Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

AÑO 9 - Nº 11 - NOV 13

Entrevista

Entrevista a Chema Alonso, Alfonso Muñoz y Yago Jesús sobre seguridad en Internet y la NSA (Genbeta, España)
Por Guillermo Julián

Genbeta.com - España

Cada nueva filtración sobre la NSA nos hace cuestionarnos más todavía la seguridad de nuestras comunicaciones a través de Internet. Certificados filtrados, ataques criptográficos… ¿Hasta qué punto puede ser cierto todo esto? ¿Cómo pondría todo en marcha la NSA?. Hemos querido dar respuesta a esas y más preguntas, y por eso desde Genbeta hemos querido contar con tres expertos en seguridad que nos expliquen todo con precisión y claridad: Chema Alonso, Alfonso Muñoz y Yago Jesús.


HTTPS: cómo escucha la NSA las comunicaciones seguras y cómo protegerlas

Alfonso Muñoz nos explicaba cómo el problema empieza desde el uso de la clave pública:

Cuando te comunicas con un tercero no tienes la garantía de que la clave pública del destinatario es precisamente de él. Puede que un tercero intercepte la comunicación, se ponga en medio (man in the middle), y nos dé su clave pública haciéndose pasar por el receptor. Para evitar esta situación se necesita una tercera parte de confianza que nos diga si una clave pública es precisamente de quién dice ser.

La seguridad de todo el sistema recae en la confianza en terceras partes, autoridades de certificaciones. Aquí de nuevo surge un problema, necesitamos saber cuál es la clave pública de una o más autoridades de certificaciones, pero no los la pueden enviar porque de nuevo sería factible un ataque de hombre en el medio. Para evitar esto los navegadores web vienen configurados de “fábrica” con certificados públicos de las autoridades de certificación más famosos a nivel mundial. Lógicamente la seguridad de todo el sistema recae en la confianza que tengamos en esas CAs.

Podríamos detectar los ataques MITM viendo que los certificados SSL no cambian, pero eso no está al alcance de todos.

¿Cómo podemos detectar los ataques MITM?

Los tres expertos coinciden en que la mejor idea es verificar que el certificado no cambia. Yago Jesús y Alfonso Muñoz sugieren Certificate Patrol, una extensión para Firefox que avisa cuando cambian los certificados. También está EMET, una herramienta de Microsoft que explican en Eleven Paths.

El problema de ambas es el mismo: el encargado de interpretar la alerta por un cambio de certificado es el usuario. Puede que sea un ataque real o haya habido un cambio legítimo en el certificado. No son herramientas al alcance de todos los usuarios.

¿Existiría la posibilidad de deshacernos de ese paso que tanto parece molestarnos, el de la confianza?

Parece que no. Los tres coinciden en que no hay forma de hacerlo, no podemos confiar únicamente en el algoritmo.

¿Qué podríamos hacer si nosotros somos fuésemos un objetivo de la NSA? ¿Cómo podemos protegernos?

Lo cierto es que es difícil. Chema nos comenta que quizá usando criptografía simétrica de punto a punto sería posible, usando sistemas como PGP pero, eso sí, vigilando las implementaciones. Sin embargo, parece difícil.

Podemos protegernos frente a ataques masivos pero frente a ataques dirigidos, es cuestión de tiempo y dinero”, según Alfonso, y Yago nos lo resume con una buena analogía:

Tomando como ejemplo el ya famoso juego GTA, depende del número de ‘estrellas’ que tengas activadas.

Si eres un objetivo menor/medio que no llama la atención excesivamente, tal vez la criptografía pueda ponerte a salvo. Si tienes las 5 estrellas activadas, no hay salida.

Y otra cuestión muy interesante: ¿puede protegernos el software libre de todo esto?

Es conveniente, pero no suficiente, apunta Alfonso Muñoz: importa mucho más la calidad de los ojos que miran el código que cuántos ojos lo miran.

“No es trivial analizar un código ni todo el mundo tiene la capacidad para hacerlo con ciertas garantías.”

De hecho, ya hubo problemas en otros proyecto de código abierto. Yago Jesús nos explica los problemas en OpenSSL y OpenBSD, y Chema Alonso comenta que el tema está muy turbio.

Mención aparte merece el caso de TrueCrypt. Chema y Yago coinciden en que las dudas son razonables, aunque Alfonso se muestra más precavido a la hora de lanzar especulaciones al aire

“Es conveniente que la gente pruebe sus afirmaciones. Se puede producir el efecto contrario: que la gente no use software de protección de este tipo o desarrolle mecanismos propios inseguros”

Eso sí, reconoce que no parece existir ningún análisis en profundidad del código fuente de la herramienta.

Esperamos que este artículo haya aclarado las dudas que pudieran tener sobre seguridad a raíz de las filtraciones de la NSA. Y, antes de acabar, agradecemos de nuevo a Chema Alonso, Yago Jesús y Alfonso Muñoz sus respuestas para este artículo. También dejamos con las respuestas completas que nos enviaron, que creo que pueden resultar muy interesantes.

