Unidad III, Cifrado

7/26/2019 Unidad III, Cifrado

1/22

0

UNIDAD III.

MTODOS DE CIFRADO

Autores:

T.S.U. Lpez V. Yenifer A. C.I.V-23.464.969.T.S.U. Mrquez S. Ninibeth C. C.I.V-24.817.856.T.S.U. Rojas B. Abigail. C.I.V-18.396.886.

PNF INFORMTICA.TRAYECTO IV.

San Juan de Coln, Junio 2016.


2/22

1Contenido

Introduccin. ........................................................................................................ 2

1.

Criptografa. ...................................................................................................... 3

2.

Esteganografia .................................................................................................. 8

3.

Funciones de autenticacin, firma digital y certificados digitales; Tcnica de losHacker. .................................................................................................................. 13

Conclusiones. .................................................................................................... 20


3/22

2Introduccin.

El debate sobre el cifrado es intenso y se calienta en ciertos crculos, pero no

presenta ninguna gran preocupacin para la gran mayora de personas en el mundo.La mayora de las personas que discuten el tema tienden a considerar su regulacin

de poca importancia, o demasiado complicado para tomar una posicin sobre esto.

De hecho, la opinin predominante es que es mejor como un rea que hay que dejar

a los expertos que entienden sus capacidades, usos y peligros. Aunque en realidad

nadie confa en los gobiernos, en la cara de los hombres del sacoevocados por

diversos agentes de la ley como una justificacin para la proteccin de las personas,

la mayora de la gente no es capaz de levantarse y hablar de la inviolabilidad de sus

derechos de privacidad. Se pueden escuchar interrogantes que van desde Cmo

puedo justificar mis preocupaciones sobre la privacidad de las personas cuando se

enfrentan con los espectros de secuestradores, terroristas y narcotraficantes? Por

qu ponerse nervioso al respecto si no tiene nada que ocultar de todos modos?

Por qu insistir para mantener los principios aparentemente sin importancia de

cara a la seguridad nacional?; pero la verdad, es que tanto para una empresa como

para una persona civil, debe ser de suma importancia la privacidad de sus

mensajes, lo que incluye, el cifrado, la esteganografa y la autenticacin.


4/22

31. Criptografa.

La criptografa proviene del griego kryptos: ocultar", y grafos: "escribir". Es

decir, significa "escritura oculta". Como concepto son las tcnicas utilizadas paracifrar y descifrar informacin utilizando tcnicas matemticas que hagan posible el

intercambio de mensajes de manera que slo puedan ser ledos por las personas a

quienes van dirigidos. Por tanto el nico objetivo de la criptografa era conseguir la

confidencialidad de los mensajes. Para ello se diseaban sistemas de cifrado y

cdigos. En esos tiempos la nica criptografa que haba era la llamada criptografa

clsica.

Al lan Poe en la c rip tog rafa.

Edgar Allan Poe (Boston, 1809Baltimore, 1849) fue un escritor, poeta, crtico

y periodista romntico estadounidense. Reconocido como uno de los maestros

universales del relato corto, del cual fue uno de los primeros practicantes en su pas.

Es recordado especialmente por sus cuentos de terror y por ser considerado como

el inventor del relato detectivesco, contribuyendo asimismo con varias obras al

gnero, en aquella poca emergente, de la ciencia-ficcin.

Pero aparte de esto, pocos conocen su vertiente como criptoanalista. En laque por cierto, era bastante bueno. Un ejemplo de esta aficin lo tenemos en su

relato El Escarabajo de Oro, donde presenta un mensaje cifrado y explica cmo el

protagonista logra resolverlo. En l se dan pistas sobre el proceso que se sigue para

descifrar este mensaje. Este cuento habla sobre un mensaje cifrado en el que se

indica la localizacin de un fabuloso tesoro;

MensajeCifrado


5/22

4Traduccin

A good glass in the bishop's hostel in the devil's sear forty one degrees and

thirteen minutesnortheast and by north main branch seventh limb eart side

shoot from the left eye of the death's head a bee line from the tree through theshot fifty feet out

Traduccin: Un buen vaso en la hostera del obispo en la silla del diablo -

cuarenta y un grados y trece minutos - Nordeste cuatro del Norte - rama principal

sptimo vstago lado Este - soltar desde el ojo izquierdo de la cabeza del muerto -

una lnea de abeja desde el rbol a travs de la bala cincuenta pies hacia fuera.

La criptografa actualmente se encarga del estudio de los algoritmos,protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones,

a la informacin y a las entidades que se comunican. El objetivo de la criptografa

es disear, implementar, implantar, y hacer uso de sistemas criptogrficos para

dotar de alguna forma de seguridad. Por tanto el tipo de propiedades de las que se

ocupa la criptografa son por ejemplo:

Confidencialidad. Es decir garantiza que la informacin est accesible

nicamente a personal autorizado. Para conseguirlo utiliza cdigos y tcnicas de

cifrado.

