Seguridad en la web

1,591 views

Published on

Presentación para las VI JORNADAS DE TURISMO RURAL EN RIODEVA.

http://www.turismocuencasmineras.es/noticia.php/noticia/vi-jornadas-de-turismo-rural-en-riodeva/5540/45

Published in: Technology
  • Be the first to comment

Seguridad en la web

  1. 1. Seguridad en la web Fernando Tricas Garc´ıa ftricas@unizar.esDpto. de Inform´tica e Ingenier´ de Sistemas de la Escuela de Ingenier´ y a ıa ıa Arquitectura de la Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://twitter.com/fernand0 10 de noviembre de 2012
  2. 2. ´Indice El ordenador Los programas Las redes La utilizaci´n o Redes sociales Para saber m´s a Conclusiones
  3. 3. No s´lo ordenadores o http://books.google.com/help/ebooks/devices.html http://Amazon.com/Kindle
  4. 4. ¿Desde d´nde? o http://www.nerdgasmo.com/2011/11/increible-estacion-de-trabajo-steampunk/
  5. 5. Actualizar el sistema http://windowsupdate.microsoft.com (con Explorer) Ejecut´ndolo desde el bot´n de Inicio (tecleamos Update) a o ¡Una vez al mes! (segundo martes de cada mes) Deber´ ser autom´tico, si no hemos tocado nada... ıa a
  6. 6. No hay problema, no uso Windows... ¿Seguro?
  7. 7. Vendedores 2009 IBM X-Force Trend and Risk Report http://www-935.ibm.com/services/us/iss/xforce/trendreports/
  8. 8. Parches 2009 IBM X-Force Trend and Risk Report http://www-935.ibm.com/services/us/iss/xforce/trendreports/
  9. 9. ¡Actualizar!Utilizar el servicio del fabricanteSeguir las instruccionesEsperar a que termineAsegurarse de que todo ha ido bien
  10. 10. Instalar los programas desde sitios confiables http://www.youtube.com/watch?v=Rm_zlTIe_lI
  11. 11. Actualizar los programas
  12. 12. Actualizar los programas
  13. 13. En red
  14. 14. Precauci´n b´sica: el cortafuegos o a ¡Usar un cortafuegos! (no desactivarlo). Uno, general (a la entrada de la red) Uno, personal (en cada ordenador)
  15. 15. Precauci´n b´sica: conectarnos a sitios confiables o a http://www.yorokobu.es/en-el-ojo-ajeno-la-publicidad-sin-humos/
  16. 16. Y adem´s... Redes inal´mbricas a a La informaci´n se o transmite por el aire (radio)
  17. 17. Precauciones WiFi Cuidado con las claves (cambiarlas) Configuraci´n WPA2 siempre que sea posible. No usar WEP o Si tenemos que compartirla, utilizar dos redes miRed miRed-invitados ¡Con WPA2! http://codebutler.com/firesheep/
  18. 18. Todo es muy r´pido pero no pasa nada por ir despacio a http://www.flickr.com/photos/pagedooley/3631795699/
  19. 19. Virus, troyanos, programas maliciosos Cualquier programa ‘extra˜o’ que ejecutemos es n potencialmente peligroso. Incluso algunos aparentemente utiles/divertidos/‘interesantes’ ´ http://peru21.pe/actualidad/ difunden-correo-fraudulento-que-dana-imagen-nadine-heredia-2100939 No sabemos lo que puede hacer un programa de origen desconocido Lo mejor: De alguna empresa ‘reconocida’ Que est´ disponible el c´digo fuente e o
  20. 20. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . .
  21. 21. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse.
  22. 22. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a
  23. 23. ¿Qu´ es? e Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a ¡Cuidado! Los troyanos fueron los atacados!
  24. 24. Hay m´s a Pero hay m´s. . . a Esp´ (‘spyware’) ıas Servicios ocultos ¡Malware!
  25. 25. ¿C´mo nos llegan? o Programas normales infectados. Programas que producen efectos graciosos (felicitaciones, bromas, ...). Falsos antivirus (!!) FAKEAV http://blog.trendmicro.com/trendlabs-security-intelligence/ theyre-here-threats-leveraging-windows-8/ Utilidades con truco Navegando, documentos . . . . B´jate esto, mira esto otro. a
  26. 26. ¿C´mo nos llegan? (Casi cualquier posibilidad) o Redes de intercambio de ficheros IRC Mensajer´ instant´nea ıa a Correo electr´nico o ¡Basta un enlace y que pinchemos!
