Daboweb | Seguridad y ayuda informática |

Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la décima y última lección y está dedicada al ataque basado en la paradoja del cumpleaños.

Según leemos en la nota de prensa que nos ha llegado:

La última lección trata sobre otro tipo de ataques que pueden plantearse ante el algoritmo RSA. Conocido como ataque basado en la paradoja del cumpleaños, cuando éste prospera habremos encontrado la clave privada d, una clave privada pareja d’ o bien, en muy pocos casos, un falso positivo que no tendrá ninguna utilidad para el atacante.

Lo más interesante de todo esto es que para realizar dicho ataque sólo hace falta contar con los valores públicos de la clave de la víctima, nada más. Ni siquiera es necesario capturar un criptograma como en el ataque por cifrado cíclico visto en la lección 9 del curso.

Puedes acceder desde el acceso directo de la lección:
http://www.criptored.upm.es/crypt4you/temas/RSA/leccion10/leccion10.html

O bien como lección destacada en la sección En portada en la página
principal del MOOC:
http://www.criptored.upm.es/crypt4you/portada.html

Índice:

Lección 10: Ataque por paradoja del cumpleaños
Apartado 10.1. La paradoja del cumpleaños
Apartado 10.2. El algoritmo de Merkle y Hellman
Apartado 10.3. Limitaciones del ataque con genRSA y trabajo futuro
Apartado 10.4. Test de evaluación de la Lección 10
Apartado 10.5. Datos estadísticos de esta lección
Apartado 10.6. Encuesta

Se está preparando una última entrega con una lección extra en el MOOC.

Se recuerda la existencia de esta encuesta online y la importancia de
cumplimentarla para ofrecer además nuevos cursos:
http://www.criptored.upm.es/crypt4you/encuesta/index.php

El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

La Universidad de San Diego está desarrollando un nuevo sistema de detección de malware en seres humanos. El proyecto, está en manos de Joey Michel (conocido por su trayectoria en la lucha contra el cibercrimen en Yahoo) conjuntamente con la organización DARPA.

Esta última, se ve representada por la Oficina de Tecnología Avanzada (ATO), la cual está realizando pruebas con varios ciberdelincuentes, llegando a conclusiones determinantes en cuanto a la estrecha relación entre un determinado patrón psicológico y difusión de malware.

Este estudio podría llegar a determinar y dictaminar si alguien tiene una especial predisposición genética para realizar actos telemáticos delictivos, además de medir el riesgo de recaída en personas que realicen su programa AVFH (Antivirus para humanos).

Corren rumores de que la caída gradual del Spam a nivel mundial, puede ser consecuencia del éxito de AVFH en una experiencia piloto que se viene realizando desde el año 2010.

Fuente y más información (ENG).

Se encuentran disponibles para su descarga Drupal 7.18 y 6.27, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.

Más info y descarga. Notas de las versiones Drupal 7.18 and Drupal 6.27 (ENG).

Otro interesante estudio de la mano de INTECO que nos aporta datos muy reveladores sobre la percepción de la privacidad por parte del usuario cuando navega por Internet.

Sobre una base de muestreo de 2.056 usuarios, podemos comprobar lo que muchos ya sabíamos. En la actualidad la privacidad es un bien preciado y escaso. Bien sea por cuestiones relativas al usuario y su conocimiento sobre el medio, o por culpa de servicios web que distan mucho de ser todo lo claros y respetuosos con los datos de quienes los utilizan. Esa combinación y otros factores, hacen que el resultado final no sea el deseable. Nos queda aún un largo camino por recorrer.

