Seguridad y conectividad en Internet

                       Fernando Tricas Garc´
                                       ...
Algunas definiciones




   IP
   N´mero que identifica a un ordenador cuando se conecta a internet
     u
   (T´ıpicamente ...
M´s definiciones
 a



   Gateway
   Puerta de enlace. Dispositivo que nos conecta con internet.

   Router
   Enrutador. D...
M´s definiciones
 a




   WiFi
   Wireless Fidelity. Sistema de env´ de datos sin cables que utiliza
                     ...
Algunas definiciones



   ESPASA:
      PRIVADO, DA adj: Que se ejecuta a la vista de pocos,
      familiar y dom´sticamen...
Algunas definiciones



   Oxford English Dictionary:
       PRIVACY (from private) The state or quality of being private. ...
Privacidad vs. Seguridad P´blica
                          u




   Algunas objeciones
       Existen herramientas para ay...
Privacidad vs. Seguridad P´blica
                          u




   Pero ...
       Tambi´n se puede comprometer esa segur...
¿Todos somos esp´
                ıas?




   (Casi) todo el mundo lleva una c´mara en el bolsillo, hay un
               ...
Ataques a la privacidad/seguridad




      La mayor´ de los usuarios son gente com´n ‘como nosotros’.
              ıa   ...
Ataques a la privacidad/seguridad




   Ojo!!
       Puedo tener acceso a informaci´n importante.
                       ...
¿Con qu´ debo tener cuidado?
       e


      Acceso f´
              ısico a los recursos
      ¿Qui´n tiene acceso?
    ...
¿Con qu´ debo tener cuidado?
       e




      T´cnicas de ingenier´ social
       e                  ıa
          Cuidad...
Ingenier´ social
        ıa




       Un poco + otro poco + varios pocos = mucha informaci´n
                            ...
Confidencialidad de los datos




       La prudencia nos ayuda a disminuir los peligros
       Pero queremos comunicarnos!...
¿C´mo viaja la informaci´n por la red?
  o                     o


                Las malas noticias siguen (?)
¿C´mo viaja la informaci´n por la red?
  o                     o




   ¿Entonces?
      Objetivo: transmisi´n de informac...
Puertos (sin mar)



      Habitualmente, una sola conexi´n (direcci´n)
                                    o          o
 ...
El cortafuegos
Puertos (¿Y?)


      Si no damos los servicios, es mejor que no est´n abiertos los
                                      ...
Redes inal´mbricas
          a




  La informaci´n se
              o
  transmite por el aire
  (radio)
Precauciones WiFi



      Cuidado con las claves
      Control de acceso con autentificaci´n bidireccional
               ...
Precauciones WiFi




      Apagar la conexi´n inal´mbrica cuando no se usa (lo mismo
                      o      a
     ...
Escuchas




                                           Suplantaci´n
                                                     ...
Escuchas




                                           Suplantaci´n
                                                     ...
Repudio




          Yo no fui!
¿Tiene remedio?




      Siempre que dos se comunican puede haber un tercero
      interesado.
      Siempre que se escon...
¿Tiene remedio?
(Ultra)breve historia de la criptograf´
                                      ıa

           Julio C´sar: ...
En general...




          mensaje
En general...




          mensaje clave mensaje codificado
                   −→
En general...




          mensaje clave mensaje codificado clave mensaje
                   −→                      −→
  ...
¿Tiene remedio?



   Inconvenientes
       Solamente confidencialidad.
       Muchas claves
       ¿C´mo intercambiar las ...
¿Tiene remedio?

   ¿S´lo confidencialidad?
     o




                       Afortundadamente, no.




                   ...
¿Tiene remedio?




                   Criptograf´ de clave p´blica
                             ıa          u

      Basa...
Propiedades
   Ambas sirven para cifrar...

   mensaje
Propiedades
   Ambas sirven para cifrar...

             clave privada
   mensaje        −→       mensaje codificado
Propiedades
   Ambas sirven para cifrar...

             clave privada                   clave p´blica
                   ...
Propiedades
   Ambas sirven para cifrar...

             clave privada                   clave p´blica
                   ...
Propiedades
   Ambas sirven para cifrar...

              clave privada                   clave p´blica
                  ...
Propiedades
   Ambas sirven para cifrar...

              clave privada                   clave p´blica
                  ...
Propiedades
   Ambas sirven para cifrar...

              clave privada                   clave p´blica
                  ...
Propiedades
   Ambas sirven para cifrar...

              clave privada                   clave p´blica
                  ...
Propiedades
   Ambas sirven para cifrar...

              clave privada                   clave p´blica
                  ...
Secreto, autenticidad, . . .


       Secreto −→ Codifico con la clave p´blica del receptor.
                              ...
Secreto, autenticidad, . . .


       Secreto −→ Codifico con la clave p´blica del receptor.
                              ...
Secreto, autenticidad, . . .


       Secreto −→ Codifico con la clave p´blica del receptor.
                              ...
¿Y el receptor?




       ¡Al rev´s!
              e
        1. Decodifica con su clave privada (s´lo ´l puede).
         ...
Vamos bien

  Ventajas
      Mi clave p´blica es conocida por todos.
                u
      Mi clave privada no se transm...
Vamos bien

  Ventajas
      Mi clave p´blica es conocida por todos.
                u
      Mi clave privada no se transm...
No es secreto pero es m´
                       ıo...



       Recordar: ‘Mi clave privada garantiza que s´lo yo he podid...
Firma digital


   No quiero codificar todo el mensaje:
       Mucho trabajo (c´lculos).
                       a
       Co...
Firma digital


   No quiero codificar todo el mensaje:
       Mucho trabajo (c´lculos).
                       a
       Co...
Firma digital


   No quiero codificar todo el mensaje:
       Mucho trabajo (c´lculos).
                       a
       Co...
Firma digital



   ¿Y ahora?
       Cualquiera puede leerlo (si codifico s´lo con mi clave,
                              ...
Firma digital



   ¿Y ahora?
       Cualquiera puede leerlo (si codifico s´lo con mi clave,
                              ...
A´n falta algo
 u



   ¿Qui´n garantiza que el due˜o de la firma es qui´n dice ser?
       e                      n       ...
DNI electr´nico
          o


   Contiene un chip
       Dos certificados:
           ‘Certificado de autenticaci´n’ (garant...
DNI electr´nico
          o


   Contiene un chip
       Dos certificados:
            ‘Certificado de autenticaci´n’ (garan...
DNI electr´nico c´mo
          o      o




      Equipo inform´tico conectado a internet
                   a
      Lecto...
¿Y si lo pierdo?




