Embed Size (px)
Citation preview
Sistema de Seguridad para la Creación y Control de
Dispositivos Virtuales de Generación de
Clave Gráfica de Un Solo Uso
¿Están su empresa
y sus clientes protegidos
ante robos de identidad en
Internet?
¡Si tiene dudas lo que viene a continuación le interesa!
¿Sabe Ud. de que las aplicaciones en Internet de su
empresa involucran costos ocultos debidos a fallas de
seguridad?
Si está consciente de que existe un problema, sepa que ya existen
soluciones para evitarlo, pero:
¿No serán más costosas las soluciones que el
problema que solucionan?
Permítanos mencionarle algunos motivos de preocupación que
debiera tener presentes:
Phishing, Pharming, XSS, Tab-nabbing, y otros tipos de scams
que amenazan la identidad digital de su personal y sus clientes.
Vulnerabilidades no descubiertas en sus aplicaciones.
Pérdidas financieras no calculadas por costos de ajustes y
adaptaciones y defensa ante estos tipos de problemas y sus
crecientes variantes.
Clientes renuentes a usar su plataforma en Internet por miedo o
malas experiencias.
La asociación de su marca a malas prácticas de seguridad.
Permítanos presentarle una solución que a diferencia de las existentes,
garantiza la eliminación del problema sin que por eso tenga usted que
endeudarse para poder adquirirla, lo que permite a su vez masificarla:
Graphical OTP
Un sistema de generación de claves gráficas
temporales únicas e irrepetibles que emula el
comportamiento de los dispositivos de
hardware OTP (One Time Password)
“virtualizando” su comportamiento en una
aplicación de software segura y ofreciendo
mayores ventajas que estos, dentro de las
cuales la más importante es indudablemente:
¡Un costo radicalmente inferior!
¿Un dispositivo OTP virtual?
La gran mayoría de los problemas de
masificación de los dispositivos OTP (One
Time Password) o dispositivos de generación
de password perecedero, se deben a que se
basan en componentes de hardware.
Una de las mayores razones para crear un OTP
virtual es la capacidad de producir múltiples
copias del mismo sin mayores costos de
plataforma.
Además este nuevo acercamiento al
problema ofrece una solución que adquiere
características novedosas que permiten
llevar un control forense nunca antes
ofrecido por otro tipo de productos de
seguridad.
Ventajas de un OTP virtual basado en el hardware del usuario:
1. Sincronización en tiempo real: El usuario está conectado a Internet accediendo a su aplicación, por lo tanto se puede usar la misma vía para sincronizar el dispositivo en tiempo real. Lo mismo es válido para el acceso desde su smartphone
2. Proceso de “enrollment”, simple y eficiente: El mismo software permite instruir al usuario en el proceso de registro de su dispositivo G-OTP independientemente de la plataforma.
3. Algoritmo de generación de claves reprogramable: La aplicación puede recibir actualizaciones del proceso de generación de claves, cada vez que se considere necesario.
4. Proceso de actualización intuitivo y sencillo: El dispositivo se puede actualizar transparentemente en línea como se actualizan por si solos los antivirus y otras aplicaciones. Los markets de aplicaciones se encargan de esto deforma transparente para la entidad.
Ventajas de un OTP virtual basado en el hardware del usuario:
5. Cifrado de alto nivel de los datos transferidos: Usamos las librerías más sofisticadas de cifrado sin que signifique ningún costo adicional en potencia de cálculo.
6. Fácil de adaptar a los procesos de validación de la aplicación anfitriona. Solo hay que enviar los datos introducidos por el usuario a un “web
service” y esperar una respuesta.
7. Costo de actualización muy inferior al de una solución en hardware. Distribuir y actualizar software es mucho más sencillo y cómodo
que hacerlo con el hardware.
Posibles desventajas de un OTP basado en software y
soluciones utilizadas:
1. Una aplicación en software puede ser copiada.
No se trata de prohibir que se copie la aplicación, sino de saber exactamente en
donde está instalada y quién la ejecuta obteniendo los datos de dicha plataforma
cada vez que ejecute. La aplicación instalada “enrola” en un servidor de licencias
de última generación.
2. Una aplicación puede ser descompilada o des-ensamblada.
La aplicación pasa por un proceso de ofuscación y otras técnicas de protección de
código complejas que hacen que descompilarla y/o desensamblarla sean procesos
extremadamente complejos e inútiles. Sin embargo… ¡El código crítico no está
en la aplicación! ¿Es esto posible?
3. En Internet la transmisión de datos puede ser interceptada.
Sobre el protocolo de seguridad SSL agregamos utiliza una “pila” muy compleja
de protocolos de ofuscación y cifrado de comprobada seguridad y eficiencia.
4. El proceso de identificación del cliente se basa solamente en un número IP.
¡Esto ya no es cierto! Al instalar la aplicación tendríamos un “aliado” trabajando
para nosotros en la PC o dispositivo móvil del cliente. Podemos obtener
información forense de muy buena calidad.
