Download - Seguridad en la web
Seguridad en la web
Fernando Tricas Garcı[email protected]
Dpto. de Informatica e Ingenierıa de Sistemas de la Escuela de Ingenierıa yArquitectura de la Universidad de Zaragozahttp://webdiis.unizar.es/~ftricas/
http://twitter.com/fernand0
10 de noviembre de 2012
Indice
I El ordenador
I Los programas
I Las redes
I La utilizacion
I Redes sociales
I Para saber mas
I Conclusiones
No solo ordenadores
http://books.google.com/help/ebooks/devices.html
http://Amazon.com/Kindle
¿Desde donde?
http://www.nerdgasmo.com/2011/11/increible-estacion-de-trabajo-steampunk/
Actualizar el sistema
I http://windowsupdate.microsoft.com (con Explorer)
I Ejecutandolo desde el boton de Inicio (tecleamos Update)
¡Una vez al mes! (segundo martes de cada mes)Deberıa ser automatico, si no hemos tocado nada...
No hay problema, no uso Windows...
¿Seguro?
Vendedores
2009 IBM X-Force Trend and Risk Report
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
Parches
2009 IBM X-Force Trend and Risk Report
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
¡Actualizar!
I Utilizar el servicio del fabricante
I Seguir las instrucciones
I Esperar a que termine
I Asegurarse de que todo ha ido bien
Instalar los programas desde sitios confiables
http://www.youtube.com/watch?v=Rm_zlTIe_lI
Actualizar los programas
Actualizar los programas
En red
Precaucion basica: el cortafuegos
I ¡Usar un cortafuegos! (no desactivarlo).
I Uno, general (a la entrada de la red)
I Uno, personal (en cada ordenador)
Precaucion basica: conectarnos a sitios confiables
http://www.yorokobu.es/en-el-ojo-ajeno-la-publicidad-sin-humos/
Y ademas... Redes inalambricas
La informacion setransmite por el aire(radio)
Precauciones WiFi
I Cuidado con las claves (cambiarlas)
I Configuracion WPA2 siempre que sea posible. No usar WEP
I Si tenemos que compartirla, utilizar dos redes
miRed miRed-invitadosI ¡Con WPA2!
http://codebutler.com/firesheep/
Todo es muy rapido pero no pasa nada por ir despacio
http://www.flickr.com/photos/pagedooley/3631795699/
Virus, troyanos, programas maliciosos
I Cualquier programa ‘extrano’ que ejecutemos espotencialmente peligroso.
I Incluso algunos aparentemente utiles/divertidos/‘interesantes’
http://peru21.pe/actualidad/
difunden-correo-fraudulento-que-dana-imagen-nadine-heredia-2100939
I No sabemos lo que puede hacer un programa de origendesconocido
I Lo mejor:I De alguna empresa ‘reconocida’I Que este disponible el codigo fuente
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.
¡Cuidado!Los troyanos fueron los atacados!
¿Que es?
I Un virus es un programa de ordenador que puede infectarotros programas modificandolos para incluir una copia desı mismoSolamente destructivos, molestos, ...Desde princios de los 80 . . .
I Un gusano es un programa que se reproduce, como los virus,pero que no necesita de otros programas para retransmitirse.
I Un troyano es un programa malicioso que se oculta en elinterior de un programa de apariencia inocente. Cuando esteultimo es ejecutado el Troyano realiza la accion o se oculta enla maquina del incauto que lo ha ejecutado.¡Cuidado!Los troyanos fueron los atacados!
Hay mas
I Pero hay mas. . .I Espıas (‘spyware’)I Servicios ocultos
¡Malware!
¿Como nos llegan?I Programas normales infectados.I Programas que producen efectos graciosos (felicitaciones,
bromas, ...).I Falsos antivirus (!!)
FAKEAV
http://blog.trendmicro.com/trendlabs-security-intelligence/
theyre-here-threats-leveraging-windows-8/
I Utilidades con trucoI Navegando, documentos . . . . Bajate esto, mira esto otro.
¿Como nos llegan? (Casi cualquier posibilidad)
I Redes de intercambio de ficheros
I IRC
I Mensajerıa instantanea
I Correo electronico
¡Basta un enlace y que pinchemos!