       El DNI lleva un PIN (n´mero de identificaci´n)
                             u                  ...
Cosas que queremos/Cosas que no queremos


   Queremos
      Compartir informaci´n
                         o
      Trabaj...
Contenidos indeseables


       Lo que no queremos ver
       En la red hay de todo (tambi´n cosas buenas. . . muchas)
   ...
Contenidos indeseables


       Lo que no queremos ver
       En la red hay de todo (tambi´n cosas buenas. . . muchas)
   ...
Virus, troyanos, programas maliciosos



       Cualquier programa ‘extra˜o’ que ejecutemos es
                           ...
¿Qu´ es?
   e

      Un virus es un programa de ordenador que puede infectar
      otros programas modific´ndolos para incl...
¿Qu´ es?
   e

      Un virus es un programa de ordenador que puede infectar
      otros programas modific´ndolos para incl...
¿Qu´ es?
   e

      Un virus es un programa de ordenador que puede infectar
      otros programas modific´ndolos para incl...
¿Qu´ es?
   e

      Un virus es un programa de ordenador que puede infectar
      otros programas modific´ndolos para incl...
¿Qu´ es?
   e

      Un virus es un programa de ordenador que puede infectar
      otros programas modific´ndolos para incl...
Hay m´s
     a




     Pero hay m´s. . .
               a
          Esp´ (‘spyware’)
             ıas
          Servicios...
¿C´mo nos llegan?
  o



      Programas normales infectados.
      Programas que producen efectos graciosos (felicitacion...
¿C´mo nos llegan? (II)
  o



      Ficheros de contenidos para aplicaciones ofim´ticas con
                               ...
¿C´mo nos llegan? (III)
  o



      Redes de intercambio de ficheros
      IRC
      Mensajer´ instant´nea
              ı...
Caso: Mydoom

  Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R
        e
  (lunes 26 de enero de 2004)
      Dist...
Caso: Mydoom

  Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R
        e
  (lunes 26 de enero de 2004)
      Dist...
Caso: Mydoom


     Abre “Message” (con caracteres al azar) en el bloc de notas.
         Con este efecto el gusano intent...
M´s casos (cifras y letras)
 a

       CIH (1998) de 20 a 80 millones de d´lares.
                                        ...
M´s casos recientes (cifras y letras)
 a

       Blaster (2003) de 2 a 10 billones de dolares, cientos de miles
       de ...
´
Ultimamente . . .
Todo ha cambiado un poco . . .




          Los ‘malos’ ya ‘dominan’ la tecnolog´ y ahora la utilizan...
Noviembre 2009
  Internet Storm Center // Sophos
  https://my.tennessee.edu/portal/page?_pageid=40,38556&_dad=portal&_sche...
¿Qu´ es una botnet?
   e



      Cientos o miles de ordenadores infectados
      Controlados por alguien
          Correo...
¿Qu´ hacemos con los virus?
   e


      Instalar, configurar y actualizar el antivirus
           Algunos virus los desact...
Phising
   En un mensaje de correo
Phising
   En un mensaje de correo




   ¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
Phising
Phising




   ¿ http://cicajamadrid.net/ ?
Caso reciente (pero menos)




   Clique aqui −→ http://videodoorkut.webcindario.com/orkut.exe
Nadie est´ libre
         a
Nadie est´ libre
         a



         ¿ bancopopular.es.particulares.appbp.mkfg.biz ?
¿Entonces?


       No pinchar en esa direcci´n, acceder como normalmente
                                  o
       (favo...
¿D´nde mirar?
  o




  El cerrojo // La caja de la URL cambia de color
Spam
  Correo basura, correo no solicitado. En algunos casos ofertas
  ‘leg´
      ıtimas’, en otros casos directamente fr...
Ejemplos
Ejemplos
Ejemplos
Ejemplos
¡Tambi´n hay spam en los sitios de redes sociales!
      e
¡Tambi´n hay spam en los sitios de redes sociales!
      e

                                  O ‘amigos’ muy pesados
¡Tambi´n hay spam en los sitios de redes sociales!
              e

                                         O ‘amigos’ mu...
Contra el spam




      Cuidado con nuestra direcci´n de correo (¿a qui´n se la
                                 o       ...
Contra el spam


       Utilizar un filtro anti–spam
       http:
       //cert.inteco.es/Proteccion/Utiles_Gratuitos/Antis...
¿C´mo funcionan?
  o

  Dos partes b´sicas:
              a
      Listas negras
      Listas blancas
  Pero adem´s ...
   ...
Algunas reglas de autoprotecci´n
                              o


      Disponer de un antivirus (y utilizarlo, y actuali...
Algunas reglas de autoprotecci´n
                              o




      Configurar adecuadamente los programas que inter...
Algunas reglas de autoprotecci´n
                              o




      Actualizar el sistema regularmente
      ... ¡c...
Actualizaciones. Cifras


       2004-2005. Honeypot, con varios sistemas (Windows, Mac,
       Linux)
       Windows XP. ...
¡Hay que actualizar!




   http://windowsupdate.microsoft.com
   ¡Una vez al mes! (segundo martes de cada mes)
M´s sugerencias
 a




   http:
   //www.microsoft.com/technet/security/tools/mbsahome.asp
   Para varios productos de Mic...
M´s autoprotecci´n
 a              o



   Estar preparados para lo peor (copias de seguridad).
       Tener un plan (pol´...
Spyware (esp´
            ıas)



      Los esp´ se usan para muchas cosas ...
             ıas
          H´bitos de naveg...
¿Entonces?




      Regla 1: Hasta lo que parece inofensivo, puede ser peligroso.
      Regla 2: Cuanto menos autom´tico,...
Compartir archivos




      Compartir es bueno (la informaci´n quiere ser libre, sobre todo
                             ...
Sobre las claves
       Que contengan mezcladas letras (may´sculas y min´sculas),
                                        ...
¿Y la gente?

   Estudio informal, Liverpool Street station en Londres. Infosecurity
   2004-2008.
   http://www.eskenzipr...
¿Y la gente?


