Escaner para vulnerabilidad JPEG

Septiembre 28th, 2004

En SANS – Internet Storm Center tenemos disponible un programa para comprobar si nuestro sistema es vulnerable al reciente fallo de Windows en la decodificación de ficheros JPEG.

Microsoft publicó una herramienta para detectar esta vulnerabilidad, pero realmente no comprueba si estamos expuestos, sino solamente si está instalado algún producto de Microsoft que pudiera verse afectado.

Podemos ver todos los programas que están afectados aquí.

Parece que ya nunca más podremos decir que no nos puede entrar un virus simplemente visualizando una imagen.

Guardado en Nota | Comentarios desactivados en Escaner para vulnerabilidad JPEG

Seguridad del correo electrónico (III)

Septiembre 15th, 2004

Si “A” quiere enviar un mensaje firmado a “B” (de forma que B puede asegurar que A ha escrito ese mensaje y que el contenido no ha sido modificado) deberá hacer:

  1. Hacer un resumen del mensaje M, obteniendo H
  2. Cifrar H con su clave privada, obteniendo H’
  3. Enviar M y H’ a B

Cuando B reciba M y H’, para comprobar que ha sido enviado por A deberá hacer:

  1. Hacer un resumen de M, obteniendo J
  2. Descifrar H’ con la clave pública de A, obteniendo H
  3. Si H es igual a J la firma es correcta

Finalmente, si A quiere enviar a B un mensaje cifrado y firmado deberá realizar los siguientes pasos:

  • Primero se debe firmar el mensaje:

    1. Hacer un resumen del mensaje M, obteniendo H
    2. Cifrar H con su clave privada, obteniendo H’
    3. Juntamos M y H’ obteniendo N
  • Después se debe cifrar N:

    1. Crear una clave aleatoria K
    2. Cifrar el mensaje N con la clave K obteniendo N’
    3. Cifrar la clave K con la clave pública de B, obteniendo K’
    4. Enviar N’ y K’ a B

Y B para leer el mensaje y comprobar que ha sido escrito por A deberá hacer:

  1. Descifrar K’ con su clave privada, obteniendo K
  2. Descifrar N’ con la clave K, obteniendo N
  3. N está compuesto por M y H’
  4. Hacer un resumen de M, obteniendo J
  5. Descifrar H’ con la clave pública de A, obteniendo H
  6. Si H es igual a J todo ha sido correcto

Este proceso es complicado, pero GnuPG se encarga de realizar todos estos pasos por nosotros automáticamente. Además, también comprime el mensaje que queremos enviar para reducir el espacio que ocupa y aumentar la seguridad. Otra medida que utiliza GPG es la petición de un password antes de poder usar la clave privada, de forma que nadie pueda usar nuestra clave privada sin conocer este password.

Guardado en Artículo | Comentarios desactivados en Seguridad del correo electrónico (III)

Seguridad del correo electrónico (II)

Septiembre 13th, 2004

Para conseguir la seguridad requerida en el correo electrónico se utilizan una serie de funciones matemáticas, englobadas dentro del campo de la criptografía. Existen varios conceptos clave para entender como funciona todo el sistema:

  • Criptografía de clave privada: Los sistemas de clave privada utilizan una misma clave para cifrar y descifrar, de forma que tanto el emisor como el receptor del mensaje deben ponerse de acuerdo previamente en la clave a utilizar. El mensaje a enviar se divide en bloques de igual tamaño y a cada uno de estos bloques se le aplica la misma función de cifrado. El receptor aplica la función de descifrado a cada uno de los bloques recibidos y obtiene el mensaje original. Ejemplos de este tipo de algoritmos son DES, Blowfish o AES-Rijndael
  • Criptografía de clave pública: Los sistemas de clave pública utilizan claves distintas para cifrar y para descifrar. De esta forma, se pretende evitar el problema de que los comunicantes tengan que acordar la clave. Cada uno de ellos dispone de un par de claves, una pública, que permite cifrar y verificar firmas y una privada, que permite descifrar y firmar. La clave pública se puede distribuir a cualquier persona y la clave privada es la que debe manetenerse en secreto. Si “A” quiere enviar un mensaje a “B” debe cifrarlo con la clave pública de “B”, de forma que este solo podrá ser descifrado con la clave privada de “B”. Ejemplos de este tipo de algoritmos son RSA o ElGamal.
  • Funciones resumen (hash): Las funciones resumen hacen corresponder un mensaje de longitud arbitraria a otro de longitud fija (el hash, normalmente más pequeña. Esta función debe cumplir dos condiciones: ha de ser difícil encontrar dos mensajes diferentes cuyo hash sea el mismo y dado el hash ha de ser imposible conocer el mensaje original.

