1. Seguridad y conectividad en Internet
Fernando Tricas Garc´
ıa
Dpto. de Inform´tica e Ingenier´ de Sistemas del Centro Polit´cnico Superior
a ıa e
Universidad de Zaragoza, Espa˜an
http://www.cps.unizar.es/~ftricas/
————————————–
Curso ‘Experto en internet’
Melilla, noviembre de 2009
2. Algunas definiciones
IP
N´mero que identifica a un ordenador cuando se conecta a internet
u
(T´ıpicamente lo vemos en 4 grupos de 3 cifras)
DNS
Domain Name Service. Servicio de nombres de dominios. Para no
tener que recordar la IP habitualmente se asignan nombres a
dichos n´meros.
u
3. M´s definiciones
a
Gateway
Puerta de enlace. Dispositivo que nos conecta con internet.
Router
Enrutador. Dispositivo que establece las conexiones necesarias para
conectar redes.
Ethernet
Est´ndar de conexi´n para redes de ´rea local cableadas.
a o a
4. M´s definiciones
a
WiFi
Wireless Fidelity. Sistema de env´ de datos sin cables que utiliza
ıo
ondas de radio. Alcance de unos cuantos metros.
Bluetooth
Sistema de env´ de datos sin cableas para redes de ´rea personal
ıo a
(pocos metros). Utiliza ondas de radio.
5. Algunas definiciones
ESPASA:
PRIVADO, DA adj: Que se ejecuta a la vista de pocos,
familiar y dom´sticamente, sin formalidad ni ceremonia
e
alguna || Particular y personal de cada uno.
INTIMIDAD: Parte personal´ ısima, com´nmente
u
reservada, de los asuntos, designios, o afecciones de un
sujeto o de una familia.
6. Algunas definiciones
Oxford English Dictionary:
PRIVACY (from private) The state or quality of being private. The
state or condition of being withdrawn from the society of others, or
from public interest; seclusion. || The state or condition of being
alone, undisturbed, or free from public attention, as a matter of
choice or right; freedom from interference or intrusion. Also attrib.
designating that which affords a privacy of this kind. ‘one’s right to
privacy’.
7. Privacidad vs. Seguridad P´blica
u
Algunas objeciones
Existen herramientas para ayudarnos a proteger nuestra
privacidad.
Esas herramientas, ¿no ser´n una ayuda para que gente con
a
pocos escr´pulos cometa sus ‘fechor´ ?
u ıas’
8. Privacidad vs. Seguridad P´blica
u
Pero ...
Tambi´n se puede comprometer esa seguridad con otras
e
tecnolog´ (tel´fono, cartas, anuncios en la prensa, ...)
ıas e
La tecnolog´ est´ disponible, prohibirla no impide su uso.
ıa a
Nosotros tambi´n podemos necesitar protegernos.
e
9. ¿Todos somos esp´
ıas?
(Casi) todo el mundo lleva una c´mara en el bolsillo, hay un
a
mont´n de c´maras por las calles, . . .
o a
¡hasta Google!
10. Ataques a la privacidad/seguridad
La mayor´ de los usuarios son gente com´n ‘como nosotros’.
ıa u
¿A qui´n pueden interesar mis datos?
e
¿Qui´n puede querer hacerme da˜o?
e n
11. Ataques a la privacidad/seguridad
Ojo!!
Puedo tener acceso a informaci´n importante.
o
Alguien puede utilizarme como intermediario (o herramienta).
Romper s´lo porque es posible (y f´cil a veces).
o a
12. ¿Con qu´ debo tener cuidado?
e
Acceso f´
ısico a los recursos
¿Qui´n tiene acceso?
e
Conocidos.
Desconocidos.
Computadores compartidos.
Servicios de mantenimiento.
¿D´nde est´n?
o a
En un despacho cerrado
En un laboratorio com´n
u
En ...
Un v´
ıdeo:
http://www.yourdailymedia.com/media/1245182735/Wild_
ATM_Robbery
13. ¿Con qu´ debo tener cuidado?
e
T´cnicas de ingenier´ social
e ıa
Cuidado con gente muy ‘amistosa’.
Si en la calle no se lo dir´ ¿en la red si?.
ıas,
Si normalmente se hace de una manera, ¿por qu´ cambi´?.
e o
¿Qu´ datos puede pedirme un t´cnico?
e e
14. Ingenier´ social
ıa
Un poco + otro poco + varios pocos = mucha informaci´n
o
Primera llamada: nombre del jefe.
Con el nombre del jefe: localizaci´n de un recurso.
o
Con el nombre del jefe y la localizaci´n del recurso . . .
o
15. Confidencialidad de los datos
La prudencia nos ayuda a disminuir los peligros
Pero queremos comunicarnos!!!
Adem´s ....
a
. . . ¿C´mo viaja la informaci´n por la red?
o o
16. ¿C´mo viaja la informaci´n por la red?
o o
Las malas noticias siguen (?)
17. ¿C´mo viaja la informaci´n por la red?
o o
¿Entonces?
Objetivo: transmisi´n de informaci´n, fiabilidad y robustez, no
o o
seguridad.
