Curso Seguridad Informatica 2/2

Curso Seguridad Informatica (desde el 1º-4to capitulo) (2/2)


Seguridad Informatica. Capitulo Cuatro (Seguridad Fisica, Controles de Acceso y Seguridad Biométrica Parte 1) 

############################################################# 
[-] Prologo Seguridad Fisica. 
[-] Reglas a tener en cuenta sobre la Seguridad Fisica y Ambiental. 
[-] Amenazas que puedan afectar a nuestros equipos. 
[-] Seguridad Fisica Perimetral. 
[-] Seguridad Perimetral: Dispositivos de Monitoreo. 
[-] [Controles de Acceso] Concepto. 
[-] ··· Fin de la primera parte ··· 
############################################################# 

# Prólogo de Seguridad Fisica 
Este capitulo va a tratar temas que respectan a la Seguridad Fisica de una Empresa, y a los tipos de Dispositivos Biometricos, que estan relacionados con el Control de Acceso, que con un fin u otro el objetivo es aplicar seguridad y restricciones a nuestros datos, ya sea de forma digital o fisica. 

Durante el curso, nuestro Administrador novato aprendio a tener conceptos de seguridad, conceptos para intentar aplicar la seguridad a la informacion, al mundo virtual, a mantener siempre la triada de Confidencialidad, Integridad y Disponibilidad de la informacion, hemos podido enseñarle a desarrollar redes seguras, lo ayudamos a que implemente distintos tipos de firewall en diferentes ocaciones... y ahora vamos a intentar salir de esa red virtual y tratar de proteger en capas (esto nunca olvidarse) el exterior fisico que rodea nuestra valiosa informacion virtual. 

Un administrador de sistemas tiene que lograr ser lo mas paranoico posible "Mi empresa esta premiada como la mejor administrada en lo que respecta a seguridad en internet, ningun hacker nos puede hacer daño, somos inmune externamente (?) pero que pasaria si hay un infiltrado dentro de la empresa?, que pasaria si por causas indeterminadas se prende fuego todo un piso donde tenemos nuestro mainframe que es utilizado para hacer transacciones bancarias" al demonio nuestra confianza con los clientes, al demonio toda relacion con nuestros superiores y nuestra credibilidad frente a problemas reales se extingue. 

La seguridad fisica es uno de los puntos mas olvidados a la hora de diseñar un sistema informatico, como ya dije se dedican mas a ver cuantas vulnerabilidades puede tener y en gastar plata y plata en consultores, y no se dedican a emplear una seguridad equilibrada tanto virtual como externa. 
De nada sirve gastar miles y miles en consultores, analistas y criptologos, si tenemos un intruso enfrente nuestro y no tomamos contramedidas de control. 

# Reglas a tener en cuenta sobre la Seguridad Fisica 

Estas reglas "recomendativas" son tanto para una persona como nuestro Admin novato que va a administrar una determinada red (y queda a cargo de esta con permisos de sus jefes para aplicar modificaciones tanto internamente en las pcs como fisicamente haciendo que la seguridad de esta sea mas eficiente), o tambien para un ejecutivo que intenta crear una empresa pequeña, mediana o grande. 

· Lo mas conveniente al momento de instalar nuestro datacenter/mainframe o sucursal es ubicarnos en un lugar geografico con ventajas comerciales, serviciales y urbanas. Es decir, es conveniente para nosotros y para nuestros empleados que el datacenter este ubicado en un lugar urbanizado, con suficientes locales de recursos a mano, con servicios estatales tanto para un caso de incidente como vias de flujo para que nuestros empleados lleguen de una forma eficaz a trabajar. 

· Regla principal y que nunca tenemos que olvidarnos: "ASEGURAR LA VIDA HUMANA ANTE TODO" 

· Proteger tanto la informacion vital que posea la empresa como las instalaciones que permiten que nuestro datacenter y red funcionen en condiciones. 

· Una regla a tener en cuenta para no tener problemas, y mas si nuestra empresa es grande (y aunque no lo sea tambien) y llama la atencion del publico es que deberemos RESPETAR EL MEDIO AMBIENTE, Y PROTEGERLO. 

· Reglas basicas sobre la Seguridad Ambiental que debemos implementar entre otras son: 
- Protecciones electricas, de agua y gas. 
- Instalaciones de Aire Acondicionado y Sistemas de Refrigeracion y ventlicacion fluida. 
- Proteccion ante Incendios y metodos eficaces de Evacuacion guiados. 
- Sistemas de Deteccion en casos de accidentes ambientales, como fuego por ejemplo. 
- Personal de Seguridad y Sistemas de Monitoreo. 

Estas son reglas basicas que toda empresa mediana y dependiendo lo complejo que sea el establecimiento deberian cumplir. Penosamente (no involucro otros paises, pero si el mio) en la mayoria de situaciones simplemente estas cosas se dejan de lado, y muchas de las reglas no se cumplen arriesgando de forma directa al personal, a los datos, a la seguridad general. 

# Amenazas que puedan afectar a nuestros equipos 

Es algo logico pensar que estamos en un riesgo continuo de que pasen cosas. 
Desde que salimos a la calle, al cruzar una calle una avenida, a que nos roben, nos lastimen, nos caigamos, los riesgos dependiendo el ambiente pueden ser varios y diferentes, pero nunca buenos. 
Como ya hable en el primer paper nuestro Admin nunca podra eliminar todos los riesgos, porque de hecho la seguridad no trata de eso, sino que trata de prevenir futuros riesgos.. 
Uno pone un agente de seguridad en la puerta de su casa para intimidar a ladrones y bajar el riesgo de que nos roben, pero no significa que la seguridad este al 100% y estemos seguros que nunca nos robaran. Nada es imposible y mas a esta altura de la vida... 

Lo que si se puede hacer es como siempre dije, implementar capas de seguridad para que el riesgo sea lo menor posible. Si a nuestra casa le ponemos alarma antirrobo, tres agentes en falta de uno en la puerta, sistema de camaras, etc. El riesgo efectivamente estaria bajando en un gran porcentaje. Y la seguridad estaria aumentando. 

Bien en una empresa dedicada a la tecnologia, a sistemas informaticos, o cualquier empresa inclusive lo mas valioso que generalmente se tiene que proteger es la INFORMACION. 
Y como buen admin que somos sabemos que la triada Confidencialidad , Integridad y Disponibilidad no debe faltar. Por eso debemos preparanos antes posibles amenazas. 
Para bajar el riesgo y subir al maximo la seguridad. 

Tenemos varias Amenazas y quizas no sean las unicas expresadas en este paper, pero si las mas comunes e importantes a tener en cuenta: 

--> Daños Fisicos en nuestros sistemas informaticos. 
--> Intrusos fisicos que pueden permitir al robo de nuestros datos vitales. 
--> Inestabilidad en el sistema, ya sea por corte de luz, amenazas ambientales,etc. 
--> Empleados poco capacitados, para resolver un determinado problema mediante decisiones propias, 
--> Empleados ignorantes a determinados temas, dejandose llevar mediante la ingenieria social de terceros con malas intenciones. 

A estas amenazas se acoplan otras que pueden ser catalogadas como Humanas, Naturales o Casuales: 

# HUMANAS 
--> Sabotaje o Vandalismo. 
--> Errores o equivocaciones propias. 
--> Ingenieria Social. 

# NATURALES 
--> Fuertes Vientos como Huracanes o Tornados. 
--> Tormentas con descargas Electricas 
--> Terremotos 
--> Inundaciones 

# CASUALES 
--> Fuego 
--> Corte de Luz que impida con la ejecucion de servicios escenciales. 
--> Liquidos Quimicos altamente destructivos 
--> Cortocicuitos que produzcan descargas electricas y 
posteriormente fuego. 

# Seguridad Perimetral 
Este es un apartado a tener en cuenta que quiero hacer. Si bien nosotros como profesionales o futuros administradores de un sistema, pocas veces necesitemos encargarnos de lo que respecta a la seguridad en una empresa en general, es bueno tener conocimientos y saber que nos pueden pedir recomendaciones o planificaciones de como llegar a tener determinado servidores protegidos. 
Como siempre aclaré la mejor forma tanto en la vida cotidiana en general como en la informatica, 
es aplicar la seguridad mediante capas, asi disminuiremos el riesgo y prevenimos con mayor seguridad malos imprevistos. 

En lo que respecta a perimetro lo primero que hay que tener en claro es el tipo de material que va a formar la estructura de nuestro datacenter, tenemos que tener en cuenta el TECHO, las PAREDES y el PISO logicamente no vamos a poner pisos o paredes que tengan alta conductividad de electricidad. O techos y paredes altamente combustibles para que a la primer amenaza de fuego que haya se prenda todo en 2 minutos. 
Otro punto que tenemos que tener en cuenta es si hacemos el techo bajo, ante algun tipo de incendio es mas probable que el oxigeno se agote mas rapido, ahora si lo hacemos mas alto, tendremos unos minutos mas de ventaja en el cual el humo sube y podemos salir sin ahogarnos en pocos segundos. 

Es bueno agregar como complemento de seguridad, REJAS, permiten una detencion de un intruso casual que andaba por ahi, ya que la mayoria no se animaria a trepar porque facilmente cualquiera podria darse cuenta que si una persona esta trepando una reja es por que algo no anda bien, porque trepar si podria estar entrando caminando?. 

* PUERTAS: Las puertas tienen que estar eficazmente instaladas. Si tenemos una puerta en un lugar de constante acceso y poco restringido, no es necesario que estas sean abiertas mediante identificacion, o cerradura, sino podrian ser giratorias de esta forma entrarian y saldrian rapidamente agilizando el paso. 
Las puertas en general tendrian que estar diseñadas para una correcta combustibilidad, resistencia a fuerza brusca, reforzar el tipo de bisagras y cerradura dependiendo al acceso que se tenga mediante esta, etc. 
Una buena implementacion son las Mantraps, que son dos puertas que estan ubicadas entre un pasillo, y solamente se puede abrir una a la vez, lo que significa que al pasar por la primer puerta solamente se abrira la segunda si esta primera se cierra. O viceversa en caso de que la segunda puerta este abierta la primera no se abrira. 
Este sistema es importante y muy implementado en pasillos que transmiten a accesos restringidos o de valiosa informacion u operabilidad. 

* VENTANAS: Podemos tener diferentes tipos de ventanas para que ayuden a nuestros empleados a trabajar de una manera mas eficaz. Si estan en un lugar con constante ruido o luz solar, podemos aplicar protecciones contra estas, tambien para viento o radiaciones. 
Existen tipos de vidrios para estas cosas como el laminado, mallado, con sensores, etc etc. 


* ENERGIA ELECTRICA: Es algo fundamental por no decir el corazon de todo tipo de accion dentro de una empresa, sin esta no habria ningun datacenter funcionando, ni luz, ni nada que imaginemos. Entonces es necesario la correcta verificacion y comprobacion de que los sistemas electricos funcionan y ademas de que se puede prevenir ante algun tipo de accidente. 

