Comercio Electrónico y Seguridad: algunos ataques o “Swimming with Sharks”
Plan <ul><li>Mundo Espejo </li></ul><ul><li>Hombre en el camino </li></ul><ul><li>Ataques contra los algoritmos de encript...
Mundos Espejo <ul><li>Utilizando: </li></ul><ul><ul><li>una combinación de rescritura de URL </li></ul></ul><ul><ul><li>te...
Mundos Espejo:para qué les sirve? <ul><li>Atrpar a los usuarios monitoreando todas las páginas que solicitan </li></ul><ul...
Mundos Espejo: Atraer al usuario <ul><li>El URL puede incluirse en unárea publica donde quizá será utilizado </li></ul><ul...
Mundos Espejo <ul><li>Solución: poner atención al certificado SSL y salir </li></ul><ul><li>Checar la veracidad del sitio ...
Hombre en el camino <ul><li>4 funciones de SSL: </li></ul><ul><ul><li>Autenticación y norepudiación del servidor mediante ...
Hombre en el camino <ul><li>SSL no protege contra los ataques de hombre en el camino cuando se utiliza en modo solo encrip...
Ataques contra los algoritmos de encriptación <ul><li>Existen 3 tipos de ataques : </li></ul><ul><ul><li>Ataques de búsque...
Criptoanálisis <ul><li>Es posible vencer a los algoritmos de encriptación mediante una combinación de matemáticas compolej...
Criptoanálisis <ul><li>Ataque de texto claro conocido: se tiene el texto claro y el texto encriptado, se puede descubrir l...
Ataques basados en el sistema <ul><li>Atacar al sistema criptográfico que utiliza el algoritmo criptográfico sin atacar al...
Ataques basados en agentes <ul><li>Un agente móvil es un proceso que puede viajar a hosts remotos de manera autonoma, cons...
Ataques basados en agentes <ul><li>Es la nueva moda en transacciones de comercio electrónico: shopping cart, buscador del ...
Próxima SlideShare
Cargando en…5
×

Seguridad E Comerce

337 visualizaciones

Publicado el

Publicado en: Tecnología, Viajes
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
337
En SlideShare
0
De insertados
0
Número de insertados
37
Acciones
Compartido
0
Descargas
14
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad E Comerce

  1. 1. Comercio Electrónico y Seguridad: algunos ataques o “Swimming with Sharks”
  2. 2. Plan <ul><li>Mundo Espejo </li></ul><ul><li>Hombre en el camino </li></ul><ul><li>Ataques contra los algoritmos de encriptación </li></ul><ul><li>Ataques basados en agentes </li></ul>
  3. 3. Mundos Espejo <ul><li>Utilizando: </li></ul><ul><ul><li>una combinación de rescritura de URL </li></ul></ul><ul><ul><li>tecnicas de sustitución de JavaScript </li></ul></ul><ul><ul><li>nombres largos en los servidores almacenamientos temporales </li></ul></ul><ul><li>se puede crear un sitio Web donde está replicado otro sitio. </li></ul>
  4. 4. Mundos Espejo:para qué les sirve? <ul><li>Atrpar a los usuarios monitoreando todas las páginas que solicitan </li></ul><ul><li>atrapando claves de acceso </li></ul><ul><li>llevando a cabo ataques de hombre en medio en conexiones encriptadas mediante SSL </li></ul>
  5. 5. Mundos Espejo: Atraer al usuario <ul><li>El URL puede incluirse en unárea publica donde quizá será utilizado </li></ul><ul><li>Podría ser agregado a un motor de búsqueda </li></ul>
  6. 6. Mundos Espejo <ul><li>Solución: poner atención al certificado SSL y salir </li></ul><ul><li>Checar la veracidad del sitio para cada transacción comercial y cada vez que se quiere descargar un archivo. </li></ul>
  7. 7. Hombre en el camino <ul><li>4 funciones de SSL: </li></ul><ul><ul><li>Autenticación y norepudiación del servidor mediante firmas digitales </li></ul></ul><ul><ul><li>Autenticación y no repudiación del cliente mediante firmas digitales </li></ul></ul><ul><ul><li>Confidencialidad de los datos mediante encripción </li></ul></ul><ul><ul><li>Integridad de los datos mediante encripción </li></ul></ul>
  8. 8. Hombre en el camino <ul><li>SSL no protege contra los ataques de hombre en el camino cuando se utiliza en modo solo encriptación, cuando hace falta para el servidor tener firma digital. </li></ul><ul><li>En este caso ni el cliente ni el servidor se pueden autentificar </li></ul><ul><li>El ataque consiste a ponerse en medio y aparentar ser un servidor ante el usuario, y el usuario ante el servidor. </li></ul>
  9. 9. Ataques contra los algoritmos de encriptación <ul><li>Existen 3 tipos de ataques : </li></ul><ul><ul><li>Ataques de búsqueda de llaves o fuerza bruta </li></ul></ul><ul><ul><li>Criptoanálisis </li></ul></ul><ul><ul><li>Ataques basados en el sistema </li></ul></ul>
  10. 10. Criptoanálisis <ul><li>Es posible vencer a los algoritmos de encriptación mediante una combinación de matemáticas compolejas y poder de computo </li></ul><ul><li>No es necesario tener la llave </li></ul>
  11. 11. Criptoanálisis <ul><li>Ataque de texto claro conocido: se tiene el texto claro y el texto encriptado, se puede descubrir la llave </li></ul><ul><li>Ataque de texto claro elegido: se pueden elegir bloques selectos de datos y checar el resultado encriptadopara analizarlo y descubrir la llave </li></ul>
  12. 12. Ataques basados en el sistema <ul><li>Atacar al sistema criptográfico que utiliza el algoritmo criptográfico sin atacar al algoritmo en si </li></ul>
  13. 13. Ataques basados en agentes <ul><li>Un agente móvil es un proceso que puede viajar a hosts remotos de manera autonoma, conservando su contexto como proceso </li></ul><ul><li>La misma pieza de codigo móvil se puede ejecutar sin problema sobre varias plataformas </li></ul><ul><li>Sistema en Java y Javascript son tan accesibles que un se puede pedir y correr código móvil en la máquina de un usuario Web sin que se de cuenta </li></ul>
  14. 14. Ataques basados en agentes <ul><li>Es la nueva moda en transacciones de comercio electrónico: shopping cart, buscador del mejor precio, etc … </li></ul><ul><li>Un problema: disponibilidad de la info del agente al host </li></ul><ul><li>El host puede entonces modificar esa información a su ventaja </li></ul><ul><li>ejemplo del sistema de reservación en linea </li></ul>

×