Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...
Seguridad de usuario en el acceso a internet 1
1. Curso:
Seguridad de usuario en el acceso a Internet
Juan Carlos Rodríguez
jcrodriguez@s21sec.com
Acceso Internet
•Cada día mayor número de conexiones a Internet permanentes.
•Escaso conocimiento de los usuarios de las aplicaciones que
utilizan
•Mínimos conocimientos de las implicaciones de seguridad en el uso
de las nuevas tecnologías.
•Interés creciente en la utilización de programas para la descarga de
audio y video.
•Mayor número de servicios “Online”
•Banca Electrónica
•Reservar de viajes
•Compras y subastas
2. Comercio electrónico en Internet
Tecnologías de seguridad
¿Cuántos usuarios conocen las tecnologías empleadas
en la seguridad informática y telemática?
FIREWALL
CERTIFICADOS DIGITALES
ANTISPAM
FIRMA DIGITAL
ANTIVIRUS
ALGORITMOS DE CIFRADO
SPYWARE
SERVICE PACKS, HOTFIX
JAVASCRIPT ACTIVEX
3. Riesgos en la autenticación
El acceso a determinados servicios requiere la acreditación
del visitante.
¿Es siempre seguro introducir el usuario/password?
Estamos ante una página
“segura” (conexión SSL), pero:
¿Estamos seguros que la página
presentada es la autentica?
¿Estamos seguros que nada ni
nadie está registrando los datos
que introducimos en el
ordenador local (keylogger..)?
Identificación Digital
Autenticación por Usuario/password
Es el método más utilizado, incluido en todas las opciones
de autenticación de S.O. y/o aplicaciones. (Telnet, FTP,
HTTP, Email, ...)
Su fiabilidad se basa en la “robustez” de la política de
contraseñas a seguir definiendo aspectos como:
•Longitud mínima de la contraseña
•Complejidad de la contraseña (caracteres utilizados)
•Vigencia de la contraseña
4. Identificación Digital
Claves de acceso
Ejemplo de configuración de la politica de contraseñas en la
Plataforma Windows 2000/XP
Identificación Digital
Complejidad de la contraseña
-Debe de contener una combinación de letras, números y
caracteres especiales
-No debe ser nunca una posible palabra de diccionario
-Debe de cambiarse de contraseña periódicamente y no es
conveniente admitir contraseñas anteriormente utilizadas
En general resulta difícil su implementación ya que para la
mayoría de los usuarios seleccionar una contraseña
“robusta” no es tarea sencilla.
5. Identificación Digital
Complejidad de la contraseña
Combinación de letras, números y caracteres especiales
Como ejemplo, si utilizaramos el alfabeto (a..z) y los
numeros naturales para construir la contraseña, las
diferentes combinaciones de una palabra de 6 letras son:
366=2.176.782.336
Un ordenador actual puede realizar todas estas
combinaciones ! en menos de 2 minutos!
Identificación Digital
Ejemplo de descubrimiento por fuerza bruta.
6. Identificación Digital
En la actualidad existen “diccionarios” en Internet de
numerosos lenguajes (inglés, francés, danés, ...) así como
materias diversas (literatura, música, cine,...)
Por ello, seleccionar una contraseña de “diccionario”
implica su descubrimiento ! en segundos !.
Identificación Digital
El mayor problema surge en la actitud de muchos usuarios
y su incapacidad de generar un password adecuado y ! recordarlo !
Así, es frecuente que los usuarios:
•Anoten y tengan “ a mano” las contraseñas que deben utilizar.
•Traten de “evadir” la “complejidad” de la contraseña:
(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)
Contraseña para Enero: pepe01!
Contraseña para Febrero: pepe02!
7. Identificación Digital
captura de las contraseñas
Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el par
Usuario/password como control de acceso.
Estos servicios “no utilizan cifrado en la comunicación” por lo que
Son facilmente interceptados mediante un sniffer (incluso utilizando
Switchs en lugar de hubs).
Identificación Digital
Recordar contraseñas
Utilizar la opción de “recordar” contraseñas en el equipo local
puede permitir extraer sin dificultad todas las contraseñas.
(ej SnadBoy’s Revelation)
8. Identificación Digital
Claves de acceso: Keyloggers
Existen también numerosas aplicaciones software/hardware que
registran las pulsaciones efectuadas en el teclado
Identificación Digital
Ejemplo de captura por “software” la sesión de un usuario:
9. Mecanismos de seguridad
más utilizados
! "
Certificados Digitales
Los certificados digitales han sido diseñados para garantizar la
Identidad en las operaciones por el ciberespacio (Internet)
Un certificado en un documento emitido y firmado por una
Autoridad de Certificación que identifica una clave pública con su
propietario.
Su efectividad se basa en la combinación de:
* Criptografía de llaves públicas
* Infraestructura de llaves digitales (PKI)
* El sistema legal
10. Autoridades Certificadoras
¿En que consiste una Autoridad de Certificación (AC)?
#
" $%
&
'(
'% "
%
') "
'#
'# *
'# *
Certificados Digitales
Confianza en la AC
'+
, - " $
'(
" $
'+ " " "
.
¿Estamos seguros que la lista que incluye nuestro navegador es de
absoluta confianza?
¿Podemos confiar en el lugar desde el que nos ofrecen la descarga
del certificado raiz ?
11. Certificados Raiz de confianza
%/
Como se realiza una
conexión HTTPS
Llave Llave Pública
sesión Servidor Web
1 HTTPS
Llave Privada
1
2
3
4
12. Certificados Digitales
Seguridad en las conexiones HTTPS
') 0 )(
)
, - 1 2 1 ! "2
$
+ $$
$$
¿Estamos conectados al servidor esperado?
