Buscar este blog

02 noviembre 2009

Transaction Authentication Number (TAN)

Desde que Internet se ha convertido, de facto, un servicio universal en muchos países, se han incrementado sustancialmente las amanazas. Éstas son cada vez más sofisticadas y más complejas de detectar.
Por ello, se ha hecho totalmente imprescincible, no sólo autenticar a la persona, que esté realizando la acción sino que también se debería de autenticar dicha acción (Transacción).

El Concepto de autenticación describe el proceso de verificación de la identidad de una persona, transacción o entidad. Por tanto, es el proceso de determinar si alguién o algo es quién dice que es.
Al final, la autenticación busca principalmente:
  • Garatizar de quien dice ser, es en realidad.
  • No haya suplantaciones.
Uno de los sectores, en los que más se innova en la autenticación, es el bancario. Una de las técnicas que más se está usando es la autenticación de transacciones, que persigue reducir las pérdidas financieras producidas por phising.
"La solución no es mejorar la autenticación de la persona, sino autenticar la Transacción", Bruce Schneier (Blog de Schneier 2006)

Como indica el título de mi entrada en este blog me voy a centrar en la autenticación de transacciones por números. (TAN).

Tenemos diferentes tipos de autenticación de transacciones por números, desde ahora con el acrónimo "TAN":
  • Lista TAN (Clásico), ha sido una de los primeros métodos de autenticación de dos factores, es una lista con una serie aleatoria de 50 números, aproximadamente, impresos en un papel o tarjeta. Este sistema está teniendo problemas con el Phising, ya que en algunos casos a las víctimas les suelen pedir que metan toda la lista en la Web, provocando que los atacantes conozcan los dos factores de autenticación y por ende consiguiendo seguramente un robo y una pérdida económica para el usuario o el banco.
  • Indexed TAN (iTAN), Es un sistema parecido al clásico y con los mismos problemas. Aunque si bien, suele complicar algo más el ataque. Éste método es también una lista de números, pero esta vez está indexada, por medio de otros números, por lo que el banco pide el número que indique el índice que muestra por pantalla. Sería conveniente que dicho índice no siga una serie previsible, ya que sería sencillo un ataque con el método Man-in-the-Middle.
  • Indexed TAN con Captcha (ITANplus), es usado por algunos Bancos Alemanes, mejora la categoría anterior ya que reduce los riesgos del ataque man-in-the-middle, al utilizar el sistema "Captcha". Este sistema antes de introducir el iTAN, le muestra con un fondo diverso, datos de la trasancción e información personal que sólo debería saber el Banco y el Usuario.
  • Mobile TAN (mTAN), es un sistema utilizado por diversos países. El Proceso que sigue es el siguiente:
Cuando el usuario se ha autenticado, por ejemplo en un Banco, y va a realizar a continución una transacción. Para ello, el Banco genera una clave aleatoria asociada a esa única transacción, y con un tiempo reducido de validez. Dicho código es enviada por SMS al móvil asociado del usuario. A continuación éste introducirá la clave recibida y, si ésta es la misma que la generada por el Banco entonces se dará como buena la transacción.
    La fiabilidad de este sistema depende de la seguridad de la infraestructura de telefonía móvil de la compañía.
    Por último, quiero hacer hincapié que este modo de autenticación de transacciones, puede verse afectado. Si un atacante, tiene un móvil fácilmente reprogramable (Nokia 1100), podría programar su SIM como si fuera la de la víctima, pudiendo recibir el mensaje con la clave de la transacción.

    Esto es todo por ahora,
    Hasta la próxima.
    Un Saludo,
    www.itsecurity.es

    Bibliografía Digital: Sans, enisa, Wikipedia, Blog Derecho Informático, www.gpayments.com

    12 octubre 2009

    Cuestiones Gripe - A, Pandemia 2009-2010

    La gripe A denominada con diferentes nombres a lo largo de este año, es causada por el virus de gripe en su variación H1N1.
    A lo largo del Siglo XX-XXI se han producido diversas pandemias de Gripe, la más famosa es la del año 1918 llamada Gripe Española, esta variación fue una de las más fuertes documentadas y virulentas.
    Actualmente la Gripe A es leve pero con tasas bastante elevadas de contagios, ya que al ser una cepa nueva el cuerpo humano en general no tiene anticuerpos de ésta. No hay que perder de vista que dicho virus puede modificar sus patrones y hacerse más virulento a lo largo de los meses venideros.

    Por lo que a nivel empresarial se deberían de establecer medidas para evitar pérdidas significativas en el negocio, siempre y cuando, las pérdidas producidas por efecto de la gripe sean menores que el propio coste de las medidas de control. Para ello he establecido una serie de bloques de preguntas que pueden hacer reflexionar a los responsables empresariales, sobre la pandemia.

