Ciberdefensa y los usos maliciosos de la criptografía

Los objetivos principales del proyecto son el estudio, análisis, paradigmas y herramientas criptológicas modernas destinadas a la creación de software malicioso y puertas traseras criptográficas. Asimismo indagar mecanismos y metodologías que posibiliten la prevención, detección y protección para ser aplicadas en el ámbito de la Ciberdefensa Nacional. La criptografía y todas sus aplicaciones (firma digital, autenticación, etc.) suele ser conocidas por ser de las más importantes herramientas de carácter defensivo. Los últimos años esa idea viene levemente cambiando hacia el sentido opuesto. Es decir que puede emplearse en aplicaciones ofensivas y maliciosas. Las más difundidas, al menos hasta ahora, son el secuestro, la pérdida de información y la extorsión. El responsable de llevar adelante tales actos, es una nueva clase de malware, conocida como Ransomware. Otra aplicación, no tan conocida y de igual o mayor impacto aún, es el diseño e implementación de algoritmos criptográficos que incluyan las llamadas Backdoors Cryptography o puertas traseras criptográficas. Estas pueden vulnerar la confidencialidad, integridad y disponibilidad de la información que, en teoría, deberían proteger. Son evidentes las graves consecuencias sobre la ciberseguridad de usuarios particulares, empresas y organismos no gubernamentales de tales ataques. Mayor aún es el impacto que podrían tener sobre la protección de las Infraestructuras Críticas (IICC) de una sociedad, los sistemas de información y comunicación empleados en las fuerzas que defienden la nación, como así también la amenaza directa sobre la población. Si las IICC están comprometidas, en forma directa o indirecta, entonces la vulnerabilidad trasciende a la ciberseguridad, sino que afecta directamente a la Ciberdefensa. Entendidas aquí a las IICC como organizaciones relacionadas con la generación y distribución de energía, sistema financiero y bancario, organismos de salud como hospitales, servicio de potabilización y distribución de agua, saneamiento de desechos, entre otras.Red de Universidades con Carreras en Informátic

Criptografía maliciosa y ciberdefensa

El proyecto tiene por finalidad estudiar y analizar la aplicación de paradigmas y herramientas criptológicas modernas para la creación de software malicioso y puertas traseras, como así también indagar técnicas de prevención, detección y protección para ser consideradas en el ámbito de la Ciberdefensa Nacional. Aunque comúnmente se entiende a la criptografía y a sus aplicaciones como herramientas de carácter defensivo, también pueden emplearse para usos ofensivos y maliciosos; a saber, el secuestro, extorsión y pérdida de información producidos mediante software malicioso denominado ransomware, en sus distintas variantes. Por otra parte, la literatura también da cuenta de ataques en las etapas de diseño e implementación de algoritmos criptográficos, comúnmente llamados backdoors o puertas traseras, que pueden vulnerar la confidencialidad, integridad y disponibilidad. Es fácil observar las consecuencias directas sobre la ciberseguridad de usuarios particulares, empresas y organismos no gubernamentales de tales ataques. Pero un aspecto de este tipo de ataques pasa desapercibido y sin embargo tiene un impacto mayor pues amenaza directamente a la población de una ciudad, provincia o llanamente, un país completo pues es capaz de afectar a sus organismos públicos, fuerzas de seguridad, estructura militar, política y diplomática, como así también sus activos de información. Puede contribuir a la realización exitosa de ataques a las Infraestructuras Críticas, es decir, aquellas organizaciones relacionadas con la generación y distribución de energía, sistema financiero y bancario, organismos de salud como hospitales, servicio de potabilización y distribución de agua, saneamiento de desechos, entre otras. Es decir, los ataques basados en puertas traseras o backdoors podrían menoscabar la ciberdefensa de una nación.Eje: Seguridad informática.Red de Universidades con Carreras en Informátic

Ataque por Sustitución de Algoritmo Criptográfico: Implementación de prueba para OpenSSL

El presente artículo presenta la primera de una serie de implementaciones de diferentes esquemas kleptográficos. Reconociendo a la Kleptografía como un subcampo de la Criptovirología, que aborda los usos maliciosos de la criptografía y sus aplicacioines. Estas implementaciones se muestran a manera de prueba de concepto y aplicación experimental. De manera que permitan la validación y análisis de los paradigmas y herramientas criptológicas modernas para la creación de software malicioso. Asimismo se persigue la elaboración de técnicas de prevención, detección temprana y protección, para ser consideradas como un aspecto más de la Ciberdefensa. El código fuente de referencia ha sido publicado en Github.com.XI Workshop Seguridad Informática (WSI)Red de Universidades con Carreras en Informátic

