27 de noviembre de 2008

Pupurri

Varios apuntes rápidos:


1) En FIST colgaron hace unos días las presentaciones de las conferencias que vimos, son las siguientes:

2) En Panda Labs han hecho un curioso gráfico que explica la relación malware - mercado negro, recordándonos que esto es algo más que una peli de Indios - Vaqueros:

3) Finalmente, y para despedirnos con una sonrisa, me encuentro esto en el blog de f-secure.


Lo dicho, There's no place like 127.0.0.1

Salu2!

25 de noviembre de 2008

Virtual RAM Dumping

El SO hospedado podría ser accedido desde el anfitrión para realizar el volcado de memoria, de la misma forma que lo haría la tarjeta PCI de la solución propuesta. ¿Pero es posible hacerlo con las herramientas disponibles a día de hoy? Yo no conozco ninguna... ¿y vosotros?”

En el último post se analizó el RAM Dumping que Silverhack nos enseñó en las conferencias FIST de hace unos días. Vimos la problemática asociada a la extracción de memoria RAM de un equipo comprometido sin alterar la misma, y como la solución no es ni mucho menos trivial. Ahora bien, la solución no es para nada trivial y era preciso acudir a hardware externo que tomase el mando de la CPU y el bus RAM para hacer el volcado sin poner en peligro la integridad original.

Fue en ese momento cuando se planteó el qué podía ocurrir en servidores virtuales o entornos virtualizados, y fue ahí donde Lobosoft nos propuso su idea. Efectivamente esa alternativa venía contemplada en el paper que referencié:

If a system running in a virtual machine is compromised, the memory and disk contents can be saved by suspending the virtual machine and making copies of the files that correspond to the memory and disk areas of the virtual system. Some existing virtual machines save the disk and memory contents in a raw file and others save them in a proprietary format.”

Es decir la solución que proponen es pulsar el cuadradito rojo de VMWare y suspender de golpe la máquina virtual, no desde el sistema operativo virtual. Podremos hacer las copias pertinentes de esos archivos y analizarlas, herramientas como enCase permiten abrir y analizar estas imágenes. Sin embargo he tratado de ir más lejos, ¿Qué ocurre si ese malware es tan avanzado que detecta que se encuentra en un servidor virtual, detecta el "suspenso" y decide borrarse? Es una puerta que se encuentra abierta y que no podemos descartar a priori, aunque es el caso paranoico, pero para eso nos pagan ;-)

Bien, si observamos los archivos de cualquier máquina virtual tenemos:

Archivos de cualquier máquina virtual en VMWare.

Ahora bien cuando la arrancamos aparecen:

Mi XP Virtual tiene 256 MB RAM.

Donde se ha creado un archivo llamado VMEM con el tamaño exacto de la memoria RAM que se asignó a la máquina virtual en su creación. ¿Por qué no copiamos directamente este archivo y vemos que se puede sacar? Lo dicho, hacemos una copia (si fuera necesario calculamos los MD5, etc. pero eso ya es otro post) y probamos a utilizar algunas herramientas de RAM Dumping como el UserDump que vimos en el post anterior. Efectivamente, no funciona (no admite esos archivos como parámetro y esta pensada para ser ella la que realice los volcados), si utilizamos otras herramientas como Diagnostic Tool también tendremos problemas, no reconoce el formato del archivo. ¿Qué hacer? Bien, el archivo que hemos copiado ya es de por sí un volcado de memoria, o al menos ella misma, ¿Y si buscamos los strings?...¡Bingo! Ahí aparecen… Ahora la duda, ¿Serán los mismos que si lo hubieramos hecho dentro de la máquina virtual?

Arriba fuera de la máquina virtual, abajo dentro.

