Las tácticas para tener claves seguras en internet

¿Qué tienen en común el correo electrónico, la cuenta bancaria y Facebook? Todos piden clave para acceder, es decir, esa combinación de letras y/o números que abre la puerta a la privacidad de las personas y que a los hackers les cuesta, literalmente, cinco minutos descubrir.

Correos electrónicos que no recuerda haber mandado. Cambios misteriosos en el estado de su perfil en Facebook, fotos que desaparecen o, en el peor de los casos, dinero que se desvanece de la cuenta del banco sin que uno sepa por qué. Todos esos problemas pudieron haberse evitado desde el principio si el usuario hubiera tenido en cuenta una sola cosa: una contraseña segura. Porque una mala contraseña puede ser peor que no tener ninguna.

Lo ideal, según los expertos, es una clave intermedia: que sea fácil de recordar, pero difícil de adivinar. Un desafío que es mucho más sencillo de lo que parece.

Para ello suelen utilizar programas llamados «crackers», los cuales prueban una a una las combinaciones de letras y números posibles que puedan existir. Es por eso que es muy importante que las contraseñas contengan cuatro tipos esenciales de caracteres: números, minúsculas, mayúsculas y símbolos.

La combinación de estos elementos es visiblemente efectiva: mientras una clave de ocho caracteres -el mínimo recomendado por los expertos- que tenga sólo letras puede tardar tres minutos en ser averiguada, una contraseña que contenga los cuatro elementos antes mencionados puede demorar 83 días.

La combinación de estos elementos puede sonar muy compleja, pero hay consejos que sirven para crear buenas contraseñas a partir de palabras comunes. Una buena idea es convertir ciertas letras en números que se le parezcan y agregar símbolos al final. Así, de la palabra «elefante» puede surgir la contraseña «3l3F@nT3». Otra opción es buscar una frase larga, de una canción o un libro y colocar la primera letra de cada palabra.

MENTIR AYUDA
Pero no basta con cuidar que la clave elegida sea segura, si no se toman precauciones con los métodos de recolección alternativos. Les pasó a la ex candidata a vicepresidenta de EE.UU. Sarah Palin y a la famosa Paris Hilton. Ambas tenían cuentas con claves bien guardadas y vigiladas, pero cometieron un error fatal: las respuestas a las preguntas de recuperación de dichos códigos eran fácilmente descifrables.

La solución en estos casos es sencilla: crear respuestas ficticias para las preguntas de recuperación. Respuestas que obviamente luego sean fáciles de recordar. Otros expertos aseguran que ni siquiera hay que mentir, sino que derechamente colocar una serie de caracteres indescifrables en la pregunta y guardar esa palabra en un papel u otro lado.

Con todo lo anterior, es necesario recordar que no existe la clave perfecta, pero sí las conductas más seguras para manejarlas. Lo primordial es cambiarlas regularmente. No existe un período estándar, pero lo normal es que sea cada uno o dos meses, ya que tampoco se trata de forzar la mente para crear y recordar tantas palabras.

De más está decir que revelar y compartir las contraseñas es una conducta muy poco segura, y que lamentablemente se da más de lo que uno imagina. En el metro de Londres se realizó un experimento en el cual se le regalaba una golosina a quien diera su contraseña de correo electrónico. El 67% de las personas aceptó.

CLAVES SEGURAS
– Cambiar las contraseñas que vienen por defecto, y luego cambiarlas idealmente cada dos meses.
– No usar información que otros puedan conocer, como la fecha de nacimiento. Lo mismo se aplica a las preguntas de los servicios de recuperación de contraseñas.
– Mezclar diferentes caracteres: números y letras mayúsculas y minúsculas y símbolos.
– La contraseña debe tener más de ocho caracteres.
– Usar frases de un libro o canción en vez de palabra. Son contraseñas largas y fáciles de recordar.
– Usar distintas claves para distintos servicios y nunca las use cuando esté en un computador público.

EN POCOS MINUTOS
Descubrir una contraseña de seis caracteres es muy fácil, y muy rápido:
– Si la contraseña tiene sólo números: un instante.
– Si tiene sólo letras: 5 minutos.
– Si tiene letras en mayúscula y minúscula: 5 horas y media.
– Si tiene números y letras en mayúscula y minúscula: 16 horas.
– Si tiene números, letras y símbolos: 9 días.

VERIFICADORES
En internet es posible encontrar sitios especializados para comprobar la efectividad de una clave, entre ellos estas dos opciones:
– Passwordmeter
– Securitystats

¿Qué debo hacer si recibo un mensaje en el que me solicitan mis datos personales?

Extraído de www.gmail.com

El spam toma varias formas, por ejemplo, se puede presentar en forma de mensajes fraudulentos. Este tipo de envío masivo se denomina «spoofing» (suplantación de identidad) o «password phishing» (suplantación de identidad para obtener contraseñas). Se trata de prácticas fraudulentas que se llevan a cabo mediante mensajes que parecen proceder de fuentes legítimas o bien mediante la creación de páginas web aparentemente oficiales que solicitan tu nombre de usuario y contraseña u otra información personal. Estos mensajes o páginas web pueden solicitar que proporciones tu Número de la Seguridad Social, tu número de cuenta bancaria, tu número de identificación personal (PIN), números de tarjetas de crédito, el nombre de soltera de tu madre o la fecha de nacimiento.

Los emisores de spam suelen solicitar este tipo de información con la intención de robarte tu cuenta de correo, tu dinero, tu crédito o tu identidad.  

Debes desconfiar siempre de los mensajes o páginas web que solicitan información personal. Si recibes un mensaje de este tipo, sobre todo si dice provenir de Google o Gmail, hotmail, etc. No proporciones la información que en él se indica.  

A continuación te indicamos qué puedes hacer para proteger tus datos personales y detener las prácticas fraudulentas:  

Asegúrate de que la URL de dominio de la página que se indica es correcta y haz clic en alguna de las imágenes o vínculos para comprobar que el sitio te redirecciona a las páginas pertinentes. Por ejemplo, la URL de Gmail es http://mail.google.com/ o, para mayor seguridad, https://mail.google.com/. Aunque algunos vínculos contengan ‘gmail.com’, es posible que se te redireccione a otro sitio al introducir en tu navegador la dirección que se proporciona.  

Siempre que te dispongas a introducir información confidencial, como tu contraseña, asegúrate de que en la barra de estado de la parte inferior de la ventana de tu navegador aparece el icono de candado cerrado.  

Revisa las cabeceras de los mensajes. En estos casos de prácticas fraudulentas, el campo ‘De:’ suele manipularse para mostrar un nombre de remitente falso. Información sobre cómo visualizar cabeceras.  

Si todavía tienes dudas sobre la veracidad del mensaje, ponte en contacto con la organización que lo envía, pero nunca utilices la dirección de respuesta del mensaje, ya que podría ser falsa. Te recomendamos que visites la página web oficial de la organización y busques una dirección de contacto distinta.  

Si por medio de un mensaje de «spoofing» o «phishing» has proporcionado tu información personal o de cuenta, toma las medidas pertinentes lo antes posible. En caso de haber indicado los números de tu tarjeta de crédito o cuenta bancaria, ponte en contacto con tu banco. Si crees que has sido víctima de una suplantación de identidad, ponte en contacto con la policía local.   

Ejemplo de mensaje ocupado por los suplantadores.  

Dear Bank of America customer, 

In order to be prepared for the smart card upgrade on Visa and MasterCard debit and credit cards and to avoid problems with our ATM services, we have recently introduced additional security measures and upgraded our software. 

The security upgrade will be effective immediately and requires our customers to update their ATM card information. Please update your information by following the link given below.  

http://0313.0136.047202/online/sslencrypt218bit/online_banking/  

We are committed to delivering your quality service that is reliable and highly secure. This email is one of many components designed to ensure your information is safeguarded at all times.  

Please do not reply to this message. For any inquiries, contact Customer Service.  

