martes, 31 de agosto de 2010

Hackers Noruegos Revientan el Primer Código Basado en Encriptación Cuántica Usando Lasers


No hay manera. Ni siquiera la teóricamente inexpugnable seguridad cuántica ha resistido los ataques de un grupo de expertos noruegos que han logrado hackear dos sistemas comerciales de encriptación basada en las últimas tecnologías cuánticas. Pero lo mejor de esto radica en que han logrado reventarlo sin dejar rastro de que han entrado en el sistema. Hasta ahora, se había conseguido descifrar información enviada con este mecanismo pero quedaba constancia del ataque. Gracias al ingenio de estos hackers ya se puede hacer sin despertar sospechas y, para colmo, con material comprado en tiendas de toda la vida. El logro aparece publicado en la edición online de la revista Nature.


El cifrado cuántico se postulaba como el sistema más seguro de la historia, teóricamente inexpugnable y además, imposible asaltarlo sin dejar constancia del ataque, en caso de intentarlo siquiera. Tan felices se las prometían los inventores de esta nueva filosofía de seguridad informática, que se quedaron mudos cuando un grupo de expertos canadienses consiguió reventar el cifrado cuántico. Se consolaron pensando que aunque hubieran podido acceder a la información, al menos no pudieron evitar dejar huella del intento. Sin embargo, los dioses/diablos de la era de la información, han vuelto a dar una vuelta de tuerca y han logrado lo que nadie puede creer: han conseguido reventar un sistema de seguridad cuántico sin dejar el más mínimo rastro de su acción.

El Grupo de Hacking Cuántico de la Universidad de Ciencia y Tecnología de Noruega ha liderado una hazaña que ha dejado sorprendidos a los expertos que se jactaban de la invulnerabilidad de dicha tecnología. Y lo mejor de todo es que se ha conseguido con materiales comprados en una tienda cualquiera. No han hecho falta complejos láseres de ciencia ficción o imposibles reactores termonucleares de fusión. El jefe del grupo, Vadim Makarov, afirma que sólo en un par de meses y armados con material comercial han engañado al sistema introduciéndose por un agujero de seguridad que nadie había descubierto antes.

Mediante fotones

La criptografía cuántica basa su potencial de invulnerabilidad en lanzar el mensaje mediante fotones. Esta luz llega al receptor donde se descodifican sus posibles estados en forma de 0 y 1. Por el principio de incertidumbre enunciado en 1927 por el premio Nobel de Física Werner Heisenberg, en el mundo cuántico la simple observación de un fenómeno produce su perturbación, por tanto, sólo con intentar mirar lo que “dice” el haz de luz, se destruye el mensaje y el receptor se da cuenta de ello, comunicándole al emisor que la clave secreta ha sufrido un intento de violación.

De esta manera, matan dos pájaros de un tiro: por un lado evita que se sepa lo que dice el mensaje y, por otro lado, avisa del intento de hackeo. El grupo canadiense ya logró descifrar el mensaje pero no evitó que saltaran las alarmas. Makarov ha llegado al punto máximo de todo hackeo y ha logrado la perfección: descifrar la clave sin que se enteren de que lo han hecho.

Rehacer el sistema

Su técnica consiste en usar un láser común de 1 milivatio para “cegar” al receptor. Cuando esto sucede el grupo envía una señal clásica, no cuántica, que el receptor acepta sin rechistar. Por tanto, ya no se aplican las reglas cuánticas sino las tradicionales, consiguiendo de esta manera engañar al sistema y apropiarse de la clave secreta sin que se perciban de ello los mecanismos encargados de la tarea.