* Algo a tener en cuenta son las dos importantes interferencias, la Electromagnetica y la Radio Frecuencia. 
Deberemos controlar de forma correcta todo tipo de acceso a Paneles que distribuyen la electricidad, transformadores y todo tipo de cableado electrico. 
Deberemos tener en cuenta el tipo de voltaje que manejamos para evitar cortes o quemaduras en nuestro hardware, la grabacion del voltaje nos permitiria en caso de que pase algo y se nos queme gran cantidad de hardware, de saber si la empresa encargada de brindar el servicio nos dio mayor cantidad de la predestinada. 
Indispensable tener en toda empresa una fuente de alimentacion alternativa, un UPS (Uninterruptible Power Supply) 
Siempre pensando que si nuestro datacenter es grande, tener suficiente backup de electricidad para mover todo tipo de sistemas como telefonicos, de aire acondicionado para la correcta resfrigeracion del enorme hardware, a esto sumarle computadores y demas servidores, y una correcta iluminacion, entre otras cosas. 
Vean lo estructurado y complejo que tiene que ser todo para que funcione en buen estado. 


* AGUA: Es algo letal para nuestro hardware, conductora de la electricidad en definitiva sin un buen mantenimiento podria destrozar nuestra empresa. 
Es necesario proteger efectivamente el lugar contra todo tipo de agua que caiga, las tipicas goteras de las tuberias, recubrir con proteccion los caños mas criticos, instalar sistemas de deteccion de humedad. 
La humedad nos trae varios factores de riesgos uno podria ser la conocida electricidad estatica, y otro riesgo a conexiones electricas. 

# Seguridad Perimetral: Dispositivos de Monitoreo 
Dependiendo el nivel de la empresa, y logicamente el presupuesto que esta puede afrontar, y cuan valiosa puede ser la data que manejemos en la entidad, implementaremos a partir de ello determinados controles. 

Algunos ejemplos de estos pueden ser: 

* Sistemas de deteccion de intrusos. 
* Deteccion de sonidos o vibraciones. 
* Deteccion mediante sistemas de infrarrojos/laser. 

Bien la empresa esta armada... disponemos de un lugar seguro, con algunos guardias que vigilan en un perimetro determinado de la empresa. Vigilan las entradas principales, donde el acceso de personas (si es una empresa nivel medio-alto) va a ser constante tanto en las entradas como salidas. 

Para empezar algo que no puede faltar para que nuestro grupo de seguridad pueda prevenir y tener un mayor control sobre toda esa multitud de personal que entra y sale de acá para allá, es el monitoreo mediante "Camaras". 

Mediante las camaras (como en la foto en este caso es una wireless cam), nos permitimos tener un control de Movimiento, de Monitoreo, y tambien permite Grabacion, algo totalmente importante, en caso de que pase algo y tengamos que volver cinta atras para hacer un reconocimiento del origen del problema. (hay que aclarar tambien, que el hecho de grabar, requiere invertir en mayor capacidad de almacenamiento para los videos que logicamente tendrian que archivarse por determinada cantidad de dias/meses/inclusive años.) 

Mediante el uso de Camaras se puede crear lo que se llama "CCTV" traducido seria un Circuito Cerrado de TeleVision. Permite al igual que las camaras, tener un control en vivo de Deteccion, Reconocimiento, e Identificacion de personas determinadas. 
Como la palabra lo dice es un circuito, osea un conjunto de camaras ubicadas en puntos claves de toda la empresa, estacionamiento, exterior, etc. Donde cada camara independiente, envia su señal por un cable coaxial y esta es recibida mediante un Multiplexor el cual muestra en el monitor, y si permite grabacion puede hacerlo mediante un VCR por ejemplo. 

# Deteccion de Intrusos mediante presencia de RUIDOS/LUZ. 
A medida que avanza la tecnologia se facilita cada vez mas las cosas que antes parecian imposible, o muy costosas. 
Como ya dije podriamos implementar sistemas tanto de video como de sonidos pero dependiendo el presupuesto del que contemos instalaremos una determinada prevencion. 

Si disponemos de una zona la cual es totalmente restringida o que durante la noche nadie deberia tener acceso a un servidor, podriamos instalar un sistema de deteccion de intrusos pero con presencia de ruidos. 

Es algo mas economico y sencillo. Un ejemplo seria el de crear un sistema de deteccion que nos avise mediante un mail por ejemplo a un determinado administrador, o al personal de seguridad nocturno, cualquier tipo de anomalia que pueda ocurrir en aquel servidor. 
Esto permite tambien que podramos saber que pasa desde una PDA, una laptop, desde un cyber o desde cualquier acceso a internet, solo con chequear el mail. 
Generalmente para esto se usa un microcontrolador Basic Stamp, unos sensores de Luz, y una simple computadora conectada a Internet. 

El funcionamiento para que quede mas en claro seria colocar unos sensores que enviaran informacion al Basic Stamp, este interpreta la informacion y la envia a la computadora en caso de alguna anomalia, la cual esta nos avisara mediante un log via mail. 
De esta forma con un sistema sencillo y sin gastar mucha plata podremos detectar cuando en nuestra oficina aislada con servidores dedicados se ha abierto una puerta, o cuando se ha encendido una luz, cuando realmente nada de eso deberia haber sucedido. 

