Daboweb | Seguridad y ayuda informática |

El 03/09/2015 se ha publicado la segunda lección del curso de Criptografía con Curvas Elípticas en el MOOC de Crypt4you, con el título Curvas elípticas en seguridad web y siendo su autor el Dr. Francesc Sebé del Grupo de Investigación Cryptography & Graphs de la Universitat de Lleida.

En esta segunda lección se muestra cómo crear una clave pública certificada, en formato X.509, utilizando criptografía de curvas elípticas mediante la herramienta OpenSSL. Realiza además su instalación en un servidor web Apache2 y el acceso al servidor se lleva a cabo utilizando un navegador web Firefox.

La lección cuenta con los siguientes capítulos:
Apartado 2.1. Almacén de autoridades de certificación
Apartado 2.2. Creación de claves para criptografía de curvas elípticas
Apartado 2.3. Instalación del certificado
Apartado 2.4. Conexión segura con el servidor web
Apartado 2.5. Referencias bibliográficas

El curso consta de dos lecciones más que se publicarán próximamente: Lección 3. Criptografía con emparejamientos y  Lección 4. Protocolos criptográficos con curvas elípticas.

Acceso directo a la segunda lección: Curvas elípticas en seguridad web
http://www.criptored.upm.es/crypt4you/temas/ECC/leccion2/leccion2.html

Lecciones anteriores y otros cursos disponibles en el MOOC Crypt4you:
http://www.criptored.upm.es/crypt4you/portada.html

Grupo de investigación Cryptography & Graphs:
http://www.cig.udl.cat

Una vez más, nos hacemos eco de la publicación de un nuevo curso en el MOOC (Massive Open Online Course) de Crypt4you.

En esta ocasión se trata del Curso de Criptografía con curvas elípticas, compuesto por cuatro lecciones y que en su primera lección trata «Criptosistemas basados en el problema del logaritmo discreto».

Conforme podemos leer en la publicación oficial:

En las últimas décadas, la criptografía con curvas elípticas ha adquirido una creciente importancia, llegando a formar parte de los estándares industriales. Su principal logro se ha conseguido en los criptosistemas basados en el problema del logaritmo discreto, como los de tipo ElGamal. Estos criptosistemas planteados en el grupo de puntos de una curva elíptica garantizan la misma seguridad que los construidos sobre el grupo multiplicativo de un cuerpo finito, pero con longitudes de clave mucho menores.

En esta primera lección mostraremos el funcionamiento del criptosistema ElGamal elíptico: generación de claves y algoritmos de cifrado y descifrado. También veremos una de sus variantes más utilizadas, el cifrado ECIES, así como el algoritmo ECDSA de firma digital.

Acceder a la primera lección.

Al igual que nuestros colegas de Security By Default o Flu Project, nos hacemos eco del llamamiento por parte de la organización del congreso de seguridad QurtubaCON en busca de patrocinio para este evento gratuito que se celebrará los días 10 y 11 de abril en Córdoba.

Un Congreso avalado por los organizadores de los exitosos «Hack & Beers» y gente con reconocido prestigio en el sector de la seguridad como son Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y María José Montes.

Allí estará entre otros participantes, nuestro compañero Dabo impartiendo un taller sobre seguridad en servidores GLAMP junto a esta lista de ponentes: Juan Garrido, Daniel Medianero, Ángel Pablo Avilés, Óscar de la Cruz, Juan Antonio Calles, Pablo González, Jorge Corona, Lorenzo Martínez, Ruth Sala, Miriam García y Susana González.

Os podéis imaginar hoy en día lo que supone poner en marcha algo así y los recursos que hacen falta para afrontarlo con garantías (gastos de viaje, alojamiento y manutención, un dato, ninguno de los ponentes cobra por asistir). Creemos que estas iniciativas son muy necesarias en pro de acercar el mundo de la seguridad a zonas del País en las que no es habitual ver congresos como este, por lo que os animamos a colaborar con alguna de las (económicas) opciones de patrocinio existentes.

Gracias por adelantado y suerte con el Congreso

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión vamos a ver qué es el Smishing.

El Smishing es una estafa o fraude, variante del Phising, que a través del teléfono móvil y mediante el engaño con mensajes cortos o SMS, trata de que visites una web fraudulenta.

