evitar suplantación de identidad en servicios públicos eletrónicos
Post on 15-Apr-2017
35 Views
Preview:
TRANSCRIPT
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad InformáticaJosé Luis Muñoz de Morales Silva2015-2016
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 2
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 3
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 4
Índice: 1. Introducción
QUEEvitar la suplantación de identidad digital
PORQUEDebilidad de las infraestructuras PKI > Personas
COMOMonitorizando el Registro de ACs
DONDEServicios Públicos Electrónicos Europeos
nueva regulación eIDAS identificación electrónica UE 910/2014
Puntos clave
Apache
Tomcat
Certificados Digitales
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 5
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Por qué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática
* Variables sobre PIB (Producto Interior Bruto)
6
Índice: 2. Situación Actual
ESPAÑA
Deuda 101 %
Déficit: -5,08%
Contexto 2016
MAASTRICTH
Deuda: 60 %
Déficit: -3%
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 7
Índice: 2. Situación Actual
DECISIÓN SECTOR PÚBLICO
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 8
Índice: 2. Situación Actual
DECISIÓN SECTOR PÚBLICO
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 9
Índice: 2. Situación Actual
DECISIÓN SECTOR PÚBLICO
INFRAESTRUCTURA PKI
SOFTWARE LIBREAPACHE + TOMCAT + MYSQL
CERTIFICADOS DIGITALES
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 10
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 11
Índice: 3. Necesidad real ¿Por qué ahora?
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 12
Índice: 3. Necesidad real ¿Por qué ahora?
Impacto Ahora
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 13
Índice: 3. Necesidad real ¿Por qué ahora?
ESPAÑA
Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones públicas
vigor 1 septiembre 2016
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Impacto Ahora
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 14
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
Certificados Digitales en Gestión
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 15
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
100
Certificados Digitales en Gestión
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 16
Índice: 3. Necesidad real ¿Por qué ahora?
Reglamento Europeo de Identificación UE 910/2014
1 de julio de 2016
Antes Ahora
100
Certificados Digitales en Gestión
2.700
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 17
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 18
Índice: 4. Objetivos
Creación del Software “CAS-eIDAS” (Certification Authorities Security for eIDAS)
OBJETIVOS
Configuración de servidores: Apache y Tomcat
Hacking Certificado digital: Normas x509.v3 y RFC 5280
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 19
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 20
Índice: 5. Alcance del Proyecto
ALCANCE
Hacking Certificado Cualificado: Normas x509.v3 y RFC 5280
Certificados objeto de estudio: “Trusted List” Europea
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 21
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 22
Índice: 6. Hacking de Certificados Digitales
Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 23
Índice: 6. Hacking de Certificados Digitales
Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 24
Índice: 6. Hacking de Certificados Digitales
HACKING CERTIFICADOS DIGITALES
RELACIÓN
ISSUER Emisor del Certificado
SUBJECTSujeto del Certificado
Objetivo: generar una Identidad Digital ”válida”
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 25
Índice: 6. Hacking de Certificados Digitales
HACKING CERTIFICADOS DIGITALES
RELACIÓN
ISSUER Emisor del Certificado
SUBJECTSujeto del Certificado
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 26
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 27
Índice: 7. Descripción del problema
SEGURIDADSISTEMAS DE INFORMACIÓN
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 28
Índice: 7. Descripción del problema
SEGURIDADSISTEMAS DE INFORMACIÓN
DÉFICIT EXPERTOS CIBERSEGURIDADContemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 29
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS incrementa en un 270%
la complejidad de gestión de certificados
digitales
SEGURIDADSISTEMAS DE INFORMACIÓN
DÉFICIT EXPERTOS CIBERSEGURIDADContemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 30
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS incrementa en un 270%
la complejidad de gestión de certificados
digitales
SEGURIDADSISTEMAS DE INFORMACIÓN
SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis
DÉFICIT EXPERTOS CIBERSEGURIDADContemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 31
Índice: 7. Descripción del problema
COMPLEJIDAD
El Reglamento eIDAS incrementa en un 270%
la complejidad de gestión de certificados
digitales
SEGURIDADSISTEMAS DE INFORMACIÓN
DÉFICIT RECURSOS
Disminución del Sector Público Estatal de la
capacidad de inversión en infraestructura
tecnológica
SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis
DÉFICIT EXPERTOS CIBERSEGURIDADContemplado en el Plan de Ciberseguridad Nacional 2013
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 32
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 33
Índice: 8. Solución Propuesta
FRONT-END: software responsable de la visualización del estado de los ficheros de registro de Autoridades de Certificación.
