UNIDAD II APLICACIONES SEGURAS

TRABAJO COLABORATIVO2
CRIPTOGRAFA
233011A
(POSGRADO)












JAVIER DAVID GALVIS RAMON: 88247037
ORLANDO RAFAEL ROENES:
JHONY JOSE GONZALEZ:
BLADIMIR MANJARRES MERCADO: 92259902
ANDRES FERNANDO ZAMBRANO:

233011_12






Ing. JOHN FREDDY QUINTERO











UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
CRIPTOGRAFIA
(POSGRADO)
2014
1. Utilizacin del programa Jhon TheRipper para comprobar la vulnerabilidad de
utilizar contraseas simples.

Los alumnos deben copiar el texto que se muestra a continuacin, el cual es un
archivo llamado shadow.

root:$1$F3JXGnhv$M8nYgSYegFCpGiOmf9BIG.:12500:0:99999:7:::
daemon:*:12500:0:99999:7:::
bin:*:12500:0:99999:7:::
sys:*:12500:0:99999:7:::
sync:*:12500:0:99999:7:::
games:*:12500:0:99999:7:::
man:*:12500:0:99999:7:::
lp:*:12500:0:99999:7:::
mail:*:12500:0:99999:7:::
news:*:12500:0:99999:7:::
uucp:*:12500:0:99999:7:::
proxy:*:12500:0:99999:7:::
postgres:*:12500:0:99999:7:::
www-data:*:12500:0:99999:7:::
backup:*:12500:0:99999:7:::
operator:*:12500:0:99999:7:::
list:*:12500:0:99999:7:::
irc:*:12500:0:99999:7:::
gnats:*:12500:0:99999:7:::
nobody:*:12500:0:99999:7:::
pato:$1$022b6yvG$ltFbbbV.KOHTJRknsDPsA1:12720:0:99999:7:::
identd:!:12500:0:99999:7:::
sshd:!:12500:0:99999:7:::
gdm:!:12675:0:99999:7:::
smg:$1$AK1Ls5yh$av3gwt31Po2XU2.6mGMLE/:12676:0:99999:7:::
mysql:!:12676:0:99999:7:::
hommer:$1$EHRKvsIa$lQhhMtOJ1tcKARTkzqSvi.:12720:0:99999:7:::
bart:$1$WUgBw8bu$qpdxf3QyUPqyoUn7cFQ331:12720:0:99999:7:::
lizza:$1$W/GUtyqD$Iscf47aGKQRGZAQ6kptmh0:12720:0:99999:7:::
magui:$1$fN9X0P3m$.jvMvosYypBBVdfikhU2P0:12720:0:99999:7:::


Archivo shadow

Utilizar el programa John theRipper con el archivo descargado.









Contestar las siguientes preguntas:

a) Cuntas contraseas descubri?
Se descubrieron 4 contraseas de las 7 cargadas.

CUENTA CONTRASEA
magui maguimagui
hommer hommer123
lizza 123456
pato patito


b) Qu caractersticas tienen las cuentas y contraseas descubiertas?
Las contraseas de las cuentas poseen un nivel muy bajo de seguridad,
como por ejemplo:
Estn con letras minsculas.
Algunas solo tienen nmeros.
Algunas utilizan un patrn secuencial (123456).
Tienen relacin con la cuenta de usuario.
Otras solo letras
Ninguna tiene caracteres especiales.
Algunas tienen muy poca cantidad de caracteres
Estas caractersticas permiten con mayor facilidad ser descubiertas por
medio de herramientas de ataque por fuerza bruta.


c) Qu recomendaciones puedes hacer para poner una contrasea?
Utilizar una contrasea que combine letras en maysculas, en
minsculas, nmeros y caracteres especiales o smbolos.
El tamao debe ser de 8 caracteres como mnimo.
No utilizar patrones secuenciales como abc123.
No utilizar palabras o frases simples, como "contrasea".
No utilizar patrones secuenciales de teclado como qwerty.
No contenga el nombre de usuario, el nombre real o el nombre
de la empresa.






d) Calcular el nmero de bits de seguridad de cada contrasea.
Cada carcter equivale a 1 Byte, y 1 Byte est compuesto por 8 Bits que
pueden tomar dos valores (0 1). Luego:

CUENTA CONTRASEA CALCULO RESULTADO
magui maguimagui 8 bits X 10 caracteres 80 Bits
hommer hommer123 8 bits X 9 caracteres 72 Bits
lizza 123456 8 bits X 6 caracteres 48 Bits
pato patito 8 bits X 6 caracteres 48 Bits



e) Determinar estadsticamente el porcentaje de contraseas seguras y no
seguras.
Para este ejercicio se cargo un archivo con 7 contraseas y se
descubrieron 4 de las 7.
Seguras: 3 de 7 corresponde al 42,85 %
No seguras: 4 de 7 corresponde al 57,14 %

f) Mencionar, explicar, y hacer uso de algn sistema para almacenar
contraseas, para evitar olvidos, se debe dejar pruebas del proceso de
utilizacin de la aplicacin.

