8 de agosto de 2013

SEGURIDAD DE INTERNET Avances matemáticos sugieren la perspectiva de una crisis

Los sistemas de encriptado que se usan para asegurar las cuentas de banco en línea y  mantener comunicaciones clave privadas se podrían descifrar en pocos años, según avisaron investigadores de seguridad en la conferencia Black Hat en Las Vegas la semana pasada. 
Los avances en investigación en matemáticas logrados en los últimos seis meses podrían servir como base para llevar a cabo formas rápidas y prácticas de descodificar datos encriptados que en la actualidad se consideran indescifrables.  
Alex Stamos, director tecnológico de la empresa de seguridad en línea Artemis, dirigió una presentación en la que describió cómo él y otros tres investigadores en seguridad han estudiado publicaciones recientes del reducido mundo de la investigación criptográfica académica, que cubre las tendencias en los ataques a métodos de encriptado comunes.
"Nuestra conclusión es que existe una posibilidad pequeña pero real de que los métodos RSA y el clásico Diffie-Hellman no se podrán usar para el encriptado dentro de cuatro o cinco años", afirmó Stamos, refiriéndose a los dos métodos de encriptado más utilizados actualmente.
Hay que tomar en serio cualquier sugerencia de que estos métodos se pueden socavar, avisó Stamos. Son los métodos usados para proteger las transacciones bancarias, el comercio electrónico y el correo electrónico, así como los mecanismos que aseguran que las actualizaciones descargadas por los sistemas operativos como Windows y OSX son auténticas.
El resultado de que ambos métodos de encriptado se rompieran sería, según Stamos, "un fracaso total de la confianza en Internet"
Ambos métodos de encriptado, RSA y Diffie-Hellman, se sostienen por un reto matemático conocido como el problema de los logaritmos discretos.
En la actualidad, romper un encriptado RSA o Diffie-Hellman exige el uso de inmensos recursos de computación durante periodos de tiempo significativos. 
Sin embargo, pueden existir algoritmos capaces de resolver el problema de los algoritmos discretos. "Confiamos en que no se descubra ese algoritmo eficiente", explicó Jarved Samuel, un criptógrafo que trabaja para la consultora de seguridad ISEC Partners y que hizo la presentación junto a Stamos. "Si se encuentra, el criptosistema se habrá roto".
Stamos hizo un llamamiento a la industria de la seguridad para usar una alternativa conocida como criptografía de curva elíptica (ECC por sus siglas en inglés), que es bastante más reciente, pero depende de retos matemáticos aún más oscuros para asegurar los datos encriptados.
Fuente: MIT Technology Review
Publicado por en
Etiquetas: , ,