       Una persona dijo que trabajaba para un departamento del
       gobierno y que nunca dar´ su clave po...
M´s datos ...
 a
   Ataque de Phising a MySpace (34.000 claves). 2006.
             65 % de las claves tienen 8 caracteres...
Tiempos descubrimiento de claves


   Clave de longitud 8

    Clave                  Combinaciones                       ...
Pero ... ¿qui´n tiene eso?
             e

       100,000 Passwords/seg. Recuperaci´n de contrase˜a
                      ...
Sobre las claves

       Mi clave es s´lo m´
                    o    ıa
       Memorizarlos (no apuntarlos, si es posible...
Sobre las claves



       Utilizar claves diferentes para sitios diferentes
       Bloquear el ordenador cuando nos vamos...
M´s consejos
 a



      Escritorio limpio!
      Los documentos de una reuni´n pueden quedarse olvidados en
             ...
M´s consejos
 a



      Si perdemos alg´n dispositivo, avisar/informar
                     u
      Si vemos algo raro, a...
Mensajer´ instant´nea
        ıa       a




      Razonablemente ‘an´nimo’
                        o
      No publicarla ...
Servicios P2P



      Descargar el programa de sitios fiables.
      No olvidar que compartimos una parte de nuestro disco...
Webcams



     Cuidado a d´nde apuntan (no se puede grabar a la gente, por
                o
     ejemplo)
     Respetar ...
El navegador




      Atenci´n a las condiciones de uso y pol´
              o                              ıticas de pri...
¿Algo m´s?
       a


  Borrar el historial ...




  ... sobre todo si el computador no es nuestro, o es compartido

    ...
La web 2.0



      Aprender y comprender las opciones de privacidad
      Tener un perfil ‘razonable’ es mejor que no tene...
Responsabilidad

         No publicar informaciones falsas, rumores, ...
         Rectificar y reconocer los errores. Retir...
La ley
LOPD


   Ley Org´nica de Protecci´n de Datos establece:
          a                o
         Responsable del fiche...
La ley
LSSI




       Ley de Servicios de la Sociedad de la Informaci´n
                                                 ...
Para saber m´s
            a


      Criptonomic´n
                 o
               http://www.iec.csic.es/criptonomicon/...
Conclusiones



      La red fue dise˜adad para dar fiabilidad y robustez, no
                     n
      seguridad.
     ...
Upcoming SlideShare
Loading in …5
×

Seguridad y redes

1,642 views
1,567 views

Published on

Módulo impartido en el Curso de Experto en Melilla

Published in: Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,642
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
61
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Seguridad y redes