No sabemos por d´nde viaja nuestra informaci´n (ni tenemos
o o
control sobre ello).
18. Puertos (sin mar)
Habitualmente, una sola conexi´n (direcci´n)
o o
Muchos servicios (mail, web, compartir archivos, ...)
Soluci´n: asignarles diferentes n´meros (como a los buzones
o u
de una oficina)
Conexi´n −→ direcci´n + servicio
o o
¿Y?
20. Puertos (¿Y?)
Si no damos los servicios, es mejor que no est´n abiertos los
e
puertos correspondientes.
¡Usar un cortafuegos!
Uno, general (a la entrada de la red)
Uno, personal (en cada PC)
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Cortafuegos/
Todo cerrado. Ir abriendo conforme se necesite
22. Precauciones WiFi
Cuidado con las claves
Control de acceso con autentificaci´n bidireccional
o
Configuraci´n WPA2.
o
No usar WEP
Variaci´n en las claves a lo largo del d´ (?)
o ıa
Control de radio de transmisi´n
o
Estar atentos ... todo cambia muy r´pido todav´
a ıa
23. Precauciones WiFi
Apagar la conexi´n inal´mbrica cuando no se usa (lo mismo
o a
con el bluetooth).
Cuidado con las conexiones del tipo ‘FREE WIFI’
Asegurarnos de que nos conectamos a la conexi´n adecuada
o
Tratar de utilizar siempre conexiones cifradas y autenticadas
(VPN, ssh, https, ...)
24. Escuchas
Suplantaci´n
o
Escuchas Modificaciones
¡Los virus y troyanos hacen eso!
25. Escuchas
Suplantaci´n
o
Escuchas Modificaciones
¡Los virus y troyanos hacen eso!
Y algunas personas tambi´ne
27. ¿Tiene remedio?
Siempre que dos se comunican puede haber un tercero
interesado.
Siempre que se esconde algo, hay alguien dispuesto a
encontrarlo (criptograf´ vs. criptoan´lisis).
ıa a
28. ¿Tiene remedio?
(Ultra)breve historia de la criptograf´
ıa
Julio C´sar: ‘desplazamiento en el alfabeto’
e
MEDICINA −→ OGFKEKPC
Variaciones: reordenamiento, otras modificaciones.
II Guerra Mundial: Enigma, computadores, grandes avances,
pero basados en sistemas similares.
http://www.flickr.com/photos/timg_vancouver/200625463/
37. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
38. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
39. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
mensaje
40. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
clave p´blica
u
mensaje −→ mensaje codificado
41. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
clave p´blica
u clave privada
mensaje −→ mensaje codificado −→ mensaje
42. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
clave p´blica
u clave privada
mensaje −→ mensaje codificado −→ mensaje
¡S´lo yo puedo leer!
o
¡Cualquiera puede enviar!
43. Propiedades
Ambas sirven para cifrar...
clave privada clave p´blica
u
mensaje −→ mensaje codificado −→ mensaje
¡Cualquiera puede leer!
¡S´lo yo puedo haberlo generado!
o
clave p´blica
u clave privada
mensaje −→ mensaje codificado −→ mensaje
¡S´lo yo puedo leer!
o
¡Cualquiera puede enviar!
Y para descifrar...
44. Secreto, autenticidad, . . .
Secreto −→ Codifico con la clave p´blica del receptor.
u
¡S´lo ´l puede leer!
o e
Cualquiera puede haberlo escrito
45. Secreto, autenticidad, . . .
Secreto −→ Codifico con la clave p´blica del receptor.
u
¡S´lo ´l puede leer!
o e
Cualquiera puede haberlo escrito
Autenticidad −→ Codifico con mi clave privada.
S´lo yo puedo haberlo escrito
o
Cualquiera puede leerlo
46. Secreto, autenticidad, . . .
Secreto −→ Codifico con la clave p´blica del receptor.
u
¡S´lo ´l puede leer!
o e
Cualquiera puede haberlo escrito
Autenticidad −→ Codifico con mi clave privada.
S´lo yo puedo haberlo escrito
o
Cualquiera puede leerlo
Autenticidad + Secreto
Es posible combinar las dos .
S´lo yo pude escribirlo
o
S´lo el receptor puede leerlo
o
47. ¿Y el receptor?
¡Al rev´s!
e
1. Decodifica con su clave privada (s´lo ´l puede).
o e
2. Comprueba la autenticidad con mi clave p´blica.
u
48. Vamos bien
Ventajas
Mi clave p´blica es conocida por todos.
u
Mi clave privada no se transmite.
La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo.
u o e a
Mi clave privada garantiza que s´lo yo he podido generarlo
o
(salvo robo).
S´lo necesitamos una clave por cada interlocutor. (su clave
o
p´blica):
u
49. Vamos bien
Ventajas
Mi clave p´blica es conocida por todos.
u
Mi clave privada no se transmite.
La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo.
u o e a
Mi clave privada garantiza que s´lo yo he podido generarlo
o
(salvo robo).