Makarov y su equipo han demostrado que el hack funciona con dos sistemas disponibles en el mercado: ID Quantique (IDQ), con sede en Ginebra (Suiza) y MagiQ Technologies, con sede en Boston(Massachusetts). Los directivos de ambas empresas se muestran encantados de la hazaña del grupo Makarov porque afirman que gracias a ellos podrán rehacer el sistema y convertirlo en un producto más seguro. De todos modos, Makarov insiste en que los sistemas cuánticos son lo mejor que existe en seguridad. Simplemente hay que actualizarlos un poco (como todos).

miércoles, 11 de agosto de 2010

Importancia del estudio de la Criptografía para Universitarios


Misterios de la Ciencia Criptográfica

El objetivo principal de este artículo es ir conociendo por pasos, los misterios que se circunscriben a las diferentes técnicas criptográficas, desde sus inicios en la época prehistórica, hasta los más modernos sistemas de claves criptográficas desarrolladas por reconocidos expertos de las ciencias exactas, específicamente, en el área de las matemáticas y la teoría de los números. Para posteriormente hacer un análisis del porqué las referidas técnicas no se estudian en la universidades.

Autor: Ing. Roiman Valbuena.

“La criptografía estudia los aspectos de la comunicación relacionados con la privacidad y la seguridad, su objetivo consiste en ocultar la información que queremos transmitir de forma que sólo pueda ser interpretada por los destinatarios escogidos“. Este es el concepto que le asigna Microsoft al tema de la criptografía [1].

Por otro lado, el diccionario Alegsa [2], define al término “Cifrado” de la siguiente manera: “Cifrado. Proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros.

Pueden ser contraseñas, números de tarjetas de crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas. El texto plano que está encriptado o cifrado se llama criptograma.

Ahora bien, agreguemos el concepto que le asignan los expertos escritores del tema [3], “Criptología: Este es el estudio de técnicas para asegurar el secreto y / o autenticidad de la información.

Las dos ramas principales de la criptografía son: la criptología, que es el estudio del diseño de estas técnicas, y el criptoanálisis, que trata de vencer a las técnicas de este tipo, para recuperar la información que ha sido previamente almacenada y cuyo mensaje será aceptado como auténtico.

Dicho de otra manera, según el punto de vista del autor, la Criptografía es el conjunto de técnicas necesarias para volver un mensaje original (al que llamaremos texto plano), en un mensaje inteligible para los seres humanos (Al que llamaremos mensaje cifrado) pues no debe concordar en sintaxis ni gramática con algún lenguaje hablado ni escrito utilizado en el planeta. Es importante decir que para cifrar un mensaje, se le debe aplicar una llave (Clave), y para descifrarlo también se le debe aplicar la misma llave en sentido inverso, según sea el caso.

El siguiente punto es algo que me inquieta mucho como docente, y voy a referirme tanto a los estudiantes de Informática como de Electrónica. Para lograr ser exitoso, un estudiante debe estar en disposición de llevar a cabo su propio diseño y que el mismo pueda ser comercial, en otras palabras, convertirse en empresario iniciándose desde las mismas aulas de clases.

Veo con preocupación que al alumnado sólo se le adiestra en el campo de manejo de aplicaciones bajo licencias propietarias, es decir, Microsoft, Adobe, Macromedia, y en fin muchos otros. Pero… ¿Que sucede con aquel chico inquieto que desea ir más allá, el que quiere desarrollar sus propias herramientas, el que tiene la valentía de auto-emprenderse una nueva empresa, y no sólo eso, quiere cambiar paradigmas y dogmas que no admite como suyos y desea crear los propios?

Me refiero específicamente al hecho de que muy pocas Universidades (Sí muy pocas) en sus Pensum de estudios incluyen la materia de Criptografía, una ciencia y técnica ancestral utilizada en miles de batallas, sólo con el fin de proteger del enemigo su activo más valioso, la información.

Y ahora quizás nos planteemos lo siguiente: si este estudiante decide diseñar un software o aparato electrónico para comercializarlo, ¿Cómo lo protege si en la universidad le enseñaron muy poco sobre el tema (si es que lo hicieron)?, ¿Cómo aplica técnicas criptográficas si apenas las ha oído nombrar?, seguramente al finalizar su diseño y lograr venderlo a alguien interesado conseguirá que el mismo fue crackeado apenas dos horas después, y hasta allí llegó su negocio.