Pues no, cambian un poquito, aunque tienen cosas en común, ¿por qué? Muy sencillo, en la máquina virtual hemos hecho un dump de un proceso en concreto, en este caso firefox.exe, en la máquina real hemos hecho un dump de toda la memoria virtual, por ello cuando hacemos un find “firefox” anita.txt nos aparecen más cosas, lo que es un problema a la hora de detectar qué proceso fue el que hizo qué cosa (aunque se puede llegar a deducir) pero no es un problema a la hora de buscar en RAM, y sin alterarla, cadenas que nos lleven a obtener evidencias que apoyen nuestro dictamen.

Beneficios Virtualización = Beneficios Virtualización + 1;

Salu2!!

20 de noviembre de 2008

RAM Dumping!

Días antes de esta jornada de “huelga”, aunque quizás sería más correcto decir que de protesta, por que muy pocos han sido los profesionales que se han unido a la misma (por unas u otras razones). Comentaba como Silverhack nos había explicado cositas de Análisis Forense en memoria RAM. Los que veáis su blog periódicamente habréis visto que ya ha comentado como volcar un proceso en un fichero y como extraer las cadenas posteriormente. Mi idea inicial era explicar justamente eso, a modo de resumen se necesitaban tres herramientas que Microsoft proporciona gratuitamente:

El Process Dumper es una aplicación que permite volcar un proceso a un fichero en tiempo de ejecución y sin matarlo, tienen un setup de configuración muy básico:


Con esta aplicación escribiendo userdump –p tendremos la lista de procesos con su PID, si por ejemplo queremos extraer todo el contenido del firefox de PID 592 pondremos userdump 592. Con ello tendremos el volcado. Ahora toda extraer las cadenas de texto que todo proceso maneja, para ello la herramienta Strings nos ayudará. Escribiendo strings firefox.dmp > anita.txt tendremos todas las cadenas de ese fichero en otro de texto. Normalmente no se aconseja abrir los .txt con el blog de notas por que suelen ser de varios megas y tendremos problemas. Por ello es mucho más sencillo utilizar las herramientas find o findSTR y buscar cadenas como “password”, “clave”, “http” o lo que se nos ocurra, así obtendremos todo tipo de información que le navegador maneja muy jugosa :)



Un consejo para el manejo de estas aplicaciones, si no quereis tener que estar copiando y moviendo archivos basta con que añadais strings y userdump a las variables del sistema (si tenéis XP, en propiedades de Mi PC – Opciones Avanzadas) y así desde cualquier lugar del sistema las ejecutareis sin problema.

Cambiando un poco de tercio surgió el debate sobre Análisis Forense con estos volcados de memoria, surgió por varias razones:

  • Necesitas ser administrador de la máquina.
  • Alteras la memoria RAM.
  • No sirve como prueba en un juicio.

Los dos primeros puntos están claros, se puede volcar la memoria de una máquina en red, o mediante multitud de herramientas comerciales (enCase, Volatile Framework) y no tan comerciales (dd /DEV/ en Unix nos podría valer), sin embargo en caso de que sean herramientas del sistema nunca tendremos la garantía de que no hayan sido corrompidas por un rootkit u otros, si hibernamos el equipo (toda la RAM se vuelca al disco duro) corremos el riesgo de que sea detectado por el malware y aproveche para eliminarse. Aun con todo el hecho de volcar la RAM siempre implicará una modificación de la misma, de ello hay varios debates interesantes en Internet, es preciso recordar que una modificación de la RAM aunque sea en un bit implica una alteración de una prueba, y un abogado un poco perspicaz en el uso de las nuevas tecnologías nos la echará atrás fácilmente.

Ahora bien, el problema persiste, ¿cómo copiar una RAM sin alterarla? Repasando nuestros conceptos de Sistemas Operativos tenemos un problema grave, pues o paramos el procesador o la RAM se alterará continuamente, pero si lo paramos no podemos volcarla, es la pescadilla que se muerde la cola. Por suerte encontré un paper con una solución interesante, sus autores son Brian. D. Carrier y Joe Grand y en resumidas cuentas explica el problema y propone como solución incorporar una tarjeta PCI que detenga el procesador, tome el control del bus y sea capaz de ejecutar las instrucciones precisas para volcar la RAM:


El único requisito es que la tarjeta debe estar instalada previamente en la máquina. Lo que la hace interesante para servidores críticos.

