trabajo de un-criptosistema...pdf

7/26/2019 trabajo de Un-criptosistema...pdf

1/15

REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN

UNIVERSITARIA CIENCIA Y TECNOLOGIA

INSTITUTO UNIVERSITARIO DE TECNOLOGA AGRO-INDUSTRIAL

PROGRAMA NACIONAL DE FORMACIN EN INFORMTICA

Autores:

T.S.U: Yuleisi GuerreroC.I.16.321.965

T.S.U: Adrian CegarraC.I:18.715782

P.N.F en Informtica

San Juan de Coln, junio de 2016.


2/15

Un criptosistema

Es el conjunto de procedimientos que garantizan la seguridad de la

informacin y utilizan tcnicas criptogrficas.

El trmino en ingls es cipher.

El elemento fundamental de un Criptosistema es la llave.

En algunas referencias a la llave se le conoce como clave.

Objetivos de la Criptografa

Mantener la confidencialidad del mensaje

La informacin contenida en el mensaje permanezca secreta.

Garantizar la autenticidad tanto del mensaje como del par

remitente/destinatario:

El mensaje recibido ha de ser realmente el enviado. El remitente y destinatario han de ser realmente quienes dicen ser y no

remitentes y/o destinatarios fraudulentos.

Clasificacin seguridad criptogrfica

Seguridad incondicional (terica).

Sistema seguro frente a un atacante con tiempo y recursos computacionales

ilimitados.

Seguridad computacional (prctica). El sistema es seguro frente a un atacante con tiempo y recursos

computacionales limitados.

Seguridad probable.

No se puede demostrar su integridad, pero el sistema no ha sido violado.

Todos los dems sistemas, seguros en tanto que el enemigo carece de medios

para atacarlos.

Criptografa

Tradicionalmente se ha definido como el mbito de la criptologa el que se

ocupa de las tcnicas de cifrado o codificado destinadas a alterar las

representaciones lingsticas de ciertos mensajes con el fin de hacerlos

ininteligibles a receptores no autorizados. Estas tcnicas se utilizan tanto en el

Arte como en la Ciencia. Por tanto, el nico objetivo de la criptografa era

conseguir la confidencialidad de los mensajes. Para ello se diseaban sistemas

de cifrado y cdigos. En esos tiempos la nica criptografa existente era la

llamada criptografa clsica.


3/15

Criptografa de clave secreta

Denominamos criptosistema de clave secreta (de clave privada, de clave

nica o simtrico) a aquel criptosistema en el que la clave de cifrado, puede ser

calculada a partir de la de descifrado, y viceversa. En la mayora de estos

sistemas, ambas claves coinciden, y por supuesto han de mantenerse como un

secreto entre emisor y receptor: si un atacante descubre la clave utilizada en la

comunicacin, ha roto el criptosistema.

Hasta la dcada de los setenta, la invulnerabilidad de todos los sistemas

dependa de este mantenimiento en secreto de la clave de cifrado. Este hecho

presentaba una gran desventaja: haba que enviar, aparte del criptograma, la

clave de cifrado del emisor al receptor, para que ste fuera capaz de descifrar el

mensaje. Por tanto, se incurra en los mismos peligros al enviar la clave, por un

sistema que haba de ser supuestamente seguro, que al enviar el texto plano.

De todos los sistemas de clave secreta, el nico que se utiliza en la actualidad

es DES (Data Encryption Standard, que veremos ms adelante); otros algoritmosde clave privada, como el cifrado Caesar o el criptosistema de Vigenre (sern

tambin brevemente comentados ms adelante) han sido criptoanalizados con

xito, lo cual da una idea del porqu del desuso en que han cado estos sistemas

(con la excepcin de DES, que es seguramente el algoritmo de cifra ms utilizado

en la actualidad).

Criptografa de clave pblica

Las comunicaciones aplican en las comunicaciones pblicas. En unsistema de cifrado con clave pblica, los usuarios eligen una clave aleatoria que

slo ellos conocen (sta es la clave privada). A partir de esta clave,

automticamente se deduce un algoritmo (la clave pblica). Los usuarios

intercambian esta clave pblica mediante un canal no seguro.

