Problemas de Seguridad en la PC – Como evitar que me roben mi foto!!

No soy de la farándula, no me va a pasar…
En los últimos tiempos, viene ocurriendo casos en donde los personajes de la farándula son víctimas de robo de información (sobre todo videos y fotos) que luego son usados para extorsionar o exponer a la víctima.
Si bien, se habla mucho de que esto ocurre por que la persona a lo mejor lo hace por una cuestión de publicidad y quiere estar en los medios, en muchos casos esto no es así. Pensemos un momento que su vida privada es alterada por la publicación de citas, reuniones, fotos comprometedoras, etc. No todo vuelve a ser como antes.

Basándonos en el último caso, ocurrido esta semana, en donde una cantante denuncia que le fueron tomadas fotos desde su PC cuando ella circulaba en su casa en ropa del día a día, vamos a realizar algunas recomendaciones.

Aquí vamos a escuchar el caso de la cantante Coki Ramírez:
Reportaje a Coki Ramirez – VICTIMA

No es ninguna novedad…
Ahora bien, desde al año 2001, esta metodología era posible de utilizar, recuerdo haber usado y aprovechado de algunas víctimas con el Subseven. Esto era muy simple, con algún engaño, le hacías llegar una parte del troyano a la víctima (podría ser un correo electrónico indicando que le pasabas una foto comprometedora o bien de alguna modelo del momento sin ropa) o bien copiarle el archivo en su PC (en aquella época los S.O carecían de antivirus y firewall, podías ver el disco de la PC).
Una vez que estaba en línea, el Subseven te avisaba y vos podías tomar el control absoluto de la misma. Hasta tal punto que podías leer los chat que tenía con otras personas. (Info del Subseven, presionar aquí).

Por que ocurre..
Han pasado 13 años, los equipos son mucho más potentes, los S.O tienen más funcionalidades, las conectividades son mas estables y de mayor velocidad, pero hay algo que no cambio : LA INOCENCIA o DESCONOCIMIENTO DE LA GENTE. Los usuarios de PC desconocen las amenazas hasta que ocurren, no se informan y piensan que prendiendo el ordenador y conectarse a Internet es una magia que ocurre frente a ellos.
Lo que si ha cambiado es el INTRUSO. No podemos llamarle Hacker, por que es insultar la definición en sí misma. En realidad son INTRUSOS con fines lucrativos, ya que entran a equipos sin autorización, roban información (fotos, videos, datos, etc) y utilizando aquello que dé más rédito, tratan de venderlo a programas que hablan de la farándula o extorsionar al dueño de la información. El motor de hacer esto es la plata… Nadie ha llamado a un famoso diciéndole que su PC está mal protegida, que ha entrado para ver su seguridad y recomienda que ajuste la misma para que otra persona haga lo mismo!! Eso no existe en este mundo, y menos gratis.

Cómo protegernos?
Uno al adquirir un equipo, debe asegurarse que al momento de retirarlo de la casa que les provee el mismo, tenga activado:

1) Antivirus: una solución de antivirus que se actualice al estar conectado a Internet. Esta es una de las principales defensas. Si en algún momento recibimos un archivo que es dañino para el equipo o tiene funciones maliciosas, lo detectará y lo eliminará.
2) Firewall: esta protección permite que no existan “diferentes puertas abiertas” para que un intruso pueda ingresar a la PC. Esto cierra todas esas puertas.
3) S.O original: El mismo pueda actualizarse al conectarse a Internet, ya que hay fallas en los S.O que pueden ser aprovechadas por un intruso. Como el usuario no debe ser experto en estas cuestiones, el equipo debe estar preparado para actualizarse al momento de encontrar Internet en línea.

Luego, velar que esto funcione bien y ya tenemos un 70 % de la seguridad con nosotros…

Somos usuarios de malas costumbres…
Por ultimo, para asegurarnos que no vamos a tener problemas, debemos tener ciertos recaudos, como:

1) Contraseñas:  todos usan password o contraseñas muy, pero muy simples. Deben hacer exactamente lo contrario. Si ponemos aplicaciones para cerrar las puertas, la llave para abrirlas se llama PASSWORD. Por eso nunca utilicen contraseñas que puedan ser asociados a cuestiones personales (nro de patente, DNI, fechas de cumpleaños, nacimientos, direcciones, teléfonos, etc). Utilicen contraseñas al menos con 8 dígitos (no se vale poner 12345678) y que tenga letras, números, alguna letra en mayúscula y algún carácter especial. Si se les complica pensar en algo, pueden optar por armar una oración en donde la letra inicial es la password. Por ejemplo

“Yo nací en Córdoba el agosto de 1970” = la contraseña sería YneCead1970

Al recordar la frase, obtienen la contraseña. Además recuerden cambiarla periódicamente. Ocurre de mucho de Uds que hace más de un año que no la cambian.

2) Contactos: en las redes sociales, software de comunicación y aplicaciones similares (Skype, Facebook, Twitter, etc) poseen una configuración en donde pueden dar de alta personas de confianza. Por lo tanto:

a) No den de alta a desconocidos. Si dan de alta a personas que no conocen, cuando prendan la PC en su casa, es como dejar entrar a un desconocido a su hogar.
b) No reciban invitaciones u archivos de personas que no conocen.
c) Verifiquen antes de dar de alta a un conocido, que sea la persona que dice ser.  Conocen muy bien a sus amigos, contactos y pueden preguntar cosas que permiten validar si la persona que está del otro lado dice ser quien es.
d) No faciliten su contactos de las redes sociales a cualquiera.
e) Ajusten la configuración de las redes, para que solo las personas conocidas o del círculo de confianza puedan ver lo que comparten.
f) Ajuste los software de chat para que si requiere audio o video, requiera una aprobación por parte de Uds.
g) No pongan en su PC información que los comprometa.
h) Roberto Carlos (el de 1.000.000 de amigos) solo hay uno.

Se me rompió la PC!! y ahora que hago?
Muchos de ustedes cargan fotos o videos comprometedores en la PC. Si la misma se rompe, lo que va a ocurrir, es que llevan el equipo como está a un servicio técnico para que la repare, y olvidan que tienen eso en el equipo (o bien no pueden accederla para eliminarla). Por lo que recomendamos

1) No poner imágenes, videos o información que los comprometa.
2) Si de todas maneras quiere hacerlo, almacene esa información en un pendrive y guarde eso en una caja de seguridad en su casa. (si alguien se lo roba, va a tener el mismo problema que si le acceden a la PC).
3) Si tiene que llevar la PC a reparación, borre la información que lo compromete y copie información en un volumen similar para sobrescribir los espacios eliminados. Si solo borra la información, y no sobrescribe los espacios del disco, hay software que en minutos recuperan lo que  han borrado con anterioridad. (tampoco es seguro que esto proteja la información, lo ideal es que en la PC o teléfono no haya nada).
4) Apoyarse en gente de suma confianza.

Mi teléfono móvil tiene de todo…
Casi nos olvidamos, pero hoy los smartphones son muy potentes y desde allí acceden al correo, a sus redes sociales, chat y demás. Si alguien les usa unos instantes el celular o se los roba, han dejado que el Intruso entre completamente a sus vidas. Al menos coloquen una contraseñan en el equipo, y pidan que se los configure, para que si se equivocan cierta cantidad de veces el equipo se bloquee o quede como de fábrica. Los Smartphone son dispositivos que facilitan la conectividad, pero no significa que por eso debamos utilizar los mismos sin seguridad. La mayoría de ellos permiten hasta cifrar el contenido, por lo cual, un Intruso sin la contraseña no podrá acceder a su contenido!!.
No tener el Bluetooth habilitado a menos que realmente haga falta y solo asocien equipos seguros. Hoy la mayoría de los Intrusos están desarrollando códigos maliciosos para estos equipos por que son más fácil de vulnerar. Además es lo que se viene!!

Bueno, esperamos que estas líneas le sirvan, recuerden que la seguridad total no existe y que todos los recaudos que ustedes tomen, siempre van a ser pocos!! cuide su información! y desconfíen de todo…

Hasta la próxima!

PD: les dejo un video donde se explica algo de lo que comentamos más arriba. Reportaje emitido en Canal 12 de Córdoba. Ver aquí.
Próximo artículo vamos a indicar como cifrar un pendrive, por si lo pierdes, nadie pueda accederlo!!


Crisis de Identidad (Gestión) (Parte 5): El Futuro de la Gestión de la Identidad – La identidad en la nube

Introducción
De la  1ra a la 4ta parte de esta serie, echamos un vistazo a la evolución del concepto de “identidad”, conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de identidad actuales, con un enfoque sobre la firma digital. También nos fijamos en los criterios para la elección de una solución integral de gestión de la identidad de una organización o una solución de gestión de identidad federada. En este sentido, en esta 5 parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.

Identificadores ID en linea
Allá en la pimera parte, se discutió el problema de credibilidad a la hora de credenciales de identificación. A menos que la parte que emite las credenciales sea digno de confianza, esas credenciales no tienen sentido. Hoy en día la identidad en línea se verifica principalmente por certificados emitidos por las organizaciones del sector privado comercial, tales como VeriSign, Comodo, y muchos otros. Pero, ¿quién vigila a los vigilantes? Los nuevos proveedores de certificados SSL para sitios web deben someterse a auditorías de seguridad anual, como las que se realizan de acuerdo con el programa WebTrust para Autoridades de Certificación. El mercado de los certificados digitales personales es mucho más fragmentado.

La mera existencia de un certificado digital no garantiza que las credenciales de identidad sean válidos. Algunos certificados son auto-firmado o auto-gestionados, lo que significa que la persona que emitió el certificado también garantiza su legitimidad – obviamente allí no hay controles y equilibrios en el sistema. Por otro lado, la auto-firma de certificados no disminuye la superficie de ataque, ya que no confían en su clave privada a un tercero (autoridad de certificación). Los certificados autofirmados se pueden crear con las herramientas de software, incluidas makecert.exe de Microsoft, Adobe Reader, Llavero de Apple y otros.
En el mundo real, la mayor parte del crédito se da generalmente a los identificadores que son emitidos por el gobierno. Así, algunos ven un documento oficial de identidad en línea, como los medios más confiables de verificación de la identidad en línea, y el año pasado la Casa Blanca emitió un informe en su estrategia para lograr un sistema de identidades de confianza en el ciberespacio. Hay muchas cuestiones prácticas y políticas relativas a la creación de lo que efectivamente sería un documento nacional de identidad digital. Sin embargo, parece que el gobierno se mueve inexorablemente en esa dirección.

Es probable que tal sistema sería voluntario – en un primer momento. La historia indica que esto eventualmente iba a cambiar. En la década de 1800, los conductores no estaban obligados a tener licencia. En la década de 1970, los niños no estaban obligados a tener número de seguro social. Hoy ambos están dispuestos por el gobierno.

Pero hay algunas dudas en cuanto a exactamente  un sistema de identificación del gobierno en línea iba a funcionar. ¿Estaría vinculada a su licencia de conducir o tarjeta de identificación del estado? Sin embargo, el gobierno federal no emitirá esos documentos (aunque con la Ley de Identificación Real, que ha tomado más autoridad sobre los estándares de procesos, con el fin de establecer que los estados lo requieran para su cumplimiento en el 2013). ¿Estaría ligado a su pasaporte, entonces? Pero ¿qué pasa con esas personas que no tienen pasaporte? Según las estadísticas a partir de enero del año pasado, menos del 40% de los estadounidenses tienen pasaporte. ¿Sería estar atado a su número de seguro social? Este es probablemente el número de identificación de mayor número de estadounidenses.

Aunque el número de seguro social fue originalmente diseñado sólo para el propósito de seguir las cuentas de los individuos dentro del programa de Seguridad Social las cartas estaban marcadas, incluso “Por motivos de seguridad social – no para la identificación,” las fuerzas armadas lo han utilizado en el lugar de números de servicio desde los años 60 (del Ejército y Fuerza Aérea) y 70 (Armada y los Marines). El número ahora es utilizado por algunos estados en lugar de número de la licencia de conducir. Los bancos, acreedores y empresas de servicios (tales como compañías de cable, teléfono y electricidad) requieren que los clientes proporcionen sus números de seguro social. El número de seguro social es utilizado por las agencias de crédito, compañías de seguros, agencias de aplicación de la ley y casi cualquier otra entidad que requiera la identidad de la persona.

Estas preguntas son importantes porque, si el identificador de línea es un “independiente” forma de identificación, será mucho más difícil asegurar que un individuo no obtienga múltiples identificaciones en línea, o una identificación fraudulenta en línea que se asocia con otra persona o con un seudónimo. Eso sería negar el propósito para el cual están diseñados las identificaciones oficiales.

Si y cuando la multitud de cuestiones relacionadas con la forma de emitir identificaciones oficiales en línea se han resuelto, la siguiente pregunta es cómo, tecnológicamente, se llevará a cabo. ¿Una entidad de certificación administrado por el gobierno para validar la identidad de cada persona y emitir certificados digitales basados en claves de pares público / privados? ¿Sería ilegal utilizar cualquier certificado, si no es el emitido oficialmente por el gobierno-para firmar los documentos, enviar correo electrónico o hacer negocios en línea? ¿Se convierten en ilegales para enviar mensajes, acceder a sitios web o de ejercer el comercio en línea sin un certificado? La naturaleza del gobierno es mantener la expansión de su autoridad, por lo que a pesar de que estos escenarios, podría parecer descabellada ahora, no es razonable suponer que un día todos puedan reflejar la realidad.

La batalla por el espacio de la identidad
A pesar de inclinación del gobierno por el poder, debido a los engranajes de una enorme y lenta burocracia, probablemente no veremos un omnipresente obligatoria identificación oficial en línea (o tal vez cualquier tipo de documento oficial de identidad en línea),  por un largo tiempo. Mientras tanto, las empresas de tecnología que han luchando durante años para convertirse en los principales proveedores de identidad, y están aumentando constantemente el alcance de sus sistemas de identidad propios mediante la aplicación de inicio de sesión único a través de diversos sitios y servicios.z

Microsoft reinventa periódicamente su servicio, que originalmente fue llamado Microsoft Wallet, luego se convirtió en pasaporte y ahora va por el nombre de Windows Live ID. La compañía prevé Passport como un servicio que con el tiempo abarcaría todos los sitios de comercio electrónico, así como lugares propios Web de Microsoft, pero fue criticado por quienes temían su acceso a la información del cliente, y crearía problemas de privacidad. Hubo un tiempo una serie de sitios No-Microsoft, tales como eBay, utilizaba el servicio de Microsoft Passport para iniciar la sesión, pero ahora se utiliza para iniciar sesión en sitios de servicios de Microsoft como MSDN / TechNet, Hotmail, Xbox Live, Zune Marketplace, Messenger y otros servicios de Windows Live.

Mientras tanto, Google se ha metido en el juego de la identidad hasta cierto punto, la vinculación de inicio de sesión a través de sus muchos servicios web. Su cuenta de Google se utiliza para conectarse a Gmail, Google Voice, YouTube, Picasa, Google Docs, Google Wallet sistema de pago móvil, la red social de Google + y otros. La compañía ha estado bajo fuego por sus recientes cambios de política que ahora le permiten rastrear a los usuarios a través de sus múltiples productos y servicios y combinar la información del usuario de los diferentes servicios. La Comisión Europea ha propuesto nuevas normas destinadas a dar a los usuarios la posibilidad de optar por este tipo de rastreo.

Facebook, con su característica “Conectar”, también se ha convertido en un proveedor de identidad. Esta característica permite a los usuarios iniciar sesión en otros sitios web fuera de Facebook, usando sus cuentas de Facebook.

Un problema con todo esto está, que muchas personas mantienen más de una cuenta de Windows Live o Gmail porque necesitan varias direcciones correo electrónico para fines diferentes (tales como el hogar, el trabajo y “usar y tirar” – una dirección para entrar en los sitios web que requieren una pero que puede vender las direcciones a los spammers). En el caso de Windows Live, puedo configurar varias cuentas porque quería dos blogs independientes en el sitio del blog de Windows Live (aunque Microsoft ha abandonado el esfuerzo y los usuarios se han trasladado a nuestros blogs de WordPress). Incluso con Facebook, cuyos términos de servicio requieren que los usuarios sólo tengan una cuenta y para usar sus nombres reales, muchas personas violan esta norma y tienen cuentas separadas para trabajar y jugar.

El otro problema es que cada empresa de alta tecnología tiene un servicio de identidad separado propio (y algunos otros selectos sitios y servicios), y nadie tiene “una identidad en línea para gobernarlos a todos.” Si bien esto puede ser bueno desde un punto de vista de la privacidad punto, esto resulta en un tiempo más fácil para los terroristas, run-of-the-mill delincuentes cibernéticos, los spammers o estafadores, acechadores y otros que quieran ocultar su identidades y/o hacerse pasar por otra persona en línea.
 
La revolución móvil y la identidad
El uso de dispositivos móviles en teléfonos inteligentes generales y, en particular, se ha disparado en los últimos años. De acuerdo con la firma de investigación Canalys, 488 millones de smartphones se han vendidos en 2011, más de la cantidad de computadoras y las tablets (alrededor de 415 millones). Sus cifras muestran como esto aumentó del 62,7 por ciento respecto al año anterior. Las ventas de teléfonos inteligentes en base a las ventas del 2011, se espera que crezca otro 32% en 2012, según los analistas. Incluso Intel se está metiendo en el acto, haciendo equipos con Lenovo y Motorola para crear un teléfono basado en el procesador Atom.

