LA SEGURIDAD EN LAS CONTRASEÑAS

martes, 27 de mayo de 2014

Contraseñas
Hoy en día la confidencialidad de los datos es uno de los objetivos principales de la seguridad informática y uno de los mecanismos para lograrla es mediante el uso de contraseñas.



Esquemas de seguridad
Básicamente, un sistema de seguridad se basa en uno de estos tres puntos:

Ø  El conocimiento à Un PIN, una contraseña, un gesto.
Ø  La posesión à Un dispositivo, un servicio. 
Ø  La inherencia o herencia à Ojos, rostro, huellas dactilares.

Dado que la utilización de sólo uno de ellos es fácilmente suplantable, se intenta recurrir a lo que da nombre a la verificación en dos pasos, usando para ello dos de los tres puntos de un esquema de seguridad (siendo por lo general conocimiento y posesión).

Esquemas de seguridad basados en el conocimiento
Son los más habituales y están presentes en casi todos los servicios que utilizamos.

Un patrón se basa en el dibujo de un símbolo específico frente a un esquema dado (por ejemplo, el sistema de patrón de desbloqueo de Android, que tiene varios puntos que utilizados como vértices para dibujar con el dedo la figura elegida) o frente a una imagen (como sucede en el sistema operativo Windows 8).

La contraseña es un sistema que podría ser muy efectivo si siempre se tuvieran en cuenta y se cumplieran ciertas restricciones.



Contraseña segura
Una buena contraseña debe cumplir, al menos, tres de estas cuatro características:
Ø  Constar de 8 a 15 caracteres (mínimo) à A mayor longitud más difícil de adivinar.
Ø  Utilizar MAYÚSCULAS y minúsculas.
Ø  Utilizar caracteres especiales à $&%!#?*
Ø  Utilizar números de 0-9.

Además, para que una contraseña sea aún más segura también debe cumplir los siguientes requisitos:
Ø  No debe formarse con números y/o letras que sean consecutivas y/o estén adyacentes en el teclado, ni utilizar caracteres repetidos à 123456, 1q2w3e, aaa3456 o 123QWEasd
Ø  La contraseña no debe contener información que sea fácil de averiguar à Información personal: cumpleaños, nombres de hijos, cuadros de fútbol, etc.
Ø  No debe contener palabras existentes en algún idioma à Los ataques de diccionario prueban cada una de las palabras que figuran en el diccionario y/o palabras de uso común.

Método eficaz de selección de contraseñas
Es recomendable tener un método de selección de contraseñas. Como ejemplo, se elige una frase que para el usuario tenga un significado especial o simplemente que asegure que siempre la recordará.

El 04 de Mayo es el día de Star Wars

De esta frase se escogen las primeras letras, respetando mayúsculas y minúsculas, con lo cual se obtiene una serie de letras sin sentido aparente. Pero si es posible recordar la frase fácilmente, se tendrá una combinación que además incluya letras y números.

El 04 de Mayo es el día de Star Wars
E04dMeeddSW

Después se debe añadir algún símbolo especial, por ejemplo “%” al final del patrón que estamos creando, obteniendo así un patrón alfanumérico y que además contiene símbolos especiales:

E04dMeeddSW%



Esquemas de seguridad basados en la posesión
Estos sistemas están basados en algo único que sólo un usuario debería tener.

  Dispositivo: Un token de seguridad es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Los tokens permiten almacenar contraseñas y certificados y llevar, además, la identidad digital de la persona. Son generadores de contraseñas dinámicas conocidas como "OTP" (One Time Password).

  Clave pública: Se trata de un sistema de seguridad basado en la posesión de un archivo que contiene la clave pública para acceder al servicio. Este método ofrece bastante seguridad (el archivo sólo lo debe tener el usuario y puede descargarse únicamente en el momento de creación). No es sencillo de implementar, por lo que sólo suele verse en entornos más bien técnicos.

Esquemas de seguridad basados en la inherencia
Este sistema de identificación se basa en autenticar a la persona por algo que le es innato a ella de forma normalmente biológica.

Huellas dactilares: Es el más sencillo de implementar, también es de bajo costo.
Iris: Requiere buenas condiciones de luminosidad. El costo es mucho mayor.
Reconocimiento facial: De bajo costo pero requiere buenas condiciones de luminosidad. Es fácilmente manipulable.
Reconocimiento facial 3D: Es difícil de implementar.
Voz: Requiere buenas condiciones de sonido. Es fácilmente manipulable.
Ritmo cardíaco: Es difícil de implementar.


La unión de dos o más de estos esquemas de seguridad es lo que le da nombre a la verificación en dos pasos. Por ejemplo, con la unión de conocimiento y posesión, se tendría una contraseña y un OTP generado por un dispositivo digital (token).

Ataques por “Fuerza bruta” y “Diccionarios”Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las claves elegidas y de su complejidad.
La implementación de contraseñas seguras debería ser el principal objetivo, ya que lo que somos y hacemos es importante. Esta implementación depende de la educación que cada usuario recibe y de las políticas de seguridad aplicadas.

Mediante el método denominado “Fuerza Bruta”, el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario. Este tipo de ataque involucra algún tiempo de prueba y error.

Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar el password correcto.

Los “diccionarios” son archivos con millones de palabras, las cuales pueden ser posibles contraseñas de los usuarios. Este archivo es utilizado para descubrir dicha clave en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando.



A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado.

Cantidad de Caracteres
26 - Letras Minúsculas
36 - Letras y Dígitos
52 - Mayúsculas y Minúsculas
96 - Todos los Caracteres
6
51 minutos
6 horas
2,3 días
3 meses
7
22,3 horas
9 días
4 meses
24 años
8
24 días
10,5 meses
17 años
2.288 años
9
21 meses
32,6 años
890 años
219.601 años
10
54 años
1.160 años
45.840 años
21.081.705 años


Aquí puede observarse que si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.





Conclusiones
La seguridad del conjunto es tan débil como el más débil de sus elementos.

Vale la pena tener en cuenta que las contraseñas son como la ropa interior... Deben cambiarse seguido, no se deben compartir con amigos, no se deben dejar tiradas por ahí, cuanto más largas sean, mejor y se debe ser misterioso en cuanto a ellas.










Publicado por Unknown en 17:33 0 comentarios
Etiquetas: , , , ,

HACKING SOCIAL

sábado, 24 de mayo de 2014

La ingeniería social
La ingeniería social se basa en la psicología. Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información.

Conocimientos técnicos y psicológicos son el principal requisito para ejercer la ingeniería social. El ataque puede consistir en una pregunta directa o crear una situación para que la víctima baje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral.

Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. En el libro Influence: The Psychology of Persuasion (1984), el Dr. Robert Cialdini define estos seis motivadores claves:

Ø  Reciprocidad: Sentir que le debemos un favor a quien hace algo por nosotros.
Ø  Orientación social: Buscamos a una persona que nos diga qué tenemos que hacer.
Ø  Consistencia / compromiso: Desarrollamos patrones de conducta que se convierten en hábitos.
Ø  Aceptación: Queremos “encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.
Ø  Autoridad: Somos receptivos a las órdenes y peticiones de las figuras de autoridad.
Ø  Tentación: Tenemos más motivación para perseguir lo exclusivo o limitado.



El factor humano 
Aunque se dice que "el único ordenador seguro es el que está desenchufado", los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.
El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica.

Técnicas de ingeniería social
Existen cuatro técnicas de ingeniería social que los atacantes pueden utilizar para alterar la seguridad: phishingpretextingmedia dropping y tailgating.

Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para realizar alguna acción. El objetivo de este ataque es conseguir que el usuario haga click en el contenido del correo recibido (generalmente un link) para después registrar esa actividad o instalar un programa que monitoree la actividad constante del usuario y que incluso pueda verificar contenido dinámico, plugins o software instalado.

La clave del éxito de la técnica de phishing es la personalización. Personalizar el correo dirigido al usuario objetivo, con tácticas como el envió a través de una fuente que sea percibida por el usuario como una fuente de confianza, incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo.

El Social Engineering Toolkit (SET) es una herramienta bastante simple, de código abierto, que permite crear ataques phishing a través del envío de emails. Otras herramientas comerciales como PhishMe de PhishMe Inc. y  PhishGuru de Wombat Security también son interesantes.

Pretexting
El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible.

Media dropping
Está técnica suele implicar la presencia de un dispositivo USB en un lugar creíble o razonable de ser encontrado, como la entrada al edificio de oficinas laborales. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta.

Los atacantes suelen instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas.

Mediante el SET “Generador de Medios infecciosos” se crea un ejecutable que automáticamente se activa en el PC objetivo. Para incrementar las posibilidades de éxito se incluyen generalmente archivos de programas conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.

Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física.

Los atacantes podrán obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un software con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa.

Mediante el uso de estas cuatro técnicas de ingeniería social, se puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.
Defenderse contra la Ingeniería Social
La mejor manera de enfrentar el problema, es concientizar a las personas y educarlas sobre seguridad y fomentar la adopción de medidas preventivas.
Ø  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).
Ø  Si se sospecha que alguien intenta realizar un engaño, hay que exigir que se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.
Ø  Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.
Ø  Realizar rutinariamente auditorías para detectar huecos de seguridad.
Ø  Llevar a cabo programas de concientización sobre la seguridad de la información.
Conclusiones
La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar.

Publicado por Unknown en 19:05
Etiquetas: , , , ,
Suscribirse a: Comentarios (Atom)
 

Most Reading

  • SEGURIDAD INFORMÁTICA
    La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer cond...
  • HACKING SOCIAL
    La ingeniería social La ingeniería social se basa en la psicología. Esta "ciencia de hacer que la gente cumpla tus deseos" está ...