Mostrando postagens com marcador criptografia. Mostrar todas as postagens
Mostrando postagens com marcador criptografia. Mostrar todas as postagens
sábado, 23 de agosto de 2014
Public Key Encryption
O que é Encriptação ?
Encriptação é o processo de proteção de dados de uma forma que ele seja transmitido de maneira aberta sem estar legível até o momento que o recipiente pretendido o receba e seja decifrado com uma chave.
Há dois tipos principais de encriptação: Encriptação de Chave Simétrica e Chave Pública. A diferença entre os ambas é muito importante.
Com criptografia de chave simétrica, somente alguém que conheça a chave pode descriptografar as mensagens criptografadas com a mesma chave. Isto significa que se você quiser enviar uma mensagem criptografada á alguém, ele terá de conhecer a chave que você usou para criptografar-la anteriormente, ou ele não será capaz de decifrar e receber a mensagem. A segurança desta chave usada é muito importante, se a chave for comprometida então todas as mensagens anteriormente criptografadas com ela poderão ser reveladas.
Com criptografia de chave pública, na verdade duas chaves distintas. A chave pública e uma chave privada. Você pode distribuir livremente a sua chave pública para qualquer um, mas sua chave privada você deve manter para si mesmo. Um par de pessoas podem trocar chaves públicas, e comunicar uma com a outra de forma segura, mesmo que um intruso intercepte as duas chaves públicas. Isto ocorre porque as chaves públicas e privadas estão matematicamente interligadas - possibilitando distribuir suas chaves públicas livremente no começo, e então, com segurança após a troca inicial criptografando usando cada sua chave privada. Este conceito pode parecer um pouco confuso, mas é realmente bastante simples após você compreender como funciona.
Public Key Encryption
A criptografia de chave pública
Por volta de 1970, Criptografia de chave simétrica era a única opção real para criptografar e descriptografar a mensagem. O principal problema com criptografia de chave simétrica é que ambas as partes envolvidas na comunicação precisa saber a chave usada de antemão, ou de alguma forma se comunicar com segurança. Além disso, para cada pessoa e indivíduo que queira se comunicar, devem usar uma chave separada do resto de suas comunicações.
O método de encriptação de chave pública veio da ideia que trancar e abrir são funções inversas. Por exemplo, Alice poderia comprar uma tranca, pegar a chave e enviar a tranca para o Bob desatracada. Bob então trancaria sua mensagem e enviaria de volta a Alice - que ainda com a chave, poderia destranca-la. Sem as chaves serem compartilhadas, certo?
Isso significa que Alice pode publicar sua tranca (ou Chave Pública) livremente e permitir que qualquer um lhe envie uma mensagem com ela. Uma vez que a mensagem é trancada, criptografada, ela não pode ser interceptada por terceiros. Ambas as chaves são relacionadas matematicamente, apenas quem conhecer ambas as chaves pública e privada poderá descriptografar as mensagens encriptadas com a chave pública. Além disso, Alice agora só precisa manter o controle de um único par de chaves pública e privada, invés de diversas chaves para cada comunicação.
Hash Functions
Uma função hash é um algoritmo (ou sub-rotina) que mapeia uma quantidade arbitrária de dados dentro de uma extensão fixada "hash" - uma curta sequência de letra e números. Hashes são usadas para comparar dois conjuntos de dados sem ter de olhar completamente os dados.
terça-feira, 5 de agosto de 2014
Endpoint falhos & descuidos, A oportunidade perfeita para governos.
0xGoverno X 0xCriptografia
A segurança do endpoint é um problema documentado por analistas, media e organizações que sofreram perdas devido à falta de uma solução de segurança para endpoints.
Apesar da maioria das organizações protegerem adequadamente as ligações à Internet via TCP/IP (com uma firewall, por exemplo), os endpoints são frequentemente ignorados. Existe um número crescente de pontos de dados que necessitam de uma proteção do endpoint para aplicar uma política de segurança proactiva:
O roubo de dados representa mais de 50 biliões de dólares em perdas [em 2004] só nos EUA. - The Economist (6/18/2005).
