CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

viernes, 30 de enero de 2009

GPG Gnu Privacy Guard

Es un software hibrido que combina la criptografia de clave simetrica para la rapidez y la criptografia de la clave publica por la seguridad de el compartimiento de la clave segura. Este modelo de operacion es referenciado del estandar openPGP (Petry Good Privacity - privacidad bastante buena. Su finalida es proteger la informacion distribuida por internet medianta el uso de la criptografia de la clave publica, asi como faciliticca la autenticacion de documento por medio de la firma digital). Con GPG creamos claves asimetricas, es decir, se crea un par de llaves una concida como llave privada, esta solo la puede tener el propietario puesto que esta es la llave principal porque con ella desencriptamos todo lo que nos manda encriptado; y la otra llamada llave publica, esta se le envia a todos con los que quiero una comunicacion segura. Se utiliza la llave publica para encriptar y la llave privada para firmas digitales, como lo indica la imagen.

Despues de la instalacion del gpg el paso a seguir es la creacion de nuestras llaves (Publica - Privada), esto se hace con el siguiente comando:

gpg --gen-key

  • Cuando es por primera vez no crea un directorio y en el se guarda el fichero de configuracion como los archivos secring.pgp donde se lamacenaran las claves privadas y pubring.pgp aquie se almacenaran la llaves publicas.
  • La primera pregunta que nos hacen es el tipo de clave que queremos lo recomendable es la primera que combina el DSA con ElGamal "DSA (es un algoritmos que solo se utiliza para firmar) y ElGamal (es un algoritmo que sirve para firmar y encriptar)"; la segunda es solo DSA y la tercera el solo ElGamal.
  • La segunda pregunta es el tamaño de la clave entre 1024 y 4096, se recomiendo la de por defecto 2048, depediendo de las necesidade se escige mas grande o mas pequeña pero se debe tener en cuenta que a mayor tamaño mayor seguridad y mayor tiempor para encriptar y desencriptar.
  • La tercer pregunta es el tiempo de validez de la clave y nos dan 5 opciones la primera es de no caducar poniendo el "0"; la segunda en dias con laopcion "n" ejemplo si solo la queremos por 5 dias entonce ponemos asi "5n"; la tercera en semanas con la opcion "w"; la cuarta en meses con la opcion "m" y la quinta en años con la opcion "y".
  • La cuarta pregunta son datos personales tales como nombre y apellido, direccion de corre y comentario para la llave, con estos datos crea el ID del usuario y por ultimo no pregunta si queremos cambiar algo o si todo esta bien escribimos la letra "V".
  • Y por ultimo nos pregunta el pasword para la clave, cuando la estamos escribiendo no se ve nada ni se mueve el cursor la repetimos y si las dos coinciden empieza la genracion de la llave durante este proceso es recomendable mover el raton o repuducir un mp3, etc, para se genere numeros aleatorios y se genere antes las claves.
Para ver las llaves publicas lo hacemos con el siguiente comando
gpg --list-key

Para ver las llaves privadas lo hacemos con el siguiente comando
gpg --list-secret-key

Para borrar una llave primero se debe borrar la privada y luego la publica a no ser de que se desee borrar una llave publica de alguien que tenemos importada y por diversas razones la queremos eliminar, en este caso solo se borra su publica. Para borar llaves publicas se hace con el comando
gpg --delete-key claveID

Para eliminar una llave privada se hace con el comando
gpg --delete-secret-key claveID

Las claves se identifican por medio de la huellas, una huella es una serie de numeros que se usa para verificar que una clave pertenece realmente al propietario. La huella es como un md5 que verifica que un archivo no ha sido modificado. Para ver la huella de una clave es con el comando
gpg --fingerprint claveID o Correo

Un metodo muy util para repartir nuestra llave publica seria por medio de la exportacion, hay dos formas de exportar una clave publica o privada y por diversos motivos se exportan esto varia seguun las necesidades. Las formas para exportar claves son:
  • Si deseamos exportarla una clave publica a un servidor de claves u otro sitio como un ftp se hace por medio del siguiente comando
gpg --keyserve NombreDelServidor --send-key claveID
  • Y si lo deseamos exportar localmente una llave publica se debe de crear un docuemento .asc para que quede en codigo ASCII y guardarlo manualmente donde deseemos el archivo.Esto lo hacemos con el siguiente comando
gpg -- armor --output ficherodesalida.asc --export claveID
  • Con la llave privada es recomendable que solo se haga localmente por seguridad y esta lo hacemos con el siguiente comando.
gpg --armor --output ficherodesalida.asc --export-secret-key claveID

Importamos la llaves por diversos motivos como por ejemplo despues de que formatiamos el equipo o cuando deseamos importas las claves publicas de los demas ocmpañeros con los que queremos establecer la conexion, etc. Para importar una llave publica y privada lo hacemos con el siguiente comando
gpg --import NombreDelfichero.asc

Para encriptar un mensaje lo hacemos con el siguiente comando se pone el ID de la clave con la que quiero encriptar lo mas recomendable con la publica.

gpg --armor --recipient claveID --encrypt mensaje

NOTA: el mensaje a encriptar ya es un mensaje qu esta creado y listo para ser enviado. Con el comando anterior se crea un archivo con el formato con el que lo encriptamos como lo es un .txt o ASCII y luego es envido por el correo electronico como un mensaje adjutado:

Para descriptar un mensaje lo hacemos con el siguiente comando

gpg --decrypt Archivo

Cuando desencriptar algo se pide el password de nuestra llave para desencriptalo.