SISTEMAS INDUSTRIALES Piratearlos cada vez más fácil

Nueva investigación de Black Hat demuestra que es posible piratear  infraestructuras de agua y energía para provocar daños físicos. Dotar de seguridad a estos sistemas sigue siendo un proceso extremadamente lento.
Tres presentaciones llevadas a cabo durante el Black Hat en Las Vegas (EE.UU.) el jueves de la semana pasada revelaron vulnerabilidades en los sistemas de control utilizados para administrar la infraestructura de energía:
  1. En la primera presentación se programó una demostración durante la que se pulverizó agua al público procedente de un componente de una réplica de una planta de agua al que se había forzado para estar por encima de su presión normal.
  2. La segunda mostró cómo los sensores inalámbricos normalmente utilizados para supervisar las temperaturas y presiones de oleoductos y otros equipos industriales podrían manipularse para dar lecturas falsas que engañen a los controladores automáticos u operadores humanos para que tomen acciones que provoquen daños.
  3. Una tercera charla explicará con detalle los fallos de la tecnología inalámbrica utilizada en 50 millones de contadores de energía en Europa, que permiten espiar el uso de energía en el hogar o en las empresas e incluso imponer apagones.
Todos los ataques que se mencionaron el jueves requieren muchos menos recursos y habilidades que los que se requirieron para el ataque más conocido a un sistema industrial, la operación Stuxnet de Estados Unidos, y apoyada por Israel, contra el programa nuclear de Irán.
Existe un programa de intercambio de datos administrado por el Departamento de Seguridad Nacional de EE.UU.
  • Este programa, llamado ICS-CERT (siglas en inglés de Industrial Control System Cyber Emergency Response Team), comparte datos de reciente publicación sobre vulnerabilidades con las empresas afectadas y los operadores industriales.
  • Y aunque ICS-CERT ponga de relieve un problema no significa que se arregle rápidamente.
Sameer Bhalotra, exdirector de seguridad cibernética en la Casa Blanca durante la administración Obama y ahora director de operaciones de la empresa de seguridad web Impermium, señaló a MIT Technology Review que aunque el ICS-CERT funciona bien, no acelera el progreso en materia de seguridad industrial.
  • Las compañías que fabrican equipos y software de control industrial nunca han tenido que preocuparse mucho por la seguridad, por lo que no son capaces de generar parches rápidamente, o hacer cambios de diseño importantes. "
  • Por el contrario, empresas de software como Microsoft se han convertido en expertas en poner parches a las vulnerabilidades rápidamente, hasta el punto de que hoy día es raro encontrar grandes defectos, asegura Bhalotra.
Una razón por la que el proceso es tan lento es la falta de incentivos claros, explica Bhalotra.
  • La ley actual no hace que los operadores de energía o los fabricantes de sistemas de control sean responsables de las consecuencias de la falta de seguridad, como los daños causados por una explosión o un apagón prolongado.
  • Solo la introducción de una nueva legislación para aclarar la cuestión de la responsabilidad hará que probablemente se acelere la evolución de la seguridad de los sistemas de control industrial, afirma Bhalotra.
Fuente: MIT Technology Review

Publicado por en
Etiquetas: , , , ,

DARLING Ejecuta aplicaciones de OS X en Linux

Darling es un emulador especializado que consigue ejecutar aplicaciones de OS X en distribuciones Linux.
Detalles del proyecto
  • Darling aprovecha la base abierta de OS X llamada Darwin para agregar una capa de emulación en Linux.
  • Hay mucho trabajo detrás, porque en vez de hacer ingeniería inversa el responsable del proyecto mira el código de las aplicaciones de OS X una a una.
  • Y de momento ya tiene una conclusión clara: la documentación de Apple es muy pobre y en ella faltan muchísimas APIs.
  • También está el problema de que muchas aplicaciones de OS X siguen estando basadas en entornos de 32 bits, y pasarlas a los entornos de 64 bits de Linux es una tarea complicada.
  • La mala noticia es que Darling puede tardar años en dar resultados amplios, pero la buena noticia es que a medida que pase el tiempo podríamos incluso ejecutar aplicaciones de iOS (que a su vez también está basado en OS X).
Más información
Fuente: Genbeta

Publicado por en
Etiquetas: , , ,

Cisco TelePresence System . CREDENCIALES POR DEFECTO

Fallo de seguridad permite que varios productos Cisco TelePresence System autoricen el acceso remoto al servidor web del dispositivo mediante el uso de credenciales por defecto con privilegios administrativos. La vulnerabilidad se ha catalogado con nivel crítico de importancia.
Recursos afectados
  • Cisco TelePresence System Series 500, 13X0, 1X00, 3X00, y 30X0 ejecutando CiscoTelePresence System Software v1.10.1 y anteriores
  • Cisco TelePresence TX 9X00 Series ejecutando Cisco TelePresence System Software v6.0.3 y anteriores
Impacto de la vulnerabilidad 
  • Durante el proceso de instalación de Cisco TelePresence System se habilita por defecto en el sistema una cuenta con privilegios administrativos para la recuperación de contraseñas.
  • Esto puede utilizarse por un atacante para obtener las credenciales por defecto de esa cuenta, y modificar la configuración del sistema, o tomar un control completo del mismo a través de una sesión HTTPS.
Recomendación
  • Cisco todavía no ha publicado ningún software que solucione esta vulnerabilidad.
  • Para clientes que utilicen codecs Cisco TelePresence registrados como Cisco Unified Communications Manager (Unified CM), la empresa recomienda cambiar la contraseña del la cuenta "pwrecovery".
  • Para el resto de clientes se recomienda ponerse en contacto con Cisco Technical Assistance Center (TAC).
Más información
Vulnerabilidad Cisco TelePresence System
Fuente: Inteco