Servidor SMTP 2 GO
BACK-END: software responsable de la monitorización del estado de los ficheros de registro de Autoridades de Certificación.
La imagen muestra los componentes que forman el Sistema CASeIDAS, que se complementan para ofrecer un servicio de protección de los ficheros de registro de las Autoridades de Certificación registradas en los Sistemas de Información de un Organismo Público.
CASeIDAS CA State CASeIDAS CA Monitor
CA Monitor
Detalle: Front-End y Back-End
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 34
Índice: 8. Solución Propuesta
Servidor Apache
Fichero de Autoridades de
Certificación
CAs raíz
CASeIDAS
monitorización
MySQLVersión 5.5
CA State
CA Monitorregistro
Servidor SMTP 2 GO
alertas
visualización
ORGANISMO PÚBLICO
CIUDADANOS(puestos de clientes)
cliente 1cliente 2
Cliente N
Acceso con Certificado
Digital
Diagrama de Alto Nivel de la Solución
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 35
Índice: 8. Solución Propuesta
CASeIDAS CA State Funcionalidades
CA File: permite ver el detalle de todas las Autoridades de Certificación registradas, concretamente de los campos definidos como MUST por la RFC 5280, entre; Country, Organization, Organizational Unit, Common Name.
CA Intrusion: permite ver el detalle de aquellas Autoridades de Certificación registradas en el sistema, pero que no tienen autorización de los responsables del Organismo encargados de su vigilancia.
Status: permite ver el detalle del registro de Autoridades de Certificación, mediante una comparación del hash SHA-512 y de la fecha de última modificación de su fichero de registro.
Detalle: Front-End
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 36
Índice: 8. Solución Propuesta
CASeIDAS CA Monitor
Servicio de monitorización de los cambios sobre el fichero de registro de Autoridades de Certificación.
Permite la configuración de alertas mediante el envío de mail SMTP, pudiendo especificar uno o varios destinatarios.
Registra en base de datos el estado de las Autoridades de Certificación que están instaladas en un servidor de Apache, en su fichero de registro, generando un HASH del fichero de Autoridades de Certificación, junto con su tamaño (medido en KB) y la fecha y hora de la última modificación
Servidor SMTP 2 GO
CA Monitor
Funcionalidades
Detalle: Back-End
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 37
Índice: 8. Solución Propuesta
Test CASeIDAS
https://youtu.be/vtzKby442_k
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 38
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 39
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Evaluación
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 40
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Coste de implementar la solución
prácticamente cero
Software sencillo
Solución ajustada a la necesidad
Protección de un activo de información crítico
para la Infraestructura PKI
Evaluación
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 41
Índice: 8. Evaluación de la solución Propuesta
Ventajas Inconvenientes
Coste de implementar la solución
prácticamente cero
Software sencillo
Solución ajustada a la necesidad
Protección de un activo de información crítico
para la Infraestructura PKI
Evaluación
Protección no robusta, si el modelo es conocido es fácil de manipular
Necesita complementarse con otros mecanismos alertas como SMS para garantizar el tiempo de respuesta al incidente
Necesidad de concienciación de los Organismos Públicos del riesgo en infraestructuras de red de baja seguridad
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 42
Índice
Índice
1. Introducción
2. Situación actual
3. Necesidad real ¿Porqué ahora?
4. Objetivos
5. Alcance del proyecto
6. Hacking Certificados Digitales
7. Descripción del problema
8. Solución propuesta
9. Evaluación de la solución
10.Conclusiones
índice
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 43
Índice: 10. Conclusiones
CONCLUSIONES
PROYECTO
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 44
Índice: 10. Conclusiones
CONCLUSIONES
Gran complejidad en la gestión de la Autenticación mediante Identidades Digitales, debido al eIDAS
Sencillo hackear un Certificado cualificado x509.v3 que cumpla el Reglamento UE 910/2014
Problema grave de falta de recursos en el Sector Público, que debe “Digitalizarse” de forma segura
La monitorización del fichero de Registro de Autoridades de Certificación es crítica para garantizar la seguridad de los certificados
PROYECTO
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 45
Índice: 10. Conclusiones
MEJORAS
CASeIDAS
José Luis Muñoz de Morales Silva
Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos
Máster en Seguridad Informática 46
Índice: 10. Conclusiones
MEJORAS
Alertas mediante mensajería instantánea, para disminuir el tiempo de reacción ante incidentes
Posibilidad de confirmar las Autoridades de Certificación de manera independiente, en lugar de hacerlo en modo bloque
Realización de un “backup” sólo de Autoridades de Certificación para evitar que la recuperación en bloque
CASeIDAS
top related