Integridad. Es decir garantiza la correccin y completitud de la informacin.

Para conseguirlo puede usar por ejemplo funciones hash criptogrficas MDC,

protocolos de compromiso de bit, o protocolos de notarizacin electrnica.

No repudio. Es decir proporcionar proteccin frente a que alguna de las

entidades implicadas en la comunicacin, pueda negar haber participado en toda o

parte de la comunicacin. Para conseguirlo se puede usar por ejemplo firma digital.En algunos contextos lo que se intenta es justo lo contrario: Poder negar que se ha

intervenido en la comunicacin. Por ejemplo cuando se usa un servicio de


6/22

5mensajera instantnea y no queremos que se pueda demostrar esa comunicacin.

Para ello se usan tcnicas como el cifrado negable.

Autenticacin. Es decir proporciona mecanismos que permiten verificar la

identidad del comunicante. Para conseguirlo puede usar por ejemplo funcin hashcriptogrfica MAC o protocolo de conocimiento cero.

Soluciones a problemas de la falta de simultaneidad en la telefirma digital

de contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia

inconsciente.

Un sistema criptogrfico es seguro respecto a una tarea si un adversario con

capacidades especiales no puede romper esa seguridad, es decir, el atacante nopuede realizar esa tarea especfica.

La aparicin de las Tecnologas de la Informacin y la Comunicacin y el uso

masivo de las comunicaciones digitales han producido un nmero creciente de

problemas de seguridad. Las transacciones que se realizan a travs de la red

pueden ser interceptadas. La seguridad de esta informacin debe garantizarse. Este

desafo ha generalizado los objetivos de la criptografa para ser la parte de la

criptologa que se encarga del estudio de los algoritmos, protocolos (se les llama

protocolos criptogrficos) y sistemas que se utilizan para proteger la informacin y

dotar de seguridad a las comunicaciones y a las entidades que se comunican. Para

ello los criptgrafos investigan, desarrollan y aprovechan tcnicas matemticas que

les sirven como herramientas para conseguir sus objetivos

a. Criptos istemas de clave secreta

Denominamos criptosistema de clave secreta (de clave privada, de clave nica

o simtrico) a aquel criptosistema en el que la clave de cifrado, puede ser calculadaa partir de la de descifrado y viceversa. En la mayora de estos sistemas, ambas


7/22

6claves coinciden, y han de mantenerse como un secreto entre emisor y receptor: si

un atacante descubre la clave utilizada en la comunicacin, ha roto el criptosistema.

Hasta la dcada de los setenta, la invulnerabilidad de todos los sistemas

dependa de este mantenimiento en secreto de la clave de cifrado. Este hechopresentaba una gran desventaja: haba que enviar, aparte del criptograma, la clave

de cifrado del emisor al receptor, para que ste fuera capaz de descifrar el mensaje.

Por tanto, se incurra en los mismos peligros al enviar la clave, por un sistema que

haba de ser supuestamente seguro, que al enviar el texto plano. De todos los

sistemas de clave secreta, el nico que se utiliza en la actualidad es DES (Data

Encryption Standard); otros algoritmos de clave privada, como el cifrado Caesar o

el criptosistema de Vigenre han sido criptoanalizados con xito, lo cual da una ideadel porqu del desuso en que han cado estos sistemas (con la excepcin de DES,

que es el algoritmo de cifra ms utilizado en la actualidad). Por si esto no fuera

suficiente, el hecho de que exista al menos una clave de cifrado/descifrado entre

cada dos usuarios de un sistema hara inviable la existencia de criptosistemas

simtricos en las grandes redes de computadores de hoy en da: para un sistema

de computacin con usuarios, se precisaran claves diferentes, lo cual es

obviamente imposible en grandes sistemas. Todos estos motivos han propiciado

que el estudio de los cifradores simtricos (excepto DES) quede relegado a un papel

histrico.

Los sistemas de cifrado de clave nica se dividen a su vez en dos grandes

grupos de criptosistemas, por una parte tenemos los:

Cifradores de flujo, que son aquellos que pueden cifrar un slo bit de texto

claro al mismo tiempo y por tanto su cifrado se produce bit a bit.

Cifradores de bloque, que cifran un bloque de bits (habitualmente, cadabloque es de 64 bits) como una nica unidad.


