SlideShare una empresa de Scribd logo

Evitar suplantación de identidad en Servicios Públicos Eletrónicos

J
joseluismms

Evitar suplantación de identidad en Servicios Públicos Eletrónicos Europeos. Se describe la solución CASeIDAS

Software
1 de 47
Descargar para leer sin conexión
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática José Luis Muñoz de Morales Silva 2015-2016
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 2 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 3 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 4 Índice: 1. Introducción  QUE Evitar la suplantación de identidad digital  PORQUE Debilidad de las infraestructuras PKI > Personas  COMO Monitorizando el Registro de ACs  DONDE Servicios Públicos Electrónicos Europeos nueva regulación eIDAS identificación electrónica UE 910/2014 Puntos clave Apache Tomcat Certificados Digitales
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 5 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática * Variables sobre PIB (Producto Interior Bruto) 6 Índice: 2. Situación Actual ESPAÑA Deuda 101 % Déficit: -5,08% Contexto 2016 MAASTRICTH Deuda: 60 % Déficit: -3%
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 7 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 8 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 9 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO INFRAESTRUCTURA PKI SOFTWARE LIBRE APACHE + TOMCAT + MYSQL CERTIFICADOS DIGITALES
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 10 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 11 Índice: 3. Necesidad real ¿Por qué ahora?
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 12 Índice: 3. Necesidad real ¿Por qué ahora? Impacto Ahora
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 13 Índice: 3. Necesidad real ¿Por qué ahora? ESPAÑA Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones públicas vigor 1 septiembre 2016 Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Impacto Ahora
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 14 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora Certificados Digitales en Gestión
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 15 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora 100 Certificados Digitales en Gestión
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 16 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora 100 Certificados Digitales en Gestión 2.700
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 17 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 18 Índice: 4. Objetivos Creación del Software “CAS-eIDAS” (Certification Authorities Security for eIDAS) OBJETIVOS Configuración de servidores: Apache y Tomcat Hacking Certificado digital: Normas x509.v3 y RFC 5280
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 19 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 20 Índice: 5. Alcance del Proyecto ALCANCE Hacking Certificado Cualificado: Normas x509.v3 y RFC 5280 Certificados objeto de estudio: “Trusted List” Europea https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 21 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 22 Índice: 6. Hacking de Certificados Digitales Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 23 Índice: 6. Hacking de Certificados Digitales Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 24 Índice: 6. Hacking de Certificados Digitales HACKING CERTIFICADOS DIGITALES RELACIÓN ISSUER Emisor del Certificado SUBJECT Sujeto del Certificado Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 25 Índice: 6. Hacking de Certificados Digitales HACKING CERTIFICADOS DIGITALES RELACIÓN ISSUER Emisor del Certificado SUBJECT Sujeto del Certificado
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 26 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 27 Índice: 7. Descripción del problema SEGURIDAD SISTEMAS DE INFORMACIÓN
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 28 Índice: 7. Descripción del problema SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 29 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 30 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 31 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT RECURSOS Disminución del Sector Público Estatal de la capacidad de inversión en infraestructura tecnológica SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 32 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 33 Índice: 8. Solución Propuesta FRONT-END: software responsable de la visualización del estado de los ficheros de registro de Autoridades de Certificación. Servidor SMTP 2 GO BACK-END: software responsable de la monitorización del estado de los ficheros de registro de Autoridades de Certificación. La imagen muestra los componentes que forman el Sistema CASeIDAS, que se complementan para ofrecer un servicio de protección de los ficheros de registro de las Autoridades de Certificación registradas en los Sistemas de Información de un Organismo Público. CASeIDAS CA State CASeIDAS CA Monitor CA Monitor Detalle: Front-End y Back-End
