Hola de nou,
A propòsit del software GPGWin he recordat els inicis del PGP o Pretty Good Privacy Phil Zimmermann al 1991. El GPG (del que forma part el GPGWin) és una versió lliure i sota llicencia GNU inspirada en el famós PGP.
Recordo bé com pels anys noranta, quan començava a sonar el PGP a la facultat d'Informàtica, ho feia amb un seguit de llegenda negra sobre si el govern americà havia obligat al seu creador per ficar una "porta de darrera" per poder desencriptar missatges. Això mai es va demostrar, però realitat o ficció ha estat unes sospites sempre al voltant de quasi tot software d'encriptació.
En el cas del PGP sembla que el seu autor, activista anti-nuclear, el va crear per poder donar una forma de comunicació segura en BBS o emprant fitxers encriptats. Ràpidament es va estendre per Internet i per tant va anar fora també de les fronteres d'Estats Units. En aquella època havia una restricció d'exportació de software fora de USA que uses encriptació amb claus superiors a 40bits. Evidentment PGP violava aquest límit. Això i el fet que estes donat un sistema d'encriptació segur a tot el món va provocar investigacions per part del govern americà tot i que al final el cas va quedar arxivat, i amb això encara es va augmentar més la llegenda de si el seu autor va cedir a pressions per posar una "porta de darrera".
Per un altre costat, també es cert que el seu autor per evitar incomplir les lleis d'exportació americanes va publicar un llibre, on les tapes del qual tenien el codi font del algoritme d'encriptació del PGP.
A Internet podeu trobar molta més informació, tant real com llegendes urbanes...
Records,
Jaume E.
martes, 25 de noviembre de 2008
domingo, 23 de noviembre de 2008
Una miqueta més sobre la Enginyeria Social
Hola a tots de nou,
L'altre dia estava buscant una miqueta més d'informació sobre l'enginyeria social, i vaig trobar uns articles sobre el Kevin Mitnick. Aquest personatge és probablement el hacker més conegut de l’historia i que més rellevància han tingut les seves accions i la seva detenció.
Kevin Mitnick va hackejar nombrosos sistemes informàtics durant la seva trajectòria i quasi sempre emprant la enginyeria social més que altres recursos tecnològics. Com el mateix diu és molt més fàcil enganyar a una persona per que et doni el seu password que fer l'esforç de hackejar-lo.
Sobre la vida de Kevin Mitnick i sobre la seva detenció s'han escrit un parell de llibres:
- Takedown de John Markoff i Tsutomu Shimomura
- The Fugitive Game de Jonathan Littman
El propi Kevin Mitnick després d'haver complit la seva condemna i d'haver tingut restringit durant molts anys l'accés a qualsevol ordinador, té ara una consultaria sobre seguretat informàtica. A més ha escrit un parell d'interessants llibres sobre aquest tema:
- The Art of Deception
- The Art of Intrusion
En aquests llibres es dona molta informació sobre potencials atacs d'enginyeria social o de hacking.
Ens veiem en la pròxima entrada del blog!
Records,
Jaume E.
L'altre dia estava buscant una miqueta més d'informació sobre l'enginyeria social, i vaig trobar uns articles sobre el Kevin Mitnick. Aquest personatge és probablement el hacker més conegut de l’historia i que més rellevància han tingut les seves accions i la seva detenció.
Kevin Mitnick va hackejar nombrosos sistemes informàtics durant la seva trajectòria i quasi sempre emprant la enginyeria social més que altres recursos tecnològics. Com el mateix diu és molt més fàcil enganyar a una persona per que et doni el seu password que fer l'esforç de hackejar-lo.
Sobre la vida de Kevin Mitnick i sobre la seva detenció s'han escrit un parell de llibres:
- Takedown de John Markoff i Tsutomu Shimomura
- The Fugitive Game de Jonathan Littman
El propi Kevin Mitnick després d'haver complit la seva condemna i d'haver tingut restringit durant molts anys l'accés a qualsevol ordinador, té ara una consultaria sobre seguretat informàtica. A més ha escrit un parell d'interessants llibres sobre aquest tema:
- The Art of Deception
- The Art of Intrusion
En aquests llibres es dona molta informació sobre potencials atacs d'enginyeria social o de hacking.
Ens veiem en la pròxima entrada del blog!
Records,
Jaume E.
viernes, 7 de noviembre de 2008
Presentació
Hola a tots,
Sóc el Jaume i comencen aquí la nostra intervenció en aquest Blog dedicat a l'assignatura de Fonaments Tecnològics de la Societat de la Informació, dintre del marc del Màster oficial en Societat de la Informació i el Coneixement de la UOC.
