Usando la autentificación de dos factores (2FA) con Google Authenticator y Perl

Jugando un rato con la aplicación de Google Authenticator (disponible para Android e iOS), hice un pequeño programa en Perl que te permite utilizar la mencionada app.

Este programa utiliza un algoritmo conocido como TOPT (Time-based One-Time Password)

Usa las siguientes librerías:

  • Auth::GoogleAuth que consolida varias funciones comunes para que lo manejes como objetos
  • Convert::Base32 para la conversión de tu clave secreta a un hash base 32
  • Imager::QRCode para generar un jpg con el código QR para que suscribas tu programa a la aplicación de Google Authenticator. Es importante que tengas instaladas la librerias de jpeg, o bien, instalar imager desde tu manejador de paquetes (apt-get, yum, etc.) o CPAN

si invocas el programa sin parámetros te dará está información:

Usage:

    1) for Gogle authenticator verification:

       ./two_factor.pl [Code]

    2) To generate qr code for suscribe on Google Authenticator app:

       ./two_factor.pl -qr

       The file is named 'two_factor.jpg'

    3) print all info (passphrase, base32, issuer and key_id):

       ./two_factor.pl -info

    4) print One Time Password like the Google Authenticator app:

       ./two_factor.pl -code

y el código del programa “two_factor.pl” a continuación…
Continue reading “Usando la autentificación de dos factores (2FA) con Google Authenticator y Perl”

Firma de llaves

Estaba googleando en un servidor de llaves y me di cuenta que hace algunos años era muy popular el deporte del intercambio de llaves pero recientemente se ha ido perdiendo.

Con el ánimo de reavivar ese deporte, ahí les dejo la llave que estoy usando ahorita 4096R/E674310B por si a alguien le interesa estampar su firma. El fingerprint ya saben cómo obtenerlo y si no saben cómo localizarme para verificarlo sería estúpido el puro hecho de pensar en firmar una llave que no ha sido verificada y que no sabemos si en realidad pertenece a quien dice pertenecer.

En reciprocidad a este ofrecimiento espero comentarios a esta nota con sus llaves actuales y a quienes yo conozca (y cuya llave quiera yo firmar) buscaré para verificar el fingerprint preferentemente en persona y con una cerveza en la mano.

¡Al borde del caos! la Gestión de Vulnerabilidades sin herramientas adecuadas.

Las actividades que no logramos sistematizar y volver repetitivas a través de mucha disciplina en muchos aspectos de la vida, tienen el potencial de evitarnos muchos dolores de cabeza, y en materia de seguridad informática no está exenta de estas situaciones y un ejemplo muy claro es el tema que trataremos el día de hoy; Gestión de Vulnerabilidades.

¿Cuándo fue la última vez que realizo algún análisis de vulnerabilidades a su infraestructura critica de informática?, ¿en concordancia a los resultados de su último análisis que acciones tomo de acuerdo al riesgo/vulnerabilidad encontrada?, ¿se aseguró que sus subalternos siguieran el plan de acción definido?
Continue reading “¡Al borde del caos! la Gestión de Vulnerabilidades sin herramientas adecuadas.”

¿TOR?!

La foto de Edward Snowden donde se puede apreciar que en su computadora tiene un sticker del proyecto TOR https://twitter.com/kurtopsahl/status/343828314294714368/photo/1 ha puesto en el mapa nuevamente a esta importante iniciativa que impulsa la privacidad de los usuarios de internet como nosotros, ahora que ya está confirmado que el Gobierno de varios países rastrean y realizan vigilancia sobre el tráfico generado en el internet con lo que a través de un sencillo análisis de tráfico que un usuario genera en el Internet se puede perfilar perfectamente teniendo a la mano referencias con la que se pueden determinar preferencias sexuales, religión, enfermedades (estos 3 como datos clasificados como de alto grado y sensibles para privacidad de datos), financieros, domicilio de lugares frecuentes para conectarse al internet (geo localización).
Continue reading “¿TOR?!”

CFP BugCON 2013 @ Ciudad de México

-[ BugCON Security Conference: Safety is just a myth…! ]-

Call For Papers – BugCON 2013

_ .-. _
/o`\^/`o\
|o o | o o|
\o _|_ o/
`(@I@)`
/^\

–[ Descripción

BugCON 2013 se llevará acabo en la Ciudad de México del 13 al 15 de Febrero de 2013.

—-[ Historía
Continue reading “CFP BugCON 2013 @ Ciudad de México”

¿Vale la pena tomar una certificacion CEH?

¿Vale la pena tomar una certificacion CEH (ethical hacking)?

Ando pensando en tomar esta certificacion, me gustaria conocer la opinion de los cofrades y saber si vale la pena o no.

Me comentan que es una metodologia, y no se aprendera sobre un producto, ya sea linux, windows, sun u otro SO.

Muchas gracias por los aportes.

Seguridad en SSL/TLS comprometida

@Tacvbo me hizo notar esta noticia publicada en Slashdot que para muchos pasó desapercibida, pero es de suma importancia, ya que la seguridad en SSL/TLS está comprometida en la mayoría de los browsers, solo se encuentra las versiones beta de Chrome seguras.

Hay que actualizar también OpenSSL, hay una actualización que corrige potenciales problemas de seguridad: Two security flaws have been fixed in OpenSSL 1.0.0e

el esquema de TLS 1.0 y SSL 2.0 son vulnerables y permiten al atacante robar cookies que deberían estar cifradas.

Por el momento es necesario usar navegadores que soporten los nuevos esquemas de SSL y TLS y esperar las actualizaciones de los browsers populares.