crypt4you

Crypt4you

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion0/leccion0.html[10/07/2013 08:47:06 p. m.]

Curso de privacidad y proteccin de comunicaciones digitales

Leccin 0. Introduccin. Problemtica en la privacidad de comunicaciones digitales Leccin 1. Introduccin al cifrado de la informacin. Herramienta GPG y OpenSSL Leccin 2. Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva Leccin 3. Comunicaciones seguras mediante mensajera instantnea Leccin 4. Proteccin de comunicaciones en dispositivos mviles Leccin 5. Proteccin de comunicaciones en redes sociales Leccin 6. Software seguro. Actualizaciones y recomendaciones Leccin 7. Borrado seguro de informacin. Recomendaciones Leccin 8. Canales subliminales. Esteganografa

Leccin 0. Introduccin al curso. Problemtica en la privacidad de comunicaciones digitalesDr. Alfonso Muoz Muoz - Dr. Jorge Rami Aguirre - 10/04/2013

Twittear 42

La comunicacin es uno de los smbolos ms brillantes del siglo XX. Ha permitido acercar los valores y las culturas, liberado a los hombres de losobstculos ancestrales de tiempo y espacio, compensando incluso los horrores y las barbaries de esta poca. Su avance nos ha acompaado enlos combates por la libertad, los derechos humanos y la democracia.

Hoy da la sociedad del conocimiento en la que estamos inmersos, extiende el potencial de las tecnologas de la comunicacin a todas las facetasde la vida cotidiana. La informacin tiene mucho valor, su adquisicin supone poder y el conocimiento de sta se cree que conduce a la libertad.El poder de la informacin es tal que numerosas entidades a lo largo de la historia han deseado restringirla o manipularla; de hecho, el espionajede las comunicaciones ha constituido, tanto en la guerra como en la paz, un valioso instrumento para conocer las actividades e intenciones deenemigos.

El ser humano siempre ha tenido secretos de muy diversa ndole y ha buscado mecanismos para mantenerlos fuera del alcance de miradasindiscretas, especialmente si la informacin se transmite por un canal inseguro, en el cual sta puede ser curioseada y/o modificada por tercerosno autorizados. La evolucin de todos los mecanismos y tcnicas que intentan solucionar este problema es lo que se conoce como la ciencia de lacriptologa, compuesta por sus dos ramas, la criptografa y el criptoanlisis.

Existen dos momentos claves en el siglo XX para la evolucin futura de la criptografa y la proteccin de comunicaciones. Unode ellos se produce en la dcada de los 40 con la publicacin de dos artculos fundamentales desarrollados por Claude Shannon, que sentaran lasbases de la teora de la informacin: A Mathematical Theory of Communication, en 1948, y Communication Theory of Secrecy Systems, en 1949.En esos artculos Shannon propona el uso de dos tcnicas de cifrado en criptosistemas de clave secreta, que resuman los mecanismosanteriores de la historia, a las que llam difusin y confusin. Por un lado, la difusin sera la tcnica que permitira dispersar las propiedadesestadsticas inherentes al lenguaje en el texto en claro sobre el criptograma, por ejemplo, mediante permutaciones o transposiciones. Por otrolado, la tcnica de confusin permitira generar confusin, caos, mezcla en el resultado cifrado, de tal forma que la dependencia entre texto enclaro, clave y criptograma sera lo ms compleja posible e impedira romper el algoritmo.

Ahora ms que nunca la criptografa se convertira en el refugio de los matemticos, el lugar perfecto en el cual aplicar numerosas teoras,teniendo en cuenta los principios de Kerckhoffs, en especial aquel que indica que la fortaleza del sistema de cifra debe depender solamente delsecreto de la clave. Todos estos avances contribuiran al desarrollo de una amplia diversidad de cifradores de flujo y cifradores de bloque, pero enel mundo de la criptografa segua existiendo un problema durante siglos no solucionado, el intercambio de una clave o secreto de una formasegura a travs de un canal inseguro.