Estas estafas o fraudes se producirán al visitar estas webs maliciosas navegando desde nuestros teléfonos móviles y en las que el objetivo final es hacerse con información personal del usuario, datos bancarios, contraseñas, venderte productos falsos, suscribirte a servicios premium de tarificación especial, etc.

Por tanto, como medida principal de protección frente a este tipo de fraudes, te aconsejamos no acceder a ninguna dirección web que te llegue a través de SMS, además de controlar periódicamente el consumo de datos de tu teléfono móvil.

Continuamente aparecen nuevos métodos y fórmulas para estafar, por lo que es necesario ser muy cauto, informarse y extremar las medidas de seguridad para evitar caer en estos engaños.

En basicoyfacil.

Hasta la próxima entrega.

Nos llega la séptima entrega del curso gratuito de privacidad y comunicaciones digitales de Cript4you. En esta ocasión, es Alfonso Muñoz quien nos acerca al campo de la Esteganografía. Sirva como introducción, la propia que podemos leer en la descripción del curso:

El objetivo de esta lección se centra en resaltar los conceptos más importantes referidos a la creación de comunicaciones enmascaradas/ocultas utilizando procedimientos esteganográficos. El presente texto pretende de una manera didáctica resaltar las diferentes técnicas que existen hoy día, más allá de las que aplican a contenido multimedia y que pudieran ser más conocidas.

Temario y acceso al contenido:
Apartado 1. Definiciones
Apartado 2. Antecedentes. Esteganografía clásica o pura
Apartado 3. Procedimientos esteganográficos en la actualidad
    3.1. Tendencias en el diseño de estego-sistemas. Portador público
    3.2. Técnicas genetrales de ocultación
    3.3. Tendencias de ocultación en redes de telecomunicación
    3.4. Esteganografía en imágenes, audio y vídeo digital
Apartado 4. Detección de comunicaciones ocultas. Contramedidas
    4.1.Estegonálisis. Clasificación de ataques y tendencias
Apartado 5. Recomendaciones
    5.1. Balance perceptibilidad-ocultación. Selección del estegomedio más apto y la técnica más adecuada
    5.2. Minimizando el impacto en el portador mediante matrices de codificación y distribución de la información
Apartado 6. Algunas referencias

Nos llega la sexta entrega del curso gratuito de privacidad y comunicaciones digitales de Cript4you, En esta ocasión, Sergio de los Santos (responsable del laboratorio técnico de ElevenPaths) realiza un interesante repaso a la historia del Malware (software malicioso) desde sus origenes hasta la actualidad.

Tal y como podemos leer en esta lección:

El objetivo es ofrecer una visión global y realista del malware contemporáneo, contemplando fundamentalmente las bases de sus técnicas de difusión, infección y robo de datos. Igualmente repasar las diferentes categorías y clasificaciones del malware que se pueden realizar, centrándose en la experiencia real que supone hoy la investigación de la industria del malware, y alejándose de la «literatura clásica» sobre el malware tradicional.

Temario y acceso al contenido:

Apartado 1. Introducción
Apartado 2. Historia
Apartado 3. Tendencias
Apartado 4. Malware para otras plataformas
Apartado 5. Clasificación clásica
Apartado 6. Clasificación por objetivos
Apartado 7. Técnicas de robo de datos

En esta ocasión, os queríamos recomendar otro curso más de INTECO organizado por la OSI (Oficina de Seguridad del Internauta) con una temática tan interesante y necesaria hoy en día como la privacidad y seguridad para menores. Un campo en el que sin duda nos queda un largo camino por recorrer.

El curso (gratuito) se completa en 20 horas y no es necesaria una formación previa, información:

Internet es una herramienta muy útil y que los menores utilizan prácticamente para todo. El uso del ordenador es algo natural para ellos, la mayoría han tenido un ordenador en su casa desde que nacieron, por este motivo se les llama nativos digitales. Sin embargo, aunque su conocimiento de las nuevas tecnologías es muy bueno y realizan las cosas de forma prácticamente innata, muchas veces, no son conscientes de los peligros que se pueden encontrar en Internet. En este curso se explica el uso que los menores suelen hacer de Internet, qué peligros pueden entrañar cada una de esas actividades y cómo evitarlos. Este curso también pretende dar soporte a profesores y padres sobre cómo orientar a los menores en la realización del curso análogo para menores (también disponible en esta página), facilitándoles su gestión y seguimiento.

Acceso al curso (sólo es necesario crear una cuenta para el registro).