S´lo necesitamos una clave por cada interlocutor. (su clave
o
p´blica):
u
Inconvenientes
M´s complicado.
a
M´s lento (elevar n´meros a potencias grandes).
a u
¿De qui´n es la clave p´blica?
e u
50. No es secreto pero es m´
ıo...
Recordar: ‘Mi clave privada garantiza que s´lo yo he podido
o
generarlo (salvo robo).’
Entonces ...
Si codifico con mi clave privada, cualquiera puede comprobar
la veracidad con la p´blica (no hay secreto, pero si
u
verificaci´n).
o
¡Vaya l´
ıo!
Se puede simplificar (en realidad, acelerar).
51. Firma digital
No quiero codificar todo el mensaje:
Mucho trabajo (c´lculos).
a
Confusi´n (X$&7Ji43).
o
No es secreto
La soluci´n
o
mensaje
52. Firma digital
No quiero codificar todo el mensaje:
Mucho trabajo (c´lculos).
a
Confusi´n (X$&7Ji43).
o
No es secreto
La soluci´n
o
mensaje −→ mensaje + ‘resumen del mensaje’
53. Firma digital
No quiero codificar todo el mensaje:
Mucho trabajo (c´lculos).
a
Confusi´n (X$&7Ji43).
o
No es secreto
La soluci´n
o
mensaje −→ mensaje + ‘resumen del mensaje’ −→
mensaje + ‘resumen del mensaje cifrado’
54. Firma digital
¿Y ahora?
Cualquiera puede leerlo (si codifico s´lo con mi clave,
o
tambi´n).
e
Cualquiera puede comprobar su autenticidad.
55. Firma digital
¿Y ahora?
Cualquiera puede leerlo (si codifico s´lo con mi clave,
o
tambi´n).
e
Cualquiera puede comprobar su autenticidad.
¿C´mo lo hago?
o
PGP http://www.pgp.com/
GnuPG http://www.gnupg.org/index.es.html
56. A´n falta algo
u
¿Qui´n garantiza que el due˜o de la firma es qui´n dice ser?
e n e
Intercambio de claves en persona.
Autoridades certificadoras
Hola soy X.
Y esta documentaci´n lo demuestra
o
La entidad reconoce esa firma por alg´n mecanismo
u
tecnol´gico.
o
En Espa˜a: Hacienda (FNMT), el DNI-e, las C´maras de
n a
Comercio, empresas especializadas...
57. DNI electr´nico
o
Contiene un chip
Dos certificados:
‘Certificado de autenticaci´n’ (garantiza la identidad del
o
titular)
Acredita la identidad (f´
ısica y electr´nica)
o
‘Certificado de firma’ (permite utilizar la firma electr´nica)
o
Firma de documentos
58. DNI electr´nico
o
Contiene un chip
Dos certificados:
‘Certificado de autenticaci´n’ (garantiza la identidad del
o
titular)
Acredita la identidad (f´
ısica y electr´nica)
o
‘Certificado de firma’ (permite utilizar la firma electr´nica)
o
Firma de documentos
Ejemplo: (incompleto) Entrar a tu sitio de Banca Electr´nica
o
http://www.ibercaja.es/
59. DNI electr´nico c´mo
o o
Equipo inform´tico conectado a internet
a
Lector de tarjetas
Programas
http://www.dnielectronico.es/
http://www.usatudni.es/
60. ¿Y si lo pierdo?
El DNI lleva un PIN (n´mero de identificaci´n)
u o
Denunciar (igual que antes)
61. Cosas que queremos/Cosas que no queremos
Queremos
Compartir informaci´n
o
Trabajar
Relacionarnos
...
No queremos
Contenidos indeseables
Virus, troyanos y otros animalitos
Pensar (mucho)
62. Contenidos indeseables
Lo que no queremos ver
En la red hay de todo (tambi´n cosas buenas. . . muchas)
e
Algunas soluciones
Educaci´n
o
Igual que en la calle (?)
Hay filtros ...
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_
Parental/
63. Contenidos indeseables
Lo que no queremos ver
En la red hay de todo (tambi´n cosas buenas. . . muchas)
e
Algunas soluciones
Educaci´n
o
Igual que en la calle (?)
Hay filtros ...
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/Control_
Parental/
Nada sustituye a la buena informaci´n
o
Y a la educaci´n y concienciaci´n
o o
64. Virus, troyanos, programas maliciosos
Cualquier programa ‘extra˜o’ que ejecutemos es
n
potencialmente peligroso.
Incluso algunos aparentemente utiles
´
No sabemos lo que puede hacer un programa de origen
desconocido
Lo mejor:
De alguna empresa o proyectos ‘reconocidos’
Que est´ disponible el c´digo fuente
e o
65. ¿Qu´ es?
e
Un virus es un programa de ordenador que puede infectar
otros programas modific´ndolos para incluir una copia de
a
s´ mismo
ı
S´lamente destructivos, molestos, ...
o
Desde princios de los 80 . . .
66. ¿Qu´ es?
e
Un virus es un programa de ordenador que puede infectar
otros programas modific´ndolos para incluir una copia de
a
s´ mismo
ı
S´lamente destructivos, molestos, ...
o
Desde princios de los 80 . . .