50% dos incidents de segurança têm origem no interior da organização.” – 2005, Inquérito do FBI / CSI.
70% das falhas de segurança que envolvem perdas superiores a 100.000 dólares são criadas no interior das empresas.” -Vista Research.
37% dos negócios declaram ter sido vítimas da divulgação pública de informação empresarial através de unidades USB nos últimos 12 meses. Mais alarmente, 62% destes casos de roubo de IP resultaram no encerramento de uma ou mais unidades de negócio, um indicador claro de que o roubo de dados por USB é um sério problema de segurança que as empresas enfrentam.” - Yankee Group 2005.
[A segurança do endpoint] é um enorme problema que as empresas enfrentam, dado o volume de informação roubada com dispositivos amovíveis. -Forrester Research
- NSA
A NSA é o maior, agência de espionagem e melhor financiada que o mundo já viu.Eles gastam bilhões e bilhões de dólares a cada ano fazendo tudo que podem para aspirar as comunicações digitais da maioria dos seres humanos neste planeta que têm acesso à Internet e à rede e telefone. E, como os recentes relatórios do the Guardian e Washington Post show, até mesmo as comunicações internas americanas não estão a salvo de sua rede.
Defendendo-se da NSA, ou qualquer outra agência de inteligência do governo, não é simples, e não é algo que pode ser resolvido apenas por baixar um aplicativo. Mas, graças ao trabalho dedicado de criptógrafos civis e da comunidade de software livre e de código aberto, é ainda possível ter privacidade na Internet, eo software para fazer isso está disponível gratuitamente para todos. Isto é especialmente importante para os jornalistas se comunicar com fontes online.
As ferramentas e conselhos neste post são destinadas a proteger a sua privacidade a partir de métodos de coleta da NSA, o mesmo conselho pode ser usado para aumentar a segurança de seu computador contra qualquer adversário. É importante lembrar que outros governos, incluindo China e Rússia, gastam enormes quantidades de dinheiro em seus próprios equipamentos de vigilância de alta tecnologia e são conhecidos por atingir especificamente jornalistas e fontes. No EUA, a má segurança digital pode custar denunciantes a sua liberdade, mas em outros países pode custar tanto os jornalistas e as fontes suas vidas. Um exemplo recente da Síria ilustra como descuidada segurança digital podem ter resultados trágicos.
Mas mudar algumas práticas básicas de software poderia atribuir-lhe uma grande dose de privacidade, mesmo se ele não mantê-lo seguro contra ataques direcionados por parte dos governos. Este artigo explora os métodos que podem ser usados em ambos os casos.
- Sistemas de criptografia
Descobrimos algo. Nossa única esperança contra a dominação total. A esperança de que com coragem, discernimento e solidariedade que poderíamos usar para resistir. A estranha propriedade do universo físico em que vivemos dentro- Julian Assange, na introdução de Cypherpunks: Liberdade e o futuro da internet
O universo acredita em criptografia.
É mais fácil para criptografar informações do que é para o descodificar.
Criptografia é o processo de tomar uma mensagem de texto simples e uma chave gerada aleatoriamente e fazer operações matemáticas com os dois até que tudo o que resta é um mexidos, versão texto cifrado da mensagem. Decodificação está tomando o texto cifrado ea chave direita e fazer operações matemáticas mais até que o texto original é recuperado. Este campo é chamado de criptografia, ou cripto para breve. Um algoritmo de criptografia, o que operações matemáticas que fazer e como fazê-las, é chamada de cifra.
Para criptografar algo que você precisa a chave certa, e você precisa a chave certa para decifrá-lo também. Se o software de criptografia é implementada corretamente, se a matemática é o som, e se as chaves estão seguras, todo o poder de computação combinada na Terra não pode quebrar essa criptografia.
O projeto de sistemas de criptografia e cifras devem ser completamente público. A única maneira de garantir que a própria cifra não tem uma falha crítica é publicar como ele funciona, para ter muitos olhos examinando-o em detalhe, e para deixá-lo enfrentar os ataques do mundo real em meio selvagem para trabalhar os bugs. O funcionamento interno de mais de criptografia que usamos diariamente, como HTTPS, a tecnologia que torna possível digitar números de cartão de crédito com segurança e senhas em formulários do site, é completamente público. Um atacante que sabe todos os detalhes sobre como funciona a criptografia ainda deve deixar de quebrar a criptografia sem possuir a chave. Crypto que é proprietário, e seu código subjacente segredo, não se pode confiar para ser seguro.