Una vez más, nos hacemos eco de la publicación de la cuarta lección en el aula virtual de Cript4you, dentro del Curso de privacidad y protección de comunicaciones digitales.

En esta ocasión y en su lección 4 se aborda el tema “Protección de comunicaciones en dispositivos móviles”.

Tal y como podemos leer en la publicación original:

Los dispositivos móviles constituyen uno de los principales, si no el principal, medio de comunicación que utilizamos en la actualidad. Cada vez son utilizados por más personas, y cada vez se emplean en un mayor número de escenarios y ámbitos diferentes, desde el ocio personal, hasta el acceso a datos corporativos con un alto nivel de confidencialidad, pasando por multitud de aplicaciones de uso cotidiano, como el acceso al correo electrónico o a las redes sociales y la navegación por Internet.

Lamentablemente, todas estas tecnologías presentan vulnerabilidades y riesgos de seguridad. Por ello, es importante conocer cuáles son las principales amenazas asociadas y adoptar las medidas de protección adecuadas para eliminar, o al menos reducir, nuestro nivel de riesgo.

La presente lección se centra en la protección de las comunicaciones de los dispositivos móviles, y en concreto, de las comunicaciones inalámbricas a través de las tecnologías NFC (Near Field Comunication), Bluetooth, Wi-Fi y 2G/3G.

Temario

• Apartado 1. Introducción

• Apartado 2. Recomendaciones de seguridad generales

• Apartado 3. Protección de comunicaciones NFC

• Apartado 4. Protección de comunicaciones Bluetooth

• Apartado 5. Protección de comunicaciones Wi-Fi

• Apartado 6. Protección de comunicaciones móviles 2G/3G (voz, SMS y datos)

# Acceso a la 4ª lección.

Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la décima y última lección y está dedicada al ataque basado en la paradoja del cumpleaños.

Según leemos en la nota de prensa que nos ha llegado:

La última lección trata sobre otro tipo de ataques que pueden plantearse ante el algoritmo RSA. Conocido como ataque basado en la paradoja del cumpleaños, cuando éste prospera habremos encontrado la clave privada d, una clave privada pareja d’ o bien, en muy pocos casos, un falso positivo que no tendrá ninguna utilidad para el atacante.

Lo más interesante de todo esto es que para realizar dicho ataque sólo hace falta contar con los valores públicos de la clave de la víctima, nada más. Ni siquiera es necesario capturar un criptograma como en el ataque por cifrado cíclico visto en la lección 9 del curso.

Puedes acceder desde el acceso directo de la lección:
http://www.criptored.upm.es/crypt4you/temas/RSA/leccion10/leccion10.html

O bien como lección destacada en la sección En portada en la página
principal del MOOC:
http://www.criptored.upm.es/crypt4you/portada.html

Índice:

Lección 10: Ataque por paradoja del cumpleaños
Apartado 10.1. La paradoja del cumpleaños
Apartado 10.2. El algoritmo de Merkle y Hellman
Apartado 10.3. Limitaciones del ataque con genRSA y trabajo futuro
Apartado 10.4. Test de evaluación de la Lección 10
Apartado 10.5. Datos estadísticos de esta lección
Apartado 10.6. Encuesta

Se está preparando una última entrega con una lección extra en el MOOC.

Se recuerda la existencia de esta encuesta online y la importancia de
cumplimentarla para ofrecer además nuevos cursos:
http://www.criptored.upm.es/crypt4you/encuesta/index.php

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en noviembre de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 18: Novena lección del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 18: Liberado Kernel Linux 3.6.7
• 15: Revista gratuita fotográfica Foto DNG 75, Noviembre 2012
• 15: Actualizaciones de Microsoft Noviembre de 2012
• 09: [Breves] Disponible Joomla! 3.0.2 y 2.5.8 (actualizaciones de seguridad)
• 08: Cómo instalar phpBB (curso gratuito) por ThE KuKa, webmaster de phpbb-es.com
• 08: Drupal 7.17 disponible, versión de mantenimiento.
• 07: Actualización de seguridad para Flash Player y Adobe AIR.
• 02: Actualizaciones de seguridad Apple. IOS 6.0.1 y Safari 6.0.2
• 02: Publicado en Daboweb, octubre 2012

Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la novena lección y está dedicada al Ataque por cifrado cíclico.

