Se encuentra disponible la píldora formativa 45 del proyecto Thoth, con el título “¿Cómo funciona el hash SHA-1?”

Conforme podemos leer en su web, las siglas SHA corresponden a Algoritmo de Hash Seguro, un algoritmo de resumen propuesto por la NSA y adoptado como estándar federal por el NIST en 1993. Antes de los dos años se detectan vulnerabilidades, por lo que en 1995 proponen un nuevo algoritmo conocido como SHA-1, pasando el anterior a denominarse SHA-0 y no recomendarse su uso. Aunque el diseño de SHA-1 es muy similar al de MD5, entregará un resumen de 160 bits en vez de los 128 de MD5 y su fortaleza es también mayor.

Puede acceder a la documentación en pdf, el podcast en mp3 y los vídeos de estas píldoras y de todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php

En esta entrada queremos reseñar este extracto del artículo publicado por Josep Albors, con el que coincidimos plenamente y del que os recomendamos su lectura.

“Es vital que todas las empresas con algún tipo de servicio online a su cargo, sean grandes o pequeñas, realicen auditorías periódicas que los ayuden a descubrir fallos antes de que lo hagan los delincuentes y los aprovechen.

En este punto los hackers tienen mucho que decir, puesto que no son pocas las ocasiones en las que encuentran un fallo en algún servicio pero a la hora de contactar con los responsables no obtienen respuesta, esta no es la adecuada o directamente se les acusa de atacar sus sistemas.”

Leer el artículo completo.

ESET ha publicado una herramienta de descifrado válida para todas las variantes de Teslacrypt.

Esta herramienta gratuita, va a permitir recuperar sus archivos a todos los usuarios que se encuentren afectados por este ransomware, en todas sus versiones.

Se expone en su web el procedimiento, paso a paso, para eliminar la infección en los equipos afectados y por supuesto, la descarga de la herramienta.

Al igual que las entregas anteriores, una nueva e interesante lección. Os recordamos de qué va este curso más que recomendable para quienes queréis comenzar en el mundo de la seguridad informática y la criptografía.

Esta quinta lección, “Fundamentos de matemáticas discretas para la criptografía”, única lección de matemáticas en el MOOC, tiene como objetivo realizar una breve introducción a aquellos conceptos y principios de las matemáticas discretas, que nos serán necesarios para comprender el funcionamiento de la criptografía clásica y, posteriormente, ser utilizadas en las operaciones de cifrado, descifrado y criptoanálisis que realizaremos en el curso. No pretende en absoluto ser un tratado de matemáticas; es más, en muchos apartados y para hacer más sencillo el aprendizaje, se huirá de explicaciones canónicas, fórmulas y nomenclatura propias de las matemáticas.

Del mismo autor del MOOC El algoritmo RSA que en Crypt4you superan ya los 196.000 accesos, el Dr. Jorge Ramió Aguirre, el 15 de febrero de 2016 se publicó la primera lección del nuevo MOOC Introducción a la seguridad informática y criptografía clásica, un curso gratuito compuesto por 9 lecciones y un examen final, cuya publicación será semanal desde la fecha indicada hasta el 25 de abril de 2016, con un descanso en Semana Santa.

El curso consta de 4 grandes temas: Introducción a la seguridad de la información, Fundamentos e historia de la criptografía, Matemáticas discretas en criptografía y Algoritmos de cifra clásica. Cuenta, además, con un examen final que consiste en una amplia batería de preguntas y la resolución de algunas prácticas.

Una particularidad de este MOOC es que en sus 9 lecciones se hace uso de las primeras 25 píldoras formativas Thoth que tratan precisamente sobre estos temas, siendo esto un aporte multimedia al aprendizaje. Al igual que en el proyecto Thoth, este curso ha contado con la colaboración de becarios de Talentum Statups.

