elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


  Mostrar Mensajes
Páginas: 1 ... 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 [176] 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 ... 235
1751  Seguridad Informática / Criptografía / Re: Whatsapp criptografia End-to-End en: 6 Abril 2016, 22:55 pm
Cita de: PalitroqueZ en  6 Abril 2016, 21:43 pm
hasta Line creo que empezó cifrando su mensajería.

a mi me gusta más Line que whatsapp, pero por donde vivo no es popular.

La verdad Whatsapp gano mucho terreno. Frente a otros que ya existian incluso ve el Google Hangouts que en su momento era Talk

Por lo que estoy leyendo del protocolo este manda el mensaje cifrado con AES256 y firmado por HMAC256 esto es y lo que manda cifrado con la llave publica, es a lo que entiendo el Message Key.

Por se se me haria inseguro por no decir otra palabra mandar el Message Key en texto plano para que en el remoto caso de alguien intercepte ese paquete tenga acceso a la clave de descifrado.

La lectura no indica este punto claramente o por lo menos yo no lo he visto o no lo entiendo al 100

Segun yo se manda lo siguiente:

Código:
<Message Key>
	<CLAVE: 32 Bytes clave de decifrado AES256><HMAC: 32 Bytes firma HMAC><IV: 16 bytes Vector de Inicializacion para el modo CBC del mensaje cifrado>
</Message Key>
<Message>
	Mensaje cifrado con AES256  con la clave "CLAVE" en modo CBC con el vector de de inicializacion "IV"
</Message>

Donde en teoria se manda el "Message Key" cifrado con la llave publica.
1752  Programación / Programación C/C++ / Re: Problema al utilizar archivos en C en: 6 Abril 2016, 17:28 pm
Código
  1. int IDtableLoad( char DNI[] )
  2.  {
  3.  FILE *fptr;
  4.  char mot[BUFSIZ];
  5.  int i;
  6.  fptr = fopen( "DNIList.txt", "rt" );
  7.  if( fptr != NULL ) {
  8.  i = 0;
  9.  fscanf( fptr, " %s", mot );
  10.  while( !feof( fptr ) ) {
  11. //Aqui deberias de agregar la variable leida a la variable  global
  12.  fscanf( fptr, " %s", mot );
  13.  } /* while */
  14.  fclose( fptr );
  15.  } else {
  16. i = -1;
  17.  } /* if */
  18.  return i;
  19. } /* IDtableLoad */
  20.  

Esta funcion hace lo siguiente:
Abrir el archivo
Lee un renglon
Lo  guarda en una variable local
Lee el siguiente renglon. y asi sucesivamente

Mas nunca guarda la variable locan el el arreglo global que tiene.

Código
  1. char IDtable[MAXID][IDLEN+1];

Al parecer es un buffer que solo tiene espacio para 116 DNI.

El como pasar la variable local al buffer global es tu tarea.

Sugerencias
usar memcpy
hacer un ciclo manual y copiar byte por byte.
Cambiar el buffer estatico por memoria dinamica.
Traducir del frances al español jajajajaja

Otra observacion importante el programa es vulnerable a buffer overflow. si el renglon leido desde el archivo es de mayor tamaño a BUFSIZ entonces escribira en las variables continuas del programa y causara un segment fault
1753  Foros Generales / Noticias / Re: Un ataque hacker podría estar detrás de la filtración de los Papeles de Panamá en: 6 Abril 2016, 15:49 pm
ya publico forbes que tenian varias vulnerabilidades en drupal qu no fue actualuzado en mas de 3 años y tambien un wordpress no actualizado en algunos meses.

http://www.forbes.com/sites/thomasbrewster/2016/04/05/panama-papers-amazon-encryption-epic-leak/#39c7e9ca1df5
1754  Programación / Programación C/C++ / Re: Problema al utilizar archivos en C en: 6 Abril 2016, 14:40 pm
buen dia.

veo que lee el archivo pero no veo que cargue contenido en la memoria.

Usa El Code=c para poner tu codigo. Ya que es dificil leerlo asi
1755  Seguridad Informática / Criptografía / Re: Whatsapp criptografia End-to-End en: 6 Abril 2016, 06:02 am
Algo que se me hizo interesante y a la vez un poco tonto fue la parte para validar las Llaves.

Dice el texto:
Citar
Verifying Keys

WhatsApp users additionally have the option to verify the keys of the other users with whom they are communicating so that they are able to confirm that an unauthorized third party (or WhatsApp) has not initiated a man-in-the-middle attack. This can be done by scanning a QR code, or by comparing a 60-digit number.