Un gusano es un programa que se reproduce, como los virus,
pero que no necesita de otros programas para retransmitirse.
67. ¿Qu´ es?
e
Un virus es un programa de ordenador que puede infectar
otros programas modific´ndolos para incluir una copia de
a
s´ mismo
ı
S´lamente destructivos, molestos, ...
o
Desde princios de los 80 . . .
Un gusano es un programa que se reproduce, como los virus,
pero que no necesita de otros programas para retransmitirse.
Un troyano es un programa malicioso que se oculta en el
interior de un programa de apariencia inocente. Cuando este
ultimo es ejecutado el Troyano realiza la acci´n o se oculta en
´ o
la m´quina del incauto que lo ha ejecutado.
a
68. ¿Qu´ es?
e
Un virus es un programa de ordenador que puede infectar
otros programas modific´ndolos para incluir una copia de
a
s´ mismo
ı
S´lamente destructivos, molestos, ...
o
Desde princios de los 80 . . .
Un gusano es un programa que se reproduce, como los virus,
pero que no necesita de otros programas para retransmitirse.
Un troyano es un programa malicioso que se oculta en el
interior de un programa de apariencia inocente. Cuando este
ultimo es ejecutado el Troyano realiza la acci´n o se oculta en
´ o
la m´quina del incauto que lo ha ejecutado.
a
http://www.youtube.com/watch?v=Xs3SfNANtig
69. ¿Qu´ es?
e
Un virus es un programa de ordenador que puede infectar
otros programas modific´ndolos para incluir una copia de
a
s´ mismo
ı
S´lamente destructivos, molestos, ...
o
Desde princios de los 80 . . .
Un gusano es un programa que se reproduce, como los virus,
pero que no necesita de otros programas para retransmitirse.
Un troyano es un programa malicioso que se oculta en el
interior de un programa de apariencia inocente. Cuando este
ultimo es ejecutado el Troyano realiza la acci´n o se oculta en
´ o
la m´quina del incauto que lo ha ejecutado.
a
http://www.youtube.com/watch?v=Xs3SfNANtig
¡Cuidado!
Los troyanos fueron los atacados!
70. Hay m´s
a
Pero hay m´s. . .
a
Esp´ (‘spyware’)
ıas
Servicios ocultos
71. ¿C´mo nos llegan?
o
Programas normales infectados.
Programas que producen efectos graciosos (felicitaciones,
bromas, ...).
Falsos antivirus
Utilidades con truco
Navegando . . . .
En un CD o en una memoria de las que usamos para llevar y
traer documentos.
72. ¿C´mo nos llegan? (II)
o
Ficheros de contenidos para aplicaciones ofim´ticas con
a
capacidades programables.
.doc, .xls, .rtf falsos ...
Ficheros renombrados, enlaces falsos
Dobles extensiones
LEEME.TXT.doc −→ LEEME.TXT
Aplicaciones de visualizaci´n de datos con capacidades
o
programables.
javascript, VBS, ...
Tambi´n pdf, Flash (.swf), ...
e
73. ¿C´mo nos llegan? (III)
o
Redes de intercambio de ficheros
IRC
Mensajer´ instant´nea
ıa a
Correo electr´nico
o
Pel´
ıculas o m´sica descargada de internet
u
Discos USB (bloquearlos s´lo para lectura cuando los
o
conectemos...)
74. Caso: Mydoom
Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R
e
(lunes 26 de enero de 2004)
Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF,
e
.SCR y .ZIP
El icono en windows simula ser un fichero de texto
Direcci´n falsa
o
75. Caso: Mydoom
Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R
e
(lunes 26 de enero de 2004)
Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF,
e
.SCR y .ZIP
El icono en windows simula ser un fichero de texto
Direcci´n falsa
o
Asunto variable (“Error”, “Status”, “Mail Transaction
Failed”, “hello”, “hi”)
Contenido textual variable ...
Efecto
“Message” en el directorio temporal de Windows
“shimgapi.dll” y “taskmon.exe” en el directorio de sistema
(system) de Windows (Uy!)
76. Caso: Mydoom
Abre “Message” (con caracteres al azar) en el bloc de notas.
Con este efecto el gusano intenta enga˜ar al usuario.
n
Busca direccciones de correo y se auto-env´
ıa
Intenta reproducirse mediante Kazaa
winamp5, icq2004-final, activation crack,
strip-girl-2.0bdcom patches, rootkitXP, office crack, nuke2004
Abre el puerto TCP 3127 (¿puerta trasera?)
Hasta 1000 mensajes/minuto, (1 de cada 12)
Un computador infectado env´ mucho correo, pero tambi´n
ıa e
lo recibe
Un ataque contra SCO (?). Dej´ de funcionar el 12 de febrero
o
de 2004.