Algo de PKI

En el mundo de hoy es importante mantener la seguridad tanto en el entorno de nuestra vida, como en el entorno de trabajo. Ya no basta con las hacer una contraseña ultra segura. No basta solo eso, es necesario disponer de tecnologías más avanzadas que nos permitan proteger la confiabilidad y fiabilidad de nuestros mensajes.

Pensemos por ejemplo si al ingresar a una página de un banco, los datos personales de mi cuenta viajan por Internet sin cifrar, cualquier niño malo los puede interceptar a través del largo viaje que hacen estos datos hasta llegar a las bases de datos del banco.

Pensemos que la empresa en donde trabajamos no dispone de una política de seguridad de envió de correo seguro. Por lo cual somos vulnerables a todas las deficiencias que tiene el antiguo protocolo SMTP.

Lamentablemente, para los niños malos existen herramientas que les permiten captar información de la red y permiten a estos niños malos hacer mal uso de ella.

Para todo esto, existen infraestructuras como PKI, que permiten que tecnologías cotidianas para nosotros sea protegidas de cualquier individuo que esta mirando los datos que viajan por las redes de manera maliciosa.

PKI es una infraestructura de claves públicas que nos permite cifrar y firmar comunicaciones, para que el uso malicioso de analizadores de protocolos sea inútil

PKI tiene varias tecnologías que pueden ser aplicadas en un ambiente Windows o linux

Con PKI

• Puedo proteger y cifrar archivos por medio EFS y ocupar la tecnología PKI (certificados para formarlos)

• Puedo cifrar las comunicaciones a usuarios en un sitio Web, por medio del protocolo https, el cual permite que todos los datos que introduzco en la pagina Web viajen cifrados.

• Puedo implementar correo seguro por medio de Exchange, para que los clientes puedan firmar y cifrar mensajes de correo electrónico.

• Puedo autentificar usuarios a un servidor de directorio activo.

Y muchas otras tecnologías como el uso de tarjetas inteligentes, la seguridad de wireless, etc.

¿Cuantas formas existen para requerir un cerificado?

En una ambiente de Windows 2003 Server con un CA dentro de nuestra organización, hay dos maneras; una automática y otra manual, los certificados se pueden obtener promedio de mmc, o un servidor IIS.

¿Que es S/mime?

S/MIME (Secure / Multipurpose Internet Mail Extensions, del inglés, Extensiones de Correo de Internet de Propósitos Múltiples / Seguro) es un estándar para criptografía de clave pública y firmado de correo electrónico encapsulado en MIME.

¿Función de S/MIME?

S/MIME provee los siguientes servicios de seguridad criptográfica para aplicaciones de mensajería electrónica:

* Autenticación, integridad y no repudio (mediante el uso de firma digital)

* Privacidad y seguridad de los datos (mediante el uso de cifrado)

S/MIME específica el tipo application/pkcs7-mime (tipo smime «enveloped-data») para envoltura de datos (cifrado): la entidad MIME completa a ser envuelta se cifra y se empaca en un objeto que luego se inserta en una entidad MIME application/pkcs7-mime.

La funcionalidad S/MIME está construida en la mayoría de los clientes de correo electrónico modernos y son capaces de interoperar entre ellos.

¿Que son los certificados en S/MIME?

Antes de que S/MIME pueda usarse en alguna de las aplicaciones antes mencionadas, se debe obtener e instalar una clave/certificado individual tanto de la autoridad certificante (AC) interna como de una AC pública.

Como decía el protocolo SNTP, cuenta con muchos baches debido a que cuando fue desarrollado, los ingenieros de esa época ni siquiera imaginaros que fuese necesaria tanta seguridad para este protocolo.

SMTP no ofrece:

Protección para los datos enviados

Autenticación

cifrado

No Repudio

Con la implementación de s/mime junto SMTP, se logra protección para el canal en donde envía el correo, cifrado del mensaje, firma del mensaje,

¿Que logro con la firma digital?