NOTA: Algo que hay que aclarar es que este sistema basico de deteccion y poco economico, debe implementarse en lugares tanto hogareños como oficinas donde realmente este aislada o bien donde estemos totalmente seguros que durante la noche o dia, nadie deberia acceder a esa habitacion a menos que nos avisen previamente. 
Es un sistema bastante efectivo. Y detectivo.... 

# Controles de Acceso - Concepto 

Bueno ahora se pone mas entretenido este capitulo, vamos a adentrarnos en todo lo que tiene que ver sobre los diferentes tipos de controles que existen, desde un simple password a un control biometrico. 
Primero vamos a dar un concepto sencillo de que es para nosotros como "Administrador de Seguridad Informatica" esto de Controles de Acceso. 

* CONTROL DE ACCESO: 
Es considerada como la Habilidad en la que se puede permitir o denegar acceso a un determinado recurso en una determinada entidad (notece, como oficina, empresa, datacenter, algun lugar mediante el cual brinde servicios requeridos por usuarios). 

Por ejemplo estos dispositivos se usan para proteger recursos fisicos como puede ser el acceso a donde esta instalado el Mainframe, puede protegerse tambien recursos digitales como un determinado archivo el cual solo tiene derecho de ser leido y no posee permisos para escribirse, sino que hay que respetar la integridad de tal. 
A lo largo de este paper vamos a ir detallando los diferentes tipos de Controles de Acceso. 
Tanto Fisicos como digitales por eso será largo este tema... 

Seguridad Informatica. 
Capitulo Cuatro (Controles de Acceso y Seguridad Biométrica Parte 2) 

"Solo hay dos cosas infinitas: el universo y la estupidez humana. 
Y no estoy tan seguro de la primera." 
- Albert Einstein. 

############################################################# 
[-] Prólogo. 
[-] Accediendo al Sistema. ( Conceptos e Identificadores ) 
[-] Lo que uno puede SABER: Password. 
[-] Lo que uno puede POSEER: Tokens & Tarjetas (Proximidad, Magneticas, CHIP, RFID) 
[-] (Apartado) RFID & Polemica por tal. 
############################################################# 

# Prólogo 
Bien llegamos a la segunda parte ya, de este cuarto capitulo. Intentare hablar un poco de lo que respecta a controles de acceso y algunos dispostivos biometricos usados actualmente. 
Y como siempre, gracias por seguir estos papers, y por enviar buenas criticas de tales. 

Para repasar y refrescar memoria voy a volver a dar el concepto de que es un control de acceso y arrancaremos con esta segunda parte desde ahi. 

* CONTROL DE ACCESO: 
Es considerada como la Habilidad en la que se puede permitir o denegar acceso a un determinado recurso en una determinada entidad (notece, como oficina, empresa, datacenter, algun lugar mediante el cual brinde servicios requeridos por usuarios). 

# Accediendo al Sistema 
Cada acceso a un sistema ya sea windows, linux, mac, etc. Depende de al menos una persona la cual llamaremos en este caso Administrador. La funcion de este es realizar un mantenimiento rutinario y administrar a los usuarios que contiene ese sistema, que pueden ser varios. 
El administrador prepara una presentacion al sistema el cual esta basado en un simple "control de acceso" cada vez que un usuario nuevo requiere un lugar en el sistema. Esto se puede aplicar a todo tipo de sistema. Desde un sistema de E-Mails, como "jotmeil - GMail - Yahoo!" a un acceso mediante FTP. 

El Acceso a un sistema tiene tres pasos fundamentales: 

* Identificacion 
* Autenticacion 
* Autorizacion 

Y las formas mediante las cuales nos podemos identificar tambien son tres: 

* Lo que una persona puede SABER 
* Lo que una persona puede POSEER 
* Lo que una persona puede SER 

Bien creo que es bastante claro no?. Por las dudas aclaro. Una persona antes de ingresar a una sala privada por ejemplo se tiene que IDENTIFICAR con el guardia. Dicho guardia Autentifica la identidad de esta persona y le da AUTORIZACION, en caso de que no la tenga lo rechaza e impide el paso. 

La identificacion en una persona se puede expresar de tres formas diferentes, mediante lo que uno sabe, cuando se intenta identificar en un Sistema Operativo Windows por ejemplo con una determinada contraseña, lo que uno posee, cuando lleva encima un token, o tarjetas inteligentes que al pasar autogestionan todo y se identifica la persona con su tarjeta personal o lo que uno puede ser respecto a un sistema biometrico como puede ser un identificador dactilar, o mediante iris, el cual realiza un chequeo de determinados patrones para identificar con su base de datos quien es la persona a autentificar. 

Vamos a dar ejemplos de los tipos de identificadores que puede saber, tener y ser una persona. 

# Lo que una persona puede SABER: 
- Contraseñas o Passwords 
- Passphrase 
- PIN's 

# Lo que una persona puede POSEER: 
- Llaves a determinados lugares 
- Tokens 
- Tarjetas de Acceso o Smart Cards 

# Lo que una persona puede SER: 
- Identificacion mediante Sistemas Biometricos 

A continuacion voy a explicar y basarme en algunos ejemplos de las diferentes categoria de identificadores. 

# Lo que uno puede Saber: Passwords 

Los passwords o contraseñas son una forma de autenticacion en un sistema para poder controlar dicho acceso a un recurso brindado. 
El passwords es el sistema de autenticacion mas basico y mas barato a la hora de implementarlo. 
Tambien hay que declarar que es el sistema mas "vulnerable a los ataques" y que este mecanismo es usado junto a otros complemenos de autenticacion. 