Cuando un usuario desea enviar un mensaje a otro usuario, slo debe cifrar

el mensaje que desea enviar utilizando la clave pblica del receptor (que puede

encontrar, por ejemplo, en un servidor de claves como un directorio LDAP). El

receptor podr descifrar el mensaje con su clave privada (que slo l conoce).

Cifrado en flujo

La transformacin se aplica sobre cada carcter del mensaje original

Ejemplo: sobre cada bit del mensaje. Que son aquellos que pueden cifrar un

slo bit de texto claro al mismo tiempo, y por tanto su cifrado se produce bit a bit.

Los cifradores de flujo son algoritmos de cifrado que pueden realizar el cifrado

incrementalmente, convirtiendo el texto en claro en texto cifrado bit a bit. Esto se

logra construyendo un generador de flujo de clave. Un flujo de clave es una

secuencia de bits de tamao arbitrario que puede emplearse para oscurecer los

contenidos de un flujo de datos combinando el flujo de clave con el flujo de datos


4/15

mediante la funcin XOR. Si el flujo de clave es seguro, el flujo de datos cifrados

tambin lo ser.

Se puede construir un generador de flujo de clave iterando una funcin

matemtica sobre un rango de valores de entrada para producir un flujo continuo

de valores de salida. Los valores de salida se concatenan entonces para

construir bloques de texto en claro, y los bloques se cifran empleando una clave

compartida por el emisor y el receptor.

Para conservar la calidad de servicio del flujo de datos, los bloques del flujo

de clave deberan producirse con un poco de antelacin sobre el momento en

que vayan a ser empleados, adems el proceso que los produce no debiera

exigir demasiado esfuerzo de procesamiento como para retrasar el flujo de datos.

La esteganografa

Es la disciplina que estudia el conjunto de tcnicas cuyo fin es la ocultacin

de informacin sensible, mensajes u objetos, dentro de otros denominados

ficheros contenedores, normalmente multimedia: imgenes digitales, vdeos o

archivos de audio, con el objetivo de que la informacin pueda pasar inadvertida

a terceros y slo pueda ser recuperada por un usuario legtimo. Las tcnicas

esteganogrficas han ido evolucionando de manera acorde al desarrollo

tecnolgico, y as por ejemplo durante la Segunda Guerra Mundial se utilizaban

los peridicos para el envo de seales ocultas mediante la realizacin de marcas

en ciertas letras, que aunque por si solas pasaban inadvertidas en conjuntotrasmitan una informacin.

Tcnicas segn el medio (en Texto, imgenes, audio y video).

Documentos

El uso de esteganografa en los documentos puede funcionar con slo

aadir un espacio en blanco y las fichas a los extremos de las lneas de un

documento. Este tipo de esteganografa es extremadamente eficaz, ya que el

uso de los espacios en blanco y tabs no es visible para el ojo humano, al menosen la mayora de los editores de texto, y se producen de forma natural en los

documentos, por lo que en general es muy difcil que levante sospechas.

Imgenes

El mtodo ms utilizado es el LSB, puesto que para un computador un

archivo de imagen es simplemente un archivo que muestra diferentes colores e

intensidades de luz en diferentes reas (pixels). El formato de imagen ms

apropiado para ocultar informacin es el BMP color de 24 bit Bitmap), debido aque es el de mayor proporcin (imagen no comprimida) y normalmente es de la


5/15

ms alta calidad. Eventualmente se prefiere optar por formatos BMP de 8 bits o

bien otros tales como el GIF, por ser de menor tamao. Se debe tener en cuenta

que el transporte de imgenes grandes por Internet puede despertar sospechas.

Cuando una imagen es de alta calidad y resolucin, es ms fcil y eficiente

ocultar y enmascarar la informacin dentro de ella. Es importante notar que si se

oculta informacin dentro de un archivo de imagen y este es convertido a otro

formato, lo ms probable es que la informacin oculta dentro sea daada y,

consecuentemente, resulte irrecuperable.