77. M´s casos (cifras y letras)
a
CIH (1998) de 20 a 80 millones de d´lares.
o
Melissa (1999) 300 a 600 millones de d´lares
o
Hay quien asegura que afect´ del 15 % a 20 % de los
o
ordenadores del mundo. (Microsoft Outlook, Word)
ILOVEYOU (2000) de 10 a 15 billones de d´lares
o
(Microsoft Outlook, ingenier´ social: hac´ falta abrirlo)
ıa ıa
Code Red (2001) 2.6 billones de d´lares.
o
En menos de una semana infect´ casi 400.000 servidores y
o
mas de un 1.000.000 en su corta historia. (IIS)
SQL Slammer (2003), 500000 servidores. Poco da˜o porque
n
era s´bado.
a
Era muy r´pido (red de cajeros autom´ticos del Bank of
a a
America). Infect´ el 90 % de los servidores vulnerables en
o
10 minutos. (Microsoft’s SQL Server Desktop Engine )
78. M´s casos recientes (cifras y letras)
a
Blaster (2003) de 2 a 10 billones de dolares, cientos de miles
de ordenadores infectados.
(Vulnerabilidad de Windows 2000 y Windows XP).
SoBig (agosto 03) de 5 a 10 billones de d´lares y m´s de un
o a
mill´n de ordenadores infectados.
o
1 mill´n de copias de s´ mismo en las primeras 24 horas.
o ı
Caus´ millones en p´rdidas (1 de cada 17)
o e
(Adjunto de correo)
Bagle (2004) Muchas variantes
Sasser (2004) suficientemente destructivo como para colgar
algunas comunicaciones satelites de agencias francesas.
Tambien consigui´ cancelar vuelos de numeros compa˜ias
o n
a´reas.
e
No necesitaba acciones por parte del usuario para
propagarse.
79. ´
Ultimamente . . .
Todo ha cambiado un poco . . .
Los ‘malos’ ya ‘dominan’ la tecnolog´ y ahora la utilizan
ıa
Instalaci´n de ‘malware’: esp´ servidores web, botnets . . .
o ıas,
80. Noviembre 2009
Internet Storm Center // Sophos
https://my.tennessee.edu/portal/page?_pageid=40,38556&_dad=portal&_schema=PORTAL
81. ¿Qu´ es una botnet?
e
Cientos o miles de ordenadores infectados
Controlados por alguien
Correo electr´nico, IRC,...
o
Venden sus servicios
C´lculo
a
Ataques Distribuidos de Denegaci´n de Servicios (DDOS)
o
Phising
Lo que haga falta
82. ¿Qu´ hacemos con los virus?
e
Instalar, configurar y actualizar el antivirus
Algunos virus los desactivan, es conveniente echar un vistazo
de vez en cuando para ver que todo est´ correcto.
a
Utilizar un antivirus en l´
ınea, si tenemos dudas
No es recomendable instalar m´s de uno (interfieren entre
a
ellos)
Puede que necesitemos ayuda
¡Y copias de seguridad!
http://cert.inteco.es/Proteccion/Utiles_Gratuitos/
Antivirus/
89. Nadie est´ libre
a
¿ bancopopular.es.particulares.appbp.mkfg.biz ?
90. ¿Entonces?
No pinchar en esa direcci´n, acceder como normalmente
o
(favoritos, escribiendo la URL, . . . ).
Tampoco abrir los adjuntos si no vienen de personas de
confianza
Comprobar el certificado
Tambi´n por correo electr´nico
e o
Enviar documentos en formatos ‘no peligrosos’ (¿Hace falta
enviar un Word o basta con un pdf?
En caso de duda ... tel´fono, visita a la sucursal...
e
¡Cuidado! https s´lo garantiza que la conexi´n es cifrada, no que
o o
sea ‘la buena’
91. ¿D´nde mirar?
o
El cerrojo // La caja de la URL cambia de color
92. Spam
Correo basura, correo no solicitado. En algunos casos ofertas
‘leg´
ıtimas’, en otros casos directamente fraudulentas. En todo
caso, prohibido y muy mal visto.
Correo no solicitado (de naturaleza comercial)
Habitualmente, ofertas de dudosa condici´n
o
Es muy barato para el que lo env´ y caro para los dem´s
ıa, a
(sobre todo ISP’s)
No siempre es inofensivo
En correo electr´nico, mensajer´ instant´nea, grupos de
o ıa a
noticias, foros, tel´fonos, blogs, . . .
e
98. ¡Tambi´n hay spam en los sitios de redes sociales!
e
O ‘amigos’ muy pesados
99. ¡Tambi´n hay spam en los sitios de redes sociales!
e
O ‘amigos’ muy pesados
Nosotros mismos, a veces ... (“Necesitamos ayuda urgente....”)
100. Contra el spam
Cuidado con nuestra direcci´n de correo (¿a qui´n se la
o e
damos? De todas formas acabaremos recibi´ndolo)
e
No redirigir mensajes en cadena, no responder a mensajes de
procedencia dudosa
En caso de duda, es spam
101. Contra el spam
Utilizar un filtro anti–spam
http:
//cert.inteco.es/Proteccion/Utiles_Gratuitos/Antispam/
Y entrenarlo...
(Los mensajes de spam que nuestro filtro no detecta no se
borran se marcan como spam.