Cada una de las 9 lecciones incluye un test final con 10 preguntas, cuyas soluciones serán publicadas en las redes sociales de Crypt4you por el profesor, y en su caso también comentadas, una semana después de haber publicado la lección correspondiente, dando con ello tiempo suficiente para que el alumno que desee seguir este curso en tiempo real pueda ver sus avances.

Salvo imponderables de última hora, la planificación de actividades lectivas de este nuevo curso “Introducción a la seguridad informática y criptografía clásica” en el MOOC Crypt4you es la que se indica:

Al igual que las entregas anteriores, una nueva e interesante lección. Os recordamos de qué va este curso más que recomendable para quienes queréis comenzar en el mundo de la seguridad informática y la criptografía.

Del mismo autor del MOOC El algoritmo RSA que en Crypt4you superan ya los 196.000 accesos, el Dr. Jorge Ramió Aguirre, el 15 de febrero de 2016 se ha publicado la primera lección del nuevo MOOC Introducción a la seguridad informática y criptografía clásica, un curso gratuito compuesto por 9 lecciones y un examen final, cuya publicación será semanal desde la fecha indicada hasta el 25 de abril de 2016, con un descanso en Semana Santa.

El curso consta de 4 grandes temas: Introducción a la seguridad de la información, Fundamentos e historia de la criptografía, Matemáticas discretas en criptografía y Algoritmos de cifra clásica. Cuenta, además, con un examen final que consiste en una amplia batería de preguntas y la resolución de algunas prácticas.

Una particularidad de este MOOC es que en sus 9 lecciones se hace uso de las primeras 25 píldoras formativas Thoth que tratan precisamente sobre estos temas, siendo esto un aporte multimedia al aprendizaje. Al igual que en el proyecto Thoth, este curso ha contado con la colaboración de becarios de Talentum Statups.

Cada una de las 9 lecciones incluye un test final con 10 preguntas, cuyas soluciones serán publicadas en las redes sociales de Crypt4you por el profesor, y en su caso también comentadas, una semana después de haber publicado la lección correspondiente, dando con ello tiempo suficiente para que el alumno que desee seguir este curso en tiempo real pueda ver sus avances.

Salvo imponderables de última hora, la planificación de actividades lectivas de este nuevo curso “Introducción a la seguridad informática y criptografía clásica” en el MOOC Crypt4you es la que se indica:

Ha sido liberada y se encuentra disponible para su descarga la nueva versión de Nmap 7.00, una interesante herramienta multiplataforma de código abierto para el escaneo de redes y auditorías de seguridad.

Nmap, entre otras, nos va a permitir determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como decenas de otras características.

Descarga Nmap, todas las plataformas.
La página con documentación, manuales, etc.
Listado de cambios.

Otra opción muy interesante para comprobar cómo se ve tu equipo desde Internet y poner a prueba vuestro firewall es Nmap online que ya mencionamos hace un tiempo.

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader, Adobe Acrobat y FlashPlayer, en versiones para Windows, Linux y Macintosh.

Como ya hemos mencionado en anteriores ocasiones, insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados, por lo que se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web de Adobe.

En el caso de FlashPlayer y según podemos leer en The Hacker News, se ha detectado un Exploit 0-Day que afectaría a las últimas versiones recién actualizadas 19.0.0.185 y 19.0.0.207. En este caso y al menos mientras se soluciona esta grave vulnerabilidad sería recomendable desinstalar Flash Player del equipo.

Además, recordar que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

Se encuentran disponibles desde el Centro Criptológico Nacional (CCN) 3 nuevas guías CCN-STIC que puedes descargar en formato pdf.

Os recordamos que Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones.

Las nuevas guías son:

• CCN-STIC-423 Indicadores de Compromiso.

• CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII.

• CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones.

Fuera del ciclo mensual de actualizaciones se encuentra disponible para su instalación desde el update de Microsoft, una actualización de seguridad para Windows en todas sus versiones.

