Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Unidad 1 - Introducción a la Criptografía, Actividad Colaborativa No. 1: Fase 3 y 4 Análisis y Construcción Gilbert Jair Sanchez Avila Universidad Nacional Abierta y a Distancia UNAD Especialización en Seguridad en Informática 233011_224 Criptografía Resumen—Actividad donde se debe plantear diversas soluciones de tal forma que se pueda mitigar los fallos de seguridad encontrados en las fases anteriormente desarrolladas correspondientes a la unidad 1. Dichas soluciones pueden incluir hardware, software o políticas de seguridad, todo depende de lo analizado y lo seleccionado por el grupo. Palabras Clave— Criptografía,contraseñas inseguras, fallo de seguridad, firma digitales. Abstract—Where activity should be considered different solutions so you can mitigate security flaws found in the corresponding unit 1. These solutions previously developed phases may include hardware, software or security policies, all depends on what analyzed and selected by the group. Keyword—Cryptography, weak passwords, security breach, digital signature I. INTRODUCCION Aplicar los conocimientos adquiridos mediante la investigación relacionando unificadamente los aportes de los participantes del grupo para la actividad colaborativa denominada en las Fase uno y dos –Planificación, Diseño y Construcción, de acuerdo a la práctica de firma digital, contraseñas seguras y live http headers, siendo estos parte de latemática general del curso de Criptografía, en la unidad 1 Introducción a la criptografía, dando respuesta a los interrogantes propuestos en el desarrollo de las actividades. De esta manera se adquieren conceptos útiles de cada aporte, y constituyen un insumo importante generador de conocimiento para el equipo de trabajo. La criptografía responde a la necesidad de codificar mensajes que sólo pueda descifrar el destinatario y se ha aplicado tanto a defensa, como a secretos industriales y, en los últimos años, sobre todo, al comercio electrónico. Esto es así porque actualmente la seguridad de los sistemas informáticos se ve debilitada por el fuerte crecimiento de las redes y cuando se trata este tema hay que tener en cuenta un aspecto tan importante como la privacidad e integridad de los datos. II. POSIBLES SOLUCIONES AL PROBLEMA PRESENTADO EN FIRMA DIGITAL, CONTRASEÑAS INSEGURAS Y LIVE HTTP HEADERS A. Firmas Digitales La solución a los problemas en Linux con la firma digital de documentos en la junta de Andalucía. La cuestión es que hay casos en los que al intentar firmar un documento de forma telemática, lo que hace el navegador (Firefox) es descargar el applet, pero no nos deja firmar al decir que el applet no esta correctamente instalado.Esto se debe a que intenta firmar utilizando OpenJDK y no el JDK propietario.Solución: desinstalamos openJDK completo y reiniciamos el navegador. Desde ese momento ya podemos firmar. Los problemas que existen para firmar un documento de forma digital utilizando Linux, se ha publicado una versión portable del navegador Firefox que incluye todo lo necesario para poder firmar (y autenticarse) y que no requiere instalar nada en nuestro equipo. Basta con descargar del portal de Séneca (en el apartado Linux) un fichero comprimido y descomprimirlo en cualquier directorio que nos apetezca (no hay restricciones al respecto que, para eso, es portable ;)) y hacer doble click sobre el fichero que aparece en la imagen Fig.1 Portable Firefox Fuente: https://i0.wp.com/i99.photobucket.com/albums/l301/jasvazque z/ejecutar-firefox-portable-linux.png Para reducir su tamaño, se ha optado por el formato de compresión 7z por lo que deberás tener instalado en tu equipo el paquete p7zip (nada que apt-get, synaptic o aptitude no puedan solucionar). Consideraciones a tener en cuenta: Para que funcione correctamente es necesario tener cerrado cualquier versión del navegador Firefox. Los certificados digitales que tengas instalados