Finalmente y para dejaros pensando un poco, ¿tendríamos este problema en Servidores Virtuales?

Salu2!

19 de noviembre de 2008

Por una Informática Digna

Los Ingenieros Técnicos e Ingenieros en Informática también la tenemos:

http://www.huelgainformatica.es/

19 de Noviembre --> Huelga "Por una informática digna"

18 de noviembre de 2008

Bruta Fuerza!

Vosotros, que dormís tranquilos pensando que la hoja de la guadaña se encuentra lejos de vuestro cuello...

Vosotros que pensáis aquello de “a mi nunca me pasará”, que percibís el riesgo como cosa de “otros” y circulais a 133 por que dicen que a 134 ya salta el radar...

Vosotros que aprovechais los 2x1 "Carrefour" para daros el atracón...

Vosotros que compartís la misma clave en todas vuestras cuentas por que total, tiene 8 caracteres y un par de ellos son cosas raras...

O decís, si pongo me fecha de cumpleaños, pero con el año, junto con las iniciales mi churry,,, y todo, ¿Quién va a caer en eso? Estos seguratas son unos paranoicos…

¡Incrédulos! Necesitáis ver para creer:




PD: Thanks partner por el link, curioso cuanto menos :)

16 de noviembre de 2008

FIST

Este fin de semana comenzó con las conferencias FIST, que se celebraron aquí en Madrid. Tuve la fortuna de poder asistir junto con varios compañeros de trabajo y ver a grandes profesionales hablando de los más variados campos de la seguridad:

  • Gonzalo Alvarez --> Cryptool
  • Vicente Aceituno --> Analisis de Riesgos en ISM3
  • Juan Garrido --> Análisis Forense en Memoria RAM
La cosa comenzó con un repaso de la criptología desde la época de los romanos hasta la actualidad a través de la herramienta educativa Cryptool, la cual es una buena baza si quieres aprender el funcionamiento de los principales algoritmos criptográficos del "ahora" y del "ayer".


Después el archi-conocido Vicente Aceituno (creo que fue de los primeros nombres del campo de la seguridad que conocí) nos mostró una metodología más de Analisis de Riesgos, en este caso la ISM3. La verdad que hay tantas metodologías de analisis de riesgos que era dificil el aportar algo nuevo. No obstante como síntesis de esta metodología resaltaré su esfuerzo por aportar un valor cuantitativo a los controles y métricas de seguridad de tal forma que aporten y generen información nueva. No que nos diga un "el riesgo de este activo es medio". Tuvimos la suerte de que uno de los presentes era uno de los redactores de la ISO 27005 por lo que surgió un debate interesante.

Finalmente llegamos a la charla más técnica. Juan Garrido hizo una fantastica demostración de analisis forense sobre memoria RAM donde en 50 escasos minutos nos habló de multitud de herramientas (windbg, NotMyFault, SystemDump, LivekD, Dumpchk, FindSTR, memparser, Volatools), de BlueScreens, de volcados y análisis de memoria RAM, de "integridad" de los ficheros, etc. etc. Llevaba aproximadamente 1 año sin asistir a una charla de análisis forense, pero la sensación se repitió de nuevo. Que cantidad de conocimientos de Sistemas Operativos, que soltura manejando decenas de herramientas, a ver cuando echo un rato... a ver si me pongo cuando tenga tiempo.. etc. Y aquí estaba, un domingo por la tarde cuando he dicho, ¡esto hay que contarlo! Por lo menos antes de que se olvide.

Espero poder profundizar lo aprendido en las proximas semanas y naturalmente, compartirlo con vosotros.

