Noticias

Vídeo "Malware en Android y Google Play" de Sergio de los Santos en XI Ciclo Conferencias UPM TASSI 2015

Hispasec - hace 8 horas 12 mins
Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid, la sexta conferencia del XI Ciclo UPM TASSI 2015, Temas Avanzados en Seguridad y Sociedad de la Información, de título "Malware en Android y Google Play", presentada el 16 de abril de 2015 en el Campus Sur de la Universidad Politécnica de Madrid por D. Sergio de los Santos, de Eleven Paths.
Acceso al vídeo de la conferencia: https://www.youtube.com/watch?v=Xc9iYxKdUlA
Desde la sección conferencias TASSI del servidor de Criptored, puede descargar además la presentación en pdf utilizada por el ponente y las demás conferencias de este ciclo ya publicadas, así como las de años anteriores.
Presentación: http://www.criptored.upm.es/descarga/ConferenciaSergioDeLosSantosTASSI2015.pdf
XI Ciclo TASSI: http://www.criptored.upm.es/paginas/docencia.htm#TASSI2015


Jorge Ramió Aguirre Coordinador conferencias TASSI

Categorías: Seguridad

Honor 6+, con su innovadora cámara dual, está ya disponible en PC Componentes, Amazon, Redcoon y Media Markt online

Canal PDA - hace 18 horas 19 mins
El nuevo Honor 6+ ya está a la venta en España. Se puede adquirir en PC componentes, Redcoon, Amazon y Media Markt online a un precio de 399,99 euros. El compromiso de la compañía con la oferta de smartphones de alta calidad para nativos digitales se materializa con el Honor 6+. El nuevo terminal ofrece […]
Categorías: PDA / PPC

Siete pasos para evitar ataques de phishing en tu cuenta de Facebook

Canal PDA - hace 19 horas 24 mins
El phishing es un tipo de ataque contra la información personal que viene en forma de un mail falso o página web que parece ser legítimo pero que en realidad no lo es. Por ejemplo, un usuario puede recibir un mail que tiene el aspecto de un típico mensaje de Facebook, pidiéndole que restablezca su […]
Categorías: PDA / PPC

LG y Vodafone España anuncian la venta anticipada en la tienda online de Vodafone de LG G4, el smartphone con la mejor cámara hasta la fecha

Canal PDA - hace 20 horas 6 mins
Vodafone España y LG anuncian la venta anticipada desde hoy en la Tienda Online de Vodafone de LG G4, el smartphone con la mejor cámara hasta la fecha. Los clientes de Vodafone que adquieran el smartphone en venta anticipada en la Tienda Online recibirán una funda inteligente de regalo hasta el 1 de junio y […]
Categorías: PDA / PPC

Ruckus Wireless potencia el Wi-Fi de acceso público seguro y de calidad con Hotspot 2.0 Release 2

Canal PDA - hace 21 horas 32 mins
Ruckus Wireless, Inc. (NYSE: RKUS) ha presentado en el Wi-Fi Global Congress organizado por la Wireless Broadband Alliance (WBA) los primeros productos disponibles con certificación Wi-Fi Alliance (WFA) Passpoint ™ para Hotspot 2.0, Release 2, que transforman la forma en la que las organizaciones permiten a los usuarios conectarse de forma segura a los nuevos […]
Categorías: PDA / PPC

Filtros de privacidad y protectores de pantalla 3M

Canal PDA - hace 21 horas 41 mins
A medida que aumenta el trabajo móvil y el uso de terminales inteligentes, también se incrementa la necesidad de seguridad en el acceso a información confidencial o privada en zonas públicas y espacios con mucho tránsito de personas.Por ello, 3M ofrece una gama completa de filtros de privacidad y protectores de pantalla para proporcionar una […]
Categorías: PDA / PPC

Cómo los filtros de las fotos generan más interés e interacción en los usuarios

Canal PDA - Jue, 21/05/2015 - 16:15
Prácticamente todas las aplicaciones fotográficas actuales, desde Flickr hasta Instagram pasando por la cámara incorporada de iOS, cuentan con la opción de incluir filtros en las imágenes. Puedes sacar una foto y con un toque hacer que parezca rojiza, que sea en blanco y negro, o que parezca envejecida. En la actualidad, lo habitual es […]
Categorías: PDA / PPC

Nuevo estudio: algunas cuestiones difíciles sobre las ‘Preguntas de Seguridad’

Canal PDA - Jue, 21/05/2015 - 15:18
¿Cuál fue el nombre de tu primera mascota? ¿Cuál es tu comida favorita? ¿Cuál es el nombre de tu madre? ¿Qué tienen en común estas preguntas aparentemente aleatorias? Todas ellas son ejemplos conocidos de ‘preguntas de seguridad’. Es posible que hayas tenido que contestar alguna de ellas, ya que numerosos servicios en Internet las utilizan […]
Categorías: PDA / PPC

