Embed Size (px)
DESCRIPTION
Módulo impartido en el Curso de Experto en Melilla
Citation preview
Seguridad y conectividad en Internet
Fernando Tricas Garcıa
Dpto. de Informatica e Ingenierıa de Sistemas del Centro Politecnico SuperiorUniversidad de Zaragoza, Espana
http://www.cps.unizar.es/~ftricas/
————————————–Curso ‘Experto en internet’
Melilla, noviembre de 2009
Algunas definiciones
IPNumero que identifica a un ordenador cuando se conecta a internet(Tıpicamente lo vemos en 4 grupos de 3 cifras)
DNSDomain Name Service. Servicio de nombres de dominios. Para notener que recordar la IP habitualmente se asignan nombres adichos numeros.
Mas definiciones
Gateway
Puerta de enlace. Dispositivo que nos conecta con internet.
RouterEnrutador. Dispositivo que establece las conexiones necesarias paraconectar redes.
EthernetEstandar de conexion para redes de area local cableadas.
Mas definiciones
WiFiWireless Fidelity. Sistema de envıo de datos sin cables que utilizaondas de radio. Alcance de unos cuantos metros.
BluetoothSistema de envıo de datos sin cableas para redes de area personal(pocos metros). Utiliza ondas de radio.
Algunas definiciones
ESPASA:
PRIVADO, DA adj: Que se ejecuta a la vista de pocos,familiar y domesticamente, sin formalidad ni ceremoniaalguna || Particular y personal de cada uno.
INTIMIDAD: Parte personalısima, comunmentereservada, de los asuntos, designios, o afecciones de unsujeto o de una familia.
Algunas definiciones
Oxford English Dictionary:
PRIVACY (from private) The state or quality of being private. Thestate or condition of being withdrawn from the society of others, orfrom public interest; seclusion. || The state or condition of beingalone, undisturbed, or free from public attention, as a matter ofchoice or right; freedom from interference or intrusion. Also attrib.designating that which affords a privacy of this kind. ‘one’s right toprivacy’.
Privacidad vs. Seguridad Publica
Algunas objeciones
I Existen herramientas para ayudarnos a proteger nuestraprivacidad.
I Esas herramientas, ¿no seran una ayuda para que gente conpocos escrupulos cometa sus ‘fechorıas’?
Privacidad vs. Seguridad Publica
Pero ...
I Tambien se puede comprometer esa seguridad con otrastecnologıas (telefono, cartas, anuncios en la prensa, ...)
I La tecnologıa esta disponible, prohibirla no impide su uso.
I Nosotros tambien podemos necesitar protegernos.
¿Todos somos espıas?
(Casi) todo el mundo lleva una camara en el bolsillo, hay unmonton de camaras por las calles, . . .
¡hasta Google!
Ataques a la privacidad/seguridad
I La mayorıa de los usuarios son gente comun ‘como nosotros’.
I ¿A quien pueden interesar mis datos?
I ¿Quien puede querer hacerme dano?
Ataques a la privacidad/seguridad
Ojo!!
I Puedo tener acceso a informacion importante.
I Alguien puede utilizarme como intermediario (o herramienta).
I Romper solo porque es posible (y facil a veces).
¿Con que debo tener cuidado?
I Acceso fısico a los recursos¿Quien tiene acceso?
I Conocidos.I Desconocidos.I Computadores compartidos.I Servicios de mantenimiento.
¿Donde estan?I En un despacho cerradoI En un laboratorio comunI En ...
Un vıdeo:http://www.yourdailymedia.com/media/1245182735/Wild_ATM_Robbery
¿Con que debo tener cuidado?
I Tecnicas de ingenierıa socialI Cuidado con gente muy ‘amistosa’.I Si en la calle no se lo dirıas, ¿en la red si?.I Si normalmente se hace de una manera, ¿por que cambio?.I ¿Que datos puede pedirme un tecnico?
Ingenierıa social
I Un poco + otro poco + varios pocos = mucha informacion
I Primera llamada: nombre del jefe.I Con el nombre del jefe: localizacion de un recurso.I Con el nombre del jefe y la localizacion del recurso . . .
Confidencialidad de los datos
I La prudencia nos ayuda a disminuir los peligros
I Pero queremos comunicarnos!!!
Ademas ....
. . . ¿Como viaja la informacion por la red?
¿Como viaja la informacion por la red?
Las malas noticias siguen (?)
¿Como viaja la informacion por la red?
¿Entonces?
I Objetivo: transmision de informacion, fiabilidad y robustez, noseguridad.
I No sabemos por donde viaja nuestra informacion (ni tenemoscontrol sobre ello).