Ahora bien, continuando con nuestro tema, para trabajar en el departamento de seguridad informática de alguna empresa importante, el candidato debe manejar al menos dos de las siguientes áreas [4]:

· Control de acceso

· Seguridad de aplicación

· Continuidad de negocio y planeación de recuperación de desastres

· Criptografía

· Seguridad de la información y manejo de riesgos

· Jurídico, regulaciones, cumplimiento e investigaciones

· Seguridad de las operaciones

· Seguridad física (del entorno)

· Arquitectura y diseño de seguridad

· Seguridad de las redes y telecomunicaciones


Todo esto conlleva a la obtención de la certificación CISSP, la certificación CISSP® es reconocida y respetada por la industria tecnológica a nivel mundial. El reconocimiento e importancia de la credencial continúa creciendo y sirve como una calificación de excelencia en toda la industria. La CISSP es la primera credencial internacional IT en convertirse en acreditada por ANSI bajo el ISO/IEC 17024.

Y es en el tema de la criptografía donde centraremos la atención de este artículo.

Objetivos de la Criptografía: El objetivo de la criptografía es el de proporcionar comunicaciones seguras (y secretas) sobre canales inseguros. Ahora bien, la criptografía no es sinónima de seguridad. No es más que una herramienta que es utilizada sobre la base de mecanismos de cierta complejidad para proporcionar no solamente protección, sino también garantizar que haya confidencialidad. Dentro de este contexto es importante saber, ¿Qué queremos proteger, y de quién?

Surgió históricamente por la necesidad de esconder información a los enemigos durante las batallas que se realizaban desde tiempos inmemoriales, hoy en día estas batallas se nos suelen presentar al transitar datos en Internet. En la actualidad, la Criptografía es la herramienta fundamental para el desarrollo y estabilidad del comercio electrónico.

Si desea conocer más sobre la historia de la criptografía, remítase a [5].

Conozca al Xploit: Dark Age of Camelot [6].

En Marzo del 2004, un xploit de este video juego hizo uso de una debilidad que los servidores de autenticación utilizaban para realizar transacciones seguras de facturación. Esto permitió a los atacantes interceptar comunicaciones entre un verdadero servidor y el cliente y leer todos los datos de facturación privada.

Aunque los desarrolladores utilizaron y probaron una conocida biblioteca criptográfica para proporcionarse los algoritmos básicos, luego se percataron que los habían utilizado de forma incorrecta. Como resultado de ello, los atacantes no lograron romper duros algoritmos como: RSA o RC4, sólo lograron acceder a la débil construcción con las que fueron implementados en el juego. Y a eso me refiero cuando en párrafos anteriores les hice mención sobre la necesidad de aprender criptografía en la Universidad y evitarnos un poco estos deslices.

Encriptación Clásica: Métodos de Substitución:

Muchos salvajes en la actualidad se refieren a su nombre como partes vitales de sí mismos, sin embargo, en realidad lo que intentan ocultar es el gran dolor de cabeza que les causaría revelar sus verdaderas identidades, a menos que se trate de personas con malas disposiciones, y el hecho de revelar sus verdaderos nombres perjudique a sus reales propietarios.

The Golden Bough, Sir James George Frazer


En la actualidad existen un sin número de sistemas de cifrado, además de técnicas diversas de diseño y manejo para las mismas, sin embargo, me quiero referir más específicamente a aquellas que puedan enseñarse a estudiantes de ingeniería o licenciatura en sistemas, informática y computación, y con ello me refiero a los métodos básicos de cifrado por substitución:


Técnicas de Cifrado por Substitución:


Cifrado de César; Cifrados Mono alfabéticos; Cifrado de Playfair; Cifrado de Hill; Cifrados poli alfabéticos y los cifrados basados en las libretas de un solo uso (One Time Pad).

El cifrado de César: Consistió en el primer uso conocido de un cifrado de sustitución, y el más simple, inventado por Julio César. El cifrado César implica la sustitución de cada letra del alfabeto con otra ubicada tres lugares más abajo en el alfabeto. Véanse los siguientes ejemplos:

http://www22.brinkster.com/nosolomates/ayuda/cripto/cifradocesar.htm


Los Cifrados Mono Alfabéticos:


Se engloban dentro de este apartado todos los algoritmos criptográficos que, sin desordenar los símbolos dentro del mensaje, establecen una correspondencia única para todos ellos en el texto. Es decir, si al símbolo A le corresponde el símbolo D, esta correspondencia se mantiene a lo largo del mensaje. El cifrado mono alfabético constituye la familia de métodos más simple de criptoanalizar, puesto que las propiedades estadísticas del texto claro se conservan en el criptograma. Supongamos que, por ejemplo, la letra que más aparece en el castellano es la letra A.


