30 de mayo de 2007

NAVEGADOR

RIESGOS POTENCIALES PARA LA SEGURIDAD DEL NAVEGADOR

  • El servidor Web puede no ser seguro: a) ofrecer información falsa a los usuarios, b) facilitar la descarga de software malicioso, etc..
  • El navegador puede ejecutar códigos (programitas) dañinos; applets Java maliciosos, “plugins”, o Controles ActiveX
  • Un atacante puede interceptar la información intercambiada entre el navegador y el servidor Web, sobretodo si no se utiliza una conexión protegida por técnicas criptográficas, (visualización del icono del candado)
  • Otros tipos de ataques contra el servicio WEB:
  1. Secuestro de sesiones (“hijacking”)
  2. Ataques de repetición (replay attacks”)
  3. Ataques de intermediario(del tipo “man-in-the-middle”)
  4. Acceso a información sensible o modificación del contenido del servidor Web

RECOMENDACIONES DE SEGURIDAD

Configuración adecuada del equipo informático: servicios instalados, cuentas y grupos de usuarios, contraseñas por defecto, permisos de acceso a los recursos y los ficheros, etc..

Revisión y actualización con los últimos parches de seguridad publicados por el fabricante del software instalado.

Configuración a nivel de seguridad en función de la zona de trabajo del usuario.-En Internet Explorer se accede desde el menú (Herramientas / Opciones de Internet / Seguridad) y se distinguen las siguientes zonas:

  1. Zona “Internet” se aplica el Nivel de Seguridad Medio.
  2. Zona “Intranet local”, se recomienda Nivel de Seguridad Medio-Bajo.
  3. Zona de “Sitios de confianza”. Se aplica Nivel de Seguridad Bajo.
  4. Zona de “Sitios restringidos”.- Se recomienda Nivel de Seguridad Alto.

Control de la utilización de “cookies”.- Debemos saber lo siguiente:

  • Son pequeños ficheros de textos que se guardan en el ordenador del usuario y que graban los gustos y preferencias de del usuario en la navegación por Internet.
  • La desactivación de las mismas puede traer como consecuencia que algunos servicios o páginas de Internet no funcionen bien.
  • Lo recomendable es que cada cierto tiempo (a diario si es posible) se eliminen estos archivos de nuestro ordenador por medio

Cuidado con la descarga de software de Internet. Hemos de tener en cuenta lo siguiente:

  • Escanear cualquier programa o archivo descargado de Internet con un buen antivirus para comprobar la inexistencia de virus.
  • Verificar la autenticidad del sitio Web mediante la comprobación del certificado digital
  • Preferiblemente descargar software solo de los sitios Web de los fabricantes de software.

Evitar la navegación por sitios o páginas web de dudosa reputación.- Porque podrían contener virus.

No fiarse de enlaces incluidos en correos electrónicos.- Porque podrían engañarnos redireccionando la página a un sitio web diferente del indicado.

Control del contenido activo de las páginas web.- Exigiendo “pedir datos” antes de permitir la ejecución de este código .

En Intenet Explorer (Herramientas / Opciones de Internet / Seguridad / Nivel personalizado )

Configuración de la función autocompletar.-

  • Desactivar todas las opciones de Autocompletar y en especial las de recordar nombres de usuarios y contraseñas.
  • En Intenet Explorer (Herramientas / Opciones de Internet / Contenido / Autocompletar )

Conexión a servidores Web seguros mediante protocolos criptográficos (codificados).-

  • Para el intercambio de datos importantes (personales o bancarios ) , la comunicación debe estar encriptada (codificada)
  • El navegador abrirá una sesión http (sesión web normal), sobre un canal SSL (sesión web encriptada), y lo comprobaremos porque al comienzo de la dirección de la página en el navegador en lugar de aparecer “hhtp:// ” veremos “https:// “
  • También podemos comprobar que estamos en modo seguro porque aparece un candado en el borde inferior o superior del navegador según versión y fabricante.

Control de certificados y autoridades de certificación..- Para comprobar la validez del certificado digital se puede hacer realizando una doble pulsación del botón izquierdo del ratón sobre el candado que nos aparece en le marco del navegador y en la ventana subsiguiente que aparece deberemos examinar:

  1. Si está firmado por una autoridad de certificación reconocida.
  2. Si no ha expirado su periodo de validez
  3. Si el nombre registrado en el certificado coincide con el nombre del dominio del servidor, etc.