O projeto de sistemas de criptografia e cifras devem ser completamente público. A única maneira de garantir que a própria cifra não tem uma falha crítica é publicar como ele funciona, para ter muitos olhos examinando-o em detalhe, e para deixá-lo enfrentar os ataques do mundo real em meio selvagem para trabalhar os bugs. O funcionamento interno de mais de criptografia que usamos diariamente, como HTTPS, a tecnologia que torna possível digitar números de cartão de crédito com segurança e senhas em formulários do site, é completamente público. Um atacante que sabe todos os detalhes sobre como funciona a criptografia ainda deve deixar de quebrar a criptografia sem possuir a chave. Crypto que é proprietário, e seu códiAnonymize sua localização com o Tor
- TOR
Tor é um serviço de software que permite que você utilize a Internet enquanto esconde o seu endereço IP, que é, em geral, uma representação bastante precisa da sua localização. A rede Tor é composta de mais de 3.600 servidores voluntários chamados de NODES. Quando alguém usa a rede Tor para visitar um website sua conexão fica saltou através de três desses nodes (chamadas de um circuito) antes de finalmente sair para a Internet normal. Qualquer pessoa interceptar o tráfego vai pensar que a sua localização é o nó final de seu tráfego sainte. o subjacente segredo, não se pode confiar para ser seguro.- Tails: The Live Sistema Amnesic Incognito
Usando "forte sistema de criptografia corretamente implementado" tem uma curva de aprendizagem enorme e exige que os usuários dedicados e dispostos a colocar um trabalho extra para assumir o controle de sua própria privacidade, que é a principal razão pela qual OTR e PGP não estão atualmente em uso generalizado. Mas mesmo quando você usar essas ferramentas, como você pode garantir "a segurança de endpoints" quando você não pode necessariamente confiar em seu sistema operacional ou outro software que você depende de todos os dias?A solução é usar um sistema operacional completamente diferente composta completamente de "software que você pode confiar" quando você tem uma grande necessidade de privacidade real. Tails ajuda a resolver este problema.
Tails é um sistema visa preservar a sua privacidade e anonimato. Ele ajuda você a usar a Internet anonimamente em quase qualquer lugar que você vá e em qualquer computador, mas não deixar nenhum rastro usando menos que você pedir explicitamente.
É um sistema operacional completo concebido para ser usado a partir de um DVD ou um dispositivo USB, independentemente do sistema operacional original do computador. Ele é software livre e baseado em Debian GNU / Linux.
Tails vem com vários aplicativos embutidos pré-configurados com a segurança em mente: navegador web, cliente de mensagens instantâneas, cliente de e-mail, suíte de escritório, de imagem e edição de som, etc...
Tails não é para todos. Ainda é difícil de usar em comparação com os sistemas normais de funcionamento, ele é lento, não tem todo o software que você pode querer. Mas Tails tem todas essas propriedades, porque é projetado especificamente para tornar mais difícil para os usuários a atrapalhar a sua segurança endpoint. Se você está em uma posição onde você acha que a NSA, ou qualquer outro potencial invasor, pode querer direcionar você e seus colegas (a relação jornalista / denunciante vem à mente) é uma das melhores ferramentas disponíveis.
Porque Tails não é prático para o uso diário do computador, é uma boa idéia para adquirir o hábito de usar o OTR e PGP em seu sistema operacional normal também. Tails não vai ajudar a amenizar os efeitos da vigilância, por si só, mas o uso da criptografia sim, em uma base diária vontade.
Toda vez que você iniciar Tails você começar a partir do zero. Qualquer coisa que você fez em sua sessão anterior sobre Tails fica apagado eo sistema é revertido para o estado padrão. Isto significa que mesmo se você ficar infectado com malware ao usar Tails, da próxima vez que inicializar em que o malware será ido.
