Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Evitar suplantación de identidad en Servicios Públicos Eletrónicos
1. Evitar suplantación de identidad
en Servicios Públicos Electrónicos
Europeos
Máster en Seguridad Informática
José Luis Muñoz de Morales Silva
2015-2016
2. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 2
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
3. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 3
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
4. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 4
Índice: 1. Introducción
QUE
Evitar la suplantación de identidad digital
PORQUE
Debilidad de las infraestructuras PKI > Personas
COMO
Monitorizando el Registro de ACs
DONDE
Servicios Públicos Electrónicos Europeos
nueva regulación
eIDAS identificación electrónica UE 910/2014
Puntos clave
Apache
Tomcat
Certificados Digitales
5. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 5
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
6. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática
* Variables sobre PIB (Producto Interior Bruto)
6
Índice: 2. Situación Actual
ESPAÑA
Deuda 101 %
Déficit: -5,08%
Contexto 2016
MAASTRICTH
Deuda: 60 %
Déficit: -3%
7. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 7
Índice: 2. Situación Actual
DECISIÓN
SECTOR PÚBLICO
8. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 8
Índice: 2. Situación Actual
DECISIÓN
SECTOR PÚBLICO
9. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 9
Índice: 2. Situación Actual
DECISIÓN
SECTOR PÚBLICO
INFRAESTRUCTURA PKI
SOFTWARE LIBRE
APACHE + TOMCAT + MYSQL
CERTIFICADOS DIGITALES
10. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 10
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
11. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 11
Índice: 3. Necesidad real ¿Por qué ahora?
12. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 12
Índice: 3. Necesidad real ¿Por qué ahora?
Impacto Ahora
13. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 13
Índice: 3. Necesidad real ¿Por qué ahora?
ESPAÑA
Ley 39/2015 de Procedimiento Administrativo
Común de las Administraciones públicas
vigor 1 septiembre 2016
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Impacto Ahora
14. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 14
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
Certificados Digitales en Gestión
15. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 15
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
100
Certificados Digitales en Gestión
16. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 16
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
100
Certificados Digitales en Gestión
2.700
17. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 17
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
18. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 18
Índice: 4. Objetivos
Creación del Software “CAS-eIDAS” (Certification Authorities Security for eIDAS)
OBJETIVOS
Configuración de servidores: Apache y Tomcat
Hacking Certificado digital: Normas x509.v3 y RFC 5280
19. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 19
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
20. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 20
Índice: 5. Alcance del Proyecto
ALCANCE
Hacking Certificado Cualificado: Normas x509.v3 y RFC 5280
Certificados objeto de estudio: “Trusted List” Europea
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf
21. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 21
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
22. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 22
Índice: 6. Hacking de Certificados Digitales
Objetivo: generar una
Identidad Digital ”válida”
23. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 23
Índice: 6. Hacking de Certificados Digitales
Objetivo: generar una
Identidad Digital ”válida”
24. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 24
Índice: 6. Hacking de Certificados Digitales
HACKING CERTIFICADOS DIGITALES
RELACIÓN
ISSUER
Emisor del Certificado
SUBJECT
Sujeto del Certificado
Objetivo: generar una
Identidad Digital ”válida”
25. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 25
Índice: 6. Hacking de Certificados Digitales
HACKING CERTIFICADOS DIGITALES
RELACIÓN
ISSUER
Emisor del Certificado
SUBJECT
Sujeto del Certificado
26. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 26
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
27. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 27
Índice: 7. Descripción del problema
SEGURIDAD
SISTEMAS DE INFORMACIÓN
28. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 28
Índice: 7. Descripción del problema
SEGURIDAD
SISTEMAS DE INFORMACIÓN
DÉFICIT EXPERTOS CIBERSEGURIDAD
Contemplado en el Plan de Ciberseguridad Nacional 2013
29. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 29
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS
incrementa en un 270%
la complejidad de
gestión de certificados
digitales
SEGURIDAD
SISTEMAS DE INFORMACIÓN
DÉFICIT EXPERTOS CIBERSEGURIDAD
Contemplado en el Plan de Ciberseguridad Nacional 2013
30. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 30
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS
incrementa en un 270%
la complejidad de
gestión de certificados
digitales
SEGURIDAD
SISTEMAS DE INFORMACIÓN
SISTEMAS VULNERABLES
Producto de malas configuraciones, descuidos, mala praxis
DÉFICIT EXPERTOS CIBERSEGURIDAD
Contemplado en el Plan de Ciberseguridad Nacional 2013
31. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 31
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS
incrementa en un 270%
la complejidad de
gestión de certificados
digitales
SEGURIDAD
SISTEMAS DE INFORMACIÓN
DÉFICIT
RECURSOS
Disminución del Sector
Público Estatal de la
capacidad de inversión
en infraestructura
tecnológica
SISTEMAS VULNERABLES
Producto de malas configuraciones, descuidos, mala praxis
DÉFICIT EXPERTOS CIBERSEGURIDAD
Contemplado en el Plan de Ciberseguridad Nacional 2013
32. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 32
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
33. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 33
Índice: 8. Solución Propuesta
FRONT-END: software responsable de la
visualización del estado de los ficheros de
registro de Autoridades de Certificación.