Publicado por en
Etiquetas: , , ,

Schweitzer Engineering Laboratories (SEL). FALLO VALIDACIÓN PRODUCTOS COMPAÑÍA

Detectada vulnerabilidad, catalogada con nivel alto de importancia, en los Controladores de Automatización en Tiempo Real (RTAC) de Schweitzer Engineering Laboratories (SEL), que realizan una inapropiada validación de entrada en el driver DNP3. 
 En el dispositivo maestro RTAC que puede provocarse un bucle infinito mediante el envío de un paquete TCP especialmente manipulado desde la estación principal.
Recursos afectados
Los productos de Schweitzer Engineering Laboratories (SEL) afectados son los siguientes:
  • SEL-3530-R100 -V0-Z001001-D20090915 hasta SEL-3530- SEL-3530-R123-V0-Z002001
  • SEL-3530-4-R107-V0-Z001001-D20100818 hasta SEL-3530-4-R123-V0-Z002001-D20130117
  • SEL-3505-R119-V0-Z001001-D20120720 hasta SEL-3505-R123-V0-Z002001-D20130117
  • SEL-2241-R113-V0-Z001001-D20110721 hasta SEL-2241-R123-V0-Z002001-D20130117
Recomendación
Schweitzer Engineering Laboratories (SEL) recomienda a los clientes afectados que se pongan en contacto con el servicio de atención al cliente para obtener el CD-ROM con la actualización gratuita de firmware.
Impacto de la vulenrabilidad
  • La vulnerabilidad puede causar el reinicio automático del driver DNP3, reanudándose la comunicación, pero en condiciones más severas se activará el indicador de ALARMA y el dispositivo deberá recargar la configuración.
  • En redes IP esta vulnerabilidad puede ser explotada de forma remota, pero esta misma vulnerabilidad también se producen en conexiones serie, por lo que en estos casos resulta necesario un acceso físico al dispositivo.
Más información
Aviso del ICS-CERT: ICSA-13-219-01
Fuente: Inteco

Publicado por en
Etiquetas: , ,

POLÍMERO TRANSPARENTE Vidrio convertido en Panel Solar

Investigadores de la Universidad de California Los Ángeles han creado polímero transparente que convierte el vidrio en panel solar y podrá usarse en coches, ventanas e incluso smartphones.
Investigadores de la Universidad de California (UCLA) han desarrollado un nuevo tipo de polímero de células solares (PSC) que produce energía mediante la absorción de la luz infrarroja. Al ser transparente, permite su uso en las ventanas de una casa, el techo de un coche, e incluso la pantalla de un smartphone, "permitiendo que generen energía de manera autónoma", según ha explicado el autor principal del estudio, Yang Yang. 
El investigador ha apuntado que los nuevos PSC están hechos de materiales similares al plástico y son ligeros y flexibles, además, ha destacado que "se puede producir en gran volumen a bajo coste".
El nuevo dispositivo se compone de dos células de PSC que recogen la luz solar y la convierten en energía, mejorando así los dispositivos anteriores.  
Las células se pueden producir para que aparezcan de color gris claro, verde o marrón, por lo que puede mezclarse con el color y las características del diseño de edificios y superficies

Fuente: Innova
Publicado por en
Etiquetas: , ,
Suscribirse a: Entradas (Atom)