  27. 27. Algunas reglas de autoprotecci´n o Disponer de un antivirus (y utilizarlo, y actualizarlo). Suscribirse a las listas de avisos de seguridad (o tener a alguien que lo haga ...). Nunca ejecutar programas ni abrir ficheros del exterior (sin cuidado). Utilizar los perfiles de usuario. Ning´n sitio serio (y los bancos lo son con estas cosas) le u pedir´ la clave nunca. a http://www.osi.es/recursos/utiles-gratuitos http://www.osi.es/es/actualidad/blog
  28. 28. Phishing. Mensaje
  29. 29. Phishing. Mensaje ¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
  30. 30. Phishing. La web
  31. 31. Phishing. La web ¿ bancopopular.es.particulares.appbp.mkfg.biz ?
  32. 32. ¿Entonces? Conexi´n segura. o Pero... https s´lo garantiza que la conexi´n es cifrada, no que o o sea ‘la buena’ No pinchar en mensajes de correo (al menos sin mirar), acceder como normalmente (favoritos, escribiendo la URL, . . . ). En caso de duda ... tel´fono, visita a la sucursal... e
  33. 33. ¡En el m´vil todav´ m´s atenci´n! o ıa a o http://www.flickr.com/photos/mikeblogs/8114676975/
  34. 34. Cadenas de correo
  35. 35. Cadenas de correo ...
  36. 36. NO Cuesta poco buscar en la web y comprobar Casi siempre falsas En la duda, mejor no contribuir
  37. 37. Spam Correo electr´nico no solicitado o Cuidado con nuestra direcci´n de correo (¿a qui´n se la o e damos? De todas formas acabaremos recibi´ndolo) e ¿Una direcci´n p´blica y otra privada? o u No responder a mensajes de procedencia dudosa Una direcci´n de correo para foros, ... o utilizar un filtro anti–spam Y entrenarlo
  38. 38. Dinero Para pagar Una tarjeta ‘de internet’ Asegurarse de que todo es razonable (avisos legales, contacto, ...) (cuesta poco buscar ...) Ver qui´n lo est´ usando e a Pruebas ‘peque˜as’ n Para cobrar Una cuenta s´lo para cobros o ¿Pasarelas de pago? ¿Necesitamos eso? Paypal y similares Pero cuidado con las empresas de env´ de dinero ıo
  39. 39. ¡Cuidado con las herramientas! Nuestro ordenador es de trabajo (m´vil, tableta, ...) o No se juega No se instalan otros programas Como m´ ınimo ... ¿Un usuario diferente para pagar cosas? Incluso con el ordenador del trabajo
  40. 40. M´viles, port´tiles, tabletas... o a F´cil perderlos a Promiscuidad Desactivar conexiones innecesarias (adem´s ahorraremos a bater´ ıa). Que tengan clave (o pin...)
  41. 41. Algo puede ir mal Estar preparados para lo peor (copias de seguridad). http://www.flickr.com/photos/fernand0/4675610612/
  42. 42. Las claves http://www.flickr.com/photos/12129374@N00/3964214880/
  43. 43. Gr´ficamente a ”Dazzlepod. Disclosure Project. Available from: http://dazzlepod.com/disclosure/; Accessed: November 10, 2012.”
  44. 44. ¡El tama˜o importa! n(Y el contenido tambi´n) e Clave de longitud 8 Clave Combinaciones N´mero de claves por segundo u 10.000 100.000 1M 10M 100M 1000M N´meros (10) u 100 M 3 2 4 h. 17 m. 1 1 m. 10 s. Inmediato Inmediato 2 Caracteres (26) 200.000 M 242 d. 24 d. 2 1 d. 2 348 m. 35 m. 3 1 m. 2 May. y Min (52) 53 MM 1 169 2 a. 17 a. 1 1 a. 62 d. 6 d. 15 h. 2 Car. y N´m. (62) u 218 MM 692 a. 69 1 a. 4 7 a. 253 d. 25 1 d. 4 1 60 2 h. Car., N´m. y S´ (96) u ım. 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 1 2 4 a. 1 83 2 d. 100,000 Passwords/seg. Recuperaci´n de contrase˜a Microsoft (Archivos .PWL)en un Pentium 100 o n 1,000,000 Passwords/seg. Recuperaci´n de contrase˜a de un archivo comprimido en ZIP o ARJ Pentium o n 100 10,000,000 Passwords/seg. Recuperaci´n de cualquiera de las contrase˜as anteriores con un PC o n (Monoprocesador +2Gh) 100,000,000 Passwords/seg. Recuperaci´n de una contrase˜a con un cluster de microprocesadores o con o n multiples Pcs trabajando de manera simult´nea. a 1,000,000,000 Passwords/seg. Recuperaci´n de una contrase˜a utilizando una supercomputadora o una red o n de ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7) http://www.tufuncion.com/ataques-passwords-hacker-msn
