Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ARQUITECTURA Y URBANISMO
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE
SISTEMAS
TESIS:
AUTOR:
Bach. UEKI TORRES RICARDO PEDRO
LÍNEA DE INVESTIGACIÓN:
Tecnologías de la Información
Índice de Tablas
Tabla 1: Cuadro de operacionalización de variable Independiente ............................................ 45
Tabla 2: Cuadro de operacionalización de variable dependiente ............................................... 46
Tabla 3 Matriz de Riesgos, requisitos de seguridad y acciones ................................................. 49
Tabla 4: Tabla de análisis estadístico de datos .......................................................................... 53
Tabla 5: Parámetros de cumplimiento ........................................................................................ 56
Tabla 6: Análisis del proceso de comunicación – conexión ........................................................ 56
Tabla 7: Análisis del proceso de comunicación – registro .......................................................... 58
Tabla 8: Análisis del proceso de comunicación - login ............................................................... 59
Tabla 9: Análisis de tratamiento de información - transmisión ................................................... 60
Tabla 10: Análisis de tratamiento de información – almacenamiento......................................... 62
Tabla 11: Resumen de indicadores de cumplimiento de requisitos de seguridad ...................... 64
Tabla 12 Matriz Comparativa Proveedores Servicios de Almacenamiento en la Cloud
Computing ................................................................................................................................... 67
Tabla 13 Versiones de protocolos de seguridad ......................................................................... 71
Tabla 14 Comparación de las versiones de protocolo TLS en autenticación e intercambio de
claves .......................................................................................................................................... 72
Tabla 15 Comparación de las versiones de protocolo TLS en la seguridad de cifrado.............. 72
Tabla 16 Comparación de las versiones de protocolo TLS en la integridad de datos................ 72
Tabla 17 Herramientas para evaluar el nivel se seguridad de los protocolos utilizados ............ 79
Índice de Figuras
Figura 1: Esquema de cifrado ..................................................................................................... 19
Figura 2: Cifrado/descifrado asimétrico con clave pública .......................................................... 22
Figura 3: SSL en modelo TCP/IP ................................................................................................ 27
Figura 4: Desglose de una suite.................................................................................................. 28
Figura 5: Arquitectura SSL .......................................................................................................... 28
Figura 6: Negociación de algoritmos de cifrado en Protocolo SSL Handshake ......................... 29
Figura 7: Funcionamiento SSL/TLS ............................................................................................ 30
Figura 8: Aplicaciones sobre SSL ............................................................................................... 34
Figura 9: Vulnerabilidades en SSL .............................................................................................. 36
Figura 10: Diagrama Lógico de Procesos ................................................................................... 48
Figura 11: Cumplimiento de requisitos en proceso de comunicación – conexión ...................... 57
Figura 12: Cumplimiento de requisitos en proceso de comunicación - registro ......................... 58
Figura 13: Cumplimiento de requisitos en proceso de comunicación - login .............................. 59
Figura 14: Cumplimiento de requisitos en procesos de comunicación - transmisión ................. 61
Figura 15: Cumplimiento de requisitos en proceso de almacenamiento .................................... 62
Figura 16: Cumplimiento de requisitos de seguridad .................................................................. 64
Figura 17 Servicios que recomendaría utilizar en la Cloud Computing ...................................... 69
Figura 18 Proveedores más usados del servicio de Cloud Computing ...................................... 69
Figura 19 Principales beneficios del uso de la Cloud Computing ............................................... 70
Figura 20Principales desventajas del uso de la Cloud Computing ............................................. 70
Figura 21 Funcionamiento de proceso de comunicación SSL/TLS ............................................ 73
Figura 22 Captura de tráfico usando sniffer Wireshark............................................................... 74
Figura 23 Suite de cifrado (conjunto de cifrado) ......................................................................... 75
Figura 24: Suite de cifrado durante la conexión TLS .................................................................. 81
Figura 25: Suite de cifrado usado por OneDrive ......................................................................... 82
Figura 26: Archivos cifrados ........................................................................................................ 82
Figura 27: Certificados ................................................................................................................ 83
Figura 28: Visor de certificado ..................................................................................................... 84