8/22

7b. Cripto sistem a de clave pblica

La criptografa asimtrica tambin llamada criptografa de clave pblica o

criptografa de dos claves es el mtodo criptogrfico que usa un par de claves parael envo de mensajes. Las dos claves pertenecen a la misma persona que ha

enviado el mensaje. Una clave es pblica y se puede entregar a cualquier persona,

la otra clave es privada y el propietario debe guardarla de modo que nadie tenga

acceso a ella. Adems, los mtodos criptogrficos garantizan que esa pareja de

claves slo se puede generar una vez, de modo que se puede asumir que no es

posible que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, unavez cifrado, slo la clave privada del destinatario podr descifrar este mensaje, ya

que es el nico que la conoce. Por tanto se logra la confidencialidad del envo del

mensaje, nadie salvo el destinatario puede descifrarlo.

c. Cr ipto sistema de Cifrados de Flujo.

Consiste en una mquina de estados que retorna para cada transicin de

estado un bit de informacin. Este flujo de salida de bits se llama comnmente la

llave corriente. La encriptacin puede ser implementada solo con darle la

exclusividad de la llave corriente al mensaje de texto plano.

La mquina de estados no es ms que un generador de nmeros seudo-

aleatorios. Por ejemplo, podramos construir una de un cifrado en bloque

encriptando repetidamente su propia salida. Tpicamente, se usan construcciones

ms elaboradas para cifrados de flujo para obtener una alta velocidad.

Algunos de los ms bien conocidos cifrados de flujo son RC4 y SEAL. Varios

cifrados de flujo se basan en registros de cambio de retroalimentacin lineal (LFSR- Linear-Feedback Shift Registers), tales como A5/1 usado en GSM. Estos tienen el

beneficio de ser muy rpidos (varias veces ms rpidos que los cifrados en bloque

usuales).


9/22

82. Esteganografia

Del griego steganos (oculto) y graphos (escritura), la esteganografa se puede

definir como la ocultacin de informacin en un canal encubierto con el propsito de

prevenir la deteccin de un mensaje oculto.La esteganografa estudia el conjunto de tcnicas cuyo fin es insertar

informacin sensible dentro de otro fichero. A este fichero se le denomina fichero

contenedor (grficos, documentos, programas ejecutables, etc.). De esta forma, se

consigue que la informacin pase inadvertida a terceros, de tal forma que slo sea

recuperada por un usuario legtimo que conozca un determinado algoritmo de

extraccin de la misma.

Esta ciencia ha suscitado mucho inters en los ltimos aos, especialmenteen el rea de seguridad informtica, debido a que ha sido utilizada por

organizaciones criminales y terroristas. No obstante, no se trata de nada nuevo,

pues se lleva empleando desde la antigedad, y ha sido tradicionalmente utilizada

por las instituciones policiales, militares y de inteligencia; as como por criminales o

civiles que desean eludir el control gubernamental, especialmente en regmenes

tirnicos.

La esteganografa clsica se basaba nicamente en el desconocimiento del

canal encubierto bajo uso, mientras que en la era moderna tambin se emplean

canales digitales (imagen, video, audio, protocolos de comunicaciones, etc.) para

alcanzar el objetivo. En muchos casos, el objeto contenedor es conocido, y lo que

se ignora es el algoritmo de insercin de la informacin en dicho objeto.

Para que pueda hablarse de esteganografa, debe haber voluntad de

comunicacin encubierta entre el emisor y el receptor.

His to ria y orgenes

Ms de 400 aos antes de Cristo, Herodoto ya reflej en su libro Las Historias

el uso de la esteganografa en la antigua Grecia. En dicho libro describe como un


10/22

9personaje toma un cuadernillo de dos hojas o tablillas; raya bien la cera que las

cubre y en la madera misma graba un mensaje y lo vuelve a cubrir con cera.

Otra historia, en el mismo libro, describe como otro personaje rasura a navaja

la cabeza de uno de sus esclavos y le tata un mensaje en el cuero cabelludo. As,espera a que le vuelva a crecer el cabello y lo manda al receptor del mensaje con

instrucciones de que le rasuren la cabeza.

Un ejemplo histrico ms de uso de la esteganografa es el libro

Hypnerotomachia Poliphili de Francesco Colonna, que data de 1499. En l, tomando

la primera letra de sus 38 captulos se puede leer Poliam frater Franciscus Columna

peramavit, que se traduce por El hermano Francesco Colonna ama

apasionadamente a Polia.De manera similar, durante la Segunda Guerra Mundial se hacen pequeas

perforaciones sobre las letras de inters de un peridico de tal forma que al

sostenerlo a la luz se pueden observar todas aquellas letras seleccionadas e

interpretarlas en forma de mensaje.