Algunas reglas de autoproteccion
I Disponer de un antivirus (y utilizarlo, y actualizarlo).
I Suscribirse a las listas de avisos de seguridad (o tener aalguien que lo haga ...).
I Nunca ejecutar programas ni abrir ficheros del exterior (sincuidado).
I Utilizar los perfiles de usuario.
I Ningun sitio serio (y los bancos lo son con estas cosas) lepedira la clave nunca.
http://www.osi.es/recursos/utiles-gratuitos
http://www.osi.es/es/actualidad/blog
Phishing. Mensaje
¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
Phishing. Mensaje
¿ http://web.lerelaisinternet.com/rosian/bog/sbi/santander.htm ?
Phishing. La web
¿ bancopopular.es.particulares.appbp.mkfg.biz ?
Phishing. La web
¿ bancopopular.es.particulares.appbp.mkfg.biz ?
¿Entonces?
I Conexion segura.Pero... https solo garantiza que la conexion es cifrada, no quesea ‘la buena’
I No pinchar en mensajes de correo (al menos sin mirar),acceder como normalmente (favoritos, escribiendo la URL,. . . ).
I En caso de duda ... telefono, visita a la sucursal...
¡En el movil todavıa mas atencion!
http://www.flickr.com/photos/mikeblogs/8114676975/
Cadenas de correo
Cadenas de correo
...
NO
I Cuesta poco buscar en la web y comprobar
I Casi siempre falsas
I En la duda, mejor no contribuir
Spam
Correo electronico no solicitadoI Cuidado con nuestra direccion de correo (¿a quien se la
damos? De todas formas acabaremos recibiendolo)I ¿Una direccion publica y otra privada?
I No responder a mensajes de procedencia dudosa
I Una direccion de correo para foros, ...
I utilizar un filtro anti–spam
I Y entrenarlo
Dinero
I Para pagarI Una tarjeta ‘de internet’I Asegurarse de que todo es razonable (avisos legales, contacto,
...)(cuesta poco buscar ...)
I Ver quien lo esta usandoI Pruebas ‘pequenas’
I Para cobrarI Una cuenta solo para cobrosI ¿Pasarelas de pago?
I ¿Necesitamos eso?
I Paypal y similaresI Pero cuidado con las empresas de envıo de dinero
¡Cuidado con las herramientas!
I Nuestro ordenador es de trabajo (movil, tableta, ...)I No se juegaI No se instalan otros programas
Como mınimo ...
I ¿Un usuario diferente para pagar cosas?
I Incluso con el ordenador del trabajo
Moviles, portatiles, tabletas...
I Facil perderlos
I Promiscuidad
I Desactivar conexiones innecesarias (ademas ahorraremosbaterıa).
I Que tengan clave (o pin...)
Algo puede ir malI Estar preparados para lo peor (copias de seguridad).
http://www.flickr.com/photos/fernand0/4675610612/
Las claves
http://www.flickr.com/photos/12129374@N00/3964214880/
Graficamente
”Dazzlepod. Disclosure Project. Available from:
http://dazzlepod.com/disclosure/; Accessed: November 10, 2012.”
¡El tamano importa!(Y el contenido tambien)
Clave de longitud 8Clave Combinaciones Numero de claves por segundo
10.000 100.000 1M 10M 100M 1000M
Numeros (10) 100 M 2 34
h. 17 m. 1 12
m. 10 s. Inmediato Inmediato
Caracteres (26) 200.000 M 242 d. 24 d. 2 12
d. 348 m. 35 m. 3 12
m.
May. y Min (52) 53 MM 169 12
a. 17 a. 1 12
a. 62 d. 6 d. 15 h.
Car. y Num. (62) 218 MM 692 a. 69 14
a. 7 a. 253 d. 25 14
d. 60 12
h.
Car., Num. y Sım. (96) 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 2 14
a. 83 12
d.
I 100,000 Passwords/seg. Recuperacion de contrasena Microsoft (Archivos .PWL)en un Pentium 100
I 1,000,000 Passwords/seg. Recuperacion de contrasena de un archivo comprimido en ZIP o ARJ Pentium100
I 10,000,000 Passwords/seg. Recuperacion de cualquiera de las contrasenas anteriores con un PC(Monoprocesador +2Gh)
I 100,000,000 Passwords/seg. Recuperacion de una contrasena con un cluster de microprocesadores o conmultiples Pcs trabajando de manera simultanea.
