Hardware Hacking, Row Hammer y Light Eater

En la actualidad, en el mundo de la seguridad recibimos continuamente anuncios de vulnerabilidades de software y sus correspondientes actualizaciones de seguridad. Prácticamente no pasa un solo día en el que no aparezca una nueva vulnerabilidad. La gran mayoría de estas vulnerabilidades aprovechan fallos en la implementación del software para obtener por ejemplo ejecutar código, elevar privilegios, superar mecanismos de validación, obtener información, etc.

Es obvio que en el mundo de la seguridad la atención se centra las potenciales vulnerabilidades en el software, y no falta razón. No obstante, el problema radica en la creencia firme de que los dispositivos hardware que ejecutan el mismo son perfecta y completamente seguros. Nada más alejado de la realidad; el hardware está formado por multitud de bloques de circuitos interconectados que interactúan de una forma muy compleja, y es fundamental que se tenga en cuenta la seguridad en el diseño y ensamblado de los componentes.

Dentro de la cadena de fabricación de, por ejemplo, la placa base de un ordenador personal cualquiera, se emplean distintos chipset de distintos fabricantes y características, como la BIOS, los controladores de memoria, los chipset de bridge, controladores ATA, etc. Y qué decir de cuando a esa misma placa conectamos distintos dispositivos, todos ellos con sus propios componentes. Es fácil hacerse una idea de la complejidad que puede alcanzar un sistema aparentemente convencional. Por lo que, para poder “controlar” la seguridad a este nivel se deberían llevar medidas de control y verificación hasta los propios fabricantes de los dispositivos o los que los ensamblen equipos.

[Read more…]

Publicado informe de estado del arte de “Seguridad en Internet de las Cosas”

Hace unos días el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) publicó un informe de “Seguridad en Internet de las cosas”, en el que podemos encontrar una guía sobre el estado del arte de seguridad sobre este tipo de dispositivos cada vez más extendidos en la red.... Leer Más

Fundamentos sobre Certificados Digitales – Guía de uso seguro de Certificados Digitales

Recientemente, el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-cv), ha publicado una “Guía de uso seguro de Certificados Digitales”, esta guía vino precedida por una campaña de concienciación emitida en redes sociales. Formada por una serie de consejos de seguridad diarios, relacionados con el uso de certificados digitales. A este respecto, y dado que esta serie de entradas en Security Art Work dedicada a Fundamentos de Certificados Digitales está perfectamente alineada con los temas tratados en la guía, he considerado introducir la guía dentro de la misma serie.... Leer Más

Fundamentos sobre Certificados Digitales – El estándar X.509 y estructura de certificados (II)

Siguiendo con la entrada anterior, que hablaba del estándar X.509 que define la estructura del certificado; nos quedaba pendiente revisar los campos fundamentales que componen el bloque de tbsCertificate, dentro de la estructura de X.509. ... Leer Más

Fundamentos sobre Certificados Digitales – El estándar X.509 y estructura de certificados

En esta entrada, dentro de nuestra serie dedicada a Certificados Digitales, nos vamos a centrar en la estructura e implementación de los certificados. ... Leer Más

Fundamentos sobre certificados digitales – Declaración de Prácticas de Certificación (II)

Siguiendo con la entrada relacionada con las Declaraciones de Políticas de Certificación, nos queda pendiente detallar el contenido de la RFC 3647.... Leer Más

Fundamentos sobre certificados digitales – Declaración de Prácticas de Certificación

En esta entrada dentro de la serie de Fundamentos sobre Certificados Digitales nos vamos a centrar en uno de los requisitos fundamentales a tener en cuenta por cualquier Autoridad de Certificación (CA). Este requisito no es una opción, sino una obligación establecida para cualquier normativa o legislación aplicable relativa a la generación y tratamiento de certificados digitales. Estamos hablando de las Declaraciones de Prácticas de Certificación y de las Políticas de Certificación. Como siempre, vayamos paso a paso.... Leer Más

Fundamentos sobre Certificados Digitales: Normativa y Legislación propia de Autoridades de Certificación en España (2ª parte)

Seguimos con el análisis de la Ley de Firma electrónica que nos quedó pendiente de la anterior entrada de esta serie (Entrada previa: “Fundamentos sobre Certificados Digitales: Normativa y Legislación propia de Autoridades de Certificación en España (1ª parte)”).... Leer Más

Fundamentos sobre Certificados Digitales: Legislación propia de Autoridades de Certificación en España (1ª parte)

Ya hemos recorrido gran parte de los puntos fundamentales a tener en cuenta para la constitución e implementación de una Autoridad de Certificación (en adelante CA), y a pesar de que una CA es básicamente técnica, es fundamental tener en cuenta cuáles son los requisitos legales y normativos propios para cada uno de los tipos y usos previstos. Así como para implantar y certificar el nivel de confianza objetivo.... Leer Más

Fundamentos sobre certificados digitales (VI) – Algoritmos Criptográficos

En nuestra entrada respecto a certificados digitales de este mes, nos vamos a centrar en un punto crítico dentro de la infraestructura de una PKI. Este tema se ha ido comentando leve y superficialmente en anteriores entradas; sin embargo, se trata de uno de los puntos más importantes que está afecta directamente con los propios a la construcción de los propios certificados y tiene una dependencia directa con la robustez de los mismos; este punto es el referente a algoritmos criptográficos.... Leer Más