Definic iones y fu ndamentos ter icos

La esteganografa es una solucin al clsico problema del prisionero. En una

prisin de alta seguridad dos internos en celdas separadas, Rmulo y Remo, se

quieren comunicar para elaborar un plan de fuga. Ahora bien, toda comunicacin

intercambiada entre ellos es examinada por un guardia que los asla por completo

ante cualquier sospecha de comunicacin encubierta. Con la esteganografa el

guardia inspecciona mensajes aparentemente inofensivos que contienen un canal

subliminal muy til para los prisioneros.

Se pueden observar distintos actores implicados en el campo de la

esteganografa: Objeto contenedor: se trata de la entidad que se emplea para portar el

mensaje oculto. Acudiendo al ejemplo de los mensajes sobre el cuero cabelludo, el

objeto contenedor es el esclavo en s.


11/22

10 Estego-objeto: se trata del objeto contenedor ms el mensaje encubierto.

Siguiendo con el ejemplo, se trata del esclavo una vez se ha escrito en su cuero

cabelludo el mensaje y se le ha dejado crecer el pelo.

Adversario: son todos aquellos entes a los que se trata de ocultar lainformacin encubierta. En el ejemplo de la prisin, se trata del guardia que entrega

los mensajes a uno y otro prisionero. Este adversario puede ser pasivo o activo. Un

adversario pasivo sospecha que se puede estar produciendo una comunicacin

encubierta y trata de descubrir el algoritmo que se extrae del estego-objeto, pero no

trata de modificar dicho objeto. Un adversario activo, adems de tratar de hallar el

algoritmo de comunicacin encubierta, modifica el estego-objeto con el fin de

corromper cualquier intento de mensajera subliminal. Estegoanlisis: ciencia que estudia la deteccin (ataques pasivos) y/o

anulacin (ataques activos) de informacin oculta en distintas tapaderas, as como

la posibilidad de localizar la informacin til dentro de la misma (existencia y

tamao).

Teniendo en cuenta que pueden existir adversarios activos, una buena tcnica

esteganogrfica debe ser robusta ante distorsiones, ya sean accidentales o fruto de

la interaccin de un adversario activo.

La robustez ante distorsiones tambin suele ser un objetivo de la criptografa,

ahora bien, la esteganografa y la criptografa son campos distintos. En la

criptografa, el objetivo es asegurar la confidencialidad de la informacin ante los

ojos de un interceptor que es capaz de ver el criptograma, aun cuando ste conoce

el algoritmo que lo genera. En cambio, la esteganografa busca ocultar la presencia

del mensaje en s; ya que si se llega a identificar la posicin del mensaje se conoce

directamente la comunicacin (conocido el algoritmo de ocultacin), lo que no ocurreen el caso del criptograma.


12/22

11Por tanto, la esteganografa en solitario entra en profunda contradiccin con

uno de los principios bsicos de la seguridad: la seguridad por oscuridad

(desconocimiento) no funciona.

A principios del siglo XX, Kerkhoff formula una serie de principios que se hanerigido como pilares bsicos en el campo de la seguridad, uno de ellos indica:

asume que elusuario (malicioso) conoce todos los procedimientos de cifrado. Si

se aplica dicho principio a la esteganografa, esto significa asumir que el guardia

conoce el algoritmo que oculta el mensaje en el objeto contenedor, lo cual implica

el aislamiento inmediato de los presos.

Para que la esteganografa sea de ms utilidad se debe combinar con la

criptografa. El mensaje a intercambiar se ha de cifrar (de forma robusta) y luegointroducir en el objeto contenedor. De esta forma, aunque un interceptor descubra

el patrn esteganogrfico, jams puede llegar a conocer el mensaje intercambiado.

La combinacin de estas dos tcnicas tiene otra ventaja adicional, cuando se

emplea la criptografa en solitario se conoce que se estn intercambiando mensajes,

lo cual puede servir como punto de partida para un ataque con el fin de descubrir

dicho mensaje. Al introducir la esteganografa, en una gran mayora de casos ni

siquiera se conoce que existe una comunicacin cifrada.

Tcn icas segn el m ed io

a. Esteg anogr afa en Au dio: Cuando se oculta informacin dentro de

archivos de audio, por lo general la tcnica usada es low bit encoding (baja bit de

codificacin), que es similar a la LSB que suele emplearse en las imgenes.

El problema con el low bit encoding es que en general es perceptible para el

odo humano, por lo que es ms bien un mtodo arriesgado que alguien lo use si

estn tratando de ocultar informacin dentro de un archivo de audio.Spread Spectrum tambin sirve para ocultar informacin dentro de un archivo

de audio. Funciona mediante la adicin de ruidos al azar a la seal de que la


13/22

12informacin se oculta dentro de una compaa area y la propagacin en todo el

espectro de frecuencias.

