Dic 23

Artículo: Google Releases Crypto Library Testing Tool | SecurityWeek.Com

Google ha anunciado esta semana la disponibilidad de Proyecto Wycheproof, una herramienta de código abierto diseñado para encontrar vulnerabilidades conocidas en las bibliotecas de software de cifrado populares.

http://www.securityweek.com/google-releases-crypto-library-testing-tool

Traducción Google:

Desarrollado en Java debido a su interfaz de cifrado común, Proyecto Wycheproof incluye pruebas para los algoritmos criptográficos más populares, incluyendo AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES y RSA. Los casos de prueba de más de 80 desarrollados por expertos de Google han llevado al descubrimiento de más de 40 errores en RSA, DSA, ECDH y DH.

Google ha señalado que el Proyecto Wycheproof no es completa como expertos cripto descubren regularmente nuevas debilidades en los protocolos. Sin embargo, el gigante de las búsquedas cree que la herramienta puede ser útil para los desarrolladores y usuarios teniendo en cuenta que la aplicación segura de algoritmos criptográficos no es una tarea fácil.

«La principal motivación para el proyecto es tener un objetivo alcanzable. Es por eso que hemos llamado después de que el Monte Wycheproof, la montaña más pequeño del mundo. Cuanto menor sea la montaña, más fácil es para subir por ella! «Mantenedores Daniel Bleichenbacher y Thai Duong, ingenieros de seguridad de Google y el Proyecto Wycheproof, en una entrada en el blog .

Mientras que la herramienta es desarrollado y mantenido por los miembros del equipo de seguridad de Google, Proyecto Wycheproof no es un producto oficial de Google. Las contribuciones son bienvenidas, pero los que quieran participar en el proyecto han sido advertidos reportar las vulnerabilidades que encuentran directamente a los encargados del mantenimiento de las bibliotecas afectadas y presentar las pruebas sólo después de que el error se ha corregido o reconocidos.

Algunos de los defectos descubiertos por Google aún no se han hecho públicas, ya que todavía se están parcheados por los vendedores.

Google también señaló que algunos productos de código abierto están cubiertos por su programa de recompensas de errores y vulnerabilidades encontrado con las pruebas de Proyecto Wycheproof podría calificar para una recompensa.

Proyecto Wycheproof no es la única herramienta de seguridad publicado este año por Google. La compañía también puso a disposición del OSS-pelusa servicio de código abierto formación de pelusa, un Cuestionario de Evaluación de proveedor de seguridad marco , la herramienta de comparación binaria BinDiff , y las herramientas de prevención de XSS CSP CSP evaluador y mitigador.

The following two tabs change content below.
My Twitter profileMy Facebook profileMy LinkedIn profileMy Flickr profile

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.