SEGINFOCIS

Tema genérico de Seguridad en las Tecnologías de la Información y las Comunicaciones: Ciberguerra, ciberespionaje, ciberdelito, redes sociales.
Mueca
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 543
Registrado: 14 Ago 2008 05:02

SEGINFOCIS

Mensaje por Mueca »

SEGINFOCIS: Esta norma pretende recoger los requisitos de seguridad relacionados con los Sistemas de Información y Telecomunicaciones.
easy
Mueca
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 543
Registrado: 14 Ago 2008 05:02

Re: SEGINFOCIS

Mensaje por Mueca »

Entiende de las medidas de protección aplicables en los sistemas de información y telecomunicaciones con el objeto de
garantizar razonablemente la confidencialidad, integridad y disponibilidad de la información que manejan.

Previamente a que un sistema comience a manejar información del Ministerio deberá estar autorizado por la autoridad
facultada para ello, de acuerdo con el desarrollo normativo de la presente política.

La autorización otorgada a un sistema le permite manejar información del Ministerio en unas determinadas condiciones de
confidencialidad, integridad y disponibilidad. Dicha autorización se ajustará al procedimiento que para tal fin apruebe el Director de Seguridad de la Información del Ministerio.
easy
pituitaria
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 860
Registrado: 09 Sep 2009 18:44

Re: Recursos y trucos de informática

Mensaje por pituitaria »

How to open a computer without password
First in the welcome screen press ctrl+alt+delete 3times and a new dialog box will come up.In the user name type administrator (if it isnt typed )and then press ok without entering any password.
A new anccount will open with administrator privilleges (when you log off it will dessepear)

http://www.youtube.com/watch?v=A58WDQVS ... re=related
A mi "me contaron" una vez... que si quería enviar información de forma y manera segura, utilizase lo siguiente:

http://nadaeseterno.110mb.com/hushmail.htm

http://www.kriptopolis.org/si-pueden-no-googleen


Tor: Perspectiva

http://tor.hermetix.org/overview.html.es

http://www.torproject.org/about/torusers.html.en

http://nobody.zerodays.org/wp-content/u ... -59-11.jpg
Nada es eterno...
http://www.kriptopolis.org/truecrypt

Un poco de amenazas:

http://www.eset-la.com/centro-amenazas/ ... enazas.php

https://www.virustotal.com/

File Scavenger®, versión 3
USBDeview/////USBOblivion
Recuva //////Eraser; Hardwipe


-----------------------------
https://passfault.appspot.com/password_ ... .html#menu

...éste es buen truco para ocultar las carpetas en Nokia o móviles compatibles con Java.lo especial de este truco es que no hay software necesario para ocultar la carpeta.

ocultar la carpeta:
Paso 1:¿Ha pensado usted que carpeta desea ocultar? sí, cambiar el nombre de esa carpeta y añadir la extensión "jad" a esa carpeta ...
Por ejemplo: si desea ocultar la carpeta "Videos". a continuación, añadir la extensión "Videos.jad". ¿Lo tienes?
Paso 2: Ahora crea otra carpeta con el mismo nombre pero con la extensión "jar", asi, Videos.jar Eso es todo... la carpeta Videos.jad está oculta. Sólo la carpeta Videos.jar es visible. mostrar la carpeta: ". jar". Para mostrar la folder.jar simplemente borrar o eliminar la carpeta que termina con la extensión "jad"...
Por ejemplo: Puedo ocultar Videos.jad. ; Videos.jar es visible. Si borro la carpeta videos.jar, a continuación, la carpeta videos.jad será visible.

-..............-Como poner un Nick vacío

Si te has dado cuenta cada vez que deseas dejar tu Nick en blanco no se puede, para que esto no te pase de nuevo haz lo siguiente; donde se escribe el Nick... dejando presionada la tecla Alt. escribes con el teclado numérico 0160, verás como se crea un vacío en tu Nick. 8)
......clonar y clonar invisible :
- clonar en donde dice user=(nick de la victima) y seguido presionas ALT+0160
- user=%91 nick victima
action=403&user=123&room=hackers
action=403&user=%91123&room=hackers

-...............-Enviar un mensaje a alguien que te tenga omitido

Primero, hay que ponerle a la persona que nos omite Sin Admisión.
Ahora, lo que hay que hacer es ponernos como Nick el mensaje que queremos mandarle/la.
Y por último, lo/la volvemos a admitir. Desde luego que no podremos hablar con él/ella, pero le saldrá al momento una ventanita con nuestro Nick (que en realidad será el mensaje que queramos decirle/la) diciendo que acabamos de iniciar sesión.
¿ Por qué lo hemos omitido primero?, porque así el mensaje solo le saldrá a él/ella, y no a toda la lista de contactos, al Admitirlo de nuevo, solo le saldrá a él/ella la ventanita.