Cliptography: Clipping the Power of Kleptographic Attacks

Kleptography, introduced 20 years ago by Young and Yung [Crypto ’96], considers the (in)security of malicious implementations (or instantiations) of standard cryptographic prim- itives that embed a “backdoor” into the system. Remarkably, crippling subliminal attacks are possible even if the subverted cryptosystem produces output indistinguishable from a truly secure “reference implementation.” Bellare, Paterson, and Rogaway [Crypto ’14] recently initiated a formal study of such attacks on symmetric key encryption algorithms, demonstrating a kleptographic attack can be mounted in broad generality against randomized components of cryptographic systems. We enlarge the scope of current work on the problem by permitting adversarial subversion of (randomized) key generation; in particular, we initiate the study of cryptography in the complete subversion model, where all relevant cryptographic primitives are subject to kleptographic attacks. We construct secure one-way permutations and trapdoor one-way permutations in this “complete subversion” model, describing a general, rigorous immunization strategy to clip the power of kleptographic subversions. Our strategy can be viewed as a formal treatment of the folklore “nothing up my sleeve” wisdom in cryptographic practice. We also describe a related “split program” model that can directly inform practical deployment. We additionally apply our general immunization strategy to directly yield a backdoor-free PRG. This notably amplifies previous results of Dodis, Ganesh, Golovnev, Juels, and Ristenpart [Eurocrypt ’15], which require an honestly generated random key. We then examine two standard applications of (trapdoor) one-way permutations in this complete subversion model and construct “higher level” primitives via black-box reductions. We showcase a digital signature scheme that preserves existential unforgeability when all algorithms (including key generation, which was not considered to be under attack before) are subject to kleptographic attacks. Additionally, we demonstrate that the classic Blum– Micali pseudorandom generator (PRG), using an “immunized” one-way permutation, yields a backdoor-free PRG. Alongside development of these secure primitives, we set down a hierarchy of kleptographic attack models which we use to organize past results and our new contributions; this taxonomy may be valuable for future work

Análisis y resolución de los problemas asociados al diseño de sistemas de IOT

Al momento de diseñar un sistema de IoT, sin importar si se parte desde un sistema existente que trabaja de forma offline, o si se desea crear un sistema desde sus inicios, se presentarán los siguientes desafíos: En primer lugar, los sistemas de IoT pueden estar conformados por una amplia variedad de dispositivos, cada uno utilizando diferentes protocolos de comunicación y medios físicos para el establecimiento de la misma. Además, los dispositivos podrían encontrarse en ubicaciones geográficas muy distantes, en las que estén regidos por diferentes sistemas legales, y en las cuales la estructura de costos asociada a la conectividad entre los mismos sea muy diferente. Por otra parte, la selección del hardware asociado a cada dispositivo puede variar dependiendo de los riesgos asociados a la actividad en la que se los involucre; de los costos asociados a la adquisición, instalación y mantenimiento en la región geográfica donde se los despliegue; de los protocolos de comunicación que se deseen utilizar; del nivel de calidad deseada en el desempeño de cada dispositivo; y de otros factores técnicos o comerciales. La selección de las tecnologías de Software a utilizar en cada dispositivo podría depender de factores similares a aquellos mencionados en la selección del hardware. Además de estudiar las necesidades particulares de cada dispositivo, debe analizarse la arquitectura general del sistema de IoT. Esta arquitectura debe contemplar las diferentes formas de conectar a los dispositivos entre sí; las jerarquías de dispositivos; los servidores Web involucrados; los proveedores de servicios que serán contratados; los medios de almacenamiento, procesamiento y publicación de la información; las personas involucradas y los demás componentes internos o externos que interactúan en el sistema. Todas las consideraciones mencionadas previamente deben realizarse dentro de un marco de trabajo que garantice la privacidad y seguridad de la información tratada. Es por ello que en algunas regiones geográficas se han establecido diferentes legislaciones asociadas al tema, las cuales deben ser consideradas desde el comienzo del diseño del sistema de IoT. No obstante, si las reglas establecidas en las legislaciones no fueran lo suficientemente claras o completas (o incluso, inexistentes), pueden tomarse como fundamentos los estándares internacionales sobre privacidad y seguridad de los datos, en hardware y software. En este artículo, se presenta una línea de investigación que aborda el Análisis y Resolución de los Problemas Asociados al Diseño de Sistemas de IoT.Red de Universidades con Carreras en Informátic

Actas del XXIV Workshop de Investigadores en Ciencias de la Computación: WICC 2022

Compilación de las ponencias presentadas en el XXIV Workshop de Investigadores en Ciencias de la Computación (WICC), llevado a cabo en Mendoza en abril de 2022.Red de Universidades con Carreras en Informátic

XXIII Edición del Workshop de Investigadores en Ciencias de la Computación : Libro de actas

Compilación de las ponencias presentadas en el XXIII Workshop de Investigadores en Ciencias de la Computación (WICC), llevado a cabo en Chilecito (La Rioja) en abril de 2021.Red de Universidades con Carreras en Informátic