1 parte iia- seguridad en los negocios electrónicos

1

Parte IIA- Seguridad en los negocios electrónicos

2

Contenido Autenticación Criptografía

Certificación Firma electrónica

Seguridad en la Web Seguridad computacional

4

Autenticación Identificar al usuario que desea tener

acceso a los servicios de cómputo (Web server, etc.)

Monitoreo del flujo de paquetes y verificar que pertenecen a un usuario y servicio autorizado

Identificar Software intruso y verificar que su funcionalidad esté autorizada, libres de virus

5

Autenticación – Técnicas Contraseña Funciones compendio Firma digital

Biométricas Reconocimiento de voz Reconocimiento de la mano Huella digital Reconocimiento del iris (muy confiable)

7

Criptología

La criptología (del griego criptos=ocultos y logos=tratado, ciencia), se compone de:

Criptografía: procedimientos para cifrar, o enmascarar información de carácter confidencial.

Criptoanálisis: procedimientos para descifrar y recuperar la información original.

8

Criptografía

La criptografía es una necesidad, ya que el desarrollo de las comunicaciones electrónicas hace posible la transmisión y almacenamiento de información confidencial que es necesario proteger.

9

Proceso Criptográfico

CIFRADO DESCIFRADO

DESCRIPTADO

Mensaje cifrado

Mensaje de origen

Mensaje de origen

¿Mensaje de origen?

Interceptado

BA

10

Algoritmos de encriptación ROT13, a cada letra se asigna a un número y se le

suma 13, después se reemplaza el número por otra letra. Si es mayor de 26 se le resta 26 y se convierte.

“HELLO” 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =“URYYB”

Entre más bits se usen, es más difícil de descrifrar. El algoritmo PGP soporta claves de hasta 4,096 bits

Se requieren 3 días para descifrar una llave de 56 bits, 6 días para 57 bits, 768 días para 64 bits, etc. Las llaves de 128 bits hoy son seguras

11

Un buen sistema criptográfico será aquel que ofrezca un descrifrado imposible pero un encriptado sencillo.

La finalidad es doble:

Mantener la confidencialidad del mensaje.

Garantizar la autenticidad tanto del mensaje como del par remitente/destinatario..

Finalidad de la criptografía

12

Cifrado

Definición

– Es el mecanismo para proporcionar confidencialidad a través de funciones matemáticas

Tipos• Simétricos o de Llave Privada (DES).

• Asimétricos o de Llave Pública (RSA).

• Híbrido (SSL).

13

Ventajas del cifrado

Protege la información almacenada en la computadora contra accesos no autorizados

Protege la información mientras transita de un sistema de cómputo a otro

Puede detectar y evitar alteraciones accidentales o intencionales a los datos

Puede verificar si el autor de un documento es realmente quien se cree que es

14

Desventajas del cifrado

No puede prevenir que un agresor borre intencionalmente todos los datos

Encontrar la forma de que no se tuviera conocimiento previamente

Acceder al archivo antes de que sea cifrado o después de descifrar

15

Elementos comunes del cifrado

Algoritmo cifrador (cifra y descifra datos)

Claves de cifrado

Longitud de clave (claves largas)

Texto en claro (información a cifrar)

Texto cifrado (información después de cifrar)

16

Algoritmos criptográficos

Criptografía de clave privada - simétrica Ambos participantes comparten una clave (Ej.

DES, IDEA)

Criptografía de clave pública Cada participante tiene una clave privada no

compartida y una clave pública que todos conocen

El mensaje se encripta usando la llave pública y el participante descifra el mensaje con su clave privada (Ej. RSA de Rivest, Shamir y Adleman)

17

Algoritmos criptográficos

Función Hash o de Digestión del mensaje: No involucran el uso de claves

Determina una suma de verificación única (checksum) criptográfica sobre el mensaje

El algoritmo más usado es el MD5 (Message Digest versión 5)

18

Sistemas de claves privadas

RC2 Cifrador de bloque permite de 1 a 2048 bits

IDEA – International Data Encryption Algorithm Usa una clave de 128 bits, utilizado por el

programa PGP (para e-mail).

SKIPJACK Utilizado por el circuito integrado de cifrado

CLIPPER, utiliza 80 bits

19

Sistemas de clave privada – DES (Data Encription Std. IBM-1980)

• Usa las técnicas de confusión y difusión

• Cifra por bloques de 64 bits con una llave secreta de 64 bits (56 útiles y 8 de paridad)

• Realiza 16 iteraciones y en cada una hace una sustitución y una permutación con la llave

• En Hardware es más rápido hasta 1Gb/seg.

