Seguridad en la red

Fernando Tricas Garc´ ıa ftricas@unizar.es
Dpto. de Inform´tica e Ingenier´ de Sistemas del Centro Polit´cnico Superior a ıa e Universidad de Zaragoza, Espa˜a n http://www.cps.unizar.es/~ftricas/ ————————————– Curso ‘Educaci´n del Consumidor’ o

9 de noviembre de 2006

´ Indice

Algunas definiciones Modos de atacar la seguridad y la privacidad Algunas reglas de autoprotecci´n o Confidencialidad y autenticidad Para saber m´s a Conclusiones

Algunas definiciones

ESPASA: PRIVADO, DA adj: Que se ejecuta a la vista de pocos, familiar y dom´sticamente, sin formalidad ni ceremonia e alguna || Particular y personal de cada uno. INTIMIDAD: Parte personal´ ısima, com´nmente u reservada, de los asuntos, designios, o afecciones de un sujeto o de una familia.

Algunas definiciones

Oxford English Dictionary:
PRIVACY (from private) The state or quality of being private. The state or condition of being withdrawn from the society of others, or from public interest; seclusion. || The state or condition of being alone, undisturbed, or free from public attention, as a matter of choice or right; freedom from interference or intrusion. Also attrib. designating that which affords a privacy of this kind. ‘one’s right to privacy’.

Privacidad vs. Seguridad P´blica u

Algunas objeciones Existen herramientas para ayudarnos a proteger nuestra privacidad. Esas herramientas, ¿no ser´n una ayuda para que gente con a pocos escr´pulos cometa sus ‘fechor´ ? u ıas’

Privacidad vs. Seguridad P´blica u

Pero ... Tambi´n se puede comprometer esa seguridad con otras e tecnolog´ (tel´fono, cartas, anuncios en la prensa, ...) ıas e La tecnolog´ est´ disponible, prohibirla no impide su uso. ıa a Nosotros tambi´n podemos necesitar protegernos. e

¿Todos somos esp´ ıas?

(Casi) todo el mundo lleva una c´mara en el bolsillo, hay un a mont´n de c´maras por las calles, . . . o a ¡hasta Google!

Ataques a la privacidad/seguridad

La mayor´ de los usuarios son gente com´n ‘como nosotros’. ıa u ¿A qui´n pueden interesar mis datos? e ¿Qui´n puede querer hacerme da˜o? e n

Ataques a la privacidad/seguridad

Ojo!! Puedo tener acceso a informaci´n importante. o Alguien puede utilizarme como intermediario (o herramienta). Romper s´lo porque es posible (y f´cil a veces). o a

¿Con qu´ debo tener cuidado? e

Acceso f´ ısico a los recursos ¿Qui´n tiene acceso? e
Conocidos. Desconocidos. Computadores compartidos. Servicios de mantenimiento.

¿D´nde est´n? o a
En un despacho cerrado En un laboratorio com´n u En ...

¿Con qu´ debo tener cuidado? e

T´cnicas de ingenier´ social e ıa
Cuidado con gente muy ‘amistosa’. Si en la calle no se lo dir´ ¿en la red si?. ıas, Si normalmente se hace de una manera, ¿por qu´ cambi´?. e o ¿Qu´ datos puede pedirme un t´cnico? e e

Ingenier´ social ıa

Un poco + otro poco + varios pocos = mucha informaci´n o
Primera llamada: nombre del jefe. Con el nombre del jefe: localizaci´n de un recurso. o Con el nombre del jefe y la localizaci´n del recurso . . . o

Confidencialidad de los datos

La prudencia nos ayuda a disminuir los peligros Pero queremos comunicarnos!!! Adem´s .... a

. . . ¿C´mo viaja la informaci´n por la red? o o

¿C´mo viaja la informaci´n por la red? o o

Las malas noticias siguen (?)

¿C´mo viaja la informaci´n por la red? o o

¿Entonces? Objetivo: transmisi´n de informaci´n, fiabilidad y robustez, no o o seguridad. No sabemos por d´nde viaja nuestra informaci´n (ni tenemos o o control sobre ello).

Puertos (sin mar)

Habitualmente, una sola conexi´n (direcci´n) o o Muchos servicios (mail, web, compartir archivos, ...) Soluci´n: asignarles diferentes n´meros (como a los buzones o u de una oficina) Conexi´n −→ direcci´n + servicio o o

¿Y?

Puertos (¿Y?)

Si no damos los servicios, es mejor que no est´n abiertos los e puertos correspondientes. ¡Usar un cortafuegos! Uno, general (a la entrada de la red) Uno, personal (en cada PC)

http://alerta-antivirus.red.es/utiles/ver.php?tema=U&articulo=2

El cortafuegos

Redes inal´mbricas a

La informaci´n se o transmite por el aire (radio)

Precauciones WiFi

Cuidado con las claves Control de acceso con autentificaci´n bidireccional o Configuraci´n WEP (128 bits). Mejor WPA. o Variaci´n en las claves a lo largo del d´ o ıa Control de radio de transmisi´n o Estar atentos ... todo cambia muy r´pido todav´ a ıa

Escuchas

Escuchas

Modificaciones

Suplantaci´n o

¡Los virus y troyanos hacen eso!

Escuchas

Escuchas

Modificaciones

Suplantaci´n o

¡Los virus y troyanos hacen eso! Y algunas personas tambi´n e

Repudio

Yo no fui!

¿Tiene remedio?

Siempre que dos se comunican puede haber un tercero interesado. Siempre que se esconde algo, hay alguien dispuesto a encontrarlo (criptograf´ vs. criptoan´lisis). ıa a

¿Tiene remedio?

Breve historia de la criptograf´ (muy breve) ıa Julio C´sar: ‘desplazamiento en el alfabeto’ e MEDICINA −→ OGFKEKPC Variaciones sobre el tema: reordenamiento del alfabeto, modificaciones m´s sofisticadas. a II Guerra Mundial: Enigma, computadores, grandes avances, pero basados en sistemas similares.

¿Tiene remedio?

Inconvenientes Solamente confidencialidad. Muchas claves ¿C´mo intercambiar las claves? o Ventajas Simplidad Rapidez

¿Tiene remedio?
¿S´lo confidencialidad? o

Afortundadamente, no.

¿C´mo? o

¿Tiene remedio?

Criptograf´ de clave p´blica ıa u Basada en dos claves:
Una p´blica u La otra, privada

Propiedades

Propiedad:

mensaje

clave privada clave p´blica u mensaje codificado mensaje −→ −→

mensaje

clave p´blica u clave privada mensaje codificado mensaje −→ −→

Secreto, autenticidad, . . .

Secreto −→ Codifico con la clave p´blica del receptor. u
¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito

Secreto, autenticidad, . . .

Secreto −→ Codifico con la clave p´blica del receptor. u
¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito

Autenticidad −→ Codifico con mi clave privada.
S´lo yo puedo haberlo escrito o Cualquiera puede leerlo

Secreto, autenticidad, . . .

Secreto −→ Codifico con la clave p´blica del receptor. u
¡S´lo ´l puede leer! o e Cualquiera puede haberlo escrito

Autenticidad −→ Codifico con mi clave privada.
S´lo yo puedo haberlo escrito o Cualquiera puede leerlo

Autenticidad + Secreto
Es posible combinar las dos .
S´lo yo pude escribirlo o S´lo el receptor puede leerlo o

¿Y el receptor?

¡Al rev´s! e
1. Decodifica con su clave privada (s´lo ´l puede). o e 2. Comprueba la autenticidad con mi clave p´blica. u

Vamos bien
Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. o

Vamos bien
Ventajas Mi clave p´blica es conocida por todos. u Mi clave privada no se transmite. La clave p´blica del receptor garantiza que s´lo ´l podr´ leerlo. u o e a Mi clave privada garantiza que s´lo yo he podido generarlo o (salvo robo). S´lo necesitamos una clave por cada interlocutor. o Inconvenientes M´s complicado. a M´s lento (elevar n´meros a pontencias grandes). a u ¿De qui´n es la clave p´blica? e u

¿Tiene remedio?.

Recordar: ‘Mi clave privada garantiza que s´lo yo he podido o generarlo (salvo robo).’ Entonces ... Si codifico con mi clave privada, cualquiera puede comprobar la veracidad con la p´blica (no hay secreto, pero si u verificaci´n). o ¡Vaya l´ ıo! Se puede simplificar (en realidad, acelerar).

Firma digital

No quiero codificar todo el mensaje:
Mucho trabajo (c´lculos). a Confusi´n (X$&7Ji43). o No es secreto

La soluci´n o mensaje −→ mensaje + ‘resumen del mensaje’ −→ mensaje + ‘resumen del mensaje cifrado’

Firma digital

¿Y ahora? Cualquiera puede leerlo (si codifico s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad.

Firma digital

¿Y ahora? Cualquiera puede leerlo (si codifico s´lo con mi clave, o tambi´n). e Cualquiera puede comprobar su autenticidad. ¿C´mo lo hago? o PGP http://www.pgp.com/ GnuPG http://www.gnupg.org/(es)/index.html

Cosas que queremos/Cosas que no queremos

Queremos
Compartir informaci´n o Trabajar Relacionarnos ...

No queremos
Contenidos indeseables Virus, troyanos y otros animalitos Pensar (mucho)

Contenidos indeseables

Lo que no queremos ver En la red hay de todo (tambi´n cosas buenas. . . muchas) e Algunas soluciones
Educaci´n o Igual que en la calle (?) Hay filtros ...

Virus, troyanos, programas maliciosos

Cualquier programa ‘extra˜o’ que ejecutemos es n potencialmente peligroso. Incluso algunos aparentemente utiles ´ No sabemos lo que puede hacer un programa de origen desconocido Lo mejor:
De alguna empresa ‘reconocida’ Que est´ disponible el c´digo fuente e o

¿Qu´ es? e
Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . .

¿Qu´ es? e
Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse.

¿Qu´ es? e
Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a

¿Qu´ es? e
Un virus es un programa de ordenador que puede infectar otros programas modific´ndolos para incluir una copia de a s´ mismo ı S´lamente destructivos, molestos, ... o Desde princios de los 80 . . . Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de un programa de apariencia inocente. Cuando este ultimo es ejecutado el Troyano realiza la acci´n o se oculta en ´ o la m´quina del incauto que lo ha ejecutado. a ¡Cuidado! Los troyanos fueron los atacados!

Hay m´s a

Pero hay m´s. . . a
Esp´ (‘spyware’) ıas Servicios ocultos

¿Y los re-marcadores? (‘dialers’)

¿C´mo nos llegan? o

Programas normales infectados. Programas que producen efectos graciosos (felicitaciones, bromas, ...). Falsos antivirus Utilidades con truco Navegando . . . .

¿C´mo nos llegan? (II) o

Ficheros de contenidos para aplicaciones ofim´ticas con a capacidades programables.
.doc, .xls, .rtf falsos ... Ficheros renombrados, enlaces falsos Dobles extensiones LEEME.TXT.doc −→ LEEME.TXT

Aplicaciones de visualizaci´n de datos con capacidades o programables.
javascript, VBS, ... Tambi´n pdf, Flash (.swf), ... e

¿C´mo nos llegan? (III) o

Redes de intercambio de ficheros IRC Mensajer´ instant´nea ıa a

Caso: Mydoom
Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcci´n falsa o

Caso: Mydoom
Tambi´n conocido como Novarg, Shimgapi, Shimg, Mimail.R e (lunes 26 de enero de 2004) Distribuido a trav´s de adjuntos: .BAT, .CMD, .EXE, .PIF, e .SCR y .ZIP El icono en windows simula ser un fichero de texto Direcci´n falsa o Asunto variable (“Error”, “Status”, “Mail Transaction Failed”, “hello”, “hi”) Contenido textual variable ... Efecto
“Message” en el directorio temporal de Windows “shimgapi.dll” y “taskmon.exe” en el directorio de sistema (system) de Windows (Uy!)

Caso: Mydoom

Abre “Message” (con caracteres al azar) en el bloc de notas.
Con este efecto el gusano intenta enga˜ar al usuario. n

Busca direccciones de correo y se auto-env´ ıa Intenta reproducirse mediante Kazaa
winamp5, icq2004-final, activation crack, strip-girl-2.0bdcom patches, rootkitXP, office crack, nuke2004 Abre el puerto TCP 3127 (¿puerta trasera?)

Hasta 1000 mensajes/minuto, (1 de cada 12) Un computador infectado env´ mucho correo, pero tambi´n ıa e lo recibe Podr´ ser un ataque contra SCO (?). Dej´ de funcionar el 12 ıa o de febrero de 2004.

