Adobe security team posts public key – together with private key

Sobre el comentario del otro día en el clonado de máquinas y el problema derivado de clonar, por ejemplo, la clave privada de los servidores ssh.

Adobe security team posts public key – together with private key

Nuevo bug encontrado en SSL/TLS (y van ????)

Otro más de SSL/TLS. ¿Antesala de una complicada muerte anunciada?

Noticia disponible aquí.

[Fuente.: Alejo, como siempre mil gracias]

Google revela nueva vulnerabilidad en el protocolo SSL

Noticia sobre una nueva vulnerabilidad en SSL disponible aquí. Y van ????.

Comparto la apreciación que hace de esta noticia mi colega Alejo, "vaya cachondeo!".

Heartbleed, otro fallo extremadamente grave en una librería SSL

Con perdón por la palabra, tremenda "CA..DA". Ayer me remitía mi colega Alejo referencia a este nuevo fallo en el maravillo mundo de la SSL. Noticia disponible aquí.

Se descrubre otro fallo muy grave en una librería SSL

Buff, la historia se repite, otra vez asistimos a un gran fallo en "la capas de las capas" de la securización de gran parte de las comunicaciones de los mortales. Se descubre otro fallo muy grave en una librería SSL, esta vez en Linux.

[Fuente.: Alejo por email, nuevamente gracias]

El Parlamento Virtual

Mi buen amigo y compañero, Víctor Salgado, de Pintos y Salgado Abogados, persona con la que cada cierto tiempo comparto unas más que interesantes charlas sobre seguridad informática, me remite una noticia de finales de 2011 aparecida en SbD con el título Parlamento Virtual que me había pasado desapercibida. Sin entrar en opiniones sobre tal idea, para como docente mantenerme neutral, destacar todo lo relacionado con el ámbito de la seguridad en el voto electrónico.

Noticia Ágora Ciudadana, El Parlamento Virtual

SHA1 (malos tiempooos, para la líricaaa)

En la asignatura, entre otras muchas cosas, hemos visto las funciones hash y su integración en nuestros protocolos seguros, control de acceso, etc. Nuevas investigaciones debilitan aún más al SHA1. Más información en.:

http://www.hispasec.com/unaaldia/3886

http://www.kriptopolis.org/debilidad-sha1

Práctica 4.: Protocolos Seguros et al.

Este año la práctica cuatro ha sido optativa. El tiempo, al igual que nuestros discos duros, CPUs, RAM etc., es un recurso limitado. Es tiempo de exámenes pero, tras la tempestad, siempre viene la calma. Dejo en esta entrada copia de la práctica IV por si alguien está interesado en el último tema que hemos visto en PSI y quiere cerrar la asignatura en verano probando herramientas de seguridad. Casi todo el mundo trabaja a cambio de algo, €€s, puntos extra, una buena nota, unas palmaditas al ego personal, etc., pero también debemos pensar que no está nada mal trabajar a cambio de conocimientos y experiencias, sin buscar un premio tangible inmediato. El premio en estos casos suele venir a medio-largo plazo, y muchas veces con intereses.


Práctica IV.: Criptografía y Protocolos Seguros
Prof. A. Santos del Riego
Protección y Seguridad de la Información (PSI)
Facultad de Informática. Universidade da Coruña

El objetivo de esta práctica es comprender la importancia de los algoritmos criptográficos y su aplicación-funcionamiento en la forma de protocolos seguros. Hemos tratado en las clases teóricas los conceptos que rigen el funcionamiento de los criptosistemas simétricos y asimétricos, así como su integración híbrida en protocolos seguros. Se ha estudiado el esquema de funcionamiento de la firma digital y la necesidad de autoridades certificadoras. Finalmente, se ha presentado el funcionamiento de algunos protocolos y entornos seguros (SSH, GPG, SSL, etc.). Se deberán aplicar los conceptos adquiridos en la resolución de los siguientes apartados:


1.- Tomando como base de trabajo el GnuPG y utilizando dos usuarios de su máquina virtual pruebe sus diversas utilidades:


a) Generación de pares de claves
b) Cifrado y descifrado asimétrico de ficheros
c) Cifrado y descifrado simétrico de ficheros
d) Firma de ficheros
e) Verificación de la firma
f) Generación de ficheros de firma acompañante
g) Intercambio de claves
h) Validación de claves
i) Revocación de claves
j) Gestión básica de claves

2.- Analice el proceso criptográfico que se realiza en cada uno de los subapartados del punto anterior.

3.- Tomando como base de trabajo el SSH pruebe sus diversas utilidades:

a) Abra un shell remoto sobre SSH y analice el proceso que se realiza. Configure su fichero ssh_known_hosts para dar soporte a la clave pública del servidor.
b) Haga una copia remota de un fichero utilizando un algoritmo de cifrado determinado. Analice el proceso que se realiza.
c) Exporte una sesión X de forma segura.
d) Configure su cliente y servidor para permitir conexiones basadas en un esquema de autenticación de usuario de clave pública.
e) Utilice el agente de soporte de claves como complemento al apartado anterior.
f) Mediante túneles SSH securice algún servicio no seguro.

3.- Tomando como base de trabajo el servidor Apache2

a) Configure una Autoridad Certificadora en su equipo.
b) Cree su propio certificado para ser firmado por la Autoridad Certificadora. Bueno, y fírmelo.
c) Configure su Apache para que únicamente proporcione acceso a un determinado directorio del árbol web bajo la condición del uso de SSL y previa autenticación.

4.- Tomando como base de trabajo el openVPN deberá configurar una VPN entre dos equipos virtuales del laboratorio para que garantice la confidencialidad entre sus comunicaciones.

--
El diablo nunca duerme,

ike-scan - IPsec VPN Scanning, Fingerprinting and Testing Tool

En las clases teóricas y prácticas de PSI vemos distintas técnicas de "fingerprinting", tanto a nivel de operativos como de servicios de red. En esta entrada traemos una utilidad, el ike-scan, orientada al fingerprinting de sistemas de VPNs IPSec.

"ike-scan is a command-line tool for discovering, fingerprinting and testing IPsec VPN systems. It constructs and sends IKE Phase-1 packets to the specified hosts, and displays any responses that are received."

[Fuente.: http://www.darknet.org.uk]/