En audio

Cuando se oculta informacin dentro de archivos de audio, por lo general

la tcnica usada es low bit encoding (baja bit de codificacin), que es similar a la

LSB que suele emplearse en las imgenes. El problema con el low bit encoding

es que en general es perceptible para el odo humano, por lo que es ms bienun mtodo arriesgado que alguien lo use si estn tratando de ocultar informacin

dentro de un archivo de audio. Spread Spectrum tambin sirve para ocultar

informacin dentro de un archivo de audio. Funciona mediante la adicin de

ruidos al azar a la seal de que la informacin se oculta dentro de una compaa

area y la propagacin en todo el espectro de frecuencias.

Otro mtodo es Echo data hiding, que usa los ecos en archivos de sonido

con el fin de tratar de ocultar la informacin. Simplemente aadiendo extra de

sonido a un eco dentro de un archivo de audio, la informacin puede serocultada. Lo que este mtodo consigue mejor que otros es que puede mejorar

realmente el sonido del audio dentro de un archivo de audio.

En vdeo

En vdeo, suele utilizarse el mtodo DCT (Discrete Cosine Transform). DCT

funciona cambiando ligeramente cada una de las imgenes en el vdeo, slo de

manera que no sea perceptible por el ojo humano. Para ser ms precisos acerca

de cmo funciona DCT, DCT altera los valores de ciertas partes de las imgenes,

por lo general las redondea. Por ejemplo, si parte de una imagen tiene un valor

de 6,667, lo aproxima hasta 7.

Esteganografa en vdeo es similar a la aplicada en las imgenes, adems

de que la informacin est oculta en cada fotograma de vdeo. Cuando slo una

pequea cantidad de informacin que est oculta dentro del cdigo fuente por lo

general no es perceptible a todos. Sin embargo, cuanta mayor informacin se

oculte, ms perceptible ser.


6/15

La firma digital

Documento es el resultado de aplicar cierto algoritmo matemtico,

denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo

de firma (en el que se emplea una clave privada) al resultado de la operacin

anterior, generando la firma electrnica o digital. El software de firma digital debe

adems efectuar varias validaciones, entre las cuales podemos mencionar:

Vigencia del certificado digital del firmante,

Revocacin del certificado digital del firmante,

Inclusin de sello de tiempo.

Cmo funcionaLa firma digital

Integridad de los datos

Identificacin del firmante

No repudio

Funciones de firma digital

La firma digital funciona mediante complejos procedimientos matemticos que

relacionan el documento firmado con informacin propia del firmante. Estos

procedimientos permiten que terceras personas puedan reconocer la identidad

del firmante y asegurarse de que los contenidos no han sido modificados.

El firmante genera o aplica un algoritmo matemtico llamado funcin hash, el

cual se cifra con la clave privada del firmante. El resultado es la firma digital,

que se enviar adjunta al mensaje original. De esta manera el firmante

adjuntar al documento una marca que es nica para dicho documento y que

slo l es capaz de producir.

Para realizar la verificacin del mensaje, el receptor generar la huella digital

del mensaje recibido, luego descifrar la firma digital del mensaje utilizando la

clave pblica del firmante y obtendr de esa forma la huella digital del mensajeoriginal; si ambas huellas digitales coinciden, significa que no hubo alteracin y

que el firmante es quien dice serlo

Autorizacin

Es el proceso que determina (luego de su autenticacin) a qu recursos de

un sistema tiene acceso una identidad


7/15

Los mtodos de autenticacin

Estn clasificados en funcin de los elementos (factores) que se usan para

validar la identidad de una persona y podran agruparse en tres grandes

categoras, a saber:

Aquellos que se apoyan en lo que el usuario o el receptor sabe. Por ejemplo:

Contraseas, nmeros de identificacin, PIN (Personal Identification Number),

respuestas a preguntas, etc.