Parece lógico que la letra más frecuente en el texto codificado sea aquella que corresponde con la letra A. Emparejando las frecuencias relativas de aparición de cada símbolo en el mensaje cifrado con el histograma de frecuencias del idioma en el que se supone está el texto claro, podemos averiguar fácilmente la clave.


Algunos ejemplos: http://darthnet.blogspot.com/2010/07/criptografia-clasica-sustituciones_19.html


Cifrados de Playfair:


Cifra de Playfair o Cuadrado de Playfair es un manual simétrico, el cifrado de Playfair es un ejemplo de sustitución digrámica, donde un par de letras de un texto en claro (mensaje sin codificar) se convierten en otro par distinto, para de esta forma codificar información que no requiera ser leída por agentes extraños a nuestro interés. El esquema fue inventado en 1854 por Charles Wheatstone, pero lleva el nombre de Señor Playfair quién promovió el uso de la cifra.


La técnica cifra pares de letras (bigramas), en vez de solas letras como en el simple cifra de la substitución y algo más complejo Cifra de Vigenère sistemas entonces funcionando. El Playfair es así perceptiblemente más duro de romperse desde análisis de frecuencia utilizado para las cifras simples. El análisis de frecuencia se puede todavía emprender, pero en los 600 bigramas posibles más bien que las 26 monografías posibles. El análisis de frecuencia de bigramas es posible, pero considerablemente más difícil - y requiere generalmente un texto cifrado mucho más grande para ser útil.


Véanse los siguientes ejemplos:

http://www.worldlingo.com/ma/enwiki/es/Playfair_cipher


Cifrado de Hill:


Este algoritmo tiene un interés didáctico importante debido al uso de matrices que en él se hace. Para cifrar usa como clave secreta una matriz cuadrada A invertible de tamaño n y con coeficiente enMonografias.comy su inversa para descifrar. Es decir con la condición de que su determinante sea una unidad del anillo Monografias.comLuego entonces el algoritmo de Hill se obtiene al transformar bloques de n caracteres en un texto cifrado a través de la relación:


C = (A · P + B) (mod 28) donde, el m.c.d (det(A), 28)

Nota: No está de más recordar que las matrices están en Monografias.comy que todas las operaciones aritméticas se realizan obviamente en la forma modulo 28. Y que los enteros modulares, por comodidad en su escritura y en las operaciones, los escribimos sin las denotaciones clásicas que convenimos en la teoría modular que se escribió arriba.


  • A es la clave secreta
  • P es un bloque de n caracteres. Es el texto claro. El texto que se va a Cifrar, P ()
  • B es una matriz nx1. Una matriz columna
  • C es la matriz columna resultante del cifrado de P. Es el texto cifrado, C ()
  • 28 es el número de símbolos del alfabeto: _ A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z _ que se corresponden con los números del 0 al 27 (el 0 corresponde al espacio en blanco separador de dos palabras)

Para ejemplos véanse:

http://en.wikipedia.org/wiki/Hill_cipher


Para resumir: es imprescindible el estudio de los sistemas criptográficos, tanto de codificación como de decodificación, es decir, la criptografía y el criptoanálisis en los pensa de estudios universitarios. Con ello se buscaría la adquisición de competencias en el área de desarrollo lógico-matemático de los estudiantes. Sin obviar los posteriores aportes a la ingeniería de software que puedan realizar los mismos en un futuro no muy lejano. Pero revisemos algunos puntos clave de los sistemas criptográficos:


  • La encriptación simétrica es una forma de criptosistemas en la cual la encriptación y el desencriptado se logran usando la misma clave. También se le conoce como encriptación convencional.
  • La encriptación simétrica transforma el texto plano en texto cifrado usando una clave secreta y un algoritmo de encriptación.
  • Los sistemas de cifrado tradicionales también conocidos como pre computacionales, usan técnicas de transposición y/o substitución. La técnica de substitución mapea el texto plano (caracteres o bits) y los convierte en elementos cifrados. Las técnicas de transposición sistemáticamente transponen las posiciones de los elementos del texto plano.


