sábado, 8 de marzo de 2008

LOL xDDDDDDD

Komtec1@hslteam~against-revision-140# make
make -C src
make[1]: Entering directory `/root/against-revision-140/src'
Building USB Video Class driver...
/bin/sh: line 0: cd: /lib/modules/2.6.21.5/build: No such file or directory
make[1]: *** [uvcvideo] Error 1
make[1]: Leaving directory `/root/against-revision-140/src'
make: *** [all] Error 2
Komtec1@hslteam~against-revision-140# xDDDDDDDDD
-bash: xDDDDDDDDD: command not found

jajajajjajajaaajajajaja

viernes, 7 de marzo de 2008

Autenticacion, Autorizacion y Registro de Usuarios

Bueno este tema sera algo extenso, espero alguien se tome la molestia de leerlo completo asi como yo me tome la molestia de escribirlo :-P este tema lo aprendi de un libro, el cual es Enciclopedia de la Seguridad Informatica del Autor Alvaro Gomez Vieites, lo pondre a mis palabras y a mi entendimiento, si alguien desea consultar el libro a las palabras del autor ahi lo tienen :-)

Espero les guste el tema y no se cansen de leerlo que como ya mencione es extenso, aqui vamos :

Definiremos varios tipos de autentificacion de usuarios frente a un sistema informatico (cliente-servidor)

Modelo de Seguridad AAA (Authentication, Autorization & Accounting)

Se podria traducir de la siguiente forma: autenticacion, Autorizacion y Registro, este se utiliza para poder idenificar a usuarios y controlar el acceso de los mismos a diferentes recursos en un sistema informatico, y a la vez registrando como se utiliza cada recurso.

Basamos el modelo en tres elementos principales los cuales son:

Identificacion y Autorizacion:

Identificacion: Se presenta determinada identidad para identificar al usuario
Autorizacion: Valida la autenticidad del usuario

Control de acceso: Determina que provilegios tiene un usuario dentro del sistema informatico y a que recursos tendra acceso dentro del mismo.

Registro del uso de los recursos: Logs que seran guardados para monitorear la actividad del usuario dentro del sistema informatico.

Control de acceso (Seguridad Logica)

En estos distinguimos dos tipos de control de acceso:

Control de acceso obligatorio (MAC Mandatory Access Control): Los permisos son definidos por el sistema

Control de acceso direccional (DAC Directional Access Control): Aqui los permisos los controla el propietario de cada objeto

de ahi para definir los sujetos que pueden accesar a cada objeto se utilizan las listas de control de acceso (ACL Access Control List) y de este modo se puede regular no solo la autentificacion del sujeto si no tambien una hora y/ hubicacion de acceso.

Identificacion de Usuarios

La identidad la determinamos con puntos como el conjunto de cualidades únicas e irrepetibles que lo hacen distinto a los demas.

Los identificadores los podemos definir entre dos tipos:

Intrísecos y Extrínsecos:

Intrísecos

Dentro de estos podriamos mencionar algunos como el ADN de la persona, fondo del ojo, iris, huellas dactilares, fisionomia de las manos, rasgos faciales, timbre de voz, cinematica de la firma manuscrita, etc etc...

Extrínsecos

Dentro de este tipo estarian algunos como estos: PIN, contrasña, firma manuscrita, numero de cuenta bancaria, terminal desde que se conecta el usuario, etc etc...

esto termina definiendose de esta manera:

lo que se sabe: password, PIN

lo que se tiene: token, USB Key, tarjeta de credito.....

lo que se es: caracteristicas bimetricas de la persona (mencionadas arriba)

lo que se sabe hacer: firma manuscrita...

y por ultimo donde se encuentra el usuario: ip previamente asignada, podria ser dentor de redes fisicas protegidas y controladas...

Verificacion de Contraseñas

Este es el que se usa con mayor frecuencia dentro de todos los sistemas informaticos, que consta de un login y un password (usuario y contraseña) a cada usuario se le define un usuario y una contrasña, unica e irrepetible, hay algunos minimos requisitos para la seguridad de las contraseñas, ya sean como:

-Longitud minima de las contraseñas (es recomendable una longitud de 6 digitos, por ahora)
-Caducidad de la contraseña, en este se define cuanto tiempo sera valida una contraseña
-Logs de historial de contraseñas, una vez que caduque la contraseña, no permitir al usuario repetirla
-Control de composicion de una contraseña, especificar que una contraseña debera de contener minimo un numero y un signo especial (!"#$%&/ etc etc...) y no contenga ninguno de sus datos de DNI, matricula, fecha de nacimiento etc etc...

Protocolos de Desafio/Respuesta

En este se basa en que el usuario se autentifique de manera que demuestre saber y compartir un secreto con el sistema de autentificacion (en si compartir un secreto :-P) en estos se podria poner una contraseña asociada a una cuenta del usuario, la llave de un sistema criptografico simetrico, etc...

de esta manera no se propodciona ninguna informacion del secreto compartido, uya que simplemente el usuario debera de demostrar ante el autentificador que comparte dicho secreto, por lo tanto se evita el problema de que una contraseña se envie por red y por lo tanto evitando un arp spoof (la intercepcion de las redes en area local)

Lista de Contraseñas (OTP One Time Password)

Como el nombre lo indica, son passwords que funcionaran dentro del sistema una sola vez, por lo tanto evitando que si algun usuario malicioso captura la contraseña, pueda loguearse de nuevo con esa misma

Contraseña Variable

En este tipo de autentificacion, el usuario posee una contraseña de x longitud de caracteres, el sistema valida pidiendo caracteres en forma "random" al usuario para poder identificarse, el ejemplo seria este:

esteesmipass

el sistema podria pedir esto:

Ingresa el caracter numero 4, 1, 5, y 1

eeee

esa seria la contraseña valida al momento, y al otro intento de secion pedira diferentes caracteres, por lo que es un sistema seguro de logueo, este sistema actualmente se usa en bancos (por ejemplo HSBC)

Tarjetas de Autenticacion

Este sistema se basa en dos tipos de autentificacion, el primero sera el conocimiento del PIN y el segundo la posecion del token, por lo que se necesita medio fisico (lo que se tiene) y lo que se sabe ( ya mecionados antes)

Bueno esta es parte de autentificaciones, conforme tenga mas tiempo les pondre otros tipos de sistemas de autentificacion (faltan como 6 nada mas :-P pero ya me canse de escribir xD) hice referencias a algunas partes del libro ya que todo de memoria como es no lo se, si no hice eso que para dar una mejor explicacion hacia uds, bueno espero si se hayan molestado en leerlo :-P

Saludos

Komtec1