Filtros anti hoax

Abril 27, 2007

La semana pasada recibí un correo de una colaboradora de este blog. El correo me advertía de que tenía que tener cuidado por si me encontraba algún móvil en la calle porque ETA estaba poniendo explosivos que me podían arrancar la mano. El caso es que venía con una carta escaneada y firmada por alguien del Ministerio del Interior y parecía bastante real.

Como no me suelo creer este tipo de cosas busqué en google y rápidamente me encontré con que era un hoax que ya llevaba circulando más de 6 años por la red.

El caso es que me puse a pensar si no existía ningún filtro automático que detecte este tipo de mensajes. La verdad es que no he podido dedicarle mucho tiempo a buscarlo, pero en una primera aproximación no he encontrado nada. Lo cierto es que estaría muy bien que existiera un filtro que marcara automáticamente esos mensajes como hoax. De hecho no sé si el filtro anti-spam de Gmail detecta este tipo de mensajes, pero estaría bien. Habrá que sugerírselo.

2 comentarios | Seguridad | Permalink
Publicado por lucas

Seguridad en la red

Marzo 6, 2007

A lo largo de estas semanas se han publicado una serie de post dedicados a la seguridad de la red.

Entre ellos se encuentran algunos dedicados a las propiedades que debe mantener todo sistema de información:

Y finalmente una relación de ataques típicos a la seguridad y unos consejos generales dirigidos al usuariopara combatirlos.

No hay comentarios » | Seguridad | Permalink
Publicado por ildapena

Seguridad (VI): Consejos

Marzo 6, 2007

He encontrado una portal dedicado a la seguridad donde se recoge otras explicaciones a los distintos conceptos de seguridad que se han ido publicando a lo largo de estas semanas.

Se llama criptonomicon.

Uno de los apartados interesantes es el dedicado a consejos que debe tener un usuario. Aqui os dejo el enlace.

Mañana inicaremos una nueva serie de publicaciones.

No hay comentarios » | Seguridad | Permalink
Publicado por ildapena

Seguridad (V): Integridad

Marzo 6, 2007

La integridad de datos es el mecanismo que consiste en la obtención de una cadena comprimida de los datos a transmitir, llamada generalmente valor de comprobación de integridad (Integrity Check Value o ICV). Este mensaje se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y compara el resultado obtenido con el que le llega, para verificar que los datos no han sido modificados.

Funciones hash

Para formar esa cadena comprimida se utilizan las funciones hash. Una función resumen o de hash H es una transformación que, tomando como entrada una cadena x de bits de longitud variable, produce como salida una cadena h de bits de longitud fija (h = H(x)). 

Opcionalmente se puede cifrar el resumen obte nido con una clave secreta. En este caso, se habla de funciones MAC (message authentication code).

Requisitos de las funciones hash

Para que una función de este tipo pueda usarse con propósitos criptográficos, se debe cumplir una serie de requisitos:

  1. la entrada puede tener cualquier longitud. 
  2. la salida debe ser de longitud fija, independientemente de cual fuera la longitud de la entrada. 
  3. para cualquier entrada, su resumen (o valor de hash) debe ser sencillo de calcular.  
  4. la función resumen debe ser de un “único sentido”. Resistencia a la preimagen o cálculo de la inversa complejo
  5. Dado un mensaje x, es computacionalmente imposible encontrar otro x’ / H(x’) = H(x). Lo que se conoce como Resistencia a la 2º imagen o como resistencia débil a las colisiones.
  6. Dado el resumen H(x) es computacionalmente imposible encontrar otro valor x’≠ x / H(x’) = H(x). Lo que se conoce como resistencia fuerte a las colisiones.

Ejemplos de funciones resumen usadas en criptografía son MD2, MD4, MD5, RIPEMD o SHA-1.

Una de las aplicaciones más extendidas de las funciones hash es la firma electronica/digital.

Este mecanismo se basa en la criptografía asimetrica, esto es, el uso de dos claves (privada y publica). La firma se obtiene mediante el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad. Juega un papel esencial en el servicio de no repudio en origen. Ademas de garantizar la integridad del mensaje y la autenticación.

1 comentario | Seguridad | Permalink
Publicado por ildapena

Seguridad (IV): Confidencialidad

Febrero 28, 2007

Una vez que se ha analizado las diversas mecanismos de garantizar la autenticación de una transmisión, pasemos a escudriñar las opciones que nos presta la criptografía para lograr la confidencialidad, esto es, evitar que una tercera persona no tenga acceso a la información intercambiada.

Fundamentalmente se puede lograr mediante 2 mecanimos:

  1. criptografía simetrica
  2. sobre digital

La criptografia simetrica consiste en el cifrado mediante una única clave de la información que se desea intercambiar. Esta clave ha de ser compartida entre emisor y receptor, por lo que se requerirá de un canal seguro para su establecimiento. De este modo, sólo aquel que tenga la clave de cifrado podrá descifrar el documento y acceder a su contenido.

El sobre digital es algo más refinado, ya que combina criptografía simetrica y asimetrica. Además requiere el uso de certificado digital. Permite resolver la necesidad de un canal seguro para el intercambio de la clave simetrica. En este caso, el documento se cifra con la clave secreta (simetrica) la cual es, a su vez, cifrada con la clave publica del destinatario, creandose así el sobre digital. De esta manera el destinatario es el único que tiene acceso a la clave secreta. Para ello deberá descifrar “el sobre” con su clave privada y una vez que tiene la clave secreta puede acceder al documento enviado.

Resulta versátil para envíos multidestino ya que se cifra el documento con la clave simétrica una sola vez y la clave simétrica se cifra con la clave pública de cada uno de los destinatarios y se anexan todas al documento.

Entre las recomendaciones a tener en cuenta para garantizar la confidencialidad se encuentran:

  • los algoritmos de cifrado simetrico utilicen una longitud mínima de claves de 128 bits, y se utilizarán preferentemente 3DES, IDEA, RC4, RC5, AES, o equivalentes. 
  • Para el establecimiento de sesión web cifrada se debe utilizar el protocolo SSL v3/TLS v1 .
  • Utilización de IPSec para comunicación autenticada y cifrada entre encaminadores, cortafuegos y en la combinación de ambos.
  • En correo electrónico seguro se debe utilizar el estándar S/MIME v2 o superior.
  • En sesiones de administración remota se debe utilizar SSH.
  • Cuando el mecanismo de protección de la confidencialidad en las comunicaciones utilice algoritmos de clave pública, además de los de clave simétrica, el par de claves complementarias, pública y privada han de ser independientes de los utilizados para autenticidad. Serán de RSA-1024 o equivalente.

1 comentario | Seguridad | Permalink
Publicado por ildapena

« Entradas anteriores