    1. Planes de Continuidad:
    • ¿Hace falta un Plan de Continuidad?
    • ¿Se necesitaría un Plan de Contingencia?
    • ¿Sería importante establecer un Plan de Emergencias?
    • ¿Es básico elaborar un Plan de Comunicación?
    2. Si no se tuviera plan alguno:
    • ¿Estaríamos en tiempo de realizar un pequeño plan, que pudiera minimizar el impacto del Riesgo de la Gripe?
    3. Si se tiene algún plan:
    • ¿Sería necesario establecer un plan de pruebas, documentado, actualizado y con su calendario?
    4. Herramientas:
    • ¿Qué herramientas existen para evitar la propagación de una infección declarada en la empresa?
    • ¿Sería factible el Teletrabajo en aquellos departamentos en los que hubiera infecciones?
    • ¿Tendría la empresa capacidad para que hubiera un alto volumen de Teletrabajo?
    • ¿El Teletrabajo al final aumentará por fin la Productividad de la Empresa y por tanto del país?
    5. El empleo y sus consecuencias:
    • ¿Podría haber un aumento de contratación ante posibles contingencias con la Gripe A?
    • ¿Dicho empleo será temporal o indefinido?
    • ¿Serán productivas las nuevas contrataciones, si están han sido producidas cuando se ha producido la contingencia y no antes?
    6. Coste VS Riesgo:
    • ¿El Coste Previsto, por el ausentismo laboral por enfermedad junto con la disminución de la actividad del negocio, es Menor o Igual a la Elaboración y/o ejecución de los Planes de Contingencia y Continuidad?
    En resumen, la empresa tiene que demostrar que está preparada ante cualquier tipo de contingencia ya sea humana o técnica y que dichos eventos tengan el mínimo impacto posible en el negocio y en las personas que lo constituyen.

    En próximas entregas, es posible que vaya contestando con mis opiniones a cada una de estas preguntas que nos debieran hacer reflexionar sobre el Tema.

    Un Cordial Saludo,
    Itsecurity.es.

    Enlaces:
    http://www.msps.es/ciudadanos/enfLesiones/enfTransmisibles/docs/EmpresasPlan2.pdf
    http://www.informaciongripea.es/
    http://www.google.org/flutrends/

    07 septiembre 2009

    Identidad Digital

    La mayoría de los ciudadanos no se percata de la influencia que puede tener su identidad digital en su vida diaria.
    Podríamos definir la Identidad Digital como el conjunto de rasgos que caracterizan a un individuo o colectivo en un medio de transmisión digital.

    No se debe confundir con identidad electrónica, que es el conjunto de elementos necesarios para garantizar (dentro de lo razonable), la identidad a través de medios electrónicos, así como los elementos que permiten gestionar y proporcionar funcionalidad en este medio.

    La identidad electrónica incluye los siguientes elementos:
    • Certificados Digitales.
    • Firma Electrónica.
    • Gestión y propagación de derechos.
    • Simplificación de identificación en múltiples entornos. (Single Sign On).

    Un ejemplo de identidad electrónica podría ser el DNI-e.

    Las identidades digitales nos suelen caracterizar en nuestros hábitos digitales. Nuestras identidades se van forjando a medida que se utiliza más la red. Llegando a un momento en el que si no se gestiona bien las identidades podría haber tanto una falta de privacidad como posibles robos de identidades. Robos tales como el que se produjo en el año 2008 a Bernanke (El presidente de la Reserva Federal), que le robaron de sus cuentas bancarias la friolera cantidad de 2,1 Millones de Dolares.

    Existen dos grandes grupos de identidades:
    • Redes de Amigos o Sociales, tales como Facebook, Twitter, Meetic, Chats, etc.
    • Redes de Interés, tales como Xing (antigua neurona), Linkedin, etc.
    Con todo lo comentado anteriormente surgen las dudas de como gestionar las identidades y si éstas deben de ser reguladas legalmente.

    Dejo unas cuantas preguntas para para la reflexión de este tema:
    ¿Es suficiente las leyes que existen sobre la Protección de Datos?
    ¿Debería de existir alguna regulación mundial sobre las identidades digitales?
    ¿Al realizar normativas sobre las propias identidades digitales, se perdería la libertad que propugna Internet?
    ¿Sobraría con formar adecuádamente sobre las identidades a cada uno de los usuarios Internautas?

    Un Saludo,
    www.itsecurity.es

    Fuentes:
    http://www.expansion.com/2009/08/27/economia-politica/economia/1251408473.html
    http://www.gobernanzainternet.es/doc/archivos/Documento_Base_-_Identidad_Digital.pdf