"Cabeza hay que tener, mas no te bastará, pues hoy de tu cabeza sólo el piojo vivirá"

[ Bertolt Brecht - Dramaturgo y poeta alemán - 1898-1956 ]

Boletín 137 - Proteger la clave privada en un entorno de criptografía pública - 31/05/2009

En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico.
http://blog.segu-info.com.ar/2009/05/gusano-traves-twitter-y-facebook.html

1. Proteger la clave privada en un entorno de criptografía pública
2. Fuga de información: las empresas no aprenden
3. Segu-Info busca autores
4. Resumen de Noticias Exclusivas publicadas por Segu-Info
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana

1. Proteger la clave privada en un entorno de criptografía pública

Los criptosistemas de clave pública [1] fueron inventados a finales de los años 70, con ayuda del desarrollo de la teoría de complejidad alrededor de esa época.

Observando que basados en la dificultad de un problema y de los miles de años que llevaría resolverlo y con un poco de suerte, se observó que un criptosistema podría ser desarrollado teniendo dos claves, una privada y una pública.

En un entorno sencillo, se dice que con la clave pública se pueden cifrar mensajes, y descifrarlos con la clave privada. Así el propietario de la clave privada sería el único que podría descifrar los mensajes, pero cualquier persona que conozca la clave pública podría enviarlos en forma privada.

Algunos algoritmos de clave pública pueden ser utilizados para generar firmas digitales. Una firma digital es una reducida cantidad de datos que fue creada utilizando para ello una clave privada, y donde puede ser utilizada una clave pública para verificar que dicha firma fue realmente generada utilizando la clave privada correspondiente. El algoritmo a utilizar para generar la firma debe funcionar de manera tal que sin conocer la clave privada sea posible verificar su validez.

Las firmas digitales son un mecanismo para verificar que el mensaje recibido viene realmente de quien dice ser el remitente, asumiendo que el remitente conoce la clave privada que se corresponde con la clave pública utilizada para la verificación. A esto se lo llama autentificación de origen de datos y permiten determinar con eficacia y eficiencia que una entidad es quien dice ser, dando seguridad al modelo.

Como puede verse, la seguridad de los criptosistemas esta basada en el hecho de la permanencia en secreto de la clave privada. Si bien la criptografía actual ofrece todo lo necesario para que este entorno sea "casi perfecto" existe un ingrediente que complica el proceso de autenticación y verificación de las claves y, puede inutilizar y arruinar por completo el sistema: el manejo que hace el usuario de la clave privada.

Por ese motivo es crítico y fundamental proteger la clave privada y que la misma sólo pueda ser utilizada por la persona o entidad que la generó; de otro modo cualquiera podría firmar un documento y hacerse pasar por la entidad original (ataque de impersonalización).

Considerando que la clave privada es "sólo" un archivo con información que debe ser protegido, deben considerarse las siguientes opciones (algunas de ellas obvias para cualquier sistema que deba considerarse seguro).

1. Educarse sobre técnicas de ingeniería social en donde se solicita la clave para algún uso fraudulento. Si el usuario entrega su clave por motus propio, por supuesto la fortaleza del sistema deja de existir.
2. Proteger el acceso físico al sistema.
3. Verificar infecciones de malware que intenten robar certificados y claves privadas. Si el usuario se infecta con este tipo de programas dañinos, el certificado digital será enviado al delincuente. Generalmente este tipo de malware utiliza ingeniería social.
4. Cifrar el archivo a través de un algoritmo de criptografía simétrica y con una clave segura, de forma tal que sólo el dueño de la clave pueda descifrar el archivo para luego utilizarlo. En algunas ocasiones, el sistema operativo puede ofrecer esta funcionalidad.
5. Firmar el archivo para controlar su integridad y conocer si el mismo ha sido modificado (ataque de tampering) en caso de compromiso. En algunas ocasiones, el sistema operativo puede ofrecer esta funcionalidad.
6. El usuario final puede almacenar la clave o certificado en dispositivos removibles (smartcard o token USB, etc.) que sólo él utilice. De esta forma, si se accede al sistema, no se podrá robar el archivo necesario.
7. En entornos corporativos, almacenar los archivos en lugares centralizados con permisos restringidos y auditables para conocer en todo momento quien accede a dicha información (mantener logs).
8. Como punto extra a lo mencionado, intentar utilizar un acceso biométrico para acceder a la clave o certificado.
9. Contemplar la posibildad del "secreto compartido" en donde más de una entidad conservan parte del archivo para que el mismo no sea comprometido en forma total.
10. Considerar el mismo procedimiento con el backup de la clave privada.
11. Considerar que la clave será comprometida y desarrollar el procedimiento de contingencia necesario: revocación y regeneración de claves y certificados comprometidos.

