Seguridad Informatica Parte 4.1


Controles de Acceso y Seguridad Biométrica



"Solo hay dos cosas infinitas: el universo y la estupidez humana.
Y no estoy tan seguro de la primera."
- Albert Einstein.

_____________________________________________________________________________
  • Prólogo.
  • Accediendo al Sistema. ( Conceptos e Identificadore s )
  • Lo que uno puede SABER: Password.
  • Lo que uno puede POSEER: Tokens & Tarjetas (Proximidad,Magneticas, CHIP, RFID)
  • (Apartado) RFID & Polemica por tal.
_____________________________________________________________________________

# Prólogo
Bien llegamos a la segunda parte ya, de este cuarto capitulo. Intentare hablar un poco de lo que respecta a controles de acceso y algunos dispostivos biometricos usados actualmente.
Y como siempre, gracias por seguir estos papers, y por enviar buenas criticas de tales.

Para repasar y refrescar memoria voy a volver a dar el concepto de que es un control de acceso y arrancaremos con esta segunda parte desde ahi.

* CONTROL DE ACCESO:
Es considerada como la Habilidad en la que se puede permitir o denegar acceso a un determinado recurso en una determinada entidad (notece, como oficina, empresa, datacenter, algun lugar mediante el cual brinde servicios requeridos por usuarios).

# Accediendo al Sistema
Cada acceso a un sistema ya sea windows, linux, mac, etc. Depende de al menos una persona la cual llamaremos en este caso Administrador. La funcion de este es realizar un mantenimiento rutinario y administrar a los usuarios que contiene ese sistema, que pueden ser varios.
El administrador prepara una presentacion al sistema el cual esta basado en un simple "control de acceso" cada vez que un usuario nuevo requiere un lugar en el sistema. Esto se puede aplicar a todo tipo de sistema. Desde un sistema de E-Mails, como "jotmeil - GMail - Yahoo!" a un acceso mediante FTP.



El Acceso a un sistema tiene tres pasos fundamentales:

* Identificacion
* Autenticacion
* Autorizacion

Y las formas mediante las cuales nos podemos identificar tambien son tres:

* Lo que una persona puede SABER
* Lo que una persona puede POSEER
* Lo que una persona puede SER

Bien creo que es bastante claro no?. Por las dudas aclaro. Una persona antes de ingresar a una sala privada por ejemplo se tiene que IDENTIFICAR con el guardia. Dicho guardia Autentifica la identidad de esta persona y le da AUTORIZACION, en caso de que no la tenga lo rechaza e impide el paso.

La identificacion en una persona se puede expresar de tres formas diferentes, mediante lo que uno sabe, cuando se intenta identificar en un Sistema Operativo Windows por ejemplo con una determinada contraseña, lo que uno posee, cuando lleva encima un token, o tarjetas inteligentes que al pasar autogestionan todo y se identifica la persona con su tarjeta personal o lo que uno puede ser respecto a un sistema biometrico como puede ser un identificador dactilar, o mediante iris, el cual realiza un chequeo de determinados patrones para identificar con su base de datos quien es la persona a autentificar.

Vamos a dar ejemplos de los tipos de identificadore s que puede saber, tener y ser una persona.

# Lo que una persona puede SABER:
- Contraseñas o Passwords
- Passphrase
- PIN's

# Lo que una persona puede POSEER:
- Llaves a determinados lugares
- Tokens
- Tarjetas de Acceso o Smart Cards

# Lo que una persona puede SER:
- Identificacion mediante Sistemas Biometricos

A continuacion voy a explicar y basarme en algunos ejemplos de las diferentes categoria de identificadore s.

# Lo que uno puede Saber: Passwords


Los passwords o contraseñas son una forma de autenticacion en un sistema para poder controlar dicho acceso a un recurso brindado.
El passwords es el sistema de autenticacion mas basico y mas barato a la hora de implementarlo.
Tambien hay que declarar que es el sistema mas "vulnerable a los ataques" y que este mecanismo es usado junto a otros complemenos de autenticacion.