Algunas conclusiones del estudio:

• El 42,5% de los usuarios de redes sociales ha encontrado difícil gestionar la privacidad de su perfil. Incluso un 7,2% reconoce que ha sido imposible hacerlo.
• Un 16,3% desconoce completamente qué hace la red social con la información de su perfil una vez es eliminado, y un importante 32,7% manifiesta que simplemente le suena.
• Cuatro de cada diez internautas (39,7%) declaran haber solicitado en alguna ocasión que borren o cancelen sus datos personales de algún registro en Internet.
• El 84,4% de los usuarios de Internet reconoce que cada persona debe ser capaz de decidir sobre sus datos personales y tiene derecho a poder eliminar su rastro de Internet. Solo el 6,7% piensa que ejercer este llamado derecho al olvido es una forma de censurar información, y cree que el derecho a la información prima sobre el derecho a la protección de datos.

Os recomendamos descargar el estudio completo (PDF).

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en noviembre de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 18: Novena lección del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 18: Liberado Kernel Linux 3.6.7
• 15: Revista gratuita fotográfica Foto DNG 75, Noviembre 2012
• 15: Actualizaciones de Microsoft Noviembre de 2012
• 09: [Breves] Disponible Joomla! 3.0.2 y 2.5.8 (actualizaciones de seguridad)
• 08: Cómo instalar phpBB (curso gratuito) por ThE KuKa, webmaster de phpbb-es.com
• 08: Drupal 7.17 disponible, versión de mantenimiento.
• 07: Actualización de seguridad para Flash Player y Adobe AIR.
• 02: Actualizaciones de seguridad Apple. IOS 6.0.1 y Safari 6.0.2
• 02: Publicado en Daboweb, octubre 2012

Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la novena lección y está dedicada al Ataque por cifrado cíclico.

Según leemos en la nota de prensa que nos ha llegado:

«…Nos servirá para destruir una máxima en criptografía de clave pública, que nos decía que para descifrar un criptograma resultado de la cifra de un mensaje con una clave, por ejemplo la pública de destino, la única solución era utilizar el mismo algoritmo pero usando la clave inversa, en este caso la clave privada de destino.
Veremos cómo es posible descifrar ese criptograma usando la misma clave de cifra, es decir la clave pública, mediante un ataque que utiliza sólo datos de la víctima que son públicos.
Otro tema es que esto implique mucho tiempo de cómputo para claves de tamaños actuales sobre los mil bits. Con ello, no romperemos la clave privada del destino pero sí el secreto o confidencialidad que se esperaba lograr con esa cifra…»

 Temario:

Apartado 9.1. Ataque al secreto mediante cifrado cíclico
Apartado 9.2. Incidencia del valor capturado en el ataque
Apartado 9.3. Incidencia de la clave pública e en el ataque
Apartado 9.4. Ataque por cifrado cíclico a claves con primos seguros
Apartado 9.5. Test de evaluación de la Lección 9
Apartado 9.6. Datos estadísticos de esta lección
Apartado 9.7. Encuesta

Podéis acceder desde el acceso directo de la lección.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Noviembre de 2012.

En esta ocasión, se compone de 6 actualizaciones de seguridad, 4 catalogadas como críticas, 1 como importante y 1 como moderada, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Noviembre de 2012.

Se han publicado sendas actualizaciones para las ramas 3.x y 2.5.x que corrigen un problema de seguridad que afecta las versiones 3.0 y 2.5.7 y anteriores. En el caso de la rama tres se soluciona actualizando a la versión 3.0.1 (wtf?) mientras que en la rama 2.5.x con la versión 2.5.8, ésta última además soluciona 9 errores.

La versión 3.0.2 viene más completa, soluciona 50 errores e incluye una nueva característica. Se recomiendo actualizar a la mayor brevedad posible.

Noticias en la web de Joomla! con información completa y enlaces de descarga (en inglés): 3.0.2 y 2.5.8

El equipo de Drupal ha anunciado el lanzamiento de una nueva entrega de su CMS bajo la versión 7.17. Tal y como se aclara en el título, se trata de una versión de mantenimiento que corrige numerosos bugs relativos a su funcionamiento.

En este caso no hablamos de una actualización de seguridad, aunque se recomienda a todos los usuarios su actualización. Para conocer todos los cambios, os recomendamos ver las notas de la versión.

