Tema 4. Parte 1. Seguridad (en tiendas electrónicas)di002.edv.uniovi.es/~fanjul/ce/descargas/CE-Transparencias-Tema4... · Redes privadas virtuales (VPNs). Detectores de vulnerabilidades

Tema 4. Parte 1.

Seguridad(en tiendas electrónicas)

José García FanjulDepartamento de Informática

Universidad de Oviedo

Nota: Ya habéis hablado sobre “seguridad” en “gestión de redes de comunicaciones”. Sólo abordaremos, aquí, algunos temas relevantes a la seguridad de tiendas electrónicas.

Abril 2006 Asignatura "Comercio Electrónico" 2

¿Qué es seguridad informática?

� Cualidad de un sistema informático que es capaz de impedir daños infligidos por el entorno e incapaz de infligir daños al entorno.

� En este tema nos centraremos en la primera parte de la definición (equivalente al inglés “security”).

Seguridad en sistemas de comercio electrónico


La seguridad es relativa...

� No existe un sistema completamente seguro.– Una tienda puede asegurar el envío de datos a

través de SSL (en ese sentido es segura)...– ... pero si lanzamos una granada al servidor,

dejará de funcionar ;-)

� Las medidas de seguridad aplicables a un sistema deben ser apropiadas a lo protegido.

– ¿Tiene sentido instalar una caja fuerte de 25.000 euros para proteger una copia de los apuntes de esta asignatura?



Algunos conceptos relacionados

� Vulnerabilidad : Propiedad de un sistema que le hace potencialmente inseguro.

� Contramedida : Proceso tras el que una vulnerabilidad se minimiza o desaparece.

� Ataque : Acción de comprometer la seguridad de un sistema. Normalmente, se logra un ataque exitoso aprovechando una vulnerabilidad.



Enemigos

� En realidad la figura representa al virus de la gripe (obtenida de www.uct.ac.za/depts/ mmi/stannard/fluvirus.html). Todos sabéis que los virus de ordenador no son así... ☺


Los virus

� Programas que:– Realizan “labores destructivas”.– Intentan “infectar” nuevos ordenadores.

� Es esencial:– tener un antivirus y actualizarlo constantemente.– “parchear” el sistema.– Estar informado y prevenir (http://alerta-

antivirus.red.es).

� Ejemplos: SQL Slammer (SQL Server).

Enemigos


Caso de estudio: Virus SQL Slammer

� Modo de reproducirse: El virus se reproduce mediante paquetes UDP al puerto 1434 (que gestiona el SQL Server). Dichos paquetes están diseñados para provocar un error en el programa SQL Server que permite al virus utilizar el sistema infectado para seguir reproduciéndose.

� Activación: El virus no se activa en una fecha concreta, el efecto que produce es el incremento en el tráfico como consecuencia del envío indiscriminado de paquetes UDP (llega a causar DoS).

� Sistemas afectados: SQL Server 2000 (versión normal y versión desktop).

� Actuación contra el virus: Microsoft publicó un parche que solventaba el problema.

� http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=2187


Los bulos (hoax en inglés)

� Mensajes en los que se da información falsa , habitualmente relacionada con cuestiones de seguridad.

� Internet es el “paraíso de los bulos” ¡no les hagáis caso!

� Ante un mensaje que pueda ser un “bulo”, lo primordial es cotejar la información que recibís con fuentes fidedignas .

� Algunos son “relativamente inofensivos” (p.ej. avisos sobre falsos de virus) pero otros pueden resultar peligrosos (ver el ejemplo).

Enemigos


Los bulos.

Ejemplo (bulo sobre Hotmail recogido en esp.sophos.com)Dear Hotmail User,

We understand that you have previously recieved many messages that have state the colising of accounts not being used within our servers. This message, however, is your final warning. Within this message is encoded a small program that will located and debug your account when sent to fifteen other Hotmail users. If you do not send this message to fifteen Hotmail users within 24 hours of recieving this message, your account will be PERMANETLY SHUT-DOWN. When and if you send this, we herebygrant that you will no longer recieve such messages as this one.

We realize that this process is becoming an annoyance, however, this is the final message you will recieve from the Hotmail Announcement staff. Thank you for you time and cooperation.

Sincerely,Calvin W. KreantzMSN Accounts Coordinator


Bulos sobre virus (recomendaciones de “sophos”)� Muchos bulos de virus:

– afirman describir un nuevo virus extremadamente peligroso– usan verborrea técnica para impresionar con afirmaciones

imposibles– afirman que el mensaje proviene de una importante

compañía– piden que pases el mensaje a todas las personas posibles

� Como es natural, se le recomienda no enviar mensajes de este tipo a todos sus contactos ya que el reenvío constante de estos mensajes es una pérdida de tiempo y de recursos.

� Es posible que estos mensajes lleguen acompañados de un archivo. Por supuesto, no debe abrir estos archivos ya que podrían estar infectados


Estafadores

� Es un delito que se facilita por la buena fe y el desconocimiento en temas de seguridad de muchos usuarios de Internet.

