1. Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos
confidenciales que se mandan a través de la red. Las únicas vías por las que se
intercambian estos documentos son el correo electrónico y el servicio de FTP.
1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.
a) Analiza la idoneidad de esta vía para intercambiar información confidencial.
No es seguro ya que son plataformas de Internet y habría que utilizar un
navegador para acceder a ellos, además de que el tráfico de contenido no es lo
suficientemente seguro.
b) Investiga alternativas a esta solución.
Otra alternativa sería añadir un encriptado SSH para poder convertirlo a de FTP
a SFTP para hacerlo más seguro. O incluso instalar en nuestro equipo Outlook,
ya que permite recibir y enviar correos sin necesidad de acceder a través del
navegador.
2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron
tanto el servidor como el cliente de Internet y se instalaron con la configuración básica.
En la empresa tienen equipos ejecutándose tanto en Windows como en Linux.
Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con
esta aplicación. Para ello:
a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala
cada uno en un equipo. El servidor irá sobre una máquina Windows y el
cliente sobre una máquina Linux (Ubuntu 12.04).
Crea en el servidor un usuario con contraseña.
Comprueba que cliente y servidor funcionan, accediendo desde el cliente
Linux al servidor en la máquina Windows y transfiriendo algún fichero.
b) Descarga la aplicación Wireshark de la página oficial e instálalo en el
servidor. Inicia una captura de tráfico.
Conéctate al servidor para realizar la transferencia de un fichero de texto.
Termina la captura y localiza los paquetes donde va el usuario y la contraseña
de acceso al servidor FTP y algunos paquetes del contenido.
Analiza una primera solución para garantizar la seguridad del intercambio de ficheros,
realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado
asimétrico en Linux) necesarios para cifrar el fichero que se va a transmitir
vía FTP (no es necesario realizar todo el caso práctico).
Instalamos la herramienta gpg con el comando que se muestra en la Ilustración
1, además de elegir el tipo de clave que queremos.
2. Ilustración 1
Elegimos el tamaño de la clave del algoritmo tal y como se muestra en la
Ilustración 2
Ilustración 2
Ahora, elegimos el periodo de validez de la contraseña tal y como se muestra
en la Ilustración 3
Ilustración 3
A continuación nos pedirá nuestros datos para poder identificar la clave. Tal y
como se muestra en la Ilustración 4
Ilustración 4
Nos pedirá la clave para cifrar el contenido del fichero tal y como aparece en la
Ilustración 5.
3. Ilustración 5
Nos preguntará si queremos cambiar el nombre, el comentario, la dirección o
si queremos seguir con el proceso o cancelarlo como aparece en la Ilustración
6.
Ilustración 6
Una vez terminado el proceso, tendremos nuestra clave creada. Véase la
Ilustración 7.
Ilustración 7
Hacemos ls –l gnupg tal y como aparece en la Ilustración 8 y veremos varios
archivos. Uno de ellos se ha creado por la clave que es el fichero pubring.gpg
que contiene las claves públicas y el documento secring.gpg contiene las
privadas (ambos ficheros están cifrados) Utilizaremos el comando de la
Ilustración 9 que nos mostrará los contenidos imprimibles del fichero.
4. Ilustración 8
Ilustración 9
A continuación, utilizaremos el comando que aparece en la Ilustración 10 para
obtener la lista de claves.
Ilustración 10
Ahora exportaremos la clave pública a quién quiera mandarnos un mensaje
cifrado. Para ello la sacaremos del llavero con el comando que se muestra en la
Ilustración 11.
5. Ilustración 11
b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia
del fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de
acceso al servidor FTP? ¿Y los paquetes de contenido?
3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de
información vía FTP, de modo que no se puedan identificar en la comunicación (al
conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.
4. Has conseguido que la información se intercambie de forma segura entre cliente y
servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se
descarguen un fichero, puedan acceder a la información del mismo, es necesario que
puedan desencriptarlo. Piensa cómo podrías hacer que solo los usuarios de la
empresa (o los que sean de confianza) puedan acceder al contenido de ficheros
encriptados en el servidor FTP.
Nuevamente te llama tu jefe. Parece que está nervioso y muy inquieto. Te explica que
alguien está tratando de chantajearle con publicar fotos indiscretas de su cuenta de Apple.
Cree que han accedido a su cuenta contestando a las preguntas de seguridad que plantea
Apple cuando se te ha olvidado la contraseña. Las preguntas son las siguientes:
6. 5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema
de recuperación de contraseña mostrado. Para ello haz uso de la información que
aparece sobre él en las redes sociales. Utiliza también herramientas de obtención de
información “oculta” (metadatos), como Foca Free o GeoSetter.
Su sistema de seguridad es vulnerable debido a sus perfiles de las redes sociales como
son Twitter y Facebook, empezaremos por analizar las posibles vulnerabilidades a
través de su perfil de Twitter y acto seguido Facebook:
Twitter: A través de su twitter podemos ver 2 informaciones que resaltan:
Ilustración 12
Ilustración 13
7. En la Ilustración 12 podemos observar una de las dos vulnerabilidades en su
sistema de seguridad, ya que una de las posibles preguntas de seguridad
pueda ser: ¿Qué haces por las mañanas? O ¿Qué desayunas todos los días?
Además de saber desde dónde se hizo ese tweet.
En la Ilustración 13, podemos ver un archivo subido a dropbox, es una foto de
su gato. Ya de por sí, dice el nombre en el tweet, normalmente las preguntas
de seguridad suelen ser: ¿Cuál es tu mascota favorita? ¿Cuál es el nombre de
tu mascota? Además de eso, a través de los metadatos se puede conseguir
dónde, cuándo y con qué cámara se ha sacado esa foto.
Facebook:
Ilustración 14
En esta red social sólo aparece su equipo favorito, es otra de las posibles
vulnerabilidades en su sistema de seguridad, dado que una de las preguntas de
seguridad puede ser: ¿Cuál es tu equipo favorito?
A través de la herramienta GeoSetter, he conseguido averiguar uno de los
metadatos ocultos. Y es la localización (Berlín).
6. Explícale también cómo eliminar los metadatos de un archivo.
Para eliminar los metadatos de un archivo, sólo tendremos que dar con el archivo del
que queremos eliminarlos, botón derecho, propiedades (Ilustración 15). En la pestaña
de detalles, hacemos clic en quitar propiedades e información profesional (Ilustración
16). Seleccionamos la opción quitar las siguientes propiedades de este archivo,
elegimos las que queremos quitar y hacemos clic en aceptar (Ilustración 17).