BIBLIOGRAFIA

[1] Concepto de Criptografía

http://www.microsoft.com/spanish/MSDN/estudiantes/algoritmica/criptografia/default.mspx

[2] Concepto de Criptograma

http://www.alegsa.com.ar/Dic/encriptacion.php

[3] Conceptualización Según los expertos. Paginas 2-3.

Stallings William. Cryptography and Network Solutions, Principles and Practices. Cuarta Edición. Prentice Hall 2005. 1069 p. ISBN: Print ISBN-13: 978-0-13-187316-2.


[4] Certificación CISSP

https://www.isc2.org/


[5] Historia de la criptografía

http://es.wikipedia.org/wiki/Historia_de_la_criptograf%C3%ADa


[6] Dark Age of Camelot

http://capnbry.net/daoc/advisory20040323/daoc-advisory2.html

lunes, 2 de agosto de 2010

VULNERABILIDADES EN LOS SITEMAS DE VoIP


Entendiendo las debilidades, amenazas y defensas proactivas que pueden tomarse en el desarrollo de una red bajo VoIP.


Si usted cree que su teléfono está a salvo de los hackers, se equivoca, con el analizador de protocolos Wireshark y un barrido tcp/ip es posible escuchar una conversación que tuvo lugar en su red local pocas horas antes, lo que se conoce como: Voz sobre una mala configuración de su teléfono IP. Esto es realmente un problema, y les aseguro que se trata solo de la punta del iceberg.


La forma de hacer negocios ha cambiado drásticamente desde el advenimiento de la Internet. Ahora, con nuevos protocolos de comunicación, es posible entrar al mundo de la Voz sobre Protocolo de Internet (VoIP), lo que sin duda cambiará para siempre la forma de procesar las llamadas telefónicas. Basta con mirar las numerosas ofertas de Vonage, ofreciendo un sistema de VoIP diseñado para reemplazar su teléfono común mediante el uso de la Internet para hacer llamadas locales y de larga distancia.


O veamos Skype, una versión del software de VoIP que monta su conexión a Internet, para poder hacer llamadas a sus usuarios en cualquier parte del mundo de forma gratuita. VoIP convierte las señales de audio analógicas en datos digitales que se pueden transmitir fácilmente a través de Internet. Es por eso que hay millones de usuarios de Skype, los mismos hacen millones de llamadas telefónicas por Internet al día, utilizando sus computadoras de escritorio o portátiles, un micrófono, auriculares, sus propias tarjetas de sonido, el sistema operativo Windows, y el par de software SKYPE a (P2P)


Cómo trabaja VoIP: cuando usted desee realizar una llamada usando este protocolo podrá hacerlo de tres formas diferentes:


- Usando un adaptador para teléfono analógico

- A través de un teléfono IP

- A través del uso de VoIP para redes P2P (redes Persona a persona)

Pero la telefonía usando VoIP tiene sus fallas de seguridad, a continuación se describen las más comunes y otras no tanto:


Esta discusión comienza por presentar y determinar una gran cantidad de amenazas que enfrentará la organización, y que directamente repercutirán en las prioridades de seguridad que deben tener los equipos a ser usados dentro de la empresa. Una firma comercial basará sus preocupaciones primarias en las estadísticas de fraude, mientras que las organizaciones gubernamentales deberán ocuparse en proteger la información de seguridad nacional. Para ambos casos los riesgos que convienen ser ampliamente abordados son los mismos, más no así los procedimientos de implementación. Estos riesgos pueden ser categorizados en tres tipos:


- Confidencialidad

- Integridad de la información

- Disponibilidad de la misma


Podemos recordar fácilmente estas 3 categorías con la regla nemotécnica CID, pero además los riegos más relevantes a cubrir son: fraude, riesgo de daño físico a los Switch telefónicos, daños físicos a la red, y extensiones telefónicas.