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 34 Índice: 8. Solución Propuesta Servidor Apache Fichero de Autoridades de Certificación CAs raíz CASeIDAS monitorización MySQL Versión 5.5 CA State CA Monitor registro Servidor SMTP 2 GO alertas visualización ORGANISMO PÚBLICO CIUDADANOS (puestos de clientes) cliente 1 cliente 2 Cliente N Acceso con Certificado Digital Diagrama de Alto Nivel de la Solución
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 35 Índice: 8. Solución Propuesta CASeIDAS CA State Funcionalidades CA File: permite ver el detalle de todas las Autoridades de Certificación registradas, concretamente de los campos definidos como MUST por la RFC 5280, entre; Country, Organization, Organizational Unit, Common Name. CA Intrusion: permite ver el detalle de aquellas Autoridades de Certificación registradas en el sistema, pero que no tienen autorización de los responsables del Organismo encargados de su vigilancia. Status: permite ver el detalle del registro de Autoridades de Certificación, mediante una comparación del hash SHA-512 y de la fecha de última modificación de su fichero de registro. Detalle: Front-End
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 36 Índice: 8. Solución Propuesta CASeIDAS CA Monitor Servicio de monitorización de los cambios sobre el fichero de registro de Autoridades de Certificación. Permite la configuración de alertas mediante el envío de mail SMTP, pudiendo especificar uno o varios destinatarios. Registra en base de datos el estado de las Autoridades de Certificación que están instaladas en un servidor de Apache, en su fichero de registro, generando un HASH del fichero de Autoridades de Certificación, junto con su tamaño (medido en KB) y la fecha y hora de la última modificación Servidor SMTP 2 GO CA Monitor Funcionalidades Detalle: Back-End
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 37 Índice: 8. Solución Propuesta Test CASeIDAS https://youtu.be/vtzKby442_k
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 38 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 39 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes Evaluación
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 40 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes  Coste de implementar la solución prácticamente cero  Software sencillo  Solución ajustada a la necesidad  Protección de un activo de información crítico para la Infraestructura PKI Evaluación
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 41 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes  Coste de implementar la solución prácticamente cero  Software sencillo  Solución ajustada a la necesidad  Protección de un activo de información crítico para la Infraestructura PKI Evaluación  Protección no robusta, si el modelo es conocido es fácil de manipular  Necesita complementarse con otros mecanismos alertas como SMS para garantizar el tiempo de respuesta al incidente  Necesidad de concienciación de los Organismos Públicos del riesgo en infraestructuras de red de baja seguridad
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 42 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 43 Índice: 10. Conclusiones CONCLUSIONES PROYECTO
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 44 Índice: 10. Conclusiones CONCLUSIONES  Gran complejidad en la gestión de la Autenticación mediante Identidades Digitales, debido al eIDAS  Sencillo hackear un Certificado cualificado x509.v3 que cumpla el Reglamento UE 910/2014  Problema grave de falta de recursos en el Sector Público, que debe “Digitalizarse” de forma segura  La monitorización del fichero de Registro de Autoridades de Certificación es crítica para garantizar la seguridad de los certificados PROYECTO
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 45 Índice: 10. Conclusiones MEJORAS CASeIDAS
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 46 Índice: 10. Conclusiones MEJORAS  Alertas mediante mensajería instantánea, para disminuir el tiempo de reacción ante incidentes  Posibilidad de confirmar las Autoridades de Certificación de manera independiente, en lugar de hacerlo en modo bloque  Realización de un “backup” sólo de Autoridades de Certificación para evitar que la recuperación en bloque CASeIDAS
José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 47

Recomendados

About Jewish Eco Seminars
About Jewish Eco SeminarsAbout Jewish Eco Seminars
About Jewish Eco SeminarsYonatan Neril
 
AdviceScene For Lawyers
AdviceScene For LawyersAdviceScene For Lawyers
AdviceScene For Lawyersadvicescene
 
Top20 improved questions
Top20 improved questionsTop20 improved questions
Top20 improved questionsmitch cabunilas
 
World's Most Important Brand
World's Most Important BrandWorld's Most Important Brand
World's Most Important Brandmitch cabunilas
 
Hibernate reverse engineering
Hibernate reverse engineeringHibernate reverse engineering
Hibernate reverse engineeringjoseluismms
 
20 year marketing plan
20 year marketing plan20 year marketing plan
20 year marketing planmitch cabunilas
 
Learning questions
Learning questionsLearning questions
Learning questionsmitch cabunilas
 
Individual10 ste pmarketing planc2
Individual10 ste pmarketing planc2Individual10 ste pmarketing planc2
Individual10 ste pmarketing planc2mitch cabunilas
 

Recomendados

About Jewish Eco Seminars
About Jewish Eco SeminarsAbout Jewish Eco Seminars
About Jewish Eco SeminarsYonatan Neril
 
AdviceScene For Lawyers
AdviceScene For LawyersAdviceScene For Lawyers
AdviceScene For Lawyersadvicescene
 
Top20 improved questions
Top20 improved questionsTop20 improved questions
Top20 improved questionsmitch cabunilas
 
World's Most Important Brand
World's Most Important BrandWorld's Most Important Brand
World's Most Important Brandmitch cabunilas
 
Hibernate reverse engineering
Hibernate reverse engineeringHibernate reverse engineering
Hibernate reverse engineeringjoseluismms
 
20 year marketing plan
20 year marketing plan20 year marketing plan
20 year marketing planmitch cabunilas
 
Learning questions
Learning questionsLearning questions
Learning questionsmitch cabunilas
 
Individual10 ste pmarketing planc2
Individual10 ste pmarketing planc2Individual10 ste pmarketing planc2
Individual10 ste pmarketing planc2mitch cabunilas
 
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...Plan PIATIC
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...Ingeniería e Integración Avanzadas (Ingenia)
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0Ingeniería e Integración Avanzadas (Ingenia)
 
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TICalvaropl
 
Inteco econfianza
Inteco econfianzaInteco econfianza
Inteco econfianzaAGESTIC - Asociación Gallega Empresas TIC
 
CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014Begoña Fernández Palma
 
Curso-CIGTR2016-v0-9
Curso-CIGTR2016-v0-9Curso-CIGTR2016-v0-9
Curso-CIGTR2016-v0-9Jorge Ordovás Oromendía
 
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...OVTT
 
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...Alba Santa
 
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridadClaves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridadEmilio Márquez Espino
 
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Ciberseguridad. CITIC en el Business TICC 2015
Ciberseguridad. CITIC en el Business TICC 2015 Ciberseguridad. CITIC en el Business TICC 2015
Ciberseguridad. CITIC en el Business TICC 2015 CITIC, Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia BellésRedit
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...OVTT
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías Marco Peres
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...COIICV
 

Más contenido relacionado

Similar a Evitar suplantación de identidad en Servicios Públicos Eletrónicos

Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...Plan PIATIC
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TICalvaropl
 
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...OVTT
 
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...Alba Santa
 
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridadClaves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridadEmilio Márquez Espino
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia BellésRedit
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...OVTT
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías Marco Peres
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...COIICV
 

Similar a Evitar suplantación de identidad en Servicios Públicos Eletrónicos (20)

Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
Internet ya es móvil. Luis Meijuerio de Fundación CTIC para el Congreso PIATI...
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
 
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
 
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
2017 Lima - Ciberseguridad y Gestión de la Seguridad TIC
 
Inteco econfianza
Inteco econfianzaInteco econfianza
Inteco econfianza
 
CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014
 
Curso-CIGTR2016-v0-9
Curso-CIGTR2016-v0-9Curso-CIGTR2016-v0-9
Curso-CIGTR2016-v0-9
 
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
VISIO 2014: #MoocVT Mooc de Introducción a la vigilancia tecnológica para emp...
 
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
VISIO 2014. Tendencias. #MoocVT, Mooc introducción a la vigilancia tecnológic...
 
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridadClaves para emprender y encontrar empleo en el mundo de la CiberSeguridad
Claves para emprender y encontrar empleo en el mundo de la CiberSeguridad
 
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...
Iniciativa de creación del Capítulo Andaluz de la AEI Ciberseguridad y Tecnol...
 
Ciberseguridad. CITIC en el Business TICC 2015
Ciberseguridad. CITIC en el Business TICC 2015 Ciberseguridad. CITIC en el Business TICC 2015
Ciberseguridad. CITIC en el Business TICC 2015
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en Chile
 
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
II Congreso Internacional RedUE-ALCUE: #MoocVT, Mooc Introducción a la Vigiln...
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías Guía de Emprendimiento y Tecnologías
Guía de Emprendimiento y Tecnologías
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
 

Evitar suplantación de identidad en Servicios Públicos Eletrónicos

  • 1. Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática José Luis Muñoz de Morales Silva 2015-2016
  • 2. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 2 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 3. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 3 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 4. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 4 Índice: 1. Introducción  QUE Evitar la suplantación de identidad digital  PORQUE Debilidad de las infraestructuras PKI > Personas  COMO Monitorizando el Registro de ACs  DONDE Servicios Públicos Electrónicos Europeos nueva regulación eIDAS identificación electrónica UE 910/2014 Puntos clave Apache Tomcat Certificados Digitales
  • 5. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 5 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Por qué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 6. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática * Variables sobre PIB (Producto Interior Bruto) 6 Índice: 2. Situación Actual ESPAÑA Deuda 101 % Déficit: -5,08% Contexto 2016 MAASTRICTH Deuda: 60 % Déficit: -3%
  • 7. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 7 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO
  • 8. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 8 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO
  • 9. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 9 Índice: 2. Situación Actual DECISIÓN SECTOR PÚBLICO INFRAESTRUCTURA PKI SOFTWARE LIBRE APACHE + TOMCAT + MYSQL CERTIFICADOS DIGITALES
  • 10. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 10 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 11. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 11 Índice: 3. Necesidad real ¿Por qué ahora?
  • 12. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 12 Índice: 3. Necesidad real ¿Por qué ahora? Impacto Ahora
  • 13. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 13 Índice: 3. Necesidad real ¿Por qué ahora? ESPAÑA Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones públicas vigor 1 septiembre 2016 Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Impacto Ahora
  • 14. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 14 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora Certificados Digitales en Gestión
  • 15. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 15 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora 100 Certificados Digitales en Gestión
  • 16. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 16 Índice: 3. Necesidad real ¿Por qué ahora? Reglamento Europeo de Identificación UE 910/2014 1 de julio de 2016 Antes Ahora 100 Certificados Digitales en Gestión 2.700
  • 17. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 17 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 18. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 18 Índice: 4. Objetivos Creación del Software “CAS-eIDAS” (Certification Authorities Security for eIDAS) OBJETIVOS Configuración de servidores: Apache y Tomcat Hacking Certificado digital: Normas x509.v3 y RFC 5280
  • 19. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 19 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 20. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 20 Índice: 5. Alcance del Proyecto ALCANCE Hacking Certificado Cualificado: Normas x509.v3 y RFC 5280 Certificados objeto de estudio: “Trusted List” Europea https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf
  • 21. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 21 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 22. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 22 Índice: 6. Hacking de Certificados Digitales Objetivo: generar una Identidad Digital ”válida”
  • 23. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 23 Índice: 6. Hacking de Certificados Digitales Objetivo: generar una Identidad Digital ”válida”
  • 24. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 24 Índice: 6. Hacking de Certificados Digitales HACKING CERTIFICADOS DIGITALES RELACIÓN ISSUER Emisor del Certificado SUBJECT Sujeto del Certificado Objetivo: generar una Identidad Digital ”válida”
  • 25. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 25 Índice: 6. Hacking de Certificados Digitales HACKING CERTIFICADOS DIGITALES RELACIÓN ISSUER Emisor del Certificado SUBJECT Sujeto del Certificado
  • 26. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 26 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 27. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 27 Índice: 7. Descripción del problema SEGURIDAD SISTEMAS DE INFORMACIÓN
  • 28. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 28 Índice: 7. Descripción del problema SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
  • 29. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 29 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
  • 30. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 30 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
  • 31. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 31 Índice: 7. Descripción del problema COMPLEJIDAD El Reglamento eIDAS incrementa en un 270% la complejidad de gestión de certificados digitales SEGURIDAD SISTEMAS DE INFORMACIÓN DÉFICIT RECURSOS Disminución del Sector Público Estatal de la capacidad de inversión en infraestructura tecnológica SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis DÉFICIT EXPERTOS CIBERSEGURIDAD Contemplado en el Plan de Ciberseguridad Nacional 2013