Según un estudio de Kantar Worldpanel ComTech, casi la mitad de la población del Reino Unido ahora es dueño de los teléfonos inteligentes. El verano pasado, investigadores de Pew estima que el 35 por ciento de los adultos estadounidenses tenían smartphones propios. Esto es cerca de 42 por ciento de todos los propietarios de teléfonos celulares.

Con los teléfonos inteligentes en las manos de tanta gente, y ese número creciendo tan rápido, es lógico considerar la posibilidad de vincular las identidades de los usuarios de sus dispositivos móviles. Considerando que los números de línea fija fueron compartidos generalmente por familias enteras, los teléfonos móviles tienden a ser más personales, con cada miembro de la familia que tiene a su propio número de teléfono. Y con la portabilidad de números entre los transportistas, los usuarios de teléfonos móviles tienden a mantener el mismo número aunque cambien los equipos y los proveedores.

Además, el teléfono móvil se ha convertido en un elemento que la mayoría de los propietarios llevan con ellos dondequiera que vayan, al igual que sus llaves o billeteras. De hecho, se predice que con el tiempo el teléfono móvil sustituirá a las dos cosas. Con Near Field Communications (NFC), que ya está siendo incorporado en los nuevos teléfonos inteligentes, se puede hacer un pago simplemente sosteniendo el teléfono cerca de un dispositivo de terminal para realizar la transacción de tarjeta de crédito. No hay tarjeta física, no es necesaria. NFC también podría ser utilizado como documento de identidad electrónico (en lugar de licencias de conducir o tarjetas de identificación) y se puede utilizar como tarjetas magnéticas electrónicas para abrir puertas o incluso, con la tecnología adecuada incorporado en vehículos, para iniciar los coches.

El uso de los teléfonos inteligentes para proporcionar pruebas de identidad  presentan algunos problemas que tendrían que ser resueltos. Obviamente, debe haber mecanismos de seguridad en el lugar para evitar que los delincuentes utilizan teléfonos robados para robar identidades y hacerse pasar por dueños de los teléfonos. Credenciales de necesitarían una fuerte encriptación y de inicio de sesión de teléfono, que tendrían que ser protegidos por contraseñas o números PIN o (preferiblemente) autenticación de dos factores (tales como escáneres de huellas dactilares).

La identidad en la nube
El movimiento “en la nube” – para todos, desde los usuarios domésticos a las empresas – traen nuevos desafíos para la gestión de identidades. También trae una nueva necesidad y se centran en las mejores soluciones de identificación en línea. En el pasado, la seguridad de red se basaba en los límites de la seguridad, con todo lo que está dentro del perímetro de la red local se define como de confianza y todo lo que está fuera del perímetro considerado sin confianza. Los cortafuegos (firewall) en la red de “borde”, fueron designados los centinelas que protegían a los usuarios y los recursos en el interior de aquellos que estaban en el exterior. Con el Cloud Computing, el borde está desapareciendo – o por lo menos se está haciendo extensible y elástico. Los problemas asociados con la identidad en la nube son complejos, tanto es así que hay grupos de trabajo y conferencias dedicados sólo a este tema.

Las dos tecnologías que se establecen para dar forma al futuro de la informática son la nube y la computación móvil, y estos dos confluyen naturalmente ya que los usuarios cada vez tienen más acceso a servicios en la nube a través de dispositivos móviles. Las compañías que utilizan servicios en la nube tendrán que establecer las credenciales de raíz de confianza con el servicio de nube. Las organizaciones todavía quieren tener el control sobre sus políticas de seguridad, y deben ser capaces de asociarlos a los procesos de la nube habilitado para que las identidades y las autenticaciones se conservan cuando se correlacionan las transacciones de las nubes a través de límites de infraestructura. Exigen seguridad de punto final para la autenticación de usuario, así como seguridad en las transacciones de punto final de los servicios móviles.

Soluciones en la nube de identidad se está trabajando por el hardware y las compañías de software, un ejemplo es la autopista de Intel Nube de acceso 360. Cualquier solución de este tipo tiene que ser compatible con las normas existentes Federados (SAML, OAuth, Open ID) y permitir que el cliente-a-nube de inicio de sesión único de los dispositivos móviles y ordenadores conectados a dos redes domésticas y corporativas. Supervisión, auditoría y aplicación de políticas son consideraciones importantes.

Microsoft Windows Identity Foundation (WIF) es un SDK que los desarrolladores pueden utilizar en la construcción de la identidad de las aplicaciones conscientes de que se despliegue en la nube (así como las aplicaciones on-premise). Está construida sobre Active Directory Federation Services y Windows Azure servicios de acceso de control, que apoya OAuth 2.0. No es una extensión de WIF para SAML 2.0, también. WIF se basa en reclamos basados en la identidad – es decir, los tokens de seguridad emitidos por un servicio de token de seguridad (STS), que contiene un conjunto de información sobre el usuario, junto con una firma digital. Basado en notificaciones de identidad se basa en el STS para autenticar al usuario, en lugar de tener que hacerlo la aplicación.

Independientemente de la aplicación particular, autenticación de múltiples factores hacen que el manejo de la identidad en la nube mucho más segura, si la nube se accede desde los teléfonos inteligentes (como se mencionó anteriormente), de los ordenadores portátiles, tabletas, kioscos y computadoras públicas, televisores inteligentes, consolas de entretenimiento, o medios más exóticos (ordenadores portátiles, Internet habilitados para aparatos de cocina, etc). Es probable que conduzca finalmente a la biometría como una forma común de identificación.
 
Resumiendo
En esta serie de cinco partes, hemos examinado las cuestiones relacionadas con el concepto de identidad, tanto históricamente como en su aplicación a la tecnología moderna y un mundo conectado a Internet. La identidad es un tema complejo, y las soluciones tecnológicas para la gestión de identidades pueden ser aún más. El propósito de este trabajo es señalar las complejidades de tratar con la identidad y para darle al lector una visión general de las soluciones disponibles en la actualidad, y lo que puede venir pronto al mercado en el futuro.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aquí.

No dejen de leer toda la serie:
Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad
Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal
Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.
Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.


Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.

Introducción
De la 1ra a la 3ra parte de esta serie de artículos, hicimos un vistazo a la evolución del concepto de “Identidad”, conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de  administración de identidad actuales, con un enfoque en firmas digitales. En este artículo, la 4ta entrega, vamos a mirar más de cerca los criterios para la la elección de un solución de identidad integral de gestión  para una organización o una solución de administración de identidad.

Una misma talla no nos sirve a todos
El objetivo de un sistema de gestión de identidad es para garantizar que sólo los usuarios autenticados y autorizados tengan acceso a los recursos de la red. Un sistema de gestión de identidades puede automatizar este proceso tanto como sea posible y permitir el auto-servicio por los usuarios (por ejemplo, la capacidad para restablecer sus propias contraseñas).
Hay un gran número de soluciones de gestión de identidad disponibles de diferentes fabricantes, algunos más sofisticados (y caros) que otros. No hay una manera “correcta” del sistema que se adapte a las necesidades de cada organización. En la selección de una solución para su organización, usted deberá tener en cuenta:
Ámbito de aplicación (gestión de la identidad a través de una sola organización o una gran federación).

  • Conjunto de características (sencillez frente a un control más granular).
  • Facilidad de implementación.
  • Escalabilidad.
  • Presupuesto

El primer paso es definir exactamente lo que quieres que haga el sistema. En un sistema federado, se establece la confianza entre y a través de diferentes organizaciones. El sistema puede proporcionar inicio de sesión único (SSO) por el cual los usuarios pueden iniciar sesión en el proveedor de identidad y acceder a recursos en cualquier lugar dentro de la relación de confianza sin tener que iniciar sesión en múltiples sistemas (siempre que la cuenta tenga los permisos de acceso a los recursos). Esto permite que las organizaciones de la federación puedan compartir servicios con unos o más usuarios.
Hay tantos sistemas de gestión de indentidad de código abierto como soluciones propietarias de sistemas para su uso dentro de las organizaciones. En el conjunto de la función más completa, el despliegue más complejo y la administración del sistema será, lo que trae la necesidad de mano de obra capacitada / personal capacitado y/o contratación de especialistas para configurar el sistema.

Características del sistema de Administración de Identidad
La mayoría de los sistemas de Gestión de Identidad (IDM) proporcionarán características estándar en algunas o todas de las siguientes categorías:

  • Aprovisionamiento, desaprovisionamiento y gestión de cuentas de usuario.
  • La sincronización de contraseñas y atributos.
  • Inicio de sesión único corporativo.
  • Federación.
  • Acceso a la gestión.
  • Reglas basadas en el aprovisionamiento y la gestión.
  • Roles basados en funciones de aprovisionamiento y de gestión.
  • Administración basada en políticas.
  • Reportes.
  • Integración con DLP (Prevención de fuga de datos).