-...-

http://www.belt.es/expertos/HOME2_experto.asp?id=6511
Komet
Apoyo Tecnico
Apoyo Tecnico
Mensajes: 81
Registrado: 08 Feb 2008 03:51

Re: Cifrado y Encriptación

Mensaje por Komet »

Hombre, bronca no creas, pero lo ideal seria que aportases alguna prueba de tus informacion al respecto de que los algoritmos "salen debilitados", como dices. Para que no parezca un mensaje conspiranoico, mas que nada.

Seria muy extraño que, estando debilitados como afirmas, en los concursos de los ultimos 16 años el unico que haya sido violado haya sido la implementacion Eka del Blowfish de IBM (cosa que ya es hasta una broma recurrente, sobre todo para los especialista de banda K).

Con respecto a la videoconferencia, imagino que te refieres a hacerlo "a mano". En ese sentido busca informacion, existe hace años una aplicacion alemana que usa el sistema RSA (y los suecos de IDS tienen a la venta para sector pubico una version de la misma y, ojo, lo consideran hasta tecnologia vieja). Simplemente es cuestion de llave publica y llave privada. O cuela o no cuela. No hay necesidad de hardware especialmente potente.
De hecho, la demo que andaba por youtube hace unos años la hacian en un pentium viejo (eso si, usando linux).

Un saludo.
Komet
Apoyo Tecnico
Apoyo Tecnico
Mensajes: 81
Registrado: 08 Feb 2008 03:51

Re: Cifrado y Encriptación

Mensaje por Komet »

Curiosidad escribió:Sisisi, osea que en tiempo real cifra las tramas!
Pues nada, he repasado mi post y no veo donde he comentado nada de tramas.
Curiosidad escribió:Yap, pasame esa demo que tu dices, por que hasta que yo no lo vea no lo creo, es mas, por mis manos han pasado programas que decian hacerlo y del dicho al hecho hay mucho trecho.
Disculpa, que te pase yo una demo? Buen golpe, ese.
Como te referenciaba en otro post, con una simple visita al Cebit te encuentras de bruces con un nutrido grupo de empresas que se dedican a eso y desde hace años.
El que hayan pasado o no programas por tus manos, es lo de menos. Existen. El hecho de que no conozcas su existencia puede deberse a algo tan simple como que no sea tu sector, o que no tengas esos contactos profesionales o que carezcas de la informacion. Lo que importa es que quienes realmente los necesitan si saben de su existencia y los usan.
Y hablando del tema probatorio, te remito a mi post anterior, a tu afirmacion sobre que los algoritmos "salen debilitados".
Curiosidad escribió:Por favor ilustrame
.

Esta bien, si insistes. Empieza por la teoria de las VPN.



Un saludo.
Komet
Apoyo Tecnico
Apoyo Tecnico
Mensajes: 81
Registrado: 08 Feb 2008 03:51

Re: Cifrado y Encriptación

Mensaje por Komet »