Puertos (sin mar)
I Habitualmente, una sola conexion (direccion)
I Muchos servicios (mail, web, compartir archivos, ...)
I Solucion: asignarles diferentes numeros (como a los buzonesde una oficina)
I Conexion −→ direccion + servicio
¿Y?
El cortafuegos
Puertos (¿Y?)
I Si no damos los servicios, es mejor que no esten abiertos lospuertos correspondientes.
I ¡Usar un cortafuegos!
I Uno, general (a la entrada de la red)
I Uno, personal (en cada PC)
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Cortafuegos/
I Todo cerrado. Ir abriendo conforme se necesite
Redes inalambricas
La informacion setransmite por el aire(radio)
Precauciones WiFi
I Cuidado con las claves
I Control de acceso con autentificacion bidireccionalI Configuracion WPA2.
I No usar WEP
I Variacion en las claves a lo largo del dıa (?)
I Control de radio de transmision
I Estar atentos ... todo cambia muy rapido todavıa
Precauciones WiFi
I Apagar la conexion inalambrica cuando no se usa (lo mismocon el bluetooth).
I Cuidado con las conexiones del tipo ‘FREE WIFI’
I Asegurarnos de que nos conectamos a la conexion adecuada
I Tratar de utilizar siempre conexiones cifradas y autenticadas(VPN, ssh, https, ...)
Escuchas
Escuchas ModificacionesSuplantacion
¡Los virus y troyanos hacen eso!
Y algunas personas tambien
Escuchas
Escuchas ModificacionesSuplantacion
¡Los virus y troyanos hacen eso!Y algunas personas tambien
Repudio
Yo no fui!
¿Tiene remedio?
I Siempre que dos se comunican puede haber un tercerointeresado.
I Siempre que se esconde algo, hay alguien dispuesto aencontrarlo (criptografıa vs. criptoanalisis).
¿Tiene remedio?(Ultra)breve historia de la criptografıa
I Julio Cesar: ‘desplazamiento en el alfabeto’
MEDICINA −→ OGFKEKPCI Variaciones: reordenamiento, otras modificaciones.I II Guerra Mundial: Enigma, computadores, grandes avances,
pero basados en sistemas similares.
http://www.flickr.com/photos/timg_vancouver/200625463/
En general...
mensaje
clave−→ mensaje codificado clave−→ mensaje
La misma clave sirve para cifrar y descifrar.
En general...
mensaje clave−→ mensaje codificado
clave−→ mensaje
La misma clave sirve para cifrar y descifrar.
En general...
mensaje clave−→ mensaje codificado clave−→ mensaje
La misma clave sirve para cifrar y descifrar.
¿Tiene remedio?
Inconvenientes
I Solamente confidencialidad.
I Muchas claves
I ¿Como intercambiar las claves?
Ventajas
I Simplidad
I Rapidez
¿Tiene remedio?
¿Solo confidencialidad?
Afortundadamente, no.
¿Como?
¿Tiene remedio?
Criptografıa de clave publica
I Basada en dos claves:
I Una publicaI La otra, privada
Propiedades
Ambas sirven para cifrar...
mensaje
clave privada−→ mensaje codificadoclave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensaje
clave publica−→ mensaje codificadoclave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Propiedades
Ambas sirven para cifrar...
mensajeclave privada−→ mensaje codificado
clave publica−→ mensaje
¡Cualquiera puede leer!¡Solo yo puedo haberlo generado!
mensajeclave publica−→ mensaje codificado
clave privada−→ mensaje
¡Solo yo puedo leer!¡Cualquiera puede enviar!
Y para descifrar...
Secreto, autenticidad, . . .
I Secreto −→ Codifico con la clave publica del receptor.
I ¡Solo el puede leer!I Cualquiera puede haberlo escrito
I Autenticidad −→ Codifico con mi clave privada.I Solo yo puedo haberlo escritoI Cualquiera puede leerlo
I Autenticidad + SecretoI Es posible combinar las dos .
I Solo yo pude escribirloI Solo el receptor puede leerlo
Secreto, autenticidad, . . .
I Secreto −→ Codifico con la clave publica del receptor.
I ¡Solo el puede leer!I Cualquiera puede haberlo escrito
I Autenticidad −→ Codifico con mi clave privada.I Solo yo puedo haberlo escritoI Cualquiera puede leerlo
I Autenticidad + SecretoI Es posible combinar las dos .
I Solo yo pude escribirloI Solo el receptor puede leerlo
Secreto, autenticidad, . . .
I Secreto −→ Codifico con la clave publica del receptor.
I ¡Solo el puede leer!I Cualquiera puede haberlo escrito
I Autenticidad −→ Codifico con mi clave privada.I Solo yo puedo haberlo escritoI Cualquiera puede leerlo
I Autenticidad + SecretoI Es posible combinar las dos .