Salu2!

13 de noviembre de 2008

Tendencias TIC (2009)

Se puede profundizar mucho sobre lo que es una crisis y lo que realmente es una CRISIS. Hay quien pensará que actualmente pasamos una época de reajuste económico, otros que estamos en un desaguisado comparable al del 29, y otros que estamos ante una época de oportunidades (nueva filosofía energética, del sistema bancario, de políticas económicas). La verdad es que todos estamos equivocados y todos tenemos un poco de razón, aunque es fácil que si no nos vemos afectados directamente frivolicemos sobre el asunto sin ver la tragedia que surge detrás.

Esto es la Tecnología para el Negocio.

Nuestra profesión por suerte y por ahora no está especialmente afectada, siguen apareciendo el mismo % de ofertas de empleo que hace 1 año aunque quizás estemos (como todos) en peores circunstancias para negociar. No obstante estaréis todos de acuerdo conmigo en que la raíz de la crisis se encuentra en una palabra de moda, confianza, o la ausencia de esta. Uniendo hilos y siendo un poco perspicaces nos daremos cuenta que estudios como los que publican en IDG tienen incluso sentido. Los 5 campos del futuro en las TI para 2009 son:
  • Protección Antivirus.
  • Inteligencia de Negocio.
  • Gestión de Procesos de Negocio (BMP).
  • Continuidad y Recuperación frente a desastres.
  • Virtualización de servidores.
Vamos a tener trabajo, me parece a mi :-)

Esto se traduce en mayor seguridad (confianza), mayor alineación entre las TIC y el Negocio (ITIL), y mayor eficiencia en el uso de los recursos (menores costes). Sin duda tenemos un reto por delante que es necesario asumir, las TIC van a demandar mayor seguridad, de igual forma tendremos que aplicar seguridad en entornos a los que no estamos acostumbrados, entornos virtuales. Y para colmo tenemos a la vuelta de la esquina el “Cloud Computing”, donde ya veremos como Windows Azure y otros se defienden en este “nuevo” paradigma tecnológico. Todo ello mientras la Web 2.0 muestra nuestros datos por medio universo, Google se adueña del planeta y los usuarios quieren preservar su privacidad.

Creo que no nos vamos a aburrir.

Salu2!

11 de noviembre de 2008

WPA-PSK (TKIP) Owned

Hace unos días hablábamos de casos no contemplados y esta mañana me he despertado con uno de ellos. ¿Recordais el ataque Chop-Chop contra cifrados WEP? La suite de aircrack incluye en aireplay un ataque específico “Chop-Chop”, del cual podemos ver un ejemplo aquí.

Resumiendo mucho, este ataque eliminaba un byte de la trama cifrada con WEP y creaba un mensaje válido aplicando una modificación relacionada directamente con el byte sin cifrar. Korek fue el primer hacker en implementar este ataque por inducción. La metodología es sencilla, prueba y error hasta obtener el valor correcto de la trama descifrada (partiendo de ese primer byte que “cortabamos”). Los que habitualmente leéis a Security Art Work (sindicada en este blog) podréis ampliar la información con el proyecto de fin de carrera que Roberto Amado publicó a raíz de la “polémica” suscitada con la roptura de WPA2 valiéndose de GPUs que llegó a meneame, con lo que ello suele significar.

Bien, una variante del Chop-Chop ha permitido obtener una vulnerabilidad nueva en WPA-PSK (TKIP) que, como sabemos, es un WEP modificado que implementa muchas de sus funcionalidades para el cifrado (eso sí, corregidas). Esto ha provocado el primer ataque que no es por “fuerza bruta” ni de denegación de servicio contra WPA. Los requisitos para su ejecución son los siguientes:
  • La red a atacar debe usar TKIP (WPA).
  • IPv4 es necesario, a su vez es necesario conocer la mayor parte de los bytes de la dirección de red. Ejemplo: 192.168.1.X
  • El refresco de claves de TKIP debe ser alto (3600 segundos, indican).
  • La red debe soportar los atributos de QoS que marca el iEEE 802.11e (esto es lo más importante).