Según leemos en la nota de prensa que nos ha llegado:

«…Nos servirá para destruir una máxima en criptografía de clave pública, que nos decía que para descifrar un criptograma resultado de la cifra de un mensaje con una clave, por ejemplo la pública de destino, la única solución era utilizar el mismo algoritmo pero usando la clave inversa, en este caso la clave privada de destino.
Veremos cómo es posible descifrar ese criptograma usando la misma clave de cifra, es decir la clave pública, mediante un ataque que utiliza sólo datos de la víctima que son públicos.
Otro tema es que esto implique mucho tiempo de cómputo para claves de tamaños actuales sobre los mil bits. Con ello, no romperemos la clave privada del destino pero sí el secreto o confidencialidad que se esperaba lograr con esa cifra…»

 Temario:

Apartado 9.1. Ataque al secreto mediante cifrado cíclico
Apartado 9.2. Incidencia del valor capturado en el ataque
Apartado 9.3. Incidencia de la clave pública e en el ataque
Apartado 9.4. Ataque por cifrado cíclico a claves con primos seguros
Apartado 9.5. Test de evaluación de la Lección 9
Apartado 9.6. Datos estadísticos de esta lección
Apartado 9.7. Encuesta

Podéis acceder desde el acceso directo de la lección.

Si tienes pensado instalar un foro basado en phpBB, te recomendamos este curso gratuito de Floqq para hacerlo. Y nadie mejor que Raúl, «ThE KuKa», responsable de la comunidad amiga phpbb-es.com (soporte oficial en castellano de phpBB) para impartirlo debido a la gran experiencia que tiene.

La fecha del curso es el próximo día 20 de noviembre a las 19 h y será impartido a través de un Hangout (accesible con una cuenta de Google +), siendo la duración estimada de 1 hora. Mucha suerte con el curso tanto a los alumnos como al profesor ;).

Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la octava lección y está dedicada al algoritmo RSA y los ataques por factorización. Según leemos en la nota de prensa que nos ha llegado:

Esta lección tiene como objetivo analizar el problema de la factorización de números grandes y su utilidad dentro del sistema de cifra RSA como elemento de fortaleza del algoritmo, profundizando en los ejemplos prácticos y dejando los aspectos matemáticos del problema en cuestión para próximos cursos de este MOOC

Podéis acceder desde el acceso directo de la lección:

Los apartados son:

Lección 8: Ataque por factorización
Apartado 8.1. Las funciones de un solo sentido y la criptografía
Apartado 8.2. Algoritmos de factorización entera
Apartado 8.3. Ejemplos prácticos de factorización
Apartado 8.4. Estado del arte en la factorización entera
Apartado 8.5. Test de evaluación de la Lección 8
Apartado 8.6. Datos estadísticos de esta lección
Apartado 8.7. Encuesta

La próxima entrega de este curso sobre RSA, Lección 9 de título Ataque por cifrado cíclico, se publicará en noviembre de 2012.

Una vez más, tenemos el placer de comunicaros que ya está disponible la lección (de forma gratuita y libre acceso) número 7 en el MOOC Crypt4you de Criptored.

Tal y como podemos leer en el resumen de esta lección:

Esta séptima lección la dedicaremos a presentar el estándar de criptografía OpenSSL y a realizar algunas prácticas con él, generando claves RSA en modo comando y observando sus características. Usaremos, además, los parámetros que nos entrega OpenSSL para usar el teorema chino del resto en el descifrado.

Si deseas ver todas las diapositivas de las 10 lecciones de este curso en formato Power Point animado o bien en pdf, puedes descargar el archivo desde esta dirección.

Para acceder a esta lección, podéis hacerlo desde este enlace. Esperamos ya con ganas la número 8, «Ataque por factorización».

Una vez más, tenemos el placer de comunicaros que ya está disponible la lección (de forma gratuita y libre acceso) número 6 en el MOOC Crypt4you de Criptored.

Tal y como podemos leer en el resumen de esta lección:

La sexta lección del curso tiene como objetivo la presentación, estudio,
análisis y aplicación del teorema chino del resto TRC en las operaciones
de cifra con RSA. Un teorema de las matemáticas discretas con diversas
aplicaciones en la vida real y que cumple un interesante papel en RSA,
especialmente en las operaciones de descifrado en un intercambio de clave
donde todos los números son muy grandes, aumentando en unas cuatro veces
la velocidad de cómputo.

Para acceder a esta lección, podéis hacerlo desde este enlace. Esperamos ya con ganas la número 7 (mediados de Julio) «Generación de claves con OpenSSL».