 

Ver entrevista completa: https://www.dropbox.com/s/jdj8lklqhyg41ah/Entrevistas%20seguridad.pdf

 

Fuente: http://www.genbeta.com

 

 

| Ediciones Anteriores |


Repercusiones del Megaevento Buenos Aires | Infosecurity Vip 2013
Por Fabian García

Infomail iTV

Argentina

Extracto del envío de Infomail iTV | DIARIO DE NOTICIAS: Internet, Tecnología y Valores = Negocios


ISACA LANZÓ UN NUEVO LIBRO DE SEGURIDAD INFORMÁTICA
Por Salomón Rico

Miembro del comité de Guías

ISACA | México


Las redes sociales como modelos estratégicos técnicos y modelos de negocio
Por Jorge Ramió Aguirre
Coordinador de Criptored
Universidad Politécnica de Madrid - España


INFORME DE SEGURIDAD 2013 DE CHECK POINT


Seguridad & Compliance en Microsoft Cloud

Por Alex Campos Arcos

Techincal Evangelist

Microsoft Chile

Extracto de la Conferencia en Infosecurity VIP 2013


El poder de hacer más con la seguridad conectada de Dell

Por Humberto Anez

MCLA Territory Manager - Dell

Extracto de la Conferencia en Infosecurity VIP 2013


Complete Security

Por Joost de Jong

Director South & Central America,

Caribbean de SOPHOS – ASTARO

Extracto de la Conferencia en Infosecurity VIP 2013 


Deep Web - La internet clandestina

Por RAÚL MARTÍNEZ FAZZALARI

Abogado - Especialista en Telecomunicaciones

Argentina.


LOS SIETE PECADOS CAPITALES EN INTERNET

Por Alan Woodward

Consultor en Ciberseguridad

Gobierno de Reino Unido


CIBERGUERRA SE LIBRA EN INTERNET SIN REGLAS

Convenciones y protocolos internacionales tendrían que ser revisados para incluir a internet como territorio

Una guerra de baja intensidad se libra en internet por medio de hackeos, ciberataques y ciberespionaje sin que existan protocolos internacionales o se requiera intervención de Naciones Unidas.


TYLER vs WIKILEAKS

En entrevista exclusiva con La Voz de Rusia, un representante de Anonymous habla del conflicto en torno a WikiLeaks, relacionado con las tecnologías de recolección forzada de dinero y la falta de transparencia en la contabilidad del portal.


AGILE SECURITY™: Principles for Security for the Real World in Mobile Environments

Por Stephen Fallas
CISM-CISSP-CGEIT-GIAC-CRISC-LA7799-SFCSE-SFCP-SFCSI
Security Architecture – LATAM


Una información segura para asegurar el futuro de estos niños

Dr. Jorge Ramió
Profesor de Seguridad de la Información en la UPM Director de Criptored,
Intypedia y Crypt4you


Es como un partido de ajedrez en el que tienes un plan de ataque...

Entrevista a Joe Sullivan, jefe de seguridad de Facebook


Ataques de Anonymous suben 60% en 2012

Adriana García, directora regional de ventas para México y Centroamérica de Imperva, afirmó en la conferencia “Desnudando a Anonymous: seguridad de aplicaciones”, una de las 12 que se realizaron en el evento, que en 2012 los ataques han aumentado 60% en comparación con el año pasado.


GHOST IN THE WIRES: My Adventures as the World’s Most Wanted Hacker

 


Seguridad en la operación de la infraestructura física en un ambiente de cloud computing y de alta disponibilidad

Por Arturo Maqueo
Business Development Data Centers LAM

APC - MEXICO


Seguridad y Contingencia de ORM en las Redes Sociales

Por Iván Hernández
Asesor en Riesgo Reputacional
Director de CleanPerception


El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información?

Por Jeimy J. Cano
GECTI - Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Intypedia se presenta a los premios Internet 2012

Por Jorge Ramió Aguirre
Coordinador de Criptored
Universidad Politécnica de Madrid - España


FUGA DE INFORMACIÓN - Situación en México

Por Carlos Olvera

ProtektNet México


¿Qué hacemos en CA Technologies?

Vea esta demostración y aprenda más sobre cómo CA ecoSoftware puede ayudar a medir, gestionar y controlar la energía y refrigeración en sus centros de datos, edificios y cloud computing. Conozca cómo CA ecoSoftware puede ayudar a mejorar el uso de la energía y la capacidad de refrigeración, aumentar la disponibilidad y reducir los costos de energía.


PyMEs y Ciber-crimen: Riesgos y consecuencias

Por Abelino Ochoa

Director General para América Latina

Kaspersky Lab

Hoy en día, el verdadero ciber-crimen tiene la única meta de robar información que pueda convertirse fácilmente en dinero.


CUANDO y DONDE INVERTIR EN TECNOLOGÍAS DE INFORMACIÓN

Realidad en Chile
Por Carlos Mondaca Saavedra
Gerente Advisory
PricewaterhouseCoopers Chile.


Concientización, concientización y mas concientización

Por Frano Capeta

Country Manager - Perú

ISec Information Security Inc.


KIDO: 30 MESES DESPUÉS

Por Fabio Assolini

Analista de malware

Kaspersky Lab en América Latina


Departamento de la Defensa otorga $415,000 a la Universidad Politécnica

Dr. Alfredo Cruz

Founder & Director, Center of Information Assurance for Research and Education (CIARE)

UNIVERSIDAD POLITÉCNICA PUERTO RICO


“Hay que conocer al enemigo para estar protegido”

Por Dmitry Bestuzhev

Director de Investigación y Análisis de Kaspersky Lab para América Latina

Kaspersky Lab


¿Cuál es el costo total de protección?

Por Juan Ospina

NOLA Country Manager

Kaspersky Lab - Colombia


“Un niño que aprende a usar internet es más consciente de sus riesgos”
Por María José Cantarino

Jefa de Responsabilidad Corporativa de Telefónica

España


Jornada de Seguridad Informática en la Patagonia Argentina


Entrevistas a Disertantes de los distintos eventos Infosecurity en Latinoamérica durante el 2010

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

 

 

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad