1. PROYECTO 2 – CRIPTOGRAFÍA
RA: Asegurarlaprivacidadde lainformacióntransmitidaenredesinformáticasdescribiendo
vulnerabilidadese instalandosoftware específico.
Tu jefe te llamaporque sospechaque unhackerestáteniendoaccesoadocumentos
confidencialesque se mandana travésde la red.Las únicasvías por lasque se intercambian
estosdocumentos sonel correoelectrónicoyel serviciode FTP.
1. Los correoselectrónicosse intercambianatravésde la plataformade Google,GMail.
a. Analizalaidoneidadde estavíapara intercambiarinformaciónconfidencial.
No esuna soluciónsegura,yaque loscorreosenviados,nodisponende unmecanismo
de cifrado.
b. Investigaalternativasaestasolución.
En el caso del servidorde Gmail,podemosmejorarlaseguridadde lascredenciales
que usemospara conectarnosmediante unaverificaciónendospasos,iniciamoscon
nuestracontraseñay lacontraseñaque nos llegaráal teléfono.Si alguienobtuviesela
contraseñade nuestrocorreo,tambiéntendríaque disponerde nuestroteléfono
móvil paraacceder a nuestrocorreo.
Otra opciónsería cifrarlos mensajesque enviemos,unaopciónconla que nocuente
Gmail,peroque podemosutilizar conotras aplicaciones.
2. Los ficherosse intercambianporFTPa travésde la aplicaciónFileZilla.Se descargaron
tanto el servidorcomoel cliente de Internetyse instalaronconlaconfiguración
básica.En la empresatienenequiposejecutándose tantoen WindowscomoenLinux.
Comprueba,atravésde dosequipos,loseguraque eslatransmisiónde ficherosconesta
aplicación.Paraello:
a. Descárgate el servidoryel cliente de lapáginadel proyectoFilezilla.Instala
cada uno enun equipo.El servidorirá sobre unamáquinaWindowsyel cliente
sobre una máquinaLinux (Ubuntu12.04). Creaen el servidorunusuariocon
contraseña.Compruebaque clienteyservidorfuncionan,accediendodesde el
cliente Linux al servidorenlamáquinaWindowsytransfiriendoalgúnfichero.
3. En “IP Filter”escribimoslaIPde la máquinafísica.
Abrimoslaopcionesde Filezillayen“Passive mode”activamosel usode laIPy escribimosde
nuevolade la máquinafísica.
4. Ahoraen el cliente escribimoslaIPdel servidor,el nombre de usuarioylacontraseña.
Hacemosclic en“Conexiónrápida”.
Aquí vemosque se haestablecidolaconexiónentre ambasmáquinas.
5. En el cliente crearemosunnuevodirectorio.
Lo arrastramos hasta el servidoryvemosque latransferenciase hacompletado.
6. Y aquí vemosque se hacreado la carpetaen el servidor.
Analizaunaprimerasoluciónparagarantizarla seguridaddel intercambiode ficheros
realizandouncifradoasimétricoprevioalatransmisióndel fichero.Paraello:
a. Descarga laherramientagpgy sigue lospasosdel casopráctico 3 (Cifrado
asimétricoenLinux) necesariosparacifrarel ficheroque se vaa transmitirvía
FTP (noesnecesariorealizartodoel casopráctico).
Escribimosel comando“gpg –gen-key”,enelecciónseleccionamoslasegunda,entamañode
clave “1024” y envalidezde clave “0”.
8. Para verlas clavesescribimosel comando“gpg –list-keys”.
Con el comando“gpg –a –export–o /tmp/angel.pub”laexportamosal ficheroangel.pub.
9. Ahoracon el comando “gpg –import/tmp/angel.pub”
b. Activade nuevolacaptura de tráficoenel servidoryrealizalatransferencia
del ficherocifrado.¿Se puede aúndescubrirel usuarioylacontraseñade
acceso al servidorFTP?¿Y lospaquetesde contenido?
3. Investigaydescribe otrasposiblessolucionesque permitanunintercambiosegurode
informaciónvíaFTP,de modoque no se puedanidentificarenlacomunicación(al
conectar el sniffer)el usuario,lacontraseñani el contenidodel fichero.
Otra posibilidadseríael reenvíode puertosmediante ssh,de tal formael protocolossh
esel que cifra toda lacomunicación.
4. Has conseguidoque lainformaciónse intercambiede formaseguraentre clientey
servidorFTP.Peropara que losusuariosque puedanaccederal servidoryse
descarguenunfichero,puedanaccederalainformacióndel mismo,esnecesarioque
puedandesencriptarlo.Piensacómopodríashacerque sololosusuariosde la empresa
(o los que seande confianza) puedanaccederal contenidode ficherosencriptadosen
el servidorFTP.
Podríamoscrear dos grupos,unoloformarían losusuariosque seande confianza,con
todoslospermisosque quisiéramosdarlesypudieranmaniobrarde forma libre conlos
archivos,mientrasque alosque no son de tanta confianza,nose lesfacilitaríanciertos
permisos.
10. Nuevamentete llamatujefe.Parece que estánerviosoymuyinquieto.Te explicaque
alguienestátratandode chantajearle conpublicarfotos indiscretasde sucuentade Apple.
Cree que han accedidoa sucuenta contestandoalaspreguntasde seguridadque plantea
Apple cuandose te ha olvidadolacontraseña.Laspreguntassonlas siguientes:
5. Ayudaa tu jefe (que se llamaJohnCinebi) adescubrirporqué esvulnerableel sistema
de recuperaciónde contraseñamostrado.Paraellohazuso de la informaciónque
aparece sobre él enlas redessociales.Utilizatambiénherramientasde obtenciónde
información“oculta”(metadatos),comoFocaFree o GeoSetter.
No esun buenmétodode seguridad,yaque el nombre de unamascotao una
direcciónenlaque se reside,sonrelativamente fácilesde encontrarenredessociales
o entoda la informaciónpersonalque circulaporInternet.
Comovemosaquí buscandosimplementesunombre enGoogle,nosaparecensus
redessociales,comoTwitteroFacebook.
11. Si ingresamosasu páginade Twittervemosque el primerTweetque posteónos
descubre el nombre de sumascota.
6. Explícale tambiéncómoeliminarlosmetadatosde unarchivo.
Eliminarlosmetadatosesmássencillode losque parece,bastaconir a la pestañade
destallesenlaspropiedadesde lafotoy hacerclic en“Quitarpropiedadese
informaciónpersonal.