30 de mar. de 2015

Disposición ONTI 1-2015: Actualización 2015 de la Política de Seguridad de la Información Modelo para el Sector Público Nacional

Con fecha 25 de febrero de 2015, la Oficina Nacional de Tecnologías de Información dependiente de la Jefatura de Gabinete y Coordinación Administrativa ha publicado la Disposición 1/2015 que es una actualización a la "Política de Seguridad de la Información Modelo para el Sector Público Nacional" del 2013.
ARTÍCULO 1° — Apruébase la "Política de Seguridad de la Información Modelo", que reemplaza a los mismos fines a la aprobada por Disposición ONTI N° 3/2014, que como Anexo I forma parte integrante de la presente.

ARTÍCULO 2° — Instrúyase a los organismos del Sector Público Nacional comprendidos en el artículo 7° de la Decisión Administrativa N° 669/2004 de la JEFATURA DE GABINETE DE MINISTROS, a implementar las medidas adoptadas en sus respectivas políticas de seguridad de la información dentro del plazo de CIENTO OCHENTA (180) días de publicada la presente.

ARTÍCULO 3° — Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

El PDF completo con la política se puede descargar desde ENRE

Técnicas básicas sobre las tecnologías de red y criptografía [Curso]

La Universidad Carlos III de España ha publicado el curso de Coding Techniques totalmente en línea. Este curso ofrece una visión general sobre las diferentes técnicas de cifrado y seguridad, así como sus aplicaciones para redes. Se estudian las técnicas de cifrado simétrico y asimétrico, funciones hash, sumas de comprobación criptográfica, protocolos de autenticación, firma digital, certificados digitales y la aplicación de todos ellos.

Además del curso se ofrece material didáctico y laboratorios prácticos para que el alumno pueda probar cada una de las técnicas explicadas.

Cristian de la Redacción de Segu-Info

29 de mar. de 2015

Perú: se podrán denunciar casos de suplantación de identidad ante Registros Públicos


Finalmente se ha publicado la ley que busca evitar y anular los fraudes registrales y las falsificaciones de documentos notariales.

El texto (Ley N° 30313, publicada el miércoles 26 de marzo en el diario oficial El Peruano), plantea, diversas novedades. Entre ellas se regula la oposición al procedimiento de inscripción registral en trámite, en los casos de suplantación de identidad y falsificación de documentos. Dicha oposición deberá sea realizada solo por notario, juez, cónsul, funcionario público o árbitro ante los Registros Públicos dentro del plazo de vigencia del asiento de presentación.

De similar manera, la persona que desee denunciar las situaciones de fraude registral lo podrá realizar ante las mencionadas autoridades, para que estos se apersonen e inicien la oposición al procedimiento. Además deberán poner la denuncia en conocimiento del registrador o del Tribunal Registral para que oficie al notario, juez, cónsul, funcionario público o árbitro, según corresponda, y verifique la existencia de la denuncia.

Asimismo se establece que un laudo arbitral que sustente la inscripción o anotación en el registro solo debe cumplir las formalidades establecidas por la SUNARP conforme al principio registral de titulación auténtica, sin que ello signifique algún cambio a lo que establecen actualmente las normas.

Modificaciones al Código Civil

La norma modificó los artículos 2013 y 2014 del Código Civil. Respecto al primer de estos artículos, se estipula que el contenido del asiento registral se presume cierto y produce todos sus efectos mientras no se rectifique por la instancias registrales o se declare su invalidez por el órgano judicial o arbitral mediante resolución o laudo arbitral (principio de legitimación). Asimismo, se añade que el asiento registral debe ser cancelado en sede administrativa cuando se acredite la suplantación de identidad o falsedad documentaria.

En lo que se refiere al artículo 2014, se adiciona a la redacción del principio de buena fe, que el tercero que de buena fe adquiera a título oneroso algún derecho, mantiene su adquisición aunque después se anule, rescinda, cancele o resuelva el del otorgante por virtud de causas que no consten en los asientos registrales y los títulos archivados que lo sustentan.