Otro mtodo es Echo data hiding, que usa los ecos en archivos de sonido con

el fin de tratar de ocultar la informacin. Simplemente aadiendo extra de sonido aun eco dentro de un archivo de audio, la informacin puede ser ocultada. Lo que

este mtodo consigue mejor que otros sea que puede mejorar realmente el sonido

del audio dentro de un archivo de audio.

b. Es teg anog rafa en Imgenes: El mtodo ms utilizado es el LSB, puesto

que para un computador un archivo de imagen es simplemente un archivo que

muestra diferentes colores e intensidades de luz en diferentes reas (pxeles).El formato de imagen ms apropiado para ocultar informacin es el BMP color

de 24 bit Bitmap), debido a que es el de mayor proporcin (imagen no comprimida)

y normalmente es de la ms alta calidad. Eventualmente se prefiere optar por

formatos BMP de 8 bits o bien otros tales como el GIF, por ser de menor tamao.

Se debe tener en cuenta que el transporte de imgenes grandes por Internet puede

despertar sospechas.

Cuando una imagen es de alta calidad y resolucin, es ms fcil y eficiente

ocultar y enmascarar la informacin dentro de ella.

La desventaja del mtodo LSB es que es el ms conocido y popular, por tanto

el ms estudiado. Deja marcas similares a ruido blanco en el portador (imagen

contenedora), lo cual la convierte en altamente detectable o vulnerable a ataques

de estegoanlisis, para evitarlo se recurre a dispersar el mensaje, en general

usando secuencias aleatorias.

Es importante notar que si se oculta informacin dentro de un archivo de

imagen y este es convertido a otro formato, lo ms probable es que la informacinoculta dentro sea daada y, consecuentemente, resulte irrecuperable.


14/22

13c. Est egan og rafa en Video En vdeo, suele utilizarse el mtodo DCT

(Discrete Cosine Transform). DCT funciona cambiando ligeramente cada una de las

imgenes en el vdeo, slo de manera que no sea perceptible por el ojo humano.

Para ser ms precisos acerca de cmo funciona DCT, DCT altera los valores deciertas partes de las imgenes, por lo general las redondea. Por ejemplo, si parte

de una imagen tiene un valor de 6,667, lo aproxima hasta 7.

Esteganografa en vdeo es similar a la aplicada en las imgenes, adems de

que la informacin est oculta en cada fotograma de vdeo. Cuando slo una

pequea cantidad de informacin que est oculta dentro del cdigo fuente por lo

general no es perceptible a todos. Sin embargo, cuanta mayor informacin se oculte,

ms perceptible ser.

3. Funciones de autenticacin, firma digital y certificados digitales;

Tcnica de los Hacker.

a. Fun cion es de autenticac in

Otra de las necesidades que surgen con la aparicin de internet es la

necesidad de demostrar que somos nosotros y que el emisor es quien dice ser. Unmtodo de autenticacin puede ser el propio cifrado. Si ciframos un mensaje con

una clave solo conocida por nosotros, demostrando que somos quien decimos ser,

el receptor podr constatar nuestra identidad descifrndolo. Esto se puede

conseguir mediante clave simtrica (el receptor tiene que estar en posesin de la

clave empleada) o usando clave asimtrica en su modo de autenticacin.

Los mtodos de autenticacin estn en funcin de lo que utilizan para la

verificacin y estos se dividen en tres categoras:

Sistemas basados en algo conocido. Ejemplo, un password (Unix) o

passphrase (PGP).


15/22

14 Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una

tarjeta inteligente (smartcard), dispositivo usb tipo epass token, Tarjeta de

coordenadas, smartcard o dongle criptogrfico.

Sistemas basados en una caracterstica fsica del usuario o un acto

involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de huellas, de

patrones oculares.

b. Firma Digital y Certi f icados Dig itales: Una firma digital est destinada al

mismo propsito que una manuscrita. Sin embargo, una firma manuscrita es sencilla

de falsificar mientras que la digital es imposible mientras no se descubra la clave

privada del firmante.La firma digital se basa en la propiedad ya comentada sobre que un mensaje

cifrado utilizando la clave privada de un usuario slo puede ser descifrado utilizando

la clave pblica asociada. De tal manera, se tiene la seguridad de que el mensaje

que ha podido descifrarse utilizando la clave pblica slo pudo cifrarse utilizando la

privada. La firma digital, por tanto, es un cifrado del mensaje que se est firmando

pero utilizando la clave privada en lugar de la pblica. Sin embargo ya se ha

comentado el principal inconveniente de los algoritmos de clave pblica: su lentitud

que, adems, crece con el tamao del mensaje a cifrar. Para evitar ste problema,

la firma digital hace uso de funciones hash. Una funcin hash es una operacin que

se realiza sobre un conjunto de datos de cualquier tamao de tal forma que se

obtiene como resultado otro conjunto de datos, en ocasiones denominado resumen

de los datos originales, de tamao fijo e independiente el tamao original que,

adems, tiene la propiedad de estar asociado unvocamente a los datos inciales,

es decir, es prcticamente imposible encontrar dos mensajes distintos que tengan

un resumen hash idntico.Un certificado digital es un documento electrnico que asocia una clave pblica

con la identidad de su propietario. Adicionalmente, adems de la clave pblica y la


16/22

15identidad de su propietario, un certificado digital puede contener otros atributos para,

por ejemplo, concretar el mbito de utilizacin de la clave pblica, las fechas de

inicio y fin de la validez del certificado, etc. El usuario que haga uso del certificado

podr, gracias a los distintos atributos que posee, conocer ms detalles sobre lascaractersticas del mismo.

Un certificado electrnico sirve para:

Autenticar la identidad del usuario, de forma electrnica, ante terceros.

Firmar electrnicamente de forma que se garantice la integridad de los

datos trasmitidos y su procedencia. Un documento firmado no puede ser

manipulado, ya que la firma est asociada matemticamente tanto al documento

como al firmante Cifrar datos para que slo el destinatario del documento pueda acceder a

su contenido.

c. Tcn ic as de lo s Hacker

Footprinting: El uso de un atacante de herramientas y de la informacin para

crear un perfil completo de la postura de la seguridad de una organizacin se conoce

como footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella

quiere conocer la informacin que incluye:

o Presencia en Internet/ extranet de la compaa.

o La poltica de la compaa con respecto al acceso remoto.

o La versin utilizada de software en los servers (IIS, Exchange, etc.).

o Los rangos IP de los cuales es propietaria la organizacin.

o Desafos tcnicos hechos por la compaa.

Las fusiones o las adquisiciones que terminaron recientemente, estn en

marcha o pendientes Scanning: Como resultado del footprinting, un hacker puede identificar la

lista de red y las direcciones IP utilizadas en la compaa. El siguiente paso lgico


17/22

16para un hacker es el scanning. El uso de un atacante de herramientas y de la

informacin es para determinar qu sistemas estos vivos y accesibles desde

Internet as como qu puertos estn escuchando en cualquier sistema dado. Con

ese conocimiento, el atacante puede apuntar los sistemas especficos quefuncionan con software o servicios especficos usando exploit conocidos.

Enumeration: Enumeration implica el uso de un atacante de herramientas

para obtener la informacin detallada sobre un sistema remoto - por ejemplo

servicios ejecutndose, todos los shares, cuentas de usuario, grupos, miembros de

un dominio, polticas de cuentas (lockout, password age, etc).

Un hacker tpicamente utiliza enumeration no intrusiva probando si la

informacin que obtuvo es suficiente para un ataque. Port Redirection: Cuando se tiene configurado un firewall para bloquear

determinados puertos de acceso entrante, un hacker puede usar port redirection

como camino de acceso a la red. Port redirection es utilizado para escuchar en

algunos puertos. Los paquetes son redireccionados a destinos especficos.

Gaining Access: Hay varias herramientas disponibles que pueden permitir

a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son

crackers de passwords. Samdump se utiliza extraer el hashes del password de los

archivos SAM. Brutus es un cracker de password remoto. Si un hacker consigue el

acceso a una copia de una base de datos SAM, el hacker podra utilizar l0phtcrack

y extraer los usuarios y passwords exactos.

Privilege Escalation: Un hacker puede causar la mayora del dao

consiguiendo privilegios administrativos en una red. Hay varias utilidades que un

hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad

Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos

agregando a estos usuarios al grupo de administradores. Esta utilidad funciona contodas las cuentas excepto con la cuenta de Guest.


18/22

17Es importante observar que cualquier cuenta se haya concedido el Debug

Programs right. Siempre se podr ejecutar satisfactoriamente Getadmin.exe,

incluso despus de la aplicacin del hotfix. Esto es porque el Debug Programs right

habilita al usuario a adjuntar cualquier proceso. El Debug Programs right es

inicialmente otorgado a Administradores y debe ser utilizado nicamente con

usuarios altamente confiables.

Tambin, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro

del grupo local de los administradores, continua funcionando (incluso luego de

aplicar el hotfix).

Buffer Overflows: Algunas herramientas de ataque ejecutan cdigo de

buffer overruns. Sobreescribiendo segmentos especficos de la memoria, elatacante puede volver a dirigir una llamada de la memoria dentro de un programa

para llamar su propio cdigo en vez del cdigo previsto. Tal llamada funcionara en

el contexto de seguridad del proceso que lo llama ms que el nivel de privilegio del

usuario.