Los fundados en las caractersticas fsicas del usuario o en actos involuntarios

del mismo. Por ejemplo: Biometra (verificacin de voz, de escritura, de huellas,

de patrones oculares)

Los que se apoyan en la posesin de un objeto por el usuario. Por ejemplo:

Tarjetas de coordenadas, Tokens OTP, Token criptogrficos u otra informacin

almacenados en una tarjeta magntica.

En una cuarta clase se podra incluir diversas tipologas o mtodos deautenticacin y firma que, aunque no pertenecen a ninguna de las citadas

arriba. Pueden utilizarse tambin para indicar el creador de un mensaje

electrnico (Un facsmil de una firma manuscrita o un nombre mecanografiado

en la parte inferior de un mensaje electrnico).

Tipos de autenticacin

Los mtodos de autenticacin estn en funcin de lo que utilizan para la

verificacin y estos se dividen en tres categoras:Sistemas basados en algo conocido. Ejemplo, un password (Unix) o

passphrase (PGP).

Sistemas basados en algo posedo.Ejemplo, una tarjeta de identidad, una

tarjeta inteligente (smartcard), dispositivo USB tipo epass token, Tarjeta de

coordenadas, smartcard o dongle criptogrfico.

Sistemas basados en una caracterstica fsica del usuario o un acto

involuntario del mismo:Ejemplo, verificacin de voz, de escritura, de huellas,

de patrones oculares.

Los certificados digitales

Representan el punto ms importante en las transacciones electrnicas

seguras. Estos brindan una forma conveniente y fcil de asegurar que los

participantes en una transaccin electrnica puedan confiar el uno en el otro.

Esta confianza se establece a travs de un tercero llamado Autoridades

Certificadoras. Para poder explicar el funcionamiento de los certificados se

expone el siguiente ejemplo:

Blanca quiere poder mandar mensajes a No y que ste sepa que ella es

ciertamente la emisora del mismo. Para ello, consigue un certificado de unaAutoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a


8/15

Blanca un Certificado digital personalizado que le va a permitir identificarse ante

terceros. Dicho certificado debe guardarlo en lugar seguro, es el smil al

Documento Nacional de Identidad.

Funciones del certificado digital

Verificar que la clave pblica permanezca en una determinada persona. En

consecuencia, procurar que una persona utilice una clave haciendo pasar por

otra persona.

Solucionar el problema de otras personas con respecto a la funcin bsica del

certificado y la comprobacin de la identidad del firmante.

Publicar la clave pblica del emisor en un mensaje en su medio puede dar a

conocer la clave pblica de una persona.

Publicar la clave pblica de la identidad de la certificacin. Ya que el certificado

es firmado digitalmente por una identidad y debe ser descifrado Poe el destinodel mensaje.

Funcin aprobatoria. En el certificado digital consta la informacin relativa a la

identificacin del titular de la firma digital, y sus atributos dinmicos en el

momento determinado.

Tcnica de los Hacker

Tipos de hacker

Troyanos va mensajera instantnea

Este tipo de hacker se basa en la instalacin de un programa con un troyano

o "caballo de Troya", como algunos lo llaman en referencia a la mitologa griega,

el cul sirve como una herramienta remota para hacker. Tiene la habilidad de

ocultarse y su uso no est autorizado. Una vez ejecutado controla a la

computadora infectada. Puede leer, mover, borrar y ejecutar cualquier archivo.

Una particularidad del Troyano es que a la hora de ser cargado en un programa

de mensajera instantnea de forma remota, el hacker sabr el momento en que

el usuario se conecta. Es aqu donde el intruso podr robar informacin. Latransmisin de datos de la computadora infectada a la del intruso se lleva a cabo

gracias a que el programa de mensajera instantnea abre un tnel de

comunicacin el cual ser aprovechado por el atacante.4Cabe sealar que los

troyanos tienen una apariencia inofensiva y no propagan la infeccin a otros

sistemas por s mismos y necesitan recibir instrucciones directas de una persona

para realizar su propsito.