Para este punto se utiliza la aplicacin llamada RoboForm.




Se realiza la instalacin donde el aplicativo solicita los navegadores a integrar



Durante la instalacin el aplicativo solicita la contrasea maestra la cual se
utilizara para restablecer o proteger las dems contraseas y dems datos
almacenados.


Al terminar la instalacin se abre el navegador y podemos verificar que se instala
el complemento en la barras de herramientas de IExplorer.



Luego se procede a ingresar a una pgina donde se solicite una contrasea de
acceso como por ejemplo google o gmail. Y en la barra de la aplicacin al ingresar
la informacin nos da la opcin de guardarla en la aplicacin Roboform.



Se da clic en guardar y el aplicativo guarda la informacin ingresada en los
campos solicitados para luego poder ingresar sin digitarla.



En la barra de herramientas se observa que se integra la opcin de Google que
luego solo es dar clic y de forma automtica genera la informacin de acceso.



Y finalmente se accede sin ingresar o digitar los datos solicitados de acceso.


2. Una implementacin libre del protocolo SSH bastante conocida es la del
proyecto OpenSSH. Los alumnos deben visitar la pgina www.openssh.comy
comprobar qu protocolos y qu algoritmos criptogrficos soporta la ltima
versin, no se admite copy-paste, deben generar la produccin de texto.

OpenSSH es un conjunto de herramientas o aplicaciones de conectividad que se
usan para acceder a sistemas remotos de forma segura. Puede usarse como
sustituto directo derlogin, rsh, rcp y telnet. Adems cualquier otra conexin TCP/IP
puede reenviarse o enviarse a travs de un tnel a travs de SSH. OpenSSH cifra
todo el trfico para eliminar de forma efectiva el espionaje, el secuestro de
conexiones, y otros ataques en la capa de red.
LA historia de este proyecto data de junio de 2002 pasando por 35 publicaciones.
Aactualmente se encuentra en su versin 6.6 y soporte algoritmos criptogrficos
como 3DES, Blowfish, AES, Arcfour

CARACTERISTICAS DE SSH
SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos
sistemas usando una arquitectura cliente/servidor.

El protocolo SSH proporciona los siguientes tipos de proteccin:

Ofrece un mecanismo de autentificacin de servidor a cliente adems de
cifrado.
Se utiliza cifrado asimtrico al comienzo, y simtricos una vez negociados
y autentificados el cliente y el servidor.
Da soporte a la integridad de los datos
Despus de la conexin inicial, el cliente puede verificar que se est
conectando al mismo servidor al que se conect anteriormente.
El cliente transmite su informacin de autenticacin al servidor usando una
encriptacin robusta de 128 bits.
Todos los datos enviados y recibidos durante la conexin se transfieren por
medio de encriptacin de 128 bits, lo cual los hacen extremamente difcil de
descifrar y leer.
El cliente tiene la posibilidad de enviar aplicaciones lanzadas desde el
intrprete de comandos de la shell. Esta tcnica proporciona una interfaz
grfica segura (llamada reenvo por X11), proporciona un medio seguro
para usar aplicaciones grficas sobre una red.
Este es un cdigo abierto de libre disponibilidad para todo a que tenga
necesidad de uso.
Uso del algoritmo Triple DES, este es un algoritmo de cifrado muy conocido
que nos proporciona un cifrado fuerte.
Nos permite enviar por puertos conexiones TCP/IP a una mquina remota
por un canal cifrado.

