seguridad

Usabilidad, Seguridad Y Paranoia

Zoom y la gestión de riesgos en tiempos de pandemia

#SecurityChallenge

En el siguiente artículo, escrito por mi amigo Cristián Rojas, experto en ciberseguridad, nos invita a cambiar y hacernos responsables de la seguridad, en lo que él llama un #SecurityChallenge, los invito a leerlo, compartirlo y seguir sus consejos: #SecurityChallenge Autor: Cristián Rojas, MSc., ISO27K1 LI, CSSLP Agradezco una vez más la invitación a escribir un artículo para LNDS. Hace unas semanas nos reunimos Eduardo y yo, a conversar respecto del poco interés que generaba la ciberseguridad en la comunidad TI y en la prensa.

Fraude con tarjetas de crédito

Las tarjetas de crédito nacieron en una época análoga, prácticamente desconectada, y por lo tanto son hoy en día mucho más vulnerables. Pero siempre han sido vulnerables. Antiguamente tu comprabas con tarjeta de crédito de manera física, llegabas a la tienda y el vendedor examinaba tu tarjeta, veía que no estuviera en una lista de tarjetas vencidas, y la colocaba sobre una curiosa máquina como esta1: Luego escribía en un formulario de papel especial auto copiativo el monto de la venta y lo colocaba encima de la tarjeta, de este modo:

2014, ¿el año de SSL/TLS? (villano invitado)

Este año ha empezado con una serie de alertas y descubrimiento de vulnerabilidades que afectan la infraestructura de seguridad de la red, como es un tema muy importante y contingente, he invitado a mi amigo Cristián Rojas que nos de su opinión como experto en seguridad. Este es su aporte: 2014, ¿el año de SSL/TLS? por Cristián Rojas Parto agradeciendo a Eduardo por dejarme intervenir una vez más como guest villain en su blog, esta vez por un tema que tiene bastante preocupada a la comunidad informática en su conjunto.

Disclosure no es llegar y hacerlo

El siguiente post es de un notable “ villano invitado", se trata del experto en seguridad, y gurú en cervezas ;-), Cristián Rojas. Esta nota nace de una conversación con Cristián en El Test Acido, la que dado el formato del programa no pudimos profundizar, por eso le pedí a Cristian que elaborara el tema en un artículo que ahora comparto con ustedes. Disclosure: No es llegar y hacerlo Por Cristián Rojas

Prevenir Ataques de Novatos (invitado)

Durante este mes de aniversario tendremos el aporte de varios amigos que han aceptado amablemente enviar sus contribuciones a este post. Empezaremos con este interesante y muy útil artículo escrito por Daniel Molina Wegener ( @damowe), arquitecto de software, gran programador, y autor de coder.cl. ¡Gracias Daniel! Los dejo disfrutando de este excelente post (al menos yo voy a revisar este sitio y aplicar algunos de estos consejos): prevenir ataques de novatos por Daniel Molina Wegener

About Speed Hashing

Hace unos días atrás Jeff Atwood, el autor del famoso blog Coding Horror menciona mi trabajo de de 2005 sobre las colisiones de MD5: Eduardo Diaz has described a scheme by which two programs could be packed into two archives with identical MD5 hash. A special “extractor” program turn one archive into a “good” program and the other into an “evil” one. Aparte de que me honra la mención, y el autobombo :), hay dos cosas que me gustaría comentar sobre ese post.

Seguridad y oportunidad

En 2005 publiqué una prueba de concepto que mostraba lo vulnerable que es MD5 para ser usado como “firma digital”, en 2007 Peter Selinger basándose en mi trabajo crea un mecanimos para automatizar el proceso de generar firmas falsas. En 2009 comenté que la vulnerabilidad seguía ahí. Y estamos en 2012 y aún MD5 está disponible y sigue siendo usado para generar claves y como mecanismo de firma electrónica. Incluso todavía sigue siendo recomendado por instituciones gubernamentales como mecanismo de verificación de integridad de archivos.

Sobre la Seguridad

Hace unas semanas atrás almorzaba con mi jefe, conversamos sobre seguridad TI. Cuando llegaron con la máquina para pagar con la tarjeta de débito le pregunté si estaba seguro de que la máquina que le pasaron para pagar pertenecía a la red bancaria, ¿cómo sabía que no era una máquina falsa, que estaba capturando y clonando su tarjeta?. Creo que le arruiné la vida 😄, ahora no puede usar su tarjeta de débito sin tener esa duda.

El Espejismo de la Seguridad

Mi amigo Marco Zúñiga me comentó sobre este video con la charla de Bruce Schneier sobre el espejismo de la seguridad, es muy recomendable. Fíjense que habla de muchos de los sesgos cognitivos de los que hemos hablado antes (abajo del video les dejo los enlaces a los artículos donde hemos hablado de estos sesgos). Bruce Schneier y el espejismo de la seguridad, charla TED, octubre 2010: Algunos artículos donde hemos hablado de los sesgos cognitivos que menciona Bruce Schneier en su charla: