Seguridad en la web

Fernando Tricas Garcıaftricas@unizar.es

Dpto. de Informatica e Ingenierıa de Sistemas de la Escuela de Ingenierıa yArquitectura de la Universidad de Zaragozahttp://webdiis.unizar.es/~ftricas/

http://twitter.com/fernand0

10 de noviembre de 2012

Indice

I El ordenador

I Los programas

I Las redes

I La utilizacion

I Redes sociales

I Para saber mas

I Conclusiones

No solo ordenadores

http://books.google.com/help/ebooks/devices.html

http://Amazon.com/Kindle

¿Desde donde?

http://www.nerdgasmo.com/2011/11/increible-estacion-de-trabajo-steampunk/

Actualizar el sistema

I http://windowsupdate.microsoft.com (con Explorer)

I Ejecutandolo desde el boton de Inicio (tecleamos Update)

¡Una vez al mes! (segundo martes de cada mes)Deberıa ser automatico, si no hemos tocado nada...

No hay problema, no uso Windows...

¿Seguro?

Vendedores

2009 IBM X-Force Trend and Risk Report

http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Parches

2009 IBM X-Force Trend and Risk Report

http://www-935.ibm.com/services/us/iss/xforce/trendreports/

¡Actualizar!

I Utilizar el servicio del fabricante

I Seguir las instrucciones

I Esperar a que termine

I Asegurarse de que todo ha ido bien

Instalar los programas desde sitios confiables

http://www.youtube.com/watch?v=Rm_zlTIe_lI

Actualizar los programas

Actualizar los programas

En red

Precaucion basica: el cortafuegos

I ¡Usar un cortafuegos! (no desactivarlo).

I Uno, general (a la entrada de la red)

I Uno, personal (en cada ordenador)

Precaucion basica: conectarnos a sitios confiables

http://www.yorokobu.es/en-el-ojo-ajeno-la-publicidad-sin-humos/

Y ademas... Redes inalambricas

La informacion setransmite por el aire(radio)

Precauciones WiFi

I Cuidado con las claves (cambiarlas)

I Configuracion WPA2 siempre que sea posible. No usar WEP

I Si tenemos que compartirla, utilizar dos redes

miRed miRed-invitadosI ¡Con WPA2!

http://codebutler.com/firesheep/

Todo es muy rapido pero no pasa nada por ir despacio

http://www.flickr.com/photos/pagedooley/3631795699/

Virus, troyanos, programas maliciosos

I Cualquier programa ‘extrano’ que ejecutemos espotencialmente peligroso.

I Incluso algunos aparentemente utiles/divertidos/‘interesantes’

http://peru21.pe/actualidad/

difunden-correo-fraudulento-que-dana-imagen-nadine-heredia-2100939

I No sabemos lo que puede hacer un programa de origendesconocido

I Lo mejor:I De alguna empresa ‘reconocida’I Que este disponible el codigo fuente

¿Que es?

I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .

I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.

I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!

¿Que es?

I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .

I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.

I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!

¿Que es?

I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .

I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.

I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.

¡Cuidado!Los troyanos fueron los atacados!

¿Que es?

I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .

I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.

I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!

Hay mas

I Pero hay mas. . .I Espıas (‘spyware’)I Servicios ocultos

¡Malware!

¿Como nos llegan?I Programas normales infectados.I Programas que producen efectos graciosos (felicitaciones,

bromas, ...).I Falsos antivirus (!!)

FAKEAV

http://blog.trendmicro.com/trendlabs-security-intelligence/

theyre-here-threats-leveraging-windows-8/

I Utilidades con trucoI Navegando, documentos . . . . Bajate esto, mira esto otro.

¿Como nos llegan? (Casi cualquier posibilidad)

I Redes de intercambio de ficheros

I IRC

I Mensajerıa instantanea

I Correo electronico

¡Basta un enlace y que pinchemos!

Algunas reglas de autoproteccion

I Disponer de un antivirus (y utilizarlo, y actualizarlo).

I Suscribirse a las listas de avisos de seguridad (o tener aalguien que lo haga ...).

I Nunca ejecutar programas ni abrir ficheros del exterior (sincuidado).

I Utilizar los perfiles de usuario.

I Ningun sitio serio (y los bancos lo son con estas cosas) lepedira la clave nunca.

http://www.osi.es/recursos/utiles-gratuitos

http://www.osi.es/es/actualidad/blog

Phishing. Mensaje

¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?

Phishing. Mensaje

¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?

Phishing. La web

¿ bancopopular.es.particulares.appbp.mkfg.biz ?

Phishing. La web

¿ bancopopular.es.particulares.appbp.mkfg.biz ?

¿Entonces?

I Conexion segura.Pero... https solo garantiza que la conexion es cifrada, no quesea ‘la buena’

I No pinchar en mensajes de correo (al menos sin mirar),acceder como normalmente (favoritos, escribiendo la URL,. . . ).

I En caso de duda ... telefono, visita a la sucursal...

¡En el movil todavıa mas atencion!

http://www.flickr.com/photos/mikeblogs/8114676975/

Cadenas de correo

Cadenas de correo

...

NO

I Cuesta poco buscar en la web y comprobar

I Casi siempre falsas

I En la duda, mejor no contribuir

Spam

Correo electronico no solicitadoI Cuidado con nuestra direccion de correo (¿a quien se la

damos? De todas formas acabaremos recibiendolo)I ¿Una direccion publica y otra privada?

I No responder a mensajes de procedencia dudosa

I Una direccion de correo para foros, ...

I utilizar un filtro anti–spam

I Y entrenarlo

Dinero

I Para pagarI Una tarjeta ‘de internet’I Asegurarse de que todo es razonable (avisos legales, contacto,

...)(cuesta poco buscar ...)

I Ver quien lo esta usandoI Pruebas ‘pequenas’

I Para cobrarI Una cuenta solo para cobrosI ¿Pasarelas de pago?

I ¿Necesitamos eso?

I Paypal y similaresI Pero cuidado con las empresas de envıo de dinero

¡Cuidado con las herramientas!

I Nuestro ordenador es de trabajo (movil, tableta, ...)I No se juegaI No se instalan otros programas

Como mınimo ...

I ¿Un usuario diferente para pagar cosas?

I Incluso con el ordenador del trabajo

Moviles, portatiles, tabletas...

I Facil perderlos

I Promiscuidad

I Desactivar conexiones innecesarias (ademas ahorraremosbaterıa).

I Que tengan clave (o pin...)

Algo puede ir malI Estar preparados para lo peor (copias de seguridad).

http://www.flickr.com/photos/fernand0/4675610612/

Las claves

http://www.flickr.com/photos/12129374@N00/3964214880/

Graficamente

”Dazzlepod. Disclosure Project. Available from:

http://dazzlepod.com/disclosure/; Accessed: November 10, 2012.”

¡El tamano importa!(Y el contenido tambien)

Clave de longitud 8Clave Combinaciones Numero de claves por segundo

10.000 100.000 1M 10M 100M 1000M

Numeros (10) 100 M 2 34

h. 17 m. 1 12

m. 10 s. Inmediato Inmediato

Caracteres (26) 200.000 M 242 d. 24 d. 2 12

d. 348 m. 35 m. 3 12

m.

May. y Min (52) 53 MM 169 12

a. 17 a. 1 12

a. 62 d. 6 d. 15 h.

Car. y Num. (62) 218 MM 692 a. 69 14

a. 7 a. 253 d. 25 14

d. 60 12

h.

Car., Num. y Sım. (96) 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 2 14

a. 83 12

d.

I 100,000 Passwords/seg. Recuperacion de contrasena Microsoft (Archivos .PWL)en un Pentium 100

I 1,000,000 Passwords/seg. Recuperacion de contrasena de un archivo comprimido en ZIP o ARJ Pentium100

I 10,000,000 Passwords/seg. Recuperacion de cualquiera de las contrasenas anteriores con un PC(Monoprocesador +2Gh)

I 100,000,000 Passwords/seg. Recuperacion de una contrasena con un cluster de microprocesadores o conmultiples Pcs trabajando de manera simultanea.

I 1,000,000,000 Passwords/seg. Recuperacion de una contrasena utilizando una supercomputadora o una redde ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7)

http://www.tufuncion.com/ataques-passwords-hacker-msn

¡Ayuda!Apuntarlo

http://keepass.info/

¡Ayuda!Que sea facil de recordar

http://xkcd.com/936/

Caso Eroski Malaga

http://www.google.com/search?q=eroski+malaga&tbm=isch

El buscador como puerta de entrada...

Caso Eroski Malaga

http://www.google.com/search?q=eroski+malaga&tbm=isch

El buscador como puerta de entrada...

¿Estamos en la red?

Caraduras

http://blogs.elpais.com/paco-nadal/2012/09/chantaje-comentarios-toprural-tripadvisor.html

¿Dejamos que solo sean losdemas los que hablen?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

¿Estamos en la red?

Algunos consejos

I No hay que tener de todo

I Pero es un trabajo mas

I Utilizar lo que mas se adapte a nosotros

I ¿Podemos conseguir que nuestros clientes nos ayuden?

Y despues...

I Relacionarse

I No dar la lata

I Mejor con un toque de humor

Mas

I Aprender y comprender las opciones de privacidad

I Tener un perfil ‘razonable’ es mejor que no tener perfil y quealguien lo haga con nuestro nombre

I Cuidado con las imagenes, especialmente de terceros

I Cuidado al etiquetar a otros

I Recordar el derecho de acceso y rectificacion

I Somos una empresa, no un amigo

Responsabilidad

I No publicar/difundir informaciones falsas, rumores, ...

I Rectificar y reconocer los errores. Retirar la informacion quenos soliciten

I No publicar informacion privadaI En particular, donde vivo, donde estoy, no estoy ...

http://www.enisa.europa.eu/activities/cert/

security-month/material/awareness-raising-video-clips

I No publicar imagenes o vıdeos sin el consentimiento de losque aparecen. Retirarla rapidamente si nos lo piden.

I No almacenar datos de otros. Ası no podemos perderlos y nopueden robarnoslos.

Recomendaciones a Usuarios de Internet. Edicion 2009. Agencia deProteccion de Datos.https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_

internet_052009.pdf

La leyLOPD

Ley Organica de Proteccion de Datos establece:

I Responsable del fichero.I Empresa responsable de datos de empleados y clientesI Autonomo responsable de datos de sus clientesI Organismos publicos responsables de los datos de sus

administrados

I Datos personales: nombre, apellidos, fechas, direcciones,telefonos, fotografıas, ...

I Ficheros automatizados y no automatizados (papel)I Nivel alto, medio, basico

I ALTO: salud, polıtica, sindicatos, sexo, religionI MEDIO: datos economicos, saldos, pagos, situacion

financiera,...I BAJO: el resto; nombre, apellido, direccion, telefono, ...

¡Sanciones!

La leyLSSI

Ley de Servicios de la Sociedad de la Informacion y ComercioElectronico

I Obligaciones de informacion (denominacion social, NIF,domicilio, direccion de correo electronico, telefono o fax) ...

I Tramites electronicos (Si procede)I Regula el comercio y los ISPI Obligatoriedad de guardar acceso de los usuariosI Identificacion de sitios web

http://www.lssi.es/

Para saber mas

I Instituto de Tecnologıas de la Comunicacion

http://www.inteco.es/

I Oficina de Seguridad del Inernauta

http://www.osi.es/

I Agencia de Proteccion de Datos

http://www.agpd.es/

I Un blog: http://www.diegoguerrero.info/

Conclusiones

I La red fue disenadad para dar fiabilidad y robustez, noseguridad.

I Mejor prudente y cuidadoso que excesivamente rapido

I En algunos casos, la comodidad es enemiga de la seguridad.

I La seguridad es un proceso

I Seguridad como gestion del riesgo

I No hay sustitutos para la sensatez y la prudencia

¡Gracias!ftricas@unizar.es@fernand0http://webdiis.unizar.es/~ftricas/http://fernand0.blogalia.com/

http://www.flickr.com/photos/atalaya/28400415/