La firma digital es una especie de notario digital que permite validar que el usuario que dice se ser, es realmente quien dice que es, enredado verdad? , a eso los gurues de la seguridad le han llamado no repudio.

http://es.wikipedia.org/wiki/S/MIME

http://es.wikipedia.org/wiki/Clave_p%C3%BAblica

http://es.wikipedia.org/wiki/Firma_digital

http://es.wikipedia.org/wiki/MIME

http://es.wikipedia.org/wiki/PKCS#7

http://es.wikipedia.org/wiki/Autoridad_certificante

 

NAC

“Las recientes infecciones por gusanos y virus han hecho que la aplicación de las políticas de seguridad en los clientes sea la principal prioridad en las empresas actuales. Muchas organizaciones se convierten en víctimas de los exploits cuando un usuario móvil o un usuario visitante conectan sus dispositivos infectados de manera directa en la LAN interna. Para eliminar estas amenazas se requiere fortalecer las políticas y la tecnología para el control de admisión en la red.»Como dice la cita de un prestigioso especialista en seguridad, por estos días es de suma importancia proteger los activos con los cuales cuenta la organización. Los ataques de virus y gusanos continúan afectando de manera incremental a las redes de información. Afectando directamente a los activos y componentes de la empresa, cuando digo activo me refiero a información, equipos, servicios, etc, que en algunos casos pueden ser críticos para la empresa.NAC nació para dar solución a este gran problema por medio de una seguridad proactiva, protegiendo los activos críticos de una organización como pueden ser: un servidor Web para un portal de compras por Internet, o algún otro servicio como una plataforma para una banco, en la cual es muy importante que todas las transacciones se hagan en tiempo real. Llevado esto a lo que sucede en chile también cabe el transantiago, en donde las transacciones también deben ser hechas en línea y las tarjetas deben ser encriptadas para evitar la clonación, sobre todo a lo que refiere el uso de tarjetas bancarias en el pago del pasaje. NAC es un programa multiplataforma, pero igual es dominado por algo que nosotros conocemos bastante bien “cisco”. Como esta empresa es el líder mundial en redes para Internet, casi todas las empresas de seguridad están asociadas al modelo que Nac-cisco provee.

Ej.: una empresa como trend-micro es socio de cisco en el desarrollo de una plataforma NAC, ya que las redes NAC necesitan antivirus para proveer protección a la continuidad del negocio.NAC un sistema de control de admisión a una red. Network admisión control es un programa de múltiples proveedores enfocada a limitar las amenazas de seguridad a las cuales puede verse afectada nuestra empresa. Con Nac los clientes de una red trabajan de una manera proactiva en el entorno de una amenaza, digo manera proactiva a la forma de actuar antes que las amenazas cumplan sus objetivos, todo esto lo logra Nac al trabajar políticas de seguridad en la empresa.

Ejemplo burdo NAC

A) clientes de la empresa raul intentan acceder a la red, buscan autorización en los dispositivos de acceso Nac, Ej. router, firewall.

B) Los dispositivos de acceso a la red notifican que hay clientes que quieren ingresar a la red raul, se le envía un a notificación al Server de seguridad Nac para preguntarle si estos clientes cuentan con los requerimientos de políticas de seguridad.

C) El servidor de políticas devuelve los derechos de usuario a los dispositivos de red y su vez los dispositivos de acceso notifican a los clientes que intentan ingresar, si cumplen con los requisitos de seguridad puestos por la empresa.

Características

¿Cuales son los principales riesgos de seguridad en una empresa?

• no contar con una red disponible• ser una red no confiable
• no ser una red productiva

¿Cómo ataco eso?

Herramientas como NAC, ayudan a tener una red integrada en donde puedo gestionar la seguridad de la información.

¿Un ejemplo de eso?

Supongamos que clientes remotos quieren acceder a la Intranet, de la empresa raul, y la política de NAC dice que para entrar al Intranet de la empresa de raul es necesario que el cliente tenga su sistema operativo parchado con las ultimas actualizaciones de seguridad instaladas, el cliente se vera forzado cumplir con los requerimientos de seguridad de lo contrario se le limitara el acceso o simplemente se le prohibirá acceder a los recursos la Intranet.

• un vendedor que se conecta a la red de un hotel

• un invitado que accede a la Intranet mediante Lan por cable o inalámbrico

• un equipo desactualizado que forma parte de la red

¿Qué es lo que busca la seguridad?

