Categoría : Protección de Datos

Inicio/Archivo por Categoría Protección de Datos (Page 2)

2^74.207.281-1: Descubren el número primo más largo de la historia, algo clave en el mundo de la informática.

Los matemáticos lo buscaban hacía tiempo, pero fue una computadora la que finalmente obtuvo el resultado.

Un ordenador de la Universidad del Centro de Misuri, en EE.UU., descubrió el número primo más largo (hasta hoy), y eso es mucho decir: tiene más de 22 millones de dígitos (muy difícil de leer, claro) y es cinco millones de veces más extenso que el hallado anteriormente. Los números primos son muy particulares: descubiertos por Euclides en 300 a.C., sólo pueden dividirse por sí mismos o por 1. Por ejemplo: 2, 3, 5 y 7. La lista es infinita.

EuclidesLos números primos fueron descubiertos por Euclides.

Y el descubrimiento hecho en Missouri es crucial para el mundo de la informática: una cifra así –tan larga, compleja e irregular– puede ser clave para encriptar computadoras y proteger datos personales y financieros.

Los expertos consideran que los números primos largos son muy importantes para el futuro de la computación.

Reto sin fin

La nueva cifra fue hallada como parte de la iniciativa Great Internet Mersenne Prime Search (Gimps), una búsqueda de alcance mundial para encontrar un tipo particular de números primos largos.

Se trata de los primos de Mersenne, los cuales deben su nombre a un monje francés que los estudió en el siglo XVII.

Son aquellos que surgen de la siguiente ecuación: N=2n-1, en la que N y n son ambos números primos. Es un cálculo relativamente fácil para las computadoras que existen hoy en día, pero no siempre da como resultado un primo de Mersenne.

Número primoEl primo más largo tiene 22.338.618 dígitos.

De hecho, estos números son extremadamente raros. Hasta el momento –incluyendo el recién descubierto– sólo se conocen 49.

El nuevo primo se escribe así: 2^74.207.281-1. Esto quiere decir: 2 multiplicado por sí mismo 74.207.281 millones de veces, menos 1.

En los últimos 20 años, el proyecto Gimps ha calculado los 15 números primos más largos que se conocen. Y las posibilidades de seguir hallando más parecen ilimitadas.

¿Para qué se usan los grandes primos?

Estas cifras son fundamentales para servicios online como banca, compras y mensajes privados. Actualmente, la encriptación usa números primos de cientos de dígitos, no de millones.

“Por el momento, la nueva cifra no tiene un valor práctico, pero seguramente lo tendrá en el futuro”, dice un comunicado del proyecto Gimps.

El 2^74.207.281-1 fue hallado por el doctor Curtis Cooper, de la Universidad del Centro de Missouri.

Si bien una computadora hizo la mayor parte del trabajo, en general se considera que un número primo ha sido descubierto cuando un ser humano toma nota de él.

Fuente: BBC

Detalles de Carta de Seguridad Nacional del FBI

Mientras  los documentos de Snowden han desmitificado las habilidades de la comunidad hackers de inteligencia, pocos detalles se conocen sobre las Cartas de Seguridad Nacional, el más poderoso instrumento de aplicación de la ley para obligar a las telecomunicaciones y los proveedores de servicios de Internet a entregar un amplio alcance de los datos de los usuario, y que lleva consigo una orden mordaza.

Ayer, todo eso cambió cuando Nicholas Merrill, propietario de la ahora extinta ISP Cáliz, estaba legalmente autorizado a revelar públicamente un archivo adjunto de NSL que recibió en 2004 buscando información sobre uno de sus clientes.

En agosto, el Juez de Distrito de Estados Unidos Victor Marrero falló a favor de Merrill, debido a que el FBI no había demostrado que la divulgación de los datos adjuntos NSA sería un  “riesgo de un daño considerado”. Merrill dio al gobierno tres meses para apelar antes de revelarlo.

“El FBI ha interpretado su autoridad NSL para contener los sitios web que leemos, las búsquedas en la web que realizamos, las personas que contactamos, y los lugares a los que vamos. Este tipo de datos revela los detalles más íntimos de nuestras vidas, incluyendo nuestras actividades políticas, afiliaciones religiosas, las relaciones privadas, e incluso nuestros pensamientos privados y creencias “, dijo Merrill en un comunicado difundido por sus abogados en la Escuela de Derecho de Yale.