Fuente: La Ley

MSBuild Engine ahora es código abierto

MSBuild, la plataforma de construcción de Visual Studio y .Net Platform, es ahora de código abierto, lo que configura la más reciente adopción del movimiento de código abierto por parte del gigante del software.

MSBuild o Microsoft.Build, que se encuentra disponible en GitHub y ha contribuido con la .Net Foundation, sirve como plataforma para construir aplicaciones. Es el motor por defecto para Visual Studio y la comunidad .Net en la plataforma Windows.
"Al invocar msbuild.exe en su proyecto o archivo de solución, uno puede orquestar y construir productos en ambientes en donde no se encuentra instalado Visual Studio. Por ejemplo, MSBuild es utilizado para construir las.Net Core Libraries y proyectos de código abierto de .Net Core Runtime", sostuvo Rich Lander de Microsoft en una entrada de blog.

"Añadiremos soporte de Linux y Mac pronto -¡quizás con su ayuda!- para que pueda usar MSBuild para construir proyectos de .Net de código abierto en su plataforma favorita", sostuvo Lander. "Inicialmente comenzaremos con Mono y buscaremos portar el código para correr en .Net Core. Pero recién estamos comenzando con portar las cosas. Queríamos primero hacer el código abierto para que todos podamos disfrutar el viaje interplataforma desde el inicio".

MSBuild proporciona un esquema XML para que un archivo de proyecto controle la forma en que la plataforma de construcción construye el software. Las fuentes de MSBuild publicadas el miércoles se encuentran muy alineadas con la versión que se entrega con Visual Studio 2015, sostuvo Lander. Por ahora, se requiere de Visual Studio para construir la primera vez.

Aunque se ha ganado en años pasados una reputación como opositor del código abierto, Microsoft ha estado dando pasos para adoptar el concepto en año recientes. Por ejemplo, la .Net Foundation, fue formada hace casi un año para promover las tecnologías .Net en el campo del código abierto. El pasado noviembre, Microsoft reveló sus intenciones de ofrecer su stack de nube del lado del servidor mediante código abierto a través de su iniciativa .Net Core. En febrero, Microsoft puso como código abierto CoreCLR, el motor de ejecución de .Net en .Net Core.

Fuente: CIOAL

28 de mar. de 2015

Bar Mitzvah Attack: otro ataque a RC4, SSL/TLS

Una vez más aparece un ataque contra el cifrado SSL/TLS (¡y van!). En este caso nuevamente se ataca una función débil y obsoleta del cifrado RC4, ampliamente utilizado en SSL/TLS debido a su amplia compatibilidad con muchos navegadores y servidores.

En 2013, los investigadores Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering y Jacob Schuldt, mostraron que básicamente RC4 está roto y debe morir.

Ahora, Itsik Mantin, director de investigación de Imperva, ha demostrado en Black Hat Asia (Singapur) los detalles de cómo un atacante podría robar credenciales y otra información durante una sesión de SSL/TLS, mediante un ataque que nombró Bar Mitzvah Attack. Este ataque abusa de una debilidad de 13 años de antigüedad.
Bar Mitzvá explota las claves débiles utilizadas por RC4 y permite que un atacante recupere el texto en claro de la información cifrada. A diferencia de otros ataques a SSL, éste no requiere de una sesión activa para realizar un ataque Man-in-the-Middle, es suficiente con realizar un sniffing de las conexiones SSL/TLS.

Usando un sniffer, el atacante puede espiar pasivamente las sesiones SSL y descubrir las claves que se utilizan en la sesión cifrada. El atacante "ve partes del mensaje cifrado que pueden utilizarse para emprender un ataque. Se puede recuperar parte de la clave aleatoria almacenada en texto plano... y partes del texto plano. Cuando se usa una clave débil, parte del texto plano puede ser recuperado desde el texto cifrado" dice Mantin.