Figura 29: Formulario de registro ................................................................................................ 85
Figura 30: Registro en claro ........................................................................................................ 86
Figura 31: Lista de usuarios disponible ....................................................................................... 87
Figura 32: Repetición de registro existente ................................................................................. 88
Figura 33: Captura del password ................................................................................................ 90
Figura 34: Captura del password con ZAP durante la petición login .......................................... 91
Figura 35: Indica usuarios existentes .......................................................................................... 92
Figura 36: Transmisión de archivos en OneDrive. Captura del archivo sin cifrado .................... 93
Figura 37: Captura con Wireshark de la subida del primer archivo ............................................ 95
Figura 38: Captura con Wireshark de la subida del segundo archivo ........................................ 95
Figura 39: Captura de la descarga del archivo ........................................................................... 96
Figura 40: Sincronización de archivos infectados ....................................................................... 97
Figura 41: Advertencia de descarga archivo infectado ............................................................... 98
Figura 42: Protocolo TLS V 1.2 Usado por Google Drive ......................................................... 100
Figura 43: Suites de cifrado usado por Google Drive ............................................................... 101
Figura 44: Suite de cifrado y protocolo TLS V 1.2 .................................................................... 101
Figura 45: Certificados de Google Drive ................................................................................... 102
Figura 46: Captura de la disponibilidad de usuarios ................................................................. 104
Figura 47: Captura con Firebug de la petición de registro de Google ...................................... 105
Figura 48: Captura Zap de token de acceso y refresco ............................................................ 107
Figura 49: Relación o enumeración de usuarios en el formulario Login ................................... 107
Figura 50: Captura de contraseña en claro ............................................................................... 108
Figura 51: Captura con ZAP de la subida de un mensaje ........................................................ 111
Figura 52: Captura con Wireshark de la subida del primer archivo .......................................... 112
Figura 53: Captura con Wireshark de la subida del segundo archivo ...................................... 112
Figura 54: Captura de la subida de un archivo ......................................................................... 113
Figura 55: Captura de un archivo infectado .............................................................................. 114
Figura 56: Advertencia de la consola Web de un archivo infectado ......................................... 115
RESUMEN
tradicionales migren hacia la nube, ahora más que nunca la seguridad es clave,
datos en la nube es más segura, para lograr este objetivo primero se eligen los
TLS, de esta manera contribuir con los usuarios a elegir el proveedor más
seguro.
seguridad, análisis
1
ABSTRACT
growth and investment most used, which has meant that many traditional
systems migrate to the cloud, safety is the key, especially in products and
services data storage cloud, allowing users to share or save different types of
files and documents from any device that connects to the Internet.
There are several threats that can compromise information stored in the cloud
as rape and loss of data. It is very important to note that users before to migrate
your data to the cloud, should know that providers offer guarantees, regarding
confidentiality, authentication and data integrity, and can make the right
decision.
cloud is safer, to achieve this goal first choose the suppliers most used in our
environment, then identify and perform a brief study of the operation of security
traffic information, and the most striking deficiencies from the TLS protocols,
2
INTRODUCCION
menciona que “(…) los recursos, que normalmente son aplicaciones software,
puede acceder a ellos desde cualquier lugar del mundo”, siempre y cuando se
eficientes” (p. 67). Dichas políticas que resistan las diferentes arquitecturas
almacenamiento en la nube.
3
Es de suma importancia elegir un producto que se adecue a los requisitos de
como son OneDrive y Google Drive a través del análisis comparativo de los
4
CAPITULO I: PROBLEMA DE INVESTIGACION
término ha sido usado por varios años por la gran parte de los sitios
2013, p. 76).
5
la nube, se proyecta un crecimiento del 70% anual en el uso de los
inseguridad.
p. 51).
cadena de negocios de sus clientes” (p. 44). Cabe aclarar que dichas
6
fallas no refieren solo al proveedor del sistema en la nube sino también
a estos servicios.
Por otro lado, un factor que adiciona complejidad a dicho tema es “la no
interrogante:
7
¿Cómo determinar que aplicación de almacenamiento de datos en la
seguridad implementados?
información.
8
aparecen nuevos riesgos específicos derivados de las nuevas
21).
9
Según el Dominio Consultores para Cisco Perú, “el uso de servicios en
Justificación Académica:
Justificación Social:
10
almacenamiento de datos en la Cloud Computing, contribuyendo con la
Justificación Tecnológica:
confiabilidad y operatividad.
en la nube.
