Estamos otra vez en Fiestas y desde Seguridad Informática a lo Jabalí deseamos unas ¡Felices Fiestas!! a casi tod@s, este año ha estado repleto de vulnerabilidades muy graves, descubrimientos y proyectos de seguridad y hacking pero tambien de escándalos, robos y sinvergüenzas que se levantaban millones (cuando ya tenían la vida mas que resuelta) mientras otros pasan hambre y necesidades...
Y después nos llaman "hombres de negro" o "piratas informáticos", esos, los de "las tarjetas black, los paraísos fiscales y demás" y como guinda a este pastel el "pequeño Nicolás" que cuanto menos deja en entredicho a la mitad de los organismos del estado.
En mi caso, seguimosimpartiendo clase y procurando despertar esa curiosidad por descubrir como funciona la tecnología en cada uno de mis alumnos, en una profesión tan hermosa como es la informática, las telecomunicaciones y el hacking.
El 16 y 17 de Mayo se celebro la segunda edición de X1RedMasSegura 2014 y teníamos pendiente publicar por aquí el vídeo con mi participación en el evento. Aprovecho para recordaros a todos que ¡Ya están!! "Arrancando motores para X1RedMasSegura 2015" Así que ir reservando fechas para poder asistir al evento...
Entre tanto tenéis los enlaces a las charlas de la edición de este año...
El blog de Seguridad Informática Jabalí ha sido premiado en la segunda edición de los Premios ESET Héroe digital, hecho que nos produce una inmensa alegría por las constantes muestras de aprecio de los lectores de este blog y por el cariño que tenemos al equipo de Ontinet.
Muchas GRACIAS a ESET España y especialmente a Josep Albors, Fernando de la Cuadra y Yolanda Ruiz, ademas de por este premio por estar en todo momento apoyando eventos de seguridad informática y hacking, fomentando conferencias, debates, charlas y talleres por toda la geografía de esta vieja piel de toro. ¡Que GRANDES sois, MESTR@S!!
También quiero agradecer la ayuda de Angel Pablo Avilés más conocido como "El Maldito @Angelucho"con el que siempre se puedes contar, casi siempre a costa de su tiempo libre y ademas con un humor increíble, muchas GRACIAS amigo!!
No voy a escribir sobre la definición de Hacker, ni sobre ideologías de los profesionales y apasionados que se identifican con ese término. Lo que me gustaría expresar es el
respeto por la palabra Hacker, un adjetivo
que te deben asignar los demás y en general se otorga como reconocimiento al saber.
La RAE define el término Hacker:
Piratas informáticos. Y sinceramente, no me parece justo, hay una campaña para
solicitar que se cambie esta definición, quiero pedirte tu firma y tu ayuda para
difundir esta campaña. Aunque tu profesión no este relacionada con la seguridad informática, difunde esta campaña, por redes sociales, en tu blog con tus amigos, porque con los hackers estamos mas seguros todos.
Petición dirigida a: Real Academia de la Lengua Española
Al
contrario de lo que muchas veces se difunde en películas,
los hackers dedican innumerables horas en investigaciones que difunden en beneficio de la sociedad. Muchos de los protocolos y/o tecnologías
que utilizamos fueron desarrollados por hackers, los
mismos que enfrentan a las multinacionales con los errores de sus
productos para que nuestras comunicaciones sean más privadas, pero también para que los aviones, los sistemas industriales y las infraestructuras de nuestras ciudades sean más seguras.
Hay hackers trabajando en
organismos gubernamentales, participan en la sociedad como asesores de jueces y
periodistas en materias tecnológicas, enseñando a las fuerzas de seguridad del
estado y es habitual su presencia en diferentes eventos, talleres y
conferencias hablando de seguridad informática de forma desinteresada.
En la mayoría de los casos
los hackers, los de verdad, no se sienten diferentes o más especiales que el
resto de ciudadanos, me quedo con una frase de uno de los Hackers que más
respeto…
La diferencia para el hacker, no es que tenga más recursos o sea más
inteligente o disponga de más tiempo, la diferencia es que el hacker no duerme,
cuando se propone resolver un problema o vulnerar un sistema o realizar una investigación
sobre un protocolo estará ahí hasta que logre su objetivo.
Con el título Introducción a Bitcoin, se ha publicado la tercera y última lección del curso de Sistemas de Pago Electrónico en el MOOC Crypt4you, siendo sus autores los profesores de la Universitat de les Illes Balears María Magdalena Payeras, Andreu Pere Isern y Macià Mut, miembros del grupo de Seguridad y Comercio Electrónico http://secom.uib.es/ SeCOM.