El archivo adjunto sin editar contiene una larga lista de información que el FBI considera que bajo el “paraguas” de un término jurídico indeterminado “Registro de comunicación electrónica transaccional” En el caso específico de Merrill, el FBI no sólo solicitó información detallada personal, sino también el historial del navegador, dirección  IP del conectado , direcciones de correo electrónico, nombres de usuario y alias en línea asociadas a la cuenta, además de seis meses del valor de las compras en línea. El FBI también buscó un registro radio, que incluye seguimiento de información  por torres base.

NSL que están escritas y ejecutadas sin orden judicial, en los casos que afectan a la seguridad nacional, se han debatido prominentemente desde que se iniciaron las revelaciones de Snowden en junio de 2013. Las empresas de tecnología han argumentado y presentado una demanda en algunos casos, que NSL violan la Primera y Cuarta Enmienda derechos. Empresas como Twitter, Google y otros gigantes dicen que el secreto de sumario NSL mantiene las empresas de tecnología de revelar el alcance de su cooperación con el gobierno y abre la puerta a la especulación de que la NSA, FBI y otras fuerzas del orden podrían tener acceso directo a los datos del cliente.

“El amplio alcance de la autoridad NSL reclamado por el FBI es profundamente problemático porque el gobierno puede emitir NSL sin ninguna supervisión judicial”, dijo Lulu Pantin, un pasante estudiante de derecho que representó a Merrill. “La experiencia de Merrill demuestra que el FBI silencia indefinidamente Proveedores de Servicios de Internet, mientras que los obliga a des-anonimizar sus usuarios y difundir una amplia gama de información acerca de la actividad en línea de ciudadanos respetuosos de la ley o simplemente mediante la emisión de una carta”.

El FBI comenzó a emitir NSL en 2001, poco después del 11 de septiembre los ataques terroristas en los EE.UU. en virtud de los poderes ampliados que ofrece la Ley Patriota. Con la aprobación de la Ley LIBERTAD EE.UU., los poderes que ofrece la aplicación de ley por una Ley de Seguridad Nacional se han refrenado, dijo Andrew Crocker, el abogado personal de la Electronic Frontier Foundation.

“Por un lado, se trata de un negocio muy grande. Este es el primer archivo adjunto NSL que ha sido desprecintado y el FBI emitió 300.000 desde 2001. Eso es un montón que se publicará sin siquiera mostrar simpatía “, dijo Crocker. “Tenemos la oportunidad de ver el alcance de lo que el FBI podría conseguir con una Ley de Seguridad Nacional desde el año 2004. Ha sido desde entonces que tiró  las riendas, y el alcance es un poco estrecho. Pero es algo muy importante ver la amplitud de lo que se pensaba que podían obtener en ese entonces”.

El siguiente paso, dijo Crocker, es continuar desafiando las NSL (que permanecen en uso por una suma de aproximadamente de 10.000 emisiones anualmente) con el argumento de que es una violación a la Primera Enmienda.

“Está claro el alcance que tenían era muy amplio”, dijo Crocker, que apunta a la naturaleza abierta de lo que se considera un registro de comunicaciones electrónicas transaccionales, que en el caso de Merrill se utilizó para obtener la ubicación física del  celular y seguir blancos a través de su celular.

Crocker cree que mientras el FBI siga utilizando NSL en las investigaciones, más desafíos saldrán a la superficie, a pesar del número relativamente pequeño desde 2001. La FEP, dijo que  tiene actualmente dos de estos desafíos en la corte.

“La razón más obvia del porque no hemos visto muchos desafíos es que cuando llegue una carta del FBI que dice; danos la información y no se lo digas a nadie, que es un poco intimidante y la gente no se atreve a enfrentarlos. Hay una intimidación inherente”, dijo Crocker. “Además, cuando van a un ISP con una NSL, es posible que no se preocupen por dar información sobre sus clientes; no es su información. Hemos visto una larga historia de cooperación con la vigilancia de la NSA. Algunos pueden pensar que es su deber patriótico a cooperar. Pero hemos visto que el cambio desde Snowden, los clientes se preocupan por la privacidad y las empresas están tomando diferentes posiciones sobre la privacidad, donde es posible que no hayan pensado mucho al respecto con anterioridad”.