El inconveniente de los sistemas de clave pública es que son mucho más lentos que los de clave privada, por lo que se suelen cifrar los mensajes con un clave privada aleatoria (clave de sesión) que posteriormente se cifra con un sistema de clave pública. De este modo, en lugar de cifrar todo el mensaje (que potencialmente puede ser muy extenso) con la clave pública solo cifraremos una clave de sesión, lo cual nos ahorrará mucho tiempo.

La mejor forma de entender como funciona todo esto es ver un ejemplo: supongamos que “A” quiere enviar un mensaje cifrado a “B”. Para ello deberá hacer:

  1. Crear una clave aleatoria K
  2. Cifrar el mensaje original M con la clave K obteniendo M’
  3. Cifrar la clave K con la clave pública de B, obteniendo K’
  4. Enviar M’ y K’ a B

Cuando B reciba M’ y K’ deberá hacer:

  1. Descifrar K’ con su clave privada, obteniendo K
  2. Descifrar M’ con la clave K, obteniendo M

Este proceso se complica si además de enviar el mensaje cifrado se quiere enviar también firmado, pues entonces también entran en juego la clave privadas y la pública de A.

Guardado en Artículo | Comentarios desactivados en Seguridad del correo electrónico (II)

Seguridad del correo electrónico

Septiembre 12th, 2004

De forma similar al correo tradicional, el remitente de un correo electrónico es muy fácil de falsificar. Si queremos falsificar el remitente de una carta tan solo debemos escribir la dirección que nos interese en el reverso del sobre; de igual manera podemos cambiar el remitente de un correo electrónico. La mayoría de programas de correo permiten cambiar la cabecera y indicar la dirección que nosotros queramos, y aunque se puede saber si el remitente ha sido falseado este es un proceso complicado y que puede no llevarnos a descubrir el verdadero remite.

Para resolver este problema de falta de autenticación se utiliza la firma digital; esta permite confirmar que quien envía el mensaje es quien dice ser. Existen diversos sistemas de firma digital, entre ellos los más conocidos y utilizados son S/MIME y los basados en OpenPGP.

Los programas de firma digital permiten dos funciones principales: la firma y el cifrado de los mensajes.

  • La firma permite garantizar que el origen del mensaje es el correcto y que el contenido del mensaje no ha sido modificado.
  • El cifrado permite que solo el destinatario pueda leer un determinado mensaje. Habitualmente se combina con la firma, de forma que solo el destinatario correcto verá el contenido del mensaje y podrá saber que no ha sido manipulado y además podrá garantizar por quien ha sido enviado.

GPG es una implementación basada en el estándar OpenPGP, aunque existe una versión experimental que soporta S/MIME. Es gratuita y de código libre, por lo que está disponible para multitud de plataformas (Windows, Linux, MacOS X,…). Aunque por defecto GPG funciona a través de la linea de comandos existen diversas interfícies gráficas, como WinPT que facilitan su uso; además, se integra con la mayoría de programas de correo de forma que podemos tratar de manera automática el correo que recibimos y enviamos.

Podemos encontrar mucha más información sobre GPG en Guía de “Gnu Privacy Guard”

Guardado en Artículo | Comentarios desactivados en Seguridad del correo electrónico

Concurso de seguridad en Honeynet Project

Septiembre 2nd, 2004

Vía PuntBarra

El objetivo del concurso es analizar un binario que contiene “malware”. Los ganadores recibiran una copia del libro “Malware: Fighting Malicious Code”.

Guardado en Nota | Comentarios desactivados en Concurso de seguridad en Honeynet Project

Vulnerabilidades en SP2 de XP

Agosto 29th, 2004

Vía Microsiervos

La noticia tiene ya algunos dias, pero la BBC nos explica algunas de las vulnerabilidades que se han descubierto en el Service Pack 2 de Windows XP pocos dias despues de su publicación.