Todas las soluciones proporcionará un repositorio centralizado para almacenar la información de identidad, y la mayoría con asistentes (tal vez con otro nombre) para simplificar el proceso de gestión. Si usted tiene un entorno heterogéneo, usted querrá una solución que soporte diferentes tipos de directorios, bases de datos, sistemas operativos y aplicaciones. Usted también querrá para determinar qué tipos de autenticación son compatibles (contraseñas, datos biométricos, tokens).
Auditoría y presentación de informes a menudo se pasan por alto, pero son características de vital importancia. Pueda que tenga que ser capaz de personalizar los informes, por lo que una solución que le permite hacer esto sin conocimientos de programación es altamente deseable.

Arquitectura del sistema de Administración de Identidad
La Arquitectura de un sistema de IDM comienza con fuentes de información. Esto incluye a los usuarios del sistema, los roles que ocupan en la organización, confianza que se extienden por las organizaciones y las políticas que definen cómo se relacionan las reglas de identidad con acceso a los recursos. Gestión de la identidad se basa en los servicios de directorio, que funcionan como depósitos de datos sobre los usuarios y de sus identidades. Además de las funciones, la autorización granular pueden utilizar los atributos de usuario como la duración del tiempo empleado, la educación/militar o de otro tipo de pre-empleo de fondo, y así sucesivamente. Por lo tanto la base de datos del directorio debe ser personalizable, con un esquema extensible.

Los mecanismos por los que se procesa esta información incluyen la autenticación y autorización, el procesamiento de las reglas, el flujo de trabajo y de cómo las tareas de gestión de identidades se integran con otros procesos como el cumplimiento y la gobernabilidad. Todo esto se logra mediante aplicaciones específicas que realizan el aprovisionamiento de cuentas de usuario y desaprovisionamiento, self-service, de la información de sesión único, la auditoría y, así sucesivamente. Los usuarios deben ser capaces de realizar tareas de autoservicio fácilmente, desde cualquier lugar, y los administradores deben ser capaces de gestionar de forma remota el sistema de IDM. Aplicaciones de servicios Web pueden permitir el acceso al sistema a través de un portal web. Las aplicaciones que componen la solución IDM incluyen servicios web, servicios de directorios, bases de datos y las aplicaciones propias de IDM. Estas aplicaciones se basa en protocolos estándar (HTTP / HTTPS, XML, LDAP, SQL, etc.)
La alta disponibilidad es un requisito importante para un sistema de gestión de identidades, ya que su función es vital para permitir a los usuarios acceder a los recursos necesarios para hacer su trabajo. Por lo tanto replicación de directorios. La fiabilidad de la información también es clave, lo que significa la sincronización de directorios debe ser tomada en cuenta. Finalmente, el rendimiento es importante para evitar la frustración del usuario y la desaceleración del flujo de trabajo empresarial.

Vendedores de IDM
Las populares soluciones IDM son comercializados por:

  • Microsoft
  • HP
  • IBM
  • California
  • Courion
  • Novell
  • Oráculo
  • SAP
  • Siemens

y muchos otros. Vamos a mirar más de cerca los cuatro primeros en las siguientes secciones.

Soluciones de Identidad de Microsoft
Muchas tiendas de Windows, naturalmente, miran hacia Microsoft que fue el primero en considerar las soluciones IDM. Servicios de Active Directory incluye IDM integrados. Active Directory Federation Services (ADFS) se incluyó por primera vez en Windows Server 2003 R2. Se integra con Active Directory Domain Services, que se utiliza como un proveedor de identidad. El esquema de AD se amplió para apoyar operaciones de búsqueda directa de las identidades de UNIX en Active Directory Domain Services, con la adición de la ficha de Atributos UNIX en el complemento Usuarios y Equipos de Active Directory de la consola de gestión cuando se ejecuta Servidor para NIS en un controlador de dominio. AD FS es una función de servidor en Windows Server 2008 y Server 2008 R2. Con AD FS, dos organizaciones diferentes pueden crear fideicomisos a través de los servidores de federación que autentican los usuarios a través del Active Directory y la emisión y validación de las fichas.

Hay muchos paquetes de software de terceros de IDM que están diseñados para trabajar con Active Directory para ampliar las capacidades de IDM, como el NetWrix Identity Management Suite, Adaxes Softera y productos de Centrify.
Microsoft ha sacado varias versiones de su propia solución IDM por separado. Microsoft Identity Integration Server (MIIS) surgió a partir de Microsoft Metadirectory Server (MMS) y fue lanzado en el 2003. En el 2007, el nombre fue cambiado a Identity Lifecycle Manager (ILM), y luego en el 2010 se transformó una vez más, en Forefront Identity Manager (FIM). El FIM está diseñado para integrarse con Active Directory y Exchange y herramientas familiares. Los usuarios pueden tomar ventaja de auto-servicio a través de Outlook y los administradores pueden gestionar las identidades a través de una interfaz basada en SharePoint.
FIM contruido sobre ILM, se basa en la combinación de gestión de identidad con la gestión de los certificados y tarjetas inteligentes que proporciona la capacidad para administrar identidades de manera más eficiente en toda la empresa. Las organizaciones pueden combinar la información de identidad de diferentes directorios y sistemas como sincronizar las cuentas de usuario a través de esos sistemas, y la creación de una libreta de direcciones para servir a varios bosques. Cuando los usuarios cambian sus roles, su información se puede actualizar automáticamente de forma que tienen los derechos de acceso correctos para sus nuevas funciones. El FIM le permite crear políticas centralizadas y hace que sea más fácil de automatizar y hacer cumplir las políticas de identidad. Hay conectores de integración con bases de datos que no son de Microsoft, directorios y sistemas operativos, tales como Oracle, SAP, Novell, Sun, Lotus Notes y otros.
Para más información sobre la FIM, consulte como Comprender  FIM 2010.

Soluciones de Identidad de HP
Hewlett-Packard entró en el juego de gestión de identidad en el 2004, cuando añade la función de su sistema de gestión de red OpenView a través del software adquirido, TruLogica. OpenView fue renombrado en 2007 y poco después suspendido por HP Select Access, la Federación y los productos de identidad se descontinúan, a pesar de que seguirá apoyando estos productos hasta el año 2013.
HP ahora ofrece administración de identidades y acceso, como un servicio. Su oferta incluye IAM de ciclo de vida de gestión de identidad con la flexibilidad para utilizar una variedad de credenciales diferentes, incluyendo certificados, tokens y sistemas biométricos. También incluye servicios de federación, la gestión del directorio y de gestión de acceso, con información y servicios de auditoría.

Soluciones de Identidad de IBM
IBM proporciona IDM como parte de su suite de productos de gestión Tivoli. El Tivoli Identity Manager está basado en roles y  políticas  y se integra tanto en gestión de identidades como acceso. Es una solución muy completa que soporta auto-servicio y cuenta con características tales como el aprovisionamiento de bucle cerrado de usuarios (para detectar y corregir las discrepancias entre el acceso aprobado y privilegios locales) y la separación de funciones (para evitar conflictos de acceso de usuario).
Tivoli Identity Manager es compatible con un número de diferentes plataformas, incluyendo Windows Server, SUSE y Red Hat servidores Linux Enterprise, Sun Solaris y AIX de IBM propio curso. Se integra con los sistemas ERP y una amplia variedad de aplicaciones de negocios populares. Usted puede averiguar más sobre él aquí.
 
Soluciones de Identidad de CA
CA Technologies ofrece un producto llamado IDM CA Identity Manager que se han probado con las poblaciones de usuarios de hasta 100 millones de usuarios internos y externos, en una serie de escenarios diferentes (agencia del gobierno, empresa de comercio electrónico, establecimientos al por menor). Incluye las características habituales de aprovisionamiento automatizado y procesos, self-service y el papel y análisis de políticas y control. Está diseñado para trabajar con otras soluciones de CA, tales como Compliance Manager, un módulo de informes de actividad del usuario y así sucesivamente. También es compatible con conectores de Active Directory, SAP y bases de datos de Salesforce.com, y utiliza su propio directorio, CA Directory, que trabaja con otros servidores LDAP.
El Directorio de CA utiliza una tecnología de almacenamiento de memoria asignada que se llama DXgrid, para ofrecer una mayor escalabilidad y mejor rendimiento. La idea es utilizar la ruta más corta y búsqueda en paralelo entre los servidores. También hay una serie de mejoras de fiabilidad, como write-through (en lugar de escritura en segundo) de reparto de carga y conmutación por error.
CA también ofrece IdentityMinder como un servicio, basado en la nube con despliegue de su solución de aprovisionamiento para las aplicaciones basadas en la nube. Esto es parte de un conjunto completo de servicios en la nube llamada CloudMinder que incluyen CA AuthMinder as-a-Service, RiskMinder como servicio y FedMinder as-a-Service. Este documento técnico analiza la estrategia de CA y la visión sobre la identidad y la gestión de acceso para la nube.

