Comprimir, encriptar y proteger datos: conceptos clave en seguridad informática

GNU zip (gzip) y Zlib

Software que se usa para la comprimir y descomprimir ficheros con la extensión “.gz”. Fue creado por Jean-Loup Gailly y Mark Adler como software libre de compresión. Zlib es una librería creada también por Jean-Loup Gailly y Mark Adler en 1995 que usa el mismo algoritmo de compresión que usa gzip. Zlib tiene un formato propio, el formato zlib, que es diferente e incompatible con el formato gzip. Los datos internamente son iguales que el Gzip, pero se usan diferentes cabeceras y trailers. La cabecera de Zlib es mas pequeña que la de Gzip.

Funciones Hash

Las funciones Hash toman cadenas arbitrarias como entrada y producen una salida de longitud fija (valor hash, hash code o simplemente: hash) que depende de dicha entrada.

OpenSSL

Es una implementación open-source de los protocolos SSL v2/v3 y TLS v1. Se trata de una biblioteca de programas escrita en Lenguaje C y que dispone de wrappers para su uso en muchos lenguajes de programación como es el caso de ruby, python, java. Ofrece un conjunto de algoritmos y suites criptográficas que se usan para implementar los protocolos SSL y TLS.

Shadow Password

Método para proteger las contraseñas que impide que usuarios sin privilegios accedan al fichero donde están las contraseñas cifradas, solo puede el root etc/shadow. La salt es una cadena aleatoria que se concatena al dato del que se va a calcular ('salted' o 'sazonado'). El hash resultante se almacena junto con la salt. El uso de salt ralentiza el ataque por adivinación de passwords.

Penetration testing (pentest)

Método de evaluación de la seguridad de un dispositivo mediante el estudio y simulación de un hipotético ataque al mismo.

Initialization vector (iv) y Base64

Para que ficheros iguales en alguna parte no produzcan bloques cifrados iguales. Normalmente se escribe el iv antes del fichero encriptado. iv no proporciona información a un posible atacante. Base64 es un tipo de codificación bynary-to-text para representar datos binarios en texto. Usado cuando es necesario almacenar y/o transferir datos sobre un medio que solo trata con datos de tipo texto.

GNU Privacy Guard GPG

Implementación libre del estándar OpenPGP basado en PGP. GPG permite cifrar y firmar datos mediante una utilidad en la línea de comandos de fácil integración con otras aplicaciones y utilidades. Software Libre bajo licencia GPL. Tiene su propio protocolo y forma de gestionar las claves. Usando GPG usaremos diversas claves tanto nuestras (pública y privada) como las claves públicas de otras personas. Las claves se guardan todas en lo que se llama “anillo de claves” o keyring.

Key tampering y gpg-agent

Falsificar o alterar las claves para un ataque. Ataque man in the middle. Gpg-agent es un demonio para solicitar y almacenar en caché la contraseña de la clave el tiempo que sea necesario para realizar las operaciones. Por lo tanto ahorramos en escribir la clave cada vez que realizamos alguna operación y nos quita la tentación de eliminar la clave o hacerla insegura.

Hackin ético y Shodan

Usar los conocimientos informáticos y seguridad para realizar pruebas y encontrar vulnerabilidades para reportarlas sin hacer daño. Shodan es un motor de búsqueda que permite encontrar dispositivos conectados a Internet a través de una variedad de filtros. Indexa headers (tcp banners) de diferentes dispositivos y servicios.