Según una noticia publicada en The New York Times , el FBI pretende ahora exigir que todos los sistemas de comunicaciones encriptadas tengan puertas traseras ( backdoors ) para facilitar la vigilancia, cosa que a los principales expertos del país en criptografía suena a una batalla que ya han librado con anterioridad
13/09/2010] Hace poco estuvo por Lima el creador del PGP (Pretty Good Privacy). Este programa de encriptamiento hizo mundialmente famoso a Phil Zimmermann, no solo por la aceptación que ha tenido entre los usuarios del mundo entero sino porque le valió un enfrentamiento contra el poderoso gobierno de Estados Unidos.
Su filosofía indicaba que los ciudadanos comunes y corrientes del mundo tienen el derecho a proteger su privacidad, incluso si esto implicaba protegerla contra el análisis del gobierno. Esto, obviamente, desagradó a las autoridades norteamericanas que iniciaron acciones judiciales contra Zimmermann y su obra.
El tiempo le ha dado la razón a Zimmermann. Ahora no solo es aceptado que los programas de encriptamiento de la información sean utilizados, sino que en ciertas esferas de nuestras vidas se ha convertido ya en la norma. ¿No desearía que sus registros médicos se encuentren encriptados? ¿Qué harían las empresas si no pudieran encriptar su información confidencial?
El encriptamiento se ha convertido ya en parte integral de las normas de seguridad que mantenemos en la actualidad y es por eso que Zimmermann fue el primer expositor durante el “Information Security Trends Meeting Perú 2010”, primer evento académico-empresarial organizado por Digiware en el país que congregó además de Zimmermann a otros expositores relacionados al tema de la seguridad informática.
El ministro iraní de Inteligencia, Haydar Moslehi, aseguró hoy que su país ha detenido a "un grupo de espías nucleares" que trabajaban para atacar las centrales iraníes a través del ciberespacio
9/29/2010Boletín de seguridad para ASP.NET Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no se considera crítica Microsoft publica esta actualización con carácter de urgencia debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.
Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, esto es, que permitan el compromiso de sistemas remotos y que además estén siendo aprovechadas por atacantes. Pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos, como las cookies, durante las sesiones de usuario. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse. Todo esto ha convertido una vulnerabilidad de revelación de información (importante según la clasificación de Microsoft) en un problema especialmente preocupante.
La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.
Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack". El objeto ViewState se cifra y envía al cliente en una variable oculta, pero un atacante podría acceder a su contenido descifrado.
De esta forma, muchos de los efectos podrán depender de la propia aplicación ASP.Net. Por ejemplo, si la aplicación almacena información sensible, como contraseñas
Los grandes creadores se construye apartir de pequeños conocimientos, lo cueal los va fortaleciendo con el paso del tiempo...
ResponderEliminarSegún una noticia publicada en The New York Times , el FBI pretende ahora exigir que todos los sistemas de comunicaciones encriptadas tengan puertas traseras ( backdoors ) para facilitar la vigilancia, cosa que a los principales expertos del país en criptografía suena a una batalla que ya han librado con anterioridad
ResponderEliminar13/09/2010] Hace poco estuvo por Lima el creador del PGP (Pretty Good Privacy). Este programa de encriptamiento hizo mundialmente famoso a Phil Zimmermann, no solo por la aceptación que ha tenido entre los usuarios del mundo entero sino porque le valió un enfrentamiento contra el poderoso gobierno de Estados Unidos.
ResponderEliminarSu filosofía indicaba que los ciudadanos comunes y corrientes del mundo tienen el derecho a proteger su privacidad, incluso si esto implicaba protegerla contra el análisis del gobierno. Esto, obviamente, desagradó a las autoridades norteamericanas que iniciaron acciones judiciales contra Zimmermann y su obra.
El tiempo le ha dado la razón a Zimmermann. Ahora no solo es aceptado que los programas de encriptamiento de la información sean utilizados, sino que en ciertas esferas de nuestras vidas se ha convertido ya en la norma. ¿No desearía que sus registros médicos se encuentren encriptados? ¿Qué harían las empresas si no pudieran encriptar su información confidencial?
El encriptamiento se ha convertido ya en parte integral de las normas de seguridad que mantenemos en la actualidad y es por eso que Zimmermann fue el primer expositor durante el “Information Security Trends Meeting Perú 2010”, primer evento académico-empresarial organizado por Digiware en el país que congregó además de Zimmermann a otros expositores relacionados al tema de la seguridad informática.
El ministro iraní de Inteligencia, Haydar Moslehi, aseguró hoy que su país ha detenido a "un grupo de espías nucleares" que trabajaban para atacar las centrales iraníes a través del ciberespacio
ResponderEliminar9/29/2010Boletín de seguridad para ASP.NET
ResponderEliminarMicrosoft acaba de publicar el boletín de seguridad MS10-070 de carácter
importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque
la vulnerabilidad no se considera crítica Microsoft publica esta
actualización con carácter de urgencia debido a la importancia de la
plataforma .net y la importancia del problema al permitir obtener
información sensible del servidor.
Microsoft no suele publicar boletines fuera de ciclo para
vulnerabilidades que no se consideren críticas, esto es, que permitan el
compromiso de sistemas remotos y que además estén siendo aprovechadas
por atacantes. Pero en esta ocasión, el problema afecta a millones de
sitios web que hacen uso de las funciones de cifrado AES incluidas en
ASP.NET para proteger la integridad de datos, como las cookies, durante
las sesiones de usuario. Además estos datos de sesiones se usan en
aplicaciones web de gran importancia como banca online, venta on-line
y en general cualquier sitio web que precise de un login para
identificarse. Todo esto ha convertido una vulnerabilidad de revelación
de información (importante según la clasificación de Microsoft) en un
problema especialmente preocupante.
La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1,
v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft
Internet Information Services (IIS). El problema reside en un error
al mostrar errores en ASP.NET. Un atacante remoto podría obtener
información sensible (datos cifrados por el servidor) a través de
múltiples peticiones que causen errores.
Entre los posibles efectos se cuentan el descifrar y modificar el View
State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o
leer archivos de la aplicación, a través de un ataque "padding oracle
attack". El objeto ViewState se cifra y envía al cliente en una variable
oculta, pero un atacante podría acceder a su contenido descifrado.
De esta forma, muchos de los efectos podrán depender de la propia
aplicación ASP.Net. Por ejemplo, si la aplicación almacena información
sensible, como contraseñas