“Es un poco decepcionante que ha tomado tanto tiempo para llegar a este punto”, dijo Crocker, quien agregó que los abogados han llegado a acuerdos en el pasado para conseguir otras partes de NSL sin sellar y sin editar. “Han emitido 300.000 NSL desde 2001 y no sólo han pasado un puñado de desafíos. Esto demuestra el desequilibrio de poderes de vigilancia y lo difícil que es estar a la altura”.

Fuente: Threat Post

Hackers han liberado toda la información robada de Ashley Madison

Hace un mes el sitio web Ashley Madison visitado por aquellos que buscan tener “aventuras” y citas a través del anonimato de Internet, fue comprometido cuando un grupo de hackers se hiciera con toda la información privada de más de 37 millones de usuarios. Desde base de datos de la empresa, a registros financieros, y datos personales de las personas registradas. Impact Team, como se hacen llamar los responsables por el hackeo, amenazaron con liberar los archivos si Ashley Madison no cerraba de inmediato y permanentemente.

Un archivo de alrededor de 10GB que presuntamente contiene correos electrónicos, perfiles de usuarios, transacciones con tarjeta de crédito, y otra información sensible apareció en las últimas horas de este martes disponible como una descarga en la Deep Web solamente accesible a través de Tor. Asumiendo que los archivos sean legítimos y haciendo caso a las amenazas recibidas, estaríamos frente a los registros de clientes, perfiles con fantasías sexuales secretas, las transacciones, nombres y direcciones reales, documentos de empleados y correos electrónicos.

Varios sitios como Wired y ARStechnica han podido descargar los archivos y se encuentran navegando a través de ellos para verificar su legitimidad y la extensión de la filtración.

 Fuente: Hipertextual

 

Ethical Hacking Consultores presente en el FIADI 2014

Después de un buen tiempo sin poder postear nada por la cantidad de trabajo y los viajes programados, hoy saco algo de tiempo para escribir sobre mi experiencia y nuestra participación en el XVIII Congreso Iberoamericano de Asociaciones de Derecho e Informática que se celebró en el hermoso país de Costa Rica del 13 al 17 de octubre del presente.

conferencia fiadi 2Tengo que decir que a un principio tuvimos que cancelar nuestra participación en el evento por temas del trabajo y proyectos agendados que chocaban con la fecha del FIADI, pero por suerte se movió unas fechas con un cliente y por lo menos pudimos llegar el jueves 16 de octubre a Costa Rica.

El viaje inició en el aeropuerto de Tocumen en Panamá junto con mi colega y buen amigo Rafa Revert con quien armamos una ponencia para la FIADI en base a un proyecto que estamos manejando en paralelo.

Partimos en el vuelo de las 8am desde Panamá y después de unos 55 minutos de viajar dormidos como bebes, llegamos a Costa Rica donde nos recogió Juanka Sanchez un buen amigo tico de bastante tiempo. Llegamos al hotel sede del evento, nos registramos, dejamos nuestras cosas y en nuestro intento de salir a almorzar y dar unas vueltas nos enteramos a través del Presidente del congreso (Juan Diego Castro) que nuestra exposición era en dos horas jeje, así que tuvimos que dar media vuelta a la habitación a terminar la ponencia.

monitoreo gsmCuando llegamos el evento nos recibió Juan Diego Castro con una calurosa bienvenida y nos presentó a varias personas del congreso. Subimos a exponer nuestra propuesta sobre “Privacidad sin Impunidad”, la cual trata sobre la implementación de un sistema de interceptación y monitoreo de redes GSM (Celulares), dentro de los sistemas penitenciarios como un proyecto de seguridad social que permita adelantarse a los delitos de crimen organizado que se manejan desde las cárceles. La charla fue en conjunto con Rafa y se mantuvo bastante dinámica y divertida con lo que gusto bastante a los asistentes del congreso y nos contactaron algunos profesionales luego de la charla para ver algunos temas de negocios o consultas un poco mas técnicas.

