Por @Alvy — 29 de Abril de 2022

Security.txt RFC 9116

Se ha anunciado que el RFC 9116: A File Format to Aid in Security Vulnerability Disclosure ya es un «protocolo formal» tras cinco años de trabajo, a pesar de que los ingenieros llaman a estas cosas Request for Comments («Petición de comentarios»). Su objetivo es servir como formato estándar legible por los robots, en forma de un fichero llamado security.txt que contenga datos sobre la empresa propietaria de un sitio web, sus políticas de seguridad, cómo informar sobre vulnerabilidades y algunas cosas más relacionadas:

  • Correos y teléfonos de contacto acerca de la seguridad
  • Páginas con más información sobre seguridad en el sitio
  • Claves públicas para utilizar en comunicaciones seguras
  • Empleos sobre seguridad asociados con el sitio web
  • Políticas sobre seguridad (cómo informar de fallos)
  • Idiomas preferidos

El archivo con la información se puede colocar en /.well-known/security.txt o en el directorio raíz del sitio web. En muchos sentidos, se parece a ficheros RFCs más conocidos como el robots.txt o el sitemap.xml (auqnue este último no estoy seguro de si tiene el estatus de RFC).

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 5 de Marzo de 2022

Hive Systems Password Table

Estaba viendo un par de notas recientes sobre la seguridad de las contraseñas que han salido estos días.

Por un lado está que en Hive Systems han actualizado su famosa Tabla sobre las contraseñas que muestra cuán seguras son las contraseñas que suele utilizar la gente según su longitud y complejidad. La longitud se mide en caracteres. La complejidad varía entre usar sólo números, letras, mayúsculas y minúsculas o una combinación de todo lo anterior incluyendo símbolos sencillos del teclado.

Respecto a la «fuerza bruta» empleada para romperlos… pues no está muy claro cómo lo han calculado, pero supongamos que son «esfuerzos sencillos con un ordenador o varios de última generación», que es razonable (el esfuerzo depende del interés y los medios de la entidad que quiera romperlas). El caso es que la recomendación mínima (color naranja) es de 11 letras y números en mayúsculas y minúsculas, o bien 14 letras en minúsculas. Como es sabido, utilizar una frase como contraseña, o las iniciales, variando mayúsculas y minúsculas y añadiendo entre medias algún número o símbolo es relativamente fácil de recordar. Alternativamente utilizar contraseñas aleatorias como las que generan/sugieren Google o apps como 1password es mejor idea todavía.

Por otro lado, en TidBITS, Glenn Fleishman recuerda las tres razones que hacen innecesario cambiar continuamente de contraseña. En otras palabras: no cambies tus contraseñas si:

  • Ya son suficientemente fuertes.
  • Utilizas una contraseña distinta en cada servicio/sitio.
  • No ha habido incidentes de seguridad allá donde se guarden.

Para comprobar la fortaleza, idoneidad e incidentes relacionados con las contraseñas, además de asegurarte de que no repites ninguna, puedes usar todos estos sitios, dependiendo de cómo las guardes:

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 13 de Febrero de 2022

Viewing Room: The Three-Rotor Enigma | Christie's

En la conocida casa de subastas londinense Christie’s hay una página dedicada a la Máquina Enigma de Tres Rotores. No está muy claro si la web se refiere a una máquina actualmente en venta o a un catálogo antiguo, pero en cualquier caso tiene unas maravillosas fotos propias de catálogo de lujo, claro, porque por allí no pasan bagatelas precisamente. Aunque no indica el precio una de las últimas que se subastaron –quizá esta– se adjudicó por unos 400.000 euros.

La máquina criptográfica Enigma, inventada por unos analistas polacos y luego utilizada por los alemanes durante la II Guerra Mundial para comunicarse secretamente fue una de las claves de la guerra. Cuando los rompecódigos del bando aliado consiguieron descifrar esas comunicación –en un proyecto denominado ULTRA en clave– aquello dio un vuelco a la guerra. Los alemanes siguieron confiando en que la máquina era «supuestamente indescifrable» hasta el final. Mientras tanto, Alan Turing y otros analistas de Bletchley Park podían leer grandes cantidades de mensajes que enviaban los alemanes a sus tropas y submarinos.