Curiosidad escribió: Hombre, de buen golpe nada!, si hablas de programas por lo menos acompaña con algunos ejemplos, eres poco preciso en los detalles, es lo minimo tio!.
Exigir a otro lo que uno mismo niega no suele ser de buen aguero. En dos ocasiones, en post anteriores, sugeri la posibilidad de que aportaras pruebas a tu afirmacion de la manida "debilidad" deliberada.
Por otro lado, ya de soslayo, deberias saber que, en esos terminos de software que se habla, no existen versiones "demo", "trial" o "shareware" (ah, que tiempos aquellos), dado que es un sector un poquito mas serio a la hora de hacer negocio.
Que exista un version "trial" de 30 dias del software forense del FBI no implica que el resto de la comunidad del software del sector publico sea tan idiota como para hacer el payaso de esa manera.
Curiosidad escribió: En lo referente a los siguientes puntos a tratar te sugiero que respondas a lo que yo pongo y no salgas por la tangente.
¿En algun momento he tratado yo el tema de las empresas?, he hablado de algoritmos, de que la encriptacion segura de una videoconferencia A NIVEL DOMESTICO, no es posible, si dices que si MIENTES, y las aplicaciones que realmente realizan un encriptado decente de videconferencias, no son accesibles al publico ni con dinero, ya que hay un mercado que no es accesible sino perteneces a ciertos circulos.
Pontificas. Y yo te detallo, sin salirme por esa tangente que TU mencionas. Si, si has tratado el tema de las empresas. Te recuerdo (aunque puedes releer tu post) que has hablado de la deliberada debilitacion de un algoritmo cuando sale a la zona comercial.
Cuando hablas, ahora, no antes, de "encriptacion segura de una videoconferencia a nivel domestico" deberias primero explicar que entiendes TU por "segura", dado que, leyendo tus posts, es lo que en ningun caso queda claro.
El resto de tus pontificaciones de la cita anterior quedan como tal, tu estableces la verdad universal. Amen. Menos mal que el resto del mundo no se rige por dichas pontificaciones.
Curiosidad escribió:Cuando hablas de lo que ha pasado por mis manos o no ha pasado por mis manos, me resultas ridiculo, ya que no es solo lo ha pasado por mis manos (que no tengo por que decirlo), sino tambien lo que gente que esta alrededor mio ha probado y despues me han mostrado
Te recuerdo que eres tu quien calificas "lo que hay" segun lo que ha pasado por tus manos o, ahora, por las manos de gente alrededor tuya. Debemos, pues, suponer, que no hay nada nuevo bajo el sol salvo lo que por tus manos, o las que te rodean, circula. Amen a eso tambien, hermano.
Curiosidad escribió:por ultimo EDITADO POR EL MODERADOR prueba con otro que ya llevo mucha tralla y se como va esto, poner nombres de organizaciones, seminarios, etc etc, queda bien, la verdad es que yo tambien podria decirlo
En realidad, queda mejor si realmente conoces a dichas organizaciones, seminarios, etc, etc, aunque para ello, claro, hay que estar en el sector, no basta con afirmar que se posee "mucha tralla" o que se sabe como va "esto" (¿?).
Curiosidad escribió:venga coño, va uno, tendrias que ver el CPD donde yo estuve perteneciente a uno de los cuerpos de las fuerzas de seguridad del estado, alucinante!.
Guau. Coincido. En el mas estricto y absoluto significado que le atribuye la RAE (otras siglas, para tu coleccion), alucinante, si.
Por cierto, a modo informativo, es mas probable que saques informacion del estado actual de como esta la realidad de lo que mencionas dandote un paseo por el cebit (cosa que he mencionado ya varias veces), que en esa, ¿como la llamas? ah, si, CPD de etc, etc.
Curiosidad escribió:Por cierto si hablo de tramas, EDITADO POR EL MODERADOR, es por que se habla de videoconferencias, no se trata de encriptar una base de datos, no se ni por que me molesto en responderte.
Hombre, lo que esta claro es que TU eres el unico que habla de tramas y, por extension, tambien eres el unico que habla de encriptar bases de datos. Y, por lo demas, no seas modesto, si sabes, y yo tambien, por que te molestas en responderme.
Curiosidad escribió:Uis tio! por cierto ¿Aqui es donde tengo que hablar de ssl, de protocolos de encriptacion para establecer el tunel, RSA, D-H, AES, ademas de los ataques por ejemplo man in the middle etc etc?
Hummm, aqui es donde viene la manida frase "are you from the past?". Parece ser que o bien andas un poco desfasado, o lo pretendes.
Curiosidad escribió:oisss lo llevas claro si pretendes que te enseñe. Tu eres el que ha entrado a saco diciendo que yo estoy completamente equivocado asi que si quieres demostrar que estoy equivocado por lo menos molestate en adjuntar una explicacion de por que estoy equivocado, no te limites a soltar datos vagos e imprecisos, en fin. EDITADO POR EL MODERADOR
Creo que la falta de humildad te nubla notablemente el raciocinio. No pretendo que me enseñes, basicamente porque A), no te conozco y B) no se desprende de tus posts ninguna sabiduria universal que el resto de los mortales ansiamos desear.