valentinComo siempre después de las charlas, vienen las reuniones post académicas en el hotel o en algún local, donde tuve el gusto inmenso de volver a ver a muchos amigos que no veía hace tiempo, conversar y reír bastante, hasta tuve el gusto de conocer a nuevos fiadis como Karen Flowers de México quien vino recomendada por otra amiga de la FIADI y quedo bajo el cuidado de Augusto Ho y Yoselin Vos, dos antiguos fiadis, destacados abogados en Panamá y muy buenos amigos. Tuve el inmenso gusto de ver a varios de los fiadis jóvenes que, en cada evento se los ve mas confiados y se destacan mas con sus ponencias como Federico Bueno de Mata (España), Carlos Eduardo Medina Guerrero (México), David Santivañez (Perú), Erika Yamel Munive (México/España) y un fiadi joven que falto al congreso pero porque estaba naciendo su pequeño pedacito de vida, nuestro amigo Humberto Martín Ruani.

Entre las gratas sorpresas de la fiadi, fue ver y compartir unos momentos con tan excelentes profesionales por su calidad humana y capacidad de exposición como el Dr. Horacio Fernandez Delpech (argentina), el Dr. Valentín Carrascosa López (España), la Dra. Myrna Elia García (México) y nuestro anfitrión el Dr. Juan Diego Castro (Costa Rica).

Otra de las gratas sorpresas fue que recibí varios elogios y palabras de aliento por el día que hicimos Ángeles y Demonios dentro el congreso FIADI 2013 en Bolivia que todavía la gente lo seguía comentando un año después.

Hablando desde un enfoque mas objetivo sobre el evento tengo que decir que la organización durante las conferencias fue sobresaliente, el manejo de horarios me pareció bastante adecuado ya que en la mayoría de los eventos pasados que empezaban a las 8am los primeros  expositores no tenían casi público por las desveladas que se da la gente por las noches, en cambio en este FIADI las jornadas iniciaban a la 1:30 del medio día hasta las 8pm de la noche.

auditorioLo que no me pareció correcto y hubo bastantes comentarios negativos al respecto de varios de los participantes fue el filtro de ponencias, porque habían algunas charlas que de verdad te daban sueño y otras donde solo salían a leer sus diapositivas, comos si nosotros no supieramos leer.

El evento lo volvieron a hacer muy jurídico y no de una forma mixta con la participación de la parte informática como tal dice el nombre de la organización FIADI, “Derecho e Informática”.

Y por último me llamó la atención que al final del evento no hubieron las conclusiones del evento ni los objetivos que generalmente se leen al cierre de este congreso.

Sin embargo yo se que no todo puede salir perfecto en este tipo de organizaciones pero aun así me gusto bastante el congreso ya que tuve la oportunidad de ver amigos de tiempo, afianzar amistades, generar contactos, abrir opciones de negocios y conocer nuevos amigos que espero ver el próximo año.

Nos vemos en Medellin – Colombia para el congreso FIADI 2015 a cargo de nuestro buen amigo y excelente persona Jefferson Espinoza Vera.

 

Finaliza el Diplomado Experto en Delitos Informáticos e Informática Forense v2

Recién después de dos semanas saco algo de tiempo para escribir esta entrada.

Terminó el Diplomado de “Experto en Delitos Informáticos e Informática Forense” en su segunda versión en la Universidad Latina de Panamá, del cual expongo mis experiencias a continuación:

En cuanto a los cursantes, tengo que decir que tuve el agrado de conocer a un excelente grupo de profesionales bastante diverso la verdad. El grupo de 25 profesionales, estuvo compuesto por abogados e ingenieros de sistemas en la mayoría por lo que pude abarcar temas más técnicos sin mayor conflicto con la parte judicial y también ahondamos en temas jurídicos durante la participación de nuestro invitado de Lujo el Dr. Alexander Días García que llego de Colombia para la tercer semana del diplomado.

