Normalmente en los procesos de autenticación interviene lo que denomicamos un único factor, entendiendo como factor cualquier método de autenticación en el sistema, como podría ser una contraseña, un código PIN, una huella dactilar, una secuencia de ADN… Sin embargo si queremos que este proceso de autenticación en el sistema sea más robusto lo ideal es hacer que intervengan dos factores (tres sería mejor, pero el proceso sería demasiado tedioso) siendo a esto a lo que denominamos autenticación multifactor.
Al comienzo de este artículo se puede ver la imágen de un RSA SecurID, un pequeño aparato con forma de llavero que únicamente posee una pantalla LCD en la cual es muestra un número, lo primero de todo hay que destacar que este aparato no posee ningún método de comunicación con el exterior, ni puerto USB, ni Wi-Fi, ni bluetooth, ni infrarrojos ni nada parecido, funciona aislado del mundo exterior. Cada 30 segundos el número que aparece en pantalla cambia por otro generado aleatoriamente, es decir, incorpora un generador de números pseudoaleatorios en su interior y una semilla que permite que esta secuencia sea diferente en cada SecurID. Esta semilla también está almacenada en el servidor de autenticación y por tanto haciendo una serie de cálculos rápidos puede saber en cada momento que número muestra nuestro aparato por pantalla.
Cuando vamos a autenticarnos en el sistema introducimos nuestro nombre de usuario y un número PIN que sólo nosotros conocemos seguido del número que aparezca en ese mismo instante en la pantalla del SecurID, a continuación si esta primera fase de autenticación se realiza correctamente el sistema procede a solicitarnos nuestra contraseña de usuario para acceder al sistema.
¿ Por qué ganamos seguridad usando este sistema ? Sencillamente porque si usamos un método tradicional de usuario y contraseña un atacante que por fuerza bruta logre adivinar la contraseña tendrá acceso al sistema, sin embargo con este método si el atacante conoce el nombre de usuario y contraseña no concerá ni el PIN necesario ni tendrá el RSA SecurID en su posesión para ver el número que aparece en pantalla. El caso de que el usuario pierda el RSA SecurID tampoco es problema ya que un atacante no conocerá el PIN necesario aunque pueda ver en pantalla el número que aparece en el momento de la autenticación.
Este tipo de medidas se han de tomar debido a que no podemos dejar que toda la seguridad asociada al proceso de autenticación recaiga en el usuario del sistema ya que se convertiría en la mayor brecha potencial.
Publicado en Seguridad
Tags: autenticación multifactor, rsa securid, Seguridad
Un estudio de una universidad alemana afirma que Google está creando monopolios inaceptables en diversas áreas que le permiten controlar grandes cantidades de información y por tanto invadir la privacidad de millones de usuarios.
Este estudio revela que se producen diariamente 61000 millones de búsqueas diarias, siendo en Estados Unidos usado por el 57 % de los usuarios de forma habitual e incluso usado ocasionalmente hasta por el 95 %.
Un ejemplo que ha sido debatido ampliamente es el del correo de Google Gmail, en el cual cuando leemos un mensaje a través de la aplicación web se nos muestra en el lateral publicidad relacionada con el contenido del mensaje que estamos leyendo. Esto es posible debido a que la aplicación escanea el correo electrónico en busca de ciertas palabras clave y a continuación nos muestra la publicidad que él cree que más nos puede interesar. En base a esto podría obtener una base de datos de nuestro intereses y posteriormente mostrarnos por ejemplo en los resultados de búsqueda publicidad que más se adecúe a nuestros gustos (hay que recordar que Google nos ofrece su servicio de página web de inicio personalizada y por tanto cuando realizamos una búsqueda puede saber quienes somos si estamos loggeados en el servicio).
En el estudio también se insinúa que puede existir cierta cooperación entre Google y otras entidades como Wikipedia, por ejemplo Google comparado con otros buscadores premia de una forma más contundente a ciertas páginas web como la Wikipedia.
Google ha desmentido todo lo afirmado por el estudio basándose en que son teorías conspiranoicas de un cierto grupo de personas aisladas. Sin embargo es totalmente cierto que la cantidad de información que maneja esta empresa es tanta que puede convertirse en un riesgo de invasión de nuestra privacidad.
Fuente SMH
Publicado en Privacidad
Tags: google, información, Privacidad
El parlamento alemán aprobó el pasado 9 de noviembre de 2007 una propuesta para el almacenamiento de las telecomunicaciones durante seis meses a partir del 1 de enero de 2008, entendiendo como telecomunicaciones las llamadas de teléfono, fax, mensajes sms, conexiones a internet y correos electrónicos.
Esta propuesta tiene como objetivo poder seguir la pista de actividades ilegales a través de internet o de intentar combatir el terrorismo, sin embargo medidas como esta no van a poder lograr erradicar estos actos ya que hay muchas formas de eludir este tipo de medidas, como el uso de cifrado de datos.
Las manifestaciones que han ocurrido durante los últimos meses no han logrado frenar que se apruebe esta medida que atenta contra la privacidad de las personas dando permiso al acceso hasta del contenido de los datos transmitidos, no sólo de su cabecera. Este tipo de decisiones son importantes porque pueden afectar a paises vecinos a la hora de su política en la seguridad de las telecomunicaciones.
Fuente: S21sec Blog
Publicado en Legislación
Tags: cifrado, Legislación, telecomunicaciones
John Kenneth Schiefer, de 26 años nacido en Los Angeles podría ser declarado culpable de varios delitos relacionados con el robo de dinero de cuentas bancarias a través de internet. El método usado era la instalación de software en ordenadores de todo el mundo para convertirlos en zombies y posteriormente robar información de los mismos como los datos referentes a las cuentas de Paypal de las victimas.
Se estima que hasta en 250000 máquinas pudo instalar su software, permitiendo su control remoto mediante diferentes servidores contratados en empresas de alojamiento web. Con este método podría haber ganado hasta 35000$ realizando transferencias bancarias, e incluso parte de este dinero lo invirtió en la compra de dominios o en la venta de la información obtenida a terceras partes.
Según la corte federal de Los Angeles le podría caer una pena de hasta 60 años de carcel y multa de hasta 1.75 millones de dólares, el próximo 28 de noviembre se celebra el juicio.
Fuente: SecurityFocus
Publicado en Botnets
Tags: Botnets, spyware, zombies