Pirámide de seguridad del G-OTP
En la pirámide se puede
observar la cantidad de
protocolos de seguridad
involucrados de cada
lado de la conversación
entre los aplicativos
clientes y el servicio de
control principal.
Diagrama básico de conexión del sistema G-OTP
Aplicación Móvil
Interfaz Javascript en aplicación
Datos utilizados en la creación del FINGERPRINT
FDE1-ED45-4532-78F4-3542-EE65-EFD4-DEAB-34E3-CD11-998E-2315-DE32-4408-10AB-EDA1
Recolección de datos
Reco
lección
de d
atos
Código de 128 bytes único e irrepetible:
Número IMEI
Operadora Telf.
Modelo y Serial
Sistema Operativo
Proceso de “enrollment” o enlistamiento del G-OTP:
El proceso de “enrollment” o enlistamiento, permiteque cada combinación Usuario/Dispositivo seregistren en el sistema al primer uso que hagan delG-OTP en sus equipos.
Al ejecutar por primera vez el G-OTP envía deinmediato los datos esenciales del dispositivo a labase de datos de dispositivos pendientes por acceso.
Luego le entrega al cliente un código para finalizar elproceso y asociar el dispositivo al usuario correctosegún el método seleccionado por la entidad quemejor se adapte a su plataforma.
Para todo este procedimiento se cuenta con unainterfaz administrativa capacitada para aprobar yrechazar dispositivos, y generar una serie completade reportes y procesos administrativos.
Apariencia en el dispositivo móvil
Interfaz cliente del G-OTP (Javascript)
El usuario selecciona
con el dedo o el ratón
las figuras en el
teclado gráfico
Las figuras seleccionadas
aparecen en el campo
hasta completar la clave
Proceso de inserción de código en tiempo real:
¡Simplemente no es posible descompilar
o desensamblar un código que no se
posee!
Una de las técnicas que hace que el sistema no sea vulnerable a
“decompilación” y/o “desensamblado” se basa en que el código crítico del
proceso no reside en la aplicación.
¿Es esto posible?
Claro, hemos agregado a la aplicación un intérprete de código en tiempo
real que está en capacidad de recibir líneas de código fuente directamente
desde un servicio web, evaluarlas y ejecutarlas en tiempo real.
Un usuario puede enrolar tantos dispositivos G-OTP
como PCs o Smartphones tenga o utilice (y la entidad
desde la interfaz administrativa le permita)
Cada uno de ellos funcionará solo si él y la interfaz
administrativa lo activan tanto en la PC y/o Dispositivo
Móvil como en el administrador de licencias.
Cualquier otro usuario de la PC, que intente utilizarlos
accederá a ellos como si nunca hubieran enrolado ya
que producirán un “fingerprint” diferente (esto no aplica
a dispositivos móviles).
El G-OTP versión PC se comporta como un OTP
diferente para cada binomio PC/Usuario. Es decir para
cada perfil de usuario en una misma PC, un mismo
G-OTP actúa como una unidad única y diferente.
Además, no ofrece limitaciones de uso: Versión Móvil
Versión Desktop
Proceso de generación de clave gráfica:
Si usted no entiende lo que a continuación se expone en este grafico, no se preocupe,
es solo un esquema que muestra precisamente la complejidad del proceso de
generación de la clave gráfica.
Extremadamente fácil de usar…
Teclado Gráfico
Javascript
Instalado en la aplicación
transaccional
G-OTP Cliente
Aplicación en
Smartphone
1. El software cliente
solicita y muestra la
clave gráfica
2. El usuario introduce la clave
seleccionando las mismas
imágenes en el teclado gráfico
El sistema de G-OTP está conformado por los
siguientes módulos:
• Módulo administrativo de control de “enrollment”, validación, activación y bloqueo de dispositivos y/o usuarios así como inserción de código a los aplicativos cliente.
• Aplicaciónes cliente personalizada con “skins” representativos de la imagen corporativa de la institución, en versiones para Windows (desktop), Windows Phone 7.5 o superior , Android (2.2 Froyo o superior) y iOS (2.0 o superior).
• Middleware de servicios web que maneja los procesos de conexión e interacción entre el servidor solicitante y las interfaces cliente.
• Módulo de teclado gráfico cliente en Javascript , adaptable a la aplicación Transaccional.
Versión Windows
• Apache Web Server• ASP.NET 2.0, sobre Mono
Postgre SQL o MS-SQL
• Internet Information Server 6.0, o superior.
• ASP.NET 3.5 sobre .NET• MS-SQL
Versión Ubuntu
Ofrézcale a su personal y clientes la solución definitiva de seguridad que merecen, para validar sus procesos o transacciones sin complicaciones…
Sistema de generación
en tiempo real de
Clave de Acceso Gráfica,
de un solo uso.
¡Muchas gracias por su atención!
Para más información puede comunicarse con:
sharpmind software
Porlamar - Isla de Margarita – Nueva Esparta - Venezuela
Teléfonos: +58 295 4160387 / +58 412-3567152 / +58 414-0894627
http://www.sharpmindsoftware.com/
Skype: callto:mauro.maulini
Mauro Maulini R.Presidente
sharp software solutions for today’s problems