Control de contenidos que se pueden visualizar.- Desde el Asesor de contenidos, (Herramientas / Opciones de Internet / Contenido ) podemos restringir al acceso a páginas de contenidos desagradables atendiendo a la clasificación de la ICRA http://www.icra.org/ (Asociación para la clasificación de contenidos ) que serían: desnudez, lenguaje, sexo y violencia

Opciones avanzadas de Seguridad en Internet Explorer.- Entre las opciones avanzadas destacables en Internet Explorer accesibles desde (Herramientas / Opciones de Internet / Opciones avanzadas) en el apartado Seguridad tenemos:

  • Informar al usuario del envio de datos en formularios no seguros.
  • No guardar en disco páginas encriptadas.
  • Comprobación de la revocación de certificados digitales
  • Borrar la carpeta de archivos temporales de Internet
  • Advertir del cambio entre modalidad segura e insegura.

Otras recomendaciones de Seguridad.- Recomendaciones de seguridad añadidas.

Borrar por medio de ( Herramientas / Opciones de Internet / General ).

  1. Eliminar Cookies
  2. Eliminar Archivos Temporales de Internet.
  3. Borrar Historial.

-Utilizar conexiones seguras (SSL ó TLS) siempre que sea posible.

-Emplear un servidor Proxy como equipo intermediario con otras conexiones con otros servidores de Internet, porque podemos modificar la configuración para que filtre y surpervise las conexiones desde el equipo . De esta manera vigila y filtra los contenidos con código peligroso. (applets, Controles ActiveX )

ENLACES DE INTERES

  • Seguridad en la PYME

http://www.seguridadpymes.es/

  • Alerta-antivirus

http://alerta-antivirus.red.es/portada/

  • Seguridad en la Red:

http://www.seguridadenlared.org/

EMAIL

PROBLEMAS CON EL CORREO ELECTRONICO

Propagación de código peligroso ( virus y troyanos) por distintos medios:

  1. Mediante correo adjunto en ficheros ejecutables.
  2. Por medio de la inserción del virus dentro del propio cuerpo del mensaje.
  3. Intercepción de mensajes enviados por Internet “man-in-the-middle”.- El usuario malicioso se sitúa entre el servidor de correo y el usuario emisor del mensaje interceptando el mensaje, para posteriormente reenviarle seguramente con virus.
  4. Usurpación del remitente (“soofing”).- Para generar mensajes falsos en nombre de un usuario u organización.
  5. Ataques de repetición (“replay attacks”), que consisten en el reenvio de mensaje interceptados por un usuario malicioso.
  6. Spam o correo no solicitado ( correo basura)
  7. Ataques de “mail bombing”, que son un tipo de ataque de Denegación de Servicios (DoS), contra servidores de correo electrónico.
  8. Interceptación de contraseñas de usuarios que acceden a sus buzones de correo como POP, que no encriptan (codifican) dichas contraseñas antes de transmitirlas por Internet.
  9. Revelación a terceros del contenido de un mensaje de correo electrónico, sin tener la autorización del creador, con lo cual podría reenviar dicho mensaje sin autorización igualmente del remitente.

RECOMENDACIONES DE SEGURIDAD DEL CORREO ELECTRONICO.

  • Evitar la ejecución de código dañino asociado al correo electrónico.
  • Desactivación de la vista previa de los mensajes del programa lector del correo, con lo cual evitaremos que se ejecute el código HTML del correo electrónico.
  • No se debe ejecutar los archivos adjuntos asociados a los correos electrónicos sin escanearlos previamente con un buen antivirus.
  • Desconfiar en general de los correos que desconozcamos su remitente.
  • Verificar las extensiones de los archivos de los correos adjuntos porque en ocasiones se dan casos de engaños del tipo “txt.exe”, “txt.doc”, “txt.xls”, “txt.vbs”, etc.
  • Instalar un buen antivirus que nos proteja del correo electrónico con virus.
  • Garantizar la confidencialidad, integridad y autenticidad de los mensajes y de los usuarios.
  • Utilización de protocolos seguros para el acceso a los buzones de correo electrónico como APOT en lugar del clásico POP3 que envia nuestras contraseñas sin encriptar ( sin codificar) y son legibles para cualquier pirata informático.