M´s casos (cifras y letras) a
CIH (1998) de 20 a 80 millones de d´lares. o Melissa (1999) 300 a 600 millones de d´lares o Hay quien asegura que afect´ del 15 % a 20 % de los o ordenadores del mundo. (Microsoft Outlook, Word) ILOVEYOU (2000) de 10 a 15 billones de d´lares o (Microsoft Outlook, ingenier´ social: hac´ falta abrirlo) ıa ıa Code Red (2001) 2.6 billones de d´lares. o En menos de una semana infect´ casi 400.000 servidores y o mas de un 1.000.000 en su corta historia. (IIS) SQL Slammer (2003), 500000 servidores. Poco da˜o porque n era s´bado. a Era muy r´pido (red de cajeros autom´ticos del Bank of a a America). Infect´ el 90 % de los servidores vulnerables en 10 o minutos. (Microsoft’s SQL Server Desktop Engine )

M´s casos recientes (cifras y letras) a
Blaster (2003) de 2 a 10 billones de dolares, cientos de miles de ordenadores infectados. (Vulnerabilidad de Windows 2000 y Windows XP). SoBig (agosto 03) de e 5 a 10 billones de d´lares y m´s de un o a mill´n de ordenadores infectados. o 1 mill´n de copias de ´l mismo en las primeras 24 horas. o e Caus´ millones en p´rdidas (1 de cada 17) o e (Adjunto de correo) Bagle (2004) Muchas variantes Sasser (2004) suficientemente destructivo como para colgar algunas comunicaciones satelites de agencia francesas. Tambien consigui´ cancelar vuelos de numeros compa˜ias o n a´reas. e No necesitaba acciones por parte del usuario para propagarse.

´ Ultimamente . . .

Todo ha cambiado un poco . . . Los ‘malos’ ya ‘dominan’ la tecnolog´ y ahora la utilizan ıa Instalaci´n de ‘malware’: esp´ servidores web, botnets . . . o ıas,

Phising

Phising

Caso reciente (pero menos)

Clique aqui −→ http://videodoorkut.webcindario.com/orkut.exe

¿Entonces?

https s´lo garantiza que la conexi´n es cifrada, no que sea ‘la o o buena’ No pinchar en esa direcci´n, acceder como normalmente o (favoritos, escribiendo la URL, . . . ). Comprobar el certificado de autoridad Tambi´n por correo electr´nico e o En caso de duda ... tel´fono, visita a la sucursal... e

¿D´nde mirar? o

El cerrojo

Spam
Correo basura, correo no solicitado. En algunos casos ofertas ‘leg´ ıtimas’, en otros casos directamente fraudulentas. En todo caso, prohibido y muy mal visto. Correo no solicitado (de naturaleza comercial) Habitualmente, ofertas de dudosa condici´n o Es muy barato para el que lo env´ y caro para los dem´s ıa, a (sobre todo ISP’s) No siempre es inofensivo

En correo electr´nico, mensajer´ instant´nea, grupos de o ıa a noticias, foros, tel´fonos, blogs, . . . e

Ejemplos

Contra el spam

Cuidado con nuestra direcci´n de correo (¿a qui´n se la o e damos? De todas formas acabaremos recibi´ndolo) e No redirigir mensajes en cadena, no responder a mensajes de procedencia dudosa utilizar un filtro anti–spam
http://alerta-antivirus.red.es/utiles/ver.php?tema=U&articulo=11&pagina=0

¿Algo m´s? a

Borrar el historial ...

... sobre todo si el computador no es nuestro, o es compartido

Algunas reglas de autoprotecci´n o

Disponer de un antivirus (y utilizarlo, y actualizarlo). Suscribirse a las listas de avisos de seguridad (o tener a alguien que lo haga ...). Nunca ejecutar programas ni abrir ficheros del exterior (sin cuidado). Utilizar los perfiles de usuario. Ning´n sitio serio (y los bancos lo son con estas cosas) le u pedir´ la clave nunca. De hecho, probablemente ni siquiera la a conocen.

Algunas reglas de autoprotecci´n o

Configurar adecuadamente los programas que interaccionan con el exterior (que no hagan nada, o casi nada, solos: atenci´n a las previsualizaciones). o ¿Realmente es necesario que me lo env´ as´ ıe ı? Instalar y configurar adecuadamente un cortafuegos (firewall).

Algunas reglas de autoprotecci´n o

Actualizar el sistema regularmente ... ¡cuidado! no fiarse de los avisos que llegan por correo, ir siempre a la p´gina web del fabricante. a Ni siquiera tienen nuestra direcci´n de correo, en caso de duda o ..

Actualizaciones. Cifras

2004-2005. Honeypot, con varios sistemas (Windows, Mac, Linux) Windows XP. SP 1.
Fue atacado 4857 veces Infectado en 18 minutos (Blaster y Sasser) En una hora era un ‘bot’ controlado remotamente, y comenz´ a realizar sus propios ataques o

Feb-Marzo 2005: menos del 24 % de los Windows XP observados en un estudio de AssetMetrix Research Labs ten´ SP2. Menos del 7 % del total lo ten´ 251 empresas ıan ıan. norteamericanas (seis meses desp´s de su lanzamiento). e

¡Hay que actualizar!

http://windowsupdate.microsoft.com ¡Una vez al mes! (segundo martes de cada mes)

M´s sugerencias a

http://www.microsoft.com/technet/security/tools/mbsahome.asp

Para NT, 2000 o XP.

M´s autoprotecci´n a o

Estar preparados para lo peor (copias de seguridad). Comprobaci´n del nivel de seguridad usado (¿pueden o cambiarnoslo?)

Spyware (esp´ ıas)

Los esp´ se usan para muchas cosas ... ıas
H´bitos de navegaci´n a o Robo de claves Robo de correo ....

Siempre: mucho cuidado con lo que instalamos. Hay programas para vigilarlos y eliminarlos.
http://alerta-antivirus.red.es/utiles/ver.php?tema=U&articulo=10&pagina=0

Marcadores

¿Qu´ sucede si alguien cambia nuestro n´mero de acceso e u telef´nico a la red? o

http://www.hispasec.com/software/checkdialer http://alerta-antivirus.red.es/utiles/ver.php?tema=U&articulo=7&pagina=0

¿Entonces?

Regla 1: Hasta lo que parece inofensivo, puede ser peligroso. Regla 2: Cuanto menos autom´tico, mejor. a Regla 2: En caso de duda, preguntar.

Compartir archivos

Compartir es bueno (la informaci´n quiere ser libre, sobre todo o en la red) pero... Cuidado con los formatos (buscar el que menor da˜o pueda n hacer) Cuidado con qu´ y de d´nde viene e o Respetar la ley

Sobre las claves

Que contengan mezcladas letras, n´meros y s´ u ımbolos
Evitar claves parecidas en distintos sitios Evitar palabras, t´ ıtulos de libros, ciudades, . . .

Mas de 8 caracteres ¿Mejor frases? No compartirlas
Con los otros Para varias cosas

Cambiarlas de vez en cuando No sirve de nada una clave muy buena, si est´ al lado de la a m´quina en que se usa a

Tiempos descubrimiento de claves

Clave de longitud 8
Clave N´meros (10) u Caracteres (26) May. y Min (52) Car. y N´m. (62) u Car., N´m. y S´ (96) u ım. Combinaciones 100 M 200.000 M 53 MM 218 MM 72.000 MM 10.000 3 2 4 h. 242 d. 1 169 2 a. 692 a. 22.875 a. N´mero de claves por segundo u 100.000 1M 10M 100M 17 m. 1 1 m. 10 s. Inmediato 2 1 d. 24 d. 22 348 m. 35 m. 1 a. 17 a. 12 62 d. 6 d. 7 a. 253 d. 25 1 d. 69 1 a. 4 4 1 2.287 a. 229 a. 23 a. 2 4 a. 1000M Inmediato 3 1 m. 2 15 h. 1 60 2 h. 1 83 2 d.

http://www.tufuncion.com/ataques-passwords-hacker-msn

Para saber m´s a

Criptonomic´n o http://www.iec.csic.es/criptonomicon/ Campa˜a de seguridad de la Asociaci´n de Internautas: n o http://seguridad.internautas.org/ http://www.seguridadenlared.org/ Alterta-Antivirus (red.es) http://alerta-antivirus.red.es/ Hispasec http://www.hispasec.com/ Muchas otras .... La seguridad est´ ‘de moda’. a

Conclusiones

La red fue dise˜adad para dar fiabilidad y robustez, no n seguridad. Mejor prudente y cuidadoso que tener las ultimas ´ herramientas inform´ticas. a En algunos casos, la comodidad es enemiga de la seguridad. La seguridad es un proceso Seguridad como gesti´n del riesgo o Disponemos de herramientas para garantizar nuestra privacidad, pero no s´lo eso ... o