• La llave privada se puede enviar con cada mensaje

20

Algoritmos de llave privada

21

Algoritmos de llave privada - Ventajas

• El descifrado utiliza el mismo algoritmo pero con las llaves en orden inverso

• Se requieren 1500 años para hallar la clave o 6 meses si se usan 300 PCs en paralelo

• Estándar ampliamente utilizado en la industria, donde para mayor seguridad se encripta 3 veces (3DES), usando tres claves diferentes

22

Algoritmos de llave privada - Desventajas

• Quedan algunas incógnitas por resolver

• Ya cumplió con su ciclo de vida

• Puede romperse por fuerza bruta

• Como todo algoritmo simétrico, tiene el problema de la distribución de la llave

23

Algoritmos de llave pública

• Todos los usuarios tienen una llave pública y una privada

• Si alguien envía un mensaje, lo cifra con tu llave pública y sólo se descifra con la clave secreta

• La seguridad depende de la confidencialidad de la llave secreta

• Se basan en funciones matemáticas complejas como los logaritmos discretos y curvas elípticas

24

Algoritmos de llave pública

Esquema de cifrado.

Digamos que existen un par de llaves que pertenecen al usuario A:

• PK A : Llave pública de A• SK A : Llave secreta de A

Entonces:• B -> A: PK A {mensaje} : Mensaje Cifrado• A : SK A {PKA {mensaje} } : Descifrado

• El mensaje solamente lo puede entender el usuario A

25

EL GAMAL Basado en aritmética exponencial y modular,

puede usarse para cifrado y firmas digitales.

DSA Algoritmo de firmas digitales, puede ser de

cualquier longitud, solamente se permiten claves entre 512 y 1024 bits bajo FIPS

Sistemas de clave pública

26

Pohlig-Hellman Sistema para el intercambio de claves

criptográficas entre partes activas. La clave puede ser de cualquier longitud, dependiendo de la implementación de que se trate.

RSA – Data Security Inc. Puede usarse tanto para cifrar información

como para ser la base de un sistema digital de firmas.

Sistemas de clave pública

27

Algoritmo de llave pública - RSA

• Surge en 1978 gracias a Ron Rivest, Adi Shamir y Leonard Adleman fundadores de RSA Data Security

• Su seguridad radica en la dificultad de factorizar números muy grandes (esp. números primos)- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits

• Proporciona mayor flexibilidad– Se puede utilizar tanto para encriptar como para firmar mensajes

• La firma se hace con la llave privada y se verifica usando la llave pública

28

Funciones criptográficas Hash Aceptan como entrada un conjunto de

datos y genera un resultado de longitud fija único:

No debe ser posible reconstruir la fuente de datos con el resultado compendiado

El resultado debe parecer un conjunto aleatorio de datos para que al agregarlos a los datos cifrados no se pueda determinar donde terminan y donde inicia la firma digital

29

Algoritmo Hash MDn (2 o 5) Calculan una suma de verificación

(checksum) criptográfica de longitud fija de un mensaje de entrada de longitud arbitraria

Operan en partes de mensaje de 512 bits con transformaciones complejas

Para la firma se usa RSA sobre el resultado de la Checksum

30

Funciones criptográficas Hash SNERFU N-HASH

MD2, MD4, MD5 – Message Digest Algorithm

SHA – Secure Hash Algorithm

RIPE – MD HAVAL

31

Sistemas de seguridad completos PGP – Pretty Good Privacy (Phil

Zimmerman) opera en la capa de aplicación

Encriptación y autenticación para correo electrónico

Usa una llave pública certificada por alguien

PGP puede utilizar diferentes algoritmos de encriptación

32

Sistemas de seguridad completos El protocolo IPSEC opera a nivel de capa

de red

Seguridad de nivel capa de transporte – HTTPS Usa un puerto seguro de TCP (443)

Otros protocolos de capa de transporte son SSL y TLS, proporcionan privacidad, integridad y autenticación

33

Protocolo de capa de red

SSL – Secure Socket Layer (Netscape)

• Cifra los datos con clave privada RC4 o IDEA y la clave de sesión de RC4 o IDEA mediante RSA de clave pública

• La clave de sesión es la que se utiliza para cifrar los datos que vienen o van al servidor seguro, se genera una clave distinta por transacción

• Además proporciona autenticación de servidores, integridad de mensajes y de conexiones TCP/IP

34


SSL – Secure Socket Layer (Netscape) •¨Cuando el cliente pide una comunicación

segura, el servidor abre un puerto cifrado gestionado por SSL:

• Fase Hola – acuerdo sobre los algoritmos a usar

• Fase Intercambio de claves, generando la maestra

• Fase de producción de clave de sesión para cifrar

• Fase de verificación del servidor al usar RSA• Fase de autenticación del cliente• Fase de fin para iniciar el intercambio de inf.

