Más datos sobre claves

2012/01/23 a 20:48 · Archivado en claves, seguridad ·Etiquetado , , , ,

En The science of password selection un (otro) informe sobre las claves que se obtienen de diversas maneras de usuarios reales en la red.

De mis notas.

¿Cómo eligen las claves los usuarios?

En este caso los datos vienen de varias fuentes:

The data I’m going to analyse comes from a variety of sources including the Sony and Gawker breaches I referenced in the previous post as well as other LulzSec releases including pron.com and a collection of their random logins.

Se usan nombres (un 14% de claves, derivadas de nombres):

I also suspect they feature heavily when someone reaches into the recesses of their mind to come up with a password. Now of course the name is not necessarily the name of the account holder; it could be a spouse, the kids or even the family dog. Furthermore, it could be a first name, a middle name or a last name.

Un 25% son palabras del diccionario (incluyendo la palabra ‘password’)

A huge 25% of passwords are derived directly from dictionary words. In
reality, it’s probably somewhat higher than this as my dictionary had less
than a couple of hundred thousand words. And they’re all only English
language.

Top among the dictionary favourites are:

password (oh dear)
monkey
dragon

Las claves numéricas tienen en su mayoría (83%) cuatro, seis u ocho dígitos, pero hay un buen número de longitud uno, por ejemplo.

Why is this interesting? Well firstly, within a spread of numeric password lengths which range from 1 (yes, 1, and there’s a heap of ‘em) to 21, 83% of the passwords are either four, six or eight digits long. Is this a propensity for even numbered password lengths or something else?

Los de cuatro podrían corresponder al PIN del cajero automático.
Los de seis serían fechas donde el año tiene dos cifras.
Los de ocho serían fechas con el año completo.

Las claves con dos palabras repetidas (blabla) serían menos del 3%, pero es un patrón que utiliza la gente.

También hay quien utiliza frases cortas del estilo de: ‘dejameentrar’ o similares.

Naturalmente, he hecho una selección según mis gustos y sesgos, pero vale la pena leerlo todo para hacerse una idea.

Dejar un comentario

Fallo criptográfico en PHP

2012/01/12 a 12:41 · Archivado en seguridad ·Etiquetado , , , , , ,

Sigo recopilando fallos del mundo real que siempre nos vienen bien para darnos cuenta de que estas cosas son complicadas. Y que los proyectos del perfil más alto (no desde el punto de vista de la seguridad, que a veces también, sino de uso y extensión) cometen también errores. En este caso, Serious Crypto Bug Found in PHP 5.3.7:

“If crypt() is executed with MD5 salts, the return value conists of the salt only. DES and BLOWFISH salts work as expected. I tested with php from openSUSE PHP5 repository,” the report said. Several other users reproduce the problem on various other platforms.

Más detalles en Bug #55439 crypt() returns only the salt for MD5.

Dejar un comentario

Interacción entre hardware y software: el caso Apple

2012/01/10 a 20:30 · Archivado en seguridad ·Etiquetado , , , , ,

Una de las cosas que todo el mundo da por sentado es que los programas no pueden causar daño. Evidentemente, en un mundo cada vez más ‘programado’ esto no tiene por qué ser cierto siempre (pensemos en dispositivos médicos, pero también, como venimos comentando de vez en cuando últimamente en otros aparatos) así que no está tan claro.
Pero nos estamos refiriendo a daños que puede causar un programa en la gente que utiliza el aparato que el programa controla.

Por eso me hizo gracia (en el buen sentido, no me alegra que le pasen cosas malas a nadie) la noticia de Apple Laptops Vulnerable To Hack That Kills Or Corrupts Batteries, además por fallos no muy interesantes:

The batteries’ chips are shipped with default passwords, such that anyone who discovers that password and learns to control the chips’ firmware can potentially hijack them to do anything the hacker wants. That includes permanently ruining batteries at will, and may enable nastier tricks like implanting them with hidden malware that infects the computer no matter how many times software is reinstalled or even potentially causing the batteries to heat up, catch fire or explode.

Dejar un comentario

Inyección de SQL en Oracle 11g

2011/12/23 a 19:08 · Archivado en seguridad ·Etiquetado , , , , , ,

En Error-Based SQL Injection in Oracle 11g una entrada bastante técnicas sobre el tema de inyección SQl en el conocido gestor de bases de datos. Me pareció intersante por el detallado proceso de ir buscando fallos, indicios de que algo puede ir mal y, finalmente, la forma de atacar a la base de datos en ese caso concreto, saltándose la comprobación en la autentificación.