Guardado en Nota | Comentarios desactivados en Vulnerabilidades en SP2 de XP

Libro sobre seguridad para desarrolladores en .NET

Agosto 26th, 2004

Keith Brown tiene un wiki donde se puede leer online su libro The .NET Developer’s Guide to Windows Security.

Podeis conseguir también la versión en papel.

Shop at Amazon.com

Guardado en Nota | Comentarios desactivados en Libro sobre seguridad para desarrolladores en .NET

Conectandonos a una LAN desconocida

Junio 2nd, 2004

Si disponemos de un portátil y nos desplazamos frecuentemente con él, es fácil que necesitemos conectarnos a alguna red interna del
sitio donde estemos (trabajo, universidad…) Debemos tener en cuenta en ese caso, tanto la seguridad de nuestro portatil como la de la red donde vamos a acceder.

Siempre que nos conectemos a una red desconocida o poco confiable debemos asegurarnos de tener activo nuestro firewall con todos los puertos posibles cerrados al exterior. Tendremos que asegurarnos además de que el firewall está configurado para protegernos de ataques desde esta red, ya que a veces estos estan configurados para proteger de ataques procedentes de Internet. Es importante también que no tengamos activado la compartición de ficheros de Windows si no la necesitamos y, en caso de que esta sea necesaria, debemos protegerla con una buena contraseña.
Además, nunca deberiamos acceder a servicios inseguros (POP3, FTP,…) cuando estemos en una red no confiable, ya que es muy sencillo para un atacante ver todos los datos que circulan por esta red, especialmente si está conectada a través de un hub, aunque también es posible hacerlo aunque esté conectada con un switch. Lo mejor en estos casos será acceder solo a servicios que funcionen a través de SSL.

También es importante tener en cuenta la seguridad de la red donde accedemos. Por ello, debemos comprobar siempre que nuestro ordenador no está infectado con un virus o un worm que pueda entrar en esta red e infectar al resto de ordenadores, además de procurar no saturar el ancho de banda disponible con transferencias de grandes ficheros si no es imprescindible como detalle decortesía hacia los demás usuarios de esa red.

Guardado en Artículo | 2 comentarios »

Guardar copias de seguridad

Mayo 5th, 2004

En un ordenador personal tenemos dos tipos de ficheros: reemplazables e irreemplazables.

Los ficheros reemplazables son aquellos de los cuales disponemos una copia. Habitualmente, estos son los ficheros del sistema operativo y de los diversos programas que hayamos ido instalando (siempre que dispongamos del original desde donde los instalamos).

Los ficheros irremplazables son aquellos de los que no disponemos de ninguna copia ni niguna manera sencilla de recuperarlos en caso de borrado accidental. Normalmente estos ficheros serán los datos generados por los programas que utilicemos (documentos de texto, imágenes tomadas de nuestra cámara digital, hojas de cálculo con nuestra contabilidad,…)

Nuestro objetivo deberá ser convertir los ficheros irremplazables en ficheros reemplazables. Para conseguir esto deberemos tener copias de seguridad de estos ficheros de forma que podamos recuperarlos en caso de perdida.

Para tener unas buenas copias de seguridad deberemos plantearnos las siguientes preguntas:

Qué?: Cuales son los ficheros que realmente nos interesa mantener? Hoy en dia son habituales los discos duros de 80 Gb. Es evidente que no podemos hacer una copia de todos los datos almacenados, así que deberemos decidir cuales son los ficheros importantes y hacer copias de ellos.

Cuándo?: Con que frecuencia debemos hacer copias de seguridad de los datos? Idealmente, deberiamos hacer una copia cada vez que modifiquemos el fichero. Esto es difícil, así que deberemos decidir una cierta frecuencia (dos días, una semana,…) teniendo en cuenta que si perdemos información durante ese período necesitaremos reintroducirla en el sistema.