Si bien las consideraciones mencionadas no se alejan de la protección de cualquier otro archivo crítico, se deben tener en cuenta específicamente para el caso de las claves privadas y certificados digitales, por lo que significa que sean comprometidos: otra persona/entidad puede impersonificar a la entidad original.

Por ello, el National Institute of Standars and Technology (NIST) ha desarrollado hace tiempo (1996) una guía para proteger la clave privada y los certificados digitales en entornos corporativos [2], Verisign ha hecho lo propio, el Consorcio de Internet 2000 y también otras presentaciones pueden ser encontradas en Internet con consejos similares.

[1] Criptosistemas de clave pública
http://www.segu-info.com.ar/criptologia/asimetricos.htm
http://www.segu-info.com.ar/proyectos/p1_criptografia.htm

[2] NIST: Implementation Issues For Cryptography
http://csrc.nist.gov/publications/nistbul/csl96-08.txt
http://csrc.nist.gov/publications/nistbul/csl90-08.txt

2. Fuga de información: las empresas no aprenden

Un caso que se repite en las noticias, esta vez en Wired, muestra una debilidad en las organizaciones: la falta de comunicación y articulación de procedimientos de seguridad en tiempo y forma.

Es el caso de un empleado despedido en una empresa de energía eléctrica en Texas, Energy Future Holdings, según relata Wired:

"El ex-empleado, Dong Chul Shim, fue despedido de la compañía el 3 de marzo por razones de desempeño, y escoltado fuera de las instalaciones, según los registros de la corte. Pero la compañía falló al no cancelar de inmediato su acceso VPN. Esa tarde, alguien usando la cuenta de Shin comenzó a registrar actividad en la red de la compañía, enviar por correo electrónico información privada hacia una cuenta personal Yahoo relacionada con Shin, y modificar y eliminar archivos, según una declaración jurada del informe de la investigación realizada por el agente del FBI de Dallas, Robert Smith.

Los registros de la compañía mostraron que la conexión VPN se originó en la dirección IP de la casa de Shin, dijo Smith en el escrito.

Pero el daño señalado en la declaración parece ser puramente económico...

Cuando fue despedido, Shin prometió supuestamente devolver al día siguiente la laptop que le dio la compañía. Pero no cumplió hasta que un agente de seguridad de la compañía se presentó frente a la puerta de su casa el 5 de marzo para recuperar la computadora.

La noticia continua con más detalles de la investigación y el perjuicio económico, pero lo que no deja de sorprendernos es cómo siguen sucediendo estas fallas de seguridad tan básicas en las organizaciones."

Durante los últimos años, las empresas han equipado a sus empleados con las tecnología más sofisticada, permitiéndoles hacer casi todo cuando están fuera de la oficina, desde acceder a sus correos hasta conectarse a las partes más sensibles de la red interna. A una vasta cantidad de trabajadores se les han dado sus propias laptops para facilitarles el trabajo remoto y flexible.

Tal disponibilidad implica que cualquier empleado disgustado tiene una mayor oportunidad de robar información o incluso navegar libremente por dentro la red, luego de ser despedido.

Sin embargo, la gestión de la seguridad de la información, al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización [1].

Aspectos como la selección y contratación de empleados, su formación, y su desvinculación de la empresa son fundamentales en seguridad y por eso RRHH debe estar involucrado en dicho proceso.

