Documente Academic
Documente Profesional
Documente Cultură
Unidad 3 Mtodo de
Cifrado
Autores:
T.S.U: Yuleisi Guerrero
C.I.16.321.965
T.S.U: Adrian Cegarra
C.I:18.715782
P.N.F en Informtica
Un criptosistema
Es el conjunto de procedimientos que garantizan la seguridad de la
informacin y utilizan tcnicas criptogrficas.
El trmino en ingls es cipher.
El elemento fundamental de un Criptosistema es la llave.
En algunas referencias a la llave se le conoce como clave.
Objetivos de la Criptografa
Mantener la confidencialidad del mensaje
La informacin contenida en el mensaje permanezca secreta.
Garantizar la autenticidad tanto del mensaje como del par
remitente/destinatario:
El mensaje recibido ha de ser realmente el enviado.
El remitente y destinatario han de ser realmente quienes dicen ser y no
remitentes y/o destinatarios fraudulentos.
Clasificacin seguridad criptogrfica
Seguridad incondicional (terica).
Sistema seguro frente a un atacante con tiempo y recursos computacionales
ilimitados.
Seguridad computacional (prctica).
El sistema es seguro frente a un atacante con tiempo y recursos
computacionales limitados.
Seguridad probable.
No se puede demostrar su integridad, pero el sistema no ha sido violado.
Todos los dems sistemas, seguros en tanto que el enemigo carece de
medios para atacarlos.
Criptografa
Tradicionalmente se ha definido como el mbito de la criptologa el que se
ocupa de las tcnicas de cifrado o codificado destinadas a alterar las
representaciones lingsticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados. Estas tcnicas se utilizan tanto en el
Arte como en la Ciencia. Por tanto, el nico objetivo de la criptografa era
conseguir la confidencialidad de los mensajes. Para ello se diseaban sistemas
de cifrado y cdigos. En esos tiempos la nica criptografa existente era la
llamada criptografa clsica.
La firma digital
Documento es el resultado de aplicar cierto algoritmo matemtico,
denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo
de firma (en el que se emplea una clave privada) al resultado de la operacin
anterior, generando la firma electrnica o digital. El software de firma digital
debe adems efectuar varias validaciones, entre las cuales podemos
mencionar:
Vigencia del certificado digital del firmante,
Revocacin del certificado digital del firmante,
Inclusin de sello de tiempo.
Cmo funciona La firma digital
Integridad de los datos
Identificacin del firmante
No repudio
Funciones de firma digital
La firma digital funciona mediante complejos procedimientos matemticos que
relacionan el documento firmado con informacin propia del firmante. Estos
procedimientos permiten que terceras personas puedan reconocer la
identidad del firmante y asegurarse de que los contenidos no han sido
modificados.
El firmante genera o aplica un algoritmo matemtico llamado funcin hash, el
cual se cifra con la clave privada del firmante. El resultado es la firma digital,
que se enviar adjunta al mensaje original. De esta manera el firmante
adjuntar al documento una marca que es nica para dicho documento y que
slo l es capaz de producir.
Para realizar la verificacin del mensaje, el receptor generar la huella digital
del mensaje recibido, luego descifrar la firma digital del mensaje utilizando la
clave pblica del firmante y obtendr de esa forma la huella digital del
mensaje original; si ambas huellas digitales coinciden, significa que no hubo
alteracin y que el firmante es quien dice serlo
Autorizacin
Es el proceso que determina (luego de su autenticacin) a qu recursos
de un sistema tiene acceso una identidad
Blanca quiere poder mandar mensajes a No y que ste sepa que ella es
ciertamente la emisora del mismo. Para ello, consigue un certificado de una
Autoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a
Blanca un Certificado digital personalizado que le va a permitir identificarse
ante terceros. Dicho certificado debe guardarlo en lugar seguro, es el smil al
Documento Nacional de Identidad.
Funciones del certificado digital
Verificar que la clave pblica permanezca en una determinada persona. En
consecuencia, procurar que una persona utilice una clave haciendo pasar por
otra persona.
Solucionar el problema de otras personas con respecto a la funcin bsica del
certificado y la comprobacin de la identidad del firmante.
Publicar la clave pblica del emisor en un mensaje en su medio puede dar a
conocer la clave pblica de una persona.
Publicar la clave pblica de la identidad de la certificacin. Ya que el certificado
es firmado digitalmente por una identidad y debe ser descifrado poe el destino
del mensaje.
Funcin aprobatoria. En el certificado digital consta la informacin relativa a la
identificacin del titular de la firma digital, y sus atributos dinmicos en el
momento determinado.
