La criptografía es tan antigua como la escritura. Desde que el homo sapiens inició su recorrido sobre este planeta, ha necesitado comunicarse con sus semejantes, pero en ocasiones no quiere que otros se enteren. Las razones son evidentes, ya que a ninguno le gustaría que el enemigo conociera su estrategia si lograse interceptar un mensaje.

Se dice que las primeras civilizaciones que usaron la criptografía fueron la Egipcia, la Mesopotamia, la India y la China. Los espartanos, 400 años antes de Cristo, utilizaban un sistema secreto de escritura, el cual consistía en un cilindro al cual se colocaba un papiro en forma de espiral. Se escribía entonces el texto en cada una de las vueltas del papiro, pero de arriba hacia abajo. Una vez desenrrollado, sólo se podía leer una serie de letras aparentemente inconexas. Para descifrar el mensaje era necesario colocar el papiro exactamente en la misma posición en la que había sido escrito. Antiguos textos judíos fueron encriptados siguiendo el método de sustituir la primera letra del alfabeto por la última y así sucesivamente. En la Biblia (Jeremías 25:26) el nombre de Babilonia aparece encriptado como “Sheshech”.

Pero a quien se atribuye el primer método de encriptado con su debida documentación es al general romano Julio César, quien creó un sistema simple de sustitución de letras, que consistía en escribir el documento codificado con la tercera letra que siguiera a la que realmente correspondía. La A era sustituída por la D, la B por la E y así sucesivamente. En la Edad Media el uso de la escritura codificada se incrementó. Un libro de astronomía escrito en 1390 y atribuido a Geoffrey Chaucer contiene trozos
cifrados.

En 1470, León Battista Alberti publica “Tratado de cifras” en donde describe una cifra capaz de encriptar un pequeño código. No obstante se considera al abate Johannes Trithemius es el padre de la criptografía moderna. Este religioso escribió en 1530 “Poligrafía”, el primer libro impreso sobre el tema. Trithemius introdujo el concepto de tabla ajustada, en el cual el alfabeto normal es permutado para codificar los mensajes. Son legendarios los mapas de tesoro escondidos durante los siglos XVII y XVIIII. En ellos los piratas supuestamente encriptaban la localización de enormes tesoros, basándose principalmente en métodos de sustitución de alfabeto.

El principal uso de la criptografía en la era moderna ha sido militar. En 1917, por ejemplo, el servicio de Inteligencia Naval de Inglaterra entregó a los Estados Unidos un mensaje que había sido enviado al embajador alemán en Ciudad de México por el gobierno germano. En el mismo se autorizaba al diplomático a negociar un acuerdo con México para entrar a favor de Alemania en la Primera Guerra Mundial. A cambio, los mexicanos recibirían los territorios de Nuevo México, Arizona y Texas, en el caso de que resultasen vencedores. El texto -conocido como el telegrama Zimmermann- impulsó a los norteamericanoa a participar en esa guerra contra Alemania.

Los códigos de la máquina Enigma, usada por los mismos alemanes durante la Segunda Guerra, fueron rotos por los analistas norteamericanos, al igual que los códigos usados por los japoneses.

Y ahora que la informática se ha apoderado de los hogares, como no, se han de introducir sistemas que sean seguros para realizar operaciones.

Me dio mucha risa, para entender este chiste es necesario tener nociones de programacion en C/C++.

Ya habia visto esto desde hace tiempo pero me parecio bastante interesante volviendolo a ver lo que dice Eric Trauts respecto a Windows. De cualquier manera les dejo este video que parece muy bueno , le estan haciendo una renovacion al “core” de Windows, espero esto sea verdad tal vez pueda resurgir de las cenizas el monopolio de Bill Gates.

El problema encontrado en OpenSSL de Debian puede ser considerado, lamentablemente, un verdadero acontecimiento criptográfico. La criptografía es una ciencia compleja, y con el ánimo de aclarar las graves y extensas consecuencias del fallo, hemos redactado una serie de preguntas frecuentas para intentar, aun tratándose de un tema tan complejo, arrojar algo de luz.

¿Qué ha pasado exactamente?