1.5. Limitaciones
11
investigaciones previas, tan es así que los antecedentes en los cuales
1.6. Objetivos
en la realidad peruana.
12
CAPITULO II: MARCO TEORICO
el tema a desarrollar:
13
impensables pocos años atrás” (p. 72). Estos autores mencionar algo
14
un esquema tradicional de almacenamiento y resguardo, aprovechando
seguridad.
almacenada en la nube.
Carlessi, A., Crespo, O., (2015) Estudio del Estado del Arte de la
15
almacenamiento prefiere recibir este servicio preferentemente desde
16
En la investigación se determinan las posibles amenazas a la
seguridad, así como los requisitos de seguridad con los que cumplen
dispositivos cliente.
aspectos:
17
Protocolos de comunicación implementados: tipo de conexión, registro
gestión de borrado.
estudio.
realidad actual.
18
2.3 Bases Teórico Científicas
tener en cuenta:
IDEA.
19
mensaje” (Simmons, 2016, p. 50). Una de las claves es pública, ésta se
generar una vez, de modo que se puede asumir que no es posible que
una vez cifrado, sólo la clave privada del destinatario podrá descifrar
este mensaje, ya que es el único que la conoce” (p. 64); por ende se
se conoce que sólo pudo haber sido él quien empleó su clave privada
20
“Los sistemas de cifrado de clave pública o sistemas de cifrado
pública puede ser usada por cualquiera que desee comunicarse con su
seguridad.
21
Figura 2: Cifrado/descifrado asimétrico con clave pública
secreta, que puede ser un número, una palabra o una simple cadena
acción resulta fácil así como “cambiar cada letra por un número de
descifrar todos los mensajes que utilizan esta clave” (p. 55).
22
publicado en 1977” (Anaya, 2015). En este documento se describe el
Por otro lado Gutiérrez (2007), menciona que: “el algoritmo se puede
routers, ya que WPA opera con AES como método de cifrado; este
23
“Los algoritmos de cifrado de bloque como AES separan el mensaje en
IDEA.- “Opera con bloques de 64 bits usando una clave de 128 bits y
24
No hay operaciones a nivel bit, facilitando su programación en alto
nivel.
autoridades confiables.
utiliza.
25
PROTOCOLO SSL/TLS
capa de aplicación, es decir bajo los protocolos HTTP, FTP, SMTP, etc.
26
Figura 3: SSL en modelo TCP/IP
27
error y las advertencias El Change Ciphersuite Protocol es usado para
28
Figura 6: Negociación de algoritmos de cifrado en
Protocolo SSL Handshake
29
utiliza en el intercambio de claves y en el firmado” (p. 78). Una vez
Code (MAC).
30
1. El cliente inicia la comunicación enviando un mensaje "Client Hello"
el paso 4.
31
6. El cliente tras haber comprobado y validado el certificado, genera el
7. Con este mensaje el cliente informa que los sucesivos datos estarán
Con este mensaje el servidor indica que sus mensajes desde este
32
Aplicaciones de SSL/TLS.- SSL/TLS fue diseñado para facilitar la
Peralta (2015),
Tep propios: 443 para HTTPS y 563 para NNTPS” (p. 67).
Aplicaciones como:
33
PO3 e IMAP, también usando comandos específicos para SSL/TLS
(RFC 2595)
sesión, deben ponerse de acuerdo las claves que van a utilizar para
34
Siempre se emplean dos claves distintas: “una para los paquetes
cual se ha conectado” (Yagami, 2010, p. 80). Para que las firmas sean
diálogo inicial.
35
protocolo SSL o alguna de las implementaciones que ha utilizado a lo
36
“Pese a encontrarse algunas vulnerabilidades sobre este protocolo
desde 1995, muchas se han ido solucionando con las nuevas versiones
anteriormente.
del algoritmo.
37
Certificado Digital SSL/TLS: “Es un documento digital único que
firma digital de la AC cifrada con su llave privada y otros datos más que
38
Deduplicación: Es una técnica especializada de compresión de
p, 103).
