42 Fase3y4_criptografia unad

Vista previa del material en texto

Unidad 1 - Introducción a la Criptografía, 
Actividad Colaborativa No. 1: 
Fase 3 y 4 Análisis y Construcción 
Gilbert Jair Sanchez Avila 
Universidad Nacional Abierta y a Distancia UNAD 
Especialización en Seguridad en Informática 
233011_224 Criptografía 
 
Resumen—Actividad donde se debe plantear 
diversas soluciones de tal forma que se pueda 
mitigar los fallos de seguridad encontrados en 
las fases anteriormente desarrolladas 
correspondientes a la unidad 1. Dichas 
soluciones pueden incluir hardware, software o 
políticas de seguridad, todo depende de lo 
analizado y lo seleccionado por el grupo. 
Palabras Clave— Criptografía,contraseñas 
inseguras, fallo de seguridad, firma digitales. 
Abstract—Where activity should be 
considered different solutions so you can 
mitigate security flaws found in the 
corresponding unit 1. These solutions 
previously developed phases may include 
hardware, software or security policies, all 
depends on what analyzed and selected by 
the group. 
Keyword—Cryptography, weak passwords, 
security breach, digital signature 
 
I. INTRODUCCION 
Aplicar los conocimientos adquiridos mediante la 
investigación relacionando unificadamente los 
aportes de los participantes del grupo para la 
actividad colaborativa denominada en las Fase 
uno y dos –Planificación, Diseño y Construcción, 
de acuerdo a la práctica de firma digital, 
contraseñas seguras y live http headers, siendo 
estos parte de latemática general del curso de 
Criptografía, en la unidad 1 Introducción a la 
criptografía, dando respuesta a los interrogantes 
propuestos en el desarrollo de las actividades. De 
esta manera se adquieren conceptos útiles de cada 
aporte, y constituyen un insumo importante 
generador de conocimiento para el equipo de 
trabajo. 
La criptografía responde a la necesidad de 
codificar mensajes que sólo pueda descifrar el 
destinatario y se ha aplicado tanto a defensa, como 
a secretos industriales y, en los últimos años, 
sobre todo, al comercio electrónico. Esto es así 
porque actualmente la seguridad de los sistemas 
informáticos se ve debilitada por el fuerte 
crecimiento de las redes y cuando se trata este 
tema hay que tener en cuenta un aspecto tan 
importante como la privacidad e integridad de los 
datos. 
 
II. POSIBLES SOLUCIONES AL 
PROBLEMA PRESENTADO EN FIRMA 
DIGITAL, CONTRASEÑAS INSEGURAS Y 
LIVE HTTP HEADERS 
 
A. Firmas Digitales 
La solución a los problemas en Linux con la firma 
digital de documentos en la junta de Andalucía. 
La cuestión es que hay casos en los que al intentar 
firmar un documento de forma telemática, lo que 
hace el navegador (Firefox) es descargar el applet, 
pero no nos deja firmar al decir que el applet no 
esta correctamente instalado.Esto se debe a que 
intenta firmar utilizando OpenJDK y no el JDK 
propietario.Solución: desinstalamos openJDK 
completo y reiniciamos el navegador. Desde ese 
momento ya podemos firmar. 
Los problemas que existen para firmar un 
documento de forma digital utilizando Linux, se 
ha publicado una versión portable del navegador 
Firefox que incluye todo lo necesario para poder 
firmar (y autenticarse) y que no requiere instalar 
nada en nuestro equipo. Basta con descargar del 
portal de Séneca (en el apartado Linux) un fichero 
comprimido y descomprimirlo en cualquier 
directorio que nos apetezca (no hay restricciones 
al respecto que, para eso, es portable ;)) y hacer 
doble click sobre el fichero que aparece en la 
imagen 
Fig.1 Portable Firefox 
 
Fuente: 
https://i0.wp.com/i99.photobucket.com/albums/l301/jasvazque
z/ejecutar-firefox-portable-linux.png 
 
Para reducir su tamaño, se ha optado por el 
formato de compresión 7z por lo que deberás 
tener instalado en tu equipo el paquete p7zip 
(nada que apt-get, synaptic o aptitude no puedan 
solucionar). 
Consideraciones a tener en cuenta: Para que 
funcione correctamente es necesario tener cerrado 
cualquier versión del navegador Firefox. Los 
certificados digitales que tengas instalados en tu 
versión actual de Firefox estarán disponibles en la 
versión portable Sólo funciona en equipos con 
Linux (Ubuntu, Debían) sin problemas. El 
portable, para reducir tamaño, cuenta con una 
versión reducida de la JVM 1.6.0_14 (máquina 
virtual Java) pero que para el uso normal en 
páginas web no da problemas (si a alguien le falla 
que lo indique en los comentarios para tratar de 
darle una salida). 
 