Ejemplos: Backdoor Trojan, AIM Vision y Backdoor. Sparta.C., Poison Ivy,

NetBus, Back Orifice, Bifrost, Sub7.


9/15

Sniffeo

Es la prctica de poder capturar tramas de informacin que viajan sobre la

red. Toda la informacin que viaja sobre el Internet, y que llega a una terminal,

como lo es una computadora, es capturada y analizada por dicho dispositivo. Sin

embargo, un sniffer captura dicha informacin a la cual se le llama trama, y

mediante una tcnica llamada "inyeccin de paquetes" puede llegar a modificar,

corromperla y reenviar dicha informacin. Con esto se logra engaar a los

servidores que proveen servicios en el Internet.

Fuerza brutal

Ataque de fuerza bruta es la prctica de ingresar al sistema a travs de

"probar" todas las combinaciones posibles de contrasea en forma sistemtica y

secuencial. Existen distintas variantes para este tipo de ataques, pero todosbasados en el mismo principio: agotar las combinaciones posibles hasta que se

encuentre un acceso vlido al sistema.

Negacin de servicio (Denial of Service-DoS)

Un ataque parcial de negacin de servicio hace que el CPU consuma

muchos recursos y la computadora se ponga inestable. Otra forma de ataque es

lo que se conoce como "flood", el cual consiste en saturar al usuario con

mensajes va mensajera instantnea al punto que la computadora deje deresponder y se pasme. De ah que los ataques de negacin de servicio en

programas de mensajera instantnea haga que el programa deje de funcionar.

Phishing

El trmino phishing se empez a usar en 1996. Es una variante de fishing

pero con "ph" de phone que significa telfono. Se refiere al engao por medio de

correos electrnicos a los usuarios que tienen cuentas bancarias. Segn

estadsticas del Centro de Quejas de Crmenes por Internet en EUA, la prdida

debido a estafas por correo fue de 1256 millones de dlares en 2004 y de

acuerdo con el Grupo de Trabajo Anti-Phishing ha habido un incremento de 28

% en los ltimos cuatro meses en las estafas por correo electrnico.

Web sites falsos (fake websites)

La tcnica de crear sitios web falsos se ha vuelto muy popular hoy en da.

Se trata de subir a la red, mediante hiperenlaces falsos, interfaces idnticas a

pginas web reales. De esta forma el usuario piensa que la pgina es real y

empieza a llenar su informacin, normalmente bancaria. En la mayora de loscasos piden al usuario poner su clave o que entre al sistema con su informacin


10/15

de cuenta. Despus manda una alerta de que el servidor no responde para no

levantar dudas.

Hijacking y suplantacin (impersonation)

Uno de los mtodos ms usados es el eavesdropping el cual pretende

recabar informacin como cuentas de usuario, claves, etc. Esto se logra por la

incursin de los troyanos en la computadora, nicamente para recabar

informacin de usuario. Una vez teniendo esa informacin se puede lograr la

suplantacin y se sigue con el proceso hasta tener informacin de gente cercana

al usuario infectado

Ejemplos de hacker

IP hijacking:Secuestro de una conexin TCP/IP.Page hijacking:Modificaciones sobre una pgina web.

Reverse domain hijacking o Domain hijacking:Secuestro de un dominio.

Sesin hijacking:Secuestro de sesin de usuario.

Browser hijacking: Modificaciones sobre la configuracin del navegador

web.

Mdem hijacking:Secuestro del mdem.

Las 10 mejores tcnicas de hacking

El escarabajo de heartbleed

El escarabajo de heartbleed es una grave vulnerabilidad en la biblioteca de

software criptogrfico OpenSSL populares. Esta debilidad permite el robo de la

informacin protegida, en condiciones normales, por el cifrado SSL / TLS

utilizado para asegurar la Internet. SSL / TLS proporciona la seguridad y la

privacidad de comunicacin a travs de Internet para aplicaciones como web,

correo electrnico, mensajera instantnea (IM) y algunas redes privadas

virtuales (VPN).