A la hora de Implementar este sistema en una entidad es necesario poder cubrir o cumplir determinadas pautas de administracion para el personal:

* Que la contraseña que se tipea cuando se esta accediendo no sea mostrada
* Que a un determinado tiempo la contraseña tenga que ser renovada y cambiada
* Que cumpla con una determinada politica de seguridad, que la longitud sea maor a 8 letras e incluso que sea alfanumerica.
* Que el sistema mismo pueda determinar contraseñas para determinados usuarios asi se evita la revelacion de esta mediante deducciones de tercero hacia esa persona o ingenieria social.
* Comprobar que la clave nueva otorgada o modificada por el usuario no sea de igual caracteristica que la anterior y que no contenga el nombre de usuario ya que seria altamente insegura.

Tambien se debera informar a todo usuario que tenga acceso al sistema, datos de su ultimo logeo, desde que IP o Computadora se realizo, los ultimos 5 errores fallidos con sus respectivas fechas y horarios. Esto es fundamental ya que se podra llevar un control, o prevenir futuros hackeos al sistema debido al nivel de alerta entre los usuarios.

# Ataques destinados al mecanismo Password
Estos pueden ser variados, pero entre los mas importantes resaltaremos:

# Por Fuerza bruta
# Por Diccionario
# Por Sniffing (Capturacion de Datos)
# Por Ingenieria Social
# Por Sistemas de Login Falsos o comunmente conocidos como Fake
# Por el simple hecho de espiarnos cuando escribimos el Password.

# La psicología de los usuarios aplicada a los Passwords.
Que queremos decir con esto de la psicologia?, bien hay muchas estadisticas e informes hechos en varias empresas que determinan que la mayoria de los usuarios en un casi 50% utiliza passwords debiles y ademas es posible aplicar ingenieria social con exito a esos usuarios.

// Recomendacion: Es recomendable que a la hora de ingresar un password, sea complejo.
Mezclar caracteres, ya sea numeros, espacios, letras, simbolos. Es el mejor enemigo del Brute Force (fuerza bruta), por ejemplo, en el mecanismo AES-256 el crecimiento es exponencial, es decir, si tenemos un password de una longitud de 5 caracteres un tiempo estimado para crackearlo dependiendo de un procesador aprox de 2ghz y el diccionario usado es en minuscula es de 1hora y 40minutos en caso de ser con mayusculas, y numeros incluidos seria de 6 Horas!

Fijense como cambio notablemente de 1 hora a 6h. Por eso es tan importante ingresar un password complejo. Con una buena longitud de 10 a 15 caracteres y buen algoritmo como es AES imaginense cuanto tardarian en desencriptar dicho password. //

# Lo que uno puede Poseer: Tokens & Tarjetas


# TOKENS
Un token es un dispositivo electronico que sirve para que personas como nosotras que estemos autorizadas a un determinado servicio o recurso nos permita facilitar el proceso de autenticacion al sistema. Estos permiten almacenar claves criptografias como podria ser una firma digital por ejemplo.

Los tokens son facilmente portables, son similares a un "pendrive" lo que permite llevarlo en cualquier bolsillo, o incluso en un llavero como en la imagen que es lo ideal.
Entre los tipos de Tokens tenemos los Sincronicos que se basan en determinado tiempo o por un contador y los Asincronicos que trabajan de forma "desafio-respuesta".

# TARJETAS
Existen varias tarjetas que permiten la autenticacion a un sistema.
Voy a tratar comentar algunas pero sin entrar en muchos detalles para que no sea extremadamente largo.

* Tarjetas de Acercamiento o Proximidad
* Tarjetas de CHIP (inteligentes o no)
* Tarjetas Magneticas
* Tarjetas RFID

# Tarjeta de Proximidad.
Estas tarjetas tienen un gran alcance de lectura hacia los lectores que esperan la señal.
Este sistema usa un protocolo llamado "Wiegand" este protocolo bastante interesante de la sociedad "SEC" -sensor engineering company-, permite transmitir datos entre dos dispositivos que esten alejados entre si.

Entonces ya sabran como es posible la comunicacion de estas Tarjetas de Proximidad, estas tarjetas estan formadas por un circuito integrado y un circuito de bobina y capacitor en serie.
El lector carga la bobina mediante un campo magnetico y este genera energia al capacitor, luego este carga a la bobina y esta carga el integrado, el integrado transmite la informacion a un lector que espera la señal via la bobina.

La lectura puede ser a una distancia maxima de 1,5 metros y una frecuencia de 13.56 MHz.

