Leo en The Register la nota ‘Severe’ OpenSSL vuln busts public key crypto en la que mencionan la posibilidad de obtener el componente privado de una llave de RSA.

Sin embargo mencionan que el método radica en crear pequeñas fluctuaciones de energía en la alimentación del dispositivo que hace el intercambio criptográfico, para crear errores que dan partes de la llave original. Mencionan que toma cerca de 100 horas poder obtener una llave de 1024 bits.

En lo particular se me hace improbable, ya que si quieres atacar un servidor al cual no tienes acceso físico para “generar” estas “fluctaciones” de energía, es imposible tener resultados de un algoritmo criptográfico.

La liga a la página web del proyecto OpenSSL.

De un tiempo a la fecha he estado enfrentando nuevos retos en el área de tecnologías de seguridad.

Recientemente, en una plática que dí a unos colonos del municipio de García, Nuevo León, afectados por los robos constantes, me preguntaron acerca de dotar a la vigilancia de la colonia con un sistema de monitor de alarmas para respuesta inmediata y que a su vez se enlazara a los sistemas de una empresa privada o del destacamiento de policía correspondiente.

Estuve viendo aplicaciones como WinSAMM, Securithor y Moni, pero además de correr en Windows, tienen un costo elevado (las primeras 2) o no soportan las unidades receptoras más conocidas o tienen usos específicos.

Pues bien, quisiera saber si existe (ya anduve por FM y SF y no he visto nada que sea relacionado). Alguien me ha hablado de sistemas de monitoreo de CCTV sobre GNU/Linux, pero nada parecido a los sistemas de monitoreo de alarmas que soporten al menos protocolos como SIA o ContactID.

Si alguien conoce algún proyecto interesante, toda información será apreciable.

El PAN realizó en días pasados una consulta a los ciudadanos del Distrito Federal para conocer su opinión sobre los matrimonios y adopciones homosexuales. Este partido hizo públicos los resultados oficiales el lunes 25 de enero, desglosando los votos que recibieron físicamente, por Internet, vía telefónica y por SMS. Sin embargo, el martes hubo una controversia en Twitter debido a que los usuarios de esta red social se percataron de que en la página alojada en la dirección http://www.pandf.org.mx/quieroopinar/contador_resp.php (misma que ya fue eliminada pero se puede ver su caché en Google) se reportaban resultados obtenidos en las votaciones por Internet que no concordaban con los que el PAN había hecho públicos.

El PAN dijo a la prensa que había recibido un total de “987 mil 326” votos pero en la página descubierta por los twitteros se reportaba un total de tan sólo 475,789 votos. Fue posible descubrir esta página debido a que los administradores del sitio panista simplemente renombraron el archivo index.php sin cuidar que el servidor ocultara el contenido de la carpeta donde se alojaba la encuesta. Aquí hay una reseña más completa de lo sucedido.

Desde el punto de vista técnico, ¿qué opinan de esta controversia?

Leyendo varias notas sobre las pruebas e implementaciones de esquemas de voto electrónico, me quede pensando si nuestra sociedad esta preparada para la adopción de este tipo de tecnologías.

Hoy en día al menos se cuenta con material físico (las boletas) con las que se puede llegar a hacer una auditoría, pero en una sociedad como la nuestra, que se caracteriza por ser mas opaca que transparente en sus procesos. Y aún con este testigo de las votación, las autoridades no dan posibilidad a la ciudadanía el poder revisar estos datos.

(more…)

El 20 de enero, microsoft notificó la existencia de una falla de seguridad en la maquina virtual DOS,  esta falla permite al nucleo NT, ejecutar codigo arbitrario, permitiendo la escalada de priviliegios, y por consiguiente, que cualquier codigo malicioso, se apodere de la computadora comprometida. Dicha falla, data de Widows NT 3.1, y afecta a toda la serie NT, incluyendo Windows 2000, XP, Vista y Windows 7. ¿La Solucion?, Desabilitar La maquina Virtual DOS.

La Nota aquí.

Aunque puede haber algunas ventajas al registrarte (tu y tu producto) al hacerlo tus datos quedan a la vista de cualquiera. Datos como tu nombre completo, direccion completa, edad, correo electronico, lugar de trabajo, y chance buscandole un poco el producto que estas registrando (¿ya vieron cuanto cuesta la 5D Mark II?)
(more…)

BugCON Security Conference es un evento que apunta a ser un evento sobre Seguridad Informática diferente en México; la idea es ofrecer un lugar donde los investigadores puedan mostrar sus ultimas investigaciones y proyectos, dejando a un lado los formalismos innecesarios y con un alto nivel técnico.

Este año BugCON se celebrará los dias 12, 13 y 14 de Agosto en instalaciones del Instituto Politécnico Nacional. A partir del día de hoy ya se encuentra abierto el registro de asistentes, y dentro de un par de semanas mas publicaremos el calendario final de conferencias y talleres.
(more…)

Nos mandan un artículo introductorio a las técnicas de esteganografía (esconder información dentro de otra):

Some of the more nefarious Steganography tactics include hiding information for illegal reasons. In fact, organizations such as Al-Qaeda and other terrorist are known to use this process to hide information in harmless images hosted on Web sites. Learn whats at stake and how to detect and thwart Steganography techniques and blunt its effectiveness.

Como casi cada mes les traemos ya la información acerca de la próxima reunión de la comunidad, los detalles a continuación…

Recuerden que es un evento totalmente gratuito al que cualquiera puede asistir, solo hacen falta ganas de aprender o aportar conocimiento, además de conocer a la demás gente que gusta del lenguaje de programación Java!

Es un honor para nosotros contar con los siguientes ponentes:
(more…)

Nos manda la gente del UNAM-CERT una invitación a un seminario sobre actualizaciones de seguridad:

(more…)