El día de ayer leía a través de meneame.net una entrada de blog de una compañía que desarrolla un bloqueador de malware intentando explicar ¿Qué es un HASH?. Dentro de la entrada, explicaban algunas características del HASH MD5. Sin embargo, no me agradó demasiado que se mezclaran algunos conceptos que a la larga podrían dificultar la comprensión de la idea por usuarios principiantes. En este artículo intentaré explicar de manera sencilla ¿Qué es un HASH? y también porqué "crackear un hash" no tiene sentido.

La técnica del Pass the Hash está con nosotros desde hace muchos años, quizá 1999, pero no ha dejado de ayudar a los pentesters y auditores en su día a día. ¿Qué es eso del Pass the Hash? Para que todos nos entendamos es así de sencillo: ¿Para qué crackear e intentar averiguar la contraseña que se esconde detrás de un hash conseguido en un sistema Microsoft Windows owneado si podemos usar el hash directamente para autenticarnos o pasar un proceso de autorización? Microsoft lleva más de 15 años luchando contra esta técnica, y proteger los hashes

A David Buchanan se le ocurrió que sería divertido generar una imagen PNG que mostrara su propio hash, lo cual no es trivial. Después de darle vuelta al problemático bucle en el que entra la cuestión (si modificas la imagen cambia el hash y si cambia el hash tienes que modificar la imagen) finalmente lo consiguió. Y con el bonus de hacer que el hash empiece y acabe por 1337 (en la cultura hacker: Leet o «Élite»).

[c&p] ¿Podría un mainframe de IBM de los 60s minar bitcoins? La idea parece una locura, así que decidí averiguarlo. He implementado el algoritmo hash para Bitcoin en código ensamblador para el IBM 1401 y lo he probado en la antigua máquina. Resulta que dicha máquina puede minar, pero tan lentamente que le tomaría más de la vida del universo crear un bloque con éxito. El hardware moderno puede calcular miles de millones de hashes por segundo, al 1401 le toma 80 segundos calcular un solo hash

Una tabla hash es una estructura de datos que almacena una colección de pares clave / valor de una manera que hace que sea muy eficiente encontrarlos nuevamente más tarde. Para usar una tabla hash, necesitamos un valor único para cada usuario; esta es nuestra clave. Usaremos esta clave para almacenar el artículo y recuperarlo más tarde.

Las cuentas TAP con múltiples carteras criptográficas y fiat tendrán acceso al comercio criptográfico en tiempo real con numerosos exchanges. Todos los activos se mantienen de forma segura en carteras de «almacenamiento en frío» de múltiples firmas o en cuentas de clientes de dinero electrónico.

Las funciones Hash (también conocidas como funciones resumen) son funciones que, utilizando un algoritmo matemático, transforman un conjunto de datos en un código alfanumérico con una longitud fija. Da igual la cantidad de datos que se utilice (muchos o pocos), el código resultante tendrá siempre el mismo número de caracteres.

Hace 2 años Google demostraba la debilidad del algoritmo SHA-1 mediante un ataque por colisión (entendiendo colisión como dos flujos de datos distintos que comparten un mismo hash). La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Esta nueva técnica permite llevar a cabo ataques por colisión con premisas personalizadas permitiendo a un atacante falsificar cualquier fichero cifrado mediante SHA-1.

La cifra esencial para la seguridad de la red bitcoin alcanzó más de 65 trillones de hashes por segundo el miércoles de esta semana

BLAKE3 es una función hash criptográfica que se caracteriza por ser mucho más rápida que MD5, SHA-1, SHA-2, SHA-3 y BLAKE2, además de que es más seguro, a diferencia de MD5 y SHA-1. Y seguro contra la extensión de longitud, a diferencia de SHA-2. Es altamente paralelizable a través de cualquier número de hilos y carriles SIMD, porque es un árbol Merkle en el interior y cuenta con un algoritmo sin variantes, que es rápido en x86-64 y también en arquitecturas más pequeñas.

Varios investigadores de seguridad de Google han lanzado el proyecto Wycheproof, un conjunto de pruebas de seguridad que chequean la existencia de debilidades conocidas en bibliotecas de software criptográfico. Han desarrollado más de 80 casos de prueba que han descubierto más de 40 errores de seguridad (algunas pruebas o errores no son de código abierto todavía ya que están siendo arreglados por los proveedores). Por ejemplo, descubrieron que podían recuperar la clave privada de las implementaciones ampliamente utilizadas de DSA y ECDHC.