  1. 1. Seguridad y conectividad en Internet Fernando Tricas Garc´ ıa Dpto. de Inform´tica e Ingenier´ de Sistemas del Centro Polit´cnico Superior a ıa e Universidad de Zaragoza, Espa˜an http://www.cps.unizar.es/~ftricas/ ————————————– Curso ‘Experto en internet’ Melilla, noviembre de 2009
  2. 2. Algunas definiciones IP N´mero que identifica a un ordenador cuando se conecta a internet u (T´ıpicamente lo vemos en 4 grupos de 3 cifras) DNS Domain Name Service. Servicio de nombres de dominios. Para no tener que recordar la IP habitualmente se asignan nombres a dichos n´meros. u
  3. 3. M´s definiciones a Gateway Puerta de enlace. Dispositivo que nos conecta con internet. Router Enrutador. Dispositivo que establece las conexiones necesarias para conectar redes. Ethernet Est´ndar de conexi´n para redes de ´rea local cableadas. a o a
  4. 4. M´s definiciones a WiFi Wireless Fidelity. Sistema de env´ de datos sin cables que utiliza ıo ondas de radio. Alcance de unos cuantos metros. Bluetooth Sistema de env´ de datos sin cableas para redes de ´rea personal ıo a (pocos metros). Utiliza ondas de radio.
  5. 5. Algunas definiciones ESPASA: PRIVADO, DA adj: Que se ejecuta a la vista de pocos, familiar y dom´sticamente, sin formalidad ni ceremonia e alguna || Particular y personal de cada uno. INTIMIDAD: Parte personal´ ısima, com´nmente u reservada, de los asuntos, designios, o afecciones de un sujeto o de una familia.
  6. 6. Algunas definiciones Oxford English Dictionary: PRIVACY (from private) The state or quality of being private. The state or condition of being withdrawn from the society of others, or from public interest; seclusion. || The state or condition of being alone, undisturbed, or free from public attention, as a matter of choice or right; freedom from interference or intrusion. Also attrib. designating that which affords a privacy of this kind. ‘one’s right to privacy’.
  7. 7. Privacidad vs. Seguridad P´blica u Algunas objeciones Existen herramientas para ayudarnos a proteger nuestra privacidad. Esas herramientas, ¿no ser´n una ayuda para que gente con a pocos escr´pulos cometa sus ‘fechor´ ? u ıas’
  8. 8. Privacidad vs. Seguridad P´blica u Pero ... Tambi´n se puede comprometer esa seguridad con otras e tecnolog´ (tel´fono, cartas, anuncios en la prensa, ...) ıas e La tecnolog´ est´ disponible, prohibirla no impide su uso. ıa a Nosotros tambi´n podemos necesitar protegernos. e
  9. 9. ¿Todos somos esp´ ıas? (Casi) todo el mundo lleva una c´mara en el bolsillo, hay un a mont´n de c´maras por las calles, . . . o a ¡hasta Google!
  10. 10. Ataques a la privacidad/seguridad La mayor´ de los usuarios son gente com´n ‘como nosotros’. ıa u ¿A qui´n pueden interesar mis datos? e ¿Qui´n puede querer hacerme da˜o? e n
  11. 11. Ataques a la privacidad/seguridad Ojo!! Puedo tener acceso a informaci´n importante. o Alguien puede utilizarme como intermediario (o herramienta). Romper s´lo porque es posible (y f´cil a veces). o a
  12. 12. ¿Con qu´ debo tener cuidado? e Acceso f´ ısico a los recursos ¿Qui´n tiene acceso? e Conocidos. Desconocidos. Computadores compartidos. Servicios de mantenimiento. ¿D´nde est´n? o a En un despacho cerrado En un laboratorio com´n u En ... Un v´ ıdeo: http://www.yourdailymedia.com/media/1245182735/Wild_ ATM_Robbery
  13. 13. ¿Con qu´ debo tener cuidado? e T´cnicas de ingenier´ social e ıa Cuidado con gente muy ‘amistosa’. Si en la calle no se lo dir´ ¿en la red si?. ıas, Si normalmente se hace de una manera, ¿por qu´ cambi´?. e o ¿Qu´ datos puede pedirme un t´cnico? e e
  14. 14. Ingenier´ social ıa Un poco + otro poco + varios pocos = mucha informaci´n o Primera llamada: nombre del jefe. Con el nombre del jefe: localizaci´n de un recurso. o Con el nombre del jefe y la localizaci´n del recurso . . . o
  15. 15. Confidencialidad de los datos La prudencia nos ayuda a disminuir los peligros Pero queremos comunicarnos!!! Adem´s .... a . . . ¿C´mo viaja la informaci´n por la red? o o
  16. 16. ¿C´mo viaja la informaci´n por la red? o o Las malas noticias siguen (?)
  17. 17. ¿C´mo viaja la informaci´n por la red? o o ¿Entonces? Objetivo: transmisi´n de informaci´n, fiabilidad y robustez, no o o seguridad. No sabemos por d´nde viaja nuestra informaci´n (ni tenemos o o control sobre ello).
  18. 18. Puertos (sin mar) Habitualmente, una sola conexi´n (direcci´n) o o Muchos servicios (mail, web, compartir archivos, ...) Soluci´n: asignarles diferentes n´meros (como a los buzones o u de una oficina) Conexi´n −→ direcci´n + servicio o o ¿Y?
  19. 19. El cortafuegos
  20. 20. Puertos (¿Y?) Si no damos los servicios, es mejor que no est´n abiertos los e puertos correspondientes. ¡Usar un cortafuegos! Uno, general (a la entrada de la red) Uno, personal (en cada PC) http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Cortafuegos/ Todo cerrado. Ir abriendo conforme se necesite
  21. 21. Redes inal´mbricas a La informaci´n se o transmite por el aire (radio)
  22. 22. Precauciones WiFi Cuidado con las claves Control de acceso con autentificaci´n bidireccional o Configuraci´n WPA2. o No usar WEP Variaci´n en las claves a lo largo del d´ (?) o ıa Control de radio de transmisi´n o Estar atentos ... todo cambia muy r´pido todav´ a ıa
  23. 23. Precauciones WiFi Apagar la conexi´n inal´mbrica cuando no se usa (lo mismo o a con el bluetooth). Cuidado con las conexiones del tipo ‘FREE WIFI’ Asegurarnos de que nos conectamos a la conexi´n adecuada o Tratar de utilizar siempre conexiones cifradas y autenticadas (VPN, ssh, https, ...)
  24. 24. Escuchas Suplantaci´n o Escuchas Modificaciones ¡Los virus y troyanos hacen eso!
  25. 25. Escuchas Suplantaci´n o Escuchas Modificaciones ¡Los virus y troyanos hacen eso! Y algunas personas tambi´ne
  26. 26. Repudio Yo no fui!
  27. 27. ¿Tiene remedio? Siempre que dos se comunican puede haber un tercero interesado. Siempre que se esconde algo, hay alguien dispuesto a encontrarlo (criptograf´ vs. criptoan´lisis). ıa a
  28. 28. ¿Tiene remedio? (Ultra)breve historia de la criptograf´ ıa Julio C´sar: ‘desplazamiento en el alfabeto’ e MEDICINA −→ OGFKEKPC Variaciones: reordenamiento, otras modificaciones. II Guerra Mundial: Enigma, computadores, grandes avances, pero basados en sistemas similares. http://www.flickr.com/photos/timg_vancouver/200625463/
  29. 29. En general... mensaje
  30. 30. En general... mensaje clave mensaje codificado −→