El certificado que incluye la llave pública con la que se
cifrará la posterior llave de sesión. ¿Es de nuestra
confianza?
Certificados Digitales
Ejemplo certificado Servidor Web
14. Resolución de nombres
Consejos para evitar el Pharming
• Si utilizamos un ordenador que no es de nuestra confianza, eliminar antes las
entradas en caché de resolución DNS
• Comprobar el fichero “hosts” (c:windowssystem32driversetchosts)
Resolución de nombres
Podemos instalar herramientas que monitorizen si se realizan
cambios en el fichero HOSTS, la dirección Url de inicio del navegador,
...
15. Contraseñas
+
3
"
5 $
Contraseñas
Mejorar la seguridad en la identificación de usuario
La selección de una contraseña “compleja” (longitud mínima de 8 caracteres,
formada por combinación de letras, números, caracteres especiales) es la mayor
garantía de la seguridad del proceso.
Sin embargo es frecuente que los usuarios:
• Empleen palabras simples y fáciles de asociar o de obtener mediante un diccionario.
• En el caso de utilizar contraseñas complejas, escriban y guarden la contraseña por la
dificultad de recordarla.
• Utilicen la misma contraseña para acceder a múltiples sitios.
¿Podemos gestionar las contraseñas de una forma más eficiente?
16. Contraseñas
• Los navegadores incorporan la posibilidad de “guardar” las contraseñas
utilizadas en los accesos Web.
Contraseñas
• Podemos utilizar programas de “gestión de identidades” que nos permiten registrar
contraseñas complejas para acceder a diferentes servicios sin tener que recordar
todas ellas.
• Tan sólo es necesario recordar una contraseña “maestra” utilizada para cifrar el
acceso al resto de contraseñas.
18. PHISING
¿Como se realiza el “Phising”?
Mensajes enviados para engañar al usuario, utilizando todo tipo de ingeniosos
argumentos relacionados con la seguridad para justificar la necesidad de
introducir sus datos de acceso.
Un ejemplo de los más comunes pueden ser los siguientes:
•Problemas de carácter técnico.
•Recientes detecciones de fraude y urge un cambio del nivel de
seguridad.
•Nuevas recomendaciones de seguridad para prevención del fraude.
PHISING
Ejemplo de intento de Phising
19. PHISING
• También podrán intentarlo mediante mensajes
relacionados con:
•
– Promoción de nuevos productos de la entidad,
– Premios o regalos.
• En ocasiones se intenta forzar al usuario a tomar una
decisión casi de forma inmediata con amenazas de que
si no realiza los cambios solicitados, en pocas horas o
días su acceso quedará deshabilitado.
• Configuración Seguridad de
Internet Explorer.
20. Seguridad del navegador
Podemos configurar nuestro navegador con medidas de seguridad
que reduzcan la posibilidad de ser “atacados”, pero a cambio se
limitará la “versatilidad” de su uso.
Internet Explorer define “4 zonas de seguridad”
•Intranet (páginas Web que se encuentran en nuestra misma red)
•Sitios de Confianza (confiamos en su contenido)
•Sitios Restringidos (no confiamos en su contenido)
•Internet (cualquier sitio Web no definido en los 3 anteriores)
Cada una de estas zonas tiene configuradas las opciones de
seguridad que pueden ser modificadas por el usuario.
Zonas de Seguridad de IE
21. Agregar un sitio de confianza (IE)
Podemos “saltar” las restricciones de la zona de Internet
indicando que sitios Web son de nuestra confianza.
Seguridad DNS
La resolución DNS permite acceder a un sitio conociendo su nombre (URL)
realizando este servicio la traducción de nombre a dirección IP.
¿Es seguro el servicio DNS?
Cada “dominio” en Internet tiene su propio servidor DNS “autoridad” de su
zona.
Si preguntamos a un servidor DNS por la dirección de un equipo “propio” la
respuesta es inmediata y ofrecida por el mismo servidor.
A este se le conoce como “Respuesta Autoritativa”
Si preguntamos por una máquina de un dominio diferente, el servidor no
conoce la respuesta (esta fuera de su “zona”) y debe preguntar a otro servidor
DNS en Internet de nivel superior.
¿Podemos estar seguros que la respuesta que recibe es verdadera?
22. Resolución DNS
Consulta sobre un equipo del Consulta sobre un equipo de
mismo (Servidor DNS SOA diferente dominio.
de s21edu.com) La respuesta no es autoritativa
¿Cómo sabemos que la dirección IP entregada a nuestro servidor DNS
Es autentica?
Resolución DNS
Las consultas DNS (udp 53) no se envian cifradas por lo que
pueden ser interceptadas.
En udp, no hay control de la conexión y por ello da por “fiable”
solamente por incluir la pregunta en la respuesta
23. Resolución DNS
Además de utilizar un servidor DNS para la resolución de nombres,
es posible utilizar el fichero HOSTS para incluir pares de valores
directamente.
Si este fichero es manipulado malintencionadamente...
Introducimos la dirección IP
de “google” en la referencia
a “altavista”
XP Centro de Control de Seguridad:
•Gestión de Firewall de
Seguridad
•Actualizaciones automáticas
•Gestión de Antivirus
24. Establecer Excepciones
Las excepciones de tráfico pueden ser configuradas para
puertos y aplicaciones determinados
•El Firewall monitoriza los puertos que la aplicación escucha y
los añade automáticamente a la lista de trafico entrante
permitido.
•Incluye excepciones preconfiguradas para las aplicaciones
más comunes:
Compartir archivos e impresoras.
Escritorio Remoto
...
Establecer excepciones en el FW de XP