35


SSL – Secure Socket Layer (Netscape) •¨Se sabe que el servidor es seguro si en

Netscape aparece una llave o un candado si se usa Explorer

• http aparece ahora como httpa

• Sólo protege transacciones entre dos puntos: servidor Web y navegador del cliente o emisor de tarjeta

• No protege al comprador del uso fraudulento de su tarjeta de crédito

• Los vendores corren el riesgo de que les sea proporcionado un número de tarjeta no autorizada

36

Protocolo Secure Elecronic Transaction – (SET) Producto de la alianza IBM, Microsoft,

Netscape, Visa y Mastercard No es adecuado para micropagos (< US$10) Garantiza la autenticación de todas las

partes: cliente, vendedor, bancos emisor y adquiriente

Alta confidencialidad, el vendedor no tiene acceso al número de tarjeta y el banco no accesa los pedidos

Permite la gestión de la actividad comercial, registros, autorizaciones y liquidaciones

37

Protocolo Secure Elecronic Transaction – (SET) Limitantes

Lento desarrollo de software de monedero y POST (punto de venta)

No hay compatibilidad completa de los productos que maneja SET

Exige rígidas jerarquias de certificación, diferentes para cada tarjeta, lo cual es engorroso

El costo de su implementación es elevada

39

Sistemas de certificación Se autentifica a los clientes que desean

acceder a servidores

Los procedimientos se iniciaron en el MIT con Kerberos y ahora se tiene el estándar X.509

La verificación la hace un tercero “servidor de certificación”. Tanto el cliente, como el servidor y el certificador usan encriptación

40

Certificado digital

La empresa mas importante a nivel mundial para la expedicion de firma o certificado digital es:

http://www.verisign.com/client/enrollment/index.html

Costo del certificado:

• 60 Días Gratis.• $14.95 por Año.

41

Certificado digital

42

Proceso de Certificación

El proceso de certificación incluye servicios de registro, "naming", autenticación, emisión, revocación y suspensión de los certificados.

VeriSign ofrece tres niveles de servicios de certificación de acuerdo a las necesidades del usuario.

43

Certificado digital Clase 1

Son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign.

No autentican la identidad del usuario. Son utilizados fundamentalmente para Web Browsing y E-mail, afianzando la seguridad de sus entornos. No son para uso comercial.

44


Son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida.

Es utilizado para realizar comunicaciones vía E-mail; transacciones comerciales de bajo riesgo, validación de software y suscripciones on-line.

45


Son emitidos a personas físicas y organizaciones públicas y privadas.

En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante una LRA o un notario.

46


En el caso de organizaciones asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes.

Son utilizados para determinadas aplicaciones de comercio electrónico como ‘Electronic banking' y Electronic Data Interchange (EDI).

48

Firma electrónica

Por Firma Electrónica se entiende "aquel conjunto de datos en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.”

49

Firma electrónica avanzada

Permite la identificación del signatario y ha sido creada por medios que este mantiene bajo su exclusivo control, vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos.

Tiene iguales efectos jurídicos que en la firma manuscrita.

50

Certificado digital

Certificado de Navegador, Intranets/Extranets. Este tipo de certificados permiten firmar digitalmente los documentos, garantizando la autenticidad y el no repudio de los mismos.

Certificado de Servidor Seguro. Garantizan la identidad del servidor y posibilitan las comunicaciones seguras y privadas con clientes, socios, proveedores u otras personas.

Certificado de firma de Software. Garantizan la identidad del fabricante y la integridad del contenido.

52

Seguridad en la Web La WWW es un sistema para intercambiar

información sobre internet.

Se construye de servidores web que ponen la información disponible en la red.

Los examinadores de la web se usan para tener acceso a información almacenada en los servidores y para desplegarla en la pantalla del usuario.

53

Servidor seguro cont…

Al construir un servidor web, se debe estar seguro de: Los usuarios no deben ser capaces de

ejecutar comandos arbitrarios o interactuar con el intérprete de comandos en el servidor.

Los guiones CGI que se ejecutan deben desempeñarse ya sea haciendo la función esperada o devolviendo un mensaje de error.

Un agresor no debería ser capaz de usar el servidor para ataques posteriores.

54

Servidor seguro cont…

Los servidores usan tres técnicas principales para controlar el acceso a los archivos y directorios: Restringir el acceso a las direcciones IP,

subredes o dominios DNS particulares.

Restringir el acceso a usuarios en particular.

Restringir el acceso de usuarios que presenten claves públicas firmadas por una autoridad de certificación apropiada.