Tambien creo que te falta comprension lectora porque ni he entrado a saco, como afirmas, ni he establecido que estas completamente equivocado como tambien afirmas. Esto, por ejemplo, me da pie a afirmar, sin ningun genero de dudas, puesto que la letra pesa, que eres un mentiroso, dado que mientes.

Era tan facil leer los posts publicados para verificar que no he entrado a saco a decir que estas completamente equivocado...

En cualquier caso, y siguiendo con este off topic, es posible, quien sabe, que quizas los datos que calificas de vagos e imprecisos lo sean para ti por falta de conocimiento. Quien sabe, quizas es cuestion de humildad.

Vanitas, vanitatem...


Un saludo.
Oraculo

Re: Cifrado y Encriptación

Mensaje por Oraculo »

Muy interesante el último post.
Komet
Apoyo Tecnico
Apoyo Tecnico
Mensajes: 81
Registrado: 08 Feb 2008 03:51

Re: Cifrado y Encriptación

Mensaje por Komet »

Cuanta agresividad. Se ve que cuando no hay argumentos, es lo que queda.
Curiosidad escribió:Me he leido todo el post, una vez te responda, no pierdo el tiempo respondiendote a mas intervenciones.
A ver si es verdad esta vez, que ya has dicho un par de veces que estas por encima de estas cosas y aqui estas, pegado.
Curiosidad escribió:Vamos a ver, no voy a copy paste todo lo que has puesto en otros post, pero tu has sido el que me has empezado exigiendo desde que te ponga que te de una pequeña charla sobre VPN pasando por algoritmos y bueno demas basura que has puesto
Mentiroso.
Curiosidad escribió:¿Sugerir? entraste a lo bestia, con aires de grandeza exigiendo en unos terminos que vas listo si crees que vas a conseguir asi
A conseguir que? Al menos, termina las frases.
Curiosidad escribió:Te recuerdo que el termino demo, lo has introducido tu. Yo simplemente me he limitado a utilizar tu lexico.
Pues no andas muy fino, ni de comprension ni de lexico, si de "demo en youtube" te sacas tu una demo de software.

Curiosidad escribió: Lo que si saco leyendo entre lineas hasta ahora es que careces de experiencia real en formar parte de proyectos de desarrollo de software.
Y con esa capacidad deductiva no sacas, por poner, tambien mi fecha de nacimiento y mi color favorito?
Curiosidad escribió:Y no te veo suelto utilizando terminologia, yo en otros post he explicado ya ciertas cosas que tu no has hecho, simplemente te has limitado a nombrar organizaciones y demas chorradas.
Chorras que, por cierto, no has rebatido.
Curiosidad escribió:En cuanto a la existencia de software creado por FBI, NSA etc etc, para empezar utilizan sus propios lenguajes como hace la misma NSA, son software con un control que no te crees ni tu que circule por ahi copias "demo" que tu dices que circulan, mientes como un bellaco. Lo que si circula por ahi son versiones para enseñar en "reuniones" y esas versiones no circulan por ahi tan libremente como tu dices, por mucho Cebit y gilipolleces que tu digas.
Veo que tienes una fijacion conspiranoica con "los americanos".
En cuanto al software, oh, si, es secreto y nadie conoce su existencia. Por poner un par de ejemplos, ampliamente conocidos en España, tienes NarusInsight, de la empresa Narus, el Network Surveillance Awareness, mas conocido como Room 641A por los conspiranoicos, usado por, si, la NSA, y hecho y patentado por ATT o el interfaz del CODIS, tan de moda por CSI y demas, que en su ultima version ya viene hasta en Java y de manufactura de Adrian Bilington, viejo conocido desarrollador de interfaces de acceso para Oracle.

Ahi tienes, unos cuantos nombres y siglas chorras, como tu dices.