39
mensaje y bloquea aquellos que no cumplen los criterios de seguridad
entre los métodos get y post reside en la manera de enviar los datos a
GET envía los datos usando la URL, el método POST los envía de
40
PaaS: “Plataforma como servicio. Cuando el proveedor de cloud
66).
41
conexión, comunicación, y transferencia de datos entre dos puntos
Rest: Es una interfaz entre sistemas que usa HTTP con la finalidad de
42
Suite de Cifrado (Conjunto de cifrado): “es una lista que contiene las
236).
43
CAPITULO III: MARCO METODOLÓGICO
datos.
aplicaciones.
44
mercado realizado por Dominio Consultores para Cisco Perú, donde se
seguridad implementados.
3.3 Hipótesis
3.4 Operacionalización
Conexión
Guías de
observación
Comunicación Registro
Protocolo de
Prueba
Seguridad de Login Diagnóstica Hojas de
datos
Transmisión de Control
Tratamiento de Archivos
Información Sniffer
Almacenamiento
45
Tabla 2: Cuadro de operacionalización de variable dependiente
Variable Instrumento
Dimensiones Indicadores Técnica
Dependiente s
Validación de la
Autenticación identidad de
quien accede Guías de
Acceso sólo a observación
Confidencialidad personas
Servicio de autorizadas Prueba
Almacenamiento
Datos exactos y Diagnóstica Hojas de
de datos
Integridad sin Control
modificaciones
Permanente Sniffer
Disponibilidad funcionamiento
del servicio
46
Hoja de control.- Presentó los siguientes elementos: Relación de
auditorías de seguridad.
47
Figura 10: Diagrama Lógico de Procesos
Xxxxxxx xxxxxx
Elaboración Propia
48
Galmés, Hernández, A. (2016) en su estudio Sobre la seguridad de
la nube y determina los requisitos que deben cumplirse para mitigar los
continuación:
49
R5 “Solicitud de la Implementación de
activación de la procesos que permitan
cuenta de usuario”. confirmar la identidad
del usuario
50
R12 “El proveedor debe La información que se
garantizar la transmite no debe
integridad de los sufrir ninguna
archivos que se modificación
transmiten entre sus
clientes y
proveedores”.
Riesgo Código Requisito Acciones
R13 “Cifrado de datos en Claves de cifrado
el lado de cliente controlados por los
usando criptografía propios usuarios
Proceso de adecuada y
Tratamiento - moderna”.
Almacenamiento. R14 “El proveedor El proveedor debe
- Asegurar la proporciona informar sobre la
información información sobre la localización de sus
almacenada, localización de los centros de datos
evitando la datos”.
violación o pérdida R15 “El proveedor realiza
definitiva backup regularmente Debe implementar una
de los datos política de backups y
almacenados en sus replicación de datos
instalaciones”. almacenados.
Riesgo Código Requisito Acciones
R16 El proveedor Uso de antivirus
garantiza la actualizados
Proceso de protección contra
Tratamiento - malware en el
Almacenamiento. almacenamiento que
- Asegurar la proporciona.
información R17 El proveedor La información que se
almacenada, garantiza la almacena no debe
evitando la disponibilidad e sufrir ninguna
violación o pérdida integridad de los modificación
definitiva datos almacenados
por los usuarios en
sus instalaciones.
Elaboración: Propia
51
estudio y poder acceder a los servicios de almacenamiento de datos en
relevante durante los procesos ejecutados, esto nos permitió tabular los
proveedores.
52
Tabla 4: Tabla de análisis estadístico de datos
INDICADORES
Conexión . .
Registro . .
Login . .
MANEJO DE . .
INFORMACION
Transmisión de Archivos . .
Almacenamiento . .
cada proveedor:
Ʃ XiA = (x1 + x2 + x3 +… + x)
Ʃ YiB = (y1 + y2 + y3 +… + y)
53
problema relacionado con la confiabilidad, integridad, autenticidad de
computing.
rigor científico:
54
La conformidad: Si se realiza estudios similares se obtendrá los
estudio.