  31. 31. En general... mensaje clave mensaje codificado clave mensaje −→ −→ La misma clave sirve para cifrar y descifrar.
  32. 32. ¿Tiene remedio? Inconvenientes Solamente confidencialidad. Muchas claves ¿C´mo intercambiar las claves? o Ventajas Simplidad Rapidez
  33. 33. ¿Tiene remedio? ¿S´lo confidencialidad? o Afortundadamente, no. ¿C´mo? o
  34. 34. ¿Tiene remedio? Criptograf´ de clave p´blica ıa u Basada en dos claves: Una p´blica u La otra, privada
  35. 35. Propiedades Ambas sirven para cifrar... mensaje
  36. 36. Propiedades Ambas sirven para cifrar... clave privada mensaje −→ mensaje codificado
  37. 37. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje
  38. 38. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o
  39. 39. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o mensaje
  40. 40. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u mensaje −→ mensaje codificado
  41. 41. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codificado −→ mensaje
  42. 42. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codificado −→ mensaje ¡S´lo yo puedo leer! o ¡Cualquiera puede enviar!
  43. 43. Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codificado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codificado −→ mensaje ¡S´lo yo puedo leer! o ¡Cualquiera puede enviar! Y para descifrar...
  44. 44. Secreto, autenticidad, . . . Secreto −→ Codifico con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito
  45. 45. Secreto, autenticidad, . . . Secreto −→ Codifico con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito Autenticidad −→ Codifico con mi clave privada. S´lo yo puedo haberlo escrito o Cualquiera puede leerlo
  46. 46. Secreto, autenticidad, . . . Secreto −→ Codifico con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito Autenticidad −→ Codifico con mi clave privada. S´lo yo puedo haberlo escrito o Cualquiera puede leerlo Autenticidad + Secreto Es posible combinar las dos . S´lo yo pude escribirlo o S´lo el receptor puede leerlo o
  47. 47. ¿Y el receptor? ¡Al rev´s! e 1. Decodifica con su clave privada (s´lo ´l puede). o e 2. Comprueba la autenticidad con mi clave p´blica. u
  48. 48. Vamos bien Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. (su clave o p´blica): u
  49. 49. Vamos bien Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. (su clave o p´blica): u Inconvenientes M´s complicado. a M´s lento (elevar n´meros a potencias grandes). a u ¿De qui´n es la clave p´blica? e u
  50. 50. No es secreto pero es m´ ıo... Recordar: ‘Mi clave privada garantiza que s´lo yo he podido o generarlo (salvo robo).’ Entonces ... Si codifico con mi clave privada, cualquiera puede comprobar la veracidad con la p´blica (no hay secreto, pero si u verificaci´n). o ¡Vaya l´ ıo! Se puede simplificar (en realidad, acelerar).
  51. 51. Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusi´n (X$&7Ji43). o No es secreto La soluci´n o mensaje
  52. 52. Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusi´n (X$&7Ji43). o No es secreto La soluci´n o mensaje −→ mensaje + ‘resumen del mensaje’
  53. 53. Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusi´n (X$&7Ji43). o No es secreto La soluci´n o mensaje −→ mensaje + ‘resumen del mensaje’ −→ mensaje + ‘resumen del mensaje cifrado’
  54. 54. Firma digital ¿Y ahora? Cualquiera puede leerlo (si codifico s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad.
  55. 55. Firma digital ¿Y ahora? Cualquiera puede leerlo (si codifico s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad. ¿C´mo lo hago? o PGP http://www.pgp.com/ GnuPG http://www.gnupg.org/index.es.html
  56. 56. A´n falta algo u ¿Qui´n garantiza que el due˜o de la firma es qui´n dice ser? e n e Intercambio de claves en persona. Autoridades certificadoras Hola soy X. Y esta documentaci´n lo demuestra o La entidad reconoce esa firma por alg´n mecanismo u tecnol´gico. o En Espa˜a: Hacienda (FNMT), el DNI-e, las C´maras de n a Comercio, empresas especializadas...
  57. 57. DNI electr´nico o Contiene un chip Dos certificados: ‘Certificado de autenticaci´n’ (garantiza la identidad del o titular) Acredita la identidad (f´ ısica y electr´nica) o ‘Certificado de firma’ (permite utilizar la firma electr´nica) o Firma de documentos
  58. 58. DNI electr´nico o Contiene un chip Dos certificados: ‘Certificado de autenticaci´n’ (garantiza la identidad del o titular) Acredita la identidad (f´ ısica y electr´nica) o ‘Certificado de firma’ (permite utilizar la firma electr´nica) o Firma de documentos Ejemplo: (incompleto) Entrar a tu sitio de Banca Electr´nica o http://www.ibercaja.es/
  59. 59. DNI electr´nico c´mo o o Equipo inform´tico conectado a internet a Lector de tarjetas Programas http://www.dnielectronico.es/ http://www.usatudni.es/
  60. 60. ¿Y si lo pierdo? El DNI lleva un PIN (n´mero de identificaci´n) u o Denunciar (igual que antes)
  61. 61. Cosas que queremos/Cosas que no queremos Queremos Compartir informaci´n o Trabajar Relacionarnos ... No queremos Contenidos indeseables Virus, troyanos y otros animalitos Pensar (mucho)
  62. 62. Contenidos indeseables Lo que no queremos ver En la red hay de todo (tambi´n cosas buenas. . . muchas) e Algunas soluciones Educaci´n o Igual que en la calle (?) Hay filtros ... http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_ Parental/
  63. 63. Contenidos indeseables Lo que no queremos ver En la red hay de todo (tambi´n cosas buenas. . . muchas) e Algunas soluciones Educaci´n o Igual que en la calle (?) Hay filtros ... http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_ Parental/ Nada sustituye a la buena informaci´n o Y a la educaci´n y concienciaci´n o o
  64. 64. Virus, troyanos, programas maliciosos Cualquier programa ‘extra˜o’ que ejecutemos es n potencialmente peligroso. Incluso algunos aparentemente utiles ´ No sabemos lo que puede hacer un programa de origen desconocido Lo mejor: De alguna empresa o proyectos ‘reconocidos’ Que est´ disponible el c´digo fuente e o
  65. 65. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . .
  66. 66. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse.
  67. 67. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a
  68. 68. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a http://www.youtube.com/watch?v=Xs3SfNANtig
  69. 69. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a http://www.youtube.com/watch?v=Xs3SfNANtig ¡Cuidado! Los troyanos fueron los atacados!