Firmamos un llave es para formar los anillos de confianza, es decir, al yo firmar a una persona estoy queriendo decir que confio plenamente en ella y si ella me firma la confianza es de ambos lados y asi con cada uno de las demas personas, permitiendo la comunicacion Publica-->Privada. Para firmar utilizamos el siguiente comando

gpg --sign clave ID

Firmamos un mensaje para el receptor confimer que si fui yo quie firmo su llave publica y para l aintegridad de los datos. Esto se hace por el siguiente comando

gpg --clearsign Archivo


NOTA: Cada vez que firmamos un mensaje o una llave nos piden la contraseña de nuestra llave privada. Despues de que firmamos una llave la debemos exportar en el caso de que usemos un servidor de llaves; en el caso de un archivo este crea un archivo nuevo y se envia por correo electronicao tanto el documento firmado como el archivo original. Para verificar las firmas con el siguiente comando

gpg --list-sigs

Y para verificar un mensaje firmado con el siguiente comando

gpg --verify mensaje

La clave de revocacion hace que cuando importemos nuestra calve publica al anillo inavilite la clave totalmente esto es por seguridad, es decir, cuando nuestra llave privada ya sea desconfiada y se hace por el siguiente comando

gpg --gen-revoke claveID



lunes, 26 de enero de 2009

NORMAS ISO

¿QUE SON LAS NORMAS ISO?

Su sigla traduce Organizacion Intern
acional para la Estandarizacion, es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799:


Es una norma interncional que ofrece recomendacion p
ara la gestion de la seguridad de la informacion enfocada en el inicio, implantacion o mantenimiento de la seguridad en una organizacion. la seguridad de la infomacion se define com la preservacion de:

  • Confidencialidad: aseguracion de la privacidad de la infomarcion de la organizacion.
  • Integridad: garantia del estado original de los datos.
  • Disponibilidad: Acceso cuando sea requerido por los usuarios.
  • No repudio: Estadisticas de la acciones realizadas por el personal autorizado
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.



Esta norma establece 10 dominios de control que cubre por completo la gestion de seguridad de la infomacion:
  1. Politica de seguridad: dirige y da soporte a la gestion de la seguridad de la informacion
  2. Aspectos organizativos para la seguridad: gestiona la seguridad de la infomacion dentro de la organizacion; mantiene la seguridad de los recursos de tratamiento de la informacion y de los activos de informacion de la organizacion que son accedidos por terceros y mantiene la seguridad de la informacion cuando la responsabilidad de su tratamiento se ha extrenalizado a otra organizacion.
  3. Clasificacion y control de activos: mantiene una proteccion adecuada sobre los activos de la organizacion y asegura un nivel de proteccion adecuado a los activos de la informacion.
  4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalcion y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ambito de la seguridad de la informacion, y que estan preparados para sostener las politicas de seguridad de la organizacion y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlandolo y aprendiendo de ellos.
  5. Seguridad fisica y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la informacion de la organizacion; evita perdidas, daños o comprometer los activos asi como la interrupcion de las actividades de la organizacion y previene las exposiciones a riesgos y a robos de la informcion y de recursos de tratamiento de informacion.
  6. Gestion de comunicacion y operaciones: asegura la operacion correcta y segura de los recursos de tratamiento de la informacion; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacion; mantine la integridad y la disponibilidad de los servicios de tratamiento de infomacion y de comunicacion; asegura la salvaguarda de la informacion en las redes y la proteccion de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organizacion y previene la perdida, modificacion o mal uso de la informacion intercambiada entre organizaciones.
  7. Control de acceso: controla los accesos a la informacion; evita acceso no autorizado a los sistemas de informacion; proteje los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la infomacion contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacion cuando se usan dispositivos de informacion movil o teletrabajo.
  8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de informcion; evita perdidas, modificaiones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialida, integridad y autenticidad de la informacion; asegura que los proyectos de Tecnologias de la Informacion y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacion de la aplicacion del sistema.
  9. Gestion de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos critiicos frente a grandes fallos o desastres.
  10. Conformidad con la legislacion: evita el incumplimiento de cualquier ley, estatuto, regulacion u obligacion contractual y de cualquier requerimiento de seguridad; garantiza la alineacion de los sistemas con la politica de seguridad de la organizacion y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.
ISO 17799 no es una norma tecnologica:
  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
ISO 27001:

