7, 8, 14 y 15 de noviembre de 2013
Tendencias en tecnolog铆as para garantizar la seguridad de la informaci贸n: protecci贸n de datos y firmas electr贸nicas Alejandro Naranjo anaranjo@WSecurity.co / anaranjo@netco.la
www.uexternado.edu.co
2
Decreto 2364 del 2012
www.uexternado.edu.co
3
Decreto 2364 del 2012
www.uexternado.edu.co
4
Temas a tratar: Firmas Electrónicas
Firmas Electrónicas
Firmas Electrónicas Básicas
Firmas Electrónicas Basadas en Factores de autenticación
Firma Digital O Firma Electrónica Avanzada
www.uexternado.edu.co
Firma Electrónicas Certificadas
5
FIRMA ELECTRONICA NIVEL BÁSICA
www.uexternado.edu.co
7
Ejemplo Firma Básica: Correo Electrónico
Tipo de Fraudes • Phishing • Vishing • Smishing
www.uexternado.edu.co
8
FIRMA ELECTRÓNICAS BASADAS EN FACTORES DE AUTENTICACIÓN
www.uexternado.edu.co
9
Autenticación – Los tres factores
x
User Name: Password:
2. ¿Que tiene?
1. ¿Que conoce?
3. ¿Quien es usted? www.uexternado.edu.co
10
Firma Electrónica Primer factor Usuario / Contraseña • Seguridad en el Browser
• Usuario y contraseña
www.uexternado.edu.co
11
Firma Electr贸nica Con dos factores de autenticaci贸n
www.uexternado.edu.co
12
Ataque “Man In The Browser” …. comunicaciones previstas Malware
Manipulación de las Comunicaciones Genera Phishing
Fraude
Sitio Malicioso
13
Como opera? 1
2
Usuario ingresa a su portal bancario
Malware ‘se despierta’
3
Usuario inicia una operación financiera ACH o una transferencia 7
4
6
Internamente el Malware intercepta & modifica la solicitud del usuario y la envía al banco
El usuario ve la info de la transacción (La ve bien) y entonces entrega el token OTP
Malware intercepta la transacción con los detalles de la confirmación, modifica estos de acuerdo a la solicitud del usuario inicial
5
8
14
El banco recibe la solicitud del malware, envía los detalles de la transacción para revisar y envía un reto one-time-passcode (OTP)
El Malware pasa al Banco la respuesta del OTP, y la modificación de la transaccion del malware es completada
Amenazas y contramedidas ...? ….Una carrera armamentista en efecto
Hardware OTP
Tarjeta de Coordenadas
Certificados de validacion Extendida
EMV OTP
Firma de maquina
Lectores Biometricos
Robo de contraseñas Man in The Middle
Geo-location IP
Certificados en tarjetas / dispositivo
Man in The Middle
Man in The Browser
15
Teléfono celular como elemento de seguridad y de firma electrónica • Autenticación fuera de línea (OOB transaction) Es la forma efectiva para mitigar los ataques de Man in the Browser – –
Separado al canal Online Detalles son incluidos
• Sin embargo existen vulnerabilidades con los mensajes SMS. –
–
Zeus ataca a los mensajes SMS de confirmación generadas por los Bancos El Malware Troyano “Gemini” roba información de los celulares Android y los envía a celulares remotos
Firma electrónica con métodos de firma biométrica. Silverman, Mark. http://www.computer.org/itpro/homepage/jan_feb01/security3b.htm
.
Liu, Simon;
FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA
www.uexternado.edu.co
18
Conceptos Básicos Técnicos: ¿Que es un certificado digital? Name: Juan Valdes Issued by: Café de Colombia Expires: 13-Feb-2014 Public key:
www.uexternado.edu.co
¿Quien es usted? ¿Cómo confío en eso? una llave criptográfica es usada para la comunicación con usted. Acompañado por una “llave privada” el dueño guarda para el mismo.
19
Ambiente del certificado digital Firma digital e Integridad de transacciones
Autenticaci贸n fuerte
Ciframiento de Datos
www.uexternado.edu.co
20
Condiciones de una firma digital Articulo 28 Ley 527 Identificaci贸n y/o autenticaci贸n de los firmantes. Que el m茅todo de firma sea confiable y apropiado. El firmante debe tener control de su m茅todo de firma.
Se debe vincular el mensaje de datos con la identidad de la persona.
Acordar un mecanismo de firma entre las partes. Que cumpla con el marco legal Colombiano.
Identificación de los firmantes Mundo Digital
Llave pública Llave privada Tercero de confianza
Proceso de Registro
Emite un certificado
Que liga la información de un usuario con un juego de llaves
“Certificador” o Autoridad Certificadora (CA) Usuario
Mundo Físico
Tercero de confianza
Emite una cédula
Que liga una persona a una determinada información (Identificación)
Proceso de Registro www.uexternado.edu.co
22
Método de firma es confiable y apropiado. Autenticación
Asegurar (se) de la identidad de algo o alguien
Integridad
La información no debe ser modificada
No-repudio
No se puede negar el involucramiento en una acción
Control de Acceso
Quién tiene accesos
Confidencialidad
Mantener la privacidad de la información
permitidos a que recursos y en qué condiciones?
Control del MĂŠtodo de Firma Llave privada
Smart Card
USB Crypto Token ID
www.uexternado.edu.co
Desktop ID
24
Se debe vincular el mensaje de datos con la identidad de la persona. ¿Qué envío?
Internet
HASH
Encripto Certificado (Felipe)
Llave pública (Felipe) Llave privada (Felipe)
Integridad Nombre: Felipe Cédula: x-xxx-xxx Vigencia: 10/7/05 al 10/7/0 Serie: 030495AD Emisior: Entrust CA
www.uexternado.edu.co
Autenticidad 25
Vulnerabilidades de la Firma Digital • Duplicación de la llave privada • Formato No cumple con la No repudiación.
www.uexternado.edu.co
26
Usabilidad de la firma digital •Dispositivos sin software criptográfico, No JAVA, No CriptoAPi, solo con HTML5 (aun no integra criptografía) •Dispositivos sin conectores USB, ni lectores tarjetas con Chip. •Opción Sim de los dispositivos Móviles (Pero actualmente las SIMS no tienen espacio para almacenar criptografía)
Se debe vincular el mensaje de datos con la identidad de la persona. Seguridad y Verificaci贸n a cargo del Usuario Entidad de Certificaci贸n
Comprobaci贸n Certificado e identidad Del firmante
Comprobaci贸n del Certificado e identidad Del firmante
www.uexternado.edu.co
28
FIRMAS ELECTRÓNICAS CERTIFICADAS
www.uexternado.edu.co
29
Mezcla de Firma Electronica con firma digital Autenticaci贸n Integridad
No-repudio
Conclusiones • La firma electrónica es otra opción de identificación electrónica jurídicamente válida en Colombia. Analice la conveniencia de uso según los riesgos e intereses en juego • Firma electrónica Avanzada o Firma Digital. – Cada vez se esta limitando el uso y no es un método de uso masivo – No es conveniente para Colombia que se imponga el uso de firmas digitales vía leyes, decretos, circulares imponiendo la compra a las entidades certificación imponiendo.
• No importa el método de firma electrónica, lo que importa es la evidencia digital • Firma electrónica certificada será el futuro de los métodos de firma www.uexternado.edu.co
31
Muchas gracias!!
Alejandro Naranjo anaranjo@WSecurity.co / anaranjo@netco.la
www.uexternado.edu.co
32