Security Now

security-now

WhatsApp: Entendiendo Su Cifrado Extremo a Extremo

Seguro que muchos últimamente os preguntáis qué significa ese mensaje que aparece en vuestras conversaciones de WhatsApp: “Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado extremo a extremo”. Para los curiosos, en el podcast Security Now!, episodio 555 Steve explicó el protocolo que han implementado para mantener las conversaciones y llamadas de __WhatsApp__ seguras. He pensado que puede ser de interés para los lectores del blog, así que lo he traducido. Comencemos

security-now

Cómo funciona HTTP/2, protocolo que acelerá considerablemente la navegación Web

Hacía mucho tiempo que no traducía episodios del podcast Security Now!. Hoy os traigo la traducción del episodio #495, donde Steve describió al detalle el nuevo protocolo HTTP2, el cual lo ha desarrollado Google. Primero echaremos un vistazo a lo que tenemos en la actualidad, qué problemas presenta y qué soluciones ofrece HTTP2.

¿Qué hay mal en el protocolo actual?

  • Páginas web inmensas
  • Un modelo textual basado en petición/respuesta muy simple. Es el cliente quien solicita recursos, no el servidor quien las envía por sí mismo.
  • Cada petición es independiente, stateless y no presupone de ningún conocimiento o contexto previo.
  • TCP es muy lento al iniciar una conexión.
  • La negociación inicial de TLS también es muy costosa.
  • Se realizan múltiples conexiones.

HTTP2 corrige todos éstos problemas

HTTP2 se compone principalmente de (A lo largo del artículo se profundizará en éstos puntos):

  • Frames: Dividen la única conexión existente en varios frames enumerados. Se componen de:
    • Una cabecera de 9 bytes:
    • Los primeros 24 bits (Solo se usan 14 bits si no se tiene el permiso del otro pc)
    • 8 bits que determinan el tipo de frame.
    • 8 bits conteniendo los flags del frame.
    • 32 bits para el Identificador del flujo (Stream ID). El bit más significativo siempre es 0.
    • Payload de longitud variada.
  • Streams (flujos):
    • El solicitante puede asignarles prioridades.
    • Se les puede asignar inter-dependencias.
  • Compresión de cabeceras HTTP:
    • Cómo funciona LZ (Lempel-Ziv). (PKZIP, GZIP, LZW, LZA, etc).
    • Un único contexto comprimido para la conexión.
  • Speculative Push (Push especulativo).

Empecemos a profundizar en cada uno de éstos puntos:

security-now

Cómo funciona el Bitcoin, la cripto-moneda

Hace mucho tiempo que se empezó a hablar sobre el bitcoin y su futuro como moneda digital. Si como yo te has preguntado cómo funciona y quieres saber más acerca de todo el sistema que rodea al bitcoin, en este artículo traduciré el episodio 287 - BitCoin CryptoCurrency del programa Security Now!

Bicoint fue creado por el criptógrafo Japonés Satoshi Nakamoto y es open source.

La idea del bitcoin es ofrecer una moneda basada en internet, con fuerza industrial, en la que se haga uso del peer-to-peer donde se pueda intercambiar dinero entre dos partes sin necesidad de un intermediario. Esto último es uno de los mayores problemas porque, ¿de donde viene la moneda? , ¿Qué crea la moneda?, ¿Cuanta cantidad fluye a través del sistema?, ¿Cómo la monitorizas y la regulas?, ¿Cómo se previene que se produzca inflación?, ¿Cómo previenes que la gente cree la moneda de forma fraudulenta?, ¿Cómo evitas que alguien, en caso de disponer de monedas, reutilice la misma moneda?. Todas estas preguntas se han resuelto en el sistema de una manera muy inteligente e innovadora.

security-now

Estructura y seguridad de los QR Codes

Otra semana más me ha interesado el contenido del episodio del programa de radio Security Now!, que comparto con vosotros. Nota: El contenido no es de mi autoría, simplemente lo he traducido.

El anterior espisodio traducido fué Lo último en criptografía: Fully Homomorphic Encryption

Seguro que estás familiarizado con la imagen de la izquierda, y habrás usado escánares para acceder a su contenido más de una vez, ya que últimamente están de moda y se encuentran en todas partes.

Sin embargo esta tecnología se inventó hace 18 años para rastrear rápidamente piezas coches durante su ensamblaje en Japón, y se diseñaron muy bien.

Todos son cuadrados y siempre tienen una zona llamada zona tranquila ó quiet zone. Una de las mejores características de estos códigos es que son neutrales respecto a la orientación, es decir, no es necesario estar exactamente enfrente a ellos o alineados verticalmente para escanearlos. La imagen en sí proporciona toda la información necesaria para permitir al software girarla, orientarla y aplanarla, incluso si se fotografía el código con ángulo.