55

Desarrollo de un sitio oculto El sitio oculto puede pasar a producción y

contiene información sobre el producto que puede servir en caso de fallas

En caso de problemas es mejor avisarle a todo mundo que se está consciente del problema y que se toma la responsabilidad del caso

De no hacerlo, los usuarios descontentos pueden hacer una campaña negativa de publicidad en línea

56

Desarrollo de un sitio oculto En 1994 un matemático descubrió que el chip

Pentium no hacía cálculos correctos de punto flotante en ciertas condiciones, al avisarle a Intel no hizo caso, trataron de esconder el problema

Hubo una gran protesta por Internet, por los medios, los usuarios pedían reemplazo de chips. Intel reemplazó los chips por una nueva serie. (Ford en llamas)

Ahora tiene una base de datos on line de errores detectados. El Pentium II se puede corregir por soft.

57

Experiencias on line Jugo de manzana Odwalla con la bacteria E-coli

mata a bebé. Se retiraron jugos en 4,500 comercios, se instaló una página para información y consulta. Al final 90% de los clientes seguían prefiriendo la marca

Lo mismo sucedió con Swiss Air en su accidente en Canada, cuando la empresa dio toda la información

En el caso del descarrilamiento del tren de alta velocidad de Alemania de la Deutche Bundesbahn, no dio ninguna información y perdió mucha credibilidad

58

Servicios de reclamos en línea Complain.com, Fight Back y Complain

To Us, cobran una tarifa por escribir una carta y dar seguimiento de quejas

59

Administración de riesgo Auditorias regulares de riesgo Documentar planes de emergencia

Monitoreo de palabras clave

Manual de crisis accesible en Intranet Sitios ocultos completos y actualizados

Simulacros de emergencia Información a los medios y usuarios en caso

de emergencia

60

Planeación estratégica para casos de emergencia Desarrollar un sitio oculto con información

acerca de medidas de seguridad, debe incluir formas de contactar a expertos y debe reemplazar al sitio normal en menos de una hora, con declaraciones de la alta dirección

El sitio debe estar en CD o ZIP para llevarlo a un ISP y publicarlo, avisando por los medios al público

Hay sitios que monitorean la red en caso de problemas, “The informant” y “Mind It” (perro guardian)

62

Seguridad Computacional

Seguridad Informática Disciplina que busca proteger la información ante

eventos adversos

Se basa en 3 principios básicos:

ConfidencialidadIntegridadDisponibilidad

63

Seguridad Computacional

Confidencialidad– La información sólo es revelada a los

individuos o procesos autorizados

Integridad– La información no debe ser modificada de

manera accidental o maliciosa

• Disponibilidad– Los recursos de información son accesibles en

todo momento.

64

Los 10 mandamientos del usuario de la red

La utilización de los antivirus es importante, se debe ejecutar por lo menos una vez al día

En caso de que su equipo quede desatendido por alguna razón, debe de colocar el Protector de pantalla protegido con contraseña.

65


Si maneja información secreta lo mejor es mantenerla encriptada en su disco duro y en el servidor. Usar PGP(Pretty Good Privacy). No olvide asegurar su llave privada.

Para compartir información en la red, asegúrese de colocar los permisos estrictamente necesarios a los usuarios adecuados y por el mínimo tiempo posible.

66


Absténgase de instalar programas no autorizados en la red.

Procure que su equipo se encuentre en optimas condiciones, buena ventilación, mantenimiento de hardware y software por el personal autorizado de la empresa.

67


Recuerde realizar copias de respaldo actualizadas de la información vital y colocarla en un lugar interno y externo seguro bajo llave y encriptada.

Mantener la información de la empresa en la misma y no transportarla a otros sitios diferentes.

Asegurarse de seguir cada uno de los 10 mandamientos.

68

Los 10 mandamientos del administrador de la red

Siga, respalde y audite cada uno de Los 10 Mandamientos del usuario de la Red.

Establezca políticas de seguridad apropiadas para la red computacional de la empresa,

Implemente sistemas de seguridad para la red en cada uno de los servidores de la empresa utilizando Firewalls, proxy o filtros.

69


Responda inmediatamente a cualquier sugerencia o queja de un usuario con respecto a la seguridad de su información.

Procure no sobrecargar los servidores asignándoles muchos servicios, recuerde que esto baja el rendimiento y atenta contra la seguridad y la constancia de los servicios.

70


El manejo de los puertos es fundamental a la hora de auditar posibles huecos de seguridad.

Implementar estrategias para la creación de copias de respaldo.

Debe leer diariamente los logs ( Archivo de texto que muestra el funcionamiento y la utilización del equipo)

71


El acceso al centro de computo donde se encuentran los servidores de la empresa, debe ser completamente restringido y auditado a cada instante

Verificar la seguridad, conviértase en el Hacker de su empresa.

1 parte iia- seguridad en los negocios electrónicos

Documents