  70. 70. Hay m´s a Pero hay m´s. . . a Esp´ (‘spyware’) ıas Servicios ocultos
  71. 71. ¿C´mo nos llegan? o Programas normales infectados. Programas que producen efectos graciosos (felicitaciones, bromas, ...). Falsos antivirus Utilidades con truco Navegando . . . . En un CD o en una memoria de las que usamos para llevar y traer documentos.
  72. 72. ¿C´mo nos llegan? (II) o Ficheros de contenidos para aplicaciones ofim´ticas con a capacidades programables. .doc, .xls, .rtf falsos ... Ficheros renombrados, enlaces falsos Dobles extensiones LEEME.TXT.doc −→ LEEME.TXT Aplicaciones de visualizaci´n de datos con capacidades o programables. javascript, VBS, ... Tambi´n pdf, Flash (.swf), ... e
  73. 73. ¿C´mo nos llegan? (III) o Redes de intercambio de ficheros IRC Mensajer´ instant´nea ıa a Correo electr´nico o Pel´ ıculas o m´sica descargada de internet u Discos USB (bloquearlos s´lo para lectura cuando los o conectemos...)
  74. 74. Caso: Mydoom Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcci´n falsa o
  75. 75. Caso: Mydoom Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcci´n falsa o Asunto variable (“Error”, “Status”, “Mail Transaction Failed”, “hello”, “hi”) Contenido textual variable ... Efecto “Message” en el directorio temporal de Windows “shimgapi.dll” y “taskmon.exe” en el directorio de sistema (system) de Windows (Uy!)
  76. 76. Caso: Mydoom Abre “Message” (con caracteres al azar) en el bloc de notas. Con este efecto el gusano intenta enga˜ar al usuario. n Busca direccciones de correo y se auto-env´ ıa Intenta reproducirse mediante Kazaa winamp5, icq2004-final, activation crack, strip-girl-2.0bdcom patches, rootkitXP, office crack, nuke2004 Abre el puerto TCP 3127 (¿puerta trasera?) Hasta 1000 mensajes/minuto, (1 de cada 12) Un computador infectado env´ mucho correo, pero tambi´n ıa e lo recibe Un ataque contra SCO (?). Dej´ de funcionar el 12 de febrero o de 2004.
  77. 77. M´s casos (cifras y letras) a CIH (1998) de 20 a 80 millones de d´lares. o Melissa (1999) 300 a 600 millones de d´lares o Hay quien asegura que afect´ del 15 % a 20 % de los o ordenadores del mundo. (Microsoft Outlook, Word) ILOVEYOU (2000) de 10 a 15 billones de d´lares o (Microsoft Outlook, ingenier´ social: hac´ falta abrirlo) ıa ıa Code Red (2001) 2.6 billones de d´lares. o En menos de una semana infect´ casi 400.000 servidores y o mas de un 1.000.000 en su corta historia. (IIS) SQL Slammer (2003), 500000 servidores. Poco da˜o porque n era s´bado. a Era muy r´pido (red de cajeros autom´ticos del Bank of a a America). Infect´ el 90 % de los servidores vulnerables en o 10 minutos. (Microsoft’s SQL Server Desktop Engine )
  78. 78. M´s casos recientes (cifras y letras) a Blaster (2003) de 2 a 10 billones de dolares, cientos de miles de ordenadores infectados. (Vulnerabilidad de Windows 2000 y Windows XP). SoBig (agosto 03) de 5 a 10 billones de d´lares y m´s de un o a mill´n de ordenadores infectados. o 1 mill´n de copias de s´ mismo en las primeras 24 horas. o ı Caus´ millones en p´rdidas (1 de cada 17) o e (Adjunto de correo) Bagle (2004) Muchas variantes Sasser (2004) suficientemente destructivo como para colgar algunas comunicaciones satelites de agencias francesas. Tambien consigui´ cancelar vuelos de numeros compa˜ias o n a´reas. e No necesitaba acciones por parte del usuario para propagarse.
  79. 79. ´ Ultimamente . . . Todo ha cambiado un poco . . . Los ‘malos’ ya ‘dominan’ la tecnolog´ y ahora la utilizan ıa Instalaci´n de ‘malware’: esp´ servidores web, botnets . . . o ıas,
  80. 80. Noviembre 2009 Internet Storm Center // Sophos https://my.tennessee.edu/portal/page?_pageid=40,38556&_dad=portal&_schema=PORTAL
  81. 81. ¿Qu´ es una botnet? e Cientos o miles de ordenadores infectados Controlados por alguien Correo electr´nico, IRC,... o Venden sus servicios C´lculo a Ataques Distribuidos de Denegaci´n de Servicios (DDOS) o Phising Lo que haga falta
  82. 82. ¿Qu´ hacemos con los virus? e Instalar, configurar y actualizar el antivirus Algunos virus los desactivan, es conveniente echar un vistazo de vez en cuando para ver que todo est´ correcto. a Utilizar un antivirus en l´ ınea, si tenemos dudas No es recomendable instalar m´s de uno (interfieren entre a ellos) Puede que necesitemos ayuda ¡Y copias de seguridad! http://cert.inteco.es/Proteccion/Utiles_Gratuitos/ Antivirus/
  83. 83. Phising En un mensaje de correo
  84. 84. Phising En un mensaje de correo ¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
  85. 85. Phising
  86. 86. Phising ¿ http://cicajamadrid.net/ ?
  87. 87. Caso reciente (pero menos) Clique aqui −→ http://videodoorkut.webcindario.com/orkut.exe
  88. 88. Nadie est´ libre a
  89. 89. Nadie est´ libre a ¿ bancopopular.es.particulares.appbp.mkfg.biz ?
  90. 90. ¿Entonces? No pinchar en esa direcci´n, acceder como normalmente o (favoritos, escribiendo la URL, . . . ). Tampoco abrir los adjuntos si no vienen de personas de confianza Comprobar el certificado Tambi´n por correo electr´nico e o Enviar documentos en formatos ‘no peligrosos’ (¿Hace falta enviar un Word o basta con un pdf? En caso de duda ... tel´fono, visita a la sucursal... e ¡Cuidado! https s´lo garantiza que la conexi´n es cifrada, no que o o sea ‘la buena’
  91. 91. ¿D´nde mirar? o El cerrojo // La caja de la URL cambia de color
  92. 92. Spam Correo basura, correo no solicitado. En algunos casos ofertas ‘leg´ ıtimas’, en otros casos directamente fraudulentas. En todo caso, prohibido y muy mal visto. Correo no solicitado (de naturaleza comercial) Habitualmente, ofertas de dudosa condici´n o Es muy barato para el que lo env´ y caro para los dem´s ıa, a (sobre todo ISP’s) No siempre es inofensivo En correo electr´nico, mensajer´ instant´nea, grupos de o ıa a noticias, foros, tel´fonos, blogs, . . . e
  93. 93. Ejemplos
  94. 94. Ejemplos
  95. 95. Ejemplos
  96. 96. Ejemplos
  97. 97. ¡Tambi´n hay spam en los sitios de redes sociales! e
  98. 98. ¡Tambi´n hay spam en los sitios de redes sociales! e O ‘amigos’ muy pesados
  99. 99. ¡Tambi´n hay spam en los sitios de redes sociales! e O ‘amigos’ muy pesados Nosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)
  100. 100. Contra el spam Cuidado con nuestra direcci´n de correo (¿a qui´n se la o e damos? De todas formas acabaremos recibi´ndolo) e No redirigir mensajes en cadena, no responder a mensajes de procedencia dudosa En caso de duda, es spam
