1. PROYECTO 2 - CRIPTOGRAFÍA
RA: Asegurar la privacidad de la información transmitida en redes
informáticas describiendo vulnerabilidades e instalando software
específico
Tu jefe te llama porque sospecha que un hacker está teniendo acceso a
documentos confidenciales que se mandan a través de la red. Las únicas vías por
las que se intercambian estos documentos es el correo electrónico y el servicio de
FTP.
Los correos electrónicos se intercambian a través de la plataforma de Google,
GMail.
1. Analiza la idoneidad de esta vía para intercambiar información
confidencial.
2. Investiga alternativas a esta solución.
Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se
descargaron tanto el servidor como el cliente de Internet y se instalaron con la
configuración básica. En la empresa tienen equipos ejecutándose tanto en
Windows como en Linux.
Comprueba, a través de dos equipos, lo segura que es la transmisión de
ficheros con esta aplicación. Para ello:
a) Descárgate el servidor y el cliente de la página del proyecto Filezilla.
Instala cada uno en un equipo. El servidor irá sobre una máquina
Windows y el cliente sobre una máquina Linux (Ubuntu 12.04).
Crea en el servidor un usuario con contraseña.
Comprueba que cliente y servidor funcionan, accediendo desde el
cliente Linux al servidor en la máquina Windows y transfiriendo algún
fichero.
b) Descarga la aplicación Wireshark de la página oficial e instálalo en el
servidor. Inicia una captura de tráfico.
Conéctate al servidor para realizar la transferencia de un fichero de
texto.
Termina la captura y localiza los paquetes donde va el usuario y la
contraseña y algunos paquetes del contenido.
2. Estas son las IP,s de nuestro servidor
y cliente
Aquí vemos como hemos capturado el
usuario al transferir el fichero a
nuestro cliente
Aquí vemos como hemos capturado la
contraseña al transferir el fichero a
nuestro cliente
3. Aquí nos muestra que ya estamos
logeados
Estos algunos de los paquetes de
contenido en la trasmisión
4. Analiza una primera solución para garantizar la seguridad del intercambio de
ficheros, realizando un cifrado asimétrico previo a la transmisión del fichero. Para
ello:
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3
(Cifrado asimétrico en Linux) para cifrar el fichero que se va a
transmitir vía FTP.
Con esta orden nos
da los algoritmo
con el que nos va a
generar la clave
Aquí hemos elegido la
opción 2
Elegimos el tamaño de
la contraseña en
nuestro caso 1024
5. Elegimos como periodo que no
caduque nunca
En el siguiente paso nos pide
que pongamos el nombre y
apellido.
7. En este fichero nos
guarda las claves
privadas.
Aparecen la clave pública y la
subordinada.
8. Según este ejercicio esta es la
clave pública que todo el mundo
verá, la hemos exportado del
llavero dejándolo en fichero
/tmp.
situándonos en el directorio /tmp
y escribiendo la orden: sudo gedit
jose.pub vemos que nos muestra
nuestra clave pública
9. Ahora tenemos que crear un nuevo usuario en este caso el de profesor
Vemos que desde el
usuario profesor no ha
importado su clave pública.
Se crea un directorio donde se
guardan ficheros internos.
Donde se pueden consultar las
claves disponibles en el
llavero.
10. Con este comando podemos ver
el listado de claves
Ahora vamos a crear un fichero llamado mensajes y lo cifraremos para
enviárselo al usuario José. Previamente deberemos de instalar el paquete
fortune pero desde el administrador en este caso usuario Jose.
Volvemos a la sesión de José. Obtenemos la huella de su clave pública y
la comparamos con la que aparece en la de profesor.
Vemos que la huella es la misma
b) A
c
11. Una vez comprobadas que las huellas son las mismas ya podemos confiar
en la clave importada, acto seguido escribiremos esta orden.
Ya habremos ternimado
c) tiva de nuevo la captura de tráfico en el servidor y realiza la
transferencia del fichero cifrado. ¿Se puede aún descubrir el usuario y
la contraseña? ¿Y los paquetes de contenido?
Este paso no lo he conseguido hacer por que no consigo crear la transmisión
con seguridad. Intente con putty. Que esto puede ser una alternativa.
Investiga y describe otras posibles soluciones que permitan un
intercambio seguro de información vía FTP, de modo que no se puedan
identificar en la comunicación (al conectar el sniffer) el usuario, la
contraseña ni el contenido del fichero.
Dropbox realmente ha revolucionado la forma en la que compartimos archivos. Y no me
refiero a las fotografías que subimos a Facebook o a Twitter, sino a la forma en la que las
empresas, sobre todo las pequeñas empresas, pueden formar una especie de archivero
virtual donde se encuentran todos los documentos relevantes. Hoy en día, no solamente
12. Dropbox es un jugador importante, sino que también tenemos otros pesos pesados como
SkyDrive, Google Drive, el más empresarial Box, Mega, el emprendimiento que surgió de
las cenizas de Megaupload, y muchos más. Sin embargo, a veces la seguridad deja
mucho que desear. Por eso, hoy examinaremos algunas alternativas seguras a Dropbox,
relacionadas sobre todo con el cifrado de archivos.
Si bien es una aplicación segura para la gran mayoría de las necesidades básicas de los
usuarios, en el pasado Dropbox ha tenido algunos deslices importantes relacionados con
la seguridad de las cuentas y de las contraseñas. Y esto, dentro de un ámbito empresarial,
no es algo que pueda permitirse. Por eso, muchas empresas todavía se resisten al paso a
la nube, con justo motivo. ¿Por qué abandonar el almacenamiento local cuando es mucho
más seguro que tener los archivos “en el aire”, donde pueden ser borrados
accidentalmente o, peor, donde nuestra información personal y empresarial puede ser
accedida por elementos maliciosos?