en tu versión actual de Firefox estarán disponibles en la versión portable Sólo funciona en equipos con Linux (Ubuntu, Debían) sin problemas. El portable, para reducir tamaño, cuenta con una versión reducida de la JVM 1.6.0_14 (máquina virtual Java) pero que para el uso normal en páginas web no da problemas (si a alguien le falla que lo indique en los comentarios para tratar de darle una salida). B. Contraseñas Inseguras El método de encriptación creando estos archivos "hash", opera de tal manera que la información que ingresa el usuario como contraseña, "rebota" por así decirlo contra el registro del sistema y el mismo archivo, creando una cadena única de caracteres; o sea puedes abrir estos archivos SAM y verlos en el block de notas, pero no existe método mecánico ni método o tabla para descifrarlos. Para recuperar genuinas contraseñas extraviadas, el proceso emplea ataques de "fuerza bruta", por ejemplo del tipo "ataque de diccionario" (un nombre bonito para sencillamente ir probando de manera automática con las palabras del diccionario ataques al archivo hash SAM), o sistemas tipo "rainbowtables" que utilizan debilidades en intercambios de memoria interna. Existen programas que realizan estas operaciones, sin prometer éxito, para recuperar las contraseñas. También se pueden instalar sistemas operativos alternativos como Linux, para acceder al sistema desde ellos, obtener los hash files y de allí trabajar sobre ellos. Ataque de Fuerza Bruta El MD5 es un algoritmo unidireccional (permite codificar mas no decodificar), por eso para validar las entradas es necesario pasarlas primero por el algoritmo para después comparar el hash generado con el que esta almacenado previamente, una de las primeras ideas que nos llega a la mente para “decodificar” algo en MD5 es realizar un ataque por fuerza bruta, donde codifiquemos caracteres desde aaaaaaa…a hasta zzzzzzz…z comparando con el hash que tenemos para ver si coincide. Existen portales que se dedican a realizar este ataque de fuerza bruta y a almacenar en su base de datos la cadena de caracteres con su respectivo hash en MD5 por lo tanto lo primero que debemos hacer es comprobar si el hash que tenemos ya ha sido almacenado en alguna de estas bases de datos, si es asi podremos ahorrarnos mucho tiempo. Software para Realizar Ataques de Fuerza Bruta a claves con MD5 Si la búsqueda en las bases de datos no te arrojo resultados positivos puedes realizar el ataque desde tu propia máquina, existe mucho software que puedes utilizar para este fin. En mi experiencia personal el mejor programa para realizar ataques de fuerza bruta a una clave codificada con MD5 es el MDCRACKes una herramienta de tipo contraseña featureful gratuita diseñada para fuerza bruta en varios algoritmos hash comúnmente usadas a un ritmo de velocidad muy agresivo. Se puede recuperar cualquier contraseña hecha de hasta 16 caracteres y que permite hasta 55 caracteres con una sal de usuario adicional. Elf Wizard The Ripper MD5 Este es un proyecto elaborado por WHK el cual consiste en un sistema basado PHP donde se ingresa una serie de palabras con sus respectivos hashes en MD5 a una base de datos en MySQL, lo que diferencia este sistema de las bases de datos es que permite ingresar listas de palabras, y ademas sacar palabras de búsquedas especificas en google o de cualquier pagina web. C. Live Http Headers III. REFERENCIAS RODRIGUEZ DAVID, (2011). Problemas con Firma digital, disponible en: http://davidrsm.blogspot.com.co/2011/06/problem as-con-firma-digital-despues-de.html Guardia Informático. (2010).Firefox portable para Linux o cómo solucionar los problemas para firmar digitalmente, disponible en: https://andalinux.wordpress.com/2010/03/04/firef ox-portable-para-linux-o-como-solucionar-los-problemas-para-firmar-digitalmente/ Garces Blog. (2007). CONTRASEÑAS INSEGURAS. Disponible en: http://bloggarces.blogspot.com.co/2009/11/contras enas-inseguras.ht
Compartir