El algoritmo criptográfico SHA1 ha llegado al fin de su vida útil, 27 años después de su publicación. El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) recomienda reemplazarlo por algoritmos más nuevos y seguros como SHA2 y SHA3. Su objetivo es que la función hash SHA1 esté eliminada por completo para finales de 2030.

Apple estaría trabajando en una herramienta para detectar material conocido de abuso sexual infantil, como imágenes de pornografía infantil, en los iPhones de sus usuarios. Esta herramienta utilizaría algoritmos hash para buscar coincidencias entre las imágenes almacenadas por los usuarios en sus teléfonos y el contenido conocido de pornografía infantil, lo que implica que los iPhones tendrán que descargar un conjunto de datos en forma de “huellas” para poder compararlos con las fotos de la galería de los usuarios.

Es evidente que un gran número de ciudadanos españoles asistimos, en su día, esperanzados al nacimiento del DNI Electrónico, viendo en éste, no solamente un nuevo sistema de identificación mucho más seguro, sino también las múltiples posibilidades que vislumbrábamos nos iba a proporcionar el uso de la pareja de claves (pública yprivada) del certificado digitalalmacenado en el Chip del e-DNI.

Continuando con la tendencia iniciada durante el año 2014, se siguen publicando con relativa frecuencia nuevas vulnerabilidades asociadas al protocolo SSL/TLS, utilizado de forma habitual como mecanismo para garantizar la confidencialidad de las comunicaciones en Internet. Una de las últimas vulnerabilidades que se ha dado a conocer a principios del pasado mes de marzo es la denominada "FREAK" (Factoring attack on RSA-EXPORT Keys).

La criptografía cuántica sólo permitía asegurar el envío de una clave criptográfica mientras el mensaje era enviado por métodos de comunicación convencionales. Pero una nueva técnica, la comunicación cuántica directa y segura, permite garantizar la seguridad del mensaje enviado en sí mismo.

Según Cloudflare, un usuario debería tardar un promedio de 32 segundos en resolver un CAPTCHA. La compañía asume que aparece un CAPTCHA cada diez días a los 4.600 millones de usuarios de Internet. La gente pasa 500 años todos los días convenciendo a las máquinas de que son personas. Por esta razón, Cloudflare quiere reemplazar el sistema CAPTCHA. En lugar de la autenticación a través de imágenes, propone utilizar llaves USB de seguridad. Se trata de memorias USB criptográficas que simplemente deben conectarse al ordenador para su verificación.

Internet ha transformado muchas cosas, y una de ellas es nuestra forma de ver el dinero. Ha pasado de ser algo físico a ser un bien intangible, un número en una página. Sin embargo, con Bitcoin, la moneda P2P en auge, el asunto es diferente. No hay entidades en las que confiemos. No hay un banco que nos asegure "este dinero es real". En su lugar, la validez de Bitcoin reside en su tecnología, en todas las técnicas que aseguran que funciona como si fuese una moneda real.

Hablando de entornos UNIX, ¿cómo se pronuncia “vi”, “!”, “/*”…? Fácilmente se puede empezar una discusión sin sentido sobre este tema en la red. Algunos dirán que “vi” se pronuncia “vye”, otros “uve, i” (esto es lo que sugiere el manual de “vi”), incluso a los que les gustan los números romanos dirán “seis”. De forma similar podemos ver cómo se pronuncia “char” (algunas veces como “care”), o “#”, o “tty”, o “/etc”. Y en realidad ninguna pronunciación es correcta, así que disfrutemos de esta tabla con algunos acentos y dialectos regionales.

Debido a un bug el equipo que está detrás de Let’s Encrypt ha anunciado que va a tener que revocar el 4 de marzo unos 3 millones de certificados seguros. Eso es aproximadamente el 2,6% del los ~116 millones actualmente en activo. Let’s Encrypt es una entidad sin ánimo de lucro que desde hace años ofrece certificados seguros TSS/SSL («el candadito») para cualquier servidor de internet forma gratuita.