PROYECTO 2 - CRIPTOGRAFÍA RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian estos documentos es el correo electrónico y el servicio de FTP. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.

1. Analiza la idoneidad de esta vía para intercambiar información

confidencial.

2. Investiga alternativas a esta solución.

Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la empresa tienen equipos ejecutándose tanto en Windows como en Linux. Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con esta aplicación. Para ello:

a) Descárgate el servidor y el cliente de la página del proyecto Filezilla.

Instala cada uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.

b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia una captura de tráfico. Conéctate al servidor para realizar la transferencia de un fichero de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña y algunos paquetes del contenido.

Aquí vemos como hemos capturado el

usuario al transferir el fichero a

nuestro cliente

Aquí vemos como hemos capturado la

contraseña al transferir el fichero a

nuestro cliente

Estas son las IP,s de nuestro servidor

y cliente

Aquí nos muestra que ya estamos

logeados

Estos algunos de los paquetes de

contenido en la trasmisión

Analiza una primera solución para garantizar la seguridad del intercambio de ficheros, realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:

a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico en Linux) para cifrar el fichero que se va a transmitir vía FTP.

Con esta orden nos

da los algoritmo

con el que nos va a

generar la clave

Aquí hemos elegido la

opción 2

Elegimos el tamaño de

la contraseña en

nuestro caso 1024

Elegimos como periodo que no

caduque nunca

En el siguiente paso nos pide

que pongamos el nombre y

apellido.

Aquí ponemos nuestro correo

Esta es la clave pública

En este fichero nos

guarda las claves

privadas.

Aparecen la clave pública y la

subordinada.

Según este ejercicio esta es la

clave pública que todo el mundo

verá, la hemos exportado del

llavero dejándolo en fichero

/tmp.

situándonos en el directorio /tmp

y escribiendo la orden: sudo gedit

jose.pub vemos que nos muestra

nuestra clave pública

Ahora tenemos que crear un nuevo usuario en este caso el de profesor

Vemos que desde el

usuario profesor no ha

importado su clave pública.

Se crea un directorio donde se

guardan ficheros internos.

Donde se pueden consultar las

claves disponibles en el

llavero.

Ahora vamos a crear un fichero llamado mensajes y lo cifraremos para enviárselo al usuario José. Previamente deberemos de instalar el paquete fortune pero desde el administrador en este caso usuario Jose.

Volvemos a la sesión de José. Obtenemos la huella de su clave pública y la comparamos con la que aparece en la de profesor.

b) Ac

Con este comando podemos ver

el listado de claves

Vemos que la huella es la misma

Una vez comprobadas que las huellas son las mismas ya podemos confiar en la clave importada, acto seguido escribiremos esta orden.

Ya habremos ternimado c) tiva de nuevo la captura de tráfico en el servidor y realiza la

transferencia del fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña? ¿Y los paquetes de contenido?

Este paso no lo he conseguido hacer por que no consigo crear la transmisión con seguridad. Intente con putty. Que esto puede ser una alternativa.

Investiga y describe otras posibles soluciones que permitan un intercambio seguro de información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.

Dropbox realmente ha revolucionado la forma en la que compartimos archivos. Y no me

refiero a las fotografías que subimos a Facebook o a Twitter, sino a la forma en la que las

empresas, sobre todo las pequeñas empresas, pueden formar una especie de archivero

virtual donde se encuentran todos los documentos relevantes. Hoy en día, no solamente

Dropbox es un jugador importante, sino que también tenemos otros pesos pesados como

SkyDrive, Google Drive, el más empresarial Box, Mega, el emprendimiento que surgió de

las cenizas de Megaupload, y muchos más. Sin embargo, a veces la seguridad deja

mucho que desear. Por eso, hoy examinaremos algunas alternativas seguras a Dropbox,

relacionadas sobre todo con el cifrado de archivos.

Si bien es una aplicación segura para la gran mayoría de las necesidades básicas de los

usuarios, en el pasado Dropbox ha tenido algunos deslices importantes relacionados con

la seguridad de las cuentas y de las contraseñas. Y esto, dentro de un ámbito empresarial,

no es algo que pueda permitirse. Por eso, muchas empresas todavía se resisten al paso a

la nube, con justo motivo. ¿Por qué abandonar el almacenamiento local cuando es mucho

más seguro que tener los archivos “en el aire”, donde pueden ser borrados

accidentalmente o, peor, donde nuestra información personal y empresarial puede ser

accedida por elementos maliciosos?

En segundo lugar, una de las “desventajas” de Dropbox al menos para los negocios más

pequeños es su precio. No es lo mismo que una empresa grande contrate un plan de

Dropbox que una pequeña empresa, que quizás no está contemplando el almacenamiento

en la nube dentro de su presupuesto. Pero nos estamos yendo de tema. De hecho, lo que

queremos ver aquí son las alternativas seguras a Dropbox, y para dormir con más

tranquilidad, hemos compilado una lista con las ofertas más conocidas en el mercado.

Como siempre, están bienvenidos a dejar sus sugerencias en los comentarios.

TeamDrive: si lo que buscamos es una herramienta colaborativa donde, además,

podemos compartir archivos de forma completamente segura, entonces TeamDrive

puede ser una buena elección. Podemos sincronizar carpetas en una multiplicidad de

dispositivos. Cada una de estas carpetas se denomina “espacio”, un espacio de

trabajo virtual. Tiene una base de 2GB de almacenamiento gratuito, y si queremos

aumentarlo tendremos que abonar alguno de los planes de pago. Por otro lado, en lo

que respecta al cifrado de la información, TeamDrive cifra los archivos de acuerdo

con determinados dispositivos. Es decir, solamente las personas autorizadas a ver

los archivos, desde un dispositivo determinado, pueden tener acceso.

SpiderOak: SpiderOak es una de las alternativas seguras a Dropbox más

tradicionales y usadas del mercado. De hecho, para ellos el negocio reside más por

el lado de la seguridad que por el almacenamiento en la nube. Lo que hace

es generar claves de cifrado a través de la contraseña que creamos, y la

contraseña solamente la tenemos nosotros. De acuerdo con la empresa, ni siquiera

los empleados pueden tener acceso a nuestros archivos. Lo que tenemos que hacer

es seleccionar las carpetas que queremos llevar de forma segura a la nube, y la

actualización de los archivos cuando se hacen modificaciones en la carpeta se

realiza de forma automática. También nos encontramos con 2GB de

almacenamiento gratuito, con algunas posibilidades de aumentar nuestro espacio

refiriendo a nuestros amigos al servicio.

Wuala: este también es un jugador conocido en el mercado de la nube, y también

hace de la seguridad su preocupación principal. El cifrado de los archivos se

realiza de forma local en nuestra computadora, antes de que lleguen a la web.

Tiene un funcionamiento muy parecido a Dropbox, dado que nos permite generar

una carpeta para poder sincronizar. Pero tiene una diferencia fundamental y es que

podemos acceder a Wuala como si se tratase de una unidad de red más. Cuenta con

una aplicación de escritorio que permite que podamos administrar nuestros archivos

fácilmente, y es una de las más confiables si estamos buscando una alternativa

empresarial.

Tresorit: una de las desventajas de Tresorit es que no cuenta con una versión

web, para nada. Necesitamos tener la aplicación instalada para poder acceder a

nuestros archivos, y en este sentido, hace que sea una de las alternativas seguras a

Dropbox más codiciadas. Hasta ofrecen 10.000 dólares a un hacker que sea capaz

de hacer un bypass de seguridad. Volviendo a lo que nos interesa, Tresorit usa

uncifrado AES 256 para proteger nuestros archivos. Mientras que Dropbox y los

servicios anteriores solamente nos ofrecen 2GB gratuitos, en el caso de Tresorit

podemos disfrutar de un poco más ytenemos 5GB de entrada. También tienen

planes para quienes necesiten un poco más. Está disponible para Windows, y

todavía están en desarrollo las aplicaciones móviles, lo cual puede ser un poco

engorroso para quienes tengan diferentes dispositivos. Pero si trabajamos en un

entorno Windows, es una buena herramienta para el trabajo colaborativo.

BitTorrent Sync: en cuanto a alternativas seguras a Dropbox, esta es una de las

más viables. ¿Por qué? Porque directamente se ahorra pasar por la nube

e implementa la tecnología peer-to-peer que ya conocemos de otro de sus

productos desarrollados, el cliente BitTorrent. BitTorrent Sync nos permite enlazar

carpetas entre dispositivos múltiples, sin tener que pasar por servidores externos.

Los archivos se almacenan sólo localmente y las transferencias de archivos de

hacen de manera cifrada. No es complicado de usar, dado que también nos deja

seleccionar la carpeta que vamos a querer sincronizar. Técnicamente, no estamos

hablando de almacenamiento en la nube, pero sí nos da una capa más de seguridad

al permitirnos evitar tener que alojar los archivos en un servidor externo. Además,

estaremos usando el espacio de nuestro dispositivo por lo que no tenemos que

preocuparnos sobre la compra de planes especiales.

¿Qué hay si nos queremos quedar solamente con Dropbox? Es entendible, dado

que es uno de los servicios más utilizados en el mundo en lo que respecta al

almacenamiento. Además, ningún servicio nos pueden garantizar, al 100 por ciento,

que no pasará nada, nunca, con nuestros archivos. Por eso, si elegimos la

protección absoluta, siempre podemos seguir usando Dropbox, pero cifrando los

archivos por nuestro lado antes de hacerlo. Tenemos muchas herramientas

destinadas a cifrar archivos, y además, también se puede optar por el

conocido BoxCryptor, una herramienta específicamente diseñada para la

información que subimos a Dropbox.