sábado, 28 de marzo de 2015

Renovando Certificados Digitales

Hoy aprovechando que tenemos un poquito mas de tiempo y ya que pillamos a LinkedIn justo en la renovación de certificados digitales .... hablemos de la validez de estos elementos. Los certificados digitales son uno de los mejores aliados para una navegación segura o en el caso de un sistema operativo basado en tecnologías Microsoft también la ejecución de software.

Aunque a lo largo de la historia algunos algoritmos de cifrado se han roto (en muchos casos mas por una mala implementación informática o error de diseño de aplicación que por el propio algoritmo criptográfico) y algunas autoridades certificadoras fueron vulneradas, el cifrado y los sistemas de clave publica son algunos de los elementos técnicos mas sólidos de la seguridad informática.

 

Los elementos para que un certificado digital sea valido son: El periodo de validez y esto nos puede dar problemas si de repente el equipo se cambia de fecha como muy bien explica nuestra compañera Sofía en su blog El Sonido de los Bytes cuando por ejemplo se "nos acaba la pila".

En el caso de LinkedIn el error salto por un certificado que había espirado como se puede apreciar en la imagen. Otro de los elementos imprescindible para que un certificado sea valido es que tanto el nombre como el propósito del certificado coincidan con los datos de este al ser emitido.

Por ultimo el certificado debe conectar (vía web, ldap, etc) con alguna entidad acreditada que permita verificar que ese certificado en concreto no esta incluido en ninguna lista de revocación de certificados (crl).

En el momento de generar cada certificado deben definirse estos elementos, aunque no siempre se hace bien como el amigo Yago Jesús comenta en Security By Default.

En el caso de LinkedIn podemos extraer la ubicación de donde se consulta esa lista... y descargar la lista de certificados revocados.
 

Es interesante conocer algunos detalles de los certificados digitales, un elemento que ayuda tanto en la seguridad informática, la navegación y otros procesos, de forma segura. Espero que os gustara el post XD
  
Seguridad a lo Jabalí para Todos!!

lunes, 16 de marzo de 2015

Recomendaciones TheHackerWay

Hoy "vengo a hablaros de sus libros", entre otras muchas cosas y es que Daniel Echeverri Montoya por aka Adastra es de esos cracks con los que igual puedes aprender a romper una wifi, auditar una web, codear en python o darte un paseo por los sitios mas interesantes de la deepweb.

Este gran informático es el autor del blog The Hacker Way (THW): Seguridad en Sistemas y Técnicas de Hacking.

Y de dos de los libros mas interesantes de la editorial 0xWord:

Daniel ha participado en la Rooted CON 2015 con el lab: Utilizando Python para hacking y pentesting.

La recomendación es que sigas su blog, su twitter @jdaanial y desde luego leas sus libros, de los que hablaremos en Seguridad Jabalí porque nosotros si que seguro nos los vamos a leer...


Seguridad a lo Jabalí para Todos!!

viernes, 13 de marzo de 2015

Hack IN Beer

Uno de los conceptos mas repetidos en congresos y conferencias de seguridad y hacking es la búsqueda del conocimiento, la solución de problemas y desafíos de formas no siempre ortodoxas, en definitiva compartir técnicas y descubrimientos...

Otra de las ideas mas repetidas es que el hacking no tiene porque ser aplicado siempre en un entorno informático, aqui os dejo una técnica de hacking muy, muy útil y no es informática....
 

This is Hacking!!

Un vídeo excelente para las presentaciones de otro proyecto increíble que os recomiendo si os interesa la seguridad informática y el Hacking: Hack&Beers

Seguridad a lo Jabalí para Todos!!

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias