Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian estos documentos son el correo electrónico y el servicio de FTP.

1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail. a) Analiza la idoneidad de esta vía para intercambiar información confidencial.

No es seguro ya que son plataformas de Internet y habría que utilizar un navegador para acceder a ellos, además de que el tráfico de contenido no es lo suficientemente seguro.

b) Investiga alternativas a esta solución. Otra alternativa sería añadir un encriptado SSH para poder convertirlo a de FTP a SFTP para hacerlo más seguro. O incluso instalar en nuestro equipo Outlook, ya que permite recibir y enviar correos sin necesidad de acceder a través del navegador.

2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la empresa tienen equipos ejecutándose tanto en Windows como en Linux.

Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con esta aplicación. Para ello:

a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.

b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia una captura de tráfico. Conéctate al servidor para realizar la transferencia de un fichero de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña de acceso al servidor FTP y algunos paquetes del contenido.

Analiza una primera solución para garantizar la seguridad del intercambio de ficheros, realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:

a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico en Linux) necesarios para cifrar el fichero que se va a transmitir vía FTP (no es necesario realizar todo el caso práctico). Instalamos la herramienta gpg con el comando que se muestra en la Ilustración 1, además de elegir el tipo de clave que queremos.

Ilustración 1

Elegimos el tamaño de la clave del algoritmo tal y como se muestra en la Ilustración 2

Ilustración 2

Ahora, elegimos el periodo de validez de la contraseña tal y como se muestra en la Ilustración 3

Ilustración 3

A continuación nos pedirá nuestros datos para poder identificar la clave. Tal y como se muestra en la Ilustración 4

Ilustración 4

Nos pedirá la clave para cifrar el contenido del fichero tal y como aparece en la Ilustración 5.

Ilustración 5

Nos preguntará si queremos cambiar el nombre, el comentario, la dirección o si queremos seguir con el proceso o cancelarlo como aparece en la Ilustración 6.

Ilustración 6

Una vez terminado el proceso, tendremos nuestra clave creada. Véase la Ilustración 7.

Ilustración 7

Hacemos ls –l gnupg tal y como aparece en la Ilustración 8 y veremos varios archivos. Uno de ellos se ha creado por la clave que es el fichero pubring.gpg que contiene las claves públicas y el documento secring.gpg contiene las privadas (ambos ficheros están cifrados) Utilizaremos el comando de la Ilustración 9 que nos mostrará los contenidos imprimibles del fichero.

Ilustración 8

Ilustración 9

A continuación, utilizaremos el comando que aparece en la Ilustración 10 para obtener la lista de claves.

Ilustración 10

Ahora exportaremos la clave pública a quién quiera mandarnos un mensaje cifrado. Para ello la sacaremos del llavero con el comando que se muestra en la Ilustración 11.

Ilustración 11

b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al servidor FTP? ¿Y los paquetes de contenido?

3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.

4. Has conseguido que la información se intercambie de forma segura entre cliente y servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se descarguen un fichero, puedan acceder a la información del mismo, es necesario que puedan desencriptarlo. Piensa cómo podrías hacer que solo los usuarios de la empresa (o los que sean de confianza) puedan acceder al contenido de ficheros encriptados en el servidor FTP.

Nuevamente te llama tu jefe. Parece que está nervioso y muy inquieto. Te explica que alguien está tratando de chantajearle con publicar fotos indiscretas de su cuenta de Apple. Cree que han accedido a su cuenta contestando a las preguntas de seguridad que plantea Apple cuando se te ha olvidado la contraseña. Las preguntas son las siguientes:

5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema de recuperación de contraseña mostrado. Para ello haz uso de la información que aparece sobre él en las redes sociales. Utiliza también herramientas de obtención de información “oculta” (metadatos), como Foca Free o GeoSetter.

Su sistema de seguridad es vulnerable debido a sus perfiles de las redes sociales como son Twitter y Facebook, empezaremos por analizar las posibles vulnerabilidades a través de su perfil de Twitter y acto seguido Facebook:

Twitter: A través de su twitter podemos ver 2 informaciones que resaltan:

Ilustración 12

Ilustración 13

En la Ilustración 12 podemos observar una de las dos vulnerabilidades en su sistema de seguridad, ya que una de las posibles preguntas de seguridad pueda ser: ¿Qué haces por las mañanas? O ¿Qué desayunas todos los días? Además de saber desde dónde se hizo ese tweet.

En la Ilustración 13, podemos ver un archivo subido a dropbox, es una foto de su gato. Ya de por sí, dice el nombre en el tweet, normalmente las preguntas de seguridad suelen ser: ¿Cuál es tu mascota favorita? ¿Cuál es el nombre de tu mascota? Además de eso, a través de los metadatos se puede conseguir dónde, cuándo y con qué cámara se ha sacado esa foto.

Facebook:

Ilustración 14

En esta red social sólo aparece su equipo favorito, es otra de las posibles vulnerabilidades en su sistema de seguridad, dado que una de las preguntas de seguridad puede ser: ¿Cuál es tu equipo favorito?

A través de la herramienta GeoSetter, he conseguido averiguar uno de los metadatos ocultos. Y es la localización (Berlín).

6. Explícale también cómo eliminar los metadatos de un archivo.

Para eliminar los metadatos de un archivo, sólo tendremos que dar con el archivo del que queremos eliminarlos, botón derecho, propiedades (Ilustración 15). En la pestaña de detalles, hacemos clic en quitar propiedades e información profesional (Ilustración 16). Seleccionamos la opción quitar las siguientes propiedades de este archivo, elegimos las que queremos quitar y hacemos clic en aceptar (Ilustración 17).

Ilustración 15

Ilustración 16

Ilustración 17