 
B. Contraseñas Inseguras 
El método de encriptación creando estos archivos 
"hash", opera de tal manera que la información 
que ingresa el usuario como contraseña, "rebota" 
por así decirlo contra el registro del sistema y el 
mismo archivo, creando una cadena única de 
caracteres; o sea puedes abrir estos archivos SAM 
y verlos en el block de notas, pero no existe 
método mecánico ni método o tabla para 
descifrarlos. 
Para recuperar genuinas contraseñas extraviadas, 
el proceso emplea ataques de "fuerza bruta", por 
ejemplo del tipo "ataque de diccionario" (un 
nombre bonito para sencillamente ir probando de 
manera automática con las palabras del 
diccionario ataques al archivo hash SAM), o 
sistemas tipo "rainbowtables" que utilizan 
debilidades en intercambios de memoria interna. 
Existen programas que realizan estas operaciones, 
sin prometer éxito, para recuperar las contraseñas. 
También se pueden instalar sistemas operativos 
alternativos como Linux, para acceder al sistema 
desde ellos, obtener los hash files y de allí trabajar 
sobre ellos. 
Ataque de Fuerza Bruta 
El MD5 es un algoritmo unidireccional (permite 
codificar mas no decodificar), por eso para validar 
las entradas es necesario pasarlas primero por el 
algoritmo para después comparar el hash generado 
con el que esta almacenado previamente, una de 
las primeras ideas que nos llega a la mente para 
“decodificar” algo en MD5 es realizar un ataque 
por fuerza bruta, donde codifiquemos caracteres 
desde aaaaaaa…a hasta zzzzzzz…z comparando 
con el hash que tenemos para ver si coincide. 
Existen portales que se dedican a realizar este 
ataque de fuerza bruta y a almacenar en su base de 
datos la cadena de caracteres con su respectivo 
hash en MD5 por lo tanto lo primero que debemos 
hacer es comprobar si el hash que tenemos ya ha 
sido almacenado en alguna de estas bases de 
datos, si es asi podremos ahorrarnos mucho 
tiempo. 
Software para Realizar Ataques de Fuerza Bruta 
a claves con MD5 
Si la búsqueda en las bases de datos no te arrojo 
resultados positivos puedes realizar el ataque 
desde tu propia máquina, existe mucho software 
que puedes utilizar para este fin. 
En mi experiencia personal el mejor programa 
para realizar ataques de fuerza bruta a una clave 
codificada con MD5 es el MDCRACKes una 
herramienta de tipo contraseña featureful gratuita 
diseñada para fuerza bruta en varios algoritmos 
hash comúnmente usadas a un ritmo de velocidad 
muy agresivo. 
Se puede recuperar cualquier contraseña hecha de 
hasta 16 caracteres y que permite hasta 55 
caracteres con una sal de usuario adicional. 
Elf Wizard The Ripper MD5 
Este es un proyecto elaborado por WHK el cual 
consiste en un sistema basado PHP donde se 
ingresa una serie de palabras con sus respectivos 
hashes en MD5 a una base de datos en MySQL, lo 
que diferencia este sistema de las bases de datos 
es que permite ingresar listas de palabras, y 
ademas sacar palabras de búsquedas especificas en 
google o de cualquier pagina web. 
 
C. Live Http Headers 
 
III. REFERENCIAS 
 
RODRIGUEZ DAVID, (2011). Problemas con 
Firma digital, disponible en: 
http://davidrsm.blogspot.com.co/2011/06/problem
as-con-firma-digital-despues-de.html 
Guardia Informático. (2010).Firefox portable para 
Linux o cómo solucionar los problemas para 
firmar digitalmente, disponible en: 
https://andalinux.wordpress.com/2010/03/04/firef
ox-portable-para-linux-o-como-solucionar-los-problemas-para-firmar-digitalmente/ 
Garces Blog. (2007). CONTRASEÑAS 
INSEGURAS. Disponible en: 
http://bloggarces.blogspot.com.co/2009/11/contras
enas-inseguras.ht