I Solo yo pude escribirloI Solo el receptor puede leerlo
¿Y el receptor?
I ¡Al reves!
1. Decodifica con su clave privada (solo el puede).2. Comprueba la autenticidad con mi clave publica.
Vamos bien
Ventajas
I Mi clave publica es conocida por todos.
I Mi clave privada no se transmite.
I La clave publica del receptor garantiza que solo el podra leerlo.
I Mi clave privada garantiza que solo yo he podido generarlo(salvo robo).
I Solo necesitamos una clave por cada interlocutor. (su clavepublica):
Inconvenientes
I Mas complicado.
I Mas lento (elevar numeros a potencias grandes).
I ¿De quien es la clave publica?
Vamos bien
Ventajas
I Mi clave publica es conocida por todos.
I Mi clave privada no se transmite.
I La clave publica del receptor garantiza que solo el podra leerlo.
I Mi clave privada garantiza que solo yo he podido generarlo(salvo robo).
I Solo necesitamos una clave por cada interlocutor. (su clavepublica):
Inconvenientes
I Mas complicado.
I Mas lento (elevar numeros a potencias grandes).
I ¿De quien es la clave publica?
No es secreto pero es mıo...
I Recordar: ‘Mi clave privada garantiza que solo yo he podidogenerarlo (salvo robo).’Entonces ...
I Si codifico con mi clave privada, cualquiera puede comprobarla veracidad con la publica (no hay secreto, pero siverificacion).¡Vaya lıo!
I Se puede simplificar (en realidad, acelerar).
Firma digital
No quiero codificar todo el mensaje:
I Mucho trabajo (calculos).
I Confusion (X$&7Ji43).
I No es secreto
La solucion
mensaje
−→ mensaje + ‘resumen del mensaje’ −→mensaje + ‘resumen del mensaje cifrado’
Firma digital
No quiero codificar todo el mensaje:
I Mucho trabajo (calculos).
I Confusion (X$&7Ji43).
I No es secreto
La solucion
mensaje −→ mensaje + ‘resumen del mensaje’
−→mensaje + ‘resumen del mensaje cifrado’
Firma digital
No quiero codificar todo el mensaje:
I Mucho trabajo (calculos).
I Confusion (X$&7Ji43).
I No es secreto
La solucion
mensaje −→ mensaje + ‘resumen del mensaje’ −→mensaje + ‘resumen del mensaje cifrado’
Firma digital
¿Y ahora?
I Cualquiera puede leerlo (si codifico solo con mi clave,tambien).
I Cualquiera puede comprobar su autenticidad.
¿Como lo hago?
I PGP http://www.pgp.com/
I GnuPG http://www.gnupg.org/index.es.html
Firma digital
¿Y ahora?
I Cualquiera puede leerlo (si codifico solo con mi clave,tambien).
I Cualquiera puede comprobar su autenticidad.
¿Como lo hago?
I PGP http://www.pgp.com/
I GnuPG http://www.gnupg.org/index.es.html
Aun falta algo
¿Quien garantiza que el dueno de la firma es quien dice ser?
I Intercambio de claves en persona.I Autoridades certificadoras
I Hola soy X.I Y esta documentacion lo demuestraI La entidad reconoce esa firma por algun mecanismo
tecnologico.
En Espana: Hacienda (FNMT), el DNI-e, las Camaras deComercio, empresas especializadas...
DNI electronico
Contiene un chipI Dos certificados:
I ‘Certificado de autenticacion’ (garantiza la identidad deltitular)
I Acredita la identidad (fısica y electronica)
I ‘Certificado de firma’ (permite utilizar la firma electronica)I Firma de documentos
Ejemplo: (incompleto) Entrar a tu sitio de Banca Electronica
http://www.ibercaja.es/
DNI electronico
Contiene un chipI Dos certificados:
I ‘Certificado de autenticacion’ (garantiza la identidad deltitular)
I Acredita la identidad (fısica y electronica)
I ‘Certificado de firma’ (permite utilizar la firma electronica)I Firma de documentos
Ejemplo: (incompleto) Entrar a tu sitio de Banca Electronica
http://www.ibercaja.es/
DNI electronico como
I Equipo informatico conectado a internet
I Lector de tarjetas
I Programas
http://www.dnielectronico.es/http://www.usatudni.es/
¿Y si lo pierdo?
I El DNI lleva un PIN (numero de identificacion)
I Denunciar (igual que antes)
Cosas que queremos/Cosas que no queremos
Queremos
I Compartir informacion
I Trabajar
I Relacionarnos
I . . .
