Alejandro Naranjo - Tendencias en tecnologías para garantizar la seguridad de la información:...

7, 8, 14 y 15 de noviembre de 2013

Tendencias en tecnologías para

garantizar la seguridad de la

información: protección de datos y

firmas electrónicas

Alejandro [email protected] / [email protected]

www.uexternado.edu.co 2

mailto:[email protected]

Decreto 2364 del 2012


Temas a tratar: Firmas Electrónicas


FirmasElectrónicas

Firma DigitalO

Firma ElectrónicaAvanzada

Firma ElectrónicasCertificadas

Firmas ElectrónicasBasadas en

Factores de autenticación

Firmas ElectrónicasBásicas

FIRMA ELECTRONICA

NIVEL BÁSICA


Ejemplo Firma Básica: Correo Electrónico

Tipo de Fraudes

• Phishing

• Vishing

• Smishing


FIRMA ELECTRÓNICAS

BASADAS EN FACTORES

DE AUTENTICACIÓN


3. ¿Quien es usted?

User Name:

Password:

x

1. ¿Que conoce? 2. ¿Que tiene?

Autenticación – Los tres factores


Firma Electrónica

Primer factor Usuario / Contraseña

• Seguridad en el

Browser

• Usuario y

contraseña


Firma Electrónica

Con dos factores de autenticación


Ataque “Man In The Browser” ….

13

Fraude

comunicaciones previstas

Genera

Phishing

Sitio Malicioso

MalwareManipulación de las Comunicaciones

Como opera?

14

Usuario ingresa a

su portal bancario

1

Malware ‘se despierta’2 3

Usuario inicia una

operación

financiera ACH o

una transferencia

4 Internamente el Malware

intercepta & modifica la

solicitud del usuario y la

envía al banco

El banco recibe la solicitud del

malware, envía los detalles de la

transacción para revisar y envía un

reto one-time-passcode (OTP)

5Malware intercepta la

transacción con los detalles

de la confirmación, modifica

estos de acuerdo a la

solicitud del usuario inicial

6

7

El usuario ve

la info de la

transacción

(La ve bien)

y entonces

entrega el

token OTP

El Malware pasa al Banco la respuesta

del OTP, y la modificación de la

transaccion del malware es completada

8

Amenazas y contramedidas ...?

….Una carrera armamentista en efecto

15

Hardware OTP

Tarjeta de

Coordenadas

Lectores

Biometricos

EMV OTP

Robo de contraseñas Man in The Middle

Certificados en

tarjetas / dispositivo

Certificados de validacion Extendida

Geo-location IP Firma de maquina

Man in The Middle Man in The Browser

Teléfono celular como elemento de seguridad y de

firma electrónica

• Autenticación fuera de línea (OOB transaction) Es la forma efectiva para mitigar los ataques de Man in the Browser

– Separado al canal Online

– Detalles son incluidos

• Sin embargo existen vulnerabilidades con los mensajes SMS.

– Zeus ataca a los mensajes SMS de confirmación generadas por los Bancos

– El Malware Troyano “Gemini” roba información de los celulares Android y los envía a celulares remotos

Firma electrónica con métodos de firma biométrica. Liu, Simon;

Silverman, Mark. http://www.computer.org/itpro/homepage/jan_feb01/security3b.htm

.

FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA


Conceptos Básicos Técnicos:

¿Que es un certificado digital?

¿Quien es usted?

¿Cómo confío en eso?

una llave criptográfica es usada para la comunicación con usted.

Acompañado por una “llave privada” el dueño guarda para el mismo.

19

Name: Juan ValdesIssued by: Café de ColombiaExpires: 13-Feb-2014Public key:

www.uexternado.edu.co

20

Firma digital e Integridad de transacciones

Ciframiento de Datos

Autenticaciónfuerte

Ambiente del certificado digital


Condiciones de una firma digitalArticulo 28 Ley 527

Identificación y/o autenticación de los firmantes.

Que el método de firma sea confiable y apropiado.

El firmante debe tener control de su método de firma.

Se debe vincular el mensaje de datos con la identidad de la persona.

Acordar un mecanismo de firma entre las partes.

Que cumpla con el marco legal Colombiano.

22

Identificación de los firmantes

Usuario

Emite un certificado

Emite una cédula

Que liga una persona a una determinada

información (Identificación)

MundoDigital

MundoFísico

Proceso de Registro

Tercero de confianza

Proceso de Registro

Llave privada

Llave pública

Que liga la información de un usuario con un juego de llaves

“Certificador” o Autoridad Certificadora (CA)

Tercero de confianza


Método de firma es confiable y apropiado. Autenticación Asegurar (se) de la

identidad de algo o alguien

Integridad La información no debe ser modificada

No-repudio No se puede negar el involucramiento en una acción

Control de Acceso Quién tiene accesospermitidos a querecursos y en quécondiciones?

Confidencialidad Mantener la privacidad de la información

Control del Método de Firma


Smart Card USB Crypto Token ID

Llave privada

Desktop ID

Encripto

Se debe vincular el mensaje de

datos con la identidad de la persona.

Llave privada (Felipe)

Llave pública (Felipe)

HASH

Certificado (Felipe)

Integridad

Internet

¿Qué envío?

Nombre: FelipeCédula: x-xxx-xxx

Vigencia: 10/7/05 al 10/7/0Serie: 030495AD

Emisior: Entrust CA

Autenticidad


Vulnerabilidades de la Firma Digital

• Duplicación de la llave privada

• Formato No cumple con la No repudiación.


Usabilidad de la firma digital

•Dispositivos sin software criptográfico, No JAVA, No CriptoAPi, solo con HTML5 (aun no integra criptografía)

•Dispositivos sin conectores USB, ni lectores tarjetas con Chip.

•Opción Sim de los dispositivos Móviles (Pero actualmente las SIMS no tienen espacio para almacenar criptografía)

Se debe vincular el mensaje de datos con la

identidad de la persona.

Entidad de Certificación

ComprobaciónCertificado e identidadDel firmante

Comprobación delCertificado e identidadDel firmante

Seguridad y Verificación a cargo del Usuario


FIRMAS ELECTRÓNICAS CERTIFICADAS


Mezcla de Firma Electronica con

firma digital

Autenticación

Integridad

No-repudio

Conclusiones

• La firma electrónica es otra opción de identificación electrónica jurídicamente válida en Colombia. Analice la conveniencia de uso según los riesgos e intereses en juego

• Firma electrónica Avanzada o Firma Digital. – Cada vez se esta limitando el uso y no es un método de uso masivo

– No es conveniente para Colombia que se imponga el uso de firmas digitales vía leyes, decretos, circulares imponiendo la compra a las entidades certificación imponiendo.

• No importa el método de firma electrónica, lo que importa es la evidencia digital

• Firma electrónica certificada será el futuro de los métodos de firma


Muchas gracias!!

Alejandro [email protected] / [email protected]


mailto:[email protected]

Alejandro Naranjo - Tendencias en tecnologías para garantizar la seguridad de la información:...

Documents

Transcript of Alejandro Naranjo - Tendencias en tecnologías para garantizar la seguridad de la información:...