Curiosidad escribió: ZZZzzzz . Perdona me he dormido leyendote. Paso a lo siguiente
Perdonado. Si, pasa a lo siguiente a ver si tienes mas suerte.
Curiosidad escribió: Lo del CPD me ha hecho gracia, por que CPD significa Centro PRocesamiento de Datos, sino sabes lo que es un CPD, no se que coño hago respondiendote
Creo que, nuevamente, te falla la comprension lectora. No estaba estableciendo si se o no se lo que es un CPD. Me estaba riendo directamente de esa afirmacion tuya.

Curiosidad escribió:A ver, te reconozco una cosa, podrias pasar como aprendiz de manipulador. Si se empieza diciendo que existe la posibilidad de que un ciudadano realiza una videoconferencia encriptada en tiempo real, a ver genio!, dime!, ¿cuando uno mantiene una transmision sobre que se asienta dicha transmision, como se transmite la informacion? tic toc tic toc, toca responder! ostia pero si el termino buscado es: las tramas. Es decir paquetes de informacion que se mandan de un ordenador a otro
Bien, genial. Has demostrado que sabes explicar, a tu modo, y de manera muy tosca, un concepto. Quieres un premio?
Curiosidad escribió:Madre mia, bendita ignorancia!, ¿tu crees que aqui alguien esta interesado en demostrar su nivel real?
Nivel de que? Esto es un foro de debate, se viene a debatir. Si prefieres venir con ese rollo conspiranoico y soltar piedras, tu mismo. Te recuerdo que has empezado por decir, asi, sin antestesia, que los algoritmos de debilitan deliberadamente al salir a la "zona comercial". Te he pedido alguna prueba y me sales con todo este desproposito.
Pues, en ese sentido, si que has demostrado tu nivel real.

Curiosidad escribió:seria muy estupido o bueno, si te haces pajas mentales con ser espia, pues entiendo que fanfarrones, pero sino, como que yo no tengo que dar explicaciones a nadie y menos a ti que no has empezado con buen pie conmigo
Si no tienes que dar explicaciones de las afirmaciones que haces, genial. Oye, por mi perfecto, a partir de ahora aceptamos lo que quiera que escribas como dogmas de fe.
Curiosidad escribió:No es falta de humildad, es que segun me entren asi respondo. Despues ... la verdad es que no pretendo enseñarte, ni vengo a demostrar nada por que yo solo muestro cuando me muestran. En comprension ando bien, lo que me falta es empatia con los crios, me debo estar haciendo viejo.
Pues, efectivamente, tienes falta de comprension, porque no se te ha faltado al respecto, cosa que tu si has hecho.
Hombre, yo no se si te estas haciendo viejo o no, personalmente lo dudo, pero que desde luego escribes como un ventiañero impetuoso y faltas el respecto de ese palo.
Curiosidad escribió:Hablas sobre la normativa para proteccion tempest y citas al FBI. te sugiero que primero empieces España que la normativa aplicable sale del CCN, tambien hablas de un documento del FBI del 93 que establece bla bla bla,
Y por que tengo que citar lo que TU quieres? No es esto un foro de debate? Ah, no, me olvidaba, lo que tu dices es dogma.
Curiosidad escribió: ¿A ti que te ha hecho la NSA que no les reconoces el papel que tienen en la redaccion de documentos en lo referente a proteccion tempest? por ponerte algo
http://cryptome.org/nsa-94-106.htm .
A mi la NSA no me ha hecho nada. Lo que no ha hecho la NSA es, precisamente, colaborar mucho en la proteccion tempest.
Tanto es asi que, por ejemplo, del actual rosario de normas otan (hasta 163, segun el ultimo recuento), solo dos salen de los rfc aportados por la NSA. Tradicionalmente ha sido el FBI el mas preocupado por Tempest dado que a ellos los pillaron con los pantalones bajados en su propio territorio y desde entonces han sido los colaboradores mas activos, no tanto en aportaciones de informacion, como logrando implicar a la FCC para emitir dictamentes, etc, etc.

Curiosidad escribió:Bueno si quieres seguir este post, te sugiero que empieces por realizar demostraciones de conocimientos y asi fijate podrias llegar a callarme la boca
Mi intencion no es callarte la boca, esto es un foro y se viene a debatir, tal vez lo hayas olvidado. Cierto es que se hace dificil debatir con mentirosos.
Curiosidad escribió:Si quieres empezamos por charlar sobre la siguiente intervencion de ENIGMA, que viene a decir mas o menos lo que yo digo, sino vas a respoder a esto, no esperes respuesta por mi parte
Vaya, lo dices como si realmente fuese una pena que no respondieses.