� Varios tipos de estafas:– Comercios ficticios.– Números de tarificación especial (sobre todo en

sitios dedicados al sexo).– Estafas en subastas.– Uso fraudulento de tarjetas bancarias.– Fraude con lotería. Ver:

http://onlae.terra.es/avisos/avimpor0502.htm

Enemigos


Phishing

� El phishing es un tipo de estafa digital. Suele ser habitual encontrar casos en http://www.delitosinformaticos.com.

� Según la webopedia (http://www.webopedia.com):– The act of sending an e-mail to a user falsely claiming to be an

established legitimate enterprise in an attempt to scam the user intosurrendering private information that will be used for identity theft.

� Es un tipo de estafa muy extendido, pues resulta relativamente sencillo hacer que una página web “se parezca” a otra página web (como la de un banco).

� Por ejemplo, recientemente los clientes de Caja Madrid han sufrido ataques de este tipo. De hecho, incluso lo hemos sufridoquienes no somos clientes de Caja Madrid (ver siguiente transparencia).

� El banco reaccionó (como se ha hecho en otros casos) emitiendo un aviso a sus clientes: http://www.cajamadrid.es/CajaMadrid/Home/puente?pagina=3606


Phishing (ejemplo de Caja Madrid)


Phishing (ejemplo de Banesto)


Phishing (contramedidas de Caja Madrid)

� Caja Madrid nunca solicita a sus clientes que revelen sus clavespersonales y confidenciales mediante telefono, e-mail o fax.

� Exclusivamente se solicitan de una forma segura los datos de acceso en: https://oi.cajamadrid.es. Introduzca este enlace en "Favoritos" de su navegador, y utilice siempre este camino para acceder a Oficina Internet. No utilice particularmente los enlaces incorporados en e-mailso webs de terceros.

� Nunca introduzca sus claves confidenciales en sistema on-line alguno, a menos de que tenga la total seguridad de que se trata de una web de Caja Madrid.

� Mantenga sus claves en secreto, no las anote en lugares visibles o accesibles para terceros. Debe cambiarlas regularmente y evitar en lo posible acceder y operar desde ordenadores que puedan usar otraspersonas (como los ciber-bares, las bibliotecas, universidades, etc.).

� En caso de duda, sobre la autenticidad de cualquier e-mail o sitio de Internet que diga estar remitida o ser propiedad del Grupo Caja Madrid, contacte con nosotros en el Centro de Atencion al cliente 902 2 4 6 8 10, para verificar su autenticidad.


Administración deficiente (I)� La mayor parte están extraídos de la lista de “las 20 vulnerabilidades” del

instituto SANS y el FBI. (www.sans.org)

Enemigos

� Instalaciones por defecto de sistemas y aplicaciones.

– Pueden incluir recursos innecesarios.– Facilitan los ataques de hackers.

� Cuentas sin contraseña ó contraseñas débiles (SQL Server 7 deja, por defecto, en blanco la contraseña del administrador).

� Copias de seguridad incompletas óinexistentes.


Administración deficiente (II)

� Gran número de puertos abiertos.

� Registro de eventos (log) incompleto óinexistente.

� Fallos en la actualización del software.� Mal uso de las herramientas:

– Antivirus.– Firewalls.– Herramientas de cifrado.

Enemigos


Defensas

� Las murallas de Ávila (www.citesavila.org/ web/es/historiacites.asp y www.patrimonio-mundial.com/ avila/descripcion.htm)

Defensas


Una buena administración

� Un sistema bien administrado es MUY seguro.

� Revisad el apartado de “administración deficiente” y “dadle la vuelta” ☺

� Debe ser personal especializado (I.T.I. / F.P.)

Defensas


Contraseñas “fuertes”

Algunas recomendaciones extraídas del libro “Web Security”

� No comparta su contraseña con nadie y no la anote en ningún sitio.

� No use la misma contraseña en diferentes sitios.� Escoja una contraseña fácil de recordar pero difícil de adivinar.� Malas contraseñas:

– Una palabra o un nombre.

– Un número de teléfono, dni ó similar.

– Una secuencia predecible de caracteres como 1234, abcd ó qwerty– Una frase común cómo “eltiempoesoro”

– Nada de menos de seis caracteres (nota personal: yo lo elevaría a ocho)

� Buenas contraseñas:– Con más de seis (u ocho) caracteres.

– Que contengan letras minúsculas y mayúsculas, números, caracteres de puntuación.


Herramientas

� Cortafuegos (firewalls).

� Zonas desmilitarizadas (DMZs).� Redes privadas virtuales (VPNs).

� Detectores de vulnerabilidades.� Correo electrónico seguro (como PGP).

� Herramientas de cifrado.

Defensas


Zonas desmilitarizadas

Servidor CONT Externo (SCE)

Servidor BD Externo (BDE)

ODBC

Cliente WEB externo

INTERNET

Firewall Externo (FE)

Firewall Interno (FI)

Servidor CONT Interno (SCI)

Servidor BD Interno (BDI)

ODBC

Cliente WAP externo

Servidor correo (COR)

Clientes internos

Zona desmilitarizada (DMZ)

Servidor antivirus Corporat (ANT)

Zona externa

Zona interna

Cliente VPN


Referencias� De la bibliografía complementaria de la asignatura:

– Garfinkel, Simson (2000): Seguridad y comercio en la web, McGraw-Hill.– Schneier, Bruce (2004): Secrets and Lies : Digital Security in a Networked World,

Wiley.