Voy a resumir muy brevemente el ataque, intentaré que sea de forma sencilla, por que es bastante complicado. El atacante esnifa tráfico ARP (aircrack los detecta por que tienen una longitud reconocida). Observando y conociendo la direcciones de red de origen y destino que no son cifradas, excepto el último byte (así está implementado) junto con los 8 bytes de MICHAEL y MIC (sirven para comprobar que el paquete no ha sido modificado) y el checksum del ICV y a sabiendas de que el comportamiento de TKIP rechaza los paquetes con:

  • ICV incorrectos.
  • MIC incorrecto à en este caso se asume que ha ocurrido un ataque, si hay más de 2 en 60 segundos se renegocian las claves.
  • TSC inferior al contador actual (WPA incorpora un contador de paquetes para evitar que los viejos sean reenviados, etc.)

Y, sabiendo que si un atacante realiza un ataque en un canal diferente al punto de acceso, por ejemplo, adivinando ese byte que habíamos cortado anteriormente y que está cifrado, el punto de acceso informará de que existe un error de MIC, pero no incrementará el TSC. Luego tras 60 segundos podrá probar otra combinación y, en 12 minutos descifrará 12 bytes de texto plano.

Con ello y realizando un ataque a la inversa al algoritmo MICHAEL el atacante puede obtener la clave MIC usada para proteger los paquetes que son enviados desde el punto de acceso al cliente.

Un lío, lo sé. Pero esto desencadenaría varias vulnerabilidades que harían desaconsejable WPA-PSK (TKIP). Se puede leer en el paper que existe una versión de aircrack que incorpora ya el ataque, pero todavía no está disponible, luego se puede entender conforme se refine este ataque y se creen los correspondientes exploits, que WPA-PSK (TKIP) se encuentra en la milla verde, a la espera de que alguien lo remate con un ejemplo práctico.

Dada la similitud con el Chop-Chop de WEP, no le doy mucho tiempo.

Salu2!

PD: Sé que este Post es muy técnico, pero casi todos los acrónimos utilizados pueden encontrarse fácilmente en Wikipedia, etc. Comprended que tardaría eones en explicarlas todas, y se haría demasiado pesada la entrada. No obstante con las referencias dadas a buen seguro el lector interesado en profundizar podrá hacerlo sin problema.

10 de noviembre de 2008

Virus Total

Happy Monday!!

Comencemos la semana con una web de “Favourite List”, no es ningún descubrimiento pero siempre bien recordarla (para algunos) o explicarla (para otros). Se llama www.virustotal.com y como su nombre parece indicar es un antivirus online, pero no el típico antivirus, sino una web que incorpora los motores de busqueda de los principales fabricantes de antivirus del mercado, vamos una barbaridad, son todos los siguientes:

La historia de buscar esta página surgió cuando no me podía creer lo que estaba viendo cuando aquel personaje que enjendró la idea que me llevó a escribir 5 post (Rosillo Project ) me mandó un troyano, lo analicé con Avast, con Trend, con Mcafee y … me eché a temblar. Lo había conseguido.
El peligro está ahí fuera.
Salu2!

9 de noviembre de 2008

Tirando mitos: El “pirata” informático

Los más perspicaces habréis notado una pequeña “remodelación” en el blog desde hace unos días. Se han incorporado dos RSS (sindicaciones Web) de las páginas de milw0rm y Security Focus. En las mismas se pueden ver los 3 últimos exploits publicados y las 3 últimas vulnerabilidades publicadas, aunque cómo habréis sospechado no van a la par ni corresponden la una (vulnerabilidad), con el otro (exploit), aunque están muy relacionados.

