FireGPG y GMAIL

Una posible solución para poder firmar,cifrar y descifrar mensajes desde nuestro navegador es la extensión para Firefox FireGPG. A continuación se muestra el proceso sencillo de integración de FireGPG con Firefox en un entorno con Microsoft Windows. Además se muestra un ejemplo de firma de un correo desde GMAIL.

• Descargaremos la extensión de FireGPG y la instalaremos.

• Descargaremos el paquete Gpg4win que gestionará nuestras claves, ya que cómo se puede leer en la página de FireGPG, este no es un gestor de claves.

• Una vez hemos instalado el software necesario arrancaremos el programa WinPT (que viene con Gpg4win) para gestionar nuestras claves. En el caso de no disponer de un par de claves creadas para nuestra cuenta de GMAIL, deberemos generarla con WinPT y establecer una clave para firmar, cifrar y descifrar los mensajes.

• Una vez generemos el par de claves podremos visualizarla a través del contenedor de claves. Es decir, desde el listado de claves ofrecido por WinPT podremos exportalas, importarlas, revocarlas, etc.

• Después de haber generado el par de claves para nuestra cuenta de GMAIL podremos firmar un correo a través del menú que nos aparecerá cuando vayamos a redactar un mensaje nuevo. Primero deberemos activar el botón "Firmar" y después le daremos a "Enviar". Después nos solicitará la contraseña que habíamos establecido, además de la clave de autenticación en el servidor de correo smtp.gmail.com.

• A continuación podemos visualizar un correo que ha llegado firmado y cuya clave pública disponemos en nuestro gestor de claves.

Como hemos visto el proceso es sencillo y puede permitirnos firma, cifrar, descifrar correos de una manera sencilla y rápida.

DDoS contra China

Según he podido leer en PCWorld, hace unos días el agente registrador chino DNSPod sufrió un ataque de DDoS (Denegación de Servicio Distribuida) contra sus servidores DNS que acabó teniendo consecuencias graves para las comunicaciones de todo el pais, ya que varias provincias sufrieron una pérdida de conectividad con Internet.

Parece ser que el ataque se inició por medio de una petición masiva de resolución de nombres contra los servidores DNS del agente registrador, lo cual colapsó dichos servidores, dejando los usuarios de poder resolver las direcciones de los servicios alojados por este agente, entre ellos Baofeng, una popular aplicación de video.

Como respuesta a este ataque, los proveedores de servicio bloquearon los intentos de resolución de nombres contra este agente registrador, con lo que pretendían contener el ataque. Sin embargo, al bloquear los accesos a la resolución de nombres de este agente registrador, las peticiones de resolución de nombres legítimas de los usuarios de los servicios del agente, entre ellos el popular Baofeng, fueron redirigidos hacia los servidores DNZ raiz Chinos, provocando de esta manera en estos un segundo ataque de DDoS, esta vez casi sin quererlo.

Sin duda, este tipo de cosas deberían alertar a la sociedad sobre la importancia de la seguridad en las nuevas tecnologías, y para ejemplo un botón, China sufre un casi-ataque-ciberterrorista y casi sin quererlo. ¿Que sucederá cuando alguien pretenda hacer algo gordo?

Arremangaros, que viene trabajo.

¿Bug en OpenSSH? Parece que no es tan grave

Versión n-esima del !bug gravísimo que hará que se acabe Internet! Yo mismo he sufrido un pequeño shock cuando he leido que se había descubierto una vulnerabilidad en OpenSSH que permitía descifrar la información enviada, creo que aún me duran los sudores frios, ya que OpenSSH, debido a su calidad y al tratarse de software libre y gratuito, es ampliamente utilizado para la gestión de practicamente todo lo que se gestione por línea de comandos, además de utilizarse ampliamente para tunelizar a través de él conexiones a las que no es posible aplicarles ningún tipo de cifrado, por eso una vulnerabilidad que permite descifrar el contenido de las sesiones de OpenSSH sería sencillamente terrorífica.

Sin embargo, soy consciente de lo sensacionalistas que son algunos medios, incluso en los últimos tiempos la prensa especializada en seguridad (todo se pega...), así que me he dedicado a pegar un vistazo a que decía el propio Advisory de OpenSSH y SecurityFocus, dos sitios que es de esperar que no tengan los tintes sensacionalistas que tienen otros medios.

La vulnerabilidad consiste en un fallo en el modo de cifrado CBC de varios de los algoritmos establecidos por defecto que, según cuentan los descubridores de la vulnerabilidad, permite obtener hasta 4 bytes de la información cifrada en la sesión por medio de observar el comportamiento que tiene el servicio ante diferentes errores al cerrar la sesión.

Sin embargo, según dice OpenSSH, para realizar un ataque efectivo contra una sesión interactiva sería necesario matar la conexión SSH unas 11356 veces para obtener información útil, por lo que evidentemente cualquier administrador debería suponer que algo raro está pasando (si antes no muere de viejo intentando hacer un ps :P). El único riesgo que parece más factible son aquellas conexiones automatizadas que siempre envían la misma información, como por ejemplo un scp programado entre dos máquinas (algo bastante común), que podría ser interrumpido sistemáticamente hasta conseguir recuperar el fichero transmitido (a golpe de 4 bytes cada vez), aunque según el Advisory de OpenSSH, serían necesario muchos días para recuperar un fichero pequeño, a un ritmo de 44 bits recuperados por hora, por lo que explotar este ataque se hace complicado.

En resumen, la vulnerabilidad existe y es posible desencriptar el tráfico parcialmente, por lo que deberiamos actualizar a la última versión de OpenSSH (que básicamente establece AES como algoritmo de cifrado por defecto, que ya no sufre esta vulnerabilidad) y evitar el peligro, sin prisa pero sin pausa. Sin embargo, es una vulnerabilidad difícil de explotar, o mejor dicho, difícil de obtener información de ella, por lo que no es algo que yo personalmente vaya a incluir en mi "arsenal" de herramientas de pentesting, a menos que algún trabajo concreto lo requiera.