Alexander dictó sus clases todo entusiasta y efusivo como lo conozco, dejando grandes expectativas en los cursantes y despertando muchas inquietudes por temas relacionados a la protección de datos personales, privacidad de la información, el bien jurídico tutelado y los mismo delitos informáticos.

No puedo dejar de mencionar que el grupo de cursantes fue un grupo bastante dinámico y participativo, los abogados del grupo se integraron excelentemente con los ingenieros en las prácticas, laboratorios y en todas las clases, de donde se crearon muy buenas relaciones de amistad y lazos profesionales entre los participantes.

Algo que me llamó la atención también fue la diversidad de empresas e instituciones que se interesaron y enviaron a su personal a nuestra certificación, a quienes agradezco tanto a la institución como al profesional que asistió por depositar su confianza en nuestro programa internacional de certificaciones y menciono a algunas de las que recuerdo:

  • Autoridad del Canal de Panamá
  • Ministerio de la Presidencia – SPI
  • Embajada Norteamericana
  • TELERED
  • BANESCO
  • Global Bank
  • Banco General
  • Grupo Sonitel
  • Sucre, Arias y Reyes
  • Networks
  • SSA Sistemas
  • Green Servers
  • Grupo Adams
  • Business IT Solution
  • PTY Technology
  • GV Tech Inc.

De mi parte lo mejor que pude hacer con este excelente grupo de profesionales fue entregarles la mayor cantidad de tiempo y atención en las clases y fuera de ellas, tratar de cubrir todas las dudas y preguntas realizadas, motivarlos e impulsarlos a incursionar en profundidad en estos temas tan apasionantes y dejarles bastante información práctica, mi conocimiento y predisposición para colaborarles dentro y fuera de clases.

Al final del curso decidimos realizar una cena de confraternización, la cual estuvo muy divertida y amena, nos reunimos en el restaurante Leños y Carbón de El Dorado donde pasé unos momentos muy alegres con todos los que pudieron asistir y bueno faltaron algunos que avisaron que por temas del trabajo o personales no podrían asistir pero también los recordamos en la cena y nos divertimos bastante.

Espero verlos a todos en la próxima reunión del grupo y les deseo el mejor de los éxitos para los que van a dar la prueba de certificación internacional para optar al certificado de Experto en Delitos Informáticos e Informática Forense.

Para los que no pudieron entrar en este grupo, les informo que el 23 de Junio damos inicio a la tercera versión.

Saludos.

SCCAID: Herramienta para la Automatización del cambio de Contraseñas

¿Cuántas identidades digitales podemos tener registradas en Internet? ¿entre 10 y 30 cuentas en servicios distintos…, quizá más?, y entre estas, ¿cuántas contraseñas distintas tenemos?, ¿qué complejidad tienen esas contraseñas para que seamos capaces de recordarlas todas?

Cada día que pasa son más y más servicios en los que un usuario está dado de alta y como tal se hace bastante complejo el mantenimiento de las contraseñas en todos estos servicios.
También se hacen cada vez más habituales las noticias informando sobre filtrados de bases de datos con contraseñas y publicaciones de cuentas de usuarios (AdobeLinkedInYahooSonySnapchat…), otorgando mucha más importancia a una buena gestión de cambio de contraseñas para los distintos servicios en los que el usuario este dado de alta.Si realizamos una valoración de la cantidad de servicios a los que estamos suscritos y lo multiplicamos por el coste en tiempo que nos lleva hacer un cambio de contraseña (tarea que deberíamos hacer de manera regular), y si además tenemos en cuenta el riesgo de que de una manera u otra se pueda comprometer una de nuestras cuentas, la conclusión a la que llegamos es clara, tenemos un problema.

Llegados a este punto, ¿qué solución o valor añadido se puede aportar a este tipo de situaciones?
Para dar respuesta a esta pregunta queremos presentaros la aplicación “SCCAID”, desarrollada por un grupo de alumnos del Máster de Seguridad de la UEM y dirigidos por Alejandro Ramos (@aramosf) como parte del Proyecto Fin de Máster.

¿Qué es SCCAID?

Es una aplicación cuya función principal reside en proporcionar al usuario una herramienta para poder gestionar cambios de contraseñas de manera rápida y eficaz tanto en un servicio en concreto de manera individual como en varios servicios a la vez y de forma paralela.