Shovel a Shell: Herramientas de shell Remoto habilitan a los atacantes a

acceder al remote command shell en el servidor destino. Los atacantes usan

remote shell para elevar sus privilegios.

Interactive Control: Llamados como RATs (Remote Administration Tools):

stas son herramientas reales y cautelosas de Administracin Remota contenidas

en .exe llamados aleatoriamente (o camuflados en legtimos .exe). Eso permite que

un usuario remoto realice cualquier accin remotamente va un puerto a su eleccin

sin un usuario local del sistema que lo habilite.

Camouflaging: Despus que un hacker logra la entrada en una red, tratar

de no dejar rastros de su presencia y su paso a los Administradores. Hay varias

herramientas que un hacker puede utilizar. Por ejemplo, WinZapper y Elsavepueden ser utilizadas para borrar registros de los logs de eventos.


19/22

18NT Rootkits es utilizado a veces por un atacante. En tal ataque, son

reemplazados ciertos archivos con versiones modificadas. Cuando un administrador

utiliza el ejecutable, el atacante obtiene informacin adicional para continuar su

ataque. Semejantemente, los elementos especficos de salida se puedenenmascarar por rootkit para camuflar las herramientas de ataque que se ejecutan

en el sistema. Un acercamiento comn para detectar archivos modificados es

comparar la versin en el hash de un archivo limpio. Es importante observar que la

comparacin se debe hacer en una mquina limpia usando medios confiables, pues

es tambin es posible que cualquier utilidad del ataque haya comprometido el

sistema en cuestin.

El propsito de este es alertar a el atacante que alguien est investigando. Sepuede utilizar para ejecutar programas destructivos en nombre del Administrador o

instalar backdoor trojans.

Intelligence Gathering: SNIFFING - Propsito:

o Despus de utilizar un sniffer el atacante est en condiciones de obtener

nombres de cuentas y passwords que pasen por la red en texto plano.

o Puede ser utilizado para descubrir otras redes / equipos que pueden estar

comprometidos en un futuro.

o Puede ser utilizado para descubrir otros sniffers.

o Netmon utiliza broadcasts del protocolo BONE.

o Los equipos Windows por defecto responden pedidos ARP (Unix puede

restringir respuestas ARP)

Island Hopping: Island Hopping es una tcnica de Hacking en la cual el

hacker incorpora una red de ordenadores dbiles y despus se traslada a partes

ms seguras de la red. Esencialmente, estn utilizando las mismas tcnicas

discutidas previamente para ampliar su influencia dentro de un ambiente dado dered. Una cosa es para un atacante comprometer un web server sin inters y sin la


20/22

19seguridad apropiada. Es algo mucho ms atractiva la red corporativa entera donde

existen datos ms interesantes para la compaa.

Social Engineering: Es de naturaleza humana. Nosotros, como

generalizacin, conseguir la satisfaccin de participar en el xito de otros. Losatacantes ruegan a menudo esta opcin. No realizando prcticamente accin

alguna, obtienen informacin que de otra manera no estara disponible. Un atacante

social listo puede trampear a menudo a individuos en la organizacin para divulgar

la informacin que pertenece a los nombres de servers, nmeros de mdem,

direcciones IP, configuraciones de red, polticas de password, nombres de cuentas

u otra informacin privilegiada que sea beneficiosa en un ataque.

Denial of Service: Un atacante no tiene que acceder necesariamente a unsistema para causar problemas significativos. Los ataques Denial of Service (DoS)

realizan tareas en los servicios con el fin de evitar su normal funcionamiento. Los

ejemplos incluiran todas las conexiones de red en un server o asegurarse que un

mail Server reciba ms mails de los que puede manejar. Los ataques DoS pueden

ser un ataque directo o causado por virus, gusanos o Trojan horses.

Los objetivos de los ataques Denial of service pueden ser:

o CPU

o Espacio en disco

o Ancho de banda de red

o Cualquier recurso o servicio


21/22

20Conclusiones.

Como conclusiones se tienen:

El arte de escribir en cifra, o en caracteres, que son inteligibles excepto para

las personas que tienen la clave es criptografa.

La esteganografa es el arte de la cubierta, u oculto, por escrito. El propsito

de la esteganografa es encubrir la comunicacin para ocultar un mensaje de un

tercero.

Existe una diferencia clave entre ambas, la criptografa es el arte de ocultar

mensajes; es decir, est destinada a hacer un mensaje ilegible a un tercero, pero

no oculta la existencia misma de la comunicacin secreta. Mientras que la

esteganografa es independiente y distinta de la criptografa, ya que oculta el

mensaje de ser visto.

