Indice de artículos

Artículos sobre C # y programación.


Security on my Pocket 2

Continúo con mi afán de liberar mi lista de enlaces de Pocket sobre seguridad.

Como siempre, la falta de tiempo para clasificar y documentar los enlaces me ha dejado un saco bastante lleno de novedades y catástrofes. Vamos a ver si lo ponemos un poco en orden.

Leer más...

Mis hallazgos, involuntarios, con Shodan

Una de las herramientas que me encuentro de vez en cuando escuchando conferencias de seguridad es Shodan .

Para quien no lo conozca, Shodan es un buscador de dispositivos en Internet. Por comparación es el Google de los dispositivos aunque no indexa páginas HTML si no máquinas y puertos.

Leer más...

Security on my pocket - 1

Hace unos meses, después de escribir el artículo ¿por qué a los desarrolladores no les preocupa la seguridad ? comencé a preparar una charla sobre el tema y cogí la costumbre de almacenar artículos de seguridad en mi Pocket.

Sigo manteniendo esa costumbre y como resultado, mi lista de marcadores crece y crece haciéndose algo inmanejable. Se me ha ocurrido compartir esa lista sobre vulnerabilidades en un artículo que posiblemente se transforme en una serie a lo largo del tiempo al mismo tiempo que aprovecho para hacer limpieza.

Leer más...

Almacenamiento de contraseñas de usuario

Una de las necesidades básicas de los sistemas de seguridad es el almacenamiento de contraseñas de usuario en bases de datos o sistemas de archivos.

La principal dificultad en este caso, es impedir que un atacante que obtenga los datos de una tabla de usuarios y contraseñas pueda descifrar la clave de un usuario y suplantar así su identidad.

Leer más...

Almacenamiento de datos sensibles con DPAPI

En ocasiones, tenemos que almacenar las contraseñas u otros datos sensibles en un archivo o una base de datos para utilizarlos posteriormente.

Para guardar estos datos de forma segura, podemos utilizar uno de los sistemas criptográficos existentes como AES o Triple DES . Nuestro problema es que estos sistemas criptográficos precisan una contraseña y de dónde obtener esta contraseña.

Leer más...

La inseguridad de los certificados digitales

Vamos a comenzar un proyecto nuevo con una empresa externa. Es sencillo: un servicio REST que envía y recibe documentos firmados y encriptados digitalmente con un certificado digital .

En la última reunión, la susodicha empresa externa le pasó a mi jefe una copia en un pendrive del certificado que vamos a utilizar. Mi jefe, que nunca deja de sorprenderme, me lo envió adjunto en un correo electrónico y puso en copia a dos personas de negocio y a su secretaria, supongo que para que tuvieran constancia de que el proyecto estaba a punto de empezar.

Leer más...

Trazas de comunicaciones en C#

Estos días, he tenido que enfrentarme a una aplicación para transmitir archivos por sFTP .

El problema principal, aunque parezca lo contrario, no ha sido la implementación del protocolo en sí, si no averiguar porqué fallaban ciertas rutinas de comunicaciones y saber qué estaba pasando por debajo, es decir, qué intentaba hacer.NET cuando le pedía abrir un stream o cambiarlo por un stream SSL.

Leer más...