55
CAPITULO IV: ANÁLISIS E INTERPRETACIÓN DE RESULTADOS
PARAMETROS VALOR
SI CUMPLE 1
NO CUMPLE 0
variables:
56
Figura 11: Cumplimiento de requisitos en proceso de
comunicación – conexión
0.5
Fuente: Tabla 6
57
Tabla 7: Análisis del proceso de comunicación – registro
0.5
0
Uso de contraseñas
robustas, Minimización de la
rechazando las que recolección de datos Solicitud de la
no cumplen con durante el registro activación de la Protección contra
unos criterios de un usuario nuevo cuenta de usuario. enumeración de
mínimos en el servicio. usuario, durante las
etapas de registro y
login de usuario.
Fuente: Tabla 7
58
Interpretación.- En el proceso de comunicación, indicador registro,
0.5
0
Autenticación de los clientes
al acceder al almacenamiento Los proveedores deben
en la nube, como mínimo proporcionar la posibilidad de
mediante el uso de nombre Protección contra
usar la autenticación
de usuario y contraseña. enumeración de usuario,
multifactor.
durante las etapas de registro
y login de usuario.
59
Interpretación.- Al igual que en el indicador de registro, ambos
60
Figura 14: Cumplimiento de requisitos en procesos de
comunicación - transmisión
0.5
0
Cifrado de datos en el lado
de cliente usando El proveedor no debería
criptografía adecuada y implementar la El proveedor debe
moderna. deduplicación con la garantizar la integridad de
combinación cliente – cross los archivos que se
– user, pues no está transmiten entre sus
excepta de clientes y proveedores.
vulnerabilidades.
Fuente: Tabla 9
61
Tabla 10: Análisis de tratamiento de información – almacenamiento
0.5
0
Cifrado de datos en
el lado de cliente El proveedor
usando criptografía proporciona El proveedor realiza
adecuada y moderna. información sobre la backup regularmente El proveedor
localización de los de los datos garantiza la El proveedor
datos y backups almacenados en sus protección contra garantiza la
instalaciones malware en el integridad de los
almacenamiento que datos almacenados
proporciona. por los usuarios en
sus instalaciones.
62
Interpretación.- En lo referente al almacenamiento, la información se
del mundo.
63
Tabla 11: Resumen de indicadores de cumplimiento de requisitos
de seguridad
INDICADORES
COMUNICACION
Conexión 2 2
Registro 3 3
Login 2 2
MANEJO DE INFORMACION
Transmisión de Archivos 2 2
Almacenamiento 4 4
Nivel de Seguridad 13 13
Elaboración: Propia
4
3.5
3
2.5
2
1.5
1
0.5
0
Conexión Registro Login Transmisión de Almacenamiento
Archivos
64
Esta tabla proporcionó el indicador cuantitativo que permita determinar
seguridad.
usuarios.
cliente, lo que ocasiona que toda la información sea enviada sin cifrar y
pueda ser vista en el lado del servidor. Sin embargo todos los
protocolo TLS, reduciendo así los efectos que pudieran causar los
65
acceder sólo a sitios seguros, la tecnología SSL/TLS no garantiza al
han vuelto muy expertos e ingeniosos para tratar de burlar todo tipo de
66
CAPITULO V: PROPUESTA DE INVESTIGACION
en la realidad peruana.
67
Google Amazon
Dropbox: OneDrive: iCloud Drive:
Drive: Drive:
Seguridad 256bit AES & SSL & Amazon
de cifrado
SSL/TLS SSL/TLS + PFS 128bit AES
SSL cloud encryption
Verificación
de dos Si Si Si Si Si
pasos
Descarga directa Colaboración en
de adjuntos de tiempo real
Gmail, búsqueda desde Office,
Dropbox Paper e Único con
Característi de imágenes carpetas y Integración
integración con almacenamiento
cas mediante texto, ficheros especial en iOS y
especiales Microsoft Office ilimitado y copia
integración con compartidos y macOS
365 de seguridad
Google Photos y búsqueda de
aplicaciones imágenes
Google Apps mediante texto
Fuente: Elaboración Propia
estudio mencionado:
68
Figura 17 Servicios que recomendaría utilizar en la Cloud
Computing
12%
48%
Colaboración
40% Almacenamiento
Otros
24%
49%
Google
Microsoft
27% Otros
69
Figura 19 Principales beneficios del uso de la Cloud Computing
18%
alta disponibilidad
49%
ahorro de costos de
33% infraestructura
Otros
38% Inseguridad
43%
depender de una
conexión a Internet
19% Otros
70
Identificación de Protocolos de seguridad implementados en los
71
Tabla 14 Comparación de las versiones de protocolo TLS en
autenticación e intercambio de claves
Algoritmo Versión del Protocolo
Asimétrico SSL 2.0 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3
RSA Sí Sí Sí Sí Sí No
DH-RSA No Sí Sí Sí Sí No
ECDH-RSA No No Sí Sí Sí No
DH-DSS No Sí Sí Sí Sí No
ECDH-ECDSA No No Sí Sí Sí No
72
Para acordar una comunicación mutua, el primer paso es que ambas
utilizar.