Servidor
SMTP 2 GO
BACK-END: software responsable de la
monitorización del estado de los ficheros de
registro de Autoridades de Certificación.
La imagen muestra los componentes que forman el Sistema CASeIDAS, que se complementan para ofrecer un servicio de protección de los
ficheros de registro de las Autoridades de Certificación registradas en los Sistemas de Información de un Organismo Público.
CASeIDAS CA State CASeIDAS CA Monitor
CA Monitor
Detalle: Front-End y Back-End
34. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 34
Índice: 8. Solución Propuesta
Servidor
Apache
Fichero de
Autoridades de
Certificación
CAs raíz
CASeIDAS
monitorización
MySQL
Versión 5.5
CA State
CA Monitor
registro
Servidor
SMTP 2 GO
alertas
visualización
ORGANISMO PÚBLICO
CIUDADANOS
(puestos de clientes)
cliente 1
cliente 2
Cliente N
Acceso con
Certificado
Digital
Diagrama de Alto Nivel de la Solución
35. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 35
Índice: 8. Solución Propuesta
CASeIDAS CA State Funcionalidades
CA File: permite ver el detalle de todas las Autoridades de
Certificación registradas, concretamente de los campos definidos
como MUST por la RFC 5280, entre; Country, Organization,
Organizational Unit, Common Name.
CA Intrusion: permite ver el detalle de aquellas Autoridades de
Certificación registradas en el sistema, pero que no tienen
autorización de los responsables del Organismo encargados de su
vigilancia.
Status: permite ver el detalle del registro de Autoridades de
Certificación, mediante una comparación del hash SHA-512 y de la
fecha de última modificación de su fichero de registro.
Detalle: Front-End
36. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 36
Índice: 8. Solución Propuesta
CASeIDAS CA Monitor
Servicio de monitorización de los cambios sobre el fichero de registro
de Autoridades de Certificación.
Permite la configuración de alertas mediante el envío de mail SMTP,
pudiendo especificar uno o varios destinatarios.
Registra en base de datos el estado de las Autoridades de
Certificación que están instaladas en un servidor de Apache, en su
fichero de registro, generando un HASH del fichero de Autoridades de
Certificación, junto con su tamaño (medido en KB) y la fecha y hora
de la última modificación
Servidor
SMTP 2 GO
CA Monitor
Funcionalidades
Detalle: Back-End
37. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 37
Índice: 8. Solución Propuesta
Test CASeIDAS
https://youtu.be/vtzKby442_k
38. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 38
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
39. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 39
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Evaluación
40. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 40
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Coste de implementar la solución
prácticamente cero
Software sencillo
Solución ajustada a la necesidad
Protección de un activo de información crítico
para la Infraestructura PKI
Evaluación
41. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 41
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Coste de implementar la solución
prácticamente cero
Software sencillo
Solución ajustada a la necesidad
Protección de un activo de información crítico
para la Infraestructura PKI
Evaluación
Protección no robusta, si el modelo es conocido es
fácil de manipular
Necesita complementarse con otros mecanismos
alertas como SMS para garantizar el tiempo de
respuesta al incidente
Necesidad de concienciación de los Organismos
Públicos del riesgo en infraestructuras de red de
baja seguridad
42. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 42
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
43. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 43
Índice: 10. Conclusiones
CONCLUSIONES
PROYECTO
44. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 44
Índice: 10. Conclusiones
CONCLUSIONES
Gran complejidad en la gestión de la Autenticación
mediante Identidades Digitales, debido al eIDAS
Sencillo hackear un Certificado cualificado x509.v3
que cumpla el Reglamento UE 910/2014
Problema grave de falta de recursos en el Sector
Público, que debe “Digitalizarse” de forma segura
La monitorización del fichero de Registro de
Autoridades de Certificación es crítica para garantizar
la seguridad de los certificados
PROYECTO
45. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 45
Índice: 10. Conclusiones
MEJORAS
CASeIDAS
46. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 46
Índice: 10. Conclusiones
MEJORAS
Alertas mediante mensajería instantánea, para
disminuir el tiempo de reacción ante incidentes
Posibilidad de confirmar las Autoridades de
Certificación de manera independiente, en lugar de
hacerlo en modo bloque
Realización de un “backup” sólo de Autoridades de
Certificación para evitar que la recuperación en
bloque
CASeIDAS
47. José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 47