Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Photo by Markus Spiske on Unsplash

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Read moreLlegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Cómo proteger mi sitio de WordPress con SSL

Photo by Markus Spiske on Unsplash

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Read moreCómo proteger mi sitio de WordPress con SSL

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Photo by Markus Spiske on Unsplash

Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.

Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.

Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.

Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.

Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:

Read moreRedes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Algunas cuestiones sobre las redes móviles en Argentina

Photo by Markus Spiske on Unsplash

Hace algunas semanas les comentaba una experiencia vivida con mi celular, junto a ciertos detalles sobre las redes de telefonía móvil en Argentina.

Nuestro amigo Edgardo se tomó unos momentos para contarnos algunas cuestiones al respecto:

“GSM, la actual norma que rige las telecomunicaciones celulares de la mayoría del planeta nace como un standard de comunicaciones del ETSI, en Europa, para reemplazar a las dispares redes de primera generación que eran prácticamente disimiles en todos los paises del viejo continente. Es así que luego de mucho trabajo se desarrollo un sistema unificado. No voy a entrar en detalles. Las redes GSM son de 2nda generación, habiendo evolucionado desde TDMA (a la par de CDMA, su contraparte americana).

Las redes GSM en verdad son, por así decirlo, un conjunto de redes, o capas, solapadas que transportan los distintos tipos de comunicaciones. La red GSM original (2G) es una red de voz, señalización y mensajeria corta (mantengan esto en mente a la hora de comprender la facturación de las operadoras). Esta red por si misma no trafica datos, para eso se requiere de otra red (de datos, valga la redundancia) solapada (usa la red GSM como transporte, modelo OSI capa 1) y es lo que comercialmente algunos denominaron 2.5G que realmente es GPRS.

GPRS es la capa de transición de datos básica de la norma GSM. si bien soporta mayores velocidades, tiene aproximadamente la velocidad de un modem de 56k. Esto permitio por ejemplo los MMS, WAP y otros servicios más como la descarga de contenidos. Pero claro, se hizo patente al poco tiempo que GPRS no alcanzaba. Y es aqui donde entra una nueva extensión de GSM, a la que muchos mal llamaron 2.75G, EDGE.

 

Read moreAlgunas cuestiones sobre las redes móviles en Argentina

La Telefonía Celular en peligro

Photo by Markus Spiske on Unsplash

Lectores,

Días atrás me ponía al tanto de una noticia algo alarmante para quienes utilizamos la telefonía celular con alta frecuencia, pero decidí confirmar la información antes de hacerla pública por este medio.

Karsten Nohl, un ingeniero alemán, participante del Chaos Communication Congress, una conferencia para hackers que se desarrolla en Berlín presentó su trabajo de investigación, mediante el cual ha puesto en evidencia que el cifrado de las llamadas que se realizan mediante la red GSM ya es vulnerable.

Hace algunos meses he publicado una nota, mediante la cual quise hacerles llegar una amigable explicación acerca del funcionamiento de la red GSM, que recomiendo leer para comprender del todo esta noticia.

Para qué un Cifrado

Read moreLa Telefonía Celular en peligro

Microsoft Office 2007 Service Pack 2

Photo by Markus Spiske on Unsplash

Fuera de su ciclo habitual de actualizaciones, Microsoft ha decidido liberar el pasado domingo, el Service Pack 2 para la suite de aplicaciones de oficina, Microsoft Office System 2007.

Esta actualización, según detalles del KB 953195 proporcionado por Microsoft, posee cambios en las aplicaciones Microsoft Office Access; Microsoft Office Excel; Microsoft Office Groove; Microsoft Office InfoPath; Microsoft Office OneNote; Microsoft Office Outlook; Microsoft Office Power Point; Microsoft Office Publisher y Microsoft Office Word.

A continuación, el detalle para cada una de las aplicaciones, así como las características y mejoras en cuanto a seguridad del paquete:

Read moreMicrosoft Office 2007 Service Pack 2