# Tarjeta de chip


Existen dos tipos de tarjetas chip, inteligentes que son con procesamiento y sin procesamiento que son de memoria.
Las tarjetas con procesamiento: Trabajan a 13,56 mhz, tienen la funcion de guardar claves, algoritmos de cifrados, informacion vital y confidencial, entre otras cosas.
Las tarjetas sin procesamiento: De baja frecuencia 125 kHz y son usadas para el almacenamiento de datos y no tienen ningun tipo de capacidad de proceso.

# Tarjetas Magnéticas.


Estas tarjetas conocidas comunmente y usada por sistemas bancarios como "visa, mastercard, american express" etc, estan compuestas por particulas ferromagnetica s que estan incrustadas en una matriz de resina.
Se almacena informacion con una codificacion que polariza estas particulas.
La infromacion es organizada en diferentes tipos de pista de 1 a 3, generalmente se codifican en pista 2, su uso mas extendido es en empresas publicas y privadas y esta pensada para un CONTROL de PRESENCIA y de ACCESO.

# TARJETAS RFID -Radio Frequency Identification-
Como el nombre lo dice estas tarjetas de Identificacion por Radiofrecuenci a, tienen un sistema de almacenamiento y lectura remoto. Todo sistema RFID esta compuesto de un sistema base que lee y escribe datos en los dispositivos y un transmisor que responde al interrogador..
Basicamente y resumido (no soy un gran ingeniero electronico y mucho menos estudie en una tecnica pero bueno) funcionaria asi:

- El interrogador genera un campo de radiofrecuenci a, junto a una bobina de alta frecuencia.
- El campo de radiofrecuenci a que dije genera una corriente electrica sobre dicha bobina de recepcion, esta corriente alimenta al circuito.
- Cuando la alimentacion es suficiente el circuito transmite los datos.
- Y el interrogrador detecta los datos transmitidos por el circuito como una perturbacion del mismo nivel de la señal.

# (Apartado) RFID & Polemica portal
Es muy "piola" esto del RFID, podria ayudar a evolucionar y a permitir una sencillez mayor en muchas de las actividades cotidianas, por ejemplo una de las aplicaciones con mas futuro son las etiquetas identificadora s, las cuales en el futuro reemplazaran a las conocidas etiquetas de Codigos de Barra, mediante este mecanismo.

Esto podria permitir entre otras cosas identificar envios de cartas en correos, los chips de nuestras queridas mascotas son de este tipo de mecanismo generalmente.
Algo muy interesante para mi punto de vista seria implementar RFID en las cadenas de los supermercados, de forma que marcaria todos sus productos con etiquetas RFID lo cual permitiria que al llenar el carrito y pasar por un lector/detector (como el de metales) automaticament e nos darian el total de la compra (algo realmente rapido! y genial). Sobre todo para todos aquellos que les molesta formar la gran cola de personas los fines de semana, o en epocas navideñas, de reyes, etc.

Pero claro todo esto es muy bueno en un mundo de gente "honesta, buena, de cuentos fantasticos", pero ya hay una gran polemica por la privacidad de RFID y no está tan errados estos personajes que conforman este grupo protestante.

Hace un tiempo se creo un grupo protestante ANTI-RFID, exponiendo como causa principal que la tecnologia RFID puede atentar contra la privacidad de las personas.
Esto seria algo asi como un "spyware" para nuestra pc pero donde el spyware son las etiquetas RFID y las pcs somos nosotros. Al ir expandiendose con gran escala las etiquetas RFID se esta haciendo cada vez mas facil seguir los habitos de una determinada persona.

Una persona compradora de un determinado articulo no puede saber de la presencia de esta etiqueta ni eliminarla. Ademas este mecanismo permite como aclare, una lectura a cierta distancia sin autorizacion alguna.
Otra consecuencia podria ser la de que al pagar sea posible enlazar id's con la identidad de la persona que realiza la compra.
Y lo que resumiria para globalizar todo esto es que la "EPCGlobal" (la empresa encargada de desarrollar, supervisar la Red de codigo electronico de producto y asignar dichos codigos para estos productos en la cadena de abastecimiento), pretende crear numeros de Serie UNICOS MUNDIALMENTE.

Se los dejo a su criterio y libre pensamiento... .

# Continuará...

[ Por cuestiones de longitud del texto dejo para la tercer y ultima parte de este 4 capitulo
"Sistemas Biometricos" para poder explayarme lo mas detalladamente posible ]
++++++++
[ ÇonfusedMind <E-mail> ]
[ Web ]

|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Jueves 01 de Junio de 2009.


0 comentarios:

Publicar un comentario