Noticias como las mencionadas son muy comunes en todas las organizaciones y todas ellas tienen dos componentes en común: la falta de previsión y la (in)comunicación (in)existente entre las areas de RRHH y Seguridad.

En un estudio reciente, el 30% de los ejecutivos informaron que no hay un proceso establecido para ubicar y deshabilitar la cuentas huérfanas y el 38% de ellos no tiene forma de determinar si un empleado actual o ex-empleado está usando o ha usado una cuenta huérfana para acceder a información.

¿Qué se puede hacer para minimizar los daños?

1. Trabaje estrechamente con el departamento de RRHH. Debe conocer anticipadamente los potenciales despidos, de modo de preparar un plan de acción.
2. Controle y redirija el tráfico de información de la persona involucrada a alguien de confianza o al superior inmediato.
3. Revise los registros de sus aplicaciones, en particular aquellas con datos sensible, intentando obtener información que pueda ser considerada de interés por el despedido.
4. Asegúrese que tiene un proceso robusto para cerrar cuentas, cambiar contraseñas y cerraduras a las que el usuario tenía acceso.
5. Recuperar equipos provistos a los miembros del personal.
6. Contar con una infraestructura de manejo seguro de identidad y acceso para controlar quién, qué, dónde, cuándo y porqué de las actividades del usuarios a lo largo de toda la empresa.
7. Mantener una relación de buenos términos con los empleados pero planificar como para controlar malos tratos.
8. Implementar los conceptos de división de tareas (conocimiento distribuido y control dual) y mínimo privilegio para que una tarea no pueda ser desarrollada por una sola persona y que cada empleado posea solo los conocimiento y los permisos necesarios para desarrollar sus tareas habituales.
9. Firmar contratos de "Non-compete" (prohíbe legalmente aceptar la oferta de un competidor por un plazo determinado), de "Non-disclosure" (busca asegurar la confidencialidad y la no-divulgación de información) y "Termination Contract". Estos contratos son fundamentales en caso de personal crítico.

Todas las organizaciones disponen de alguna u otra manera, formal o informal, un proceso de vinculación o desvinculación de personal y de un area que controla el uso de la información. Lamentablemente no todas comprenden que las personas están involucradas en todos los procesos de la empresa y, como tal, se debe involucrar a todas las areas en caso de que una persona se aleja de la misma.

Autores: Raúl Batista y Cristian Borghello

[1] La Seguridad de la Información en los Recursos Humanos
http://blog.segu-info.com.ar/2008/03/la-seguridad-de-la-informacin-en-los.html
http://blog.segu-info.com.ar/2008/03/la-seguridad-de-la-informacin-en-los_04.html
http://blog.segu-info.com.ar/2009/03/como-aumentar-la-seguridad-con-un.html

3. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

• si te interesan la Seguridad de la Información,
• si conoces de Legislación en Seguridad,
• o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

4. Resumen de Noticias Exclusivas publicadas por Segu-Info

Cada día algunos de los profesionales de Segu-Info realiza una traducción o escribe un artículo para el Blog.

Estas son las últimas noticias publicadas:

• Informe: Hackers turcos ingresan a servidores del ejército de EE.UU.
• Gusano a través Twitter y Facebook
• Cartas intimidatorias de Software Libre (al boleo)
• Las palabras más peligrosas para buscar en la Web
• Falla de confidencialidad por aparato de traducción simultánea
• Premios falsos de Fedex
• WhiteHat: La mayoría de los sitios Web actualmente son vulnerables
• Phishing a Cajamar (España)
• ¿Polémico o sencillamente estúpido?
• Amiga brasilera despechada

Todas las Noticias Exclusivas generadas por Segu-Info puede ser seguidas en nuestro Blog o a través de Twitter.

5. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

6. Desafío de la semana

Solución al desafío del Boletín anterior:

La persona debe bajar de la montaña a una velocidad de 60 Km/h para que el promedio del trayecto total sea de 30 Km/h..

Respondieron correctamente:
maxisimonazzi@, rdrisaldi@, pedro.el.baron@, gsakuda@,

Desafío de esta semana:

¿Cuál es el siguiente número de la serie?
2, 6, 48, 2448, ...