El ejercito de Bangkok no compro equipos para romper el SSL

El ejército de Bangkok negó el martes que hubiese adquirido dispositivos para comprometer la seguridad de la tecnología web, según lo declarado por Civilians Against Single Gatewayenlace.

El Comandante del Ejército Gen Chalermchai Sitthisart dijo que el ejército nunca había comprado ningún dispositivo para cortar el enlace de seguridad entre los servidores y navegadores web, conocidos como SSL (Secure Sockets Layer), [SSL Definición, Secure Sockets Layer es un protocolo diseñado para permitir que las aplicaciones para transmitir información de ida y de manera segura hacia atrás. Las aplicaciones que utilizan el protocolo Secure Sockets Layer sí sabe cómo dar y recibir claves de cifrado con otras aplicaciones, así como la manera de cifrar y descifrar los datos enviados entre los dos.¿Cómo funciona el SSL? Algunas aplicaciones que están configurados para ejecutarse SSL incluyen navegadores web como Internet Explorer y Firefox, los programas de correo como Outlook, Mozilla Thunderbird, Mail.app de Apple, y SFTP (Secure File Transfer Protocol) programas, etc Estos programas son capaces de recibir de forma automática SSL conexiones.Para establecer una conexión segura SSL, sin embargo, su aplicación debe tener una clave de cifrado que le asigna una autoridad de certificación en la forma de un Certificado. Una vez que haya una única clave de su cuenta, usted puede establecer una conexión segura utilizando el protocolo SSL]diciendo que la información difundida por el grupo fue creada para especular y crear repercusiones en Internet.

El enlace de seguridad garantiza que todos los datos transmitidos entre el servidor web y navegadores siguen siendo privados.

La decisión de Gen Chalermchai llegó después de que el grupo Civilians Against Single Gatewayenlace: hubiera publicado en Facebook lo que decían ser detalles de adquisiciones del ejército.

Ellos afirmaron que habían hackeado sitios web del ejército y encontrado documentos que indican la compra de dos dispositivos SSL.

Se interesaron por el objetivo de la compra y dijeron que sospechaban que podría ser utilizado para decodificar y acceder a los datos personales de los ciudadanos.

Gen Chalermchai dijo que el Centro Cibernético del Ejército, creado a principios de este año, no tenía necesidad de tal equipo, ya que no estaba interesado en los datos de descodificación. El centro había comprado algunos equipos, pero el dispositivo de la piratería de la SSL no estaba entre ellos.

"La información ha sido adulterada. Si nos fijamos en la lista, el equipo generalmente lleva un proceso y unas herramientas para los ingenieros del ejército, pero al final no fue el dispositivo SSL. No es una práctica estándar del ejército. No lo .mezclamos la maquinaria con dispositivos de comunicaciones ", dijo.

Gen Chalermchai dijo que el ejército estaba investigando el asunto y que tomaría acciones legales contra los responsables de la difusión de la información falsa.

Se le preguntó si el ejército fue blanco de ataques cibernéticos, Gen Chalermchai dijo que los hackers estaban tratando de apuntar a sitios web del gobierno.

Él se quito de encima la cuestión de cómo el ejército se ocuparía de estos "guerreros cibernéticos," diciendo que el ejército era capaz de identificar a las personas que difunden información falsa.

El grupo con sede en Internet se convirtió en activo después de que la ley de Delitos Informáticos fue modificada y aprobada por la Asamblea Nacional Legislativa a mediados de este mes.

El grupo pidió a sus partidarios que lanzasen una ola de ataques cibernéticos dirigidos a sitios web del gobierno en protesta.

Col Winthai Suvaree, portavoz del Consejo Nacional para la Paz y el Orden, dijo el martes que el Consejo no discutió las protestas contra la Ley de Delitos Informáticos durante su reunión.

Sin embargo, el primer ministro pidió a las agencias estatales que incrementen sus defensas contra los ataques cibernéticos, que han llevado sobre todo a la interrupción de los servicios en lugar del robo informático de datos sensibles.

También el martes, el mayor general Ritthi Intharawut, director del Centro de Cyber ​​del ejército, instó al público a no ser víctimas de la campaña de ataque cibernético asegurando al mismo tiempo que la mayoría de los sistemas estaban bien protegidos contra los ataques.

CONFERENCIA CHRIS COLON SEGURIDAD DISPOSITIVOS

CHRIS CONLON comienza la charla con tres grandes puntos conceptuales de seguridad de los datos: los datos en tránsito, los datos en reposo en el dispositivo, y el firmware y cómo se pone al día. 

Un hilo común que subyace a todo esto es la criptografía, y le dedica la última sección de su charla. Así que si desea realizar un viaje relámpago por la seguridad del dispositivo, aquí está!