¿Cómo funciona?

Básicamente es un motor de peticiones Web que utiliza plantillas XML en las que se indican las peticiones que se deben realizar al servidor Web del servicio para ejecutar el cambio de contraseña.
Un ejemplo de cómo SCCAID realiza un cambio de contraseña:

¿Qué valor aporta SCCAID?

  • Reducir drásticamente el tiempo invertido en realizar un cambio de contraseña. Imaginad el tiempo que se ahorra en cambiar la contraseña de 5 servicios introduciendo los datos una única vez y sin tener que hacer clic y esperar a que cargue cada nuevo formulario Web.
  • Flexibilidad y sencillez a la hora realizar un cambio de contraseña cuando sea necesario o demandado por el usuario. Sólo es necesario introducir los datos de tu cuenta y la contraseña la primera vez, y en sucesivos cambios solo habrá que introducir la contraseña nueva a establecer.
  • Favorecer el uso de contraseñas complejas para todos los servicios en los que el usuario esté dado de alta en detrimento de la utilización de un número mayor de contraseñas débiles para cada uno de los servicios.

¿Qué funcionalidades implementa en su versión actual?

  • Política de Contraseñas, el usuario puede elegir complejidad y periodicidad aplicable a sus contraseñas:
  • Integración con LastPass y Keepass a través de ficheros CSV:

  • Integración con Latch (más información en el artículo de elladodelmal):

  • Posibilidad de realizar backups en sistemas de ficheros y vía FTP:
  • Gestión de perfiles, posibilidad de creación de perfiles y almacenes. Por ejemplo un usuario podrá crear un almacén con un perfil denominado Redes sociales que contenga servicios como Twitter y Facebook y otro perfil con los perfiles de tiendas PrestaShop y Ebay. De este modo podrá agrupar según sus necesidades y realizar cambios de clave en bloque o por separado.

¿Qué servicios soporta?

Hasta ahora los servicios que soporta SCCAID son los siguientes:
Para finalizar, os dejamos el enlace de descarga de una nueva revisión de la aplicación para todos los que quieran probarla y ver su funcionamiento.
Si lo descargasteis de elladodelmal os recomiendo desinstalar esa versión e instalar esta, ya que a cada nueva actualización que realicemos la aplicación os avisará y se actualizará automáticamente.Nos podéis seguir a través del Twitter @ProyectoSCCAID siendo esta cuenta de momento el punto de contacto con los usuarios que lo prueben para ir recogiendo feedback.

No queremos despedirnos sin dar las gracias a SecurityByDefault por el apoyo a nuestro proyecto permitiéndonos publicar el artículo, a Alejandro Ramos por su ayuda en el proyecto y su apoyo, a Chema Alonso por el apoyo en su blog y a todos los usuarios que lo probéis y nos ayudéis a mejorar.
¡Saludos!
Autores: Rubén Franco (@FrankNoIdea), Miguel Ángel García (@nodoraiz) y Moisés Llorente (@moisllorente)

Las Fugas de Información más Grandes del Mundo

Si alguna ves se preguntaron cuales son las estadísticas a nivel mundial por fugas de información, si están haciendo un trabajo sobre protección de datos y fugas de información, o si están investigando sobre estos temas y necesitan documentar datos para respaldar su información, acá les traigo un sitio web que se encarga de hacer esto y nos lo muestra de forma gráfica.

El sitio web Information is Beautiful, nos trae un mapa gráfico sobre las fugas y perdidas de información a nivel mundial de las empresas, instituciones y organismos gubernamentales que fueron comprometidos y de los que muchos fueron noticia en los diarios de todo el mundo como el reciente caso de Target en EE.UU.

info-lost01

Este mapa de fugas de información trae un filtro a través del cual podemos sacar gráficas de las fugas por tipo de información filtrada y por método de fuga de información, con lo que podrán crear gráficas interesantes para sus investigaciones, estadísticas, investigaciones o presentaciones que tengan que armar.

Enlace:  Mapa de Fugas de Información.

Disfruten del mapa.

 

Continuar leyendo