Encriptación II

Jums el sueño me afecto en demasia jajaja !!!

la encriptacion de los datos criticos ha de ser con la clave desencriptada
del cliente, no con su encriptada (evidente, pq la encriptada la tenemos en
la base de datos!) , bueno creo q se habia entendido lo que queria decir =)



"danicastillo" escribió en el
mensaje news:
-> aqui esta la metida de gamba! <-

los datos criticos se recuperan y almacenan usando un algoritmo
bidireccional, que usa como clave la proporcionada por el cliente - la
encriptada que tienes guardada en session-

Wenas gracias por los comentarios =)

sobre el ftp, bueno no uso el del iis , pero ¿solo teneis entonces como
"seguridad" el nombre del directorio?

espero que el nombre sea completamente "ilogico", es decir, q si tu cliente
se llama dani castillo su directorio no sea \danicastillo pq sino la hemos
fastidiado jejeje =)

de entrada, y solo de entrada, si el servidor esta bien configurado no se
pueden sacar los directorios

ahora los peros, normalmente hay 2 opciones a la hora de crear esos
directorios:
1 nombres "absurdos", generados aleatoriamente, ejemplo,q mi directorio sea
xy34mr68 , dificilmente saltable, salvo por un fuerza bruta

2 los directorios virtuales tienen q ver con el nombre del cliente (en algo,
con su nombre, apellido, dni, etc) , mala cosa, a poco q un cliente
"malintencionado" sepa como montais el nombre del directorio, podra sacar el
directorio de los otros usuarios , al menos intentarlo, ejemplo, yo llego y
me dais como directorio danicast9432 , siendo 9432 los primeros 4 digitos
de mi dni, vale, pues sabiendo q mi amigo pepito gonzalez entra en vuestro
ftp , y si llego a saber su dni (cosa muy sencilla, en empresas si se usa el
nif el nif es conocido, en particulares a la larga se puede saber el dni de
una persona, mirando cualquier documento o por simple y pura ingenieria
social - se le llama, y se le dice "buenas tardes le llamo de hacienda y
estoy revisando algunos datos de su ultima declaracion el nif parece
incorrecto podria darmelo..." xD


ahora bien, deciamos q el 1 es insaltable salvo por fuerza bruta (salvo
agujeros del iis) pero ¿vuestro server esta protegido contra un fuerza
bruta? =) ¿cuantos digitos tiene cada contraseña? es relativamente facil
hacer un programa q simplemente vaya probando combinaciones de
numeros/letras, si recibe un "no encontrado" prueba otra combinacion, etc,
si hablamos por ejemplo de 4 digitos por directorio no deberia costar
mas de unas pocas horas el probar todas las combinaciones -con programa
claro-


la contestacion general de los "jefes" en ese sentido suele ser aquello de
"¿y quien nos va a querer entrar?" , jums, bueno con un firewall decente
instalado te puedes dar cuenta de q hoy en dia cualquier ip (hasta la mia de
casa!) tiene una buena decena de intentos de entrar al dia :) , el otro dia
por casualidad en el server de mi trabajo pille a una ip de inglaterra
intentando reventar mi ftp con un ataque por diccionario xD , etc etc etc,
no es nada raro q nos escaneen por bugs generales, los ataques directos son
menos frecuentes... pero existen , basta tener un puerto ftp abierto para
que alguien nos intente entrar =) , de todas formas si encuentro algun
programilla de bforce para ftp te aviso

dani.
"Daniel Álvarez" escribió en el mensaje
news:#

Bueno ya me lo leí, no era por tema de sueño tranquilo Dani jaja.

Realmente yo pienso que es insuperable en cuanto al tema de la

encriptación,

habras mas medidas de seguridad que se puedan tomar pero en cuanto
encriptacion no creo que se pueda hacer mucho más. Yo de momento no he
necesitado hacer nunca un sistema tan seguro, pero nunca se sabe cuando te
puede tocar algo asi sobre todo ahora con el miedo que tienen algunos
clientes a lo de la agencia de protección de datos que recomienda guardar
datos encriptados, que al minimo registro que guarden ya te vienen con el
cuento de que han leido.. y tu te quedas pensando pero si solo tienes
una tabla donde digo que el color de fondo es rojo ¿quiers que encripte el
rojo? jaja (es un ejemplo exagerado y no real claro), la gente tiene mucho
lío con eso pero eso es otro tema.