Comparación de soluciones de Gestión de Identidad
La selección de una solución de gestión de la identidad requiere una comparación inteligente de características y funcionalidad en el contexto de las necesidades de su organización, preferencias y presupuesto. Algunas consideraciones incluyen:

  • ¿Es la solución de  identidad construida sobre una plataforma de flujo de trabajo?
  • ¿La solución de identidad está construida sobre una plataforma basada en roles?
  • ¿La solución de identidad está construida sobre una plataforma basada en políticas?
  • ¿Es lo suficientemente escalable para satisfacer sus necesidades en el futuro, así como el presente?
  • ¿Puede integrar fácilmente y gestionar múltiples directorios?
  • ¿Funciona en todos los sistemas operativos y aplicaciones implementadas en su organización?
  • ¿Le proporciona a las organizaciones servicios de identidad federados a través de sesión única?
  • ¿Le proporciona el auto-servicio para el restablecimiento de contraseña al usuario?
  • ¿Es compatible con  múltiples métodos de autenticación de terceros?
  • ¿Es fácil de personalizar sin necesidad de programación?
  • ¿Tiene una interfaz amigable, personalizable por el usuario?
  • ¿Incluye la auditoría integral y elaboración de informes, incluyendo personalización de informe, así como informes preconfigurados?

Resumiendo
La selección de una solución de IDM requiere un análisis cuidadoso de los patrones de flujo de trabajo de la organización, las consideraciones de seguridad, roles de usuario, los requisitos de cumplimiento, y mucho más. No sólo debe tener en cuenta el estado actual, debe tener en cuenta también los planes y metas para el futuro (como un movimiento hacia la nube). Una arquitectura de IDM básica se basa en una base de escalabilidad, fiabilidad y alta disponibilidad para las funciones clave, tales como el aprovisionamiento de cuentas de usuario, autenticación, autorización y gestión de acceso.

En la 4ta parte de esta serie, hablamos de las características de la solución de IDM y la arquitectura, las soluciones específicas de IDM populares disponibles en la actualidad, y una lista de comprobación para la evaluación de soluciones IDM. En la 5ta parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.

La quinta parte se entregará proximamente.
Hasta la próxima….


Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.

Introducción
En la Parte 1 de esta serie, se revisó la evolución del concepto de “identidad” y lo que significa, tanto dentro como fuera de ella. En la Parte 2, hemos hablado de todo lo que usted piensa que sabe acerca de la identidad – y, en particular la idea de que la igualdad de credenciales de identidad – está mal. En este sentido, la Parte 3, vamos a comenzar la discusión acerca de algunas de las soluciones actuales de Gestión de Identidad, así como nuevas formas de aplicar los viejos métodos de verificación de la identidad.

Firma como prueba de identidad
En los pre-electrónicos a veces, el nombre escrito a mano es la representación legal de la identidad de una persona y la intención de un contrato u otro documento. Debido a que la escritura tiende a ser más o menos exclusivo de un individuo a otro, una firma presenta pruebas de que la persona nombrada que había creado y/o leído y aceptado el contenido del documento es la misma.Sin embargo, las firmas pueden ser falsificadas (falso). La falsificación es un delito penal, pero contrariamente a la creencia popular, más que la firma de nombre de otra persona por lo general no constituyen la falsificación de la ley. Por ejemplo, una persona legalmente puede dar a otra persona permiso para firmar en su nombre, ya sea manualmente o utilizando un sello de firma o con una máquina, lo que es práctica común en las oficinas de negocios y agencias gubernamentales cuando la persona cuya firma es necesaria en un gran número de documentos y no pueden pasar todo el tiempo necesario para firmar personalmente. Para ser falsificación, la firma de otro nombre por lo general debe hacerse con fines fraudulentos – es decir, para engañar a alguien y/o a expensas de otro (los elementos específicos del delito se establece en los estatutos legales que hacen que sea un delito , y pueden diferir de una jurisdicción a otra).Para verificar que una firma es de hecho realizada por la persona cuyo nombre que representa, la firma puede ser notariada. Un notario público es un funcionario público que esté habilitado por el gobierno para presenciar la firma de los documentos (entre otras cosas) y autenticar la identidad de la persona que firma, por lo general mediante el examen de documentos de identificación como una licencia de conducir, DNI o pasaporte. El notario estampará la firma propia y el sello para verificar que el firmante es quien él/ella dice ser.

Las firmas digitales
En el mundo de TI, tenemos las firmas digitales para servir con un propósito similar, en calidad de evidencia de que un mensaje electrónico o documento ha sido creado o enviado por la persona o entidad a la que parece haber venido o creado. Las firmas digitales pueden ir un paso más adelante y comprobar que el mensaje o documento no se han modificado en modo alguno desde que se firmó.Las firmas digitales han estado con nosotros, al menos en concepto, desde los años 1970 (Diffie y Hellman) y está disponible en el software comercial desde finales de 1980 (Lotus Notes). Ahora las firmas digitales son cada vez más comunes, con muchas agencias gubernamentales que los utilizan para publicar los documentos oficiales, y en muchas jurisdicciones las firmas digitales son jurídicamente vinculantes, al igual que la firma manuscrita. Las firmas digitales utilizan el esquema de un par de claves pública/privada y por lo tanto se basan en una infraestructura de clave pública (PKI) para emitir los certificados digitales que contienen estas claves para la firma de documentos electrónicos. El papel de la entidad emisora de certificados es algo así como la del notario público – que es un tercero de confianza que le da su “sello de aprobación” para el firmante. La clave privada vinculada solamente a esa persona en particular y su uso para firmar el documento indica que la persona, y nadie más, lo hizo con la firma. Los certificados digitales no se utilizan sólo para la identidad de las personas , sino también las máquinas, tales como servidores web.
La clave para confiar en una firma – ya sea manuscrita o electrónica – como una verificación de identidad en su confianza de que el tercero – un notario público o CA – da fe de ello. Si un notario es laxo en exigir documentos de identidad o no sabe cómo determinar si la identificación es válida, la autenticidad de la firma puede ser dudosa. Si los certificados de la CA tienen problemas a quien lo solicite, bajo cualquier nombre, sin ningún tipo de verificación de que el solicitante está utilizando su verdadera identidad, la firma digital no es buena. Los certificados tipo Extended Validation (EV) son mucho más caros que los otros certificados digitales, ya que implican un trasfondo más profundo para comprobar la identidad legal de una entidad. Estos han existido desde 2007, cuando las directrices para la emisión de ellos fueron ratificados, y se utilizan para identificar sitios web seguros.Como la firma manuscrita, la firma de cada individuo debe ser presenciado por el notario. Con la firma electrónica, la autoridad competente emite el certificado y puede ser utilizado para muchas firmas diferentes. Por lo tanto, es imperativo que la clave privada se mantenga en secreto. La clave privada se guarda en un archivo que se puede guardar en el disco duro de una computadora, en una unidad extraíble, como una llave USB o en una tarjeta inteligente.

Más allá de la firma
Debido a que las firmas pueden ser copiadas o falsificadas, algo más a menudo, es necesario probar su identidad al firmar los documentos, siendo esto de especial importancia. Las agencias que emiten las licencias de conducir, algunos bancos y otras entidades puedan tomar una foto de una persona y/o requerir que él o ella proporcionen una huella digital junto con la firma. En el mundo de TI, la autenticación biométrica va más allá de una firma digital, lo que podría ser robado por un pirata informático inteligente. Como ya comentamos en la Parte 1, aunque la biometría no es un método infalible para verificar la identidad, se puede agregar otra capa al proceso de verificación. Si usted posee la clave privada correcta, su huella dactilar coincide con la almacenada para usted en la base de datos, usted conoce la contraseña, y usted es capaz de responder a algún desafío pregunta/respuesta de las preguntas con la información correcta, es muy probable que usted realmente es la persona que dice ser. De este modo, tal y como vemos en una “defensa en profundidad“, la solución para la protección de nuestros sistemas de los ataque, la mejor apuesta para la verificación de la identidad es una “autenticación en profundidad” como estrategia. ¿Cuál es el problema con eso? No hay, desde el punto de vista del administrador de seguridad. Pero a los usuarios no les agradará. E incluso nosotros, los profesionales de la seguridad, si somos honestos, puede ser un poco molesto cuando los sitios de banca nos pide que cambiemos nuestras contraseñas, volvamos a introducir el número de teléfono asociado a nuestras cuentas, y el nombre del perro de la tía de nuestro primer novio de antes que nos permiten la entrada para ver nuestros saldos.Un sistema de identidad de una buena gestión debe ser transparente para el usuario, al igual que un buen plan de seguridad global no puede sacrificar la facilidad de uso, o en última instancia, se producirá un error, como Bruce Schneier, dio a entender cuando dijo: “Mientras más seguro lo quiera hacer, se convierte en menos seguro.