� Lincoln D. Stein (1998): Web Security, Addison Wesley.

� Algunas referencias web:– http://alerta-antivirus.red.es– http://www.delitosinformaticos.net– http://www.cert.org/ y http://www.kb.cert.org/vuls


Ingeniería socialArtículo de Arnoldo Moreno Pérez en alerta-antivirus.red.es

" Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

"La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no. No debe haber sutilezas cuando lo que está en juego son nuestros ingresos.“ Allan Vance

Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering) se encuentran comprendidas todas aquellas conductas útiles para conseguir información de las personas cercanas a una computadora. Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible".

Hoy en día sólo son necesarias las malas intenciones y una conexión a Internet para sembrar el caos. Ya no es cuestión de conocimientos, sobre todo teniendo en cuenta que en los sistemas operativos más populares, se antepone la comodidad a la seguridad del sistema mismo. La mayoría de los ataques a la seguridad se deben a errores humanos y no a fallas electrónicas. Los intrusos usan "ingeniería social" para acceder a los sitios, y siempre alguien los deja entrar sin ningún problema.

Anexo


Ingeniería social (2) Artículo de Arnoldo Moreno Pérez en alerta-antivirus.red.es

Tradicionalmente, los intrusos se han valido de los engaños para conseguir atacar al eslabón más débil de la cadena de usuarios y responsables de un equipo de cómputo o de una red. De nada vale encriptar las comunicaciones, sellar los accesos, diseñar un buen esquema de seguridad para las distintas estaciones de trabajo y jerarquizar convenientemente los accesos a los mismos si no contamos con un personal que se halle lo suficientemente preparado para hacer frente a los engaños externos. La principal herramienta que manejan actualmente los creadores de virus es la que se ha dado en llamar ingeniería social. Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas. Esto no es un conocimiento exacto pero, al ponerse en práctica con un grupo tan elevado de posibles víctimas, el éxito casi siempre estágarantizado. Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, el vándalo interesado consigue su objetivo, una acción por parte del usuario. Un claro ejemplo de Ingeniería Social más común es el de alguien que llama por teléfono a una empresa para decir que necesita ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto de la configuración. Durante la conversación, y a través de escogidas y cuidadas preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que necesita para vulnerar la seguridad de todo el corporativo.

Anexo


Ingeniería social (3) Artículo de Arnoldo Moreno Pérez en alerta-antivirus.red.esLa ingeniería social es una acción muy simple, pero peligrosa. Los "hackers" llaman a los centros de datos y fingen ser un cliente que perdió su contraseña, o se dirigen a un sitio y esperan que alguien deje la puerta abierta. Otras formas de ingeniería social no son tan obvias. Los "hackers" son conocidos por crear sitios Web, concursos o cuestionarios falsos que piden a los usuarios que ingresen una contraseña. Si un usuario escribe la misma contraseña que usa en su trabajo, el hacker puede ingresar en las instalaciones sin tener que descifrar ni siquiera una línea de código.

Con el objetivo de infectar el mayor número posible de equipos, cada vez son más los gusanos que recurren a la Ingeniería Social, habitualmente empleada por los creadores de código malicioso para engañar a los usuarios. En la Ingeniería Social no se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr obtener información a través de otra persona sin que se dé cuenta de que estárevelando información importante con la que, además, el atacante puede dañar su computadora.

En la práctica, los autores de virus (gusanos o troyanos) emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción que, normalmente, consiste en inducirlo a que abra algún archivo que es el que procede a realizar la infección. De hecho, la mayoría de las pérdidas provocadas por los efectos de los códigos maliciosos tienen su origen en la ignorancia u omisión de políticas de seguridad.

Anexo



El personal de una empresa debería de seguir las siguientes recomendaciones para evitar caer víctima de las trampas de la Ingeniería Social:

1. - Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.

2. - Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.

3. - Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones ".exe",".vbs", etc.

4. - Nunca informe telefónicamente de las características técnicas de la red, sus localizaciones espaciales o personas a cargo de la misma. En su lugar lo propio es remitirlos directamente al responsable del sistema.

Anexo



5.- Controlar los accesos físicos al lugar donde se hallan los servidores o terminales desde los que se puede conectar con los servicios centralizados de control.

6.- Nunca tirar documentación técnica a la basura, sino destruirla.

7.- Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.

8.- En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.

9.- Controlar que las anteriores instrucciones se cumplen sistemáticamente.

Arnoldo Moreno Pérez Asesor Independiente en Temas de Seguridad Informática.

Anexo

Documents

Tema 4. Parte 1. Seguridad (en tiendas electrónicas)di002.edv.uniovi.es/~fanjul/ce/descargas/CE-Transparencias-Tema4... · Redes privadas virtuales (VPNs). Detectores de vulnerabilidades