  45. 45. ¡Ayuda!Apuntarlo http://keepass.info/
  46. 46. ¡Ayuda!Que sea f´cil de recordar a http://xkcd.com/936/
  47. 47. Caso Eroski M´laga a http://www.google.com/search?q=eroski+malaga&tbm=isch
  48. 48. Caso Eroski M´laga a http://www.google.com/search?q=eroski+malaga&tbm=isch El buscador como puerta de entrada...
  49. 49. ¿Estamos en la red?
  50. 50. Caraduras http://blogs.elpais.com/paco-nadal/2012/09/chantaje-comentarios-toprural-tripadvisor.html
  51. 51. ¿Dejamos que s´lo sean los o dem´s los que hablen? a
  52. 52. ¿Estamos en la red?
  53. 53. ¿Estamos en la red?
  54. 54. ¿Estamos en la red?
  55. 55. ¿Estamos en la red?
  56. 56. ¿Estamos en la red?
  57. 57. ¿Estamos en la red?
  58. 58. ¿Estamos en la red?
  59. 59. ¿Estamos en la red?
  60. 60. Algunos consejos No hay que tener de todo Pero es un trabajo m´s a Utilizar lo que m´s se adapte a nosotros a ¿Podemos conseguir que nuestros clientes nos ayuden? Y despues... Relacionarse No dar la lata Mejor con un toque de humor
  61. 61. M´s a Aprender y comprender las opciones de privacidad Tener un perfil ‘razonable’ es mejor que no tener perfil y que alguien lo haga con nuestro nombre Cuidado con las im´genes, especialmente de terceros a Cuidado al etiquetar a otros Recordar el derecho de acceso y rectificaci´n o Somos una empresa, no un amigo
  62. 62. Responsabilidad No publicar/difundir informaciones falsas, rumores, ... Rectificar y reconocer los errores. Retirar la informaci´n que o nos soliciten No publicar informaci´n privada o En particular, d´nde vivo, d´nde estoy, no estoy ... o o http://www.enisa.europa.eu/activities/cert/ security-month/material/awareness-raising-video-clips No publicar im´genes o v´ a ıdeos sin el consentimiento de los que aparecen. Retirarla r´pidamente si nos lo piden. a No almacenar datos de otros. As´ no podemos perderlos y no ı pueden rob´rnoslos. a Recomendaciones a Usuarios de Internet. Edici´n 2009. Agencia de o Protecci´n de Datos. o https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_ internet_052009.pdf
  63. 63. La leyLOPD Ley Org´nica de Protecci´n de Datos establece: a o Responsable del fichero. Empresa responsable de datos de empleados y clientes Aut´nomo responsable de datos de sus clientes o Organismos p´blicos responsables de los datos de sus u administrados Datos personales: nombre, apellidos, fechas, direcciones, tel´fonos, fotograf´ ... e ıas, Ficheros automatizados y no automatizados (papel) Nivel alto, medio, b´sico a ALTO: salud, pol´ıtica, sindicatos, sexo, religi´n o MEDIO: datos econ´micos, saldos, pagos, situaci´n o o financiera,... BAJO: el resto; nombre, apellido, direcci´n, tel´fono, ... o e ¡Sanciones!
  64. 64. La leyLSSI Ley de Servicios de la Sociedad de la Informaci´n y Comercio o Electr´nico o Obligaciones de informaci´n (denominaci´n social, NIF, o o domicilio, direcci´n de correo electr´nico, tel´fono o fax) ... o o e Tr´mites electr´nicos (Si procede) a o Regula el comercio y los ISP Obligatoriedad de guardar acceso de los usuarios Identificaci´n de sitios web o http://www.lssi.es/
  65. 65. Para saber m´s a Instituto de Tecnolog´ de la Comunicaci´n ıas o http://www.inteco.es/ Oficina de Seguridad del Inernauta http://www.osi.es/ Agencia de Protecci´n de Datos o http://www.agpd.es/ Un blog: http://www.diegoguerrero.info/
  66. 66. Conclusiones La red fue dise˜adad para dar fiabilidad y robustez, no n seguridad. Mejor prudente y cuidadoso que excesivamente r´pido a En algunos casos, la comodidad es enemiga de la seguridad. La seguridad es un proceso Seguridad como gesti´n del riesgo o No hay sustitutos para la sensatez y la prudencia
  67. 67. ¡Gracias!ftricas@unizar.es@fernand0http://webdiis.unizar.es/~ftricas/http://fernand0.blogalia.com/

×