Las aplicaciones incluidas en la suite incluye:
Ssh reemplazadas por rlogin y telnet:este permite el acceso remoto a
otra maquina
Scp reemplazada por rcp
Sftp reemplazada por ftp: es quien permite copiar archivos entre
maquinas
Sshd: esta hace referencia al servidor demonio
Ssh-Keygen: genera claves para autenticacin de usuarios
Ssh-agent y ssh-add: mantenimiento de claves
Ssh-KeyScan: escaneo y recoleccin de claves publicas
Las principales diferencias tcnicas entre la versin 1 de SSH y la versin 2 son:

SSH Versin 1 SSH Versin 2
Diseo monoltico (integrado) Separacin de las funciones de
autentificacin, conexin y transporte
en capas
Integridad via CRC32 (no seguro) Integridad via HMAC (cifrado hash)
Un nico canal por sesin

Un nmero ilimitado de canales por
sesin
Negociacin usando nicamente
cifrado simtrico en el canal,
identificacin de sesin con una nica
clave en ambos lados
Negociacin ms detallada (cifrado
simtrico, llave pblica, compresin,
...), y una clave de sesin
independiente, compresin e
integridad
en ambos lados
Slo RSA para el algoritmo de clave
pblica
RSA y DSA para el algoritmo de clave
pblica
Clave de sesin transmitida por el
cliente
Clave de sesin negociada por el
protocolo Diffie-Hellman
Clave de sesin vlida para toda la
sesin

Clave de sesin renovable




3. Acceder a un servidor de claves pblicas PGP, por ejemplo,
www.rediris.es/cert/servicios/keyserver/y responder los siguientes interrogantes:

Qu informacin se tiene que dar para encontrar una clave PGP?

Se puede realizar de dos maneras, una de ellas es utilizando la interfaz WEB. Para lo cual
hay que ingresar a la pgina del servidor y digitar la clave deseada especificando
claramente el KeyID de la Clave, en su totalidad o de forma parcial.
En este caso vamos a buscar con la Palabra UDENAR, para identificar que claves
pblicas estn almacenadas relacionadas con la Universidad de Nario.


Donde nos muestra el siguiente resultado.

Otra forma es utilizando el correo electrnico, enviando un correo a pgp-public-
keys@rediris.es indicando la instruccin getuserid,algo as como Conseguir ID de
Usuario, en el objeto del correo.
Qu tipo de informacin puede devolver? La ejecucin de la bsqueda devuelve informacin
como se ilustra en la figura anterior que contiene datos del ejemplo anterior UDENAR, lo cual se
puede resumir en el siguiente cuadro.
I TEM
I NF.
ENCONTRADA DESCRIPCI ON
1
Pub Tipo de Clave (Publica)
2
Typebits
Extensin en bits de la Clave
(1024, 2048)
3
KeyID El ID de la clave
4
Date Fecha
5
User ID ID o registro del usuario
Se puede tambin listar los certificados anexos a la bsqueda para continuar con el ejemplo se hace
de la siguiente manera:

Muestra la siguiente informacin:

Que la podemos resumir en el siguiente cuadro:
ITEM
INF. ENCONTRADA DESCRIPCION
1
Pub Tipo de Clave (Publica)
2 Type bits Extensin en bits de la Clave (1024, 2048)
3
IdKey El id de la clave
4
Cr. Time Fecha de creacin de la clave
5
exp. Time Fecha de expiracin de la clave
6
keyexpir El indicador de la expiracin de la clave
7
selfsign Certificados Autofirmados

Buscar las claves pblicas asociadas al nombre Philip R.Zimmermann y responder
el siguiente interrogante: Existe alguna razn para pensar que alguna de ellas
pueda ser falsa? Por qu?

El sistema de comunicacin de comunicacin por internet ms usado en el mundo
es el que fue creado por este seor Philip R.Zimmermann denominado El Sistema
PGP.

Si existen razones pensar que algunas de ellas puede ser falsas asociadas a este
sistema encontramos por ejemplo, las claves con nombre <president@
whitehouse.gov> que han sido mandadas a los servidores PGP por personas que
no tienen ninguna relacin con esta direccin de correo. El hecho de que este se
considere un sistema inaccesible es razn mas que suficiente para llegar a pensar
que da a da se crean claves falsas asociadas a este ya que se trata de penetrar o
violar con frecuencia para tratar de llevar a cabo una suplantacin como la del
caso expuesto anteriormente.

Claves PGP falsas



Son famosas, por
ejemplo, las claves con
nombre <president@
whitehouse.gov> que
han sido mandadas a los
servidores PGP por
personas que no tienen
ninguna relacin con esta
direccin de correo.



REFERENCIAS


Boulder Software Engineering 3021 Eleventh Street Boulder, Colorado 80304
USA Gua del usuario de PGP (tm) Volumen I: Temas esenciales Philip
Zimmermann http://www.pgpi.org/docs/spanish1.txt


www.rediris.es/cert/servicios/keyserver/y


http://www.pgpi.org/doc/faq/pgpi/es/
http://www.tw.openbsd.org/openssh/es/features.html