Archivo de la categoría: Comunicación Segura

Sniffers – Captura de Tráfico

Una comunicación entre dos equipos, requiere del envío y recepción de información encapsulada en paquetes, que viajan a través de la red, regidas por protocolos de comunicación, dando lugar al concepto de Internet, como gran red de interconexión. Así este tráfico de paquetes, es el que hace posible el acceso a nuestro correo, navegación por Internet, chats, VoIp … es decir, a través de estos paquetes viaja información sensible y personal, que puede verse comprometida si no se trasnmite de una forma segura.

Los Sniffers, son un tipo de software especializado en la captura, decodificación y analices del contenido de los paquetes que viajen por una red. Su propósito puede ser muy variado, desde el analices de tráfico como herramienta de auditoría hasta la extracción o robo de información personal, tales como contraseñas o credenciales, pudiendo poner en compromiso la confidencialidad de la comunicación. Seguir leyendo Sniffers – Captura de Tráfico

Proyecto Tor, anonimato Online.

Originalmente fue desarrollado con la Marina de los EE.UU, con el propósito principal de proteger las comunicaciones gubernamentales. Hoy en día, se utiliza para una amplia variedad de propósitos, militares, periodísticos, políticos o por usuarios de Internet … permitiendo  mejorar la privacidad y la seguridad en Internet, evitando análisis de tráfico o rastreos de comportamientos. Tor evita que los sitios web rastreen o guarden información del usuario, o permite el acceso a sitios cuando estos son bloqueados por sus proveedores locales de Internet, deslocalizando la ubicación geográfica. Seguir leyendo Proyecto Tor, anonimato Online.

Algoritmos Hash

Un hash criptográfico es una  “firma” de un texto o un archivo de datos con el objetivo de garantizar su autenticidad.

Un hash no es cifrado, no se puede obtener el texto o archivo original a partir de el (función solo de ida), y es de tamaño fijo para cualquier tamaño de texto de origen. Ejemplo de aplicaciones donde es recomendable el uso de estas funciones: Seguir leyendo Algoritmos Hash

DoS – Ataque de Denegación de Servicios.

El ataque consiste en la saturación de los puertos de comunicación con un gran flujo de información capaz de consumir todo el ancho de banda de acceso, provocando que el servicio o recurso en cuestión sea inaccesible. Puede tratarse de ataques TCP, UDP o ICMP, inundando la red con este tipo de paquetes.

DDoS (Distributed Denial of Service), es un caso particular, ya que se basa en la característica anterior, solo que es distribuido, es decir, un objetivo es atacado desde varios puntos simultáneamente.

Existen servidores que ofrecen protección contra este tipo de ataques, ya sea mediante proxys dedicados, corafuegos, este tipo de ataques es muy costoso de aislar.

En procesos de auditorias, es muy frecuente la simulación de este tipo de ataques, para medir calidades de servicio y el ancho de banda reales.

Ataques actuales conocidos: Tras publicaciones de Wikileaks de información confidencial que implican y afectan a varios instituciones gubernamentales, medios de pagos como Mastercard, Visa o PayPal, retiran la posibilidad de realizar donaciones a la Web por presuntas irregularidades. Como consecuencia, Mastercard y Visa reciben un fuerte ataque basado en DDoS, logrando tumbar los servicios WEB.  La operación recibe el nombre Assange Avenge (Vengar a Assange, fundador del portal).

OWASP seguridad Web al alcance de todos.

La Fundación OWASP (Open Web Application Security Project) es un proyecto de código abierto destino al desarrollo de aplicaciones Web seguras. Se tratan de una guía de recomendaciones detallada con el fin de securizar este tipo de aplicaciones. Incluyen amplia descripción de las principales vulnerabilidades existentes y pautas para evitarlas.

Muy recomendable su seguimiento como guía en la persecución de desarrollos no vulnerables y actualizados ante las posibles nuevas amenazas.  También dispone de un conjunto de herramienta capaces de testear vulnerabilidades (WebScarab)  o simulación de vulnerabilidades.

OWASP Top 10 2010 – PDF – Principales 10 vulnerabilidades.