VULNERABILIDADES EN LA CONFIGURACIÓN DE PASSWORDS POR DEFECTO


Es muy común que un Switch contenga un default login/ password, o un root /root. Si este password no se cambia al momento de instalar el equipo, la misma se transforma en una vulnerabilidad de nivel primario (en muchos casos no se hace, o no se presta la suficiente atención). Al mismo tiempo se convierte en una vulnerabilidad que permite las escuchas telefónicas de conversaciones en la red con copia de puertos o puentes. Una vez que un atacante tenga acceso al conmutador de interfaz de administración, el atacante puede reflejar todos los paquetes en un puerto a otro, lo que permite la interceptación indirecta e imperceptible de todas las comunicaciones, a esto se le conoce como Wiretapping.


Son varias las formas de afrontar esta vulnerabilidad, la primera; cambiar la clave por defecto, y la segunda; desactive el acceso remoto a la interfaz gráfica de usuario para evitar la interceptación de sesiones de texto sin formato. Algunos dispositivos establecen la posibilidad de una conexión USB directa, además de acceso remoto a través de una interfaz de navegador web, otros puede cerrar sus vías de acceso. También debe considerar desactivar copia de puertos en el Switch.


VULNERABILIDADES CLÁSICAS EN WIRETTAPING (ESCUCHAS TELEFÓNICAS)


La Colocación de una herramienta de captura de paquetes o analizador de protocolos para el segmento de red VoIP facilita el proceso de interceptar el tráfico de voz. ¿Cómo se puede prevenir la intercepción? Una buena política de seguridad física para el entorno de despliegue es un primer paso que generalmente que mantiene el secreto de la comunicación y por tanto la confiabilidad. La desactivación de los hubs en los teléfonos IP, así como el desarrollo de un sistema de alarma para notificar al administrador cuando un teléfono IP se ha desconectado, permitirá la posible detección de este tipo de ataque.


ENVENENAMIENTO DE CACHÉ ARP, E INUNDACIONES ARP


Debido a que muchos sistemas tienen un bajo nivel de autentificación (en muchos casos uno solo), un intruso puede ser capaz de iniciar sesión en un equipo en el segmento de red VoIP, y luego enviar los comandos ARP caché y corromper los ARP del remitente (s) o del segmento de tráfico deseado. El intruso puede incluso llegar a activar la IP. Un ataque de inundación de ARP en el Switch de la red podría hacerlo vulnerable a la escucha de conversaciones. El acto de aplicar un broadcast y asumir una réplica ciega (es decir, se inunda el tráfico con mensajes de broadcast pero no se toman en cuenta las respuesta, lo que ocasionaría un bucle infinito) es suficiente para corromper a muchas cachés ARP.


Por la corrupción de la caché ARP, el atacante puede ahora redirigir el tráfico para interceptar voz y datos. Para evitar este tipo de ataques, los mecanismos de autenticación previstos, deben incrementarse, además de su uso siempre que sea posible y limitar siempre el acceso físico al segmento de la red VoIP.


INTERFACES DE SERVIDORES WEB


Los conmutadores VoIP y terminales de voz es probable que tengan una interfaz de servidor web para la administración remota o local. Un atacante puede ser capaz de olfatear texto sin formato en paquetes HTTP para obtener información confidencial. Esta acción debería darle acceso a la red local donde reside el servidor. Para evitar este tipo de ataque, si es posible, no utilice un servidor HTTP. Si es necesario utilice un servidor web para la administración remota, además, use HTTPS (HTTP sobre SSL o TLS) como protocolo.


VULNERABILIDADES EN LA MASCARA IP DEL TELEFONO


Un efecto similar a la vulnerabilidad de caché de ARP puede ser alcanzado por un atacante al asignar una máscara de subred y la dirección del router al teléfono. El atacante se las ingenia para que esas direcciones o todos los paquetes que transmite el teléfono sean enviadas a la dirección MAC del atacante.

El reenvío IP puede hacerse de la intrusión en todos los eventos, pero son casi imposibles de detectar. La instalación de un firewall con mecanismos de filtrado puede reducir la probabilidad de este ataque. El acceso remoto a los teléfonos IP es un riesgo grave.