Ambos se han utilizado a lo largo la historia registrada como medio para

proteger la informacin, hay muchas analogas entre los dos y, de hecho, algunos

autores categorizan esteganografa como una forma de criptografa desde la

comunicacin oculta, y sin duda es una forma de escritura secreta.

La Esteganografa oculta el mensaje encubierto, pero no el hecho que las

dos partes se comunican entre s. Los datos incrustados, es el mensaje que sequiere enviar secretamente. El proceso estego generalmente implica la colocacin

de una mensaje oculto dentro de algn medio de transporte, llamado portador. El

mensaje secreto est incrustado dentro del portador para formar el medio estego.

El uso de una clave estego puede ser empleada para el cifrado del mensaje oculto

y / o para la asignacin al azar dentro del esquema estego.

Una firma digital est destinada al mismo propsito que una manuscrita. Sin

embargo, una firma manuscrita es sencilla de falsificar mientras que la digital es

imposible mientras no se descubra la clave privada del firmante.

Un certificado digital es un documento electrnico que asocia una clave

pblica con la identidad de su propietario.


22/22

21Referencias Web.

http://www.academia.edu/12438314/Authentication_for_Visual_Cryptograp

hy_based_on_Magic_Square_using_Steganographic_Method

http://www.techrepublic.com/resource-library/whitepapers/implementation-

and-analysis-of-email-messages-encryption-and-image-steganography-schemes-

for-image-authentication-and-verification/

http://worldcomp-proceedings.com/proc/p2015/IKE2490.pdf

https://en.wikipedia.org/wiki/Steganography

http://www.ijcsit.com/docs/Volume%202/vol2issue4/ijcsit2011020417.pdf

http://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADa

https://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+f

irma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i

57j0l5.11526j0j4&sourceid=chrome&ie=UTF-

8#q=funciones+de+autenticaci%C3%B3n+

http://seguridadinformatica30072015.blogspot.com/

http://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.html

file:///C:/Users/A2/Downloads/esteganografia%20(1).pdf

http://digital.csic.es/bitstream/10261/24545/1/Flujo_1.pdf

http://digital.csic.es/bitstream/10261/11279/3/PonenciaMATESFuster.pdf
http://www.academia.edu/12438314/Authentication_for_Visual_Cryptography_based_on_Magic_Square_using_Steganographic_Methodhttp://www.academia.edu/12438314/Authentication_for_Visual_Cryptography_based_on_Magic_Square_using_Steganographic_Methodhttp://www.academia.edu/12438314/Authentication_for_Visual_Cryptography_based_on_Magic_Square_using_Steganographic_Methodhttp://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://worldcomp-proceedings.com/proc/p2015/IKE2490.pdfhttps://en.wikipedia.org/wiki/Steganographyhttp://www.ijcsit.com/docs/Volume%202/vol2issue4/ijcsit2011020417.pdfhttp://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADahttp://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADahttp://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADahttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttp://seguridadinformatica30072015.blogspot.com/http://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.htmlhttp://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.htmlhttp://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.htmlhttp://c/Users/A2/Downloads/esteganografia%20(1).pdfhttp://digital.csic.es/bitstream/10261/24545/1/Flujo_1.pdfhttp://digital.csic.es/bitstream/10261/11279/3/PonenciaMATESFuster.pdfhttp://digital.csic.es/bitstream/10261/11279/3/PonenciaMATESFuster.pdfhttp://digital.csic.es/bitstream/10261/24545/1/Flujo_1.pdfhttp://c/Users/A2/Downloads/esteganografia%20(1).pdfhttp://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.htmlhttp://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-el-escarabajo.htmlhttp://seguridadinformatica30072015.blogspot.com/https://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttps://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+firma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i57j0l5.11526j0j4&sourceid=chrome&ie=UTF-8#q=funciones+de+autenticaci%C3%B3nhttp://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADahttp://seguridad-informatica-1-iutll.blogspot.com/search?q=criptograf%C3%ADahttp://www.ijcsit.com/docs/Volume%202/vol2issue4/ijcsit2011020417.pdfhttps://en.wikipedia.org/wiki/Steganographyhttp://worldcomp-proceedings.com/proc/p2015/IKE2490.pdfhttp://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.techrepublic.com/resource-library/whitepapers/implementation-and-analysis-of-email-messages-encryption-and-image-steganography-schemes-for-image-authentication-and-verification/http://www.academia.edu/12438314/Authentication_for_Visual_Cryptography_based_on_Magic_Square_using_Steganographic_Methodhttp://www.academia.edu/12438314/Authentication_for_Visual_Cryptography_based_on_Magic_Square_using_Steganographic_Method

Unidad III, Cifrado

Documents

Transcript of Unidad III, Cifrado