Esta actualización crítica “MS-15-078 / KB-3079904″ viene a solventar una grave vulnerabilidad en la gestión de fuentes OpenType que podría permitir la ejecución remota de código.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación desde este enlace de la web de Microsoft.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

Una vez más y debe ser la enésima, mediante una falsa devolución fiscal de la Agencia Tributaria (AEAT) se trata de estafar a los usuarios. Y es que se estarían recibiendo correos electrónicos en los que nos indicarían que tenemos el importe de la devolución de la campaña de la renta actual a nuestra disposición pero que, debemos completar algunos datos personales para poder realizar el cobro.

Como es evidente y así lo explicábamos ya en nuestra entrada de seguridad básica sobre los correos electrónicos fraudulentos como norma general o consejo, no debemos dar nunca nuestros datos personales o bancarios y tampoco debemos pinchar sobre los enlaces que nos envían.

Volvemos a insistir en lo que ya hemos indicado en multitud de ocasiones anteriormente, y es que, La Agencia Tributaria NO SOLICITA información confidencial, ni números de cuenta, ni números de tarjeta de los contribuyentes, etc., por correo electrónico.

Recuerda tomar las mediadas de precaución adecuadas para evitar caer en este tipo de estafas. En este caso es la campaña de la renta que ha comenzado recientemente pero suele ser diario las falsas ofertas de trabajo, premios o loterías que nos tocan sin jugar, falsas facturas de compra, etc etc.

Las jornadas de seguridad informática MorterueloCon, con ponencias y talleres gratuitos se celebrarán los próximos días 5 y 6 de febrero en Cuenca.

El objetivo, a través de ponencias y talleres es, concienciar a los estudiantes, empresas y usuarios en general de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en Internet y dar un enfoque técnico sobre la materia también a profesionales de este sector.

Ponencias:

• Routers, el eslabón más débil. Por Oscar Tebar.
• Ransomware y evolución: historia de una molesta amenaza. Por Josep Albors.
• Escondiéndose bajo la manta, que El Coco no te vea. Por Jesús Marín.
• Cuckoo & Análisis automático de malware.  Por David Reguera.
• El trabajo de la Guardia Civil. Por Juan Carlos Carvajal.
• Cooking an APT in the paranoid way. Pro Lorenzo Martínez.
• GeoHack, (in)seguridad en la web, que países son mas vulnerables. Por Kevin Gonzalvo y Rafael Otal.
• El lado oscuro de Android. Por Eduardo Javier Sanchez.

Talleres:

• Taller de Hacking Ético.
• Hackeando Servidores GLAMP.
• Single Sign On con OpenAM. Segurizando Login WEB.
• Taller de análisis forense.

Impartidos por Miguel Arroyo, Daniel Medianero, Miguel Angel Cotanilla y nuestro compañero David Hernández, Dabo.

Nos vemos en Cuenca. 😉

Con fecha 8 de enero de 2015, se han publicado las píldoras formativas 13, 14 y 15 del proyecto Thoth.  La píldora 13  lleva por título ¿Qué es la cifra por sustitución monoalfabética? y en ella se resumen los conceptos genéricos de los sistemas criptográficos por sustitución que utilizan un único alfabeto de cifrado.

Acceso directo a la píldora 13: ¿Qué es la cifra por sustitución monoalfabética?
https://www.youtube.com/watch?v=sSL04hd3TDU

La píldora 14 con título ¿Qué es la cifra por sustitución polialfabética? presenta los aspectos básicos y la fortaleza añadida a la cifra por sustitución cuando se utilizan dos o más alfabetos.

Acceso directo a la píldora 14: ¿Qué es la cifra por sustitución polialfabética?
https://www.youtube.com/watch?v=VgmHd1ECkPA

Finalmente, la píldora 15 de título ¿Qué es la cifra por transposición o permutación? hace un repaso básico de los sistemas criptográficos por transposición o permutación y de su seguridad.

