Introducción
• 23 millones de personas con acceso a Internet.
• 8 millones de personas hacen algún tipo de consulta:
– Saldos
– Transferencias (68%) – Impuestos
• BANAMEX (~40%)
– 2.3 billones de transacciones al mes – 60 billones de pesos al mes
Introducción
• En 13 de Abril 2010 se aprobó la ley de datos personales.
• El 5 de Junio del 2010 se publicó a nivel federal
(http://dof.gob.mx/nota_detalle.php?codigo=5150631&fe cha=05/07/2010).
• En la banca mexicana, se volvió obligatorio el uso de un 2do factor de autenticación
para proteger cualquier dato personal.
• Ahora para la consulta de saldo o datos personales se usa un token.
Introducción
El objetivo del sistema es asegurar
autenticidad, confidencialidad y robustez desde el teclado hasta un servidor.
Proyectos tecnológicos que actualmente lo integran:
MyDNSsec
MADU (Multi-autenticación Dinámica de Usuarios)
TECHila
CoTeNa (Conficiencialidad Teclado-a- Navegador)
Educación en Seguridad de la Información.
Propuesta
Navegador Internet Servidor
Teclado
MyDNSsec
MADU
CoTeNa
CoTeNa
MyDNSsec
MADU MADU
Responsables del Proyecto
MC. Gustavo Lozano Ibarra (NIC México)
Dr. Juan Arturo Nolazco (ITESM Campus Monterrey)
Dr. Jorge Carlos Mex (ITESM Campus Monterrey)
Desarrolladores
MsC. Francisco Arias
MsC. Alberto F. Martínez
MsC. Claudio Herrera
MsC.est Lírida Hernández
MyDNSsec CoTeNa
MADU
Introducción
• Los usuarios requieren tener la referencia de un nombre de dominio.
• Los navegadores requieren conocer la dirección IP hacia donde se conectarán para obtener la información de dicho dominio.
• El Sistema de Nombres de Dominio (DNS) nos
ayuda a traducir nombres de dominio a
direcciones IP.
Propuesta
• Se presenta una herramienta que consiste en un plug-in anexo al Internet Explorer, y elementos auxiliares para autenticación de dominios, basada DNS Security Extensions.
• A través de un plug-in que sirve para autenticar
a un dominio e informar al usuario si ese
dominio visitado es auténtico y no ha sido
suplantado.
Seguridad en DNS
• Dado que no existen mecanismos de autenticación e integridad en el DNS, pueden darse casos de suplantación.
• La solución es utilizar DNSsec. Es un
protocolo que realiza el firmado de sus
correspondientes dominios
MyDNSSEC
Estados del Plug-in
• Estado “Inicial”:
– Sale por defecto al abrir una nueva pestaña.
• Estado “Configuración Correcto”:
– Se obtiene en el caso de que el domino haya sido autenticado.
• Estado “Advertencia”:
– Se utiliza cuando un dominio NO está firmado por DNSSEC-bis.
• Estado “Configuración Incorrecta”:
– Se utiliza si no hay información del dominio, haya sido suplantado o si no esta bien configurado.
Características
• El plug-in permite que cada resultado obtenido sea mostrado en la pestaña correspondiente.
• El plug-in cuenta con un Configurador en caso de que se requieran modificar parámetros.
• El plugin cuenta con un instalador del
programa en el sistema.
Propuesta de Diseño
Se propuso un diseño en donde la arquitectura del software es
centralizada (mas seguro que enviar información a todas las capas del
sistema operativo).
Se verifica la contectividad
(aumente accesibilidad, aumenta
robustez).
Diseño
Librerias Adicionales
MyDNSSEC MSIE
BHO Ejecutable Principal
Configurador Administrador
Unbound Administrador
MyDNSSEC Verificador de
Programas Actualización
de TA
DNSSECVeri fy4IENav.dll
Dnsservers.
dll queryDNS.dl
l
Local DNS en interfaces Informe de
errores Dispose de elementos al
finalizar el programa Unboun
d
Desarrollo y soporte de plataformas
Actualmente el sistema funciona
correctamente en diferentes sistemas operativos Windows(32 bits):
– Windows XP MSIEv7
– Windows XP MSIEv8
– Windows Vista MSIEv7
– Windows Vista MSIEv8
– Windows 7 MSIEv8
Desarrollo y soporte de plataformas móviles
Actualmente el sistema funciona
correctamente en diferentes sistemas operativos:
– Symbian (en pruebas)
• ITESM-Rumania
– Windows Mobile 6.5 (diseñado, en codificación)
• ITESM- proyecto último semestre
– iOS (en planes)
Responsables del Proyecto
MC. Carlos Lang (Damage Control)
Dr. Juan Arturo Nolazco (ITESM Campus Monterrey)
Desarrolladores
MsC Leonardo Sandoval
MsC. Rodolfo Wilhemly
MsC.est Verónica Tovar
MyDNSsec
MADU
CoTeNa
Introducción
En un inicio los portales Web, que requerían el registro de usuarios, basaban la autenticación de éstos, en un solo factor: “lo que el usuario sabe”, que es un nombre de usuario y una contraseña.