El objetivo de esta lección es el de ofrecer una introducción a los conceptos básicos de Bitcoin, así como a algunos puntos importantes que afectan a su funcionamiento. Como en todo medio de pago, la seguridad y la privacidad son dos requisitos indispensables, por lo que se analizarán los mecanismos que propone Bitcoin para mantener la seguridad, la privacidad y otros requisitos de todo medio de pago. No obstante, Bitcoin también plantea una serie de inconvenientes o escepticismos que por supuesto conviene analizar.
Temario lección 3: Apartado 3.1. Introducción a Bitcoin Apartado 3.2. Conceptos criptográficos básicos Apartado 3.3. Conceptos del protocolo Bitcoin - 3.3.1. Dirección - 3.3.2. Monedero - 3.3.3. Transacción - 3.3.4. Bloque - 3.3.5. Cadena de bloques (Block chain) - 3.3.6. Algoritmo de proof-of-work - 3.3.7. Minería - 3.3.8. Exchanges Apartado 3.4. Estadísticas de la red Apartado 3.5. Críticas y excepticismo Apartado 3.6. Monedas digitales alternativas Apartado 3.7. Conclusiones Apartado 3.8. Ejercicios Apartado 3.9. Referencias bibliográficas
Utilizar una presentación mediante diapositivas es una de las prácticas más frecuente, en congresos y conferencias es habitual que alguien configure la infraestructura para el evento y solo tengas que conectar tu equipo a un conector VGA o HDMI para tu exposición.
En entornos
pequeños cuando impartes un curso o realizas una presentación nunca sabes que
te puedes encontrar, unas veces hay un proyector otras TV, a veces los equipos
disponibles no funcionan correctamente o no disponen del software para
reproducir la presentación, lo que se viene denominando “los fallos del directo”.
En mi caso particular intento duplicar recursos: preparo presentaciones en PowerPoint pero llevo una copia en PDF,
almaceno el material que voy a utilizar en el equipo y en algún dispositivo extraíble, además llevo un portátil pequeño que me ha salvado el día más de una vez.
En este escenario tenemos un nuevo dispositivo
que me parece muy interesante, Microsoft Wireless Display Adapter es un
conector que dispone del software integrado para realizar una conexión Wireless
y reproducir contenido mediante HDMI en una pantalla, una opción muy interesante para
olvidarnos del cable y la distancia hasta la pantalla o el proyector.
En la actualidad las cuentas en distintos servicios son una parte muy importante de nuestras vidas y en la mayoría de los casos solo están protegidas por una contraseña (no muy robusta) y un sistema de recuperación de cuentas que aun debilita mas el sistema ¿El nombre de la mascota de Paris Hilton?
En
este escenario el equipo de Eleven Paths propuso un acercamiento diferente al
problema, un dispositivo que permite bloquear nuestras cuentas aunque se
conozca la contraseña, un cerrojo que además nos informa si alguien trata de
acceder a nuestra cuenta. Esta solución se llama Latch.
¿Cómo
funciona?
Utilizar
Latch (StepByStep) es extremadamente sencillo y esta es otra de sus grandes
ventajas, asociamos las cuentas que deseamos proteger a nuestra cuenta de Latch
y con un simple gesto las bloqueamos o desbloqueamos para poder utilizarlas. Una
vez que nuestras cuentas están aseguradas se nos informa de cualquier intento
de intrusión, observa en la imagen (a la derecha la pantalla del teléfono móvil).
En este
caso se utiliza una cuenta del Nevele Bank, un simulador de una cuenta bancaria
que el equipo de Eleven Paths a publicado para que podamos probar la aplicación.
En la imagen (click para aumentar) se aprecia que aunque utilices la contraseña el servicio bloquea el acceso
Esta solución puede configurarse para bloquear partes mas especificas de una aplicación, en este ejemplo se permite acceder a la cuenta pero se bloquean los movimientos bancarios.
Vamos
a tratar de transferir una cantidad al banco de un político X, el concepto del
pago “Cenas de trabajo” algo habitual, que pase desapercibido.
En
efecto, nuestro cerrojo (Latch) bloquea la transferencia, es una lástima que en
”ciertos entornos mas políticos que informáticos” la solución no sea tan
eficaz!!
Ahora para verificar que el bloqueo estaba funcionando, enviamos una "propinilla" a Suiza y comprobamos que con el servicio desbloqueado (imagen de la derecha) se produce la transferencia de forma correcta.
Una aplicación muy interesante para proteger tus identidades digitales y servicios en la Red, gratuita para uso particular y si quieres proteger tu modelo de negocio habla con el equipo de Eleven Paths para que Latcheen tus aplicaciones.