Logjam, el hacedor de llaves en el reino de las cerraduras cobardes

Hispasec - Jue, 21/05/2015 - 13:43
Al pilar que sostiene la privacidad de nuestras comunicaciones le ha salido una nueva grieta que vuelve a amenazar la integridad y el secreto que percibimos como seguros. Un golpe a la criptografía bautizado Logjam que demuestra (otra vez) la fragilidad de un sistema vital para la confianza. Veamos en qué consiste Logjam.
https://weakdh.org/En toda comunicación segura existe un momento crítico al principio de la conexión. Ambas partes han de ponerse de acuerdo en la clave que van a utilizar para el uso de cifrado simétrico. El problema no era sencillo, más teniendo en cuenta que el medio por el que iban a viajar los mensajes para coordinar la elección de dicha clave era y es hostil: Internet.
A mediados de los años setenta, aparte del éxito de las patillas de hacha y los pantalones de campana, unos científicos propusieron un método de intercambio de claves, aunque sería más apropiado decir "método de acuerdo de clave compartida", para solucionar el problema de intercambio inicial de mensajes entre dos partes a través de un canal inseguro. El método se conoce popularmente como Diffie-Hellman(si, suena a dúo de folk rock de los años 60), nombre derivado de sus autores: Whitfield Diffie y Martin Hellman. Según este último habría que añadir a Ralph Merkle como coautor del protocolo.
La base de este protocolo se basa en la dificultad de cálculo del logaritmo discreto de la forma g^a mod p, es decir, averiguar 'a'. Su análogo sería el problema de factorización de números primos que forma la base del algoritmo de clave pública RSA.
Diffie-Hellman se asienta en la forma que hemos visto: g^a mod p. Donde g y p son valores conocidos por ambas partes, es decir, no son valores secretos y pueden ser conocidos por todos. p es un número primo relativamente grande y g es una base matemáticamente relacionada con p (no vamos a profundizar en detalles). Pues bien, aun conociendo g y p, existe una dificultad computacional en hallar el exponente 'a', que es el secreto que va a añadir cada una de las partes.
La parte Alfa enviará a Bravo un valor que será A = g^a mod p. De manera correspondiente Bravo enviará a Alfa su contraparte: B = g^b mod p.
Ahora cada una de las partes tiene un valor que contiene el componente secreto de la otra.
La "magia" de todo esto es que volviendo a aplicar la fórmula sobre los valores intercambiados, ambos tendrán el mismo número, que llamaremos S:
Alfa hará esto:
S = B^a mod p
Bravo por su parte:
S = A^b mod p
Ese número 'S' será la clave "elegida" por ambos. Observemos que en ningún momento 'S' ha sido enviado por el canal, se trata de una derivación que ambas partes pueden hallar de manera común aplicando sus respectivos secretos sobre resultados "imposibles" de computar…hasta hoy…
Entonces llegó un grupo de investigadores de varias universidades junto con gente de la división de investigación y desarrollo de Microsoft. Pensaron que sería buena idea echarle un vistazo a esa tecnología setentera y ver como aguanta los avances en potencia de cálculo y algoritmos de 2015.
En primer lugar se las ingeniaron para lograr un nuevo ataque que degrada las conexiones TLS al uso de Diffie-Hellman en su versión "exportable" (DHE_EXPORT). Esta versión era la que estaba autorizada en los años 90 por la administración Clinton para productos que usaran tecnología de cifrado. Cómo no, esta versión usa primos de hasta 512 bits, una longitud que veremos es insuficiente. Con este ataque, que recuerda poderosamente a FREAK, se aseguraban que las conexiones seguras de una gran mayoría de clientes y servidores usarán Diffie-Hellman con 512 bits.
El siguiente paso era obtener una "base de datos" de cálculos ya efectuados de los primos más usados de 512 bits para esa versión descafeinada de Diffie-Hellman. Con los recursos de cálculo de una universidad, tardaron un par de semanas en obtener estas tablas precalculadas para los dos primos de 512 bits más usados.
Esos dos primos de 512 bits por cierto, son los usados por el servidor Apache y su módulo SSL (mod_ssl). Como ponen de ejemplo, el 8% del índice Alexa del top 1M HTTPS permite o soporta el uso de DHE_EXPORT y usan uno de estos dos primos de 512 bits en un 92% de casos.
Ahora ya solo les queda "escuchar" el resultado de g^a mod p, preguntar en su base de datos y calcular 'a'. Cuando obtienen la forma derivada g^ab mod p, donde 'ab' es la clave usada ya poseen el secreto para descifrar las comunicaciones.
Esto es un resumen a muy alto nivel del ataque. Os invitamos a leer la publicación del grupo de investigadores disponible aquí.
Algo que no pasó por alto al grupo era preguntarse hasta que punto era posible utilizar la misma técnica para valores de 768 y 1024 bits. Básicamente admiten que 768 bits puede alcanzarse de manera realista con una potencia de cálculo distribuido disponible en empresas y universidades y dejan los 1024 bits para organizaciones con muy buenos recursos y dedicados a estos menesteres de manera profesional, léase, la NSA por ejemplo.
No solo lo mencionan en la publicación que describe Logjam. El grupo de investigadores correlacionan directamente las filtraciones de Edward Snowden con la capacidad de la NSA para descifrar comunicaciones VPN usando este tipo de ataque. Casi nada.
¿Qué hacemos ahora? No nos queda otra opción. Es siempre la misma. Parchear y seguir adelante. Este no va a ser el último ataque a la criptografía, al secreto de las comunicaciones y a nuestra privacidad. Esto es una piedra más en el camino como tantas otras piedras llamadas FREAK, CRIMEo POODLEy las que quedan por venir.
Por cierto, a los descubridores se les ha olvidado algo "importantísimo". Logjam no tiene un logo molón.
Más información:
Logjamhttps://weakdh.org/
Imperfect Forward Secrecy:How Diffie-Hellman Fails in Practicehttps://weakdh.org/imperfect-forward-secrecy.pdf
una-al-dia (03/03/2015) FREAK, un nuevo ataque a SSL/TLShttp://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html
una-al-dia (15/10/2014) SSL tocado y hundidohttp://unaaldia.hispasec.com/2014/10/ssl-tocado-y-hundido.html
una-al-dia (07/08/2013) Ataque BREACH, la seguridad HTTPS comprometida en 30 segundoshttp://unaaldia.hispasec.com/2013/08/ataque-breach-la-seguridad-https.html