Adobe a puesto a disposición de los usuarios una actualización de seguridad de Flash Player y AIR que solventan varios bugs de un impacto alto en el sistema que caso de ser explotadas, podrían llevar bien a un mal funcionamiento del sistema, o en el peor de los casos, a la ejecución de código con privilegios elevados en la máquina afectada.

Las actualizaciones están disponibles para sistemas Windows, GNU/Linux, Mac OS X y Android. (Para AIR).

Fuente INTECO-CERT.

Apple acaba de liberar sendas actualizaciones para su sistema operativo IOS bajo la versión 6.0.1 y su navegador Safari como versión 6.0.2. En el caso de Safari se corrigen varios errores en OS X (webkit, Javascript, etc) que podrían llevar a la ejecución de código arbitrario en el sistema afectado bajo determinadas circunstancias visitando sitios web maliciosos preparados para tal fin.

En el caso de IOS, tal y como informan desde Apple se han solventado varios errores de seguridad preocupantes (bloqueo con código y posibles accesos no autorizados), mejoras en redes cifradas bajo WPA2, etc. A continuación os ofrecemos la información de la compañía sobre el update:

•  Solución de un problema que impedía instalar actualizaciones de software de forma inalámbrica y remota en el iPhone 5
•  Solución de un problema que provocaba que se mostraran líneas horizontales en el teclado
•  Solución de un problema que causaba que el flash de la cámara no funcionase
•  Mejora de la fiabilidad del iPhone 5 y del iPod touch (5.ª generación) al conectarlos a redes Wi-Fi WPA2 cifradas
•  Solución de un problema que impedía que el iPhone utilizase la red móvil en determinados casos
•  Integración de iTunes Match en las opciones del botón “Usar datos móviles”
•  Solución de un problema de la función “Bloqueo con código” que hacía que en ciertas ocasiones se permitiera el acceso a los datos de las tarjetas de Passbook desde la pantalla de bloqueo
•  Solución de un problema que afectaba a las reuniones de Exchange

En el caso de Safari (ENG), según la lista de correo se solventan los siguientes fallos:

Continue reading…

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en octubre de 2012 por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 27: [Breves] Firefox 16.0.2 soluciona problema de seguridad
• 22: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)
• 22: Liberado Kernel Linux 3.6.3
• 18: [Breves] Actualizada la sección “Sniffers y Redes” (por Alfon).
• 18: Revista gratuita fotográfica Foto DNG 74, Octubre 2012
• 18: Liberadas actualizaciones de seguridad de Oracle, Octubre 2012
• 18: [Breves] Actualización de seguridad para Drupal. Disponible la versión 7.16
• 12: [Breves] Mozilla solventa el bug crítico en Firefox 16. Versión 16.0.1 disponible
• 11: Vulnerabilidad crítica en Firefox 16 (se recomienda volver a la 15.1)
• 09: [Breves] Disponible Joomla 3.0.1 (actualización de seguridad)
• 09: Octava lección del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 08: Comprueba el origen de las firmas en tu Windows con SigSpotter
• 05: Disponible Wireshark 1.8.3
• 03: Actualización de seguridad para Mac OS X Server (v2.1.1)
• 01: Publicado en Daboweb, Septiembre 2012

Sólo queríamos haceros saber que la sección «Sniffers y Redes«, donde encontraréis todas las entregas de “Herramientas para la interpretación de capturas de tráfico en Red”, ha sido puesta al día durante este pasado mes tanto en sus contenidos, como en lo gráfico actualizando alguna captura de pantalla.

Volvemos a felicitar a nuestro compañero Alfon de Seguridad y Redes por su gran labor con esta sección que irá actualizando periódicamente.

Tal y como podemos leer en el sitio web de Drupal, se ha liberado la versión de Drupal 7.16, una versión de mantenimiento que solventa vulnerabilidades en el CMS (SA-CORE-2012-003) por lo que es más que recomendable actualizar a la mayor brevedad posible.

Notas de la versión | Anuncio original.