Aunque no est´ mal echarle un vistazo de vez en cuando a la
a
carpeta, por si se cuela alg´n mensaje leg´
u ıtimo (y marcarlo
como no spam).
Sin entrenamiento no sirven de casi nada.
102. ¿C´mo funcionan?
o
Dos partes b´sicas:
a
Listas negras
Listas blancas
Pero adem´s ...
a
Filtros Bayesianos:
Se mide la probabilidad de que una determinada palabra
est´ en palabra (o ‘cosa’) aparezca en un correo basura y en
e
uno que no lo es.
Se asigna una puntuaci´n a cada mensaje en funci´n de las
o o
palabras (y ‘cosas’ que contiene.
http://www.paulgraham.com/spam.html
http://www.thesmokesellers.com/?p=895
103. Algunas reglas de autoprotecci´n
o
Disponer de un antivirus (y utilizarlo, y actualizarlo).
Suscribirse a las listas de avisos de seguridad (o tener a
alguien que lo haga ...).
Nunca ejecutar programas ni abrir ficheros del exterior (sin
cuidado).
Utilizar los perfiles de usuario (y siempre con claves, cada uno
la suya).
Ning´n sitio serio (y los bancos lo son con estas cosas) le
u
pedir´ la clave nunca. De hecho, probablemente ni siquiera la
a
conocen.
104. Algunas reglas de autoprotecci´n
o
Configurar adecuadamente los programas que interaccionan
con el exterior (que no hagan nada, o casi nada, solos:
atenci´n a las previsualizaciones).
o
¿Realmente es necesario que me lo env´ as´
ıe ı?
Instalar y configurar adecuadamente un cortafuegos (firewall).
105. Algunas reglas de autoprotecci´n
o
Actualizar el sistema regularmente
... ¡cuidado! no fiarse de los avisos que llegan por correo, ir
siempre a la p´gina web del fabricante.
a
Ni siquiera tienen nuestra direcci´n de correo, en caso de duda
o
..
106. Actualizaciones. Cifras
2004-2005. Honeypot, con varios sistemas (Windows, Mac,
Linux)
Windows XP. SP 1.
Fue atacado 4857 veces
Infectado en 18 minutos (Blaster y Sasser)
En una hora era un ‘bot’ controlado remotamente, y
comenz´ a realizar sus propios ataques
o
Feb-Marzo 2005: menos del 24 % de los Windows XP
observados en un estudio de AssetMetrix Research Labs
ten´ SP2. Menos del 7 % del total lo ten´ 251 empresas
ıan ıan.
norteamericanas (seis meses desp´s de su lanzamiento).
e
107. ¡Hay que actualizar!
http://windowsupdate.microsoft.com
¡Una vez al mes! (segundo martes de cada mes)
108. M´s sugerencias
a
http:
//www.microsoft.com/technet/security/tools/mbsahome.asp
Para varios productos de Microsoft (y de acuerdo a sus pol´
ıticas y
recomendaciones).
109. M´s autoprotecci´n
a o
Estar preparados para lo peor (copias de seguridad).
Tener un plan (pol´
ıtica)
En un sitio diferente
Probar que funcionan
http:
//cert.inteco.es/Proteccion/Utiles_Gratuitos/Copia_Seguridad/
110. Spyware (esp´
ıas)
Los esp´ se usan para muchas cosas ...
ıas
H´bitos de navegaci´n
a o
Robo de claves
Robo de correo
....
Siempre: mucho cuidado con lo que instalamos.
Hay programas para vigilarlos y eliminarlos.
http:
//cert.inteco.es/Proteccion/Utiles_Gratuitos/Antiespias/
http://www.youtube.com/watch?v=3atmWmWCwlw
111. ¿Entonces?
Regla 1: Hasta lo que parece inofensivo, puede ser peligroso.
Regla 2: Cuanto menos autom´tico, mejor.
a
Regla 3: En caso de duda, preguntar.
112. Compartir archivos
Compartir es bueno (la informaci´n quiere ser libre, sobre todo
o
en la red)
pero...
Cuidado con los formatos (buscar el que menor da˜o pueda
n
hacer)
Cuidado con qu´ y de d´nde viene
e o
Respetar la ley
113. Sobre las claves
Que contengan mezcladas letras (may´sculas y min´sculas),
u u
n´meros y s´
u ımbolos
Evitar claves parecidas en distintos sitios
Evitar palabras comunes, t´ıtulos de libros, ciudades, . . .
Evitar informaci´n personal (nombres, mascotas, cumplea˜os,
o n
...)
Mas de 8 caracteres
¿Mejor frases?
No compartirlas
Con los otros
Para varias cosas
Cambiarlas de vez en cuando (y siempre, cuando nos
conectemos desde un ordenador que no es el nuestro).
No sirve de nada una clave muy buena, si est´ al lado de la
a
m´quina en que se usa
a
114. ¿Y la gente?
Estudio informal, Liverpool Street station en Londres. Infosecurity
2004-2008.
http://www.eskenzipr.com/page.cfm/T=m/Action=Press/PressID=202
Una encuesta, ofrec´ una chocolatina por rellenar el cuestionario.