73
Figura 22 Captura de tráfico usando sniffer Wireshark
Elaboración propia
siguiente forma:
74
Figura 23 Suite de cifrado (conjunto de cifrado)
SSL1
SSL2
SSL3
TLS1.0
TLS1.1
TLS1.2
TLS1.3 (borrador)
75
2. Intercambio de claves: Fija el algoritmo que se empleará para
compartir la clave simétrica con la cual se encriptará el tráfico en
la sesión. Los algoritmos admitidos son:
DH (Diffie-Hellman)
DHE (Diffie-Hellman Ephimeral – claves públicas
temporales)
ECDH (Elliptic curve Diffie–Hellman)
ECDHE
RSA (Rivest, Shamir y Adleman)
DSA (Digital Signature Algorithm)
RSA
ECDSA (Elliptic Curve Digital Signature Algorithm)
DSS (Digital Signature Standard)
76
AES (Advanced Encryption Standard – 128, 192, 256)
3DES
IDEA (International Data Encryption Algorithm)
CBC
GCM
ECB
PCBC
CFB
OFB
77
Selección de herramientas para evaluar el nivel de seguridad de
muy útil para desarrolladores del web, por medio de Firebug podemos
78
Tabla 17 Herramientas para evaluar el nivel se seguridad de los
protocolos utilizados
Herramienta Características
Disponible para sistemas Windows y Unix.
Podemos filtrar paquetes según criterios establecidos.
Es posible capturar tomas de los paquetes en una interfaz
de red.
Es posible importar paquetes en formato de texto.
Podemos buscar paquetes usando un rango de criterios.
Wireshark
Permite crear estadísticas, entre otras.
Tiene una interfaz muy flexible.
Gran capacidad de filtrado.
Es compatible con más de 480 protocolos.
Puede leer archivos de captura de más de 20 productos.
Puede traducir protocolos TCP IP
Herramienta Características
Herramienta totalmente gratuita y de código abierto.
Herramienta multi-plataforma.
Fácil de instalar, dependiendo únicamente de Java 1.7 o
superior.
Excelente manual de ayuda y gran comunidad en la red
Posibilidad de comprobar todas las peticiones y respuestas
entre cliente y servidor.
Zap de Posibilidad de localizar recursos en un servidor.
OWAPS Análisis automáticos.
Análisis pasivos.
Posibilidad de lanzar varios ataques a la vez.
Capacidad para utilizar certificados SSL dinámicos.
Análisis de sistemas de autenticación.
Posibilidad de actualizar la herramienta automáticamente.
Dispone de una tienda de extensiones (plugins) con las que
añadir más funcionalidades a la herramienta.
Integrada con Firefox.
Open source.
Gratuita.
Interfaz intuitiva.
Edición en tiempo real de HTML.
Edición en tiempo real de CSS.
Firebug
Edición en tiempo real de Javascript.
Depurador Javascript.
Buscador integrado.
Monitorización de la actividad de la red.
Explorador del DOM.
Gestor de errores en Javascript, CSS y XML
79
Realizar pruebas y generar resultados.
5.1 ONEDRIVE
5.1.1 Generalidades
ligado con Office, muy factible para aquellos que usan estas
Entre las desventajas: Limita el tamaño del archivo que se desea subir,
éste puede pesar como máximo 300 MB, cuenta con GB gratis, pero
80
5.1.2 Análisis de Protocolos de Comunicación – Conexión
comunicación.
