Archivos de la categoría ‘cifrado de datos’

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) es una nueva herramienta que utiliza una técnica mediante la cual es posible extraer tokens de logins, IDs de sesión y otra información sensible a partir de tráfico web cifrado SSL/TLS y en ¡sólo 30 segundos!.

Esto significa que podría permitir a un atacante descifrar fácilmente un canal HTTPS de un banco o de un sitio de venta online.
Fue presentada en la última conferencia Black Hat y se aprovecha varias vulnerabilidades de forma similar a lo que hacía CRIME con deflate; es decir, ataca al algoritmo de compresión aunque en las respuestas HTTP. Eso sí, como comentamos la información sensible ha de estar en las respuestas HTTP, el servidor por supuesto ha de utilizar compresión HTTP y el exploit requiere que la víctima visite primero un enlace malicioso.
 Imagen
Anuncios

Os contábamos hace un par de semanas que Google estaría barajando la posibilidad de cifrar por completo todos los datos que sus usuarios almacenan en su servicio en su nube, Google Drive, con el objeto de recuperar un poco la confianza perdida tras el escándalo de PRISM y todo lo que ha coleado el asunto. Lo haga o no, ya existen servicios en la actualidad que se encargan de ello. Boxcryptor es uno bastante interesante.

Google Drive, SkyDrive, Dropbox y otras tantas nubes de usuario tienen un grave problema: no crifran los datos en lado del cliente, por lo que esos datos pueden ser accedidos por los técnicos de la compañía. Hay alternativas 100% seguras, como SpiderOak o Wuala, pero si ya tienes cuenta en alguno de los anteriores servicios o en varios de ellos a la vez, puedes sacarle provecho al a herramienta que te presentamos hoy. Aunque tiene sus limitaciones.

Tal y como indican en la página web de Boxcryptor, “Boxcryptor protege tus archivos en la nube que uses Dropbox, Google Drive, Microsoft SkyDrive, SugarSync, Box.net, o cualquier otro principal proveedor de almacenamiento en la nube. También es compatible con todas las nubes que utilizan el estándar WebDAV como Cubby, Strato HiDrive y ownCloud”. No solo eso, sino que permite gestionar cuantas cuentas quieras, siempre que pagues. He ahí, tal vez, su mayor hándicap, aunque es comprensible que su modelo de negocio sea por suscripción.

El cifrado que utiliza Boxcryptor es AES-256 y RSA, dispone de compartición de archivos de forma segura, aplicaciones para PC y dispositivos móviles, entre otras características. De manera gratuita Boxcryptor solo se puede utilizar con fines no comerciales, y solo es posible utilizar un único servicio a la vez.

Surespot un app genial !surespot_logo_web

Surespot es una app que quiere ser un poco distinta a las demás, pues hace que solamente puedan contactar contigo únicamente si saben a quién están hablando, con un concepto de seguridad muy distinto. Resumiendo, este sistema de mensajería instantánea no te sincroniza la agenda de contactos del móvil, ni siquiera te pide el número de móvil ni el correo. Simplemente un nombre de usuario y una contraseña, y ya está.

        Es un script en BASH que puede ser utilizado para cargar, descargar, suprimir , catalogar archivos y mucho más en Dropbox, un archivo compartido online, sincronización y servicios de backup. Sólo necesita de cUrl (es una herramienta que sirve para transmitir información de o a un servidor), disponible para todos los sistemas operativos e instalado por omisión en muchas distribuciones Linux. Seguro: no requiere que proporciones sus identificaciones (username/password) a este script porque este utiliza el API oficial de Dropbox para el proceso de autenticación.

Dirección Url donde encontrarán el script en Bash:

https://github.com/andreafabrizi/Dropbox-Uploader/blob/master/dropbox_uploader.sh

Uso: 

./dropbox_uploader.sh
COMMAND [PARAMETERS]…
[%%]: Required param<%%>:Optional param
Ejemplos:
./dropbox_uploader.sh upload /etc/passwd /myfiles/passwd.old
 ./dropbox_uploader.sh upload /etc/passwd
./dropbox_uploader.sh download /backup.zip
./dropbox_uploader.sh delete /backup.zip
./dropbox_uploader.sh mkdir /myDir/
./dropbox_uploader.sh upload “My File.txt” “My File 2.txt”   (File name with spaces…)
./dropbox_uploader.sh share “My File.txt”
Su Utilización por Primera vez:
Lanzado el script por primera vez nos pedirá que nos conectemos a la dirección web:
     Introduce en la url proporcionada por el script (en cualquier navegador) y autenticate en Dropboxcrea una aplicación introduciendo los datos que te ofrece el script .brindados la autenticación y los permisos procedemos a introducir al script el “app key” y el “app secret” y así accederá sin problemas a Dropbox luego tendras que escoger dos opciones: “a” (acceso a un fichero especifico ) o “f” (acceso full a Dropbox) y finalmente tendremos que introducir otra url a nuestro navegador y brindarle los permisos. Todos estos pasos se dan sólo una única vez.
Agradecimiento a : Andrea Farizi, por brindar ala comunidad un excelente script!
Entonces al fin y al cabo, la red Tor provee una manera de esconder el vínculo entre la dirección origen y destino de una conexión dada. Por lo tanto, un intruso no puede determinar de dónde viene la información y hacia dónde va, lo que nos convierte en anónimos.    Pero la pregunta persiste: ¿puede realmente volvernos anónimos? La respuesta es sí y no. Necesitamos recordar que todos los paquetes que son enviados de nuestro cliente al servidor serán encriptados en el servidor. Esto realmente tiene sentido por cómo el servidor usaría la información y haría algo con ella si ésta fuera encriptada. En consecuencia, Tor provee anonimato sobre internet, pero no puede proveer los medios para mantenerte anónimo al servidor que está recibiendo la información.      Describamos esto un poco más. Si estamos enviando paquetes que contienen nuestro nombre de usuario, nombre de dominio o alguna otra información que indica nuestra presencia, entonces la máquina objetivo sabrá quiénes somos, aunque algún intruso que esté escuchando en un nodo intermediario tal vez no. Esto se reduce a lo siguiente:

En cada conexión a través de la red Tor, necesitamos tener en cuenta que a la información:

– el cliente la envía
– Internet la direcciona
– el servidor la recibe

Con Tor, podemos asegurarnos que Internet aunque canaliza la información, no tiene idea sobre la dirección origen ni destino que usamos, lo cual es crucial para mantener el anonimato sobre Internet. Pero la información enviada de un cliente hacia un servidor son visibles en los dos extremos de la conexión. Por lo tanto, para ser verdaderamente anónimos, incluso en la máquina destino, necesitamos no encapsular ninguna información sensible en el paquete de datos del tráfico entre el cliente y el servidor.

Con motivo de esconder la información del nivel de aplicación que pueda comprometer nuestro anonimato, podemos usar Torbutton, una extensión de Firefox que inhabilita muchos posibles filtrados de información que nos puedan comprometer. O lo que es mejor, podemos usar Tor browser bundle, el cual usa Vidalia para configurar e iniciar Tor. Éste además abre el navegador Web Tor con Torbutton integrado, el que podemos usar para buscar anónimamente en internet.

fuente:  http://elbauldelprogramador.com/articulos/logrando-el-anonimato-con-tor-parte-1/
referencia : [1] https://help.ubuntu.com/community/Tor. (guía de instalación)
                  [2] https://www.torproject.org/docs/tor-manual.html.en.(manual)