ıan
21 % de los encuestados dieron su clave. 45 % de las mujeres,
10 % de los hombres
Sorteo de un viaje a Par´ Tel´fono, nombre, fecha de
ıs. e
nacimiento, ...
60 % de los hombres, 62 % de las mujeres
La mitad conoc´ claves de sus compa˜eros y el 58 % dijeron
ıan n
que le dar´ la clave a los del departamento de inform´tica
ıan a
El 35 % sab´ que la clave del jefe la conoc´ alguien m´s
ıa ıa a
(asistentes, personal de IT, ...)
43 % la cambia raramente
115. ¿Y la gente?
Una persona dijo que trabajaba para un departamento del
gobierno y que nunca dar´ su clave porque podr´ costarle el
ıa ıa
trabajo.
Otro dijo que parec´ tan bien vestidos y honestos que era
ıan
imposible que pudieran ser criminales.
De a˜os anteriores: (15 % nombres de la familia, 11 % equipos de
n
f´tbol, 8 % mascotas, ...)
u
Otro estudio, de RSA
79 % revela datos personales
33 % los compart´ o los escrib´
ıa ıa
116. M´s datos ...
a
Ataque de Phising a MySpace (34.000 claves). 2006.
65 % de las claves tienen 8 caracteres o menos
17 % tienen 6 o menos
Longitud Porcentaje
1-4 0.82 percent
5 1.1 percent
6 15 percent Composici´no Porcentaje
7 23 percent numbers only 1.3 percent
8 25 percent letters only 9.6 percent
9 17 percent alphanumeric 81 percent
10 13 percent non-alphanumeric 8.3 percent
11 2.7 percent
12 0.93 percent
13-32 0.93 percent
Claves m´s frecuentes
a
password1, abc123, myspace1, password, blink182, qwerty1,
fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1,
liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1
and monkey
(el m´s usado 0.22 % de las cuentas).
a
http://www.schneier.com/blog/archives/2006/12/realworld_passw.html
117. Tiempos descubrimiento de claves
Clave de longitud 8
Clave Combinaciones N´mero de claves por segundo
u
10.000 100.000 1M 10M 100M 1000M
N´meros (10)
u 100 M 3
2 4 h. 17 m. 1 1 m. 10 s. Inmediato Inmediato
2
Caracteres (26) 200.000 M 242 d. 24 d. 221 d. 348 m. 35 m. 3 1 m.
2
May. y Min (52) 53 MM 1
169 2 a. 17 a. 121 a. 62 d. 6 d. 15 h.
Car. y N´m. (62)
u 218 MM 692 a. 69 1 a.
4
7 a. 253 d. 25 1 d.
4
1
60 2 h.
Car., N´m. y S´ (96)
u ım. 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 1
2 4 a. 1
83 2 d.
http://www.tufuncion.com/ataques-passwords-hacker-msn
118. Pero ... ¿qui´n tiene eso?
e
100,000 Passwords/seg. Recuperaci´n de contrase˜a
o n
Microsoft (Archivos .PWL)en un Pentium 100
1,000,000 Passwords/seg. Recuperaci´n de contrase˜a de un
o n
archivo comprimido en ZIP o ARJ Pentium 100
10,000,000 Passwords/seg. Recuperaci´n de cualquiera de las
o
contrase˜as anteriores con un PC (Monoprocesador +2Gh)
n
100,000,000 Passwords/seg. Recuperaci´n de una contrase˜a
o n
con un cluster de microprocesadores o con multiples Pcs
trabajando de manera simult´nea.
a
1,000,000,000 Passwords/seg. Recuperaci´n de una
o
contrase˜a utilizando una supercomputadora o una red de
n
ordenadores interconectados a gran escala, por ejemplo
(160000 computadoras PII 266MHz 24/7)
119. Sobre las claves
Mi clave es s´lo m´
o ıa
Memorizarlos (no apuntarlos, si es posible)
Utilizar alguna estrategia para la memoria
Ejemplo:
El gato que est´ triste y azul
a
Egqetya
Eg,qe!t1a
De todas formas, es mejor apuntar las claves en alg´n sitio y
u
proteger la nota adecuadamente que tener claves demasiado
sencillas para poder recordarlas.
http://keepass.info/
120. Sobre las claves
Utilizar claves diferentes para sitios diferentes
Bloquear el ordenador cuando nos vamos (y establecer un
mecanismo de bloqueo autom´tico por si se nos olvida).
a
No permitir insertar dispositivos USB de otros.
Tampoco los nuestros en el ordenador del trabajo
Cuidado con los programas que instalamos.
Cuidado con los port´tiles y otros dispositivos dentro de la
a
empresa (los personales de casa, o los de la gente que viaja y
se conecta por ah´
ı).
121. M´s consejos
a
Escritorio limpio!
Los documentos de una reuni´n pueden quedarse olvidados en
o
la sala cuando acabamos
Seguridad al imprimir (vigilar lo que env´
ıamos: recogerlo, s´lo
o
imprimirlo cuando sea necesario,...)