¿Habéis programado alguna vez? La mayoría estoy seguro que si, para los que no lo habéis hecho nunca programar es introducir una serie de ordenes al procesador para que las ejecute según nuestra necesidad. El ordenador como todos sabéis es tonto (o al menos el mío), por lo que hay que decirle todo paso a paso, y es más, cuando se le dice que haga algo y no puede –por falta de recursos, por que no sabe como, por que no habla tu idioma da error. ¿Qué ocurre en ese momento? Que el proceso que tenía en ese momento el control del procesador lanza una excepción y pierde el control, dando ese control a otro proceso, es una explicación bastante burda, pero estoy seguro que me entendéis. Os pongo un ejemplo:

Int a, b = 2;

Int c = 0;

a = a + b; (a = 2 + 2; a = 4)

a = a / c; (a = 4 / 0; a = error) à Excepción

En la mayoría de los casos el desarrollador ya tuvo en cuenta estas posibles excepciones, e incluía trocitos de código encargado de capturarlas y de emitir un error en pantalla, que en este caso sería un:

printf (“ Error de división por 0, la variable C no puede ser 0”)

En este caso ha quedado muy claro, son 4 líneas y es un error bastante común. Otro tipo de errores típicos son el buffer overflow, muy parecido al desbordamiento de pila , etc. etc. En todo caso son errores de programación por casos no contemplados (de ahí que diga que mi ordenador es tonto).

Una vulnerabilidad por tanto es un caso “no contemplado” (o si, pero que no se solucionó al fin y al cabo), y un exploit es un trozo de código que se aprovecha de esos casos “no contemplados” para provocar un error en un proceso, introducir su propio código y hacer lo que querramos, por ejemplo acceder a la consola de cmd del equipo atacado, lanzarle un Internet Explorer, o provocarle una denegación de servicio.

Por tanto un pirata informático es una persona que, teniendo grandes conocimientos de sistemas operativos, programación, etc. descubre algunos de estos “casos no contemplados” para provocar errores en el software, y adueñarse de otros sistemas (las motivaciones pueden ser muy diversas claro). A decir verdad es difícil ser pirata, hace falta bastante dedicación, estar un poco loco, y ser muy inteligente, por eso considero que se pueden contar con una o dos manos el número de verdaderos "piratas" que hay en el mundo. El resto se basa (nos basamos) en el trabajo de terceros, vemos exploits que otros han desarrollado, probamos vulnerabilidades que nos han contado en la carrera en nuestros propios desarrollos, o cosas parecidas. Para colmo hoy en día todo está automatizado, ya sea Nessus, ya sea Nmap, ya seas Paros Proxy, ya sea Metasploit:

Metasploit: Somos malotes y lo sabemos!

Pero de este hablaremos en próximos capitulos!

Happy Sunday!

7 de noviembre de 2008

Corolario al PGP: Firma Digital

Como corolario a lo visto anteriormente en el PGP , y adentrándonos más en materia legal, la Ley 59/2003, de 19 de Diciembre de Firma Electrónica introduce algunos conceptos de especial relevancia sobretodo en los trámites con administraciones públicas, en tratados comerciales por Internet, etc. Destaco especialmente:
Artículo 3: Firma electrónica, y documentos firmados electrónicamente.
  1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
  2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
  3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
  4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
  5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente.

Como vemos se hace mención específica a la firma digital que preserva la identificación del firmante (demuestra su autenticidad, preserva el no repudio) y la firma electrónica avanzada que añade el atributo de integridad a lo firmado, es decir se asegura que el documento electrónico no ha sido modificado, de igual forma parece dar más importancia a los medios o sistemas con los que el firmante hace uso de la firma digital, y que esos medios o sistemas no hayan sido manipulados o tergiversados por terceros. Finalmente el punto cuatro le proporciona equiparación legal a la firma electrónica reconocida con la firma manuscrita. ¿Qué se precisa para que una firma electrónica esté reconocida? La ley lo especifica así:

Con ello se aclara que no basta con la firma electrónica avanzada para la equiparación con la firma manuscrita; es preciso que la firma electrónica avanzada esté basada en un certificado reconocido y haya sido creada por un dispositivo seguro de creación.”

