Filtros anti hoax

abril 27, 2007

La semana pasada recibí un correo de una colaboradora de este blog. El correo me advertía de que tenía que tener cuidado por si me encontraba algún móvil en la calle porque ETA estaba poniendo explosivos que me podían arrancar la mano. El caso es que venía con una carta escaneada y firmada por alguien del Ministerio del Interior y parecía bastante real.

Como no me suelo creer este tipo de cosas busqué en google y rápidamente me encontré con que era un hoax que ya llevaba circulando más de 6 años por la red.

El caso es que me puse a pensar si no existía ningún filtro automático que detecte este tipo de mensajes. La verdad es que no he podido dedicarle mucho tiempo a buscarlo, pero en una primera aproximación no he encontrado nada. Lo cierto es que estaría muy bien que existiera un filtro que marcara automáticamente esos mensajes como hoax. De hecho no sé si el filtro anti-spam de Gmail detecta este tipo de mensajes, pero estaría bien. Habrá que sugerírselo.


Seguridad en la red

marzo 6, 2007

A lo largo de estas semanas se han publicado una serie de post dedicados a la seguridad de la red.

Entre ellos se encuentran algunos dedicados a las propiedades que debe mantener todo sistema de información:

Y finalmente una relación de ataques típicos a la seguridad y unos consejos generales dirigidos al usuariopara combatirlos.


Seguridad (VI): Consejos

marzo 6, 2007

He encontrado una portal dedicado a la seguridad donde se recoge otras explicaciones a los distintos conceptos de seguridad que se han ido publicando a lo largo de estas semanas.

Se llama criptonomicon.

Uno de los apartados interesantes es el dedicado a consejos que debe tener un usuario. Aqui os dejo el enlace.

Mañana inicaremos una nueva serie de publicaciones.


Seguridad (V): Integridad

marzo 6, 2007

La integridad de datos es el mecanismo que consiste en la obtención de una cadena comprimida de los datos a transmitir, llamada generalmente valor de comprobación de integridad (Integrity Check Value o ICV). Este mensaje se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y compara el resultado obtenido con el que le llega, para verificar que los datos no han sido modificados.

Funciones hash

Para formar esa cadena comprimida se utilizan las funciones hash. Una función resumen o de hash H es una transformación que, tomando como entrada una cadena x de bits de longitud variable, produce como salida una cadena h de bits de longitud fija (h = H(x)). 

Opcionalmente se puede cifrar el resumen obte nido con una clave secreta. En este caso, se habla de funciones MAC (message authentication code).

Requisitos de las funciones hash

Para que una función de este tipo pueda usarse con propósitos criptográficos, se debe cumplir una serie de requisitos:

  1. la entrada puede tener cualquier longitud. 
  2. la salida debe ser de longitud fija, independientemente de cual fuera la longitud de la entrada. 
  3. para cualquier entrada, su resumen (o valor de hash) debe ser sencillo de calcular.  
  4. la función resumen debe ser de un “único sentido”. Resistencia a la preimagen o cálculo de la inversa complejo
  5. Dado un mensaje x, es computacionalmente imposible encontrar otro x’ / H(x’) = H(x). Lo que se conoce como Resistencia a la 2º imagen o como resistencia débil a las colisiones.
  6. Dado el resumen H(x) es computacionalmente imposible encontrar otro valor x’≠ x / H(x’) = H(x). Lo que se conoce como resistencia fuerte a las colisiones.

Ejemplos de funciones resumen usadas en criptografía son MD2, MD4, MD5, RIPEMD o SHA-1.

Una de las aplicaciones más extendidas de las funciones hash es la firma electronica/digital.

Este mecanismo se basa en la criptografía asimetrica, esto es, el uso de dos claves (privada y publica). La firma se obtiene mediante el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad. Juega un papel esencial en el servicio de no repudio en origen. Ademas de garantizar la integridad del mensaje y la autenticación.


Seguridad (IV): Confidencialidad

febrero 28, 2007

Una vez que se ha analizado las diversas mecanismos de garantizar la autenticación de una transmisión, pasemos a escudriñar las opciones que nos presta la criptografía para lograr la confidencialidad, esto es, evitar que una tercera persona no tenga acceso a la información intercambiada.

Fundamentalmente se puede lograr mediante 2 mecanimos:

  1. criptografía simetrica
  2. sobre digital

La criptografia simetrica consiste en el cifrado mediante una única clave de la información que se desea intercambiar. Esta clave ha de ser compartida entre emisor y receptor, por lo que se requerirá de un canal seguro para su establecimiento. De este modo, sólo aquel que tenga la clave de cifrado podrá descifrar el documento y acceder a su contenido.

El sobre digital es algo más refinado, ya que combina criptografía simetrica y asimetrica. Además requiere el uso de certificado digital. Permite resolver la necesidad de un canal seguro para el intercambio de la clave simetrica. En este caso, el documento se cifra con la clave secreta (simetrica) la cual es, a su vez, cifrada con la clave publica del destinatario, creandose así el sobre digital. De esta manera el destinatario es el único que tiene acceso a la clave secreta. Para ello deberá descifrar “el sobre” con su clave privada y una vez que tiene la clave secreta puede acceder al documento enviado.

Resulta versátil para envíos multidestino ya que se cifra el documento con la clave simétrica una sola vez y la clave simétrica se cifra con la clave pública de cada uno de los destinatarios y se anexan todas al documento.

