de un entorno empresarial a Linux.

La empresa Rentalia ha culminado su migracion de sistemas propietarios Windows a sistemas GNU Linux, tanto servidores como equipos de usuario, y tras el proceso (en el cual se han tomado su tiempo de adaptacion) han publicado un articulo en su Blog muy interesante.

El articulo contiene Graficas de resultados, encuestas a los usuarios, TimeLine de la implantacion, la verdad es que es un documento muy interesante para conocer los pros y las contras de este tipo de instalacion.

Enlace: En Rentalia Usamos Linux…

Nuevo formato de Compresion Audio

El grupo de investigación ‘Tratamiento de Señales en Sistemas de Telecomunicación‘, del Departamento de Ingeniería Electrónica, de Telecomunicación y Automática de la Universidad de Jaén, ha desarrollado un codificador de audio con un buen nivel de calidad de la señal codificada, es decir, a un bit rate (velocidad de transferencia de datos) muy bajo, que incrementa la tasa de compresión ofrecida por los actuales codificadores de audio. El más cónocido de estos es el formato MP3.
Los esfuerzos del grupo de Jaén, dirigido por Nicolás Ruiz Reyes, hoy vicerrector de Infraestructuras, han dado lugar a un novedoso codificador de voz de banda ancha y audio. Además, la información codificada se genera con una estructura especial que permite no sólo el almacenamiento de audio comprimido, sino también la transmisión de audio sobre redes digitales. En este sentido, se han tenido en cuenta algunos aspectos claves que lo hacen apropiado para streaming, es decir, para la difusión sobre Internet. La tecnología de ‘streaming de audio’ permite no tener que descargar todo un archivo de audio antes de escucharlo.
El aspecto principal de esta investigación ha radicado en lograr una velocidad de transferencia de datos (bit rate), que ha pasado de los 16 kbits/s normales a los 8 Kbits/s, sin disminuir la calidad del archivo de sonido. Esto hace posible el ‘audio streaming’ incluso a través de conexiones de Internet de baja velocidad.
En cuanto a su funcionamiento, el codificador extrae de la señal de audio original diferentes parámetros, que serán enviados de forma codificada al decodificador. Las nuevas señales decodificadas obtenidas, serán idénticas en calidad sonora a las originales.
Este codificador será de interés para empresas del sector audiovisual y de las telecomunicaciones, debido a su aplicación a la transmisión de audio por internet, o bien por redes GSM/GPRS (las más usadas en la actualidad por nuestros teléfonos móviles), y que hoy día ya comercializan la descarga de canciones en MP3.