24/2/16

Correos encriptados

Hemos tratado el tema de los correos electrónicos encriptados, con clave pública y privada, en consecuencia asimétrica.
ProtonMail
HushMail
Dos de los sitios que hemos probado por ser gratis son Hushmail.com y Protonmail. Hemos creado cuentas en ambos y nos encontramos en fase de pruebas.
Me registré en ambos, solo que de uno todavía no recibí el visto bueno. Pero pudimos enviar un correo al profesor de forma encriptada. El proceso es transparente al usuario.

Lección 9: Introducción al protocolo SSL (intypedia)




  
Hemos visto un vídeo que nos explica como evolucionaron las conexiones cifradas.

SSL -  Secure Sockets Layer (SSL; en español «capa de conexión segura»)

TLS - Transport Layer Security (TLS; en español «seguridad de la capa de transporte»)

Son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.Este protocolo nos protege por ejemplo de un MITM.

17/2/16

Álvaro Gómez Vieites

Mis impresiones sobre la conferencia sobre seguridad del e-comerce

  • PayPal
Comprar vender y transferir dinero por internet. Asociamos una cuenta de banco o una tarjeta de crédito desde la cual transferimos el dinero necesario a nuestra cuenta asociada de PayPal, así comramos de forma segura, no exponiendo nuestros datos bancario s o de tarjetas de crédito por internet. Éste es un método bastante aceptable desde mi punto de vista. Pero no está exento de peligros.
Una vulnerabilidad crítica XSS en PayPal expone las cuentas de los usuarios
  • 3D Secure
3DSecure es llamado "Verified by Visa" en Visa, y "SecureCode" en Mastercard.
Es un modo de evitar las estafas. En la conferencia el ponente ponía como ejemplo a  Amazon que utilizaba la inteligencia artificial para cruzar datos de tus compras habituales para saber si aplicar el protocolo de seguridad y comprobar si una compra la haces tú, o por el contrario permitirte hacer una compra en un click para facilitar el consumo del usuario, porque la verificación en tres pasos resulta cansina al consumidor. También puso el ejemplo do Microsoft, que lo aplica siempre, y gracias al cual el propio ponente confesaba que evito un roto en su cuenta del banco de unos 1900€
Aquí las implicadas son las webs que tienen tienda online, lógicamente. El consumidor/usuario de las mísmas debería tener en cuenta su seguridad y consumir/comprar en aquellas webs que implementen este tipo de protocolos, claro que para ello tendría que conocer su funcionamiento ya que algunas ponen que implementan este tipo de seguridad y luego resulta que no es cierto.
  • Bitcoin
 Me quedo con que es una moneda virtual, no hay algo que respalde su valor como es el oro, claro que hoy día tampoco el dinero corriente cuenta con este respaldo.
Mencionar que para especular con ello fluctúa demasiado. Y comentar también que si tienes un monedero virtual donde guardas tus bitcoin y el sitio, que es una web con un servidor con base de datos donde se guardan estos bitcoin, cerrase, te quedas sin nada porque tampoco existe un fondo de garantías. Otra cosa importante y que en la conferencia no se ha mencionado es que en la web en la que guardas tu dinero virtual tienes por supuesto una contraseña para entrar. Pues copmo se te olvide, olvidate de tu dinero porque no existe forma de recuperar dicha contraseña.
  • Diferencias entre EEUU y UE
En los Estados Unidos de América existe la ley patriota permite fisgonear en los datos de los usuarios, en cualquier servidor del país, y de los países con los que tengan acuerdos. Con lo que en la unión europea algunos de los grandes de internet tienen servidores destinados a los ciudadanos de la unión eropea que tiene leyes de protección de datos. Además tienen menor seguridad en sus tarjetas de crédito que no incorpora los chip de las nuestras.

6/2/16

Protocolos de conexión a distancia

¿Es posible la conexión remota segura?

El intercambio de información a través del protocolo HTTPS o la administración de un servidor a distancia con el protocolo SSH no son seguras. Debemos ser realistas con esto. Aplicar capas de seguridad a nuestras conexiones mediante buenas políticas de conexión, es quizá lo mas importante.
Pero toda la tecnología que utilizamos como soporte de éstas, también deben estar bien configurados.
  • routers
  • cámaras ip
  • discos NAS
  • smartphone y tablets
Cada dispositivo que empleamos debe tener sus restricciones de acceso. En mi casa por ejemplo, además de inventarme una contraseña larga y complicada para mi router, el wi-fi tiene restricciones por un filtrado de MAC. Ningún dispositivo de fuera de mi lista, puede conectarse. Como soy consciente de que es posible clonar las MAC y colarse igual, vigilo mi router apagando los dispositivos, para ver que no hay conexiones no autorizadas. También cuento con que la mayor parte de mi vecindario son usuarios estándar que no se cuestionan la seguridad y si yo pongo una serie de barreras, el que esté buscando robar una conexión, probablemente se quede con la mas fácil de penetrar.

¿Qué hay del firmware del fabricante?

Aquí la realidad es mas dura aún. Nada podemos hacer hasta que un fabricante de un producto envía una actualización a nuestro dispositivo, solo podemos esperar y actualizar cuando estas llegan.
Hay listas de productos mas o menos vulnerables si buscamos en internet un poco, así podemos elegir aquellos que utilizan claves únicas aleatorias en sus productos o prueban a fondo el firmware antes de liberarlos para evitar fallos de seguridad que permitan a los piratas extraer los certificados.
Fuente: RedesZone
Enlaces recomendados: Como fortalecer las distintas capas delas redes > welivesecurity; Vulnerabilidad en SSH > Heartbleed; Bug en SSL > Logjam

Entradas populares