Alguien (por error) del equipo de Debian eliminó una línea de código en el paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular el par de claves pública y privada. Las claves sólo se calculaban tomando como semilla el PID del proceso. Al estar limitado a 32.768 semillas (tantos como PIDs de proceso son posibles) para la generación de números seudoaleatorios, el número de claves posibles es pequeño. Se han estado generando las mismas claves dentro de este número limitado de posibilidades desde septiembre de 2006. Como son pocas y de entropía pobre, se puede deducir la clave privada a partir de la pública porque el espacio de primos es muy pequeño y está precalculado. Ya se han generado listas disponibles para todos con la clave pública (del espacio a que han quedado limitado después del fallo) y su correspondiente privada. Para los usuarios de este OpenSSL de Debian sin entropía suficiente, se han roto las reglas de la criptografía asimétrica en la que por ahora confiamos todos y que sustentan las bases de la (poca) seguridad y confianza que pueda existir en Internet.

¿Es tan grave como parece?

Es más grave. Mucho más grave. Podríamos considerar que la criptografía de Debian en los últimos dos años ha sido una pantomima. Y es grave además porque no se resuelve por completo parcheando. Esa no es la solución definitiva. Hay que regenerar claves, revocar las antiguas, certificarlas en el caso de SSL, comprobar dónde fueron a parar claves generadas con Debian… No es un bug en un programa que eventualmente quedará obsoleto porque todo el mundo estará parcheado. Habrá administradores que no comprueben la debilidad sus claves, servidores SSL que jamás certifiquen de nuevo sus claves, claves perdidas de usuarios que dejen la puerta abierta a servidores SSH… También es grave porque arrastra a decenas de programas y sistemas que se valen de claves generadas con OpenSSL. SSL, SSH, OpenVPN, DNSSEC… Alguien lo ha calificado de “apocalipsis criptográfico”. Además los principales perjudicados son los servidores que precisamente hayan buscado más seguridad con la criptografía de clave pública, porque contenían información crítica.

El SANS Internet Storm Center ha elevado el nivel de alerta general a ‘amarillo’. No ocurre a menudo.

¿Cómo ha podido ocurrir?

Ha sido todo un desafortunado error. Aunque surgirán las teorías conspiratorias porque el código abierto ha estado ahí durante dos años, no ha sido hasta que Luciano Bello se ha dado cuenta que se ha corregido el fallo y se ha dado la voz de alarma. Pero el daño ya está hecho. Dos años de claves débiles generándose en cientos de miles de sistemas. Ha pasado desapercibido porque en general cualquier programa es complejo, pero la criptografía lo es aún más. Además, Bruce Schneier dijo algo así como ‘Good security looks the same as bad security’ (’La buena seguridad se ve igual que la mala’, frase aplicable aún más a la criptografía).

Kurt Roeckx fue quien planteó en un principio borrar líneas que consideraba problemáticas. Existe un correo de 2006 en una lista pública, en el que Roeckx plantea en una lista de OpenSSL qué pasaría si las eliminara. Pregunta si resultaría en una posible pérdida de aleatoriedad. La respuesta no oficial desde OpenSSL es que “no mucho” y que es partidario de borrarlas si ayuda en la depuración. Y era cierto, esas líneas no suponían problema: el problema es que en Debian se borraron más líneas de la cuenta, de las habladas en la conversación y para colmo los cambios no se enviaron a OpenSSL para que fueran revisados.

¿Se soluciona parcheando?

No. No se trata de un fallo de seguridad al uso. Ha existido una fuente de claves inseguras que se han esparcido durante dos años. Hay que comprobar y regenerar claves. El fallo fue anunciado a la vez que el parche, pero hay que tener en cuenta, que las primeras versiones de los parches para Debian y Ubuntu contenían regresiones. Han publicado nuevas actualizaciones para los propios parches que es necesario aplicar también.

¿Qué pasa si tengo un servidor web con acceso por HTTPS?

Si las claves han sido generadas con la versión de OpenSSL con el problema, las consecuencias son que alguien se puede hacer pasar por el servidor porque tendrá la privada de forma instantánea a partir de la pública. Además, cualquiera que haya tenido acceso a una conversación cifrada con el servidor, podría también descifrarla. Esto es así porque la clave simétrica que se utiliza para el cifrado ha sido intercambiada con la ayuda de claves asimétricas débiles. Un administrador debe además revocar la clave, generar una nueva, enviarla a la Autoridad Certificadora (que cobra por certificar) e instalarla. La catástrofe hubiese sito total, si una Autoridad Certficadora, hubiese generado claves y firmado certificados con estas claves débiles, pues el problema se extendería hacia abajo a todos sus clientes, en cuyos certificados ya no se podría confiar. Al parecer han comprobado que las principales Autoridades no se ven afectadas.