A la hora de Implementar este sistema en una entidad es necesario poder cubrir o cumplir determinadas pautas de administracion para el personal: 

* Que la contraseña que se tipea cuando se esta accediendo no sea mostrada 
* Que a un determinado tiempo la contraseña tenga que ser renovada y cambiada 
* Que cumpla con una determinada politica de seguridad, que la longitud sea maor a 8 letras e incluso que sea alfanumerica. 
* Que el sistema mismo pueda determinar contraseñas para determinados usuarios asi se evita la revelacion de esta mediante deducciones de tercero hacia esa persona o ingenieria social. 
* Comprobar que la clave nueva otorgada o modificada por el usuario no sea de igual caracteristica que la anterior y que no contenga el nombre de usuario ya que seria altamente insegura. 

Tambien se debera informar a todo usuario que tenga acceso al sistema, datos de su ultimo logeo, desde que IP o Computadora se realizo, los ultimos 5 errores fallidos con sus respectivas fechas y horarios. Esto es fundamental ya que se podra llevar un control, o prevenir futuros hackeos al sistema debido al nivel de alerta entre los usuarios. 

# Ataques destinados al mecanismo Password 
Estos pueden ser variados, pero entre los mas importantes resaltaremos: 

# Por Fuerza bruta 
# Por Diccionario 
# Por Sniffing (Capturacion de Datos) 
# Por Ingenieria Social 
# Por Sistemas de Login Falsos o comunmente conocidos como Fake 
# Por el simple hecho de espiarnos cuando escribimos el Password. 

# La psicología de los usuarios aplicada a los Passwords. 
Que queremos decir con esto de la psicologia?, bien hay muchas estadisticas e informes hechos en varias empresas que determinan que la mayoria de los usuarios en un casi 50% utiliza passwords debiles y ademas es posible aplicar ingenieria social con exito a esos usuarios. 

// Recomendacion: Es recomendable que a la hora de ingresar un password, sea complejo. 
Mezclar caracteres, ya sea numeros, espacios, letras, simbolos. Es el mejor enemigo del Brute Force (fuerza bruta), por ejemplo, en el mecanismo AES-256 el crecimiento es exponencial, es decir, si tenemos un password de una longitud de 5 caracteres un tiempo estimado para crackearlo dependiendo de un procesador aprox de 2ghz y el diccionario usado es en minuscula es de 1hora y 40minutos en caso de ser con mayusculas, y numeros incluidos seria de 6 Horas! 

Fijense como cambio notablemente de 1 hora a 6h. Por eso es tan importante ingresar un password complejo. Con una buena longitud de 10 a 15 caracteres y buen algoritmo como es AES imaginense cuanto tardarian en desencriptar dicho password. // 

# Lo que uno puede Poseer: Tokens & Tarjetas 

# TOKENS 
Un token es un dispositivo electronico que sirve para que personas como nosotras que estemos autorizadas a un determinado servicio o recurso nos permita facilitar el proceso de autenticacion al sistema. Estos permiten almacenar claves criptografias como podria ser una firma digital por ejemplo. 

Los tokens son facilmente portables, son similares a un "pendrive" lo que permite llevarlo en cualquier bolsillo, o incluso en un llavero como en la imagen que es lo ideal. 
Entre los tipos de Tokens tenemos los Sincronicos que se basan en determinado tiempo o por un contador y los Asincronicos que trabajan de forma "desafio-respuesta". 

# TARJETAS 
Existen varias tarjetas que permiten la autenticacion a un sistema. 
Voy a tratar comentar algunas pero sin entrar en muchos detalles para que no sea extremadamente largo. 

* Tarjetas de Acercamiento o Proximidad 
* Tarjetas de CHIP (inteligentes o no) 
* Tarjetas Magneticas 
* Tarjetas RFID 

# TARJETAS DE PROXIMIDAD 
Estas tarjetas tienen un gran alcance de lectura hacia los lectores que esperan la señal. 
Este sistema usa un protocolo llamado "Wiegand" este protocolo bastante interesante de la sociedad "SEC" -sensor engineering company-, permite transmitir datos entre dos dispositivos que esten alejados entre si. 

Entonces ya sabran como es posible la comunicacion de estas Tarjetas de Proximidad, estas tarjetas estan formadas por un circuito integrado y un circuito de bobina y capacitor en serie. 
El lector carga la bobina mediante un campo magnetico y este genera energia al capacitor, luego este carga a la bobina y esta carga el integrado, el integrado transmite la informacion a un lector que espera la señal via la bobina. 

La lectura puede ser a una distancia maxima de 1,5 metros y una frecuencia de 13.56 MHz. 

# TARJETAS DE CHIP 


Existen dos tipos de tarjetas chip, inteligentes que son con procesamiento y sin procesamiento que son de memoria. 
Las tarjetas con procesamiento: Trabajan a 13,56 mhz, tienen la funcion de guardar claves, algoritmos de cifrados, informacion vital y confidencial, entre otras cosas. 
Las tarjetas sin procesamiento: De baja frecuencia 125 kHz y son usadas para el almacenamiento de datos y no tienen ningun tipo de capacidad de proceso. 

# TARJETAS MAGNETICAS 

Estas tarjetas conocidas comunmente y usada por sistemas bancarios como "visa, mastercard, american express" etc, estan compuestas por particulas ferromagneticas que estan incrustadas en una matriz de resina. 
Se almacena informacion con una codificacion que polariza estas particulas. 
La infromacion es organizada en diferentes tipos de pista de 1 a 3, generalmente se codifican en pista 2, su uso mas extendido es en empresas publicas y privadas y esta pensada para un CONTROL de PRESENCIA y de ACCESO. 

