www.rhernando.net

Estoy en facebook

Thu, 3 Sep 2009 13:45:15 CEST

Por fin tengo cuenta en el facebook

Al que le interese me puede encontrar por aquí:

Antivirus y falsos positivos

Thu, 19 Mar 2009 10:36:26 CET

A Fred Cohen se le conoce como el padre de los "virus informáticos", por ser el primero en acuñar este término en la década de los 80 para describir a estos programas. Además de bautizarlos y analizarlos, en su estudio "Computer Viruses - Theory and Experiments" llegaba a la conclusión de que no existía algoritmo que pudiera detectar todos los posibles virus. Cuando ahora se cumplen 25 años de su estudio podemos decir que Cohen tenía razón y que, además, vamos a peor. Vale que no podamos detectar todo el malware pero, por favor, no detectemos a los que no lo son.

(de Bernardo Quintero para HispaSec)

¿Existen programas sin fallos de seguridad?

Fri, 6 Mar 2009 09:41:56 CET

Interesante la pregunta que se hacen en HispaSec.

Si existiese algo parecido, probablemente serían el servidor de correo qmail y el servidor DNS djbdns. Su autor D. J. Bernstein ofreció hace más de diez años 500 dólares a quien encontrara un fallo de seguridad en qmail y 1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado con 1000 dólares a Matthew Dempsky.

(de Sergio de los Santos para HispaSec)

Galería en Flickr

Fri, 22 Feb 2008 18:19:33 CET

He creado una galería de fotos en Flickr.

Su enlace es:

www.flickr.com/photos/rhernando/

No tan aleatorios

Wed, 28 Nov 2007 10:03:05 CET

El pasado día 4 de noviembre, un equipo de investigadores israelíes encabezados por el Dr. Benny Pinkas, de la Universidad de Haifa y estudiantes de la Universidad de Jerusalén, publicaron un análisis criptográfico sobre el algoritmo usado por Microsoft Windows 2000 y XP para generar números aleatorios, el PRNG (Pseudo-Random Number Generator). Descubrieron que contiene serios problemas en su implementación.

Las conclusiones del estudio revelan (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información.

Los sistemas de cifrado basados en criptografía asimétrica necesitan del cálculo de números aleatorios para generar claves de sesión, y de la arbitrariedad en general para un buen funcionamiento. De hecho, su seguridad radica en la aleatoriedad real de esos cálculos: cuanta más entropía, más complicado de predecir y más "calidad" del cifrado. El algoritmo es usado, por ejemplo, en cada conexión SSL (conexiones seguras) que se establece entre el navegador y los servidores HTTP, y también el cifrado local de información. De ser explotada esta vulnerabilidad, un atacante podrían llegar a predecir esos números generados, y desvelar los datos cifrados con este protocolo, obteniendo así una información que suele transmitirse cifrada precisamente por su importancia.

(de Pablo Molina para HispaSec)

Pharming y phishing a través de routers ADSL

Mon, 19 Nov 2007 19:28:01 CET

Durante el fin de semana se ha detectado un nuevo ataque de phishing que, como novedad, modifica la configuración DNS de algunos modelos de routers ADSL. El resultado es un ataque transparente, no es detectado por ningún antivirus, y perenne, llevará a los usuarios a una web falsa cada vez que introduzcan en su navegador la dirección correcta de la entidad bancaria.

El ataque, como muchos otros de phishing tradicional, ha sido lanzado a través de spam. Los usuarios reciben un mensaje de correo electrónico que invita a pinchar en un enlace para visitar una postal virtual. Si el usuario visita la página podrá observar una animación flash inofensiva, si bien esa misma página estará intentando al mismo tiempo modificar la configuración de su router de conexión a Internet.

(de Bernardo Quintero para HispaSec)

Nueva galería fotográfica

Thu, 20 Sep 2007 10:33:36 CEST

Estoy preparando una nueva galería fotográfica en una web aparte.

La url de acceso es http://fotos.rhernando.net

Todavía no está terminada pero os podéis pasar a ver qué os parece

Smishing

Thu, 23 Aug 2007 16:35:50 CEST

El smishing (phishing de SMS), ya es un grave problema para muchos países, y si usted no toma las mismas precauciones que al recibir correo electrónico no deseado, tarde o temprano se podría convertir en una nueva víctima.

En la India, el departamento de telecomunicaciones, planea bloquear todos los mensajes de texto originados fuera del país. También bloquearía sitios de Internet que pueden ser utilizados para el envío de estos mensajes.

Actualmente las herramientas que permiten generar mensajes anónimos, están disponibles libremente en muchos sitios de la red.

(de Angela Ruiz para VSAntivirus)

Fraude a la banca electrónica con OTP

Fri, 17 Aug 2007 18:32:16 CEST

No es nada nuevo y además era previsible. Los usuarios de entidades que han implantado sistemas basados en OTP comienzan a sufrir con regularidad ataques de phishing y troyanos.

Los sistemas de autenticación OTP (One Time Password), que al español se traduciría como "contraseña de un solo uso", son aquellos que requieren una contraseña nueva cada vez que se utiliza. Una especie de contraseña de usar y tirar, que minimiza el impacto de que un tercero pueda capturarla.

(de Bernardo Quintero para HispaSec)

Viaje a Francia (4) - Bretaña

Tue, 14 Aug 2007 10:06:28 CEST

Bretaña es una región del noroeste francés.

Sólo estuvimos dos días, así que visitamos muy pocos -pero muy interesantes- lugares: Rennes, Dinan, Saint-Malo y Mont Sant-Michel; en realidad este último se encuentra en la frontera entre Bretaña y Normandía y no está claro a cuál pertenece. Evidentemente las dos regiones quieren que uno de los puntos más turísticos de Francia sea suyo

En resumen, una región que merece la pena visitar; espero volver algún día con más tiempo (y poder hacer más fotos).

Las fotos de Bretaña están aquí.

A continuación los tres sitios más detalladamente.