Destruir documentos con informaci´n confidencial
o
Si es posible, no almacenar informaci´n confidencial en
o
nuestro disco duro.
Firmar acuerdos de confidencialidad con terceros.
122. M´s consejos
a
Si perdemos alg´n dispositivo, avisar/informar
u
Si vemos algo raro, avisar/informar
Cuidado con d´nde y de qu´ hablamos y/o escribimos (¿hay
o e
alguien mirando en nuestra espalda?)
Cumplir con la pol´
ıtica de la empresa (que haya una, ¡claro!)
Y ayudar a mejorarla
Sobre todo, que sea f´cil de aplicar y seguir
a
Cumplir la ley
123. Mensajer´ instant´nea
ıa a
Razonablemente ‘an´nimo’
o
No publicarla (¿c´mo el tel´fono?)
o e
No facilitar informaci´n personal, sobre todo a desconocidos
o
No aceptar im´genes, ficheros, v´
a ınculos (o tratarlos con
mucho cuidado)
Cuidado en ordenadores p´blicos
u
124. Servicios P2P
Descargar el programa de sitios fiables.
No olvidar que compartimos una parte de nuestro disco duro.
Cuidado con los programas ‘adicionales’
Est´n ejecut´ndose de manera permanente (conexi´n 24h)
a a o
Cuidado con los identificadores, si son necesarios
No todo es lo que parece (pasar el antivirus, comprobar el
contenido...)
125. Webcams
Cuidado a d´nde apuntan (no se puede grabar a la gente, por
o
ejemplo)
Respetar los derechos de imagen
Difusi´n de im´genes siempre que no sea posible identificar a
o a
las personas
Prestar atenci´n a d´nde hay c´maras (y ejercer el derecho de
o o a
acceso, en su caso)
No difundir im´genes privadas. Mejor que esas im´genes no
a a
sean nunca muy privadas.
126. El navegador
Atenci´n a las condiciones de uso y pol´
o ıticas de privacidad de
los sitios
Cuidado con las cookies (no es mala idea rechazarlas por
sistema, y si las necesitamos ya las activaremos).
No guardar las claves en los sistemas que proporciona el
navegador
127. ¿Algo m´s?
a
Borrar el historial ...
... sobre todo si el computador no es nuestro, o es compartido
Y cuidado con las opciones de ‘recordarme’ en sitios p´blicos o
u
PCs compartidos.
128. La web 2.0
Aprender y comprender las opciones de privacidad
Tener un perfil ‘razonable’ es mejor que no tener perfil y que
alguien lo haga con nuestro nombre
Cuidado con las im´genes, especialmente de terceros
a
Cuidado al etiquetar a otros
Recordar el derecho de acceso y rectificaci´n
o
Los amigos deber´ serlo realmente
ıan
129. Responsabilidad
No publicar informaciones falsas, rumores, ...
Rectificar y reconocer los errores. Retirar la informaci´n que
o
nos soliciten
No publicar informaci´n privada
o
En particular, d´nde vivo, d´nde estoy, no estoy ...
o o
No publicar im´genes o v´
a ıdeos sin el consentimiento de los
que aparecen. Retirarla r´pidamente si nos lo piden.
a
No almacenar datos de otros. As´ no podemos perderlos y no
ı
pueden rob´rnoslos.
a
Recomendaciones a Usuarios de Internet. Edici´n 2009. Agencia de
o
Protecci´n de Datos.
o
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_
internet_052009.pdf
130. La ley
LOPD
Ley Org´nica de Protecci´n de Datos establece:
a o
Responsable del fichero.
Empresa responsable de datos de empleados y clientes
Aut´nomo responsable de datos de sus clientes
o
Organismos p´blicos responsables de los datos de sus
u
administrados
Datos personales: nombre, apellidos, fechas, direcciones,
tel´fonos, fotograf´ ...
e ıas,
Ficheros automatizados y no automatizados (papel)
Nivel alto, medio, b´sico
a
¡Sanciones!
131. La ley
LSSI
Ley de Servicios de la Sociedad de la Informaci´n
o
Obligaciones de informaci´n (denominaci´n social, NIF,
o o
domicilio, direcci´n de correo electr´nico, tel´fono o fax) ...
o o e
Tr´mites electr´nicos (Si procede)
a o
...
http://www.lssi.es/
132. Para saber m´s
a
Criptonomic´n
o
http://www.iec.csic.es/criptonomicon/
Campa˜a de seguridad de la Asociaci´n de Internautas:
n o
http://seguridad.internautas.org/
Hispasec
http://www.hispasec.com/
Inteco
http://www.inteco.es/
Muchas otras .... La seguridad est´ ‘de moda’.
a
133. Conclusiones
La red fue dise˜adad para dar fiabilidad y robustez, no
n
seguridad.
Mejor prudente y cuidadoso que tener las ultimas
´
herramientas inform´ticas.
a
En algunos casos, la comodidad es enemiga de la seguridad.
La seguridad es un proceso
Seguridad como gesti´n del riesgo
o
Disponemos de herramientas para garantizar nuestra
privacidad, pero no s´lo eso ...
o