# TARJETAS RFID -Radio Frequency Identification- 
Como el nombre lo dice estas tarjetas de Identificacion por Radiofrecuencia, tienen un sistema de almacenamiento y lectura remoto. Todo sistema RFID esta compuesto de un sistema base que lee y escribe datos en los dispositivos y un transmisor que responde al interrogador.. 
Basicamente y resumido (no soy un gran ingeniero electronico y mucho menos estudie en una tecnica pero bueno) funcionaria asi: 

- El interrogador genera un campo de radiofrecuencia, junto a una bobina de alta frecuencia. 
- El campo de radiofrecuencia que dije genera una corriente electrica sobre dicha bobina de recepcion, esta corriente alimenta al circuito. 
- Cuando la alimentacion es suficiente el circuito transmite los datos. 
- Y el interrogrador detecta los datos transmitidos por el circuito como una perturbacion del mismo nivel de la señal. 

# (Apartado) RFID & Polemica por tal 
Es muy "piola" esto del RFID, podria ayudar a evolucionar y a permitir una sencillez mayor en muchas de las actividades cotidianas, por ejemplo una de las aplicaciones con mas futuro son las etiquetas identificadoras, las cuales en el futuro reemplazaran a las conocidas etiquetas de Codigos de Barra, mediante este mecanismo. 

Esto podria permitir entre otras cosas identificar envios de cartas en correos, los chips de nuestras queridas mascotas son de este tipo de mecanismo generalmente. 
Algo muy interesante para mi punto de vista seria implementar RFID en las cadenas de los supermercados, de forma que marcaria todos sus productos con etiquetas RFID lo cual permitiria que al llenar el carrito y pasar por un lector/detector (como el de metales) automaticamente nos darian el total de la compra (algo realmente rapido! y genial). Sobre todo para todos aquellos que les molesta formar la gran cola de personas los fines de semana, o en epocas navideñas, de reyes, etc. 

Pero claro todo esto es muy bueno en un mundo de gente "honesta, buena, de cuentos fantasticos", pero ya hay una gran polemica por la privacidad de RFID y no está tan errados estos personajes que conforman este grupo protestante. 

Hace un tiempo se creo un grupo protestante ANTI-RFID, exponiendo como causa principal que la tecnologia RFID puede atentar contra la privacidad de las personas. 
Esto seria algo asi como un "spyware" para nuestra pc pero donde el spyware son las etiquetas RFID y las pcs somos nosotros. Al ir expandiendose con gran escala las etiquetas RFID se esta haciendo cada vez mas facil seguir los habitos de una determinada persona. 

Una persona compradora de un determinado articulo no puede saber de la presencia de esta etiqueta ni eliminarla. Ademas este mecanismo permite como aclare, una lectura a cierta distancia sin autorizacion alguna. 
Otra consecuencia podria ser la de que al pagar sea posible enlazar id's con la identidad de la persona que realiza la compra. 
Y lo que resumiria para globalizar todo esto es que la "EPCGlobal" (la empresa encargada de desarrollar, supervisar la Red de codigo electronico de producto y asignar dichos codigos para estos productos en la cadena de abastecimiento), pretende crear numeros de Serie UNICOS MUNDIALMENTE. 

Se los dejo a su criterio y libre pensamiento.... 

Seguridad Informatica. Capitulo Cuatro (Seguridad Biométrica - Parte 3) 

"No legacy is so rich as honesty" 
-- William Shakespeare. 

Este es el tercer y ultimo paper de este cuarto capitulo 
Si bien se retraso un poco, aqui esta... 
Espero les sea de su agrado. Muchas gracias por las buenas criticas. 
Realmente me asombro los mails que me llegaron y las visitas a una web que 
simplemente tiene papers sin foro ni nada. 


############################################################# 
[-] Introduccion a Sistemas Biometricos. 
[-] Diferentes dipositivos biometricos. 
[-] Ventajas y Desventajas de estos dispositivos biometricos. 
[-] Analizando sistema biometrico de -> HUELLA DACTILAR. 
[-] Analizando sistema biometrico de -> GEOMETRIA DE LA MANO & VENAS. 
[-] Analizando sistema biometrico de -> PATRONES DE IRIS. 
[-] Analizando sistema biometrico de -> RECONOCIMIENTO DE VOZ. 
[-] Analizando sistema biometrico de -> ROSTRO/CARA. 
############################################################# 

# Introduccion a Sistemas Biometricos 
Antes de adentrarnos en el mundo biometrico, tenemos que entender logicamente que son los Sistemas Biometricos, bueno veamos una breve descripcion. 

Los seres humanos poseemos caracteristicas que nos hacen diferenciar de unos y otros. Es lo que nos hace ser unicos, por ejemplo: Las huellas dactilares, la cara, la voz, el iris del ojo, la retina... entre otras cosas, estas son las que se destacan. 

Entonces con grandes caracteristicas como estas porque no aprovecharlas verdad?, en vez de andar pensando una contraseña, llevando tokens, pensando en numeros, PIN, palabras claves y mas cosas... bien.Algo similar se les ocurrio a los cientificos y profesionales electronicos hace ya varios años, en conjunto formaron lo que hoy conocemos como BIOMETRÍA. 
Los Sistemas Biometricos se basan en "identificar o verificar" la identidad de una persona determinada mediante sus caracteristicas anteriormente numeradas, como la voz, la retina, o la mano, etc. 