La característica más prominente del QR Code son los tres cuadrados que aparecen en trés de las cuatro esquinas de la imagen. Son tres porque facilitan una orientación rotacional rápida y a la vez proporcionan un inmediato sentido del tamaño y orientación angular. En la esquina restante hay otro pequeño cuadrado. Normalmente los cuadrados de mayor tamaño se situan en la esquia superior derecha e izquierda e inferior izquierda, dejando al de menor tamaño en la esquina inferior derecha. El hecho de que exista un cuadrado grande en la esquina inferior derecha aporta una idea instantanea de orientación rotacional. Si te fijas, el cuadrado más pequeño está a 4 bits desde la base de la imagen y 4 bits desde la derecha:

security-now

Grave vulnerabilidad en UPnP que afecta a 81 millones de routers

Como es habitual, hoy traigo otro episodio de security Now! que me parece interesante. Este en concreto, además de interesante es algo que afecta a millones de routers y dispositivos con el servicio UPnP activado.

Nota: El contenido no es de mi autoría, simplemente lo he traducido.

Y es que recientemente se ha descubierto que es posible desde cualquier lugar del mundo, y sin ningún tipo de restricción de seguridad acceder a redes privadas y configurar el router.

El creador del framework metaexploit, comunicó a Steve Gibson que había finalizado un escaneo completo de todo internet hace aproximadamente un mes, el cual duró unos 5 meses y medio.

El objetivo del escaner era encontrar routers vulnerables con el puerto usado por el protocolo UPnP (Universal Plug & Play). Encontró 81 millones. El 2.2% de las ip públicas son posibles objetivos a un ataque medienta UPnP.

El problema es que el servicio UPnP nunca debería estar en el lado público del router, nunca debería estar expuesto a internet. Debido a esto, cualquier Hacker puede apoderarse de cualquier red privada (VPN).

El fallo está en el diseño del protocolo. Ya que se antepuso la facilidad de uso a la seguridad. Pasemos a explicar el objetivo que pretende lograr este servicio.

security-now

Lo último en criptografía: Fully Homomorphic Encryption

Me he aficionado a escuchar un programa de radio llamado Security Now!, cuya web puedes consultar en las referencias. Como el nombre del programa indica, hablan sobre seguridad en sistemas informáticos principalmente. El episodio de esta semana iba enfocado a qué se está desarrollando a día de hoy en el mundo de la criptografía.

Pues bien, una de esas cosas en las que los criptógrafos están trabajando a dia de hoy se llama Homomorphic Encryption (Cifrado Homomórfico) ó Fully Homomorphic Encryption (Cifrado totalmente homomórfico).

¿Qué es el cifrado homomórfico ó Homomorphic Encryption?

Los chicos de RSA plantearon la hipótesis de este sistema de cifrado en el año 78. Postularon la posibilidad del cifrado homomórfico o ****Homomorphic Encryption. ****Pero se quedó como una pregunta abierta.

Y hace solo tres años un estudiante de posgrado sorprendió al mundo al demostrar que este sistema es posible. Lo que este estudiante hizo fue demostrar matemáticamente que es posible realizar operaciones de cálculo estándares — como sumar, multiplicar etc — a datos cifrados sin la necesidad de descifrarlos previamente.

Por ejemplo, es posible cifrar datos, enviarlos a la nube y operar sobre estos datos **sin descifrarlos ** . La *nube *no tiene la menor idea del contenido de los datos sobre los que está operando, no vé ningún resultado intermedio. La totalidad de los datos permanecen cifrados durante todo el tiempo. De manera que obtienes el resultado encriptado, y solamente tú puedes desencriptarlo. En eso consiste el cifrado homomórfico o** **Homomorphic Encryption, ** **y funciona.

security-now

Qué es QUIC, el nuevo protocolo desarrollado por Google

Escuchando el podcast #411 de security now! Steve habló del protocolo QUIC, que está desarrollando Google y pretende ser más seguro y rápido. Investigando un poco para conocer más acerca de este nuevo protocolo, encontré una pequeña FAQ (Frequently Asked Questions) en Google Drive, al parecer dicha FAQ es autoría del propio grupo de desarrollo de QUIC, el nombre original del documento es QUIC Geek FAQ (for folks that know about UDP, TCP, SPDY, and stuff like that), aquí dejo la tabla de contenidos:

security-now

SQRL y la idea de eliminar el uso de usuario y contraseña en internet

Nota: Puedes echar un ojo al artículo más actualizado SQRL -Secure Quick Reliable Login a Fondo {: .notice}

Los lectores habituales sabrán que suelo escuchar el programa de radio Security Now!, la semana pasada, Steve Gibson, uno de los mayores expertos en seguridad anunció que se le había ocurrido una manera de eliminar la necesidad de usar usuario y contraseña para identificarse en los sitios web, eliminando así los problemas que esto conlleva. Steve ha llamado a su invención SQRL (Secure QR Login) y ha tenido bastante éxito en la comunidad, tanto que hasta el W3 se ha puesto en contacto con él mostrando interés en este nuevo método de autentificación.

security-now

SQRL -Secure Quick Reliable Login a Fondo

Hace unos años, hablé aquí sobre la idea de Steve Gibson, SQRL, sistema con el que pretende eliminar el uso de usuarios y contraseñas en internet. Unos dos años más tarde, con el proyecto bastante maduro, en Security Now! Steve ha vuelto a dar detalles del funcionamiento de SQRL, y la verdad es que pinta pero que muy bien. En éste artículo he usado como fuente el episodio 424 del podcast.