Dejar un comentario

La confianza

2011/12/21 a 19:04 · Archivado en seguridad ·Etiquetado , ,

Un texto no muy largo (pero tampoco esquemático) sobre la confianza, en Understanding trust.

Comentarios (4)

Sobre certificados digitales y seguridad

2011/12/20 a 18:55 · Archivado en seguridad ·Etiquetado , , , , , , ,

Me declaro fan de Una al día de Hispasec. En general no son ni excesivamente técnicos, ni tampoco tan ligeros que no te enteras de nada. En Conversaciones sobre certificados, seguridad y pornografía el tono es bastante didáctico y nos avisa de los problemas que existen con los certificados digitales, incluso para sitios muy importantes, y lo cuidadosos que deberíamos de ser cuando navegamos por la red.

Está claro que el sistema no es el más amigable del mundo, y no es de extrañar que la gente termine mirando hacia otro lado en estas cuestiones.

Dejar un comentario

Gestión de claves en los programas

2011/12/16 a 14:04 · Archivado en seguridad ·Etiquetado , , , , , ,

En seguridad siempre hay que ponerse en lo peor (aunque sea difícil). Sobre todo, si es fácil evitar los problemas que podrían ocurrir. Algo que solemos comentar es que cuando se lea una clave se haga lo que sea con ella y la eliminemos de la memoria lo antes posible (para evitar problemas con escrituras a disco por diversos motivos: el ‘swapping’ del sistema operativo, volcados de memoria ante fallos, …

Son ese tipo de cosas que suenan más teóricas que realistas pero en el ‘mundo real’ ™ Passwords left in memory using SSH keyboard-interactive auth podemos ver como realmente alguien las toma en serio. En este caso, los desarrolladores de Putty.

Comentarios (2)

SMS y fallos. Ahora en Windows Phone

2011/12/15 a 13:56 · Archivado en seguridad ·Etiquetado , , , , , ,

Lo veo en Descubierta vulnerabilidad a través de mensajes SMS en Windows Phone 7 y apunta a Windows Phone SMS attack discovered, reboots device and disables messaging hub donde cuentan más detalles (pero no muchos). El envío de un mensaje ‘adecuado’ reiniciaría el teléfono y deshabilitaría algunas funciones.

Ya hemos hablado en vidas anteriores de otros problemas con los SMS:

Dejar un comentario

“Guías sobre biometría del INTECO”

2011/12/13 a 15:00 · Archivado en seguridad, Uncategorized ·Etiquetado , , , ,

Me entero de una noticia de (más o menos) actualidad, para variar. INTECO presenta el Estudio y la Guía sobre tecnologías biométricas aplicadas a la seguridad.

Se pueden descargar tanto el estudio como la guía y pueden ser un buen
resumen sobre estos temas.

Dicha investigación se centra en los usos, beneficios, riesgos y buenas prácticas recomendadas en el uso de la biometría aplicadas al control de identidades y control de accesos. El objetivo es dar a conocer a las empresas y los usuarios el nivel de desarrollo y confianza de las tecnologías biométricas y asegurar que su implantación se realice respetando plenamente la seguridad de la información y la privacidad de los ciudadanos.

Yo, por completar, añadiría estos enlaces (seguramente están comentadas estas ideas en los informes, no los he leído aún):

Y un par de vídeos:

¿Soy contrario a la biometría? No, pero hay que hacer estas cosas con cuidado. A veces, entran más bien en el Security Theater.

Dejar un comentario

Formación en Ingeniería del Software

2011/12/12 a 14:17 · Archivado en ingeniería, software ·Etiquetado , , , , ,

A pesar de que me dedico a ello, en esta bitácora no suelo hablar mucho de formación y enseñanza. En todo caso, vi If You’re Going to Teach an Undergrad Intro to Software Engineering… y pensé que aunque no es un tema de mi especialidad debería guardarlo en algún sitio. ¿Cuál mejor que este?

Además, me ha interesado que varias referencias tratan sobre desarrollo de software libre, lo que me parece un plus.

Dejar un comentario

Entradas más antiguas »
Seguir

Get every new post delivered to your Inbox.