Una vez más, tenemos el placer de comunicaros que ya está disponible la lección (de forma gratuita y libre acceso) número 7 en el MOOC Crypt4you de Criptored.

Tal y como podemos leer en el resumen de esta lección:

Esta séptima lección la dedicaremos a presentar el estándar de criptografía OpenSSL y a realizar algunas prácticas con él, generando claves RSA en modo comando y observando sus características. Usaremos, además, los parámetros que nos entrega OpenSSL para usar el teorema chino del resto en el descifrado.

Si deseas ver todas las diapositivas de las 10 lecciones de este curso en formato Power Point animado o bien en pdf, puedes descargar el archivo desde esta dirección.

Para acceder a esta lección, podéis hacerlo desde este enlace. Esperamos ya con ganas la número 8, “Ataque por factorización”.

Al igual que en anteriores ocasiones, os recomendamos una nueva lección de Intypedia (Enciclopedia de Seguridad de la Información). En este caso, está orientada a los ataques al protocolo SSL, (Interesante también esta información sobre la última vulnerabilidad en SSL y TLS desde Inteco).

Según podemos leer en el resumen de esta lección;

Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos. En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.

Información de apoyo

Guión [PDF][415KB]
Diapositivas [PDF][134KB]
Ejercicios [PDF][908KB]

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como “SSL“ (acrónimo de “Secure Sockets Layer“, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, “candados” en la parte superior de la barra de nuestro navegador, en resumen “una conexión segura” ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del “scanner” de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía “SSL” a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de “SSL” en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía “TLS“, una implementación mejorada del protocolo “SSL“), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo “SSL“, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que “presuntamente” viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; “Principios teóricos y prácticos de auditoría SSL“.

Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Introducción al protocolo SSL.

En el vídeo, que dura alrededor de 18 minutos y se compone de cuatro escenas, “Alicia y Bernardo nos explican los  fundamentos  del  protocolo criptográfico SSL/TLS. Un protocolo de vital importancia en el comercio electrónico y en las redes privadas virtuales seguras.

ESCENA 1.
Orígenes de SSL. Ataques a la identidad e integridad de los datos.

ESCENA 2.
Funcionamiento de SSL. SSL Handshake Protocol.

ESCENA 3.
Aplicaciones del protocolo SSL. Comercio electrónico y VPNS

ESCENA 4.
Seguridad del protocolo SSL.

♦ Ver el vídeo.

♦ Descargar el guión en formato PDF.