David Garcíadgarcia@hispasec.comTwitter: @dgn1729
Categorías: Seguridad

Huawei presenta la arquitectura Agile Network 3.0

Canal PDA - Jue, 21/05/2015 - 12:35
Bajo la temática ‘De la agilidad a la imaginación’, Huawei ha presentado la arquitectura Agile Network 3.0 en Huawei Network Congress 2015 (HNC), celebrado en Pekín (China). Destacando su última versión de la arquitectura Agile Network, la compañía ha presentado la solución Agile para el Internet de las Cosas (IoT, por sus siglas en inglés), […]
Categorías: PDA / PPC

Huawei presenta su infraestructura TIC orientada a empresas

Canal PDA - Jue, 21/05/2015 - 12:33
Durante el congreso anual Huawei Network Congress 2015 (HNC), Huawei ha presentado el principio rector que guiará al mercado en la construcción de infraestructuras TIC para empresas (Business-driven ICT Infraestructure, BDII por sus siglas en inglés). Con un enfoque innovador, éste mostrará el camino hacia la próxima revolución industrial mediante la integración de la infraestructura […]
Categorías: PDA / PPC

Disfruta en familia con la nueva Tablet Quad Core 3G de 10” de Manta

Canal PDA - Jue, 21/05/2015 - 11:50
Este verano disfruta de un verano redondo con lo nuevo de Manta, una fantástica Tablet de 10 ”con Quad Core, 1.4 Ghz, 3G, Wifi, Bluetooth y función teléfono a través de la incorporación de un sistema DUAL SIM que te permitirá disfrutar en familia de toda la diversión y con las máximas prestaciones técnicas. ¡El […]
Categorías: PDA / PPC

Gameloft y Fox Digital Entertainment anuncian el lanzamiento de Ice Age: La Avalancha para smartphones y tabletas

Canal PDA - Jue, 21/05/2015 - 11:46
Gameloft, compañía líder en publicación de juegos digitales y sociales, y Fox Digital Entertainment, filial de Twentieth Century Fox Filmed Entertainment, han lanzado al mercado Ice Age: La Avalancha, un innovador juego que cuenta con los héroes glaciales favoritos de todo el mundo en una nueva y emocionante aventura.Inspirado en la popular franquicia cinematográfica de […]
Categorías: PDA / PPC

El futuro de la navegación ha llegado. Su nombre: Garmin nüviCam

Canal PDA - Jue, 21/05/2015 - 11:13
Garmin, líder mundial en soluciones de navegación por satélite, presenta un revolucionario dispositivo que aúna las máximas prestaciones de navegación e incorpora una cámara con funciones especiales para concienciar a los conductores en carretera: nüviCam. Se trata de un producto que inaugura una nueva etapa en la navegación GPS y que lleva a niveles hasta […]
Categorías: PDA / PPC