A finales de la dcada de los aos 70 aparece el segundo hito de la criptografa moderna que entrega una solucin prctica alproblema de la distribucin de claves, posiblemente el salto cualitativo ms importante en la historia de la criptografa y que marcaramuchas de las tendencias criptogrficas en las dcadas posteriores. Se trata del artculo New directions in cryptography, publicado en 1976 porBailey Whitfield Diffie y Martin Hellman, que estableca el concepto de la criptografa asimtrica o de clave pblica, en la que cada participante enuna comunicacin secreta dispona de dos claves, una pblica y otra privada, de forma que lo que se cifrase con una de ellas solamente sedescifrara con la otra. De esta manera, cualquier emisor podra comunicarse con un destinatario para enviarle un secreto a travs de un canal

Crypt4you


inseguro conociendo exclusivamente su clave pblica, en tanto que slo el destinatario podra descifrar la comunicacin cifrada, dado que slo lconoce su clave privada. Esto abri un gran potencial para el desarrollo de protocolos criptogrficos en las redes de comunicacin. Fue ademsen esta poca cuando se abri el camino al uso de funciones unidireccionales fciles de computar en una direccin pero muy complejascomputacionalmente de invertir sin una trampa o una pista a modo de clave de sistema.

En la dcada de los 80, el avance en los principios de los algoritmos de curvas elpticas y en las ideas de la criptografa cuntica marcaran lossistemas actuales de proteccin de las comunicaciones digitales. En la dcada de los aos 90 la criptografa comienza a generalizarse en lascomunicaciones civiles en Internet, en lo que influy notoriamente la publicacin de la herramienta PGP por Phil Zimmermann.

Todos estos avances previos han permitido que en nuestros das existan multitud de procedimientos y tecnologas para proteger lascomunicaciones de posibles interceptaciones y manipulaciones. Por desgracia, no siempre el pblico en general sabe cmo utilizarlas yaprovecharlas en sus comunicaciones del da a da. Esto no es un tema balad, especialmente por la importancia de proteger nuestrastransmisiones en la actualidad. Una forma de aproximarse a este problema es recordar al periodista Duncam Campbell, quien en 1988 en suartculo Somebodys listening publicado en New Statesman revelaba la existencia del programa de vigilancia ECHELON. En 1999, unestudio titulado Interception Capabilities 2000 fue presentado en el parlamento Europeo.

Crypt4you


Campbell revelaba algo que ya era conocido en determinados sectores y continuaba con algo tan antiguo como el espionaje militar entre losestados. Pero Echelon y sistemas parecidos incorporaban un aspecto destacable, la red de espionaje con cobertura global mediante sus aliados(UK, Australia, etc.) era utilizada con fines econmico-industriales. De hecho, el problema ya no es una cuestin de tecnologas complejas y carasgobernadas por servicios de inteligencia; el mayor problema de nuestra poca es que la tecnologa simplifica muchsimo la interceptacin ymanipulacin de las comunicaciones. La componente econmica ha hecho que estas actividades se apliquen masivamente en las redes decomunicacin por cualquier persona que en funcin de sus recursos podr, interceptando ms o menos datos, vender estos datos,registrar/almacenar dichos datos, etc., sin la autorizacin y muchas veces el conocimiento de su dueo.

Independientemente de quin nos queramos proteger, la criptografa puede ayudarnos en este sentido. Sin embargo, es importante recordar unproblema intrnseco de la criptografa: su visibilidad. La criptografa protege de miradas indiscretas pero en todo momento es conocidoque existe una comunicacin protegida y ese solo hecho ya entrega suficiente informacin al enemigo o atacante, de forma que en ciertosescenarios hostiles esta circunstancia puede ser un problema (localizacin de una comunicacin, censura, etc.). Para intentar minimizar estacircunstancia, existen toda una serie de procedimientos para garantizar el anonimato y establecer comunicaciones enmascaradas. La ciencia de laesteganografa ayudar a la ocultacin de la existencia de una comunicacin. Por tanto, en escenarios reales la combinacin de solucionescriptogrficas y esteganogrficas ser lo ms adecuado frente a enemigos preparados. Sin embargo, la proteccin de comunicaciones noson slo algoritmos criptogrficos/esteganogrficos sino, sobre todo, aplicaciones que implementan protocolos de comunicaciones que utilizanestos tipos de mecanismos. Y muchas veces es en estas aplicaciones y en estos protocolos donde prosperan los ataques.