Hacia una solución integral de gestión de identidad
Gestión de la identidad es algo más que sólo la autenticación de identidad, aunque la autenticación es un componente importante. El sistema de gestión de la identidad debe primero establecer la identidad de las personas o entidades (como computadoras) y luego usar esa información para controlar el acceso a los recursos del sistema. Suena simple, pero su aplicación efectiva puede ser muy complejo.En mundo de las TI de hoy en día, es todo acerca de EaaS – todo como un Servicio. El sistema de gestión de identidad debe estar integrado para ofrecer los servicios a los usuarios a la perfección, en la demanda, mientras se determina quién tiene acceso a los servicios y en qué grado. Y va en ambos sentidos, los usuarios deben ser capaces de verificar la identidad de los proveedores de servicios.Incluso las redes domésticas de hoy requieren de algún sistema de gestión de identidades. Los controles para padres se basan en la autenticación de identidad para dar a los padres la posibilidad de restringir los juegos que los niños puedan jugar, qué sitios web puedan visitar, cuánto tiempo podrían permanecer en línea, y así sucesivamente.En la Parte 4 de esta serie, vamos a mirar más de cerca los criterios para elegir una solución de gestión de identidad integral de una organización, la gestión de identidad federada, y el efecto de la nube de problemas de identidad en TI. Entonces, brevemente discutir el futuro de la identidad.

Continuará….

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.La cuarta parte se entregará proximamente.


Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal

Introducción
En la Parte 1 de esta serie, hemos profundizado en el significado de la “identidad” – tanto en el esquema general de las interacciones humanas, en el mundo de las redes de computadoras – cómo en los significados que han evolucionado a lo largo de los años. Desafortunadamente, mucho de lo que creemos saber sobre la identidad, prueba, luego de un examen más detenido, que sólo una parte es parcialmente verdadero o falso en su totalidad. Tal vez el mayor obstáculo para el personal de TI a superar es la idea de que la identidad es sólo acerca de los nombres y contraseñas de cuentas (o las credenciales de autenticación de terceros).

Nombres no es lo mismo que Identidad
Los nombres son el principal medio por el cual la mayoría de nosotros identifican a las personas (como a los objetos también). En el idioma Inglés (en Español se definen de la misma manera)(1), los nombres que identifican a determinados individuos o entidades se llaman “nombres propios”. La investigación ha demostrado que incluso algunas especies no humanas (como los delfines) aparece el uso de nombres, de una especie, para diferenciarse entre uno y otros. En algunas sociedades, los nombres están muy bien guardados y solo se confían a personas cuando las mismas son de confianza.
(1) Referencia del traductor.

En IT, los nombres se requieren a menudo para obtener acceso a un recurso. Los nombres de cuenta de los usuario son una parte del conjunto de la información necesaria para iniciar sesión en una computadora o tener acceso a un recurso protegido en el sistema o a través de la red. Los nombres de los servidores pueden ser necesarios para localizar un recurso de red. La combinación de nombre de servidor, nombre de dominio y el nombre del archivo está obligando a acceder a una página web – aunque a veces no están obligados a proporcionar toda la información, por ejemplo, si apuntamos un navegador web para http://www.mydomain.com, que han proporcionado el nombre del servidor Web (WWW) y los nombres de dominio (mydomain y com.) pero no tiene que escribir el nombre del archivo (por ejemplo, default.htm o index.html), ya que se supone que si no lo hacemos, puede entrar en otro nombre de archivo.

En el “mundo real”, muchas personas diferentes pueden tener exactamente el mismo nombre, escrito de la misma manera. Todos los John Smiths por ahí puede ser fácilmente confundido con otras personas. En un sistema de TI, los nombres de las cuentas de usuario se requieren generalmente para ser único dentro de ese sistema. Vemos, pues, los nombres de usuario, tales como jsmith392.

Tan importante como son los nombres, es importante recordar que un nombre en realidad es sólo un descriptor. Ya sea que se refieren a mí como “Debra Shinder”, como “el autor de Crisis de Identidad (Gestión)” o como “el 5’4 “mujer pelirroja de suéter verde”, que estamos hablando de la misma persona. Sin embargo, sólo dos de las tres descripciones son específicos (no es probable que sean muchas las mujeres que usan 5’4 “suéteres verdes en el mundo en un día determinado”). Sólo uno de ellos es permanente – que podría teñirme el pelo, o incluso cambiar legalmente mi nombre, pero una vez que he escrito este artículo, siempre voy a ser el autor. Sólo uno es “oficial”, en el que está en mis documentos emitidos por el gobierno. Los nombres se pueden cambiar – a través de una orden judicial, a través del matrimonio, o en algunas jurisdicciones en común, sólo mediante la adopción y el uso de uno nuevo. El punto es que su nombre no es usted.

En TI, los nombres de usuario también se puede cambiar. En la mayoría de los sistemas, esto se puede hacer con bastante facilidad, precisamente porque, aunque el nombre es la información que usan los humanos para identificar la cuenta, no es lo que utiliza el sistema. El sistema utiliza generalmente una cadena alfanumérica de caracteres subyacente, que en los sistemas Windows se llama el SID o el identificador de seguridad. El nombre asociado con el SID es sólo una de sus propiedades y se puede cambiar.

Las credenciales de autenticación no es igual a Identidad
Lo que comúnmente se denomina como “robo de identidad” en general es realmente el robo de credenciales que se asocian con una identidad particular. Robar tu contraseña no constituye realmente el robo de tu identidad – pero permite al ladrón hacerse pasar por Usted. Esto sólo funciona con un sistema sofisticado / sin saber que se basa únicamente en esas credenciales para identificarse y hacer la suposición de que Usted es el único que podría saber la contraseña.

Volviendo a la comparación del mundo real, si alguien utiliza su nombre y tal vez tiene una de sus tarjetas de crédito en su posesión, un comerciante no sabe por que razón puede tener la tarjeta o si la misma ha sido robada y la considera válida. Un comerciante más consciente de los riesgos, puede pedir una identificación con una foto, junto con la tarjeta de crédito, para verificar que realmente es Usted. Un comerciante que en realidad sabe que no es Usted, sabrá de inmediato que no es usted, incluso si el ladrón de la apariencia física en general es similar a la suya o no.

Incluso si una persona tuvo una cirugía plástica para él/ella se mira igual que Usted, sus amigos cercanos y miembros de la familia sabrán que no es la persona que dice ser, al menos después de un poco de interacción, porque esa persona podría tener todos sus recuerdos, o recordar todas las experiencias compartidas, y demás que componen una relación.

Un sistema de autenticación de TI sofisticado debe exigir algo más que el nombre y la contraseña correcta. Usted probablemente ha notado que recientemente, ciertos sitios web protegidos han empezado a utilizar otros métodos, adicionales para verificar su identidad junto con las credenciales habituales. Le puede solicitar la respuesta a una pregunta personal, como el monto de su pago hipotecario mensual. Puede ser que hayan seleccionado una foto que usted tendrá que escoger de un grupo de imágenes cada vez que se inicie la sesión. Hay muchas maneras diferentes de hacer el proceso de verificación de identidad más difícil para un impostor se pueda hacer pasar como Usted. El truco es hacer que sea muy difícil para un impostor, pero muy fácil para el “verdadero yo”. En la Parte 3, vamos a estar mirando a los diferentes métodos y la forma de determinar cuál funciona mejor en una situación determinada.

El dilema de la Identidad múltiple
Una cosa que complica la gestión de identidad es el gran número de identidades que cada uno de nosotros puede asumir en el curso legítimo al momento de vivir nuestras vidas. En la vida real, aunque la mayoría de nosotros usamos el mismo nombre para la mayoría de nuestras interacciones, jugamos muchos roles diferentes en función de dónde estamos y con quien estamos interactuando.

A veces estas diferencias son tan extremas que las descripciones de la misma persona en diferentes situaciones nos llevaría a creer que usted puede ser tímido y reservado en casa, pero extrovertido y bullicioso en público “No debemos estar hablando de la misma Mary Smith.” – O viceversa. Usted puede ser formal y correcto delante de sus padres, pero provocativo u ofensivo, incluso después de unas copas en un bar.

Algunas personas incluso viven de verdad una “doble vida”, no sólo actúan de manera diferente, pero usan oficialmente distintas identidades. Todos lo hemos visto en las películas – por lo general la participación de un espía del gobierno o agente de espionaje corporativo. Hemos leído los artículos periodísticos sobre el vendedor afable que tiene esposas y familias en diferentes ciudades. Y, por supuesto, no es la condición psiquiátrica, lo que se llamó una vez “doble personalidad” o “trastorno de personalidad múltiple” y que ahora se denomina “trastorno de identidad disociativo”, en el que una persona muestra “alterna” – distintas personalidades separadas, cada una con su propias percepciones del mundo.