  101. 101. Contra el spam Utilizar un filtro anti–spam http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Antispam/ Y entrenarlo... (Los mensajes de spam que nuestro filtro no detecta no se borran se marcan como spam. Aunque no est´ mal echarle un vistazo de vez en cuando a la a carpeta, por si se cuela alg´n mensaje leg´ u ıtimo (y marcarlo como no spam). Sin entrenamiento no sirven de casi nada.
  102. 102. ¿C´mo funcionan? o Dos partes b´sicas: a Listas negras Listas blancas Pero adem´s ... a Filtros Bayesianos: Se mide la probabilidad de que una determinada palabra est´ en palabra (o ‘cosa’) aparezca en un correo basura y en e uno que no lo es. Se asigna una puntuaci´n a cada mensaje en funci´n de las o o palabras (y ‘cosas’ que contiene. http://www.paulgraham.com/spam.html http://www.thesmokesellers.com/?p=895
  103. 103. Algunas reglas de autoprotecci´n o Disponer de un antivirus (y utilizarlo, y actualizarlo). Suscribirse a las listas de avisos de seguridad (o tener a alguien que lo haga ...). Nunca ejecutar programas ni abrir ficheros del exterior (sin cuidado). Utilizar los perfiles de usuario (y siempre con claves, cada uno la suya). Ning´n sitio serio (y los bancos lo son con estas cosas) le u pedir´ la clave nunca. De hecho, probablemente ni siquiera la a conocen.
  104. 104. Algunas reglas de autoprotecci´n o Configurar adecuadamente los programas que interaccionan con el exterior (que no hagan nada, o casi nada, solos: atenci´n a las previsualizaciones). o ¿Realmente es necesario que me lo env´ as´ ıe ı? Instalar y configurar adecuadamente un cortafuegos (firewall).
  105. 105. Algunas reglas de autoprotecci´n o Actualizar el sistema regularmente ... ¡cuidado! no fiarse de los avisos que llegan por correo, ir siempre a la p´gina web del fabricante. a Ni siquiera tienen nuestra direcci´n de correo, en caso de duda o ..
  106. 106. Actualizaciones. Cifras 2004-2005. Honeypot, con varios sistemas (Windows, Mac, Linux) Windows XP. SP 1. Fue atacado 4857 veces Infectado en 18 minutos (Blaster y Sasser) En una hora era un ‘bot’ controlado remotamente, y comenz´ a realizar sus propios ataques o Feb-Marzo 2005: menos del 24 % de los Windows XP observados en un estudio de AssetMetrix Research Labs ten´ SP2. Menos del 7 % del total lo ten´ 251 empresas ıan ıan. norteamericanas (seis meses desp´s de su lanzamiento). e
  107. 107. ¡Hay que actualizar! http://windowsupdate.microsoft.com ¡Una vez al mes! (segundo martes de cada mes)
  108. 108. M´s sugerencias a http: //www.microsoft.com/technet/security/tools/mbsahome.asp Para varios productos de Microsoft (y de acuerdo a sus pol´ ıticas y recomendaciones).
  109. 109. M´s autoprotecci´n a o Estar preparados para lo peor (copias de seguridad). Tener un plan (pol´ ıtica) En un sitio diferente Probar que funcionan http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Copia_Seguridad/
  110. 110. Spyware (esp´ ıas) Los esp´ se usan para muchas cosas ... ıas H´bitos de navegaci´n a o Robo de claves Robo de correo .... Siempre: mucho cuidado con lo que instalamos. Hay programas para vigilarlos y eliminarlos. http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Antiespias/ http://www.youtube.com/watch?v=3atmWmWCwlw
  111. 111. ¿Entonces? Regla 1: Hasta lo que parece inofensivo, puede ser peligroso. Regla 2: Cuanto menos autom´tico, mejor. a Regla 3: En caso de duda, preguntar.
  112. 112. Compartir archivos Compartir es bueno (la informaci´n quiere ser libre, sobre todo o en la red) pero... Cuidado con los formatos (buscar el que menor da˜o pueda n hacer) Cuidado con qu´ y de d´nde viene e o Respetar la ley
  113. 113. Sobre las claves Que contengan mezcladas letras (may´sculas y min´sculas), u u n´meros y s´ u ımbolos Evitar claves parecidas en distintos sitios Evitar palabras comunes, t´ıtulos de libros, ciudades, . . . Evitar informaci´n personal (nombres, mascotas, cumplea˜os, o n ...) Mas de 8 caracteres ¿Mejor frases? No compartirlas Con los otros Para varias cosas Cambiarlas de vez en cuando (y siempre, cuando nos conectemos desde un ordenador que no es el nuestro). No sirve de nada una clave muy buena, si est´ al lado de la a m´quina en que se usa a
  114. 114. ¿Y la gente? Estudio informal, Liverpool Street station en Londres. Infosecurity 2004-2008. http://www.eskenzipr.com/page.cfm/T=m/Action=Press/PressID=202 Una encuesta, ofrec´ una chocolatina por rellenar el cuestionario. ıan 21 % de los encuestados dieron su clave. 45 % de las mujeres, 10 % de los hombres Sorteo de un viaje a Par´ Tel´fono, nombre, fecha de ıs. e nacimiento, ... 60 % de los hombres, 62 % de las mujeres La mitad conoc´ claves de sus compa˜eros y el 58 % dijeron ıan n que le dar´ la clave a los del departamento de inform´tica ıan a El 35 % sab´ que la clave del jefe la conoc´ alguien m´s ıa ıa a (asistentes, personal de IT, ...) 43 % la cambia raramente
  115. 115. ¿Y la gente? Una persona dijo que trabajaba para un departamento del gobierno y que nunca dar´ su clave porque podr´ costarle el ıa ıa trabajo. Otro dijo que parec´ tan bien vestidos y honestos que era ıan imposible que pudieran ser criminales. De a˜os anteriores: (15 % nombres de la familia, 11 % equipos de n f´tbol, 8 % mascotas, ...) u Otro estudio, de RSA 79 % revela datos personales 33 % los compart´ o los escrib´ ıa ıa
  116. 116. M´s datos ... a Ataque de Phising a MySpace (34.000 claves). 2006. 65 % de las claves tienen 8 caracteres o menos 17 % tienen 6 o menos Longitud Porcentaje 1-4 0.82 percent 5 1.1 percent 6 15 percent Composici´no Porcentaje 7 23 percent numbers only 1.3 percent 8 25 percent letters only 9.6 percent 9 17 percent alphanumeric 81 percent 10 13 percent non-alphanumeric 8.3 percent 11 2.7 percent 12 0.93 percent 13-32 0.93 percent Claves m´s frecuentes a password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey (el m´s usado 0.22 % de las cuentas). a http://www.schneier.com/blog/archives/2006/12/realworld_passw.html
  117. 117. Tiempos descubrimiento de claves Clave de longitud 8 Clave Combinaciones N´mero de claves por segundo u 10.000 100.000 1M 10M 100M 1000M N´meros (10) u 100 M 3 2 4 h. 17 m. 1 1 m. 10 s. Inmediato Inmediato 2 Caracteres (26) 200.000 M 242 d. 24 d. 221 d. 348 m. 35 m. 3 1 m. 2 May. y Min (52) 53 MM 1 169 2 a. 17 a. 121 a. 62 d. 6 d. 15 h. Car. y N´m. (62) u 218 MM 692 a. 69 1 a. 4 7 a. 253 d. 25 1 d. 4 1 60 2 h. Car., N´m. y S´ (96) u ım. 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 1 2 4 a. 1 83 2 d. http://www.tufuncion.com/ataques-passwords-hacker-msn
  118. 118. Pero ... ¿qui´n tiene eso? e 100,000 Passwords/seg. Recuperaci´n de contrase˜a o n Microsoft (Archivos .PWL)en un Pentium 100 1,000,000 Passwords/seg. Recuperaci´n de contrase˜a de un o n archivo comprimido en ZIP o ARJ Pentium 100 10,000,000 Passwords/seg. Recuperaci´n de cualquiera de las o contrase˜as anteriores con un PC (Monoprocesador +2Gh) n 100,000,000 Passwords/seg. Recuperaci´n de una contrase˜a o n con un cluster de microprocesadores o con multiples Pcs trabajando de manera simult´nea. a 1,000,000,000 Passwords/seg. Recuperaci´n de una o contrase˜a utilizando una supercomputadora o una red de n ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7)
  119. 119. Sobre las claves Mi clave es s´lo m´ o ıa Memorizarlos (no apuntarlos, si es posible) Utilizar alguna estrategia para la memoria Ejemplo: El gato que est´ triste y azul a Egqetya Eg,qe!t1a De todas formas, es mejor apuntar las claves en alg´n sitio y u proteger la nota adecuadamente que tener claves demasiado sencillas para poder recordarlas. http://keepass.info/
  120. 120. Sobre las claves Utilizar claves diferentes para sitios diferentes Bloquear el ordenador cuando nos vamos (y establecer un mecanismo de bloqueo autom´tico por si se nos olvida). a No permitir insertar dispositivos USB de otros. Tampoco los nuestros en el ordenador del trabajo Cuidado con los programas que instalamos. Cuidado con los port´tiles y otros dispositivos dentro de la a empresa (los personales de casa, o los de la gente que viaja y se conecta por ah´ ı).
  121. 121. M´s consejos a Escritorio limpio! Los documentos de una reuni´n pueden quedarse olvidados en o la sala cuando acabamos Seguridad al imprimir (vigilar lo que env´ ıamos: recogerlo, s´lo o imprimirlo cuando sea necesario,...) Destruir documentos con informaci´n confidencial o Si es posible, no almacenar informaci´n confidencial en o nuestro disco duro. Firmar acuerdos de confidencialidad con terceros.
  122. 122. M´s consejos a Si perdemos alg´n dispositivo, avisar/informar u Si vemos algo raro, avisar/informar Cuidado con d´nde y de qu´ hablamos y/o escribimos (¿hay o e alguien mirando en nuestra espalda?) Cumplir con la pol´ ıtica de la empresa (que haya una, ¡claro!) Y ayudar a mejorarla Sobre todo, que sea f´cil de aplicar y seguir a Cumplir la ley
  123. 123. Mensajer´ instant´nea ıa a Razonablemente ‘an´nimo’ o No publicarla (¿c´mo el tel´fono?) o e No facilitar informaci´n personal, sobre todo a desconocidos o No aceptar im´genes, ficheros, v´ a ınculos (o tratarlos con mucho cuidado) Cuidado en ordenadores p´blicos u
  124. 124. Servicios P2P Descargar el programa de sitios fiables. No olvidar que compartimos una parte de nuestro disco duro. Cuidado con los programas ‘adicionales’ Est´n ejecut´ndose de manera permanente (conexi´n 24h) a a o Cuidado con los identificadores, si son necesarios No todo es lo que parece (pasar el antivirus, comprobar el contenido...)
  125. 125. Webcams Cuidado a d´nde apuntan (no se puede grabar a la gente, por o ejemplo) Respetar los derechos de imagen Difusi´n de im´genes siempre que no sea posible identificar a o a las personas Prestar atenci´n a d´nde hay c´maras (y ejercer el derecho de o o a acceso, en su caso) No difundir im´genes privadas. Mejor que esas im´genes no a a sean nunca muy privadas.
  126. 126. El navegador Atenci´n a las condiciones de uso y pol´ o ıticas de privacidad de los sitios Cuidado con las cookies (no es mala idea rechazarlas por sistema, y si las necesitamos ya las activaremos). No guardar las claves en los sistemas que proporciona el navegador
  127. 127. ¿Algo m´s? a Borrar el historial ... ... sobre todo si el computador no es nuestro, o es compartido Y cuidado con las opciones de ‘recordarme’ en sitios p´blicos o u PCs compartidos.
  128. 128. La web 2.0 Aprender y comprender las opciones de privacidad Tener un perfil ‘razonable’ es mejor que no tener perfil y que alguien lo haga con nuestro nombre Cuidado con las im´genes, especialmente de terceros a Cuidado al etiquetar a otros Recordar el derecho de acceso y rectificaci´n o Los amigos deber´ serlo realmente ıan
  129. 129. Responsabilidad No publicar informaciones falsas, rumores, ... Rectificar y reconocer los errores. Retirar la informaci´n que o nos soliciten No publicar informaci´n privada o En particular, d´nde vivo, d´nde estoy, no estoy ... o o No publicar im´genes o v´ a ıdeos sin el consentimiento de los que aparecen. Retirarla r´pidamente si nos lo piden. a No almacenar datos de otros. As´ no podemos perderlos y no ı pueden rob´rnoslos. a Recomendaciones a Usuarios de Internet. Edici´n 2009. Agencia de o Protecci´n de Datos. o https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_ internet_052009.pdf
  130. 130. La ley LOPD Ley Org´nica de Protecci´n de Datos establece: a o Responsable del fichero. Empresa responsable de datos de empleados y clientes Aut´nomo responsable de datos de sus clientes o Organismos p´blicos responsables de los datos de sus u administrados Datos personales: nombre, apellidos, fechas, direcciones, tel´fonos, fotograf´ ... e ıas, Ficheros automatizados y no automatizados (papel) Nivel alto, medio, b´sico a ¡Sanciones!
  131. 131. La ley LSSI Ley de Servicios de la Sociedad de la Informaci´n o Obligaciones de informaci´n (denominaci´n social, NIF, o o domicilio, direcci´n de correo electr´nico, tel´fono o fax) ... o o e Tr´mites electr´nicos (Si procede) a o ... http://www.lssi.es/
  132. 132. Para saber m´s a Criptonomic´n o http://www.iec.csic.es/criptonomicon/ Campa˜a de seguridad de la Asociaci´n de Internautas: n o http://seguridad.internautas.org/ Hispasec http://www.hispasec.com/ Inteco http://www.inteco.es/ Muchas otras .... La seguridad est´ ‘de moda’. a
  133. 133. Conclusiones La red fue dise˜adad para dar fiabilidad y robustez, no n seguridad. Mejor prudente y cuidadoso que tener las ultimas ´ herramientas inform´ticas. a En algunos casos, la comodidad es enemiga de la seguridad. La seguridad es un proceso Seguridad como gesti´n del riesgo o Disponemos de herramientas para garantizar nuestra privacidad, pero no s´lo eso ... o

×