El ataque al Bar Mitzvah es uno más en la serie de vulnerabilidades  en el cifrado SSL/TLS expuestos durante el año pasado: BEAST, CRIME, Lucky13, POODLE, Freack, ShellShock, Heartleed...

Mientras tanto, IETF es consciente del problema en estos estándares de criptografía, así que la nueva versión de TLS 1.3 actualmente bajo desarrollo, apunta a eliminar la necesidad de algoritmos de cifrado antiguos o con características anticuadas.

Mantin ahora ha publicado un paper [PDF] con los detalles técnicos del ataque. Mientras, que esto no es una amenaza inminente... se puede arreglar dejando de usar el algoritmo RC4.

Fuente: DarkReading

27 de mar. de 2015

BitWhisper: hacking usando calor

Investigadores israelitas del centro de investigación de seguridad cibernética de la universidad Ben-Gurion, ha detallado el funcionamiento de BitWhisper, una técnica de ataque que emplea un malware especialmente diseñado para medir fluctuaciones térmicas y atacar los sensores de temperatura de equipos informáticos.

BitWhisper está diseñado para trabajar sobre equipos Air Gap, los más seguros que existen ya que no están conectados a Internet y tienen limitado el acceso a sus puertos, lo que los blinda de ataques "estándar" al estar aislados del exterior.
Estos sistemas se utilizan en situaciones que demanden alta seguridad, redes militares y gubernamentales, redes de pago que procesan transacciones, sistemas de control industrial que operen infraestructuras críticas, empresas, etc.

Este grupo de investigación anunció en agosto pasado un método denominado Air-Hopper que utilizaba poco más que señales de radio FM desde un teléfono móvil para la filtración de datos en estos equipos aislados.

Ahora, anuncia una técnica aún más espectacular basado en las fluctuaciones de calor de los equipos y a través de los sensores de temperatura ya que los diferentes patrones de calor generados por las computadoras, se encuentran regulados y los datos binarios se modulan en señales térmicas.
BitWhisper tiene capacidad bidireccional, es decir puede insertar malware para infectar y controlar el equipo y extraer datos del mismo.
Se trata de una prueba de concepto y no es sencillo realizarlo porque se necesita presencia física y hackeo de dos equipos que se encuentren juntos a menos de 40 centímetros de distancia. En cualquier caso, el ataque es posible y seguramente los responsables de la seguridad en estos equipos Air Gap lo tengan en cuenta.

Fuente: Muy Seguridad

Vulnerabilidad en teléfonos IP de CISCO

Cisco advirtió de una vulnerabilidad crítica en el firmware de sus teléfonos IP que permite a un atacante escuchar conversaciones privadas y hacer llamadas telefónicas desde los dispositivos vulnerables, sin necesidad de autenticarse y en forma remota.
hacking-cisco-ip-phones
La vulnerabilidad identificada como CVE-2015-0670 en realidad reside en la configuración por defecto de ciertos teléfonos y, debido a la realización inapropiada de la autenticación, permite espiar remotamente los dispositivos afectados enviando solicitudes XML especialmente diseñadas.

Los dispositivos afectados son los Cisco SPA300 y SPA500 ejecutando el firmware versión 7.5.5. Sin embargo, según la alerta de Cisco otras versiones también podrían verse afectadas. Es probable que algunos teléfonos se hayan configurado para ser accesible desde Internet, por lo que sería muy fácil localizar los dispositivos vulnerables utilizando el popular motor de búsqueda de Shodan.

Cisco ha confirmado que la vulnerabilidad fue descubierta y reportada por Chris Watts, un investigador de Australia, junto con otros dos defectos: una vulnerabilidad de XSS (CVE-2014-3313) y una vulnerabilidad de ejecución de código local (CVE-2014-3312).