La mayoría de nosotros tenemos muchas identidades diferentes – que generalmente se traduce en muchos conjuntos de nombres de usuario y contraseñas (y / u otras credenciales de autenticación). Tenemos un nombre y una contraseña para iniciar sesión en nuestros ordenadores, otro para el registro en los equipos de trabajo, otro para la línea de sitios Web bancarios, otro para el pago de nuestra factura de electricidad, uno para comprar cosas de Amazon, uno para compartir con los amigos en las redes sociales, y sigue y sigue y sigue. No es nada raro tener veinte o más cuentas diferentes en línea para la gestión de los diferentes aspectos de nuestras vidas digitales.

Sólo la gestión de todas sus identidades personales puede ser un desafío. Los departamentos de TI tienen más de un desafío, con la necesidad de gestionar cientos o miles de identidades de los usuarios. Algunas personas toman el camino más fácil, y usar el mismo nombre y la contraseña para todas sus cuentas. Simplifican las cosas, pero plantea una gran amenaza a la seguridad: Si el conjunto de las credenciales se ve comprometida, todas sus cuentas están en riesgo.

Otros utilizan un método improvisado de “niveles” de credenciales. Es posible que tenga un nombre de usuario/contraseña que utiliza para las cuentas no muy importantes, como el inicio de sesión en un sitio de noticias para leer sus historias o de TI en el foro para hacer/responder a las preguntas de alta tecnología. Entonces usted tiene otra cuenta que se utiliza para los sitios de alta seguridad, tales como Facebook o Google (en el que compartir información personal). Esa contraseña puede ser mayor y más compleja. Usted podría tener otro conjunto de credenciales, más difícil como contraseña/frase, para los sitios de banca o en los que debe introducir la información de tarjetas de crédito u otros datos financieros.

Una identidad para gobernarlos a todas
Single Sign-on es considerado por algunos como el Santo Grial de la gestión de la identidad. Esto se refiere a la capacidad de iniciar sesión una vez y acceder a múltiples sistemas. Esto difiere de utilizar las mismas credenciales para varias cuentas en que hay:

1.Credenciales idénticas, usted todavía tiene que iniciar sesión en cada sistema por separado, simplemente no tiene que recordar múltiples nombres y contraseñas.
2.Inicio de sesión único, usted todavía tiene unas credenciales distintas para cada uno de los sistemas, pero todos estos son almacenados por el sistema de SSO y entró automáticamente en el sistema adecuado después de haber iniciado sesión con su cuenta “maestra” de SSO.
Vamos a mirar más de cerca soluciones de sesión única en la parte 3.

A veces, tener una sola identidad, incluso dentro de un único sistema, puede ser problemático. Algunas redes sociales populares, como Facebook y Google+, han recogido quejas de los usuarios acerca de sus políticas que prohíben que los usuarios tengan varias cuentas y/o requiere a los usuarios utilizar sus “reales” (legal) nombres de cuenta. Muchas personas, por ejemplo, desean tener una cuenta de compañeros de trabajo y otro para los amigos personales. Algunos quieren usar un seudónimo, como un nombre de cuenta, porque ese es el nombre con el que el público los conoce (los autores que utilizan seudónimos, los actores que tienen nombres artísticos, etc.) En algunos casos, incluso puede ser peligroso para una persona a usar su nombre real debido a las leyes dictatoriales o por las cuestiones políticas en países en los que cualquier atisbo de disidencia puede ser castigada con la muerte.

ResumiendoSu identidad es mucho más que un conjunto de credenciales, pero la protección de sus credenciales es una parte importante para operar de forma segura en línea. En la Parte 3, vamos a ver algunas de las soluciones de gestión de identidad, y en la parte 4, vamos a terminar esta serie con algunas especulaciones sobre el futuro de la identidad en un mundo cada vez más interconectado.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La tercera y cuarta parte se entregarán proximamente.


Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad

Introducción
El robo de identidad, gestión de identidad, protección de la identidad son términos que observamos o escuchamos últimamente, y vemos que la identidad es un elemento crucial en la mayoría de los mecanismos de seguridad informática. Los controles de acceso dependerán de la identificación de los usuarios o dispositivos que se les permita ver o utilizar los recursos. Se nos pide “probar” nuestra identidad cada vez que vamos a bordo de un avión, en un hotel,al hacer una compra a través de un cheque o una tarjeta de crédito, o ingrese a una computadora o un sitio web seguro. Sin embargo, la valoración de la prueba suele ser muy baja, y en el mundo de las TI, parece que tenemos una idea equivocada acerca de lo que la identidad es en realidad y cual es el caso de que no lo es.
En este artículo, serie de tres partes, en primer lugar vamos a observar cómo el concepto de identidad se ha convertido – particularmente en los ámbitos legales y tecnológicos. En la segunda parte , vamos a demostrar por qué todo lo que usted piensa que usted sabe acerca de identidad está mal. Luego en la tercera parte, vamos a ver las soluciones de TI comunes de gestión de identidades, donde no logran cubrir las expectativas o necesidades, y cómo se podría mejorarlo.

Identidad: ¿Qué significa eso realmente?
Identidad” tiene diferentes significados, dependiendo del contexto en el que se lo utiliza. Se trata de un concepto filosófico, un concepto psicológico, un concepto jurídico, incluso un concepto religioso – y luego está ovbiamente, la forma en que se lo utiliza en TI. En términos filosóficos, simplemente se refiere a lo que hace que una entidad reconocible y distinguible de otras entidades. En psicología, se trata de la propia imagen de una persona, los roles sociales y las características de la personalidad, y hay una gran cantidad de teorías y modelos que van desde la ruptura freudiana de la psique en ello, el yo y el super yo, con el marco Eriksoniana para separar la identidad personal y social o cultural. En la teología, se trata del alma.

Eso es todo muy interesante, pero voy a dejar esos debates a la gente que está especializada en estas disciplinas. Más pertinente para aquellos que tiene que ver con el crimen cibernético es lo que significa la identidad en un sentido legal, y cómo ve el mundo de TI y de los intentos de “manejar” la identidad. Sin embargo, una breve mirada a la historia y la evolución de la sociedad de definiciones de la identidad es útil en la comprensión de la ley y su correspondiente práctica.

Historia y evolución de la identidad

Cuando usted entra en una relación con alguien – de negocios o personales – siempre es importante saber con quién estás tratando. Los seres humanos se diferencian de muchas maneras. Antes de desarrollar el lenguaje, podemos asumir que la gente se identificaban con otras personas por el aspecto que tenían, como se comportaban; sonaban (bajos gruñidos agudos frente a altos tonos?), incluso por su olor. Sabemos que muchos animales hoy en día, como los perros, se basan en la nariz para interpretar el mundo y esto incluye el reconocimiento de personas y otros animales por la forma en que huelen.

Con la palabra hablada y escrita fue la práctica de dar nombres a objetos y personas. En una población pequeña, los nombres podrían ser únicos para que cuando se habla de “John Smith”, todos sabían de quien se estaba hablando. Las poblaciones tempranas también fueron en general menos móviles (la gente no se iba de la ciudad), por lo que todos en el pueblo no sólo sabía quién era John – que lo habían conocido desde su nacimiento y estaban familiarizados con todas las características que definieron a “Juan”, como su voz, su modo de andar, los gestos divertidos que hizo con sus manos y sus comportamientos generales. Las personas fueron identificadas a menudo no sólo por sus nombres y características, sino también por su ascendencia: por ejemplo, John Smith, hijo de Robert y Mary Smith.

A medida que la población se hizo más grande y más móvil, los nombres se duplicaron y la gente entraba y salía de la ciudad. Ellos fueron identificados a veces por sus lugares de origen: es decir, Joe Jones, de Riverside. Pero a medida que más y más extranjeros llegaron a la ciudad, no teníamos la historia con ellos y no había manera de identificarlos, excepto por los nombres y otra información que proporcionaban, lo que podría o no podría ser su “verdadero” nombre. Por lo tanto hemos desarrollado la necesidad de credenciales de identidad.

Alguna vez, las credenciales podían ser cualquier cosa, desde una carta de presentación de alguien que había conocido durante un tiempo sustancial a una anotación en una Biblia de la familia. Pero los gobiernos se convirtieron en las burocracias y los burócratas les gusta llevar un registro, por lo que los documentos de identidad se convirtieron en algo común y obligatorio. Los certificados de nacimiento proporcionaban un registro escrito de un nombre, lugar / fecha / hora de nacimiento, hasta un linaje. Cuando la mayoría de los bebés nacían en su casas, muchas personas no tenían certificados de nacimiento, pero a medida que el proceso de parto se trasladó a las instituciones (hospitales), se hizo más fácil para los gobiernos para vigilar los nacimientos.