Aquí es donde entran en juego certificados digitales, entidades de certificación:

Artículo 6. Concepto de certificado electrónico y de firmante.

  1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
  2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Y lo que es más importante, ¿en qué casos se puede suspender un certificado digital y por tanto considerarse no válido?

Artículo 9. Suspensión de la vigencia de los certificados electrónicos.

  1. 1. Los prestadores de servicios de certificación suspenderán la vigencia de los certificados electrónicos expedidos si concurre alguna de las siguientes causas:
    a) Solicitud del firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona
    jurídica.
    b) Resolución judicial o administrativa que lo ordene.
    c) La existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de la vigencia de los certificados contempladas en los párrafos c) y g) del artículo 8.1.
    d) Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.
  2. La suspensión de la vigencia de un certificado electrónico surtirá efectos desde que se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación.

    ….

La extinción o suspensión de la vigencia de un certificado también hará que una firma electrónica sea no reconocida. Como imaginareis la casuística por detrás de la ley puede ser muy amplia, por tanto será de gran ayuda contar con un buen abogado / perito informático que nos apoye a la hora de presentarnos en un litigio, sobretodo para que no nos pase como al Cracker de Pontevedra.

Saludos legalmente inseguros!

6 de noviembre de 2008

Correo Electrónico Seguro

Hoy vamos a hablar de cosas básicas dentro del mundo de la seguridad, y una de ellas es el PGP, o Pretty Good Privacy, esta tecnología se asocia normalmente al envío de correos electrónicos, donde 2 entidades o más, a través de un sistema PKI, o de clave pública, permite cifrar y firmar un correo electrónico.

¿Y para qué vale esto? Pues esto vale para asegurar 2 puntos clave en la seguridad de la información, la confidencialidad (la información se encuentra salvaguardada de terceros, quienes no la podrán leer) y la autenticidad (quien me envía la información es quien dice ser qué es). ¿Cómo se asegura la confidencialidad? Sencillamente, cifrando (que no encriptando). ¿Cómo se asegura la autenticación? Pues igual que haríamos en cualquier trámite de la vida real, con una firma (más o menos), solo que en este caso la firma es especial, es una firma digital, algo que quien haya comenzado a utilizar el e-Dni le sonará bastante.

PGP se considera seguro, de hecho es utilizado para todo tipo de transacciones comerciales entre empresas, podemos probarlo si solicitamos una licencia de 30 dias de PGP Desktop aunque existen herramientas similares que en softonic por ejemplo podéis encontrar. PGP Desktop puede integrarse perfectamente con Outlook, Lotus, o cualquier cliente de webmail actuando como email proxy, si queremos ciframos, si queremos firmamos, si queremos, las dos cosas. Según la necesidad.

Veamos algunas imágenes de esta aplicación, que nos enseñarán un poquito su funcionalidad:
Key Settings de nuestra clave, por defecto la seguridad es aceptable (para estos tiempos), aunque nunca es recomendable poner una caducidad indefinida.


Podemos incorporar nuestra clave al keyring del Server de pgp



Se pueden establecer relaciónes de confianza con la clave pública de terceros, para ello debemos firmar dicha clave con nuestra privada.



Las políticas disponibles pueden cubrir todas nuestras necesidades.

Resulta de especial importancia el conocimiento del PGP para todo tipo de correos a los que querramos dar validez jurídica, validez para tratados comerciales, esto nos dará seguridad legal, además de confidencialidad en nuestro tráfico e-mail. Todo ello al alcance de la mano y de forma gratuita.

¿Merece la pena, verdad?

Salu2!