Alternativas para lograr la autencidad de los mensajes:

  1. Sender ID Framework (SIDF): sistema que incluye un identificador del remitente en los correos electrónicos (www.microsoft.com/senderid )
  2. Sender Policy Framework (SPF).- Sistema propuesto para definir una lista permitida de dominios desde los que se permite enviar correo electrónico utilizando servidores de la oranización.
  3. Utilización de la firma electrónica en los correos.
  4. Configuración más segura de la red de la organización para el servicio de correo electrónico.
  5. Intalar antivirus, antiespias y cortafuegos.
  6. Instalar un servidor Proxy “mail Proxy” par filtrados de código peligroso
  7. Utilización de servidores de correo seguro (SSL) o incluso túneles (SSH).

ENLACES DE INTERES

EchoMail: http://www.echomail.com/

MessageTag: http://www.messagetag.com/home/

Kana: http://www.kana.com/

SPAM

¿ Qué es el Spam?

  • El Spam o tambien llamado “correo basura”, son los mensajes publicitarios no solicitados por el destinatario.

¿Qué daños causa?

  • A los particulares pérdida de tiempo en la descarga, lectura y elimnación de los mismos.
  • A las empresas pérdida de productividad de sus empleados, consumo de ancho de banda innecesario y consultas al servicio técnico.
  • A los proveedores de acceso a Internet , incremento del consumo de ancho de banda, saturación de los servidores de correo electrónico e instalación software anti-spam.

¿ Como protegernos del Spam ?

  • No respondiendo a los mensajes de suscripción en listas y no enviando las bajas de dichas suscripciones porque en la mayoría de los casos sirve para confirmar la validez de la cuenta de correo electrónico.
  • Utilizando software anti-spam de usuario.
  • Utilizando correo online en el que el servidor ya utilice software anti-spam

ENLACES DE INTERES

Ø Spam Cop:

http://www.spamcop.net/

Ø Spamhaus:

http://www.spamhaus.org/

Ø Coalición europea contra el correo comercial no solicitado:

http://www.euro.cauce.org/es/

PHISHING

¿ Qué es el Phishing?

  • El Phishing o tambien llamado “carding”, son ataques para conseguir las claves de usuario y contraseña para la suplantación de los propietarios con fines fraudulentos.

¿Qué daños causa?

  • A los particulares robo de datos personales y de dinero.
  • A las empresas pérdida de información sensible de la propia empresa y también posible pérdida económica directa y/o inducida.

¿ Como protegernos del Spam ?

  • No accediendo a páginas web que soliciten contraseñas que no sean seguras (deben tener el candado)
  • Comprobación de los certificados digitales de la páginas web antes de confiar en el contenido.
  • Verificación de que la dirección web empieza por https:// si es una dirección segura.
  • Cerrar la ventana de la conexión segura clicando el sitio donde la empresa .
  • Nunca se debe acceder a un formulario de autentificación a través de una página web distinta del sitio web de la empresa o entidad finaciera.
  • Nunca se deberían acceder a estos sitios web desde lugares públicos.
  • Comprobar que la URL (dirección de internet) no incluye añadidos sospechosos.
  • No se debe instalar nuevos programas y controles en nuestro navegador sin conocer su atenticidad.
  • El usuario debe responsabilizarse de guardar de forma segura sus datos y clave de acceso.
  • Deberemos tener habilitada la función del navegador que nos permite conocer el cambio entre contenido seguro (SSL) y el no seguro.
  • Las apliciones web deberían estar programadas para utilizar páginas de autentificación independientes, es decir páginas que se abren en nuevas ventanas del navegador.
  • Utilizar las nuevas alternativas ofrecidas por los bancos para el acceso a la banca electrónica como son los teclados virtuales y las tarjetas de coordenadas que sirve para evitar casi en un 99,99 % este tipo de fraudes.

ENLACES DE INTERES

Ø FraudWatch Internacional:

http://www.fraudwatchinternational.com/phishing/

Ø Anti-Phishing Working Group:

http://www.antiphishing.org/

Ø Internet Fraud Complaint Center(FBI):

http://www.ic3.gov/