La seguridad se debe encontrar centralizada, para ser mas fácil su gestión, el gestionar una red con herramientas como NAC, permiten que se gasten mas recursos en infraestructura, sobre todo en que software refiere, disminuyendo así la carga administrativa por medio de la centralización.

¿Nac soporta INN?

INN es un concepto nuevo de cisco, conocido como redes inteligentes, INN nació con el propósito de integrar la seguridad en toda una red ip convergida, INN funciona de una manera proactiva ya que es capaz de identificar amenazas de seguridad, Nac soporta la auto-defensa propuesta por INN.

Productos

• trend-micro office scan 6.5
• oficcescan corporate edition
• trust agent (control de politicas)
• acs(cisco segure access control)
• software del cisco security agent
• cisco work security information management solution
• panda clientshield con tecnología triprevent
• mcafee nac
• Microsoft por medio de Nac-Nap, cisco network admision control y Microsoft network access protección, a partir de win 2003 Server esta plataforma provee operabilidad de ambos sistemas, estará mas integrada en las próximas versiones de Server como loghon. estas empresas incluso se prestaran sus protocolos propietarios, para que estas plataformas funcionen de manera adecuada.
• Symantec: symantec sygate enterprice, symantec policy manager
• IBM el software tivoli (identity manager para cisco secure access) se integra con ACS( integración secure access control), incluye controles para Server IBM mediante un sistema integrado en portátiles y escritorios Ej. vpn de cisco
• linux también este sistema tiene compatibilidad.

la importancia de cisco para la industria de Internet, todas las empresas firman contratos de socios con este gigante de redes, para no quedarse fuera de la oportunidad de competir en el mercado de seguridad.Con respecto a Nac creo que es importante que los usuarios pongan énfasis en la seguridad, Nac, en cierto sentido obliga a usuarios a cumplir con algunas tareas de seguridad, pero ni aun con Nac, es posible tener una red completamente segura. En una empresa siempre habrá empleados insatisfechos, empleados malintencionados, y no olvidemos la seguridad física.Un sistema completamente seguro es un sistema que esta desconectado, desenchufado, y escondido en un cuarto a siete llaves.

SPAN

Introducción

La tarea de administrar la red es compleja ya que debemos lidiar con muchas usuarios irresponsables, desinformados, malintencionados, que pueden correr aplicaciones no deseadas para la función que realizan. Poniendo en riesgo la seguridad y confiabilidad de nuestra red.

Con herramientas como sniffer o ethereal, puedo monitorizar, decodificar y comprender el tráfico que esos usuarios en mi Lan.

¿Que es SPAN?

Switched port analyzer (span), es una característica del ios de cisco. Con el span logro que el switch envíe una copia de toda la trama hacia un puerto en donde he conectado mi estación de monitoreo, esto es comúnmente llamado port mirror en otras tecnología no cisco

¿Como trabaja SPAN?

Span toma el trafico que atraviesa por un puerto o vlan de un switch y lo copia en el puerto destino, este puerto destino es el que elegimos para hacer la captura de tramas. Para configurarlo debo especificar los puertos de origen y de destino, también puedo copiar el trafico de origen o destino o ambos.

Configurar span monitor para la siguiente topología.

asi configuro…..

Raul(config)# no monitor session 1

Raul(config)# monitor session 1 source interface range fastethernet 0/5 – 6

Raul(config)# monitor session 1 destination interface fastethernet 24

Raul(config)# end

Raul# show monitor session 1

Session 1

———

Source Ports:

RX Only: None

TX Only: None

Both: f0/5

Both: f0/6

Destination Ports: f0/24

Con estos comandos le indico al switch que copie las tramas del puerto 5 y 6(origen), y me los refleje en el puerto 24 (destino), obviamente mi estación de monitoreo estará conectada ese puerto.

Raul (config) #no monitor session 1

Desactivo el servicio, es interesante saber que esto ocupa mucho proceso, por lo cual debe ser desactivado cuando termine el análisis.