The QR code contains:

1. A version.
2. The user identifier for both parties.
3. The full 32-byte public Identity Key for both parties.

When either user scans the other’s QR code, the keys are compared to ensure that what is in the QR code matches the Identity Key as retrieved from the server.

The 60-digit number is computed by concatenating the two 30-digit numeric fingerprints for each user’s Identity Key

To calculate a 30-digit numeric fingerprint:
1. Iteratively SHA-512 hash the public Identity Key and user identifier 5200 times.
2. Take the first 30 bytes of the final hash output.
3. Split the 30-byte result into six 5-byte chunks.
4. Convert each 5-byte chunk into 5 digits by interpreting each 5-byte chunk as a big-endian unsigned integer and reducing it modulo 100000 .
5. Concatenate the six groups of five digits into thirty digits.

Iteratively SHA-512 hash the public Identity Key and user identifier 5200 times.

Por que 5200? Siendo que a  sha512 no le han encontrado colisiones por que ese numero incluso el sha512 de una texto unas cuantas veces digamos 5 seria suficiente en fin.

 :silbar: :silbar:

Aqui dejo un codigo de como seria el calcular 5200 veces el sha512 de un texto dado usando la libreria libgcrypt
Código
  1. /*
  2. 	Twitter @albertobsd
  3. cc -o iterative_sha512 iterative_sha512.c `libgcrypt-config --cflags --libs`
  4. */
  5.  
  6. #include<stdio.h>
  7. #include<gcrypt.h>
  8.  
  9. int main()	{
  10. 	unsigned char *buffer,*digest,*temp = NULL;
  11. 	register int i = 0,j;
  12. 	buffer = calloc(64,sizeof(unsigned char));
  13. 	digest = calloc(64,sizeof(unsigned char));
  14. 	memset(buffer,'A',64);
  15. 	while(i < 5200)	{
  16. 		gcry_md_hash_buffer(GCRY_MD_SHA512,digest,buffer,64);
  17. 		printf("sha512: ");
  18. 		j = 0;
  19. 		while(j < 64)	{
  20. 			printf("%.2x",digest[j++]);
  21. 		}
  22. 		printf("\n");
  23. 		temp = buffer;
  24. 		buffer = digest;
  25. 		digest = temp;
  26. 		i++;
  27. 	}
  28. 	free(buffer);
  29. 	free(digest);
  30. }
  31.  
  32.  

Aqui un pedacito de la salida (las ultimas lineas)

Código:
sha512: 4f86b77580f55fdb90493042738915127aaa4fa2f1302a52b647b7a179b9c49b06f3cf67d0b1cc6e50dc7519bbb30c207b87be46eb60c8c78da0a18be7ee7b7a
sha512: 08726cc621866ffce20525d3e06d369aa73efae405d452ecdb426dfa00784637b2d0287e8702c50853741c34aac4768765d2e8395188351e9c5b5c6793d4759b
sha512: 16687e52fd941f0ccd8f70ce64c6802688c135482ec01c03e16cf0bb60490774b86ffab6fc7d19b65a22519d38807ee5b88277847a875f011c05ea2f47ae7e3b
sha512: bc83d85641f7588c15a023f8fe3617baacc67a758d148829ea8e10e3123d684f710b7d085de99fea5be9913db9a67145d181de39d7b19fc664780477f5e2253b
sha512: 13bd175d39ab444f808a09dc49a823f76720a36a48bf8e1f321ba9a16303325003fb41fb80d40fd2a82cf8c2904168dc6160491e0be48ef60a6e8ed63137ee4f
sha512: 36d743bb4e26669d09c96e4f82213105f5d34e4fcbcb7e5d385bf278b30e2083d9d8dfd9516a28e5e4096078a5ee7ab160da16aff39c19062eddfce4282190d7
sha512: dee957067e6ca41113242e06e9a42532c0806a577fb665ed6d9e45a8f60762ab0c8c4511ef720a0edaf3758cf40bf6f85e10237f2821ec3213451b8aa34a3a2f
sha512: fd3172c5314f26e48a6f94d243e428be4bb28379c5536e943fa33c8a7b87564c46b23359dc113f547b21f64a6b8ca3d8b655f4f743c533aeffd84c38f10ceced
sha512: a2c5ce5e4342863ca31dfbf0ff204d94636fd2da00c539df97ab6ce193791c5dd4a4136686ef7e37ca25c547fe12cea80192f06c1e6c33450e730f73a9d170ba
sha512: 467bb8f325dcb319ebfb9f60464a4d54cf4078fc3c5ad8ee70ab214e999a2fb39873d430a51cb96e5ca2929d8c485105b3095463f4790ba4709deb425512cb2e
sha512: 82776272e658cbc37b73258da6d5283baa027f85c27ee1538c47aaccde688ee510652e2e47fb8bcfa7eb02f3797bfffa44cf20f9274f401d8668467632459928
sha512: 5387ba3de50479e2b15c466d0bec62252bccaace8a207c53d5591283fb799ef7d1480aebdefeaff30e92436633d519e9a494d3db6a578e1da84b452372aa1b71