La empresa aún no ha parcheado sus productos pero está trabajando en una nueva versión del firmware para solucionar el problema. La compañía ofrece algunas recomendaciones para mitigar el riesgo:
  • Habilitar la autenticación de ejecución XML en la configuración del dispositivo afectado.
  • Permitir el acceso a la red solamente a usuarios de confianza.
  • Utilizar firewall.
  • sar listas de control de acceso basado en IP (ACL) para definir quien accede a la red.
  • Vigilar estrechamente los dispositivos vulnerables.
Fuente: The Hacker News

26 de mar. de 2015

Más certificados falsos de Google

Adam Langley, el experto en SSL y criptografía residente de Google, anunciaba hace unos días que se han vuelto a emitir certificados para dominios pertenecientes a Google, pero que no son oficiales. Es necesario revocarlos y dar una explicación de cómo y por qué se han emitido, pues según se mire, puede quedarse en una anécdota o convertirse en un desastre. Pero en cualquier caso, siempre es un problema y acentúa la sospecha sobre el modelo de confianza que se arrastra desde hace tiempo. Veamos los detalles.
Según Langley, la empresa egipcia MCS Holdings, que opera bajo la China Internet Network Information Center (CNNIC) estaba emitiendo estos certificados. Cualquiera puede emitir certificados para cualquier dominio, el problema es que en este caso, cualquier navegador va a confiar en estos en concreto porque ese certificado CNNIC viene incrustado como raíz de confianza en Windows y otros sistemas operativos. ¿Resultado? El navegador no se quejará si eres redirigido y se va a un  (por ejemplo) google.com falso.

En un aviso publicado el martes, Microsoft dijo que ha actualizado su lista de certificados de confianza para revocar todas las credenciales de MCS Holdings.

Contenido completo en Blog de ElevenPaths e Hispasec

Cracking WPS (Wi-Fi Protected Setup) de forma "offline"

El WPS (Wi-Fi Protected Setup) de los dispositivos inalámbricos entre los que destacan routers y puntos de acceso, es una característica incorporada en el estándar 802.11N para facilitar la conexión de los clientes inalámbricos a estos equipos, sin necesidad de introducir largas contraseñas de acceso. WPS además permite sincronizar los equipos de forma automática durante 60 segundos con tan sólo presionar un botón en cada dispositivo (router o AP y cliente inalámbrico).

Años después se descubrió una grave vulnerabilidad (Reaver) que permitía crackear el código PIN del WPS, por lo que cualquier atacante ya no necesitaría crackear una contraseña WPA o WPA2 con muchos caracteres, sino que simplemente podría realizar un ataque de fuerza bruta contra el WPS que tiene tan sólo 8 dígitos. Con una longitud de 8 dígitos el número de combinaciones es de 10^8, sin embargo, la arquitectura del PIN de WPS divide el PIN en dos subpines.

El PIN1 tiene cuatro dígitos y por tanto el número de combinaciones es de 10^4. El PIN2 varía dependiendo del fabricante, en el primer caso (y más común) se utiliza el último dígito como checksum, por lo que el número de combinaciones de este PIN2 es de tan sólo 10^3, en el segundo y último caso se usaría este último dígito como PIN también, en este caso el número de combinaciones sería de 10^4. Por tanto, estamos ante una tecnología que con un máximo de 20.000 combinaciones se podría crackear, aunque normalmente son 11.000 combinaciones por usar el último dígito como checksum. Crackear un PIN WPS lleva muy poco tiempo si el router o AP no limitan el número de intentos ni se satura, de hecho más grave es que algunos operadores proporcionen un PIN WPS predeterminado en sus equipos, por lo que las herramientas necesarias podríamos crackear un PIN WPS en máximo 30 segundos.

Ahora Dominique Bongard ha descubierto un método para realizar ataques contra el WPS de los routers sin necesidad de que el router de la víctima esté encendido para realizar un ataque por fuerza bruta, de esta forma basta con capturar el intercambio de paquetes en un primer intento y posteriormente de manera offline crackear la contraseña. Este método será mucho más rápido que de forma "online" debido a que no habrá que probar cientos de PIN contra el router, por lo que ahorraremos mucho tiempo.