En las fotos se ve la impoluta máquina con número de serie #A14555, en perfecto estado de conservación, con sus tres rotores, el reflector, teclado de 26 letras y clavijas y lámparas totalmente funcionales (y hasta dos de repuesto). Una pequeña maravilla que ayudó a cambiar el curso de la guerra.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 7 de Febrero de 2022

Sha256 Algorithm Explained

Esta maravilla creada por Domingo Martín llamada simplemente El Algoritmo SHA256 Explicado muestra cómo funciona exactamente el SHA-256, un algoritmo que se corresponde con la función hash criptográfica de 256 bits del Secure Hash Algorithm 2, creada por la NSA (Agencia de Seguridad Nacional estadounidense) en 2001. Es minucioso, delicado y casi como ver las tripas del ordenador por dentro, bit a bit.

Si la definición del SHA-256 suena un poco rara y marciana es porque si no estás muy puesto en criptografía y las matemáticas relacionadas lo es. En lenguaje llano se podría decir que es una función que transforma un fichero cualquiera en un valor de longitud fija único, llamado hash. Y ese valor, que es una especie de suma de control, valor de verificación o firma única tiene ciertas propiedades interesantes en múltiples aplicaciones en criptografía y seguridad. La utilidad es que a partir de ese valor, que en el caso del SHA-256 son 256 bits, es imposible generar el documento original, pero sobre todo es prácticamente imposible encontrar otro documento que produzca el mismo hash si no es buscando «por fuerza bruta», debido a que es una especie de función en un sólo sentido. Y eso no siempre es posible, lo cual garantiza su seguridad.

En esta página de demostración basta teclear cualquier texto o número binario en la parte de arriba y pulsar el botón de ejecución paso a paso [|→] para ir viendo lo que sucede con todas las variables definidas en la función:

El mensaje primero se convierte a binario y luego se trocea en bloques; en cada uno de ellos hay 64 palabras de 32 bits. Empezando por el primero, se ejecutan ciertas operaciones lógicas (como XOR, el OR exclusivo) sobre sus bits: sumarlos, cambiarlos, rotarlos y mezclarlos, incluyendo a veces ciertos valores predeterminados cuidadosamente elegidos. Todo esto varias veces. Según los resultados en los diversos grupos de bits también pueden surgir elecciones condicionales o por mayorías. El resultado de todo esto pasa a unas variables, que se mezclan con el siguiente bloque, repitiéndose el proceso hasta completar el mensaje original.

En el fondo, es como meter todos los bits del mensaje original en fila en una batidora, que tiene la curiosa propiedad de mantener la mezcla consistente si se repite la operación, porque el azar no interviene. Pero el lío es tan mayúsculo que el resultado parece azaroso. Lo mejor es que la operación es irreversible y muy resistente a los ataques y análisis matemáticos, de modo que viendo el resultado de la mezcla es imposible saber de dónde proviene; al mismo tiempo basta que cambie un solo bit en el original para generar un nuevo desorden mayúsculo que hace que el resultado sea completamente distinto y para nada parecido.

Aunque podría suceder que dos documentos produjeran el mismo hash (al fin y al cabo sólo hay 2256 hashes distintos, y muchos más posibles documentos o mensajes iniciales), la probabilidad de que esto suceda es tan remota que puede considerarse casi nula. Y si acaso se necesita más seguridad hay funciones parecidas que operan con más bits: SHA-384, SHA-512 e incluso SHA3-256, SHA3-384 y SHA3-512, además de otras llamadas SHAKE donde la longitud del hash es arbitrario.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD




PUBLICIDAD


Desarrolla más rápido con Xojo