Para abordar parte de esta problemtica, en el Aula Crypt4you creemos muy interesante publicar el Curso de privacidad y proteccin decomunicaciones digitales. Por tanto, en los prximos meses y mediante una serie de lecciones, abordaremos diferentes cuestiones quepensamos son esenciales para tener unas garantas mnimas de confidencialidad, integridad y autenticidad en nuestras comunicaciones. Entre lostemas tratados se introducir al cifrado de informacin con GPG/OpenSSL, el cifrado de discos duros, la proteccin de comunicaciones mediantemensajera instantnea o la creacin de canales encubiertos mediante esteganografa. Adicionalmente, se analizarn diferentes criterios en laseguridad de las comunicaciones en dispositivos mviles, el borrado seguro de informacin y recomendaciones para la actualizacin adecuada deherramientas y protocolos.

Para la realizacin de este curso se ha visto conveniente invitar a profesionales de gran vala en el campo de la seguridad informtica para laelaboracin de cada leccin, abriendo de esta forma la estructura de un MOOC tradicional a un esquema colaborativo que se alimente delconocimiento de la Universidad y del sector de las TIC.

Esperamos que el curso sea de vuestro intersDr. Alfonso Muoz - Dr. Jorge Rami

Crypt4you


Profesores del curso

Jorge Rami. Profesor Titular de la Universidad Politcnica de Madrid. Desde el ao 1994 imparte asignaturas relacionadas con lacriptografa y la seguridad de la informacin, actualmente Fundamentos de Seguridad de la Informacin FSI y Temas Avanzados enSeguridad y Sociedad de la Informacin TASSI, esta ltima un ciclo de conferencias con expertos invitados y que son publicadas enel Canal YouTube de la UPM. Entre sus facetas destaca su inters por la difusin de la seguridad informtica en Iberoamrica.Algn ejemplo destacable es la autora del libro electrnico de Seguridad Informtica y Criptografa en 2006, de libre distribucin enInternet y con ms de 115.000 descargas, la creacin en 1999 de la Red Temtica de Criptografa y Seguridad de la InformacinCriptored, decana de las redes sociales y temticas, creador y organizador del Congreso Iberoamericano de Seguridad InformticaCIBSI desde el ao 2002 y del Taller Iberoamericano de Enseanza e Innovacin Educativa en Seguridad de la Informacin TIBETSdesde 2011, y la creacin y direccin de la Enciclopedia de la Seguridad de la Informacin Intypedia. As mismo su participacincomo profesor invitado en cursos de posgrado en Espaa y diversos pases de Latinoamrica, impartiendo asignaturas decriptografa. Desde 2006 hasta 2010 fue creador y director de la Ctedra UPM Applus+ en la que se organizaron en Espaa loscongresos DISI, Da Internacional de la Seguridad de la Informacin, trayendo entre otros expertos mundiales a Martin Hellman,Taher Elgamal, Radia Perlman y Hugo Krawczyk. Ctedra que colabora en el congreso IBWAS '09 trayendo al campus sur de la UPMa Bruce Schneier. Ha participado en entrevistras de RTVE, TV3, El Mundo y otros medio de prensa en Espaa y en Latinoamrica.Recibe el Premio Extraordinario del Jurado de la revista Red Seguridad en el ao 2011 por la difusin de la seguridad de lainformacin a travs de los proyectos Ctedra UPM Applus+ y Red Temtica Criptored.

Alfonso Muoz. Doctor de Telecomunicaciones por la Universidad Politcnica de Madrid e investigador postdoctoral en ComputerSecurity & Advanced Switching Network en la Universidad Carlos III de Madrid. Profesional con ms de 10 aos de experiencia enel campo de la seguridad informtica en los cuales ha trabajado en proyectos con organismos europeos, ministerios ymultinacionales. Experto en proteccin de datos digitales y diseo de sistemas seguros basados en algoritmos criptogrficos,esteganogrficos y anonimato. Actualmente aplica este conocimiento en el diseo de redes de comunicaciones seguras a medida(MANETs) en escenarios hostiles y el diseo de herramientas para la proteccin de comunicaciones frente a interceptacin decomunicaciones y deep packet inspection (dpi). Ha publicado ms de 30 artculos en journals y conferencias cientficas (revisinciega por pares) de IEEE, ACM, etc. Por ejemplo: IEEE Communication Letter, Security and Communications Networks, IEEEInternational Symposium on Trust - Security and Privacy for Emerging Applications, SECRYPT, RECSI, etc. Impartiendo conferenciasen diversos pases: Brasil, Argentina, Uruguay, Grecia, Inglaterra, etc. Actualmente es evaluador de investigaciones enviadas aJournal IET Networks y IEEE Transactions on Information Forensics and Security. Ha publicado diversas herramientas deesteganografa de software libre como son stegsecret (2005), stelin (2009) o stegosense (2009). Desde 2009 aplica suconocimiento en Natural Language Processing (NLP) y monitorizacin de redes sociales en el diseo de herramientas deesteganografa lingstica. Su trabajo de investigador lo combina con su faceta de divulgacion, trabajo reconocido por el Premiode Red Seguridad 2012 (en la categora de concienciacin). Algn trabajo reseable es la creacin de la enciclopedia visual de laseguridad de la informacin (Intypedia), la creacin del Aula Virtual Crypt4you o la pertenencia al equipo desarrollador de eventoscomo DISI (Da Internacional de la Seguridad de la Informacin), las conferencias anuales TASSI (Temas Avanzados de Seguridad ySociedad de la Informacin) o la red de Criptografa y Seguridad de la Informacn Criptored. Ha sido entrevistado en mediosgeneralistas (elPais y elMundo) y revistas variadas (PcWorld, MuyInteresante, RedSeguridad, etc.). Siempre que puede asiste yparticipa en eventos, retos y conferencias de seguridad informatica/hacking: RootedCon, Jornadas de Seguridad Corua(GSICKMINDS), etc.