El método ha sido explicado de forma detallada por Bongard pero él ha preferido no liberar el código fuente, aunque ha dejado varios elementos que permiten reproducirlo y, en el foro de Kali han hecho parte del trabajo.

Anteriormente se descubrió esta posibilidad en el WPS de equipos Broadcom pero parece ser que se ha descubierto un método para hacerlo en otros chipsets.

Actualmente este método está en estudio, en la siguiente imagen se puede ver cómo se crackea el PIN WPS de un router TP-LINK con chipset RaLink:
Se puede encontrar más información y el enlace de descarga en el foro de Kali Linux, también os recomendamos visitar los foros de Crack-WiFi y Wifi-Libre donde se encuentra más información sobre estos métodos. Si quieres saber técnicamente cómo funciona el protocolo WPS, recomendamos visitar esta presentación.

Fuente: Redes Zone

"TOR recibió el 90% de su financiación del gobierno estadounidense" [Yasha Levine]

Cuando a Ramón Barnils le preguntaban por el periodismo de investigación siempre respondía lo mismo: "¿Es que hay otro?". Yasha Levine podría dar exactamente la misma respuesta. Este periodista de origen ruso, cofundador en Moscú de the eXile, una publicación que puso el listón del periodismo "gonzo" muy alto, Levine ha publicado varios sonados artículos de investigación en EE.UU. sobre la influencia política de los hermanos Koch o la fabricación de drones. Su cobertura del movimiento "Occupy" en Los Ángeles le llevó a ser arrestado por la policía. Tras su paso por NSFWCORP (No Suitable for Work Corporation), Levine colabora hoy regularmente con el digital Pando Daily, principalmente con artículos de investigación sobre las empresas de software estadounidenses. Uno de sus últimos artículos, sobre TOR, ha dado mucho de qué hablar.

Antes de comenzar la entrevista, quizá deberíamos explicar a los lectores que nunca oyeron hablar de Tor de qué se trata...

Tor es una herramienta que supuestamente permite ocultar tu identidad en Internet, imposibilitando a otros saber quién eres y qué estás haciendo en la red. Es muy fácil de utilizar. Todo lo que hay que hacer es descargarse una aplicación que se instala en Firefox y después activarla y navegar por la red. Tor tiene muchísimos seguidores entre los activistas políticos y los periodistas, y ha recibido el apoyo de Edward Snowden, Glenn Greenwald y la Electronic Frontier Foundation. Quienes la apoyan la ven como una capa mágica que consigue hacer invisible a la gente mientras navega por la red y dicen que es vital para los disidentes políticos en regímenes totalitarios como el de China o Irán, pero también lo promueven como solución contra el espionaje de la NSA y del Estado estadounidense.

Hace unos meses escribiste un polémico artículo sobre Tor. ¿Quiénes son los desarrolladores detrás de este programa?

Hay un pequeño núcleo de desarrolladores que trabaja a tiempo completo para The Tor Network, una organización sin ánimo de lucro creada en el año 2005. Es un proyecto de código abierto, los voluntarios pueden contribuir a su desarrollo. Según parece, incluso la NSA envía periódicamente informes para resolver errores (‘bugs‘).

De acuerdo con tu investigación, los desarrolladores de Tor han tenido vínculos con las agencias gubernamentales, entre ellas la NSA.

Bueno, no es sólo que algunos de los desarrolladores tuviesen vínculos con agencias gubernamentales, es que todo el proyecto estuvo desarrollado y continúa siendo subvencionado por las agencias de seguridad estadounidenses, el Pentágono, el Departamento de Estado, USAID y otras agencias del gobierno federal dedicadas a expandir el poder de EE.UU. por todo el mundo.

Contenido completo en fuente original La Marea