No queremos
I Contenidos indeseables
I Virus, troyanos y otros animalitos
I Pensar (mucho)
Contenidos indeseables
I Lo que no queremos ver
I En la red hay de todo (tambien cosas buenas. . . muchas)I Algunas soluciones
I EducacionI Igual que en la calle (?)I Hay filtros ...
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_
Parental/
I Nada sustituye a la buena informacion
I Y a la educacion y concienciacion
Contenidos indeseables
I Lo que no queremos ver
I En la red hay de todo (tambien cosas buenas. . . muchas)I Algunas soluciones
I EducacionI Igual que en la calle (?)I Hay filtros ...
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_
Parental/
I Nada sustituye a la buena informacion
I Y a la educacion y concienciacion
Virus, troyanos, programas maliciosos
I Cualquier programa ‘extrano’ que ejecutemos espotencialmente peligroso.
I Incluso algunos aparentemente utiles
I No sabemos lo que puede hacer un programa de origendesconocido
I Lo mejor:I De alguna empresa o proyectos ‘reconocidos’I Que este disponible el codigo fuente
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.http://www.youtube.com/watch?v=Xs3SfNANtig¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.http://www.youtube.com/watch?v=Xs3SfNANtig¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.
http://www.youtube.com/watch?v=Xs3SfNANtig¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.http://www.youtube.com/watch?v=Xs3SfNANtig
¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.http://www.youtube.com/watch?v=Xs3SfNANtig¡Cuidado!Los troyanos fueron los atacados!
Hay mas
I Pero hay mas. . .I Espıas (‘spyware’)I Servicios ocultos
¿Como nos llegan?
I Programas normales infectados.
I Programas que producen efectos graciosos (felicitaciones,bromas, ...).
I Falsos antivirus
I Utilidades con truco
I Navegando . . . .
I En un CD o en una memoria de las que usamos para llevar ytraer documentos.
¿Como nos llegan? (II)
I Ficheros de contenidos para aplicaciones ofimaticas concapacidades programables.
I .doc, .xls, .rtf falsos ...I Ficheros renombrados, enlaces falsosI Dobles extensiones
LEEME.TXT.doc −→ LEEME.TXT
I Aplicaciones de visualizacion de datos con capacidadesprogramables.
I javascript, VBS, ...I Tambien pdf, Flash (.swf), ...
¿Como nos llegan? (III)
I Redes de intercambio de ficheros
I IRC
I Mensajerıa instantanea
I Correo electronico
I Pelıculas o musica descargada de internet
I Discos USB (bloquearlos solo para lectura cuando losconectemos...)
Caso: Mydoom
Tambien conocido como Novarg, Shimgapi, Shimg, Mimail.R(lunes 26 de enero de 2004)
I Distribuido a traves de adjuntos: .BAT, .CMD, .EXE, .PIF,.SCR y .ZIP
I El icono en windows simula ser un fichero de texto
I Direccion falsa
I Asunto variable (“Error”, “Status”, “Mail TransactionFailed”, “hello”, “hi”)
I Contenido textual variable ...I Efecto
I “Message” en el directorio temporal de WindowsI “shimgapi.dll” y “taskmon.exe” en el directorio de sistema
(system) de Windows (Uy!)
Caso: Mydoom
Tambien conocido como Novarg, Shimgapi, Shimg, Mimail.R(lunes 26 de enero de 2004)
I Distribuido a traves de adjuntos: .BAT, .CMD, .EXE, .PIF,.SCR y .ZIP
I El icono en windows simula ser un fichero de texto
I Direccion falsa
I Asunto variable (“Error”, “Status”, “Mail TransactionFailed”, “hello”, “hi”)
I Contenido textual variable ...I Efecto
I “Message” en el directorio temporal de WindowsI “shimgapi.dll” y “taskmon.exe” en el directorio de sistema
(system) de Windows (Uy!)
Caso: Mydoom
I Abre “Message” (con caracteres al azar) en el bloc de notas.I Con este efecto el gusano intenta enganar al usuario.
I Busca direccciones de correo y se auto-envıaI Intenta reproducirse mediante Kazaa
I winamp5, icq2004-final, activation crack,strip-girl-2.0bdcom patches, rootkitXP, office crack, nuke2004
I Abre el puerto TCP 3127 (¿puerta trasera?)
I Hasta 1000 mensajes/minuto, (1 de cada 12)
I Un computador infectado envıa mucho correo, pero tambienlo recibe
I Un ataque contra SCO (?). Dejo de funcionar el 12 de febrerode 2004.
Mas casos (cifras y letras)
I CIH (1998) de 20 a 80 millones de dolares.