En cuanto al copy paste que pones, resulta gracioso. Recuerdas que haces unos posts te puse "empieza por la teoria de las vpn"? Caramba, que casualidad.

En fin, como veo que te gustan los rollos agresivos, en plan ultimatum, yo tambien te pongo uno, con educacion.

Que tal si empiezas tu por el principio, por tu post donde afirmabas que se debilita deliberadamente los algoritmos al sacarlos a "zona comercial", no se, quizas aportando alguna prueba de lo que dices. Porque ya has mentido un par de veces aqui.

Un saludo.
Komet
Apoyo Tecnico
Apoyo Tecnico
Mensajes: 81
Registrado: 08 Feb 2008 03:51

Re: Cifrado y Encriptación

Mensaje por Komet »

Volviendo al tema principal, vayamos por partes. (Alerta de post pesado).

En primer lugar, dentro de la seguridad, veamos la necesidad de la encriptacion.

Hay aplicaciones que. por su arquitectura, se comunican de una manera especifica, incluso sin encriptacion, pero con el requisito de que a cada lado de la comunicación este presente el mismo tipo de dispositivo. Normalmente, estas exigencias se debían, simplemente, a la arquitectura usada y no se tenia la seguridad en mente, pero se prestaban al doble uso.

Era el caso, por ejemplo, de los viejos enrutadores atm de cisco. Eran, por supuesto, susceptibles de ser atacados mediante la técnica "man-in-the-middle", pero resultaba bastante complicado obtener información del trafico capturado, puesto que los enrutadores tenían que emparejarse previamente a nivel de hardware, así que o bien se usaba fuerza bruta o bien se sabia como se habían emparejados (sabotaje).

Hoy en día se siguen viendo casos análogos, como en los frtizbox, a los que me referiré mas adelante.

Hago un alto, y después retomo este punto.

Las comunicaciones gsm están encriptadas. Es cierto que la familia de algoritmos usados, AL4 y AL5, con su implementación A5/1, por poner de los últimos, no es precisamente un alarde de seguridad. Pero tampoco es su propósito.

La necesidad de encriptar la comunicación no vino por seguridad, al menos por la seguridad tal y como la entedemos, sino para evitar el caos. Las primera implementaciones del GSM se beneficiarion de los numerosos estudios de organización de comunicaciones de radio digital.

Resultaba evidente que, dado un numero determinado de usuarios de un mismo nodo de radiocomunicaciones, la posibilidad de fallo en la comunicación crecía si no se podía determinar de manera eficiente la identidad de los usuarios. La solución de compromiso, en aquella época, fue la asignación de identidades temporales a nivel de portadora, que se conseguía con el uso de un algoritmo que, para evitar el posible solapamiento de diferentes capas de comunicación simultáneas en usuarios que mantuvieran comunicaciones diferentes al mismo tiempo, modulaba la señal.

De ahí al control por portadora no había mas que un paso (conste que esto no tiene nada que ver con los sistemas de identificación del usuario a nivel de registro en red, ICC, IMSI, etc).

Asi que, en realidad, el objetivo, entonces, no era la seguridad, y de ahí se ha heredado todo el meollo.

A los efectos del tema que nos ocupa, las comunicaciones vía móvil están encriptadas (que sean seguras o no es otro cantar) y se realiza a tiempo real. (Ni menciono el asunto del tiempo de key leasing de 30 minutos de cada usuario porque para los propositos de este texto, no es necesario).

Ahora, un poco de teoría.

A nivel de arquitectura de modelado estructural (dejemos de lado las capas de comunicación), lo que sucede (a nivel teórico, dado que en realidad los operadores lo hacen por asignación) es que un usuario se registra en una "red privada virtual" a los efectos del sistema de control de la red (que, por cierto, luego se van anidando en grupos de VPN hasta llegar a la cuenta de instalacion que no necesariamente concuerda con el activo facturable, ese es un problema que, por ejemplo, esta teniendo a gran escala cierto operador en España en el ultimo año).