Acceso directo a la píldora 13: ¿Qué es la cifra por transposición o permutación?
https://www.youtube.com/watch?v=huIiPnr61sM

Todos los vídeos del proyecto Thoth cuentan con un archivo srt de subtítulos en YouTube para personas con limitaciones auditivas y un archivo podcast mp3 de audio para personas con limitaciones visuales.

Puede acceder a la documentación en pdf, el podcast en mp3 y los vídeos de estas píldoras y de todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php

La próxima del entrega proyecto Thoth en febrero de 2014 contempla también 3 píldoras:
Píldora 16: ¿Qué es la cifra del César?
Píldora 17: ¿Qué es la cifra afín?
Píldora 18: ¿Cómo se ataca la cifra por sustitución monoalfabética?

Se encuentra disponible desde Microsoft y fuera del ciclo de publicaciones mensuales del mes de noviembre que ya reflejamos hace unos días, la actualización de seguridad MS14-068.

Esta actualización soluciona una vulnerabilidad en Kerberos, catalogada como crítica. La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

#Boletín y descarga actualización MS-14-068.

Hoy nos hacemos eco a través de un post en “Seguridad a lo Jabalí“, de una recomendable lectura sobre Seguridad Informática en diferentes ámbitos de la Sociedad de Información con el título:

“Seguridad para [email protected] en la Sociedad de la Información” (descarga del PDF, 177 páginas).

Como podéis leer a continuación, los puntos que tratan en la guía son actuales y de gran interés:

Seguridad Global
Introducción
La importancia de la seguridad
Falsos mitos de seguridad
Seguridad WiFi
Seguridad Bluetooth
Teléfonos inteligentes y PDA
Malware
Introducción
Tipos de malware
Prevención y desinfección
Links de interés
Navegación segura
Introducción
Consejos para realizar una
navegación segura
Elementos de seguridad
Correo electrónico
Introducción
Cuentas de correo electrónico
Enviando correos: Para, CC y CCO
Firma digital y cifrado
SPAM o publicidad no deseada
Continue reading…

Se encuentran disponibles en el canal YouTube de la Universidad Politécnica de Madrid los 7 vídeos del X Ciclo de Conferencias UPM TASSI 2014, impartidas en el campus sur de dicha universidad en Madrid,, entre el 20 de febrero y el 22 de mayo de 2014,

Hay una mezcla variada de contenidos en los vídeos y como pensamos que pueden ser de vuestro interés, os recomendamos su visualización.

Vídeos publicados:

Conferencia 1: Latch. Protección de identidades digitales, a cargo de D. Antonio Guzmán de Eleven Paths
http://www.youtube.com/watch?v=AH8sDRKhfq0

Conferencia 2: Posibilidades del voto telemático en la democracia digital, a cargo del Dr. Justo Carracedo de la UPM
http://www.youtube.com/watch?v=Idyi7wi6T38

Conferencia 3: Bitcoin: moneda y mercados, a cargo de D. Jonás Andradas de GMV
http://www.youtube.com/watch?v=T92WEgThJ-k

Conferencia 4: Protección de comunicaciones en dispositivos móviles, a cargo de D. Raúl Siles de DinoSec
http://www.youtube.com/watch?v=HbY8nnH3xrY

Conferencia 5: Ethical hacking: afrontando una auditoría interna, a cargo de D. Pablo González de Eleven Paths
http://www.youtube.com/watch?v=q7HcHGzOXd4

Conferencia 6: La amenaza del cibercrimen, a cargo de D. Juan Salom de la Guardia Civil
http://www.youtube.com/watch?v=WxxHp5ljhNQ

Conferencia 7: Ocultación de comunicaciones en el mundo real. Esteganografía y estegoanálisis, a cargo del Dr. Alfonso Muñoz de Eleven Paths
http://www.youtube.com/watch?v=gkmRP1NyYYw

La documentación utilizada por los ponentes puede descargarse desde la sección TASSI de la página web de la red temática Criptored.
http://www.criptored.upm.es/paginas/docencia.htm#TASSI2014