I Melissa (1999) 300 a 600 millones de dolaresHay quien asegura que afecto del 15 % a 20 % de losordenadores del mundo. (Microsoft Outlook, Word)
I ILOVEYOU (2000) de 10 a 15 billones de dolares(Microsoft Outlook, ingenierıa social: hacıa falta abrirlo)
I Code Red (2001) 2.6 billones de dolares.En menos de una semana infecto casi 400.000 servidores ymas de un 1.000.000 en su corta historia. (IIS)
I SQL Slammer (2003), 500000 servidores. Poco dano porqueera sabado.Era muy rapido (red de cajeros automaticos del Bank ofAmerica). Infecto el 90 % de los servidores vulnerables en10 minutos. (Microsoft’s SQL Server Desktop Engine )
Mas casos recientes (cifras y letras)
I Blaster (2003) de 2 a 10 billones de dolares, cientos de milesde ordenadores infectados.(Vulnerabilidad de Windows 2000 y Windows XP).
I SoBig (agosto 03) de 5 a 10 billones de dolares y mas de unmillon de ordenadores infectados.1 millon de copias de sı mismo en las primeras 24 horas.Causo millones en perdidas (1 de cada 17)(Adjunto de correo)
I Bagle (2004) Muchas variantes
I Sasser (2004) suficientemente destructivo como para colgaralgunas comunicaciones satelites de agencias francesas.Tambien consiguio cancelar vuelos de numeros companiasaereas.No necesitaba acciones por parte del usuario parapropagarse.
Ultimamente . . .Todo ha cambiado un poco . . .
I Los ‘malos’ ya ‘dominan’ la tecnologıa y ahora la utilizan
I Instalacion de ‘malware’: espıas, servidores web, botnets . . .
Noviembre 2009Internet Storm Center // Sophoshttps://my.tennessee.edu/portal/page?_pageid=40,38556&_dad=portal&_schema=PORTAL
¿Que es una botnet?
I Cientos o miles de ordenadores infectadosI Controlados por alguien
I Correo electronico, IRC,...
I Venden sus serviciosI CalculoI Ataques Distribuidos de Denegacion de Servicios (DDOS)I PhisingI Lo que haga falta
¿Que hacemos con los virus?
I Instalar, configurar y actualizar el antivirusI Algunos virus los desactivan, es conveniente echar un vistazo
de vez en cuando para ver que todo esta correcto.
I Utilizar un antivirus en lınea, si tenemos dudas
I No es recomendable instalar mas de uno (interfieren entreellos)
I Puede que necesitemos ayudaI ¡Y copias de seguridad!
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Antivirus/
PhisingEn un mensaje de correo
¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
PhisingEn un mensaje de correo
¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
Phising
¿ http://cicajamadrid.net/ ?
Phising
¿ http://cicajamadrid.net/ ?
Caso reciente (pero menos)
Clique aqui −→ http://videodoorkut.webcindario.com/orkut.exe
Nadie esta libre
¿ bancopopular.es.particulares.appbp.mkfg.biz ?
Nadie esta libre
¿ bancopopular.es.particulares.appbp.mkfg.biz ?
¿Entonces?
I No pinchar en esa direccion, acceder como normalmente(favoritos, escribiendo la URL, . . . ).
I Tampoco abrir los adjuntos si no vienen de personas deconfianza
I Comprobar el certificadoI Tambien por correo electronico
I Enviar documentos en formatos ‘no peligrosos’ (¿Hace faltaenviar un Word o basta con un pdf?
I En caso de duda ... telefono, visita a la sucursal...
¡Cuidado! https solo garantiza que la conexion es cifrada, no quesea ‘la buena’
¿Donde mirar?
El cerrojo // La caja de la URL cambia de color
Spam
Correo basura, correo no solicitado. En algunos casos ofertas‘legıtimas’, en otros casos directamente fraudulentas. En todocaso, prohibido y muy mal visto.
I Correo no solicitado (de naturaleza comercial)
I Habitualmente, ofertas de dudosa condicion
I Es muy barato para el que lo envıa, y caro para los demas(sobre todo ISP’s)
I No siempre es inofensivo
I En correo electronico, mensajerıa instantanea, grupos denoticias, foros, telefonos, blogs, . . .
Ejemplos
Ejemplos
Ejemplos
Ejemplos
¡Tambien hay spam en los sitios de redes sociales!
O ‘amigos’ muy pesadosNosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)
¡Tambien hay spam en los sitios de redes sociales!
O ‘amigos’ muy pesados
Nosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)
¡Tambien hay spam en los sitios de redes sociales!
O ‘amigos’ muy pesadosNosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)
Contra el spam
I Cuidado con nuestra direccion de correo (¿a quien se ladamos? De todas formas acabaremos recibiendolo)
I No redirigir mensajes en cadena, no responder a mensajes deprocedencia dudosa
I En caso de duda, es spam
Contra el spam
I Utilizar un filtro anti–spamhttp://cert.inteco.es/Proteccion/Utiles_Gratuitos/Antispam/
I Y entrenarlo...(Los mensajes de spam que nuestro filtro no detecta no seborran se marcan como spam.