Eloi Sanfelix. Trabaja en Riscure (www.riscure.com) como Analista de Seguridad desde finales de 2008. All realiza evaluacionesde seguridad en smart cards y dispositivos electrnicos (embedded devices), especializndose en tests de resistencia ante ataqueslaterales (Side Channel Attacks). Adems, participa en la investigacin y desarrollo de nuevas herramientas y tcnicas de ataqueslaterales para incorporarlas en la plataforma de test de Riscure, Inspector. Finalmente, Eloi proporciona formacin en temasrelacionados con ataques laterales a clientes de Riscure en todo el mundo. Ha presentado ponencias en varios congresos,incluyendo varias ediciones de RootedCon, Insomni'hack 2013 y otros.

Romn Ramrez. Profesional con ms de quince aos de experiencia en el sector de las Tecnologas de Informacin TI, hadesarrollado su carrera en empresas tales como Intercomputer/encomIX, donde ejerci como responsable de sistemas, eEye DigitalSecurity como responsable tcnico para el sur de Europa, como emprendedor con su propia empresa, Chase The Sun, comogerente en PricewaterhouseCoopers o en sus funciones actuales como Responsable de Seguridad en Arquitecturas, Sistemas yServicios en Ferrovial. Es, adems, miembro fundador y presidente del Congreso de Seguridad Rooted CON y colaborador dediversos grupos de inters dentro del sector de la seguridad en TI.

Luis Delgado. Estudia el Graduado en Ingeniera de Tecnologas y Servicios de Telecomunicacin en la Escuela Tcnica Superiorde Ingenieros de Telecomunicacin (ETSIT-UPM). Estuvo trabajando durante dos aos en el Grupo de investigacin de SistemasInteligentes (DIT-UPM) en proyectos relacionados tanto con la robtica como con sistemas de recomendacin y bsquedarelacional. Actualmente trabaja como freelance realizando consultoras de seguridad (pentesting, auditora de cdigo, formacin,entre otros). Ha estado involucrado en proyectos en el sector de defensa, entidades financieras e importantes ISPs. Adems, sededica a la seguridad Web&IM, protocolos inalmbricos y el desarrollo e investigacin en plataformas mviles (Android). Escolaborador del blog de seguridad Security by Default.

Jos Pic. Es fundador y analista de seguridad de Taddong. Licenciado en Informtica por la Universidad Politcnica de Valencia

Crypt4you


UPV y CISSP. Con 13 aos de experiencia en compaas multinacionales de tecnologa IT, ha centrado finalmente sus actividadesen el mundo de la seguridad. Desde Taddong, adems de formacin y servicios de seguridad para clientes, realiza tareas deinvestigacin especfica. Es co-autor del libro Hacking y seguridad en comunicaciones mviles GSM/GPRS/UMTS y del pluginde exportacin de objetos SMB/SMB2 para Wireshark, y es ponente habitual en eventos de seguridad.

David Prez. Es fundador y analista de seguridad de Taddong. David lleva ms de 10 aos dedicado a realizar servicios tcnicosavanzados de seguridad e investigacin. Es Ingeniero Superior de Telecomunicaciones por la Universidad Politcnica de ValenciaUPV, autor de artculos, ponencias y cursos, coautor del libro "Hacking y seguridad en comunicaciones mvilesGSM/GPRS/UMTS/LTE" y uno de los pocos profesionales que han obtenido la certificacin GIAC Security Expert (GSE).

