Evitar suplantación de identidad en Servicios Públicos Eletrónicos

Evitar suplantación de identidad en Servicios Públicos Electrónicos Europeos

Máster en Seguridad InformáticaJosé Luis Muñoz de Morales Silva2015-2016

José Luis Muñoz de Morales Silva


Máster en Seguridad Informática 2

Índice

Índice

1. Introducción

2. Situación actual

3. Necesidad real ¿Por qué ahora?

4. Objetivos

5. Alcance del proyecto

6. Hacking Certificados Digitales

7. Descripción del problema

8. Solución propuesta

9. Evaluación de la solución

10.Conclusiones

índice




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 1. Introducción

QUEEvitar la suplantación de identidad digital

PORQUEDebilidad de las infraestructuras PKI > Personas

COMOMonitorizando el Registro de ACs

DONDEServicios Públicos Electrónicos Europeos

nueva regulación eIDAS identificación electrónica UE 910/2014

Puntos clave

Apache

Tomcat

Certificados Digitales




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice



Máster en Seguridad Informática

* Variables sobre PIB (Producto Interior Bruto)

6

Índice: 2. Situación Actual

ESPAÑA

Deuda 101 %

Déficit: -5,08%

Contexto 2016

MAASTRICTH

Deuda: 60 %

Déficit: -3%





DECISIÓN SECTOR PÚBLICO






INFRAESTRUCTURA PKI

SOFTWARE LIBREAPACHE + TOMCAT + MYSQL

CERTIFICADOS DIGITALES




Índice

Índice

1. Introducción


3. Necesidad real ¿Porqué ahora?

4. Objetivos






10.Conclusiones

índice




Índice: 3. Necesidad real ¿Por qué ahora?





Impacto Ahora





ESPAÑA

Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones públicas

vigor 1 septiembre 2016

Reglamento Europeo de Identificación UE 910/2014

1 de julio de 2016

Impacto Ahora






1 de julio de 2016

Antes Ahora

Certificados Digitales en Gestión






1 de julio de 2016

Antes Ahora

100







1 de julio de 2016

Antes Ahora

100


2.700




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 4. Objetivos

Creación del Software “CAS-eIDAS” (Certification Authorities Security for eIDAS)

OBJETIVOS

Configuración de servidores: Apache y Tomcat

Hacking Certificado digital: Normas x509.v3 y RFC 5280




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 5. Alcance del Proyecto

ALCANCE

Hacking Certificado Cualificado: Normas x509.v3 y RFC 5280

Certificados objeto de estudio: “Trusted List” Europea

https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf

https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 6. Hacking de Certificados Digitales

Objetivo: generar una Identidad Digital ”válida”





HACKING CERTIFICADOS DIGITALES

RELACIÓN

ISSUER Emisor del Certificado

SUBJECTSujeto del Certificado





Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 7. Descripción del problema

SEGURIDADSISTEMAS DE INFORMACIÓN






DÉFICIT EXPERTOS CIBERSEGURIDADContemplado en el Plan de Ciberseguridad Nacional 2013





COMPLEJIDAD

El Reglamento eIDAS incrementa en un 270%

la complejidad de gestión de certificados

digitales







COMPLEJIDAD



digitales


SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis






COMPLEJIDAD



digitales


DÉFICIT RECURSOS

Disminución del Sector Público Estatal de la

capacidad de inversión en infraestructura

tecnológica

SISTEMAS VULNERABLES Producto de malas configuraciones, descuidos, mala praxis





Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 8. Solución Propuesta

FRONT-END: software responsable de la visualización del estado de los ficheros de registro de Autoridades de Certificación.

Servidor SMTP 2 GO

BACK-END: software responsable de la monitorización del estado de los ficheros de registro de Autoridades de Certificación.

La imagen muestra los componentes que forman el Sistema CASeIDAS, que se complementan para ofrecer un servicio de protección de los ficheros de registro de las Autoridades de Certificación registradas en los Sistemas de Información de un Organismo Público.