El error heartbleed permite a cualquier usuario de Internet para leer la

memoria de los sistemas protegidos por las versiones vulnerables del software

OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los

proveedores de servicios y para cifrar el trfico, los nombres y contraseas de

los usuarios y el contenido real. Esto permite a los atacantes vigilar las

comunicaciones, roban datos directamente de los servicios y usuarios y para

suplantar a los servicios y los usuarios.


11/15

ShellShock (error de software)

Tambin conocida como Bashdoor, es una familia de bugs de seguridad en

la ampliamente usada Bash de Shell de Unix. El primero de estos bugs fue

divulgado el 24 de Septiembre de 2014. Varios servicios de internet tal como

algunas implementaciones de servidores web usan Bash para ciertos pedidos y

procesos, esto le permita al atacante ejecutar comandos arbitrarios en versiones

vulnerables de Bash, de esta forma el atacante poda ganar acceso no

autorizado al sistema atacado. Trabajando en conjunto con expertos en

seguridad se obtuvo en poco tiempo un parche que solucionara el problema.1

El error se identific mediante el nombre de CVE-2014-6271. Fue anunciado al

pblico el 24 de septiembre del 2014 cuando las actualizaciones de Bash ya

incluan los parches hechos para la versin que se distribuira en la actualizacin

correspondiente.

Caniche

Para trabajar con los sistemas de herencia, muchos clientes TLS

implementar un baile rebaja: en una primera intento de apretn de manos,

ofrecen la ms alta versin del protocolo soportado por el cliente, y si esto

apretn de manos falla, vuelva a intentar (posiblemente varias veces) con

versiones anteriores del protocolo. A diferencia adecuada versin del protocolo

de negociacin (si el cliente ofrece TLS 1.2, el servidor puede responder con, por

ejemplo, TLS 1.0), esta rebaja tambin puede ser provocada por fallos de red, opor los atacantes activos.

Rosetta Flash

En esta entrada del blog presento Rosetta flash, una herramienta para

convertir cualquier archivo SWF a otro compuesto por slo caracteres

alfanumricos con el fin de abusar de los puntos finales JSONP, por lo que una

vctima realizo peticiones arbitrarias al dominio con el punto final vulnerables y

exfiltrate datos potencialmente sensibles, no limitado a JSONP respuestas, a un

sitio controlado por el atacante. Se trata de un CSRF sin pasar Poltica mismo

origen.

De alto perfil de Google dominios (accounts.google.com, www., Libros.,

Mapas., Etc.) y YouTube eran vulnerables y han sido recientemente fijo. Twitter

, LinkedIn , Yahoo , eBay , Mail.ru , Flickr , Baidu , Instagram , Tumblr y Olark

todava tienen puntos finales JSONP vulnerables en el momento de escribir esta

entrada del blog (pero Adobe empuj una solucin en la ltima versin de flash

, vase el prrafo mitigaciones y correccin ).


12/15

Pasarela Residencial "La desgracia de la galleta"

Ms de 12 millones de dispositivos que ejecutan un servidor web embebido

llamada Rom Pager son vulnerables a un ataque simple que podra dar a una

hombre-en-el-medio posicin pirata informtica en el trfico que va hacia y desde

los routers domsticos de casi todos los principales fabricantes. En su mayora

de propiedad de las pasarelas residenciales ISP fabricados por D-Link, Huawei,

TP-Link, ZTE, Zyxel y varios otros estn actualmente expuestos. Investigadores

de Check Point Software Technologies inform que la falla que han llamado la

desgracia de la galleta, a todos los proveedores y fabricantes afectados, y la

mayora han respondido que van a impulsar un nuevo firmware y parches en el

corto plazo.

Hackear cuentas de PayPal con un solo clic (parcheado)

Hoy voy a revelar pblicamente una vulnerabilidad crtica que he

encontrado durante mi investigacin en PayPal, Esta vulnerabilidad me permiti

omiten por completo el sistema de prevencin de CSRF implementado por

PayPal, La vulnerabilidad es un parche muy rpido y PayPal me pag la mxima

recompensa que dan;).