81
Figura 25: Suite de cifrado usado por OneDrive
82
Asimismo, el servidor se autentica ante los clientes presentando su
83
Figura 28: Visor de certificado
género, código del país, número telefónico, un captcha para indicar que
84
condiciones de uso que deben contemplar y aceptar para poder
85
Captura con Firebug de la petición de registro de OneDrive
86
proporciona los nombres de usuarios disponibles. El formulario de
https://auth.gfx.ms/Wats...9iZxz4pztOjzBnpKySA2.js"
87
Solicitud Rest lanzada desde Firebug para conocer si existe o
dispone de un nombre de usuario en OneDrive.
una clave, más fácil es romperla para un pirata informático, puesto que
88
combinaciones aleatorias (llamados robots), conocida como “la fuerza
requisito R3.
requisito R7.
Ejemplo de Token:
Token0=ORDPEDTZFXFBHDJUDEYBBIZJVAXDHEXFLYEKBFDWUUEJ
89
La totalidad de credenciales son enviadas por medio de una conexión
90
Figura 34: Captura del password con ZAP durante la petición login
multifactor.
91
equivocado, indica que la cuenta o la contraseña son erróneas, tal
Transmisión de archivos
92
lado del cliente antes de subir a sus servidores, como se puede
93
En la documentación de OneDrive no se ha encontrado mención
94
Figura 37: Captura con Wireshark de la subida del primer archivo
95
haciendo salvedad que al no tener acceso al código fuente ni
Almacenamiento
por los usuarios. Microsoft deja claro que está analizando de forma
96
observa en la Figura 40. Por otro lado si un cliente intenta descargar un
parcialmente.
97
Figura 41: Advertencia de descarga archivo infectado
distintos puntos como: EE.UU., UE, Asia. Por lo que cumple con el
requisito R14.
98
5.2 GOOGLE DRIVE
5.2.1 Generalidades
99
realice (Autenticación, transmisión de archivos), por lo que también
asegurada
100
Suites de cifrado que muestra el Protocolo de conexión segura TLS
101
Certificado del Servidor de Google Drive usado durante la subida
de un archivo
102
a través de un código enviado por SMS, cumpliendo con el
https://accounts.google.com/InputValidator?resource=SignUp&service=mail
{"input01":{"Input":"GmailAddress","GmailAddress":"<nombre
usuario>","FirstName":"","LastName":""},"Locale":"es"}
103
muestra una petición lanzada por Firebug indicando que el usuario no
está disponible.
104
Formulario de registro de Google Drive
105
Con respecto a la contraseña debe tener una longitud entre 8 y 100
R3.
106
Figura 48: Captura Zap de token de acceso y refresco
107
Todas las credenciales son enviadas usando un protocolo de conexión
valiosa información.
Google Drive
108
Respecto a la posibilidad de autenticación multifactor, Google a través
de su aplicación Google Authenticator app permite generar un código
de seguridad para acceder a Google Drive, por lo tanto, cumple el
requisito R8. Una de sus desventajas es que la privacidad de
documentos delicados puede ser comprometida, esto se debe a que
mucha gente está autenticada en sus cuentas de Google de forma casi
permanente. “A pesar de que este login unificado tiene claras ventajas,
representa un potencial riesgo para la seguridad mientras el acceso a
Google Docs no requiera comprobación de contraseña” (Yagami, 2010,
p. 76).
109
5.2.5 Análisis de Protocolos de Manejo de Información –
Transmisión de archivos
110
Figura 51: Captura con ZAP de la subida de un mensaje
111
de forma completa al servidor con lo que queda desechada la
deduplicación en el lado del cliente. En cuanto en el lado del servidor
no se ha podido indagar la deduplicación, ya sea por factores de
dificultad de encontrar información documentaria, y por la búsqueda de
información hecha a través de internet donde se informa como realizar
borrado de deduplicación de datos en el proveedor Google Drive, se
pueda deducir que no realiza dicha deduplicación de datos para
almacenar la información en sus servidores, por lo tanto se puede decir
que el requisito R11 se cumple.
112
subida de un archivo, el checksum MD5 del archivo es recibido por el
113
5.2.6 Análisis de Protocolos de Manejo de Información –
Almacenamiento
114
Figura 56: Advertencia de la consola Web de un archivo infectado
puntos del mundo como: EE.UU, Chile, Taiwán, Hong Kong, Bélgica,
requisito R17.
115
La siguiente tabla presenta en resumen, la comparativa de las
propiedades más resaltante analizadas de los dos proveedores
estudiados.