CASeIDAS CA State CASeIDAS CA Monitor

CA Monitor

Detalle: Front-End y Back-End





Servidor Apache

Fichero de Autoridades de

Certificación

CAs raíz

CASeIDAS

monitorización

MySQLVersión 5.5

CA State

CA Monitorregistro

Servidor SMTP 2 GO

alertas

visualización

ORGANISMO PÚBLICO

CIUDADANOS(puestos de clientes)

cliente 1cliente 2

Cliente N

Acceso con Certificado

Digital

Diagrama de Alto Nivel de la Solución





CASeIDAS CA State Funcionalidades

CA File: permite ver el detalle de todas las Autoridades de Certificación registradas, concretamente de los campos definidos como MUST por la RFC 5280, entre; Country, Organization, Organizational Unit, Common Name.

CA Intrusion: permite ver el detalle de aquellas Autoridades de Certificación registradas en el sistema, pero que no tienen autorización de los responsables del Organismo encargados de su vigilancia.

Status: permite ver el detalle del registro de Autoridades de Certificación, mediante una comparación del hash SHA-512 y de la fecha de última modificación de su fichero de registro.

Detalle: Front-End





CASeIDAS CA Monitor

Servicio de monitorización de los cambios sobre el fichero de registro de Autoridades de Certificación.

Permite la configuración de alertas mediante el envío de mail SMTP, pudiendo especificar uno o varios destinatarios.

Registra en base de datos el estado de las Autoridades de Certificación que están instaladas en un servidor de Apache, en su fichero de registro, generando un HASH del fichero de Autoridades de Certificación, junto con su tamaño (medido en KB) y la fecha y hora de la última modificación

Servidor SMTP 2 GO

CA Monitor

Funcionalidades

Detalle: Back-End





Test CASeIDAS

https://youtu.be/vtzKby442_k

https://youtu.be/vtzKby442_k




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 8. Evaluación de la solución Propuesta

Ventajas Inconvenientes

Evaluación






Coste de implementar la solución

prácticamente cero

Software sencillo

Solución ajustada a la necesidad

Protección de un activo de información crítico

para la Infraestructura PKI

Evaluación






Coste de implementar la solución

prácticamente cero

Software sencillo

Solución ajustada a la necesidad

Protección de un activo de información crítico

para la Infraestructura PKI

Evaluación

Protección no robusta, si el modelo es conocido es fácil de manipular

Necesita complementarse con otros mecanismos alertas como SMS para garantizar el tiempo de respuesta al incidente

Necesidad de concienciación de los Organismos Públicos del riesgo en infraestructuras de red de baja seguridad




Índice

Índice

1. Introducción



4. Objetivos






10.Conclusiones

índice




Índice: 10. Conclusiones

CONCLUSIONES

PROYECTO





CONCLUSIONES

Gran complejidad en la gestión de la Autenticación mediante Identidades Digitales, debido al eIDAS

Sencillo hackear un Certificado cualificado x509.v3 que cumpla el Reglamento UE 910/2014

Problema grave de falta de recursos en el Sector Público, que debe “Digitalizarse” de forma segura

La monitorización del fichero de Registro de Autoridades de Certificación es crítica para garantizar la seguridad de los certificados

PROYECTO





MEJORAS

CASeIDAS





MEJORAS

Alertas mediante mensajería instantánea, para disminuir el tiempo de reacción ante incidentes

Posibilidad de confirmar las Autoridades de Certificación de manera independiente, en lugar de hacerlo en modo bloque

Realización de un “backup” sólo de Autoridades de Certificación para evitar que la recuperación en bloque

CASeIDAS

Evitar suplantación de identidad en Servicios Públicos Eletrónicos

Software

Transcript of Evitar suplantación de identidad en Servicios Públicos Eletrónicos