martes, 7 de julio de 2009

Seguridad y Encriptación

Hola que tal, hoy hablaré de cómo protegerte de escuchas indeseadas, análisis de tráfico, y accesos no autorizados a cuentas.

Primero es necesario hablar de las tan pocas conocidas y estudiadas contraseñas.
Lo que les diré, es que sencillamente aquí en nuestro país, no tenemos una cultura de seguridad de la información, tal como se dijo en el 1er Conversatorio de Seguridad de la Información, dada el febrero. La composición de un password básico, es:

_Numérica, solo comprende numeros tipo 123456

_Alfanumérica, comprende letras o numeros tipo a1b2c3d4

_Símbolos, comprende @&!#

_Variado, puede ser del tipo 35teg0m4tr1c###*

Las contraseñas se dividen en 2: débiles y fuertes.

Generalmente los usuarios prefieren una contraseña débil a contra una fuerte por ser más facil recordarlo. Luego, las contraseñas débiles son más faciles de romper, por ejemplo usando el hash md5 para la palabra "jorge" demora sólo 4 segundos en encontrar una colisión, es decir nada! Bueno a lo que voy, es que mientras la contraseña sea más corta y contenga menos simbolos, es menos segura. Existen software y utilidades en internet que generan contraseñas.


Hablaré de algunos tipos de algoritmos que se usan para encriptar los password o textos enteros:

_Hashes, son funciones algorítmicas de un solo sentido que tienen un buen nivel de seguridad, actualmente está muy difundido en aplicaciones web y programas. Existen distintos algoritmos tales como MD2, MD4, MD5, SHA1, SHA2, Tiger, etc.
Actualmente el mas usado de estos es MD5, que se usa mayoritariamente para guardar las contraseñas de las cuentas de los foros en las cookies. SHA1, se usa por ejemplo para encriptar las contraseñas de hotmail antes de enviarlo al servidor.
_Métodos de cifrado clásicos, tales como Caesar, Cifrado por Sustitución, Base64, Brainfuck,etc Estos metodos de cifrado son las mas comunes y su uso es poco difundido, debido a la poca seguridad que tienen, pero aun asi es muy útil cuando llevas registros de libros d ela contabilidad, o alguna investigación que aún estés realizando o diversos usos. Estos métodos de cifrado son de doble sentido, es decir cualquier persona puede descifrarlo si sabe que cifrado es, de estas, la mas vulnerable es Base64 y Caesar, dado a que Base64 es de facil identificacion y Caesar ya tiene Bruteforcing.


_Algoritmos tales como AES, DES, RSA, etc. Estos algoritmos de cifrado son mas avanzados y por lo tanto más seguros. Permiten la inclusión de contraseñas, incluso existen software que usan estos algormitmos para cifrar mensajes, programas y archivos. Desde luego yo recomiendo usar estos tipos de algoritmos para cifrar su correo electrónico antes de enviarlo, dado a que existen capturas no deseadas ya sean de ámbito nacionaol (tal como la policía) o de ámbito internacional (redes como Echelon o GhostNet), y como ciertos Internet Service Provider tales como telefonica que cooperan con las agencias de seguridad para la interceptación de los datos..



Luego de algo de encriptación, es conveniente hablar de seguridad en las comunicaciones. Por ejemplo como lo mencioné en una entrada anterior, para evitar un análisis de tráfico, lo que mejor podemos hacer, es utilizar Tor, que es una red distribuida de nodos que envia el tráfico de una forma encriptada. Si se dese mayor información buscar link mas adelante. Bueno, a decir verdad Tor nos ayuda a mantenernos anónimos, y no nos proteje de la captura del tráfico entre la red Tor y el servidor al que va la información. Esto es de la siguiente forma:

Ahora, para aumentar la seguridad de la comunicación, podemos utilizar el conocido software PGP para mantener nuestars comunicaciones privadas con quien deseemos comunicarnos. Dese luego, para mantener una comunicación con PGP exitosa, las personas a comunicarse deben instalar cada uno PGP en su sistema.
Otro caso, es el de al enviar un mensaje encriptado a un servidor como el de yahoo o hotmail, es que éstos se rigen por las políticas de su respectivo país, entonces lo más probable es que se desencripten mensajes encriptados de cualquier usuario, con tal de cumplir con la Ley de Supervisión de Datos de Inteligencia sobre Extranjeros.
Luego, lo más problemático, es mantener las comunicaciones seguras por las llamadas telefónicas o por medio de un celular. De hecho, los celulares con tecnología GSM, son de más fácil clonado, dado a que la información a clonar está dentro del chip de abonado. Eso quiere decir, que si se obtiene prestado el chip, alguien puede colocarlo en algun grabador de PIC, y lo puede clonar con un poco de tiempo. Bueno oro problema es la simulación de la estación base del celular, dado a que ni uno de estos dos ataques a la privacidad son idenfiticables fácilmente, son los más peligrosos. Actualmente en el Perú la gran mayoría de los teléfonos celulares usan GSM, por lo tanto es la principal vulnerabilidad. Par evitar esto, es totalmente necesario o bien solo prestar el equipo a alguien de confianza, o en lo posible evitar que nos roben el equipo!. En cuanto a la simulación de la estación base; este tipo de ataque no es muy común, dado a que requiere equipo especializado y lamentablemente no se puede evitar este tipo de ataque. Lo que si puede hacer es realizar un Barrido Electrónico, mediante equipo especial, esta medida es también costosa, así que dejo la seguridad de los teléfonos celulares dependiendo del poder adquisitivo que se obtenga para la seguridad.
Links de interés:
_http://www.scielo.cl/pdf/rfacing/v10/art02.pdf Fabricación de una antena banda base simulada
_http://help.live.com/help.aspx?project=tou&mkt=es-xl Acuerdo de privacidad de correo electronico (leer bien por favor)
_https://www.torproject.org/index.html.es Pagina oficial del proyecto Tor
_http://www.pgpi.org/ Pagina de PGP en Ingles para descargar (descargar GnuPGP dado a que PGP ya es de pago :(- -- )
_http://www.packetstormsecurity.org/ Portal web dedicada a la Seguridad Informatica, tiene un area de encriptación
_http://www.wikipedia.org/ Portal de Artículos para datos que no menciono o no se llegan a entender del artículo.

0 comentarios:

Publicar un comentario

Suscribirse a Enviar comentarios [Atom]

<< Inicio