  • 32. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 32 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 33. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 33 Índice: 8. Solución Propuesta FRONT-END: software responsable de la visualización del estado de los ficheros de registro de Autoridades de Certificación. Servidor SMTP 2 GO BACK-END: software responsable de la monitorización del estado de los ficheros de registro de Autoridades de Certificación. La imagen muestra los componentes que forman el Sistema CASeIDAS, que se complementan para ofrecer un servicio de protección de los ficheros de registro de las Autoridades de Certificación registradas en los Sistemas de Información de un Organismo Público. CASeIDAS CA State CASeIDAS CA Monitor CA Monitor Detalle: Front-End y Back-End
  • 34. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 34 Índice: 8. Solución Propuesta Servidor Apache Fichero de Autoridades de Certificación CAs raíz CASeIDAS monitorización MySQL Versión 5.5 CA State CA Monitor registro Servidor SMTP 2 GO alertas visualización ORGANISMO PÚBLICO CIUDADANOS (puestos de clientes) cliente 1 cliente 2 Cliente N Acceso con Certificado Digital Diagrama de Alto Nivel de la Solución
  • 35. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 35 Índice: 8. Solución Propuesta CASeIDAS CA State Funcionalidades CA File: permite ver el detalle de todas las Autoridades de Certificación registradas, concretamente de los campos definidos como MUST por la RFC 5280, entre; Country, Organization, Organizational Unit, Common Name. CA Intrusion: permite ver el detalle de aquellas Autoridades de Certificación registradas en el sistema, pero que no tienen autorización de los responsables del Organismo encargados de su vigilancia. Status: permite ver el detalle del registro de Autoridades de Certificación, mediante una comparación del hash SHA-512 y de la fecha de última modificación de su fichero de registro. Detalle: Front-End
  • 36. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 36 Índice: 8. Solución Propuesta CASeIDAS CA Monitor Servicio de monitorización de los cambios sobre el fichero de registro de Autoridades de Certificación. Permite la configuración de alertas mediante el envío de mail SMTP, pudiendo especificar uno o varios destinatarios. Registra en base de datos el estado de las Autoridades de Certificación que están instaladas en un servidor de Apache, en su fichero de registro, generando un HASH del fichero de Autoridades de Certificación, junto con su tamaño (medido en KB) y la fecha y hora de la última modificación Servidor SMTP 2 GO CA Monitor Funcionalidades Detalle: Back-End
  • 37. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 37 Índice: 8. Solución Propuesta Test CASeIDAS https://youtu.be/vtzKby442_k
  • 38. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 38 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 39. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 39 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes Evaluación
  • 40. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 40 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes  Coste de implementar la solución prácticamente cero  Software sencillo  Solución ajustada a la necesidad  Protección de un activo de información crítico para la Infraestructura PKI Evaluación
  • 41. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 41 Índice: 8. Evaluación de la solución Propuesta Ventajas Inconvenientes  Coste de implementar la solución prácticamente cero  Software sencillo  Solución ajustada a la necesidad  Protección de un activo de información crítico para la Infraestructura PKI Evaluación  Protección no robusta, si el modelo es conocido es fácil de manipular  Necesita complementarse con otros mecanismos alertas como SMS para garantizar el tiempo de respuesta al incidente  Necesidad de concienciación de los Organismos Públicos del riesgo en infraestructuras de red de baja seguridad
  • 42. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 42 Índice Índice 1. Introducción 2. Situación actual 3. Necesidad real ¿Porqué ahora? 4. Objetivos 5. Alcance del proyecto 6. Hacking Certificados Digitales 7. Descripción del problema 8. Solución propuesta 9. Evaluación de la solución 10.Conclusiones índice
  • 43. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 43 Índice: 10. Conclusiones CONCLUSIONES PROYECTO
  • 44. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 44 Índice: 10. Conclusiones CONCLUSIONES  Gran complejidad en la gestión de la Autenticación mediante Identidades Digitales, debido al eIDAS  Sencillo hackear un Certificado cualificado x509.v3 que cumpla el Reglamento UE 910/2014  Problema grave de falta de recursos en el Sector Público, que debe “Digitalizarse” de forma segura  La monitorización del fichero de Registro de Autoridades de Certificación es crítica para garantizar la seguridad de los certificados PROYECTO
  • 45. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 45 Índice: 10. Conclusiones MEJORAS CASeIDAS
  • 46. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 46 Índice: 10. Conclusiones MEJORAS  Alertas mediante mensajería instantánea, para disminuir el tiempo de reacción ante incidentes  Posibilidad de confirmar las Autoridades de Certificación de manera independiente, en lugar de hacerlo en modo bloque  Realización de un “backup” sólo de Autoridades de Certificación para evitar que la recuperación en bloque CASeIDAS
  • 47. José Luis Muñoz de Morales Silva Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos Máster en Seguridad Informática 47