lunes, 25 de julio de 2016

Publicada la píldora formativa Thoth 37 "¿Cómo funciona el algoritmo de exponenciación rápida?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 37 del proyecto Thoth que lleva por título "¿Cómo funciona el algoritmo de exponenciación rápida?"

En criptografía moderna, las operaciones modulares se realizan con números muy grandes, siendo común en sistemas asimétricos utilizar claves de más de 2.000 bits, algo que ralentiza dichas operaciones de cifra. Una manera eficiente de optimizar este cómputo es hacer uso del algoritmo de exponenciación rápida, que reduce de forma drástica el número de operaciones bit de la máquina. No obstante, tiene como contrapartida el hecho de que facilita un tipo de ataque acústico por canal lateral, si bien existen contramedidas para evitarlo.

Enlace en YouTube a la píldora Thoth 37 "¿Cómo funciona el algoritmo de exponenciación rápida?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes cinco filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía y Criptografía moderna.

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en septiembre de 2016 con la píldora 38 de título "¿Qué es el intercambio de clave de Diffie y Hellman?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth


domingo, 24 de julio de 2016

Ejecución de comandos en Cisco Unified Computing System Performance Manager

Cisco ha confirmado una vulnerabilidad en el entorno web de Cisco Unified Computing System (UCS) Performance Manager que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.

El problema, con CVE-2016-1374, se debe a la insuficiente validación de las entradas de los parámetros pasados a través de una petición HTTP GET. Un atacante podría explotar esta vulnerabilidad mediante el envío al sistema afectado de peticiones HTTP GET específicamente construidas, lo que le permitiría ejecutar comandos arbitrarios con privilegios de usuario root.

Se ven afectados los sistemas Cisco UCS Performance Manager versiones 2.0.0 y anteriores. Cisco ha publicado la versión 2.0.1 para solucionar esta vulnerabilidad.

Más información:

Cisco Unified Computing System Performance Manager Input Validation Vulnerability





Antonio Ropero

Twitter: @aropero