Comunicación
TLS, con suite de cifrado ECDHE-RSA-AES256-SHA, TLS
OneDrive
1.2
Conexión
TLS, con suite de cifrado ECDHE-RSA-
Google Drive WHITE_AES_128_GCM_SHA256, TLS 1.2
Manejo de Información
“No realiza deduplicación de archivos, los archivos son
OneDrive enviados por TLS sin cifrar en el cliente. Calculo de
Cheksum MD5 de los archivos”.
Transferencia “No realiza deduplicación de archivos, los archivos son
Google Drive enviados por TLS sin cifrar en el cliente. Calculo de
Cheksum MD5 de los archivos”.
“No se cifran los archivos en lado del cliente, el
OneDrive almacenamiento está localizado en EE.UU. UE, Asía,
informa que el escaneo antivirus es automática (Windows
Defender) antivirus usa para escaneo de archivos”.
Almacenamiento
“No se cifran los archivos en lado del cliente, el
almacenamiento está localizado en América, Europa Y
Google Drive
Asia. Soporta un escaneo antivirus para archivos hasta
30MB, descargados desde la consola web”.
116
CAPITULO VI: CONCLUSIONES Y RECOMENDACIONES
6.1 CONCLUSIONES
117
esto debido a la falta de cifrado en el lado de cliente.
analizados.
118
6.2 RECOMENDACIONES
119
seguridad en el almacenamiento de los datos.
resguardo de su información.
información.
necesidades.
120
REFERENCIAS
https://www.deacosta.com/que-es-un-conjunto-de-cifrado-cipher-suite-
y-como-funciona-en-ssltls/
https://desarrolloweb.com/articulos/firebug.html
de: https://nxnethosting.com/blog/casos-de-exito-del-cloud-computing.
https://es.slideshare.net/juan_anaya/unidad-6-proteccin-y-seguridad
121
Cabrera Duffaut, A. E. (2013). Estudio para Implementación De
http://dspace.ucuenca.edu.ec/bitstream/123456789/4667/1/Tesis.pdf
deberias-empezar-usar-wireshark.html
en-la-nube
Editorial.
parentesis/ciencia-y-tecnologia/161574-la-nube-un-almacen-
gigantesco-de-informacion/
122
Díaz, J. (2014). Seguridad en Servicios de Almacenamiento. Análisis
España.
http://dominio-consultores.com/img/ftcc2014.pdf.
https://gestion.pe/tecnologia/almacenamiento-datos-espacios-virtuales-
alternativa-costosa-empresarios-97303
España.
123
Google Centro de datos. URL:
https://www.google.com/about/datacenters/inside/locations/index.html;
https://www.google.com/about/datacenters/inside/data-
Obtenido de http://gblogs.cisco.com/cansac/uso-de-cloud-computing-
en-peru/
https://www.owasp.org
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Projec
http://nallelygutip.blogspot.pe/
124
Hoff, C., Simmonds, P. (2011). Guías de seguridad de áreas críticas en
https://www.microsoft.com/es-es/cloud-platform/global-datacenters;
https://support.microsoft.com/es-es/help/2802529;
https://www.microsoft.com/es-es/cloud-platform/information-protection
computing.html
https://answers.microsoft.com/es-es/ie/forum/ie9-windows_7/no-puedo-
ver-una-pagina-de-internet-alguien-sabe/306435cd-bc87-4b8d-b04c-
6845d11dd603
http://seguridadeintegridaddelainformacion.blogspot.pe/2015/02
/semblanza-mi-nombre-esmaritza-gpe.html
125
Perramon, X. (s.f.). Mecanismos de protección. Obtenido de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/204/4/
Aspectos%20avanzados%20de%20seguridad%20en%20redes
_M%C3%B3dulo3_Mecanismos%20de%20protecci%C3%B3n. pdf
http://www.elperuano.pe/noticia-ventajas-de-nube-54757.aspx
EEUU.
126
Velasco, R. (2015) OWASP ZAP, Herramienta para auditar la
https://www.redeszone.net/2015/04/25/seguridad-web-owasp-zap/
almacenamiento-en-la-nube-gratuito/
http://documents.mx/documents/128637742-curso-seguridad-en-
sistemas-de-informacion.html#
127