Introducción
• Debido al robo de identidad se
agregó un segundo factor, “lo que el usuario tiene”:
• Tokens Electrónicos, USB Tokens, Tarjetas Criptográficas.
• Si bien, estos métodos son efectivos,
obligan al usuario a cargar un dispositivo
“extra”, sin el cual se vuelve difícil o imposible el acceso al portal.
Introducción
• Mediante MADU (Multi-Autenticación Dinámica de Usuarios) se propone implementar un método de autenticación de doble factor, que le permite al usuario el registro de su/sus máquinas desde las cuales tendrá acceso al portal.
• El registros se realizan tomando información de las características del browser y de los encabezados HTTP, y otros elementos que el usuario envía, en cada petición, además de la generación de un TOKEN único de la máquina.
• Además, se diseño un software que con mínima intrusion en los sitios ya existentes.
Máquinas Idénticas
Para poder distinguir entre dos máquinas con características idénticas, MADU genera un TOKEN único, basado en la información recaudada junto con una estampa del tiempo en el que se lleva el registro (lo que el usuario tiene en un momento específico).
Cuando el usuario es autenticado correctamente, el TOKEN vuelve a ser generado, agregando la nueva estampa de tiempo y este valor se actualiza en la máquina del usuario, haciendo así el token dinámico.
DIAGRAMA DE REGISTRO
En el siguiente diagrama se muestra la secuencia de peticiones que hace el servidor del portal hacia
MADU, para llevar a cabo el
registro
de unamáquina.
Además, el software está preparado para:
–Distinguir entre dos máquinas con características idénticas.
–Autenticar una vez que el usuario está registrado.
–Agregar máquinas nuevas.
–Tratar pequeñas variaciones en
los encabezados.
RESIDENCIA DE MADU
• MADU, por su naturaleza, puede radicar en dos lugares:
1) Dentro del servidor del portal cliente
2) Fuera del servidor del portal (como 3rd party)
MADU
Servidor Web
Portal
Portal
Servidor Web
MADU
Servidor Web MADU Internet
Conclusiones sobre MADU
MADU ofrece un segundo factor de autenticación de manera simple y transparente, por ende refuerza la
autenticación ya existente de un portal.
MADU expone una interfaz simple, la cual puede ser utilizada de una forma casi inocua por cualquier portal.
Mediante el uso de un token único y
dinámico, se logra la distinción de máquinas idénticas.
Participantes en el Proyecto
Juan Arturo Nolazco Paola Garcia
Roberto Aceves Daniel Escobar
Benjamin Martinez
Chin Lin (Georgia Tech)
Eduardo Lleida (Univ. de Zaragoza)
Introducción
• Representaria un 3er factor de autenticación:
“algo que el usuario es o hace”.
• Trabajamos en el problema de verificación del hablante independiente del texto.
• Utilizamos GMMs.
• Entrenamiento (off-line) y evaluación (on-line).
• Estamos trabajando con técnicas
discriminativas (MVE-Minimum Verification
Error).
Evaluación NIST SRE
• La evaluación NIST de Reconocimiento de Usuario es un evento que se realiza cada dos años.
• NIST envia la base de datos por un mes para probar el sistema.
• Participan más de 50 grupos de investigación de todo el mundo.
• El Tec de Monterrey fue la primera universidad en latinoamérica en participar en dicha competencia.
• Hemos participando en las evaluacoines 2008 y 2010.
http://www.itl.nist.gov/iad/mig//tests/sre/
Evaluación MOBIO
• La evaluación MOBIO de
Reconocimiento de Usuario es
basado en Voz y Rostro obtenidas de dispositivos Móviles.
• MOBIO envia la base de datos por un mes para probar el
sistema.
• Participan más de 15 grupos de investigación principlamente de Europa.
http://www.mobioproject.org/icpr-2010
Algunos Resultados
Responsables del Proyecto
MC. Carlos Lang (Damage Control)
Dr. Juan Arturo Nolazco (ITESM Campus Monterrey)
Desarrolladores
MsC.est Juan Ahumada
MyDNSsec
MADU
CoTeNa
•El objetivo del proyecto es crear encriptar la información que viaja del Teclado al
Navegador en Windows.
•Es un proyecto que no se ha terminado.
Conclusiones
•Se está trabajando en un sistema integral de Seguridad de la Información:
–Seguridad del Teclado-Navegador-Sitio
–Educación en Seguridad de la Información.
•Que otros proyectos se pueden generar a partir de estos:
–Mejorar cada uno de los proyectos presentados.
–Utilizar otras carácterísiticas para obtener un 3er factor basado en biométricas (i.e. rostro y en el compartamiento del usuario en la computadora).
–Videojuegos para educación en Seguridad.