I Aunque no esta mal echarle un vistazo de vez en cuando a lacarpeta, por si se cuela algun mensaje legıtimo (y marcarlocomo no spam).
Sin entrenamiento no sirven de casi nada.
¿Como funcionan?
Dos partes basicas:
I Listas negras
I Listas blancas
Pero ademas ...
I Filtros Bayesianos:I Se mide la probabilidad de que una determinada palabra
este en palabra (o ‘cosa’) aparezca en un correo basura y enuno que no lo es.
I Se asigna una puntuacion a cada mensaje en funcion de laspalabras (y ‘cosas’ que contiene.
http://www.paulgraham.com/spam.htmlhttp://www.thesmokesellers.com/?p=895
Algunas reglas de autoproteccion
I Disponer de un antivirus (y utilizarlo, y actualizarlo).
I Suscribirse a las listas de avisos de seguridad (o tener aalguien que lo haga ...).
I Nunca ejecutar programas ni abrir ficheros del exterior (sincuidado).
I Utilizar los perfiles de usuario (y siempre con claves, cada unola suya).
I Ningun sitio serio (y los bancos lo son con estas cosas) lepedira la clave nunca. De hecho, probablemente ni siquiera laconocen.
Algunas reglas de autoproteccion
I Configurar adecuadamente los programas que interaccionancon el exterior (que no hagan nada, o casi nada, solos:atencion a las previsualizaciones).
I ¿Realmente es necesario que me lo envıe ası?
I Instalar y configurar adecuadamente un cortafuegos (firewall).
Algunas reglas de autoproteccion
I Actualizar el sistema regularmente... ¡cuidado! no fiarse de los avisos que llegan por correo, irsiempre a la pagina web del fabricante.
I Ni siquiera tienen nuestra direccion de correo, en caso de duda..
Actualizaciones. Cifras
I 2004-2005. Honeypot, con varios sistemas (Windows, Mac,Linux)
I Windows XP. SP 1.I Fue atacado 4857 vecesI Infectado en 18 minutos (Blaster y Sasser)I En una hora era un ‘bot’ controlado remotamente, y
comenzo a realizar sus propios ataques
I Feb-Marzo 2005: menos del 24 % de los Windows XPobservados en un estudio de AssetMetrix Research Labstenıan SP2. Menos del 7 % del total lo tenıan. 251 empresasnorteamericanas (seis meses despes de su lanzamiento).
¡Hay que actualizar!
http://windowsupdate.microsoft.com¡Una vez al mes! (segundo martes de cada mes)
Mas sugerencias
http://www.microsoft.com/technet/security/tools/mbsahome.asp
Para varios productos de Microsoft (y de acuerdo a sus polıticas yrecomendaciones).
Mas autoproteccion
Estar preparados para lo peor (copias de seguridad).
I Tener un plan (polıtica)
I En un sitio diferente
I Probar que funcionan
http:
//cert.inteco.es/Proteccion/Utiles_Gratuitos/Copia_Seguridad/
Spyware (espıas)
I Los espıas se usan para muchas cosas ...I Habitos de navegacionI Robo de clavesI Robo de correoI ....
Siempre: mucho cuidado con lo que instalamos.Hay programas para vigilarlos y eliminarlos.http:
//cert.inteco.es/Proteccion/Utiles_Gratuitos/Antiespias/
http://www.youtube.com/watch?v=3atmWmWCwlw
¿Entonces?
I Regla 1: Hasta lo que parece inofensivo, puede ser peligroso.
I Regla 2: Cuanto menos automatico, mejor.
I Regla 3: En caso de duda, preguntar.
Compartir archivos
I Compartir es bueno (la informacion quiere ser libre, sobre todoen la red)pero...
I Cuidado con los formatos (buscar el que menor dano puedahacer)
I Cuidado con que y de donde viene
I Respetar la ley
Sobre las claves
I Que contengan mezcladas letras (mayusculas y minusculas),numeros y sımbolos
I Evitar claves parecidas en distintos sitiosI Evitar palabras comunes, tıtulos de libros, ciudades, . . .I Evitar informacion personal (nombres, mascotas, cumpleanos,
...)
I Mas de 8 caracteres¿Mejor frases?
I No compartirlasI Con los otrosI Para varias cosas
I Cambiarlas de vez en cuando (y siempre, cuando nosconectemos desde un ordenador que no es el nuestro).
I No sirve de nada una clave muy buena, si esta al lado de lamaquina en que se usa
¿Y la gente?