Ral Siles. Es fundador y analista de seguridad de Taddong (www.taddong.com), con ms de 10 aos de experiencia ofreciendoservicios y soluciones avanzadas de seguridad en diferentes sectores y tecnologas, apasionado por los retos tcnicos y lainvestigacin. Ral es uno de los pocos profesionales que han obtenido la certificacin GSE; es autor e instructor de cursos deseguridad y ponente habitual en congresos.

Pedro Snchez. Ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets,deteccin de intrusiones, redes trampa y pen-testing. Ha implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversasmetodologas de seguridad especialmente en el sector bancario durante ms de diez aos. Tambin ha colabado en seguridad,peritaje y anlisis forense informtico con diversas organizaciones comerciales y con las Fuerzas de Seguridad del Estado,especialmente con el Grupo de Delitos Telemticos de la Guardia Civil (GDT) y la Brigada de Investigacin Tecnolgica de la policanacional (BIT). Ha participado en las jornadas JWID/CWID organizadas por el Ministerio de Defensa, en donde obtuvo lacertificacin OTAN SECRET. Actualmente es miembro de la Spanish Honeynet Project, fundador de Conexin Inversa y trabajacomo Manager Information Security and Forensics Consultant para dos grandes compaas como Bitdefender y SAYTEL. Tambines Perito Judicial Informtico adscrito a la Asociacin Nacional de Tasadores y Peritos Informticos Judiciales.

Chema Alonso. Conocido como el Maligno, es quiz uno de los referentes de seguridad informtica y hacking a nivel mundial.Ingeniero Informtico de Sistemas por la Universidad Politcnica de Madrid -donde ha sido nombrado Embajador Honorfico por suexcelente carrera profesional-, e Ingeniero Informtico y Mster en Sistemas de Informacin por la Universidad Rey Juan Carlos hasido premiado como Most Valuable Professional en Enterprise Security por Microsoft durante 8 aos. En la URJC ha realizado suDoctorado en Informtica dedicado a tcnicas de auditora de seguridad web. Miembro fundador de Informtica 64, donde trabajacomo consultor e investigador de Seguridad desde hace 14 aos. De su trabajo en Informtica 64, han salido herramientaspopulares de la seguridad informtica como FOCA, MetaShield Protector o la reciente Forensic FOCA, y desde donde han salido laspublicaciones de tcnicas hacking como Time-Based Blind SQL Injection, (Blind) LDAP Injection o Connection String ParameterPollution. Recorre el mundo participando en conferencias de seguridad de renombre internacional como Defcon, BlackHat,ShmooCON, HackCON, SEC-T, DeepSEC, RootedCON, NoConName, Ekoparty, Yahoo! Security Week, Digital Crime Consortium,FIRST, ToorCON, etc donde ha dado ms de 100 conferencias por todo el mundo. Ha sido invitado por Yahoo! para las jornadasde Seguridad en San Francisco. Famoso por su gorro a rayas, Chema Alonso ha publicado ms de 50 artculos en congresosacadmicos y revistas tcnicas, siempre sobre seguridad informtica y es coautor de varios libros de Seguridad Informtica. Escribea diario su blog Un informtico en el lado del mal, tocando temas de actualidad, hacking y seguridad desde hace 7 aos. Enel ao 2012 fue elegido en los premios Bitcoras como el mejor blog de seguridad informtica del ao.Adems es colaborador ymentor en Talentum Startups de Telefnica, director del Master de Seguridad de la Universidad Europea de Madrid y profesor delMster de Seguridad de la Universidad Oberta de Catalunya y de la Universidad Politcnica de Madrid. Actualmente se le puedeescuchar todos los martes en el programa La Maana de la COPE a las 11:30 horas.

Lord Epsylon. Estudi Telecomunicaciones y actualmente trabaja como auditor especializado en test de penetracin de tipo "cajanegra". Participa activamente cmo creador y desarrollador de varios proyectos de software libre relacionados con la seguridadinformtica (XSSer, CIntruder, AnonTwi, ...), y es miembro activo de la OWASP Foundation y GNU.

www.criptored.upm.esCrypt4you

crypt4you

Documents