En aquesta primera intervenció, i un cop ja hem estat introduïts en els conceptes tècnics de Internet i en el tema de seguretat, voldríem aportar quelcom addicional especialment sobre això últim, la seguretat a Internet.
Hem vist tota mena d'algoritmes d'encriptació, tècniques criptogràfiques, sistemes de marcatge als materials de l'assignatura i altres conceptes sobre seguretat, però hi ha una branca de la seguretat que s'ha mencionat molt per sobre als materials i que suposa, en la meva opinió, un tema molt important i apassionat. Hem refereixo, a la "Enginyeria social".
L'enginyeria social, des d'un punt de vista de seguretat informàtica, és una pràctica que busca superar qualsevol mecanisme de seguretat informàtic mitjançant la manipulació de persones o usuaris legítims, i per tant des d'un punt de vista més psicològic. D'alguna manera es pot dir que l'enginyeria social basa la seva raó de ser en la màxima que en un sistema informàtic el ésser humà és el “eslabón” més dèbil. Us deixo un enllaç a la Wikipedia ja que sens dubte s'explica millor que jo:
Wikipedia - Ingeniería Social (seguridad_informática)
En qualsevol cas, la enginyeria social està present moltes vegades en la nostre dia a dia a , i per tant, no està de més conèixer en quines formes normalment es presenta.
Només per posar un exemple, segur que tots heu rebut correus electrònics suposadament d'entitats reals (com bancs) o websites (on esteu subscrits) demanant-vos les vostres dades personals o números de compte o passwords. Jo per exemple he rebut milers de correus suposadament de Ebay on demanaven el meu password per una comprovació de rutina. 99% de les vegades aquests correus són falsos i només cerquen informació sensible. Normalment aquests atacs es coneixen com a phishing i serien una forma d'enginyeria social. Us deixo un altre enllaç sobre això:
Wikipedia - Phishing
I també una tira còmica relaciona (en àngles, sorry!):
De moment acabo aquí aquesta primera intervenció, però tornaré amb més informació sobr la enginyeria social, que és un tema que trobo apassionant.
Records,
Jaume E.
Sóc el Jaume i comencen aquí la nostra intervenció en aquest Blog dedicat a l'assignatura de Fonaments Tecnològics de la Societat de la Informació, dintre del marc del Màster oficial en Societat de la Informació i el Coneixement de la UOC.
En aquesta primera intervenció, i un cop ja hem estat introduïts en els conceptes tècnics de Internet i en el tema de seguretat, voldríem aportar quelcom addicional especialment sobre això últim, la seguretat a Internet.
Hem vist tota mena d'algoritmes d'encriptació, tècniques criptogràfiques, sistemes de marcatge als materials de l'assignatura i altres conceptes sobre seguretat, però hi ha una branca de la seguretat que s'ha mencionat molt per sobre als materials i que suposa, en la meva opinió, un tema molt important i apassionat. Hem refereixo, a la "Enginyeria social".
L'enginyeria social, des d'un punt de vista de seguretat informàtica, és una pràctica que busca superar qualsevol mecanisme de seguretat informàtic mitjançant la manipulació de persones o usuaris legítims, i per tant des d'un punt de vista més psicològic. D'alguna manera es pot dir que l'enginyeria social basa la seva raó de ser en la màxima que en un sistema informàtic el ésser humà és el “eslabón” més dèbil. Us deixo un enllaç a la Wikipedia ja que sens dubte s'explica millor que jo:
Wikipedia - Ingeniería Social (seguridad_informática)
En qualsevol cas, la enginyeria social està present moltes vegades en la nostre dia a dia a , i per tant, no està de més conèixer en quines formes normalment es presenta.
Només per posar un exemple, segur que tots heu rebut correus electrònics suposadament d'entitats reals (com bancs) o websites (on esteu subscrits) demanant-vos les vostres dades personals o números de compte o passwords. Jo per exemple he rebut milers de correus suposadament de Ebay on demanaven el meu password per una comprovació de rutina. 99% de les vegades aquests correus són falsos i només cerquen informació sensible. Normalment aquests atacs es coneixen com a phishing i serien una forma d'enginyeria social. Us deixo un altre enllaç sobre això:
Wikipedia - Phishing
I també una tira còmica relaciona (en àngles, sorry!):
De moment acabo aquí aquesta primera intervenció, però tornaré amb més informació sobr la enginyeria social, que és un tema que trobo apassionant.
Records,
Jaume E.
Suscribirse a:
Entradas (Atom)