Estudio informal, Liverpool Street station en Londres. Infosecurity2004-2008.http://www.eskenzipr.com/page.cfm/T=m/Action=Press/PressID=202
Una encuesta, ofrecıan una chocolatina por rellenar el cuestionario.
I 21 % de los encuestados dieron su clave. 45 % de las mujeres,10 % de los hombres
I Sorteo de un viaje a Parıs. Telefono, nombre, fecha denacimiento, ...
I 60 % de los hombres, 62 % de las mujeres
I La mitad conocıan claves de sus companeros y el 58 % dijeronque le darıan la clave a los del departamento de informatica
I El 35 % sabıa que la clave del jefe la conocıa alguien mas(asistentes, personal de IT, ...)
I 43 % la cambia raramente
¿Y la gente?
I Una persona dijo que trabajaba para un departamento delgobierno y que nunca darıa su clave porque podrıa costarle eltrabajo.
I Otro dijo que parecıan tan bien vestidos y honestos que eraimposible que pudieran ser criminales.
De anos anteriores: (15 % nombres de la familia, 11 % equipos defutbol, 8 % mascotas, ...)Otro estudio, de RSA
I 79 % revela datos personales
I 33 % los compartıa o los escribıa
Mas datos ...
Ataque de Phising a MySpace (34.000 claves). 2006.
I 65 % de las claves tienen 8 caracteres o menos
I 17 % tienen 6 o menosLongitud Porcentaje1-4 0.82 percent5 1.1 percent6 15 percent7 23 percent8 25 percent9 17 percent10 13 percent11 2.7 percent12 0.93 percent13-32 0.93 percent
Composicion Porcentajenumbers only 1.3 percentletters only 9.6 percentalphanumeric 81 percentnon-alphanumeric 8.3 percent
Claves mas frecuentespassword1, abc123, myspace1, password, blink182, qwerty1,fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1,liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1and monkey(el mas usado 0.22 % de las cuentas).
http://www.schneier.com/blog/archives/2006/12/realworld_passw.html
Tiempos descubrimiento de claves
Clave de longitud 8
Clave Combinaciones Numero de claves por segundo10.000 100.000 1M 10M 100M 1000M
Numeros (10) 100 M 2 34
h. 17 m. 1 12
m. 10 s. Inmediato Inmediato
Caracteres (26) 200.000 M 242 d. 24 d. 2 12
d. 348 m. 35 m. 3 12
m.
May. y Min (52) 53 MM 169 12
a. 17 a. 1 12
a. 62 d. 6 d. 15 h.
Car. y Num. (62) 218 MM 692 a. 69 14
a. 7 a. 253 d. 25 14
d. 60 12
h.
Car., Num. y Sım. (96) 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 2 14
a. 83 12
d.
http://www.tufuncion.com/ataques-passwords-hacker-msn
Pero ... ¿quien tiene eso?
I 100,000 Passwords/seg. Recuperacion de contrasenaMicrosoft (Archivos .PWL)en un Pentium 100
I 1,000,000 Passwords/seg. Recuperacion de contrasena de unarchivo comprimido en ZIP o ARJ Pentium 100
I 10,000,000 Passwords/seg. Recuperacion de cualquiera de lascontrasenas anteriores con un PC (Monoprocesador +2Gh)
I 100,000,000 Passwords/seg. Recuperacion de una contrasenacon un cluster de microprocesadores o con multiples Pcstrabajando de manera simultanea.
I 1,000,000,000 Passwords/seg. Recuperacion de unacontrasena utilizando una supercomputadora o una red deordenadores interconectados a gran escala, por ejemplo(160000 computadoras PII 266MHz 24/7)
Sobre las claves
I Mi clave es solo mıa
I Memorizarlos (no apuntarlos, si es posible)
I Utilizar alguna estrategia para la memoriaEjemplo:El gato que esta triste y azulEgqetyaEg,qe!t1a
De todas formas, es mejor apuntar las claves en algun sitio yproteger la nota adecuadamente que tener claves demasiadosencillas para poder recordarlas.
http://keepass.info/
Sobre las claves
I Utilizar claves diferentes para sitios diferentes
I Bloquear el ordenador cuando nos vamos (y establecer unmecanismo de bloqueo automatico por si se nos olvida).
I No permitir insertar dispositivos USB de otros.I Tampoco los nuestros en el ordenador del trabajo
I Cuidado con los programas que instalamos.
I Cuidado con los portatiles y otros dispositivos dentro de laempresa (los personales de casa, o los de la gente que viaja yse conecta por ahı).
Mas consejos
I Escritorio limpio!
