Alejandro Naranjo - Tendencias en tecnologías para garantizar la seguridad de la información:...
-
Upload
observatics-universidad-externado-de-colombia -
Category
Documents
-
view
219 -
download
0
description
Transcript of Alejandro Naranjo - Tendencias en tecnologías para garantizar la seguridad de la información:...
Tendencias en tecnologías para
garantizar la seguridad de la
información: protección de datos y
firmas electrónicas
Alejandro [email protected] / [email protected]
www.uexternado.edu.co 2
Temas a tratar: Firmas Electrónicas
www.uexternado.edu.co 5
FirmasElectrónicas
Firma DigitalO
Firma ElectrónicaAvanzada
Firma ElectrónicasCertificadas
Firmas ElectrónicasBasadas en
Factores de autenticación
Firmas ElectrónicasBásicas
Ejemplo Firma Básica: Correo Electrónico
Tipo de Fraudes
• Phishing
• Vishing
• Smishing
www.uexternado.edu.co 8
3. ¿Quien es usted?
User Name:
Password:
x
1. ¿Que conoce? 2. ¿Que tiene?
Autenticación – Los tres factores
www.uexternado.edu.co 10
Firma Electrónica
Primer factor Usuario / Contraseña
• Seguridad en el
Browser
• Usuario y
contraseña
www.uexternado.edu.co 11
Ataque “Man In The Browser” ….
13
Fraude
comunicaciones previstas
Genera
Phishing
Sitio Malicioso
MalwareManipulación de las Comunicaciones
Como opera?
14
Usuario ingresa a
su portal bancario
1
Malware ‘se despierta’2 3
Usuario inicia una
operación
financiera ACH o
una transferencia
4 Internamente el Malware
intercepta & modifica la
solicitud del usuario y la
envía al banco
El banco recibe la solicitud del
malware, envía los detalles de la
transacción para revisar y envía un
reto one-time-passcode (OTP)
5Malware intercepta la
transacción con los detalles
de la confirmación, modifica
estos de acuerdo a la
solicitud del usuario inicial
6
7
El usuario ve
la info de la
transacción
(La ve bien)
y entonces
entrega el
token OTP
El Malware pasa al Banco la respuesta
del OTP, y la modificación de la
transaccion del malware es completada
8
Amenazas y contramedidas ...?
….Una carrera armamentista en efecto
15
Hardware OTP
Tarjeta de
Coordenadas
Lectores
Biometricos
EMV OTP
Robo de contraseñas Man in The Middle
Certificados en
tarjetas / dispositivo
Certificados de validacion Extendida
Geo-location IP Firma de maquina
Man in The Middle Man in The Browser
Teléfono celular como elemento de seguridad y de
firma electrónica
• Autenticación fuera de línea (OOB transaction) Es la forma efectiva para mitigar los ataques de Man in the Browser
– Separado al canal Online
– Detalles son incluidos
• Sin embargo existen vulnerabilidades con los mensajes SMS.
– Zeus ataca a los mensajes SMS de confirmación generadas por los Bancos
– El Malware Troyano “Gemini” roba información de los celulares Android y los envía a celulares remotos
Firma electrónica con métodos de firma biométrica. Liu, Simon;
Silverman, Mark. http://www.computer.org/itpro/homepage/jan_feb01/security3b.htm
.
Conceptos Básicos Técnicos:
¿Que es un certificado digital?
¿Quien es usted?
¿Cómo confío en eso?
una llave criptográfica es usada para la comunicación con usted.
Acompañado por una “llave privada” el dueño guarda para el mismo.
19
Name: Juan ValdesIssued by: Café de ColombiaExpires: 13-Feb-2014Public key:
www.uexternado.edu.co
20
Firma digital e Integridad de transacciones
Ciframiento de Datos
Autenticaciónfuerte
Ambiente del certificado digital
www.uexternado.edu.co
Condiciones de una firma digitalArticulo 28 Ley 527
Identificación y/o autenticación de los firmantes.
Que el método de firma sea confiable y apropiado.
El firmante debe tener control de su método de firma.
Se debe vincular el mensaje de datos con la identidad de la persona.
Acordar un mecanismo de firma entre las partes.
Que cumpla con el marco legal Colombiano.
22
Identificación de los firmantes
Usuario
Emite un certificado
Emite una cédula
Que liga una persona a una determinada
información (Identificación)
MundoDigital
MundoFísico
Proceso de Registro
Tercero de confianza
Proceso de Registro
Llave privada
Llave pública
Que liga la información de un usuario con un juego de llaves
“Certificador” o Autoridad Certificadora (CA)
Tercero de confianza
www.uexternado.edu.co
Método de firma es confiable y apropiado. Autenticación Asegurar (se) de la
identidad de algo o alguien
Integridad La información no debe ser modificada
No-repudio No se puede negar el involucramiento en una acción
Control de Acceso Quién tiene accesospermitidos a querecursos y en quécondiciones?
Confidencialidad Mantener la privacidad de la información
Control del Método de Firma
www.uexternado.edu.co 24
Smart Card USB Crypto Token ID
Llave privada
Desktop ID
Encripto
Se debe vincular el mensaje de
datos con la identidad de la persona.
Llave privada (Felipe)
Llave pública (Felipe)
HASH
Certificado (Felipe)
Integridad
Internet
¿Qué envío?
Nombre: FelipeCédula: x-xxx-xxx
Vigencia: 10/7/05 al 10/7/0Serie: 030495AD
Emisior: Entrust CA
Autenticidad
www.uexternado.edu.co 25
Vulnerabilidades de la Firma Digital
• Duplicación de la llave privada
• Formato No cumple con la No repudiación.
www.uexternado.edu.co 26
Usabilidad de la firma digital
•Dispositivos sin software criptográfico, No JAVA, No CriptoAPi, solo con HTML5 (aun no integra criptografía)
•Dispositivos sin conectores USB, ni lectores tarjetas con Chip.
•Opción Sim de los dispositivos Móviles (Pero actualmente las SIMS no tienen espacio para almacenar criptografía)
Se debe vincular el mensaje de datos con la
identidad de la persona.
Entidad de Certificación
ComprobaciónCertificado e identidadDel firmante
Comprobación delCertificado e identidadDel firmante
Seguridad y Verificación a cargo del Usuario
www.uexternado.edu.co 28
Conclusiones
• La firma electrónica es otra opción de identificación electrónica jurídicamente válida en Colombia. Analice la conveniencia de uso según los riesgos e intereses en juego
• Firma electrónica Avanzada o Firma Digital. – Cada vez se esta limitando el uso y no es un método de uso masivo
– No es conveniente para Colombia que se imponga el uso de firmas digitales vía leyes, decretos, circulares imponiendo la compra a las entidades certificación imponiendo.
• No importa el método de firma electrónica, lo que importa es la evidencia digital
• Firma electrónica certificada será el futuro de los métodos de firma
www.uexternado.edu.co 31