Dónde?: En que tipo de sistema de almacenamiento vamos a guardar nuestras copias de seguridad? Para un usuario doméstico hay tres formatos disponibles: CD, DVD o disco USB. Si grabamos los datos en CD deberemos tener en cuenta que solo caben unos 700 Mb, por lo que tal vez necesitaremos muchos CDs para copiar todos nuestros datos, pero es un formato ideal para grabar nuestra colección de MP3, ya que esta no variará mucho. Si los grabamos en DVD dispondremos de mucho espacio para guardar los datos, pero no todo el mundo tiene grabadora de DVDs. Finalmente, los discos USB habituales disponen de 256 Mb de espacio, disparandose el precio en caso de que queramos uno de más capacidad.
Deberemos escoger, además, donde vamos a guardar estas copias una vez las tengamos almacenadas. Idealmente, estarán guardadas en una caja fuerte a prueba de fuego, pero como esto no suele ser posible deberemos intentar guardarlas en un sitio alejado del ordenador y protegido de posibles robos.

Guardado en Artículo | Comentarios desactivados en Guardar copias de seguridad

Privacidad del email

Abril 26th, 2004

Normalmente consideramos que el email que enviamos es como una carta, va guardado dentro de un sobre y nadie puede leerlo. Esto no es cierto, ya que los emails viajan como texto plano (es decir, texto visible a simple vista) por lo que pueden ser vistos por cualquier sistema por donde pasen. Debemos tener en cuenta que, muchas veces, los emails no viajan directamente al servidor del destinatario, sino que pasan por diversos servidores intermedios antes de llegar a buen puerto. Veamoslo en un ejemplo (direcciones modificadas, to protect the innocent):


Received: from amavis by xxx with scanned-ok (Exim 3.35 #1 (Debian)) id 1AWFKE-0004pQ-00 for <xxx @xxx.com>; Tue, 16 Dec 2003 14:33:22 +0100
Received: from 205-158-62-26.outblaze.com ([205.158.62.26] helo=spf4.us4.outblaze.com) by xxxx with esmtp (Exim 3.35 #1 (Debian)) id 1AWFK5-0004pF-00 for <xxx @xxx.com>; Tue, 16 Dec 2003 14:33:14 +0100
Received: from web60809.mail.yahoo.com (web60809.mail.yahoo.com [216.155.196.72]) by spf4.us4.outblaze.com (Postfix) with SMTP id 9E99D1BA1EE for <xxx @xxx.com>; Tue, 16 Dec 2003 13:38:21 +0000 (GMT)
Received: from [213.0.240.13] by web60809.mail.yahoo.com via HTTP; Tue, 16 Dec 2003 14:38:03 CET

Cualquiera de estos servidores puede haber leido el contenido del mensaje enviado.

Además, si utilizamos el protocolo IMAP para leer el correo, este suele quedar almacenado en el servidor, donde el administrador puede leerlo facilmente. Esto desde luego no es legal pero es dificilmente detectable. Con ello no quiero decir que la mayoria de administradores lo hagan, es más, el porcentaje de administradores que lo hagan probablemente es muy bajo, pero debemos tener en cuenta que tienen la posibilidad de hacerlo.

También existe la posibilidad, en caso de estar utilizando una cuenta de correo otorgada por la empresa en que trabajamos, que esta esté controlada, o sea, que se monitorize el uso de esta e incluso el contenido de los emails enviados y recibidos. La legalidad de este tipo prácticas no está demasiado clara, habiendo incluso sentencias judiciales contradictorias. Podemos encontrar más información en Baquia o en Informática jurídica.

Pero, como podemos hacer para que nadie lea nuestro correo? La solución más sencilla es el uso de la criptografía a través de programas como GnuPG. Este tipo de programas permiten el envio de correos cifrados de forma que solo el destinatario de este podrá leerlo y además podrá estar seguro de que lo hemos enviado nosotros. Podemos encontrar una gran explicación de su funcionamiento en el HOWTO de GnuPG en castellano o en el Manual de GnuPG.

Podemos ver como instalarlo en este tutorial de instalación para Windows, aunque la manera más sencilla que he encontrado de utilizarlo ha sido mediante el cliente de correo Thunderbird y el plugin Enigmail, que automatiza totalmente la tarea.

Para más información: GnuPG en 10 minutos

Por cierto, podeis encontrar mi clave pública en el servidor de claves del MIT, buscando por Sacha Fuentes.

Guardado en Artículo | Comentarios desactivados en Privacidad del email

« Entradas anteriores Entradas posteriores »