Seguridad en Informática y Telecomunicaciones

**1. COMERCIO ELECTRÓNICO**

Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrónicas, pero los más utilizados son los siguientes:

• SSL/TLS: Es un protocolo de seguridad para cualquier aplicación de Internet y, por lo tanto, se puede utilizar en el comercio electrónico. Está muy extendido y actualmente todos los navegadores comerciales lo implementan.
• SET: Es un protocolo especialmente diseñado para el comercio electrónico con tarjetas de crédito.

**2. COOKIES**

Una cookie es un archivo que se guarda en el disco del usuario y le permite al servidor web distinguir a ese usuario cuando cambia de página web. Las cookies son usadas principalmente por sitios web de comercio electrónico en los que se guardan las preferencias del usuario (como las opciones que han sido seleccionadas previamente) de manera que el usuario no tenga que volver a seleccionarlas la próxima vez que visite este sitio.

Usos:

• Gestión de sesiones
• Personalización
• Rastreo

Atributos:

• Caducidad
• Autenticidad
• Cesta

Funcionamiento:

Las solicitudes y respuestas HTTP contienen encabezados que envían datos específicos en ambas direcciones. Uno de estos encabezados está reservado para escribir archivos destinados al disco duro: cookies. Nombre, dominio, tiempo de vida.

Seguridad:

Cuando un usuario se conecta a un sitio web que puede ser personalizado, se le solicita que responda a varias preguntas a fin de crear un perfil y luego almacenar esta información en una cookie. Lo ideal sería que una cookie contenga una cadena aleatoria (identificación de sesión) única, difícil de descifrar y válida sólo por un tiempo determinado.

Amenazas:

• Identificación inexacta
• Robo de cookies
• Cross site scripting
• Falsificación de cookies
• Cookies entre sitios

**3. ROOTKITS**

Los rootkits son un conjunto de programas maliciosos que anidan en los ordenadores a través de huecos en el sistema de seguridad, concediendo así a los atacantes acceso remoto permanente a ellos. El término compuesto rootkit designa un conjunto de herramientas informáticas que permiten a un hacker obtener derechos de administrador (de root). Se ocultan a sí mismos y a otros parásitos frente a detectores de virus y programas de seguridad, de manera que el usuario no se percata de su existencia.

PRINCIPIO DE FUNCIONAMIENTO

El sistema operativo proporciona a los programadores una serie de funciones básicas que ellos pueden utilizar para llevar a cabo sus tareas diarias: desde abrir un fichero hasta establecer conexiones de red. A este conjunto de funciones se les llama API. Los rootkits interceptan funciones específicas del API y las hacen apuntar a su código, de forma tal que cuando una aplicación hace un llamado a dicha API, se ejecuta el código del rootkit.

**4. KERBEROS**

Hay dos tipos de credenciales usadas en el modelo de autenticación Kerberos: Tickets y Autenticadores, ambos basados en la encriptación DES que usa la misma clave para encriptar que para desencriptar. Un ticket es usado para asegurar el pase de la identidad de la persona que emitió el ticket entre el servidor de autenticación y el servidor final, también nos garantiza que la persona que está usando el ticket es la misma que lo emitió.

MODELO DE AUTENTICACIÓN KERBEROS

Kerberos trabaja proveyendo a los usuarios con tickets y claves encriptadas llamadas claves de sesión que pueden usar para identificarse con otros usuarios o servicios en una red. Hay tres fases para autenticar a través de Kerberos:

1. En la primera fase, el usuario obtiene credenciales a ser usadas para pedir accesos a otros servicios.
2. En la segunda fase, el usuario pide autenticación para un servicio específico.
3. En la fase final, el usuario presenta estas credenciales para terminar con el servicio.

MODELO DE AUTORIZACIÓN KERBEROS

El modelo de autenticación Kerberos provee sólo una certificación de la identidad de los pedidos de un cliente. El servidor de aplicaciones y el cliente intercambian claves cifradas (tickets), pero no provee información acerca de si el cliente está o no actualmente autorizado para usar el servicio.