Entre las recomendaciones a tener en cuenta para garantizar la confidencialidad se encuentran:

  • los algoritmos de cifrado simetrico utilicen una longitud mínima de claves de 128 bits, y se utilizarán preferentemente 3DES, IDEA, RC4, RC5, AES, o equivalentes. 
  • Para el establecimiento de sesión web cifrada se debe utilizar el protocolo SSL v3/TLS v1 .
  • Utilización de IPSec para comunicación autenticada y cifrada entre encaminadores, cortafuegos y en la combinación de ambos.
  • En correo electrónico seguro se debe utilizar el estándar S/MIME v2 o superior.
  • En sesiones de administración remota se debe utilizar SSH.
  • Cuando el mecanismo de protección de la confidencialidad en las comunicaciones utilice algoritmos de clave pública, además de los de clave simétrica, el par de claves complementarias, pública y privada han de ser independientes de los utilizados para autenticidad. Serán de RSA-1024 o equivalente.

Seguridad (II): Relación de ataques a la red

febrero 18, 2007

Continuando la serie de post dedicados a la seguridad de nuestros equipos y redes, a continuación se presenta una relación de los posibles ataques que puede sufrir nuestra red. No pretende recoger todos los ataques (esto sería un trabajo interminable) pero sí los más importantes.

  • Malware
    Nombre generico con el que se pretende englobar todos los posibles ataques que puede sufrir nuestro sistema. (http://en.wikipedia.org/wiki/Category:Malware)
  • Virus
    Código diseñado para introducirse en un programa, modificar o destruir datos. Se copia automáticamente a otros programas para seguir su ciclo de vida. Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos ejecutables.
  • Gusanos
    Virus que se activa y transmite a través de la red. Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM. Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la red como ya estamos acostumbrados.
  • Caballos de Troya
    Virus que parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y expandiéndose. Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala en un programa.
  • Spam
    El spam o correo no deseado, si bien no lo podemos  considerar como un ataque propiamente dicho, lo cierto es que provoca hoy en día pérdidas muy importantes en empresas y organismos.
  • Hoax
    Mensajes con falsas alarmas sobre virus informáticos que se distribuyen en cadena a través del correo electrónico. Normalmente, estas cadenas van involucrando cada vez a un mayor número de usuarios, debido a que el mensaje sugiere al receptor reenviar la información a todas las direcciones de correo posibles, a fin de que se haga extensiva la supuesta advertencia de un nuevo virus.
  • Virus de Ingeniería Social
    Estas técnicas consisten en utilizar un reclamo para atraer la atención del usuario y conseguir que abra un archivo que acaba de recibir y que, en realidad, contiene un código malicioso.
  • Bombas lógicas
    Malware que se activa bajo ciertas condiciones (tiempo, existencia de ficheros o procesos, numero de ejecuciones). Pueden permanecer activas durante mucho tiempo sin hacer nada perjudicial, lo que puede complicar su detección.
  • Puertas traseras
    Mecanismo para circunvalar mecanismos de autenticación. Frecuentemente utilizado por programadores durante el desarrollo de aplicaciones.
  • Sniffers
    Interceptacion o Captura de datos en transito o en proceso por parte de usuarios no autorizados.
  • Spyware
    Programa que se encarga de recuperar informacion personal del usuario sin su consentimiento. A diferencia de los gusanos o virus no se auto-replican. Suelen aprovechar equipos que ya están infectados. (http://en.wikipedia.org/wiki/Spyware)
  • Spoofing
    Suplantación de direcciones. Se envia a uno o varios router información trucada sobre actualizacion de tablas de rutas. Con ello el atacante puede redirigir a su direccion los paquetes que lleguen al router.
  • Superzapping
    Procedimientos o herramientas que evitan ciertos controles del sistema operativo, para ser utilizadas en caso de necesidad.
  • Técnicas salami
    Desvío de pequeñas cantidades de recursos de una gran fuente. Por ejemplo, redondeando las cantidades.
  • Denegación de servicio.
    Se trata de llevar a la red a un estado en el que ya no se puedan procesar adecuadamente los datos de usuarios legítimos. Hay dos modos atacando los routers o saturando la red de trafico extraño.
  • Escaneos de puertos
    Determinación del estado de todos o algunos puertos en uno o varios sistemas remotos.
  • Cross Site Scripting (XSS)
    Vulnerabilidad propia de las aplicaciones web en las que se usa Javascript. Desde una página web utilizando scripts se accede a la información de otra.
  • SQL Injection
    Vulnerabilidad relacionada con la capa de datos de una aplicación cuando se envía desde el formulario una sentencia SQL encubierta.
  • BotNet
    Se refiere al conjunto de equipos, que sin saberlo, son controlados y utilizados por otro para llevar a cabo ataques de seguridad contra otras máquinas/sistemas. Por ejemplo, se utilizan para el envio masivo de spam. (http://en.wikipedia.org/wiki/Botnet)

Seguridad (I): garantías

febrero 16, 2007

Dada la importancia de la seguridad, me propongo una serie de post centrados en este tema para conocer mejor tanto los ataques cómo los mecanismos de seguridad que se pueden adoptar.

Así en este primer post, y para empezar se comenzarán definiendo cuales son las propiedades o garantías de seguridad que debe mantenerse en todos sistema de información que se precie.

Por sus iniciales las conocereis tambien CIDAN (no confundir con el jugador de futbol, por favor)

  • Confidencialidad: garantizar que la información transmitida no es accesible o visualizable por terceros.
  • Integridad: asegurar que los datos enviados coinciden con los recibidos y éstos no han sido modificados en la comunicación.
  • Disponibilidad: garantizar que el servicio es accesible en el tiempo.
  • Autenticidad: comprobar que el usuario es quién dice ser.
  • No repudio tanto en origen y destino: garantizar que los datos enviados y/o recibidos han llegado a su destino y que el destinatario no lo niegue.