Ahora pense que seria algo tardado pero al parecer es bastante rapido
Cita de: g3ck0 en  6 Abril 2016, 03:16 am
WhatsApp... Facebook... espera. ¿Los de Facebook están implementando anonimato en la comunicación del teléfono verde?

Muy bien, carajo, ¿dónde está el truco?

Creo que whatsApp esta motivado por 2 cosas.

*Sus principales competidores ya implementaban cifrado end-to-end y estan perdiendo usuarios.

Telegram por ejemplo se me hace mejor que whatapp, tiene tambien autodestrucion de mensajes, stickers y una API para poder programar bots y un largo etc..

*El caso del FBI vs Apple

Aunque el FBI encontrara metodos alternos para acceder al iphone. Apple se mantuvo firmo y demostro que una Organizacion gubernamental puede terminar por no acceder a los datos cuando un buen sistema de cifrado esta implementado.
1756  Seguridad Informática / Criptografía / Whatsapp criptografia End-to-End en: 6 Abril 2016, 01:59 am
Bueno como es noticia desde hace unas horas para algunos usuarios, whatsapp en sus nueva actualizacion acaba de anunciar que implementara cifrado end-to-end.

El documento explicando todo el proceso esta disponible para su lectura en

https://s3-eu-west-1.amazonaws.com/uploads-eu.hipchat.com/83000%2F605209%2FM79CMVvVjjbGFRx%2FWhatsApp-Security-Whitepaper.pdf

En general usan un par de claves Curve25519

agregare algunos comentarios en lo que tenga mas oportunidad.

TEMA REPETIDO

LEER: https://foro.elhacker.net/noticias/whatsapp_ya_es_100_seguro_con_cifrado_end_to_end-t450517.0.html
1757  Seguridad Informática / Criptografía / Re: Proteger par de claves RSA en: 3 Abril 2016, 23:43 pm
Buen dia.

Al final he decidido guardarlas cifradas con AES128 utilizando un subconjunto del sha256 du uno de los archivos para password y otro para IV.

al final no hay tanto problema si alguien decompila el programa y deduce que subconjunto y que archivos son los que use y decifra las claves aun asi no podran hacer mucho el servidor esta mas protegido y el programa solo recive actualizaciones que vengan cifradas y firmadas por el servidor.
1758  Seguridad Informática / Criptografía / Re: Proteger par de claves RSA en: 3 Abril 2016, 02:01 am
muchas gracias kub0x, voy a leer sobre los metodos de cifrado que comentas, te comento que apenas estoy aprendiendo de esto y todavia no entiendo todos los terminos, aun asi aprendo rapido.
1759  Seguridad Informática / Criptografía / Re: Funcionamiento a alto nivel de RSA en: 2 Abril 2016, 22:42 pm
en claves RSA el numero n puede llegar a ser de hasta 512 octetos en claves de 4096 bits. y los factores p y q serian almenos de 256 octetos cada uno es un numero muy tardado de procesar y por ello la criptografia asimetrica es mas lenta que la simetrica
1760  Seguridad Informática / Criptografía / Re: Funcionamiento a alto nivel de RSA en: 2 Abril 2016, 21:59 pm
Que tal, actualmente tengo pocos conocimientos de criptografia, sin embargo he estado programando con libgcrypt y creo que lo que se hace es lo siguiente.

El mensaje que pones de ejemplo 'HOLA' no lo manejan como 4 mensajes separados, lo que hace es convertirlo a un solo mensaje es decir concatena los 4 octetos en un solo numero Entero sin signo. Y se le aplica el procesos que ya mencionaste.

Al final al decifrarlo el programa no sabe que ese entero sin signo regresenta letras o algun otro dato.

M = 0x484F4C41
Numero: 1213156417
Páginas: 1 ... 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 [176] 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 ... 235
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines