Seguridad y redes

Seguridad y conectividad en Internet Fernando Tricas Garc´ ıa Dpto. de Inform´tica e Ingenier´ de Sistemas del Centro Polit´cnico Superior a ıa e Universidad de Zaragoza, Espa˜an http://www.cps.unizar.es/~ftricas/ ————————————– Curso ‘Experto en internet’ Melilla, noviembre de 2009

Algunas deﬁniciones IP N´mero que identiﬁca a un ordenador cuando se conecta a internet u (T´ıpicamente lo vemos en 4 grupos de 3 cifras) DNS Domain Name Service. Servicio de nombres de dominios. Para no tener que recordar la IP habitualmente se asignan nombres a dichos n´meros. u

M´s definiciones a Gateway Puerta de enlace. Dispositivo que nos conecta con internet. Router Enrutador. Dispositivo que establece las conexiones necesarias para conectar redes. Ethernet Estńdar de conexiń para redes de ´rea local cableadas. a o a

M´s deﬁniciones a WiFi Wireless Fidelity. Sistema de env´ de datos sin cables que utiliza ıo ondas de radio. Alcance de unos cuantos metros. Bluetooth Sistema de env´ de datos sin cableas para redes de ´rea personal ıo a (pocos metros). Utiliza ondas de radio.

Algunas deﬁniciones ESPASA: PRIVADO, DA adj: Que se ejecuta a la vista de pocos, familiar y dom´sticamente, sin formalidad ni ceremonia e alguna || Particular y personal de cada uno. INTIMIDAD: Parte personal´ ısima, com´nmente u reservada, de los asuntos, designios, o afecciones de un sujeto o de una familia.

Algunas deﬁniciones Oxford English Dictionary: PRIVACY (from private) The state or quality of being private. The state or condition of being withdrawn from the society of others, or from public interest; seclusion. || The state or condition of being alone, undisturbed, or free from public attention, as a matter of choice or right; freedom from interference or intrusion. Also attrib. designating that which aﬀords a privacy of this kind. ‘one’s right to privacy’.

Privacidad vs. Seguridad P´blica u Algunas objeciones Existen herramientas para ayudarnos a proteger nuestra privacidad. Esas herramientas, ¿no ser´n una ayuda para que gente con a pocos escr´pulos cometa sus ‘fechor´ ? u ıas’

Privacidad vs. Seguridad P´blica u Pero ... Tambi´n se puede comprometer esa seguridad con otras e tecnolog´ (tel´fono, cartas, anuncios en la prensa, ...) ıas e La tecnolog´ est´ disponible, prohibirla no impide su uso. ıa a Nosotros tambi´n podemos necesitar protegernos. e

¿Todos somos esp´ ıas? (Casi) todo el mundo lleva una c´mara en el bolsillo, hay un a mont´n de c´maras por las calles, . . . o a ¡hasta Google!

Ataques a la privacidad/seguridad La mayor´ de los usuarios son gente comń ‘como nosotros’. ıa u ¿A quiń pueden interesar mis datos? e ¿Quiń puede querer hacerme daõ? e n

Ataques a la privacidad/seguridad Ojo!! Puedo tener acceso a informaci´n importante. o Alguien puede utilizarme como intermediario (o herramienta). Romper s´lo porque es posible (y f´cil a veces). o a

¿Con qu´ debo tener cuidado? e Acceso f´ ısico a los recursos ¿Quiń tiene acceso? e Conocidos. Desconocidos. Computadores compartidos. Servicios de mantenimiento. ¿Dńde estń? o a En un despacho cerrado En un laboratorio comń u En ... Un v´ ıdeo: http://www.yourdailymedia.com/media/1245182735/Wild_ ATM_Robbery

¿Con qu´ debo tener cuidado? e T´cnicas de ingenier´ social e ıa Cuidado con gente muy ‘amistosa’. Si en la calle no se lo dir´ ¿en la red si?. ıas, Si normalmente se hace de una manera, ¿por qu´ cambi´?. e o ¿Qu´ datos puede pedirme un t´cnico? e e

Ingenier´ social ıa Un poco + otro poco + varios pocos = mucha informaciń o Primera llamada: nombre del jefe. Con el nombre del jefe: localizaciń de un recurso. o Con el nombre del jefe y la localizaciń del recurso . . . o

Conﬁdencialidad de los datos La prudencia nos ayuda a disminuir los peligros Pero queremos comunicarnos!!! Adem´s .... a . . . ¿C´mo viaja la informaci´n por la red? o o

¿C´mo viaja la informaci´n por la red? o o Las malas noticias siguen (?)

¿C´mo viaja la informaciń por la red? o o ¿Entonces? Objetivo: transmisiń de informaciń, fiabilidad y robustez, no o o seguridad. No sabemos por dńde viaja nuestra informaciń (ni tenemos o o control sobre ello).

Puertos (sin mar) Habitualmente, una sola conexiń (direcciń) o o Muchos servicios (mail, web, compartir archivos, ...) Soluciń: asignarles diferentes n´meros (como a los buzones o u de una oficina) Conexiń −→ direcciń + servicio o o ¿Y?

El cortafuegos

Puertos (¿Y?) Si no damos los servicios, es mejor que no est´n abiertos los e puertos correspondientes. ¡Usar un cortafuegos! Uno, general (a la entrada de la red) Uno, personal (en cada PC) http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Cortafuegos/ Todo cerrado. Ir abriendo conforme se necesite

Redes inal´mbricas a La informaci´n se o transmite por el aire (radio)

Precauciones WiFi Cuidado con las claves Control de acceso con autentificaciń bidireccional o Configuraciń WPA2. o No usar WEP Variaciń en las claves a lo largo del d´ (?) o ıa Control de radio de transmisiń o Estar atentos ... todo cambia muy r´pido todav´ a ıa

Precauciones WiFi Apagar la conexi´n inal´mbrica cuando no se usa (lo mismo o a con el bluetooth). Cuidado con las conexiones del tipo ‘FREE WIFI’ Asegurarnos de que nos conectamos a la conexi´n adecuada o Tratar de utilizar siempre conexiones cifradas y autenticadas (VPN, ssh, https, ...)

Escuchas Suplantaci´n o Escuchas Modiﬁcaciones ¡Los virus y troyanos hacen eso!

Escuchas Suplantaciń o Escuchas Modificaciones ¡Los virus y troyanos hacen eso! Y algunas personas tambińe

Repudio Yo no fui!

¿Tiene remedio? Siempre que dos se comunican puede haber un tercero interesado. Siempre que se esconde algo, hay alguien dispuesto a encontrarlo (criptograf´ vs. criptoan´lisis). ıa a

¿Tiene remedio? (Ultra)breve historia de la criptograf´ ıa Julio C´sar: ‘desplazamiento en el alfabeto’ e MEDICINA −→ OGFKEKPC Variaciones: reordenamiento, otras modiﬁcaciones. II Guerra Mundial: Enigma, computadores, grandes avances, pero basados en sistemas similares. http://www.flickr.com/photos/timg_vancouver/200625463/

En general... mensaje

En general... mensaje clave mensaje codiﬁcado −→

En general... mensaje clave mensaje codiﬁcado clave mensaje −→ −→ La misma clave sirve para cifrar y descifrar.

¿Tiene remedio? Inconvenientes Solamente conﬁdencialidad. Muchas claves ¿C´mo intercambiar las claves? o Ventajas Simplidad Rapidez

¿Tiene remedio? ¿S´lo conﬁdencialidad? o Afortundadamente, no. ¿C´mo? o

¿Tiene remedio? Criptograf´ de clave p´blica ıa u Basada en dos claves: Una p´blica u La otra, privada

Propiedades Ambas sirven para cifrar... mensaje

Propiedades Ambas sirven para cifrar... clave privada mensaje −→ mensaje codiﬁcado

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o mensaje

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u mensaje −→ mensaje codiﬁcado

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codiﬁcado −→ mensaje

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codiﬁcado −→ mensaje ¡S´lo yo puedo leer! o ¡Cualquiera puede enviar!

Propiedades Ambas sirven para cifrar... clave privada clave p´blica u mensaje −→ mensaje codiﬁcado −→ mensaje ¡Cualquiera puede leer! ¡S´lo yo puedo haberlo generado! o clave p´blica u clave privada mensaje −→ mensaje codiﬁcado −→ mensaje ¡S´lo yo puedo leer! o ¡Cualquiera puede enviar! Y para descifrar...

Secreto, autenticidad, . . . Secreto −→ Codiﬁco con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito

Secreto, autenticidad, . . . Secreto −→ Codiﬁco con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito Autenticidad −→ Codiﬁco con mi clave privada. S´lo yo puedo haberlo escrito o Cualquiera puede leerlo

Secreto, autenticidad, . . . Secreto −→ Codiﬁco con la clave p´blica del receptor. u ¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito Autenticidad −→ Codiﬁco con mi clave privada. S´lo yo puedo haberlo escrito o Cualquiera puede leerlo Autenticidad + Secreto Es posible combinar las dos . S´lo yo pude escribirlo o S´lo el receptor puede leerlo o

¿Y el receptor? ¡Al rev´s! e 1. Decodiﬁca con su clave privada (s´lo ´l puede). o e 2. Comprueba la autenticidad con mi clave p´blica. u

Vamos bien Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. (su clave o p´blica): u

Vamos bien Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. (su clave o p´blica): u Inconvenientes M´s complicado. a M´s lento (elevar n´meros a potencias grandes). a u ¿De qui´n es la clave p´blica? e u

No es secreto pero es m´ ıo... Recordar: ‘Mi clave privada garantiza que s´lo yo he podido o generarlo (salvo robo).’ Entonces ... Si codifico con mi clave privada, cualquiera puede comprobar la veracidad con la p´blica (no hay secreto, pero si u verificaciń). o ¡Vaya l´ ıo! Se puede simplificar (en realidad, acelerar).

Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusiń (X$&7Ji43). o No es secreto La soluciń o mensaje

Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusiń (X$&7Ji43). o No es secreto La soluciń o mensaje −→ mensaje + ‘resumen del mensaje’

Firma digital No quiero codificar todo el mensaje: Mucho trabajo (c´lculos). a Confusiń (X$&7Ji43). o No es secreto La soluciń o mensaje −→ mensaje + ‘resumen del mensaje’ −→ mensaje + ‘resumen del mensaje cifrado’

Firma digital ¿Y ahora? Cualquiera puede leerlo (si codiﬁco s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad.

Firma digital ¿Y ahora? Cualquiera puede leerlo (si codiﬁco s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad. ¿C´mo lo hago? o PGP http://www.pgp.com/ GnuPG http://www.gnupg.org/index.es.html

Ań falta algo u ¿Quiń garantiza que el dueõ de la firma es quiń dice ser? e n e Intercambio de claves en persona. Autoridades certificadoras Hola soy X. Y esta documentaciń lo demuestra o La entidad reconoce esa firma por algń mecanismo u tecnol´gico. o En Espaã: Hacienda (FNMT), el DNI-e, las C´maras de n a Comercio, empresas especializadas...

DNI electrńico o Contiene un chip Dos certificados: ‘Certificado de autenticaciń’ (garantiza la identidad del o titular) Acredita la identidad (f´ ısica y electrńica) o ‘Certificado de firma’ (permite utilizar la firma electrńica) o Firma de documentos

DNI electrńico o Contiene un chip Dos certificados: ‘Certificado de autenticaciń’ (garantiza la identidad del o titular) Acredita la identidad (f´ ısica y electrńica) o ‘Certificado de firma’ (permite utilizar la firma electrńica) o Firma de documentos Ejemplo: (incompleto) Entrar a tu sitio de Banca Electrńica o http://www.ibercaja.es/

DNI electr´nico c´mo o o Equipo inform´tico conectado a internet a Lector de tarjetas Programas http://www.dnielectronico.es/ http://www.usatudni.es/

¿Y si lo pierdo? El DNI lleva un PIN (n´mero de identiﬁcaci´n) u o Denunciar (igual que antes)

Cosas que queremos/Cosas que no queremos Queremos Compartir informaci´n o Trabajar Relacionarnos ... No queremos Contenidos indeseables Virus, troyanos y otros animalitos Pensar (mucho)

Contenidos indeseables Lo que no queremos ver En la red hay de todo (tambiń cosas buenas. . . muchas) e Algunas soluciones Educaciń o Igual que en la calle (?) Hay filtros ... http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_ Parental/

Contenidos indeseables Lo que no queremos ver En la red hay de todo (tambiń cosas buenas. . . muchas) e Algunas soluciones Educaciń o Igual que en la calle (?) Hay filtros ... http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_ Parental/ Nada sustituye a la buena informaciń o Y a la educaciń y concienciaciń o o

Virus, troyanos, programas maliciosos Cualquier programa ‘extra˜o’ que ejecutemos es n potencialmente peligroso. Incluso algunos aparentemente utiles ´ No sabemos lo que puede hacer un programa de origen desconocido Lo mejor: De alguna empresa o proyectos ‘reconocidos’ Que est´ disponible el c´digo fuente e o

¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modiﬁc´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . .

¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modiﬁc´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse.

¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modificńdolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acciń o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a

¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modificńdolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acciń o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a http://www.youtube.com/watch?v=Xs3SfNANtig

¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modificńdolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acciń o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a http://www.youtube.com/watch?v=Xs3SfNANtig ¡Cuidado! Los troyanos fueron los atacados!

Hay m´s a Pero hay m´s. . . a Esp´ (‘spyware’) ıas Servicios ocultos

¿C´mo nos llegan? o Programas normales infectados. Programas que producen efectos graciosos (felicitaciones, bromas, ...). Falsos antivirus Utilidades con truco Navegando . . . . En un CD o en una memoria de las que usamos para llevar y traer documentos.

¿C´mo nos llegan? (II) o Ficheros de contenidos para aplicaciones ofim´ticas con a capacidades programables. .doc, .xls, .rtf falsos ... Ficheros renombrados, enlaces falsos Dobles extensiones LEEME.TXT.doc −→ LEEME.TXT Aplicaciones de visualizaciń de datos con capacidades o programables. javascript, VBS, ... Tambiń pdf, Flash (.swf), ... e

¿C´mo nos llegan? (III) o Redes de intercambio de ficheros IRC Mensajer´ instantńea ıa a Correo electrńico o Pel´ ıculas o m´sica descargada de internet u Discos USB (bloquearlos s´lo para lectura cuando los o conectemos...)

Caso: Mydoom Tambiń conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcciń falsa o

Caso: Mydoom Tambiń conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcciń falsa o Asunto variable (“Error”, “Status”, “Mail Transaction Failed”, “hello”, “hi”) Contenido textual variable ... Efecto “Message” en el directorio temporal de Windows “shimgapi.dll” y “taskmon.exe” en el directorio de sistema (system) de Windows (Uy!)

Caso: Mydoom Abre “Message” (con caracteres al azar) en el bloc de notas. Con este efecto el gusano intenta engaãr al usuario. n Busca direccciones de correo y se auto-env´ ıa Intenta reproducirse mediante Kazaa winamp5, icq2004-final, activation crack, strip-girl-2.0bdcom patches, rootkitXP, office crack, nuke2004 Abre el puerto TCP 3127 (¿puerta trasera?) Hasta 1000 mensajes/minuto, (1 de cada 12) Un computador infectado env´ mucho correo, pero tambiń ıa e lo recibe Un ataque contra SCO (?). Dej´ de funcionar el 12 de febrero o de 2004.

M´s casos (cifras y letras) a CIH (1998) de 20 a 80 millones de d´lares. o Melissa (1999) 300 a 600 millones de d´lares o Hay quien asegura que afect´ del 15 % a 20 % de los o ordenadores del mundo. (Microsoft Outlook, Word) ILOVEYOU (2000) de 10 a 15 billones de d´lares o (Microsoft Outlook, ingenier´ social: hac´ falta abrirlo) ıa ıa Code Red (2001) 2.6 billones de d´lares. o En menos de una semana infect´ casi 400.000 servidores y o mas de un 1.000.000 en su corta historia. (IIS) SQL Slammer (2003), 500000 servidores. Poco da˜o porque n era s´bado. a Era muy r´pido (red de cajeros autom´ticos del Bank of a a America). Infect´ el 90 % de los servidores vulnerables en o 10 minutos. (Microsoft’s SQL Server Desktop Engine )

M´s casos recientes (cifras y letras) a Blaster (2003) de 2 a 10 billones de dolares, cientos de miles de ordenadores infectados. (Vulnerabilidad de Windows 2000 y Windows XP). SoBig (agosto 03) de 5 a 10 billones de d´lares y m´s de un o a millń de ordenadores infectados. o 1 millń de copias de s´ mismo en las primeras 24 horas. o ı Caus´ millones en p´rdidas (1 de cada 17) o e (Adjunto de correo) Bagle (2004) Muchas variantes Sasser (2004) suficientemente destructivo como para colgar algunas comunicaciones satelites de agencias francesas. Tambien consigui´ cancelar vuelos de numeros compa˜ias o n a´reas. e No necesitaba acciones por parte del usuario para propagarse.

´ Ultimamente . . . Todo ha cambiado un poco . . . Los ‘malos’ ya ‘dominan’ la tecnolog´ y ahora la utilizan ıa Instalaci´n de ‘malware’: esp´ servidores web, botnets . . . o ıas,

Noviembre 2009 Internet Storm Center // Sophos https://my.tennessee.edu/portal/page?_pageid=40,38556&_dad=portal&_schema=PORTAL

¿Qu´ es una botnet? e Cientos o miles de ordenadores infectados Controlados por alguien Correo electr´nico, IRC,... o Venden sus servicios C´lculo a Ataques Distribuidos de Denegaci´n de Servicios (DDOS) o Phising Lo que haga falta

¿Qu´ hacemos con los virus? e Instalar, conﬁgurar y actualizar el antivirus Algunos virus los desactivan, es conveniente echar un vistazo de vez en cuando para ver que todo est´ correcto. a Utilizar un antivirus en l´ ınea, si tenemos dudas No es recomendable instalar m´s de uno (interﬁeren entre a ellos) Puede que necesitemos ayuda ¡Y copias de seguridad! http://cert.inteco.es/Proteccion/Utiles_Gratuitos/ Antivirus/

Phising En un mensaje de correo

Phising En un mensaje de correo ¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?

Phising

Phising ¿ http://cicajamadrid.net/ ?

Caso reciente (pero menos) Clique aqui −→ http://videodoorkut.webcindario.com/orkut.exe

Nadie est´ libre a

Nadie est´ libre a ¿ bancopopular.es.particulares.appbp.mkfg.biz ?

¿Entonces? No pinchar en esa direcciń, acceder como normalmente o (favoritos, escribiendo la URL, . . . ). Tampoco abrir los adjuntos si no vienen de personas de confianza Comprobar el certificado Tambiń por correo electrńico e o Enviar documentos en formatos ‘no peligrosos’ (¿Hace falta enviar un Word o basta con un pdf? En caso de duda ... tel´fono, visita a la sucursal... e ¡Cuidado! https s´lo garantiza que la conexiń es cifrada, no que o o sea ‘la buena’

¿D´nde mirar? o El cerrojo // La caja de la URL cambia de color

Spam Correo basura, correo no solicitado. En algunos casos ofertas ‘leg´ ıtimas’, en otros casos directamente fraudulentas. En todo caso, prohibido y muy mal visto. Correo no solicitado (de naturaleza comercial) Habitualmente, ofertas de dudosa condiciń o Es muy barato para el que lo env´ y caro para los dem´s ıa, a (sobre todo ISP’s) No siempre es inofensivo En correo electrńico, mensajer´ instantńea, grupos de o ıa a noticias, foros, tel´fonos, blogs, . . . e

Ejemplos

¡Tambi´n hay spam en los sitios de redes sociales! e

¡Tambi´n hay spam en los sitios de redes sociales! e O ‘amigos’ muy pesados

¡Tambi´n hay spam en los sitios de redes sociales! e O ‘amigos’ muy pesados Nosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)

Contra el spam Cuidado con nuestra direcciń de correo (¿a quiń se la o e damos? De todas formas acabaremos recibińdolo) e No redirigir mensajes en cadena, no responder a mensajes de procedencia dudosa En caso de duda, es spam

Contra el spam Utilizar un filtro anti–spam http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Antispam/ Y entrenarlo... (Los mensajes de spam que nuestro filtro no detecta no se borran se marcan como spam. Aunque no est´ mal echarle un vistazo de vez en cuando a la a carpeta, por si se cuela algń mensaje leg´ u ıtimo (y marcarlo como no spam). Sin entrenamiento no sirven de casi nada.

¿C´mo funcionan? o Dos partes b´sicas: a Listas negras Listas blancas Pero adem´s ... a Filtros Bayesianos: Se mide la probabilidad de que una determinada palabra est´ en palabra (o ‘cosa’) aparezca en un correo basura y en e uno que no lo es. Se asigna una puntuaci´n a cada mensaje en funci´n de las o o palabras (y ‘cosas’ que contiene. http://www.paulgraham.com/spam.html http://www.thesmokesellers.com/?p=895

Algunas reglas de autoprotecciń o Disponer de un antivirus (y utilizarlo, y actualizarlo). Suscribirse a las listas de avisos de seguridad (o tener a alguien que lo haga ...). Nunca ejecutar programas ni abrir ficheros del exterior (sin cuidado). Utilizar los perfiles de usuario (y siempre con claves, cada uno la suya). Ningń sitio serio (y los bancos lo son con estas cosas) le u pedir´ la clave nunca. De hecho, probablemente ni siquiera la a conocen.

Algunas reglas de autoprotecciń o Configurar adecuadamente los programas que interaccionan con el exterior (que no hagan nada, o casi nada, solos: atenciń a las previsualizaciones). o ¿Realmente es necesario que me lo env´ as´ ıe ı? Instalar y configurar adecuadamente un cortafuegos (firewall).

Algunas reglas de autoprotecciń o Actualizar el sistema regularmente ... ¡cuidado! no fiarse de los avisos que llegan por correo, ir siempre a la p´gina web del fabricante. a Ni siquiera tienen nuestra direcciń de correo, en caso de duda o ..

Actualizaciones. Cifras 2004-2005. Honeypot, con varios sistemas (Windows, Mac, Linux) Windows XP. SP 1. Fue atacado 4857 veces Infectado en 18 minutos (Blaster y Sasser) En una hora era un ‘bot’ controlado remotamente, y comenz´ a realizar sus propios ataques o Feb-Marzo 2005: menos del 24 % de los Windows XP observados en un estudio de AssetMetrix Research Labs ten´ SP2. Menos del 7 % del total lo ten´ 251 empresas ıan ıan. norteamericanas (seis meses desp´s de su lanzamiento). e

¡Hay que actualizar! http://windowsupdate.microsoft.com ¡Una vez al mes! (segundo martes de cada mes)

M´s sugerencias a http: //www.microsoft.com/technet/security/tools/mbsahome.asp Para varios productos de Microsoft (y de acuerdo a sus pol´ ıticas y recomendaciones).

M´s autoprotecci´n a o Estar preparados para lo peor (copias de seguridad). Tener un plan (pol´ ıtica) En un sitio diferente Probar que funcionan http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Copia_Seguridad/

Spyware (esp´ ıas) Los esp´ se usan para muchas cosas ... ıas H´bitos de navegaci´n a o Robo de claves Robo de correo .... Siempre: mucho cuidado con lo que instalamos. Hay programas para vigilarlos y eliminarlos. http: //cert.inteco.es/Proteccion/Utiles_Gratuitos/Antiespias/ http://www.youtube.com/watch?v=3atmWmWCwlw

¿Entonces? Regla 1: Hasta lo que parece inofensivo, puede ser peligroso. Regla 2: Cuanto menos autom´tico, mejor. a Regla 3: En caso de duda, preguntar.

Compartir archivos Compartir es bueno (la informaciń quiere ser libre, sobre todo o en la red) pero... Cuidado con los formatos (buscar el que menor daõ pueda n hacer) Cuidado con qu´ y de dńde viene e o Respetar la ley

Sobre las claves Que contengan mezcladas letras (may´sculas y min´sculas), u u n´meros y s´ u ımbolos Evitar claves parecidas en distintos sitios Evitar palabras comunes, t´ıtulos de libros, ciudades, . . . Evitar informaci´n personal (nombres, mascotas, cumplea˜os, o n ...) Mas de 8 caracteres ¿Mejor frases? No compartirlas Con los otros Para varias cosas Cambiarlas de vez en cuando (y siempre, cuando nos conectemos desde un ordenador que no es el nuestro). No sirve de nada una clave muy buena, si est´ al lado de la a m´quina en que se usa a

¿Y la gente? Estudio informal, Liverpool Street station en Londres. Infosecurity 2004-2008. http://www.eskenzipr.com/page.cfm/T=m/Action=Press/PressID=202 Una encuesta, ofrec´ una chocolatina por rellenar el cuestionario. ıan 21 % de los encuestados dieron su clave. 45 % de las mujeres, 10 % de los hombres Sorteo de un viaje a Par´ Tel´fono, nombre, fecha de ıs. e nacimiento, ... 60 % de los hombres, 62 % de las mujeres La mitad conoc´ claves de sus compa˜eros y el 58 % dijeron ıan n que le dar´ la clave a los del departamento de inform´tica ıan a El 35 % sab´ que la clave del jefe la conoc´ alguien m´s ıa ıa a (asistentes, personal de IT, ...) 43 % la cambia raramente