# Diferentes dispositivos biometricos. 
Personalmente divido en dos grupos a los sistemas biometricos. # Sistemas Fisicos & Sistemas Psicologicos 

SISTEMAS FISICOS: Permiten el analisis y la verificacion en diferentes partes de nuestro cuerpo. 

* Mano: Ya sea Palmar, Digital, o Geometrica. 
* Ojos: Iris & Retina. 
* Cabeza: Cara o Geometria de esta. 
* ADN 
* Olor corporal 

SISTEMAS PSICOLOGICOS: Estos evaluan de una forma "psicologica" tres caracteristicas fundamentales de un ser humano. 

* Mediante la Voz. 
* Mediante la Firma textual. 
* Mediante el tipeo electronico. 

# Ventajas y Desventajas de estos dispositivos biometricos. 
Depende de como miremos estos sistemas biometricos pueden presentar algunas ventajas, aunque tambien pueden presentar varias desventajas. 
Que algo sea moderno, y utilize de la ultima tecnologia disponible por cientificos de otro mundo, no significa que sea seguro.. Siempre va a haber una mente inquieta, hackers que quieran sobrepasar esa barrera del limite, y de la seguridad del sistema. 

Algunas ventajas de estos sistemas biometricos podrian ser las siguientes: 

# VENTAJAS 

· La primer ventaja que podremos observar es que al ser una tecnologia dentro de todo 'moderna', depende como se implemente esta, presenta dificultad ante los intrusos. Ya que son mucho mas dificil de falsificar que una contraseña o un token (aunque despues con un buen analisis revertiremos esto..pero no para todos los casos de identificacion) 

· Otra ventaja es que nos libramos de todo peso de encima, es decir no necesitamos llevar algo encima, o pensar algun tipo de clave, solamente necesitamos nuestro lindo cuerpo, y que el sistema haga su trabajo. 

# DESVENTAJAS 

· Una desventaja podria ser a fecha de hoy, que estos sistemas dependiendo que es lo que busquemos implementar y el rango de seguridad que necesitemos, son demasiados caros. 
Esto se debe a la gran inteligencia artificial que tienen que aplicarse dependiendo lo que busquemos, sin contar la CANTIDAD que necesitemos, si es una empresa de 50 pisos, imaginense simplemente lo que costaria ya que con tantos pisos el personal seria grandisimo, por lo tanto 1 aparato solo en la entrada no nos bastaria.. 

· Otras desventaja podrian ser lo que se conoce como factores o medidas de aceptacion. 
Donde a veces nos traeria un dolor de cabeza debido a que todavia la implementacion no esta calibrada de tal manera y podria darnos algunos factores como: Un FRR -false rejection rate- seria un resultado negativo para un sujeto valido, o un FAR -False Acceptance Rate- que seria lo contrario una aceptacion para un usuario no valido o no registrado en el sistema. 

A continuacion nos meteremos mas en lo que es el corazon de este paper, en analizar algunos de los Sistemas biometricos mas utilizados, o de 'moda', para entender como funcionan. 

# Analizando sistema biometrico de Huella Dactilar. 

Entre todos los dispositivos biometricos que existen, este es el mas viejo de todos. Seguramente donde mas lo hayamos visto es en las peliculas. Donde "pepito" si identifica solamente al ingresar su pulgar, indice o algun dedo de la mano, si este es validado, tiene acceso. 

El proceso de este sistema es muy sencillo de explicar. 
Previamente debemos "Registrar nuestras huellas" para que el sistema posteriormente pueda reconocernos a la hora de ingresar a determinado lugar donde este implementado. 
Este proceso elabora un mapa, en este mapa se encuentran detalles pre-establecidos sobre la huella que tenemos los seres humanos. Veamos estos detalles con algunas imagenes y sus nombres: 

ISLA BIFURCACION FINAL PUNTO LAGO 

Creo que no tendria que decirlo pero por si acaso cada ser humano posee una huella dactilar UNICA. 

- Veamos ahora como se realiza el trazado de estos detalles: 

- Como vemos en la imagen mediante determinados patrones, se localizan los detalles pre-establecidos, sobre la huella dactilar. 
Para darles una vaga idea.. el que no llegue a esta altura a entender como podria implementarse esto, podriamos imaginar en un eje cartesiano.. donde esos redondeles rojos, serian puntos en el eje "X" and "Y" . 

# Analizando sistema biometrico de la Geometria de la Mano & Venas. 
Estos dos dispositivos los pongo juntos ya que se tratan de una misma parte fisica y que aveces se pueden unificar o fusionar el analisis, ojo que no siempre aunque uno calcule la geometria de la mano tiene que realizar la verificacion mediante el plano de lectura de venas. 

- El proceso de la Geometria de la mano es sencillo, se apoya la mano sobre el lector. 
- Este lo que hace es tomar una screen / imagen de la palma y otra lateral, la cual se extraen los patrones de esa mano.
- Esos patrones se transforman en lo que seria el algoritmo matematico.. como bien dijimos en el anterior ejemplo: esos puntos tranquilamente se podrian aplicar a un eje carteciano.. 

NOTA: Una cosa a aclarar es que la geometria de la mano no es algo que sea UNICO, puede darse colisiones con otros seres humanos, es decir puede pasar que en una empresa de 500 empleados 2 tengan el mismo tamaño y geometria de la mano, y esto puede producir varios -FAR- False Acceptance Rate-. 