Apple publica la primera actualización para su reloj Apple Watch

Hispasec - Mié, 20/05/2015 - 20:43
Cuando ni siquiera está presente en España _ni en la mayoría de países_ el reloj inteligente de Apple, conocido como Apple Watch, ya recibe la primera actualización de su sistema operativo (Watch OS), con la que se solucionan hasta 13 vulnerabilidades.
Entre las vulnerabilidades corregidas se encuentra la ya famosa FREAK(CVE-2015-1067), conocida desde el pasado 3 de marzo y corregida por Apple en iOS yOS X el pasado 9 de marzo. Curiosamente el Apple Watch se presentó ese mismo día, aunque se puso a la venta en unas pocas tiendas de Apple el 24 de abril. Es decir, cuando el reloj salió a la venta ya incluía una vulnerabilidad grave de la que todo el mundo conocía los detalles.
También se han corregido otras dos vulnerabilidades de ejecución remota de código arbitrario, una al procesar fuentes maliciosas (CVE-2015-1093) y otra por una corrupción de la memoria del kernel (CVE-2015-1101).
También se han solucionado otras siete vulnerabilidades en el kernel, en Foundation, en IOHIDFamily y en IOAcceleratorFamily. Los problemas podrían permitir realizar ataques de denegación de servicio, obtener información sensible, elevar privilegios, redireccionar el tráfico o evitar filtros de red.
Esta actualización de Watch OS, a la versión 1.0.1, también incluye múltiples mejoras en el rendimiento del reloj, de Siri o de las aplicaciones de terceros. También se ha mejorado la interfaz y se incluyen los nuevos "emojis".
Esta actualización se debe instalar a través del iPhone. El reloj tiene que tener al menos un 50% de la batería cargada y estar conectado al cargador. Conectar el iPhone a la WiFi y mantenerlo cerca del reloj durante la actualización. En el iPhone, se debe abrir la aplicación Apple Watch y abrir My Watch > General > Software Update.
Más información:
About the security content of Watch OS 1.0.1This document describes the security content of Watch OS 1.0.1.https://support.apple.com/en-au/HT204870
una-al-dia (10/03/2015) Actualización de productos Apple incluye iOS y OS Xhttp://unaaldia.hispasec.com/2015/03/actualizacion-de-productos-apple.html
FREAK, un nuevo ataque a SSL/TLShttp://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Conoce al próximo ganador de Eurovisión junto a Microsoft

Canal PDA - Mié, 20/05/2015 - 17:08
Microsoft quiere que vivas Eurovisión de una forma única e irrepetible a través de sus múltiples herramientas. La compañía, como Partner Tecnológico de la 60ª edición del Festival, pone a disposición de los usuarios diferentes servicios con el objetivo de transformar la experiencia eurovisiva a través de la innovación tecnológica. Los amantes de la música […]
Categorías: PDA / PPC

Oracle y la Comunidad celebran los 20 años de Java

Canal PDA - Mié, 20/05/2015 - 14:00
Oracle, los usuarios y la comunidad mundial de desarrolladores están celebrando los 20 años de Java. Hoy, Java actúa como la espina dorsal de software que afecta tanto a nuestro trabajo como a la vida personal. Desde innovaciones en big data empresarial, cloud, social, móvil e Internet de las Cosas a los coches conectados, los […]
Categorías: PDA / PPC

España, cuarto país europeo para emprender en mHealth

Canal PDA - Mié, 20/05/2015 - 13:14
España es el cuatro país de Europa con mejores condiciones para emprender en mHealth pero las empresas internacionales y los profesionales tecnológicos del ámbito desconocen las buenas condiciones del entorno español. La cara y la cruz del mercado español de la mHealth se puso en escena ayer martes 19 de mayo en The App Date, […]
Categorías: PDA / PPC

SPC Smartee Watch II, el reloj inteligente con sistema Android

Canal PDA - Mié, 20/05/2015 - 13:03
SPC, presenta Smartee Watch II, el reloj inteligente basado en el sistema operativo Android, con el que puedes disponer de las funciones de un smartphone en tu muñeca. Cuenta con pantalla capacitiva de 1.55 pulgadas que nunca se apaga y que no refleja. Dispone de tecnología Bluetooth 4.0 Smart con lo que podrás usarlo prácticamente […]
Categorías: PDA / PPC

mSchools presenta un escaparate de aplicaciones educativas evaluadas por docentes mSchools presenta un escaparate de y profesionales de la educación

Canal PDA - Mié, 20/05/2015 - 12:19
mSchools pone en marcha ToolBox, un escaparate de aplicaciones móviles evaluadas por docentes de Catalunya siguiendo criterios educativos y de adecuación curricular. La plataforma nace con el objetivo de aglutinar apps educativas útiles para mejorar los procesos de aprendizaje y la práctica docente.A partir de hoy, los docentes pueden acceder y registrarse a la plataforma […]
Categorías: PDA / PPC
Distribuir contenido