I Los documentos de una reunion pueden quedarse olvidados enla sala cuando acabamos
I Seguridad al imprimir (vigilar lo que envıamos: recogerlo, soloimprimirlo cuando sea necesario,...)
I Destruir documentos con informacion confidencial
I Si es posible, no almacenar informacion confidencial ennuestro disco duro.
I Firmar acuerdos de confidencialidad con terceros.
Mas consejos
I Si perdemos algun dispositivo, avisar/informar
I Si vemos algo raro, avisar/informar
I Cuidado con donde y de que hablamos y/o escribimos (¿hayalguien mirando en nuestra espalda?)
I Cumplir con la polıtica de la empresa (que haya una, ¡claro!)I Y ayudar a mejorarlaI Sobre todo, que sea facil de aplicar y seguir
I Cumplir la ley
Mensajerıa instantanea
I Razonablemente ‘anonimo’
I No publicarla (¿como el telefono?)
I No facilitar informacion personal, sobre todo a desconocidos
I No aceptar imagenes, ficheros, vınculos (o tratarlos conmucho cuidado)
I Cuidado en ordenadores publicos
Servicios P2P
I Descargar el programa de sitios fiables.
I No olvidar que compartimos una parte de nuestro disco duro.
I Cuidado con los programas ‘adicionales’
I Estan ejecutandose de manera permanente (conexion 24h)
I Cuidado con los identificadores, si son necesarios
I No todo es lo que parece (pasar el antivirus, comprobar elcontenido...)
Webcams
I Cuidado a donde apuntan (no se puede grabar a la gente, porejemplo)
I Respetar los derechos de imagen
I Difusion de imagenes siempre que no sea posible identificar alas personas
I Prestar atencion a donde hay camaras (y ejercer el derecho deacceso, en su caso)
I No difundir imagenes privadas. Mejor que esas imagenes nosean nunca muy privadas.
El navegador
I Atencion a las condiciones de uso y polıticas de privacidad delos sitios
I Cuidado con las cookies (no es mala idea rechazarlas porsistema, y si las necesitamos ya las activaremos).
I No guardar las claves en los sistemas que proporciona elnavegador
¿Algo mas?
Borrar el historial ...
... sobre todo si el computador no es nuestro, o es compartido
Y cuidado con las opciones de ‘recordarme’ en sitios publicos oPCs compartidos.
La web 2.0
I Aprender y comprender las opciones de privacidad
I Tener un perfil ‘razonable’ es mejor que no tener perfil y quealguien lo haga con nuestro nombre
I Cuidado con las imagenes, especialmente de terceros
I Cuidado al etiquetar a otros
I Recordar el derecho de acceso y rectificacion
I Los amigos deberıan serlo realmente
Responsabilidad
I No publicar informaciones falsas, rumores, ...
I Rectificar y reconocer los errores. Retirar la informacion quenos soliciten
I No publicar informacion privadaI En particular, donde vivo, donde estoy, no estoy ...
I No publicar imagenes o vıdeos sin el consentimiento de losque aparecen. Retirarla rapidamente si nos lo piden.
I No almacenar datos de otros. Ası no podemos perderlos y nopueden robarnoslos.
Recomendaciones a Usuarios de Internet. Edicion 2009. Agencia deProteccion de Datos.https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_
internet_052009.pdf
La leyLOPD
Ley Organica de Proteccion de Datos establece:
I Responsable del fichero.I Empresa responsable de datos de empleados y clientesI Autonomo responsable de datos de sus clientesI Organismos publicos responsables de los datos de sus
administrados
I Datos personales: nombre, apellidos, fechas, direcciones,telefonos, fotografıas, ...
I Ficheros automatizados y no automatizados (papel)
I Nivel alto, medio, basico
¡Sanciones!
La leyLSSI
Ley de Servicios de la Sociedad de la Informacion
I Obligaciones de informacion (denominacion social, NIF,domicilio, direccion de correo electronico, telefono o fax) ...
I Tramites electronicos (Si procede)
I ...
http://www.lssi.es/
Para saber mas
I Criptonomicon
http://www.iec.csic.es/criptonomicon/
I Campana de seguridad de la Asociacion de Internautas:
http://seguridad.internautas.org/
I Hispasec
http://www.hispasec.com/
I Inteco
http://www.inteco.es/
I Muchas otras .... La seguridad esta ‘de moda’.
Conclusiones
I La red fue disenadad para dar fiabilidad y robustez, noseguridad.
I Mejor prudente y cuidadoso que tener las ultimasherramientas informaticas.
I En algunos casos, la comodidad es enemiga de la seguridad.
I La seguridad es un proceso
I Seguridad como gestion del riesgo
I Disponemos de herramientas para garantizar nuestraprivacidad, pero no solo eso ...