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

COMPARACION 17799 Y 27001:
  • ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables.
  • La ISO 17799 no es certificable, ni fue diseñada para esto.
  • La norma que si es certificable es ISO 27001 como tambien lo fue su antecedora BS 7799-2.
  • ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible apñlicacion en el SGSI que implanta cada organizacion
  • ISO 17799 es para ISO 27001, por tanto, una ralacion de contoles necesarios para garantizar la seguridad de la informacion.
  • ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)

ENTIDAD COLOMBIANA:

CERT: Computer Emergency Response Team- Equipo de Respuesta a Emergencias Infomarticas:
CERT Colombia es un centro de coordinacion y atenecion a insidentes de seguridad informatica colombiana antes, m
ediante y despues de este; mantiene contacto directo con las empresas afiliadas y esta en la capacidad coordinar el tratamiento y solucion de las solitudes y denuncias sobre problemas de seguridad infomartica que sean recibidas en la cuenta de correo. Actualmente se trabaja en contra de los robos de informacion privada (phishing), esta es usada posteriormente para sustraer dinero de la cuentas bancarias. Este anti-phishing se esta realizando de forma coordinada entre las entidades bancarias y las y las empresas prestadoras de servicio de internet que estan agrupadas en la NAP Colombia. CERT Colombia mantiene comunicacion constante con organizaciones internaciones que trabajan en el sector de seguridad informatica ellos advierten al CERT Colombia sobre cualquier tipo malicioso que puede estar alojado dentro de sus redes. En conclusion, CERT colombia es un punto de contacto nacional, mediante el cual la comunidad nacional e internacional pueden comunicarse con las mas grandes empresas proveedoras de internet en Colombia, con el objetico de gestionar una pronta y eficiente atencion a los incidentes de la seguridad informatica que involucren redes y/o servicios Colombianos.
El CERT Colombia se encuentra patrocinado directamente por el NAP Colombia y sus afiliados, quienes conforman el grupo de las empresas provedoras de internet mas grande de Colombia. Debido al compromiso de sus integrantes con esta l
abor, el CERT Colombiano ha podido desarrollar importantes actividades en contra del ciber delito que han arrojado resultados muy satisfactorios. En la siguiente imagen se muestra las empresas afiliadas a CERT Colombia



OTRAS ENTIDADES:

ISC2:
Es un organismo internacional fundando en 1996 que lleva a cabo certificados de sistemas de seguridad; pensado para profesionales en seguridad. Provee nuevas herramientas para realizar acciones de proteccion en las empresas, brinda capacitaciones en seguridad informatica a profesionales de ambito tecnologico. De este modo se distingue las clases CSSCP que engloba a administradores de sistemas y redes y CISSP que comprende a diseñadores de politics y procesos de seguridad.

CISSP: Certified Information Systems Security Profesionals- Certificado para Prefesionales en Sistemas de Seguridad de Informacion: Certificacion acreditidad internacionamente, mas reconocifo a nivel mundial y es avalado por la ISC2, diseñada con el fin de reconocer una maestria de conocimiento y esperiencia en seguridad de la informacion con una etica comprobada en el desarrollo de la profesion.

SANS: Proporciona un conjunto de cusros que ayuda a dominar los pasos practicos necesarios para defender los sistemas y las redes contra las amenazas mas peligrosas, aquellas que estan siendo activamente explotadas. Los cursos desarrollados con el consenso de los cientos de administradores, responsables de la seguridad y otros profesionales,tratan tanto los fundamentos como los detalles tecnicos de las areas mas criticas de la seguridad de la informacion. Sus principales objetivos:
  • Reune informacion sobre seguridad informatica (S.O, router, firewall, etc)
  • Ofrece capacitacion y certificacion en la seguridad informatica.
GLOSARIO:
  • SGSI: SGSI es la abreviatura comunmente utilizada para referirse a un Sistema de Gestión de la Seguridad de la Informacion.Por información se entiende toda aquella documentación en poder de una organización e independientemente de la forma en que se guarde o transmita.Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

    • Plan (planificar): establecer el SGSI.

    • Do (hacer): implementar y utilizar el SGSI.

    • Check (verificar): monitorizar y revisar el SGSI.

    • Act (actuar): mantener y mejorar el SGSI.


  • ISMS: Information Security Management System
  • SASI: Sistema de Administracion de Seguridad de la Informacion
  • IEC:Comision Electronica Internacion junto con la ISO forman el sistema especializado para la estadarizacion mundial
  • NAP COLOMBIA: tien como mision lograr que todos lo ISP del pais intercambien su trafico local de manera directa .