Cada operador de telefonía debe, por normativa y compatibilidad, cumplir unos determinados estándares. Ademas de eso existe un margen de extensibilidad que queda a decisión del operador.
Dentro de ese margen, por ejemplo, hay operadores que efectúan variaciones a nivel de control y seguridad en las áreas donde no es necesaria mantener la compatibilidad ínter operadores, como por ejemplo en las comunicaciones de datos 3G (no así, las llamadas dentro de red 3G, por ejemplo).

Y a que viene esto?

Muy sencillo. Lo que ahora se llama de manera tan grandilocuente arquitecturas SIP hereda buena parte de esta teoría, aunque nos pese.
Las implementaciones de voz sobre ip se nutrieron, en sus fases de expansion de estas arquitecturas SIP.

El caso de Skype, por ejemplo, por mucho que quiera publicitarse como arquitectura propia, sigue lastrando este tipo de diseño.
En ese sentido, Cisco tiene también su protocolo y, siguiendo con sus tradiciones, a querido dotar a su arquitectura de ese "pairing" estableciendo un modelo cliente servidor en lugar del peer to peer de Skype. En ambos casos se trata de modelos escalados y tipados de redes privadas virtuales que evitan la anidacion recursiva en el modelo estructural.

La encriptacion de comunicaciones a tiempo real no conlleva, en los efectos prácticos, ningún problema. La cuestión de la seguridad es otra cosa.

Esto me lleva a citar, por ejemplo, la aplicación y servicio Live Meeting, del reciente produco Microsoft Online Services (no confundir con el viejo Live Meeting de Office), la plataforma de "servicios en la nube" que han lanzado que permite videconferencia, reuniones, etc, y que usa también AES y SSL (http://www.communiqueconferencing.com/L ... curity.doc).

Y ahora, las consideraciones de seguridad.

Tanto Skype como Live Meeting proporcionan comunicación encriptada. Por supuesto son susceptibles de sufrir ataques.
En concreto, la peor parte, a nivel externo, se la lleva Skype por canalizar el trafico en tanto que Live Meeting es un servicio remoto con un interfaz local. Ambos productos reducen notoriamente la posibilidad de ataques clásicos, pero tampoco son la panacea.

Independientemente de la seguridad que puedan ofrecer a nivel exterior, ambos productos tiene el mismo problema y es que son susceptibles de un ataque local, es decir, sabotaje, con el que se puede capturar el trafico en claro.

A esto hay que añadir el viejo adagio de las consultorías de seguridad, donde se establece (de manera socarrona, pues los datos reales varían cada año), que el 97% de los problemas de seguridad informática son de origen interno y de ese porcentaje, la mayoría corresponde a usuarios torpes.

Es en este ámbito donde soluciones como las de cisco tienen mas sentido pues también minimizan la posibilidad del ataque local.

Si buscamos, por ejemplo, alternativas a Cisco mas económicas para empresas pequeñas o usuarios domésticos, están productos como el fritzbox arriba mencionado.

Si bien la seguridad no es el objetivo de dicho producto, su arquitectura de "pairing" entre dos dispositivos nos ofrece similar potencial de seguridad.

Asi, el material de doble uso es, con mucho, mejor elección que las opciones especificas de comunicación, aunque, por otro lado, implican la necesidad de tener dispositivos a ambos lados de la comunicacion (por contra habria que hablar de NetLan, tunelado, VPN rtt o vtt, etc, pero basicamente aqui hablabamos de videoconferencia).


Un saludo.
Avatar de Usuario
manzaricoh
Jefe de Area
Jefe de Area
Mensajes: 481
Registrado: 09 Feb 2010 09:42

Re: Cifrado y Encriptación

Mensaje por manzaricoh »

Bidart escribió:Muy interesante el último post.
http://www.cripto.es/enigma/boletin_enigma_66.txt

Aqui está el articulo completo.

La verdad es que yo al final de tanta charla también me ha dejado la duda eso de las claves con digitos en posiciones fijas.
Ruego que me ayude señor curiosidad a saber más del tema.
Que software o fabricante de hardware podría estar implicado en semejantes artimañas para debilitar la encriptación.
O como se propagan estas claves trucadas.
Responder

Volver a “STIC”