jueves, 16 de febrero de 2017

FIRMA DIGITAL S/MIME

FIRMADO Digital S/MIME 




Uno de los aspectos que ha ido ganando cada vez más importancia en el mundo de las comunicaciones electrónicas es el de garantizar tanto la autenticidad (el destinatario puede confiar en que el remitente es quien dice ser) como la privacidad de la información enviada. Para ello, se puede optar o bien por utilizar distintos sistemas de seguridad en los canales de comunicación, o por encapsular la información a enviar de forma que se puedan conseguir esos objetivos independientemente de los mecanismos de comunicación utilizados. Esta segunda solución conocida como seguridad “de extremo a extremo” se ha convertido en un punto muy importante para el usuario final de este tipo de servicios.


Como viene siendo habitual, el funcionamiento de todas estas tecnologías se basa en algoritmos de clave pública cuyo uso a gran escala depende de un mecanismo que permita certificar que cierta clave pertenece a tal o cual usuario.

S/MIME

Certificados digitales para correo electrónico posee tecnología S / MIME, el Certificado Digital PKI  permite la firma digital del usuario y el cifrado de mensajes y documentos.

La firma digital garantiza la identidad del remitente, lo que garantiza que el autor del mensaje no es un impostor.

La codificación asegura la integridad y la confidencialidad, lo que garantiza que el mensaje no ha sido leído o alterada hasta que llega a su destinatario.

También puede proteger los documentos de Microsoft Word, Excel o PowerPoint.

Un mensaje de correo electrónico sin cifrar puede ser leído erróneamente por:


  • Que administra su servidor de correo electrónico.
  • Por su ISP o de alojamiento.
  • Por el seguimiento de enlaces de Internet.
  •  Los piratas informáticos, a través de ataques a sus servidores y ordenadores.
  • Evitar espiar proteger sus comunicaciones.

Hay dos tipos de certificados digitales a E-mail:


  • Identificadores de correo electrónico, certificado expedido a un empleado o propietario de un negocio.
  • Correo electrónico del Departamento de Seguros, Certificado expedido a un departamento de la empresa

Estado actual de las distintas tecnologías

En la actualidad, existe cierta confusión en cuanto a las distintas tecnologías relacionadas con el firmado y cifrado de e-mails

S/MIME

Que a su vez tiene dos versiones claramente diferenciadas: En primer lugar tendríamos S/MIME v2 (RFC 2311) desarrollado por un consorcio privado de fabricantes- que ha logrado una amplia aceptación en el mercado y cuyo problema principal es el no está reconocido como estándar por la IETF aparte de que, al requerir el uso de claves RSA está sujeto a patentes cuyos derechos posee esta empresa en USA y, además, restringe la longitud de las claves utilizadas a 40 bits por lo que el cifrado es relativamente débil.

Y, en segundo lugar, y con el fín de evitar estos problemas, la IETF liberó en 1999 la especificación de S/MIME v3 (RFC 2633) existiendo implementaciones tanto en el ámbito del software privativo como en el de software libre (por ejemplo, el S/MIME Toolkit de la Mozilla Foundation).

Ejemplo: instalación de S/MIME en Mozilla Thunderbird

Para poder utilizar S/MIME es imprescindible obtener primero un certificado S/MIME. Existen multitud de empresas que expiden este tipo de certificado y, algunas de ellas tal y como se explica en esta página proporcionan dichos certificados de forma gratuita, aunque, por lo general, tienen ciertas limitaciones.

La configuración de S/MIME es específica de cada cliente de correo, pero, en líneas generales, consiste en importar el certificado en el gestor de correo y habilitar su uso a la hora de enviar mensajes.

En esta página se explica cómo configurar Mozilla Thunderbird para enviar correo utilizando S/MIME.

Como dato anecdótico, existe un plugin para Firefox que permite tanto el firmado como el cifrado de mensajes a través de la interface web de Gmail y que únicamente utiliza Javascript y XPCOMP para ello por lo que, en principio, debería funcionar en cualquier plataforma en la que esté soportado dicho navegador.

Cómo utilizar alojado S / MIME?

S / MIME requiere que cada dirección de correo electrónico para tener un certificado adecuado que se le atribuye. De forma predeterminada, Gmail requiere que el certificado es de una raíz de confianza públicamente autoridad de certificación (CA) que se reúne fuertes normas de cifrado. Los administradores de sistemas tendrán la opción de bajar estos requisitos para sus dominios.

Para utilizar alojado S / MIME, las empresas tienen que subir sus propios certificados (con claves privadas) a Gmail, que se pueden hacer por los usuarios finales a través de la configuración de Gmail o por los administradores a granel a través de la API de Gmail.
A partir de ahí, utilizando alojado S / MIME es una experiencia transparente para los usuarios finales. Cuando se recibe un mensaje firmado digitalmente, Gmail asocia automáticamente la clave pública con el contacto del remitente. De forma predeterminada, Gmail automáticamente signos y cifra los mensajes salientes si hay una clave pública S / MIME disponibles para el destinatario. A pesar de que los usuarios tienen la opción de quitar manualmente el cifrado, los administradores pueden configurar las reglas que anulan su acción.

Alojado S / MIME es compatible con Gmail web / iOS / Android, en la Bandeja de entrada y en los clientes conectados al servicio de Gmail a través de IMAP. Los usuarios pueden intercambiar mensajes de correo electrónico firmados y cifrados entre los destinatarios a través alojado S / MIME o del lado del cliente S / MIME.

¿Qué empresas deben considerar el uso alojada S / MIME?

Alojado S / MIME proporciona una solución que es fácil de gestionar para los administradores y para los usuarios finales. Las compañías que quieren la seguridad en el tránsito y la firma digital / no repudio a nivel de cuenta deben considerar el uso alojada S / MIME. Esta es una necesidad para muchas empresas que trabajan con información sensible / confidencial.
Alojado S / MIME está disponible para su edición G Enterprise del conjunto de los usuarios.

¿Por qué utilizar Código certificado de firma?

ejecutar código sin firmar en Internet es muy peligroso!

Ejecutables y scripts sin firmar están sujetos a la manipulación, tales como la inserción de los virus, malware y spyware. Los usuarios y los clientes no se sienten seguros para ejecutar código sin firmar.

El certificado de firma de código protege a sus clientes, garantizando la integridad y autoría de su código distribuido en Internet.

Mostrar su nombre o el nombre de su empresa durante la descarga e instalación de su código sin previo aviso "editor no identificado" para que sus clientes saben que usted es un desarrollador legítimo y comprobado.

Usos posibles:

·   firma de aplicaciones web (por ejemplo, los de desarrollo con firma digital y/o transacciones bancarias)
·    firma de programas para dispositivos móviles que únicamente permiten instalarse cuando el mismo vie





En tu caso, ¿utilizas estas u otras tecnologías similares para esta tarea?, si no es de las comentadas arriba, ¿de cual se trata? Y, si todavía no firmas y/o cifras tus e-mails ¿cuál es el motivo?

¡Seguridad America lleva más de 5 años como líder en seguridad, además cuenta con especialistas altamente calificados en seguridad informática con 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web, Confié en nosotros y juntos hagamos crecer su negocio!

Contáctanos en:

Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitanos en: https://globalsign.seguridadamerica.com

































lunes, 13 de febrero de 2017

Firma Digital

                                 Firma Digital

A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero, a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.

Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tal motivo, el más atacado. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.
¿Cuál es el impacto de un sitio comprometido?

Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.

Un caso real

                                       
Hace unos días comenzamos a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tránsito; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o sigue estándolo).

Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con wordpress comprometido.

Luego de descargar la amenaza, observamos que se trataba de un JavaScript malicioso. Al finalizar el análisis descubrimos que el script tenía como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No podemos dejar de destacar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.

Como te habrás dado cuenta, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.

Al obtener los dos archivos que el JavaScript intenta descargar, corroboramos que se trataba de un ejecutable y un comprimido. Analizando el primero observamos que era 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.
Tal como se ve en la siguiente captura, obtuvimos un ejecutable, al cual los productos de ESET detectan como Win32/Spy.Banker. Como la firma describe, es un malware encargado de robar credenciales bancarias.

Conclusión

Existen muchos y variados casos como el que acabamos de presentar porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio o para nuestro negocio. Por tales motivos, es crucial mantenerte actualizado e informado al respecto de las amenazas y vulnerabilidades que podrían afectarte, para luego tomar las precauciones necesarias e instalar los parches de seguridad.

¿Por qué el Phishing es una amenaza?

Es difícil de identificar, los ataques cada vez son más sofisticados y más enfocados, por ejemplo un ataque enfocado a Argentina tratara de usar términos argentinos, empresas argentinas ect. Los hackers cada vez se perfeccionan más en como atacar a las organizaciones y usuarios.

Es difícil para el destinatario diferenciar entre un correo verdadero y uno falso. Algunas veces hay signos obvios como errores de ortografía y archivos adjuntos .exe, otros signos son mucho más difícil de identificar. Por ejemplo, un archivo adjunto de Word el cual ejecuta un macro una vez este es abierto es imposible de identificar y puede generar un robo de información.

Esto muestra que tan fácil es para un hacker crear una cuenta de correo y enviar un correo falso con el cual pueden robar información personal. La verdad es que usted puede hacerse pasar por cualquier persona y cualquier persona puede hacerse parar por usted sin mayor esfuerzo. Es una realidad algo impactante, pero existen soluciones para asegurar la información, incluyendo los certificados digitales.

¿Qué es una firma digital?

Un certificado digital es como un pasaporte virtual, hay múltiples niveles de verificación. El más simple es verificar que el correo es propiedad del aplicante. El segundo nivel verifica la identidad (por ejemplo, con un pasaporte) para estar seguro que la persona es quien dice ser. Hay niveles más altos los cuales verifican la organización del individuo al igual que la locación física.


¿Cómo se genera la firma digital?

· Se obtiene un resultado matemático único del documento (huella digital) compuesto  por todos los caracteres del documento que se quiere firmar.
·    Se realiza el cifrado de la huella digital con la parte privada del certificado digital.
·   Finalmente se guarda el documento original, la huella digital cifrada con la parte privada y la parte publica del certificado.



¿Cómo estamos seguros que la firma digital que recibimos es auténtica?

Aquí nos estamos refiriendo al proceso de verificación.

·      Se descifra la huella digital cifrada usando la parte pública del certificado.
·      Se obtiene la huella digital del documento original.
·      Se compara las huellas digitales y si coincide la firma es correcta.

Ventajas de la firma digital

·   Elimina los riesgos de suplantación de identidad, alteración o adulteración de documentos, confidencialidad, rechazo o repudio sobre documentos previamente firmados
·      Potencia el desarrollo de negocio, a través de Internet para el envío de documentos firmados digitalmente, fundamentales para el comercio y gobierno electrónico sin papeles y jurídicamente seguro.
·      Ahorro de tiempo y costos, ya que podrán realizar muchas de las tareas de negocio de forma telemática sin moverse del lugar de operación.

Si necesita de mayor información de cómo entregar seguridad adicional a sus correos o accesos a sus sistemas con firma digital pki, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330

Visitemos en: www.seguridadamerica.com


Natalia Ibarra Ruiz 











Fuentes: 
  

Populares