El advenimiento del automóvil tuvo la consecuencia imprevista de la creación de un modelo de documento, documento oficial de identidad, licencia de conducir. Ese documento se transformó en un pedazo de papel con su nombre, fecha de nacimiento, dirección y firma en él hasta llegar a una tarjeta de plástico con una foto, y ahora en muchas jurisdicciones se incluye una huella digital, banda magnética con información codificada, impresiones holográficas y / o transmisores de RFID.

Hoy tenemos una gran cantidad de credenciales de identidad. Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la obra social, para nuestros hijos mucho antes de ser apto para obtener un trabajo, y a pesar de que originalmente la ley prohíbe expresamente su uso como identificación, se ha convertido en una credencial de identidad de facto que no podemos usar para obtener beneficios del gobierno y pagar nuestros impuestos, pero al tomar una clase, podemos solicitar un crédito o incluso (en algunos casos) firmar un servicio como el de televisión por cable o para el servicio teléfonico. Los que trabajan para las grandes empresas tienen tarjetas de identificación de empleados. Si pertenecemos a una organización, tenemos también tarjetas de membresía. Para viajar fuera del país, es necesario el pasaporte.

Nos estamos ahogando en un mar de credenciales de identidad.

La credibilidad de las credenciales
No todas las credenciales de identidad han sido creadas iguales. ID emitidos por el gobierno son generalmente considerados como la mejor prueba de su identidad, pero ¿lo son realmente?.Los Estados han reforzado sus procedimientos, pero tan sólo unos pocos años atrás (antes de 11 de septiembre), en muchas jurisdicciones no era tan difícil conseguir una licencia de conducir con en el nombre que uno quisiera. Recuerdo que cuando me casé en la década de 1990 y me fui a DMV para cambiar mi nombre. La persona que me atendió no me pidió mi licencia de matrimonio o cualquier otra documentación del cambio de nombre que justificara mi cambio, yo simplemente les dije cual era el nuevo nombre y diligentemente se introdujo en el sistema y emitió una nueva licencia como le solicité. Por supuesto, en aquel entonces era perfectamente legal para cambiar el nombre en Texas a través de la ley común – es decir, sólo mediante la adopción y el uso del nuevo nombre. No se requiere orden judicial (a menos que usted fuera un menor de edad).

Hoy en día tienes que saltar a través de algunos aros más para obtener una licencia o cambiar su nombre, pero no es como se lo hacen en un cheque de fondo. La adición de una huella digital a la base de datos de la licencia de conducir lo hace un poco más difícil para que Usted pueda falsificar su identidad en el DMV – si alguna vez te han tomado las huellas digitales de impresión y que estás permanezcan aún en el archivo. Sin embargo, muchas personas no tienen, a menos que hayan estado en el ejército, fue arrestado alguna vez, trabajó como oficial de cumplimiento de la ley o en una posición con la autorización de seguridad, en la que se obtiene una licencia para portar un arma oculta, etc. Un día es probable que todo el mundo tomará las huellas digitales de niños, en el momento en que aún es opcional, pero esto es alentado por muchos programas de seguridad escolar del niño.

Pensamos en los métodos de alta tecnología de hoy de identificar a las personas como superiores a las de años pasados, pero ¿son realmente?. Como ya hemos mencionado, la base de la verificación de la identidad antes de que todas estas tarjetas de fantasía y los métodos científicos fuera certificado. Es interesante, vamos a regresar en torno a ver el valor de un mundo donde las credenciales de papel, plástico y electrónicos pueden ser fácilmente falsificadas.

El enfoque de TI a la identidad
Si tenías la mayoría de edad en la época de cuando la PC de IBM era el rey, es probable que recuerden arrancar el sistema operativo y empezar a trabajar. Usted no tenía que identificarse con el sistema (a menos que un software especial se hubiera cargado y te lo exigiera). Los primeros ordenadores domésticos eran compartidos por lo general por todos los miembros de la familia, y nadie tenía cuentas de usuario.

Pero en un entorno empresarial, es importante identificar quién está usando una computadora, aunque sólo sea para saber quién era responsable si el sistema estaba mal. Configuración de cuentas de usuario separadas, bien se logró esto, pero los usuarios no tenían manera de probar su identidad cuando se lo despidió y sus cuentas quedaron huérfanas, en donde cualquier persona podría utilizar cuenta de otra persona (y a menudo lo hicieron). Por lo tanto la obligación de proporcionar las credenciales para demostrar que eras realmente el usuario propietario de esa cuenta era subjetivo.

El uso de contraseñas (o “códigos secretos”) para verificar la identidad ha estado por mucho más tiempo que las computadoras. Por lo tanto, era lógico (y fácil) para utilizar el sistema de contraseñas para la autenticación de los usuarios de computadoras. Los PIN son sólo el equivalente numérico de las contraseñas alfabéticas. Sin embargo, los problemas con las contraseñas y números de identificación como un mecanismo de autenticación son leyenda. Si las contraseñas son breves y sencillas, son fáciles de romper con un ataque de fuerza bruta. Si son largos y complejos, los usuarios las olvidan y/o las escriben en algún lugar simple para recordarlas. Las frases proveen más complejidad al mismo tiempo dejan de ser relativamente fácil de recordar, pero no resolvemos del todo el problema.

La necesidad de un mecanismo de autenticación mejorado es llevado al concepto de autenticación de múltiples factores. Además de “algo que usted sabe” (PIN, contraseña o frase de contraseña), los usuarios pueden ser obligados a proporcionar algo de lo que tiene: una tarjeta inteligente o token, o un teléfono celular que se identifica por un número de serie único o una señal generada por el software . El sistema de tarjeta / token tiene sus propios inconvenientes, sin embargo, la credencial de física se puede dejar en el hogar, perdidos o robados.

Información biométrica se ha considerado el Santo Grial de la autenticación, porque se dice que se basa en “algo que se” – características fisiológicas o de comportamiento que se cree que son exclusivos de una persona en particular y que no cambian. Sin embargo, incluso los datos biométricos no ofrecen un método infalible para verificar la identidad. Las huellas dactilares se pueden reproducir a través de los moldes (o siendo más dramático, al estilo Hollywood, un tipo malo solo podría cortar el dedo y utilizarla para tener acceso). La enfermedad y las lesiones pueden causar cambios en las características fisiológicas – huellas dactilares, patrones de la retina, voz, modo de andar, etc. Existe la posibilidad en minutos, pero real, de la duplicación, por lo menos en la medida utilizada para declarar un partido en la base de datos. Por ejemplo, un sensor de huellas digitales, como cualquier pieza de equipo electrónico, pueden fallar. El software utilizado para procesar la impresión y la comparamos con otros en la base de datos podría tener errores. Los falsos positivos son posibles. Lo mismo es cierto para otros métodos biométricos.

Resumen
No hay ningún medio perfecto e infalible de la autenticación de la identidad de un usuario. Y esto es complicado por factores que vamos a discutir en la segunda parte.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La segunda parte se entregará proximamente.


Anonymous comparte Código para atacar el FBI


Desde el momento que el FBI bloqueo el sitio de MegaUpload, se lanzó una batalla contra el FBI. Anoche, Anonymous, usando como vía de comunicación los seguidores de Twitter, lanzó la operacion Megaupload. De esta manera publicaban sitios que permtía atacar desde diferentes puntos de planeta al sitio del FBI (http://www.fbi.gov/) para producir una DoS, o códigos que podrían ser bajados y ejecutados con el fin de sumar tráfico para intentar producir la DoS al sitio.

Se entiende por DoS, Deny of Service o Denegación de Servicio, al envío masivo de paquetes de cierto tamaño, para que los servidores que deben responder ante una inquietud colapsen.
Para llevarlo más al lenguaje humano, hagan de cuenta, que Ustedes están en la plaza principal de su ciudad, hablando con un amigo, de pronto, 500 personas quieren hablar contigo al mismo tiempo generando miles de preguntas. ¿cómo se sentirían?. Imaginen un servidor Web o con ciertos servicios publicando los mismos a Internet.
Está tecnica es similar a un software que se bajaba en las Pc al comienzo del año 2000, que era un protector de pantalla, en donde se bajaba porciones de sonido cosmico y mientras el protector de pantalla funcionaba, analizaba si no existía conversaciones de extraterrestres.
Para los expertos de seguridad, que quieran analizar los códigos que se generan, les dejo alguno sitios de interes. Los mismo son referenciados para su análisis y no con el fin de sumarse a la causa.
Ejemplo de código: http://pastebin.com/Gh2Jrd2D
 
Si analizan o prueban el código, recomendamos usarlo en un ambiente aislado para su análisis. Recomendamos no usar los mismos, recuerden que si no conocen de técnicas de spoofing o enmascaramiento, pueden ser detectados, y estas prácticas no son legales.
Actualmente, siguen compartiendo sitios y código para que sea usado contra el sitio del FBI.
Estaremos actualizando los estados de seguridad.
Hasta la próxima.