Tcnica de los Hacker
Tipos de hacker
Troyanos va mensajera instantnea
Este tipo de hacker se basa en la instalacin de un programa con un
troyano o "caballo de Troya", como algunos lo llaman en referencia a la
mitologa griega, el cul sirve como una herramienta remota para hacker. Tiene
la habilidad de ocultarse y su uso no est autorizado. Una vez ejecutado
controla a la computadora infectada. Puede leer, mover, borrar y ejecutar
cualquier archivo. Una particularidad del Troyano es que a la hora de ser
cargado en un programa de mensajera instantnea de forma remota, el hacker
sabr el momento en que el usuario se conecta. Es aqu donde el intruso podr
robar informacin. La transmisin de datos de la computadora infectada a la del
intruso se lleva a cabo gracias a que el programa de mensajera instantnea
abre un tnel de comunicacin el cual ser aprovechado por el atacante.4Cabe
sealar que los troyanos tienen una apariencia inofensiva y no propagan la
infeccin a otros sistemas por s mismos y necesitan recibir instrucciones
directas de una persona para realizar su propsito.
pginas web reales. De esta forma el usuario piensa que la pgina es real y
empieza a llenar su informacin, normalmente bancaria. En la mayora de los
casos piden al usuario poner su clave o que entre al sistema con su
informacin de cuenta. Despus manda una alerta de que el servidor no
responde para no levantar dudas.
Hijacking y suplantacin (impersonation)
Uno de los mtodos ms usados es el eavesdropping el cual pretende
recabar informacin como cuentas de usuario, claves, etc. Esto se logra por la
incursin de los troyanos en la computadora, nicamente para recabar
informacin de usuario. Una vez teniendo esa informacin se puede lograr la
suplantacin y se sigue con el proceso hasta tener informacin de gente
cercana al usuario infectado
Ejemplos de hacker
IP hijacking: Secuestro de una conexin TCP/IP.
Page hijacking: Modificaciones sobre una pgina web.
Reverse domain hijacking o Domain hijacking: Secuestro de un dominio.
Sesin hijacking: Secuestro de sesin de usuario.
Browser hijacking: Modificaciones sobre la configuracin del navegador
web.
Mdem hijacking: Secuestro del mdem.
escribir esta entrada del blog (pero Adobe empuj una solucin en la ltima
versin de flash , vase el prrafo mitigaciones y correccin ).
cuenta de Google, que a su vez permiti a los piratas informticos para recibir
un correo electrnico de restablecimiento de contrasea de Instagram,
dndoles el control de la cuenta.
Apache Struts ClassLoader Manipulacin ejecucin remota de cdigo y
blog
Actualiza Commons File Upload a la versin 1.3.1 (evita los ataques DoS)
y aade "clase" para excluir params en Parameters Interceptor evitar la
manipulacin (cargador de clases)
A quin va dirigida esta: Todos Struts 2 desarrolladores y usuarios
Alcance de la vulnerabilidad: Los ataques DoS y manipulacin ClassLoader
Puntuacin mxima seguridad: Importante
Recomendacin: Los desarrolladores deben actualizar inmediatamente a Struts
2.3.16.1
Software afectado: Puntales 2.0.0 - 2.3.16 puntales
Reportero: Peter Magnusson (peter.magnusson en omegapoint.se),
Przemysaw Celej (p-Celej en o2.pl)
Identificador CVE: CVE-2014-0050 (DoS), CVE-2.014-0.094 (manipulacin
cargador de clases)
El mecanismo de carga por defecto en Apache Struts 2 se basa en los
Comunes File Upload versin 1.3, que es vulnerable y permite ataques DoS.
ParametersInterceptor adicional permite el acceso al parmetro "clase" que se
correlaciona directamente con el mtodo getClass () y permite la manipulacin
cargador de clases.
El uso de Facebook Notas a cualquier sitio web DDoS
Notas Facebook permite a los usuarios incluir etiquetas <IMG>. Siempre
que se utilice una etiqueta <img>, Facebook se arrastra la imagen desde el
servidor externo y lo almacena en cach. Facebook slo cach de la imagen
una vez, sin embargo el uso de parmetros aleatorios obtener la cach puede
ser de paso obligatorio y la funcin se puede abusar de causar una gran
inundacin HTTP GET.
Los canales de temporizacin encubierto basados en HTTP Cache
encabezados
HTTP es uno de los protocolos ms utilizados en Internet para las
detecciones de los canales encubiertos sobre el HTTP es una importante rea
de investigacin de temporizacin HTTP canales han recibido poca atencin en
la seguridad informtica El caudal principal HTTP encubierta canal de
sincronizacin es igual a 1,82 puntos bsicos [1]. Este canal no utiliza ningn
mecanismo de HTTP y se basa en DNS-tnel del canal de temporizacin del