¿Y la gente? Una persona dijo que trabajaba para un departamento del gobierno y que nunca dar´ su clave porque podr´ costarle el ıa ıa trabajo. Otro dijo que parec´ tan bien vestidos y honestos que era ıan imposible que pudieran ser criminales. De a˜os anteriores: (15 % nombres de la familia, 11 % equipos de n f´tbol, 8 % mascotas, ...) u Otro estudio, de RSA 79 % revela datos personales 33 % los compart´ o los escrib´ ıa ıa

M´s datos ... a Ataque de Phising a MySpace (34.000 claves). 2006. 65 % de las claves tienen 8 caracteres o menos 17 % tienen 6 o menos Longitud Porcentaje 1-4 0.82 percent 5 1.1 percent 6 15 percent Composici´no Porcentaje 7 23 percent numbers only 1.3 percent 8 25 percent letters only 9.6 percent 9 17 percent alphanumeric 81 percent 10 13 percent non-alphanumeric 8.3 percent 11 2.7 percent 12 0.93 percent 13-32 0.93 percent Claves m´s frecuentes a password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey (el m´s usado 0.22 % de las cuentas). a http://www.schneier.com/blog/archives/2006/12/realworld_passw.html

Tiempos descubrimiento de claves Clave de longitud 8 Clave Combinaciones N´mero de claves por segundo u 10.000 100.000 1M 10M 100M 1000M N´meros (10) u 100 M 3 2 4 h. 17 m. 1 1 m. 10 s. Inmediato Inmediato 2 Caracteres (26) 200.000 M 242 d. 24 d. 221 d. 348 m. 35 m. 3 1 m. 2 May. y Min (52) 53 MM 1 169 2 a. 17 a. 121 a. 62 d. 6 d. 15 h. Car. y N´m. (62) u 218 MM 692 a. 69 1 a. 4 7 a. 253 d. 25 1 d. 4 1 60 2 h. Car., N´m. y S´ (96) u ım. 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 1 2 4 a. 1 83 2 d. http://www.tufuncion.com/ataques-passwords-hacker-msn

Pero ... ¿quiń tiene eso? e 100,000 Passwords/seg. Recuperaciń de contraseã o n Microsoft (Archivos .PWL)en un Pentium 100 1,000,000 Passwords/seg. Recuperaciń de contraseã de un o n archivo comprimido en ZIP o ARJ Pentium 100 10,000,000 Passwords/seg. Recuperaciń de cualquiera de las o contraseãs anteriores con un PC (Monoprocesador +2Gh) n 100,000,000 Passwords/seg. Recuperaciń de una contraseã o n con un cluster de microprocesadores o con multiples Pcs trabajando de manera simultńea. a 1,000,000,000 Passwords/seg. Recuperaciń de una o contraseã utilizando una supercomputadora o una red de n ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7)

Sobre las claves Mi clave es s´lo m´ o ıa Memorizarlos (no apuntarlos, si es posible) Utilizar alguna estrategia para la memoria Ejemplo: El gato que est´ triste y azul a Egqetya Eg,qe!t1a De todas formas, es mejor apuntar las claves en alg´n sitio y u proteger la nota adecuadamente que tener claves demasiado sencillas para poder recordarlas. http://keepass.info/

Sobre las claves Utilizar claves diferentes para sitios diferentes Bloquear el ordenador cuando nos vamos (y establecer un mecanismo de bloqueo autom´tico por si se nos olvida). a No permitir insertar dispositivos USB de otros. Tampoco los nuestros en el ordenador del trabajo Cuidado con los programas que instalamos. Cuidado con los port´tiles y otros dispositivos dentro de la a empresa (los personales de casa, o los de la gente que viaja y se conecta por ah´ ı).

M´s consejos a Escritorio limpio! Los documentos de una reuniń pueden quedarse olvidados en o la sala cuando acabamos Seguridad al imprimir (vigilar lo que env´ ıamos: recogerlo, s´lo o imprimirlo cuando sea necesario,...) Destruir documentos con informaciń confidencial o Si es posible, no almacenar informaciń confidencial en o nuestro disco duro. Firmar acuerdos de confidencialidad con terceros.