¿Qué pasa con SSH?

Los administradores que controlan sus sistemas a través de SSH se suelen autenticar a través de su clave privada y el servidor de SSH almacena la pública correspondiente. Esto es más seguro que usar una sola contraseña simétrica para autenticarse. El servidor cifra una cadena con la clave pública del que pretende autenticarse y se la envía, si puede descifrarla le deja pasar. En este caso puede que la clave pública sea realmente pública o no. En el primer caso, deducir la privada es instantáneo, y en el segundo caso, si no se conoce la pública, se debe hacer un ataque de fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos 20 minutos con un ordenador de hoy día. Se ha creado un exploit para esto.

Todos los administradores que permitan a sus usuarios utilizar la clave privada para acceder a sus sistemas a través de SSH, deben auditar las claves para saber si son de las “débiles”. Los administradores de SSH también se encuentran ante una tarea concienzuda, peligrosa, (y que deben emprender ya) incluso si no utilizan Debian, porque puede que sus claves hayan sido generadas en una distribución Debian y exportadas.

Los administradores de SSH comprobarán, con total seguridad, como los intentos de acceso ilegítimo se multiplican en estos días.

¿A Windows le pasó lo mismo?

No. Se demostró que el generador de números aleatorios de Windows era débil, pero la diferencia es que según el estudio, había que conocer el estado previo del generador para saber el siguiente cálculo. Esto podría permitir descifrar conversaciones SSL entre dos sistemas. Pero para poder llegar a tener acceso a esa información inicial de la que se deducirían el resto de “estados del algoritmo”, un atacante necesitaría poder tener acceso como administrador en el sistema. Digamos que para poder aprovechar el problema del algoritmo y poder descifrar la información, necesitaría tener el total control de la máquina para llegar a conocer un estado, con lo que el sistema ya estaría comprometido en sí.

Conclusiones

Lo peor no está ocurriendo ahora. Lo verdaderamente grave ha podido ocurrir antes (en los últimos dos años si alguien ha conocido este error y lo hubiese mantenido en secreto) y después (lo que nos espera a medida que se vaya descubriendo que sistemas importantes ha generado claves débiles).

The Debian OpenSSL disaster
http://blog.drinsama.de/erich/en/linux/2008051401-debian-openssl-desaster.html

Random number generator, uninitialised data and valgrind
http://marc.info/?l=openssl-dev&m=114651085826293&w=2

The Bug
http://metasploit.com/users/hdm/tools/debian-openssl/
http://wiki.debian.org/SSLkeys

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

Bueno pues con mucha alegria vengo a postear el articulo de seguridad que escribi desde hace unos dias para el blog ya que de alguna manera queria comenzar a redactar mis propios articulos de seguridad. Aqui les dejo la descarga y la reseña pero actualmente ya se encuentra en la seccion de “Articulos”.

• Vulnerabilidades Web

En este articulo se hablan sobre diferentes vulnerabilidades a nivel web, se habla sobre conceptos, codigo, ejemplos y como evitar este tipo de vulnerabilidades en nuestras aplicaciones sin perder dinamismo alguno. Los bugs tratados en este articulo son Cross Site Scripting, Remote File Inclusion y Local File Inclusion, en los diferentes temas se sigue la misma dinamica de mostrar ejemplos de codigo junto con una descripcion detallada del mismo.

Descarga ( 122 Kb. )

Como ya habíamos comentado hoy es el dia del internet. habíamos comentado hoy es el dia del internet. La historia de su creación viene de la Cumbre de la Sociedad de la Información celebrada en Tunes en el 2005. El entonces Secretario General de la ONU, Kofi Anan, decidió que el día 17 de mayo fuera designado como el “Día Mundial de la Sociedad de la Información”. Ademas se realiza en otros países como España, Portugal, Argentina, Brasil, Chile, Colombia y 17 países más de América Latina.

El objetivo de su creación es:

Difundir y promover el uso de Internet en toda la Sociedad.

En México cerca de un 20% de la población usan el internet como medio de comunicación. De este porcentaje 60% son de menos de 25 años. El porcentaje crece de forma increíble un 14% al año. Cerca de la mitad de las computadoras en hogares tienen internet. Se dice que para el 2012 habremos 70 millones de mexicano online.