LOS DATOS EN TRÁNSITO

El dispositivo inteligente probablemente usa Internet para algún servicio u otro. Sus datos, ya que se mueve a través de la red, son vulnerables. Es posible que desee mantenerlos en privado. Aquí, se tienen básicamente dos opciones: o bien aplicar TLS / SSL en la capa de sesión, o asegurar sus conexiones a mayor profundidad en la capa de red con IPSec.

Es probable que haya oído hablar de TLS / SSL. Es lo que mantiene su navegación web segura cuando escribe https://en su navegador. TLS (Transport Layer Security) se compone realmente de cuatro componentes. Se ocupa de la conexión inicial - el saludo - entre el cliente y el servidor momento en que se ponen de acuerdo en el algoritmo de cifrado que van a utilizar para la conexión. Este es el lugar donde ocurre la autenticación: el cliente está seguro de que el servidor es quien usted piensa que es, y esto depende de la cadena de certificados X.509. Una vez que el cifrado está configurado, que mantiene sus datos privados y no los modifica. Todo esto parece funcionar casi sin esfuerzo en el navegador de su ordenador portátil.

Pero desde una perspectiva dispositivo integrado, TLS es difícil. Se trata de algoritmos criptográficos que pueden gravar la CPU de su microprocesador, la demanda demasiada memoria, y en general atascar su dispositivo. Para ayudar, se puede elegir un algoritmo de cifrado que utiliza menos memoria RAM o ROM, dependiendo de lo que cada uno dispone. Se pueden comprar dispositivos de hardware incorporado en periféricos de cifrado para descargar el trabajo de la CPU.

LOS DATOS EN REPOSO

Los datos almacenados en el dispositivo en sí también son vulnerables. Si tiene información sensible en él, debe ser al menos encriptada, y si es posible no almacenar la información en absoluto, asi se evita el problema por completo. Suponiendo que el firmware utiliza el cifrado, mantener el secreto de las claves de cifrado es una cuestión importante. La generación de las claves de forma local en el dispositivo impide que se pueda interceptar el transporte. (Chris) sugiere, además, que no se vuelvan a utilizar las claves para diferentes propósitos, y cambiarlas con frecuencia.

Pero, ¿cómo el dispositivo almacena las claves? Lo ideal sería que el chip tuviese un elemento de almacenamiento seguro: un TPM o HSM donde se pueden guardar las claves. Si usted no tiene ningún almacenamiento seguro, siempre se puede requerir que el usuario tome alguna acción para descifrar las claves, resetearlas totalmetne en caso de que se detecte la manipulación.

LAS ACTUALIZACIONES DE FIRMWARE

El procedimiento de actualización de firmware está plagado de numerosas estafas. El dispositivo debe ser capaz de ser actualizado de forma remota, pero también tiene que ser capaz de confiar en la fuente del firmware, que necesita ser encriptada en tránsito, y tiene que estar seguro de que el nuevo firmware llegó intacto.

[Chris] 's método se apoya fuertemente en el cifrado de clave pública para realizar el trabajo. Mientras que el dispositivo es capaz TLS-, se puede utilizar cualquier mecanismo de transporte en el medio. [Chris] sugiere que sería posible utilizar MQTT, asegurado por TLS, para manejar la distribución del firmware.

CRIPTOGRAFÍA

Si usted ha estado prestando atención, usted ha notado que todo lo anterior se basa en gran medida de mantener las cosas en secreto, y eso significa criptografía subyacente. Y cripto depende en gran medida de números aleatorios, que no es muy fácil en dispositivos de hardware pequeños.

Las cosas que usted podría pensar que son al azar, pero no lo son, tienen reloj y números de serie. Lo que realmente quiere es un verdadero generador de números aleatorios - algo que debe su aleatoriedad del medio ambiente. Si el dispositivo no tiene suficiente entropía que entra, se puede sembrar un generador de números pseudoaleatorios periódicamente con la entropía que tienes, y la esperanza de que sea lo suficientemente bueno. Muchos dispositivos de hardware en estos días tienen generadores de números aleatorios en el silicio, que se encarga de llevarlo a cabo.

Después, usted necesita para asegurarse de que está utilizando una clave de tiempo suficiente para el cifrado, y esto depende tanto del algoritmo que está utilizando y el número real de bits de la clave. La elección del algoritmo está influenciada sus requisitos de velocidad y de memoria y los recursos de su microcontrolador. Si el chip que está utilizando tiene dedicado un hardware periférico SHA-2, por ejemplo, usted probablemente va a querer usarlo, y entonces usted puede escoger la longitud de la clave adecuada en consecuencia.

RESUMEN

[Chris] señala que esta charla es una gran visión de conjunto. Si usted quiere realmente embarcarse en la tarea de diseñar un sistema de hardware seguro, vas a tener que profundizar en todos y cada uno de estos puntos mucho más. Sin embargo, él tiene una diapositiva de resumen lleno de buenos consejos, y te dará una buena base para iniciar su propio proceso de aprendizaje.