M´s consejos a Si perdemos algń dispositivo, avisar/informar u Si vemos algo raro, avisar/informar Cuidado con dńde y de qu´ hablamos y/o escribimos (¿hay o e alguien mirando en nuestra espalda?) Cumplir con la pol´ ıtica de la empresa (que haya una, ¡claro!) Y ayudar a mejorarla Sobre todo, que sea fćil de aplicar y seguir a Cumplir la ley

Mensajer´ instantńea ıa a Razonablemente ‘anńimo’ o No publicarla (¿c´mo el tel´fono?) o e No facilitar informaciń personal, sobre todo a desconocidos o No aceptar im´genes, ficheros, v´ a ınculos (o tratarlos con mucho cuidado) Cuidado en ordenadores p´blicos u

Servicios P2P Descargar el programa de sitios fiables. No olvidar que compartimos una parte de nuestro disco duro. Cuidado con los programas ‘adicionales’ Estń ejecutńdose de manera permanente (conexiń 24h) a a o Cuidado con los identificadores, si son necesarios No todo es lo que parece (pasar el antivirus, comprobar el contenido...)

Webcams Cuidado a dńde apuntan (no se puede grabar a la gente, por o ejemplo) Respetar los derechos de imagen Difusiń de im´genes siempre que no sea posible identificar a o a las personas Prestar atenciń a dńde hay c´maras (y ejercer el derecho de o o a acceso, en su caso) No difundir im´genes privadas. Mejor que esas im´genes no a a sean nunca muy privadas.

El navegador Atenci´n a las condiciones de uso y pol´ o ıticas de privacidad de los sitios Cuidado con las cookies (no es mala idea rechazarlas por sistema, y si las necesitamos ya las activaremos). No guardar las claves en los sistemas que proporciona el navegador

¿Algo m´s? a Borrar el historial ... ... sobre todo si el computador no es nuestro, o es compartido Y cuidado con las opciones de ‘recordarme’ en sitios p´blicos o u PCs compartidos.

La web 2.0 Aprender y comprender las opciones de privacidad Tener un perfil ‘razonable’ es mejor que no tener perfil y que alguien lo haga con nuestro nombre Cuidado con las im´genes, especialmente de terceros a Cuidado al etiquetar a otros Recordar el derecho de acceso y rectificaciń o Los amigos deber´ serlo realmente ıan

Responsabilidad No publicar informaciones falsas, rumores, ... Rectificar y reconocer los errores. Retirar la informaciń que o nos soliciten No publicar informaciń privada o En particular, dńde vivo, dńde estoy, no estoy ... o o No publicar im´genes o v´ a ıdeos sin el consentimiento de los que aparecen. Retirarla r´pidamente si nos lo piden. a No almacenar datos de otros. As´ no podemos perderlos y no ı pueden rob´rnoslos. a Recomendaciones a Usuarios de Internet. Ediciń 2009. Agencia de o Protecciń de Datos. o https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_ internet_052009.pdf

La ley LOPD Ley Orgńica de Protecciń de Datos establece: a o Responsable del fichero. Empresa responsable de datos de empleados y clientes Autńomo responsable de datos de sus clientes o Organismos p´blicos responsables de los datos de sus u administrados Datos personales: nombre, apellidos, fechas, direcciones, tel´fonos, fotograf´ ... e ıas, Ficheros automatizados y no automatizados (papel) Nivel alto, medio, b´sico a ¡Sanciones!

La ley LSSI Ley de Servicios de la Sociedad de la Informaciń o Obligaciones de informaciń (denominaciń social, NIF, o o domicilio, direcciń de correo electrńico, tel´fono o fax) ... o o e Tr´mites electrńicos (Si procede) a o ... http://www.lssi.es/

Para saber m´s a Criptonomicń o http://www.iec.csic.es/criptonomicon/ Campaã de seguridad de la Asociaciń de Internautas: n o http://seguridad.internautas.org/ Hispasec http://www.hispasec.com/ Inteco http://www.inteco.es/ Muchas otras .... La seguridad est´ ‘de moda’. a

Conclusiones La red fue diseãdad para dar fiabilidad y robustez, no n seguridad. Mejor prudente y cuidadoso que tener las ultimas ´ herramientas inform´ticas. a En algunos casos, la comodidad es enemiga de la seguridad. La seguridad es un proceso Seguridad como gestiń del riesgo o Disponemos de herramientas para garantizar nuestra privacidad, pero no s´lo eso ... o

Seguridad y redes

by fernand0 on Nov 19, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 12

Statistics

Seguridad y redes — Presentation Transcript

http://www.slideshare.net	7
http://www.todopps.info	5