Mediante analisis de VENAS 
Esta forma es casi similar a la anterior, nada mas que el objetivo es diferente y tiene claro algunos detalles como que utiliza un LED infrarrojo y un elemento CMOS para que se capture la fotografia de las venas, ya sea del dedo o puede ser toda la mano depende como este implementado el mecanismo. Sony hace poco habia lanzado uno, por febrero, donde su tasa de error decian que no pasaba el 0,1% y que no requeria de un gran procesador, sino con el de una pc hogareña bastaba.. Sin dudas es un futuro a plazo medio-largo la identificacion por sistemas biometricos, de las cuales las empresas quieren sacar provecho cuanto antes. 

# Analizando sistema biometrico de los Patrones del IRIS. 
El iris como todos sabemos o imaginamos, es un organo interno del ojo.. ubicado detras de la cornea. Este organo tiene una caracteristica muy importante y es que fisicamente dicho "No existe alteracion genetica en lo que respecta a la expresion del organo mas alla de la forma anatomica, fisiologica, de color y de apariencia". 

Bien con este mini discurso podemos imaginarnos que el iris como vimos tantas veces en las peliculas, brinda algunas ventajas sobre otros sistemas biometricos y variables. Tiene 2 caracteristicas (logicamente mas) pero para mi las 2 mas importantes: 

- Una es que con el pasar del tiempo de vida del ser humano este no se deteriora y pertenece ESTABLE. 
- Y otra es la facilidad en la que se puede llegar a registrar la imagen sin necesidad de tener algun contacto fisico.. aunque muchas personas le teman al hecho de exponer su ojo, y no todos los empleados de las empresas aceptan esto por miedo o ignorancia al dispositivo. 

PROCESO: Cuando el iris de una persona (logicamente no va a ser de un caiman , a menos que este entre y salga de su oficina a diario), se ve afectado y reacciona ante la luz, una vez que el iris se ve afectado, rapidamente algoritmos matematicos son los que hacen el trabajo de analizar cada punto y bordes tanto externos como internamente del iris, para formar un patron. 

Para realizar esta operacion con exito, se emplean lo que se conoce como "demodulacion matematica", las cuales se emplean mediante ondas en 2d de "Gabor". [Referencia Gabor: http://iie.fing.edu.uy/investigacion/grupos/gti/timag/trabajos/2003/huellas/html/node16.html

Una vez que los bordes fueron localizados y se excluyen los papados se realizan funciones matematicas como integro-diferenciales, se definen coordenadas bidimensionales, etc.. 
Asi quedaria el mapa del iris con un codigo arriba a la izquierda generado automaticamente de 256bytes. El cual posteriormente se guardaria en la base de datos...para una mayor velocidad de comparacion de identificacion. 

# Analizando sistema biometrico de Reconocimiento de VOZ. 
El analisis de la vos es algo muy conocido tambien, y es mas barato que implementar otros tipos de 
dispositivos, aunque tambien a esta altura muy "falsificable". 
Su funcionamiento se basa en: 

- La comparacion de distintos parametros de la voz. 

# Analizando sistema biometrico de ROSTROS/CARAS. 
El reconocimiento de rostros o caras, se pueden realizar de dos maneras, esta la parte tradicional, la que simplemente sacamos una foto, e identificamos visualmente a la gente de manera natural. 
Es poco costoso y este sistema de identificacion es bastante bueno, primero que la gente lo toma como algo amigable, estamos acostumbrados a que nos saquen una foto de frente, por lo que es amigable para los empleados y bien recibido socialmente. 

Despues vienen las TECNICAS de reconocimiento de rostro. 
Que claramente aca aplicamos la matematica pura. 

- El reconocimiento se puede realizar mediante una tecnica llamada Elastic Graph Matching -EGM- u otros algoritmos populares como el: eigenface, modelo de Markov, fisherface, neuronales, etc.. 
- Logicamente mediantes funciones matematicas 

En el reconocimiento de la voz se realizan varias cosas, un filtrado anti-aliasing, se detecta el inicio-fin de la señal enviada, hay un pre-enfasis, se realiza una conversion analogica a digital. 
Se divide la señal en cuadros, se comparan parametros finales y se realiza un limite de decision el cual adoptara por calcular la verosimilitud de la voz y definir la decision final, positiva o negativa. 

Reconocimiento facial implementado por BMW 

Algo que esta surgio hace tiempo y esta pisando mas fuerte, es el reconocimiento facial en 3D. 
Utiliza sensores 3d para recibir la informacion sobre la forma de un rostro, la informacion que percibe es utilizada luego para identificar y comparar rasgos distintivos en la superficie de una cara, como los ojos o la nariz. 

Tambien existen similares tecnicas para el reconocimiento mediante la textura de la piel, esta utiliza detalles visuales de la piel, como localizar manchas en una persona, tonos de color de la piel, y demas patrones 

THE END 
############################################### 
Bueno doy por finalizado esta parte del paper... 
Espero que les sirva almenos como introduccion para luego profundizar mas 
en el tema por su cuenta, voy a intentar en el proximo paper. Hacer un estilo de Workshop y 
demostrar como seriaun salto a la seguridad "dactilar" mediante la implementacion de modelos de 
plastico, o de goma. Pero bueno en el proximo paper lo mostrare detalladamente, algo inventare :p. 
Saludos y gracias por las buenas criticas 

Curso Seguridad Informatica 2/2
6 Puntos Score: 2/10
Visitas: 3664 Favoritos: 10
Ver los usuarios que votaron...
2 Comentarios Curso Seguridad Informatica 2/2
+2 para q te animes!!
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!