Hackers eludi autenticacin de dos factores de Google

Autenticacin de dos factores es generalmente visto como la apuesta ms

segura para proteger su cuenta de Gmail. Sin embargo, una desgarradora

historia de desarrollador independiente de Grant Blakeman, cuya Instagram fue

hackeado a travs de Gmail, revela cmo ni siquiera autenticacin de dos

factores puede vencer todas las amenazas de seguridad.

Al escribir sobre Ello, Blakeman describe cmo los hackers obtuvieron

acceso a su cuenta de Instagram a travs de su Gmail. A pesar de que l tena

de dos factores activada, los hackers fueron capaces de restablecer su

contrasea de Gmail a travs de Instagram y tomar el control de su cuenta (que

desde entonces ha sido restaurado). Entonces, cmo lo hacen? Blakeman dice

que Wired 's Mat Honan, l mismo un veterano de un corte pico, lo ayud por

lo que sugiere que consulte con su proveedor de telfono mvil. Resulta que su

nmero haba sido reenviado a un nmero diferente, que es como los hackers

obtuvieron acceso:

El ataque comenz realmente con mi proveedor de telefona celular, que

de alguna manera permiti cierto nivel de acceso o la ingeniera social en mi

cuenta de Google, que a su vez permiti a los piratas informticos para recibir

un correo electrnico de restablecimiento de contrasea de Instagram, dndoles

el control de la cuenta.


13/15

Apache Struts ClassLoader Manipulacin ejecucin remota de cdigo y

blog

Actualiza Commons File Upload a la versin 1.3.1 (evita los ataques DoS)

y aade "clase" para excluir params en Parameters Interceptor evitar la

manipulacin (cargador de clases)

A quin va dirigida esta: Todos Struts 2 desarrolladores y usuarios

Alcance de la vulnerabilidad: Los ataques DoS y manipulacin ClassLoader

Puntuacin mxima seguridad: Importante

Recomendacin: Los desarrolladores deben actualizar inmediatamente a Struts

2.3.16.1

Software afectado: Puntales 2.0.0 - 2.3.16 puntales

Reportero: Peter Magnusson (peter.magnusson en omegapoint.se), Przemysaw

Celej (p-Celej en o2.pl)

Identificador CVE: CVE-2014-0050 (DoS), CVE-2.014-0.094 (manipulacin

cargador de clases)El mecanismo de carga por defecto en Apache Struts 2 se basa en los

Comunes File Upload versin 1.3, que es vulnerable y permite ataques DoS.

ParametersInterceptor adicional permite el acceso al parmetro "clase" que se

correlaciona directamente con el mtodo getClass () y permite la manipulacin

cargador de clases.

El uso de Facebook Notas a cualquier sitio web DDoS

Notas Facebook permite a los usuarios incluir etiquetas . Siempreque se utilice una etiqueta , Facebook se arrastra la imagen desde el

servidor externo y lo almacena en cach. Facebook slo cach de la imagen una

vez, sin embargo el uso de parmetros aleatorios obtener la cach puede ser de

paso obligatorio y la funcin se puede abusar de causar una gran inundacin

HTTP GET.

Los canales de temporizacin encubierto basados en HTTP Cache

encabezados

HTTP es uno de los protocolos ms utilizados en Internet para las

detecciones de los canales encubiertos sobre el HTTP es una importante rea

de investigacin de temporizacin HTTP canales han recibido poca atencin en

la seguridad informtica El caudal principal HTTP encubierta canal de

sincronizacin es igual a 1,82 puntos bsicos [1]. Este canal no utiliza ningn

mecanismo de HTTP y se basa en DNS-tnel del canal de temporizacin del

servidor-a-cliente TCP / IP [3] aplicado en carne de vacuno ha caudal igual a 10

bits / s 6.


14/15


15/15

trabajo de un-criptosistema...pdf

Documents