I 1,000,000,000 Passwords/seg. Recuperacion de una contrasena utilizando una supercomputadora o una redde ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7)
http://www.tufuncion.com/ataques-passwords-hacker-msn
Caso Eroski Malaga
http://www.google.com/search?q=eroski+malaga&tbm=isch
El buscador como puerta de entrada...
Caso Eroski Malaga
http://www.google.com/search?q=eroski+malaga&tbm=isch
El buscador como puerta de entrada...
¿Estamos en la red?
Caraduras
http://blogs.elpais.com/paco-nadal/2012/09/chantaje-comentarios-toprural-tripadvisor.html
¿Dejamos que solo sean losdemas los que hablen?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
¿Estamos en la red?
Algunos consejos
I No hay que tener de todo
I Pero es un trabajo mas
I Utilizar lo que mas se adapte a nosotros
I ¿Podemos conseguir que nuestros clientes nos ayuden?
Y despues...
I Relacionarse
I No dar la lata
I Mejor con un toque de humor
Mas
I Aprender y comprender las opciones de privacidad
I Tener un perfil ‘razonable’ es mejor que no tener perfil y quealguien lo haga con nuestro nombre
I Cuidado con las imagenes, especialmente de terceros
I Cuidado al etiquetar a otros
I Recordar el derecho de acceso y rectificacion
I Somos una empresa, no un amigo
Responsabilidad
I No publicar/difundir informaciones falsas, rumores, ...
I Rectificar y reconocer los errores. Retirar la informacion quenos soliciten
I No publicar informacion privadaI En particular, donde vivo, donde estoy, no estoy ...
http://www.enisa.europa.eu/activities/cert/
security-month/material/awareness-raising-video-clips
I No publicar imagenes o vıdeos sin el consentimiento de losque aparecen. Retirarla rapidamente si nos lo piden.
I No almacenar datos de otros. Ası no podemos perderlos y nopueden robarnoslos.
Recomendaciones a Usuarios de Internet. Edicion 2009. Agencia deProteccion de Datos.https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_
internet_052009.pdf
La leyLOPD
Ley Organica de Proteccion de Datos establece:
I Responsable del fichero.I Empresa responsable de datos de empleados y clientesI Autonomo responsable de datos de sus clientesI Organismos publicos responsables de los datos de sus
administrados
I Datos personales: nombre, apellidos, fechas, direcciones,telefonos, fotografıas, ...
I Ficheros automatizados y no automatizados (papel)I Nivel alto, medio, basico
I ALTO: salud, polıtica, sindicatos, sexo, religionI MEDIO: datos economicos, saldos, pagos, situacion
financiera,...I BAJO: el resto; nombre, apellido, direccion, telefono, ...
¡Sanciones!
La leyLSSI
Ley de Servicios de la Sociedad de la Informacion y ComercioElectronico
I Obligaciones de informacion (denominacion social, NIF,domicilio, direccion de correo electronico, telefono o fax) ...
I Tramites electronicos (Si procede)I Regula el comercio y los ISPI Obligatoriedad de guardar acceso de los usuariosI Identificacion de sitios web
http://www.lssi.es/
Para saber mas
I Instituto de Tecnologıas de la Comunicacion
http://www.inteco.es/
I Oficina de Seguridad del Inernauta
http://www.osi.es/
I Agencia de Proteccion de Datos
http://www.agpd.es/
I Un blog: http://www.diegoguerrero.info/
Conclusiones
I La red fue disenadad para dar fiabilidad y robustez, noseguridad.
I Mejor prudente y cuidadoso que excesivamente rapido
I En algunos casos, la comodidad es enemiga de la seguridad.
I La seguridad es un proceso
I Seguridad como gestion del riesgo
I No hay sustitutos para la sensatez y la prudencia
¡[email protected]@fernand0http://webdiis.unizar.es/~ftricas/http://fernand0.blogalia.com/
http://www.flickr.com/photos/atalaya/28400415/