En segundo lugar, una de las “desventajas” de Dropbox al menos para los negocios más
pequeños es su precio. No es lo mismo que una empresa grande contrate un plan de
Dropbox que una pequeña empresa, que quizás no está contemplando el almacenamiento
en la nube dentro de su presupuesto. Pero nos estamos yendo de tema. De hecho, lo que
queremos ver aquí son las alternativas seguras a Dropbox, y para dormir con más
tranquilidad, hemos compilado una lista con las ofertas más conocidas en el mercado.
Como siempre, están bienvenidos a dejar sus sugerencias en los comentarios.
TeamDrive: si lo que buscamos es una herramienta colaborativa donde, además,
podemos compartir archivos de forma completamente segura, entonces TeamDrive
puede ser una buena elección. Podemos sincronizar carpetas en una multiplicidad de
dispositivos. Cada una de estas carpetas se denomina “espacio”, un espacio de
13. trabajo virtual. Tiene una base de 2GB de almacenamiento gratuito, y si queremos
aumentarlo tendremos que abonar alguno de los planes de pago. Por otro lado, en lo
que respecta al cifrado de la información, TeamDrive cifra los archivos de acuerdo
con determinados dispositivos. Es decir, solamente las personas autorizadas a ver
los archivos, desde un dispositivo determinado, pueden tener acceso.
SpiderOak: SpiderOak es una de las alternativas seguras a Dropbox más
tradicionales y usadas del mercado. De hecho, para ellos el negocio reside más por
el lado de la seguridad que por el almacenamiento en la nube. Lo que hace
es generar claves de cifrado a través de la contraseña que creamos, y la
contraseña solamente la tenemos nosotros. De acuerdo con la empresa, ni siquiera
los empleados pueden tener acceso a nuestros archivos. Lo que tenemos que hacer
es seleccionar las carpetas que queremos llevar de forma segura a la nube, y la
actualización de los archivos cuando se hacen modificaciones en la carpeta se
realiza
de
forma
automática.
También
nos
encontramos
con 2GB
de
almacenamiento gratuito, con algunas posibilidades de aumentar nuestro espacio
refiriendo a nuestros amigos al servicio.
Wuala: este también es un jugador conocido en el mercado de la nube, y también
hace de la seguridad su preocupación principal. El cifrado de los archivos se
realiza de forma local en nuestra computadora, antes de que lleguen a la web.
Tiene un funcionamiento muy parecido a Dropbox, dado que nos permite generar
una carpeta para poder sincronizar. Pero tiene una diferencia fundamental y es que
podemos acceder a Wuala como si se tratase de una unidad de red más. Cuenta con
una aplicación de escritorio que permite que podamos administrar nuestros archivos
fácilmente, y es una de las más confiables si estamos buscando una alternativa
empresarial.
Tresorit: una de las desventajas de Tresorit es que no cuenta con una versión
web, para nada. Necesitamos tener la aplicación instalada para poder acceder a
nuestros archivos, y en este sentido, hace que sea una de las alternativas seguras a
Dropbox más codiciadas. Hasta ofrecen 10.000 dólares a un hacker que sea capaz
de hacer un bypass de seguridad. Volviendo a lo que nos interesa, Tresorit usa
uncifrado AES 256 para proteger nuestros archivos. Mientras que Dropbox y los
servicios anteriores solamente nos ofrecen 2GB gratuitos, en el caso de Tresorit
podemos disfrutar de un poco más ytenemos 5GB de entrada. También tienen
planes para quienes necesiten un poco más. Está disponible para Windows, y
todavía están en desarrollo las aplicaciones móviles, lo cual puede ser un poco
engorroso para quienes tengan diferentes dispositivos. Pero si trabajamos en un
entorno Windows, es una buena herramienta para el trabajo colaborativo.
BitTorrent Sync: en cuanto a alternativas seguras a Dropbox, esta es una de las
más viables. ¿Por qué? Porque directamente se ahorra pasar por la nube
e implementa la tecnología peer-to-peer que ya conocemos de otro de sus
14. productos desarrollados, el cliente BitTorrent. BitTorrent Sync nos permite enlazar
carpetas entre dispositivos múltiples, sin tener que pasar por servidores externos.
Los archivos se almacenan sólo localmente y las transferencias de archivos de
hacen de manera cifrada. No es complicado de usar, dado que también nos deja
seleccionar la carpeta que vamos a querer sincronizar. Técnicamente, no estamos
hablando de almacenamiento en la nube, pero sí nos da una capa más de seguridad
al permitirnos evitar tener que alojar los archivos en un servidor externo. Además,
estaremos usando el espacio de nuestro dispositivo por lo que no tenemos que
preocuparnos sobre la compra de planes especiales.
¿Qué hay si nos queremos quedar solamente con Dropbox? Es entendible, dado
que es uno de los servicios más utilizados en el mundo en lo que respecta al
almacenamiento. Además, ningún servicio nos pueden garantizar, al 100 por ciento,
que no pasará nada, nunca, con nuestros archivos. Por eso, si elegimos la
protección absoluta, siempre podemos seguir usando Dropbox, pero cifrando los
archivos por nuestro lado antes de hacerlo. Tenemos muchas herramientas
destinadas a cifrar archivos, y además, también se puede optar por el
conocido BoxCryptor,
una
herramienta
información que subimos a Dropbox.
específicamente
diseñada
para
la