A criptografia funciona. Fortes sistemas de criptografia corretamente implementadas são uma das poucas coisas que você pode confiar. Infelizmente, a segurança endpoint é tão terrivelmente fraco que NSA pode freqüentemente encontrar maneiras de contornar isso.- Edward Snowden, as questões de atendimento ao vivo no site do Guardian
http://pt.wave.com/faqs/seguran%C3%A7a-do-endpoint-%C3%A9-um-problema-s%C3%A9rio
https://pressfreedomfoundation.org/encryption-works
https://www.fsf.org/about/what-is-free-software
https://tacticaltech.org/security-box
https://www.torproject.org/docs/documentation#MailingLists
https://gitweb.torproject.org/tor.git?a=tree;hb=HEAD
https://www.eff.org/pages/tor-and-https
http://www.wired.com/threatlevel/2013/06/signed-bda0df3c/
https://en.wikipedia.org/wiki/Key_server_%28cryptographic%29#Privacy_concerns
http://www.washingtonpost.com/world/national-security/code-name-verax-snowden-in-exchanges-with-post-reporter-made-clear-he-knew-risks/2013/06/09/c9a25b54-d14c-11e2-9f1a-1a7cdee20287_story.html
http://www.claws-mail.org/
https://www.torproject.org/press/press.html.en
https://tor2web.org/
https://tails.boum.org/download/index.en.html ~~~~
terça-feira, 17 de dezembro de 2013
Bypass AV com Veil VoidPointer codificação de payload
VEIL
Véu ou Manto em português.
Após a realização de diversos tipos de codificação da carga, aparentemente, ainda tem aqueles exe que não pode passar por algum anti-vírus e isso é foda, Mas com Veil uma maneira poderosa para resolver este problema.
ferramenta que nós precisamos é de veil.py
Veil é uma ferramenta desenhada para gerar cargas Metasploit que ignoram soluções comuns anti-vírus.
Linux
Use Kali (x86) e todas as dependências são pré-instalados
ou -
Instale Python 2.7
Instale PyCrypto> = 2,3
Veil foi projetado para rodar em Kali Linux, mas deve funcionar em qualquer sistema capaz de executar scripts python. Basta ligar para Veil a partir da linha de comando, e seguir o menu para gerar uma carga útil. Ao criar o payload, Veil vai perguntar se você gostaria que o arquivo de carga útil a ser convertido em um arquivo executável por PyInstaller ou Py2Exe.
Se estiver usando PyInstaller, Veil irá converter sua carga em um executável dentro de Kali.
Se estiver usando Py2Exe, Veil criará três arquivos:
payload.py - O arquivo de carga útil
setup.py - arquivo necessário para Py2Exe
runme.bat - Batch script para compilar a carga em um executável do Windows
Mova todos os três arquivos em sua máquina Windows com o Python instalado. Todos os três arquivos devem ser colocados na raiz do diretório Python foi instalado (provavelmente C: \ Python27). Execute o script de lote para converter o script Python em um formato executável.
Coloque o arquivo executável em sua máquina-alvo através de todos os meios necessários e não seja pego!
Baixar:
# git clone https://github.com/ChrisTruncer/Veil.git
Instalando:
# cd /Veil/setup/ && setup.sh
quarta-feira, 3 de outubro de 2012
Melhor criptografia para segurança de rede. Criptografar ou descriptografar dados sensíveis usando AES / DES / RCA codificadores (ferramentas de segurança).
Ferramentas online grátis para criptografar texto usando 128-bit AES / DES / RCA criptografia. Criptografar ou descriptografar o texto on-line com uma senha de sua escolha utilizando esta ferramenta mão. Este é o serviço para garantir suas mensagens de uma maneira fácil. CRYPO sistema irá criptografar a mensagem usando o algoritmo de criptografia forte, e vai ser seguro para o envio. Web baseada serviço online para texto fácil e criptografia de mensagens e proteção. CRYPO - Melhor criptografia para segurança de rede.
Um site muito bom recomendo vários tipos de cripts.
Site: http://www.crypo.org/tools/index.php
Assinar:
Postagens (Atom)