Como te decia nunca sabre cuando me pueda tocar crear un sistema así el
caso es que como tengas muchas tablas con información encriptada y el
usuario cambie la contraseña uffff el proceso de actualizar registros es
mortal. Aún así creo como te he dicho que esta muy bien, asi que me guardo
el sitema por si algun día me piden algo así.

Eres un crack!!

Otra cosa, ya que has hablado de seguridad ftp te pongo una pregunta, (la
postee ayer en las news de iis pero no me han dicho nada y como aqui ha
salido el tema pues tambien la planteo)

Yo tengo un servidor windows, habilitado para ftp a traves de sitios
(directorios) ftp virtuales

En el raiz del ftp no tengo nada. Es decir si alguien se mete por ftp://ip
no ve nada

Necesita meter el nombre de uno de esos directorios. Yo quiero saber si

hay

alguna manera, bien mediante codigo, o bien mediante una aplicación que
diciendole la ip (por la que no se ve nada desde el internet explorer) te
saque la lista de directorios. Quiero saber hasta que punto alguien puede
adivinar que yo tengo un directorio ftp llamado mas o menos así, dado que
aqui, en mi empresa no le ponen seguridad de usuarios al ftp escudandose

en

que nadie puede saber el nombre del directorio ftp (SIN COMENTARIOS). yo
solo quiero eso, una pequeña apliación o un codigo que me saque el nombre
para demostrar que tenemos un agujero como los socavones del ave a

zaragoza.

Espero haberme explicado bien.


Daniel Álvarez

Opino igual que tu en cuanto a lo de los jefes y quien va a querer entrar.
Pero aqui son muy cabezones.

El ftp no se lo ofrecemos a los clientes solo lo usamos internamente para
transferencia de datos, vamos, para subir nuestras webs. No damos ftp a
clientes sino tendriamos que comprar alguna utilidad que lo gestionara mejor
que el IIS. Como tu dices en este caso solo nos puede reventar la fuerza
bruta, por lo menos el nombre es medianamente absurdo. Pues nada viviremos
con los dedos cruzados que le vamos a hacer.

Gracias por tus comentarios, sobre todo la fuerza moral de saber que mi jefe
no es el unico asi que hay por la vida jajajaja

Daniel Álvarez




"Dani Castillo" <danicastilloarrobahotmail.com> escribió en el mensaje
news:

Wenas gracias por los comentarios =)

sobre el ftp, bueno no uso el del iis , pero ¿solo teneis entonces como
"seguridad" el nombre del directorio?

espero que el nombre sea completamente "ilogico", es decir, q si tu

cliente

se llama dani castillo su directorio no sea \danicastillo pq sino la hemos
fastidiado jejeje =)

de entrada, y solo de entrada, si el servidor esta bien configurado no se
pueden sacar los directorios

ahora los peros, normalmente hay 2 opciones a la hora de crear esos
directorios:
1 nombres "absurdos", generados aleatoriamente, ejemplo,q mi directorio

sea

xy34mr68 , dificilmente saltable, salvo por un fuerza bruta

2 los directorios virtuales tienen q ver con el nombre del cliente (en

algo,

con su nombre, apellido, dni, etc) , mala cosa, a poco q un cliente
"malintencionado" sepa como montais el nombre del directorio, podra sacar

el

directorio de los otros usuarios , al menos intentarlo, ejemplo, yo llego

y

me dais como directorio danicast9432 , siendo 9432 los primeros 4 digitos
de mi dni, vale, pues sabiendo q mi amigo pepito gonzalez entra en vuestro
ftp , y si llego a saber su dni (cosa muy sencilla, en empresas si se usa

el

nif el nif es conocido, en particulares a la larga se puede saber el dni

de

una persona, mirando cualquier documento o por simple y pura ingenieria
social - se le llama, y se le dice "buenas tardes le llamo de hacienda y
estoy revisando algunos datos de su ultima declaracion el nif parece
incorrecto podria darmelo..." xD


ahora bien, deciamos q el 1 es insaltable salvo por fuerza bruta (salvo
agujeros del iis) pero ¿vuestro server esta protegido contra un fuerza
bruta? =) ¿cuantos digitos tiene cada contraseña? es relativamente facil
hacer un programa q simplemente vaya probando combinaciones de
numeros/letras, si recibe un "no encontrado" prueba otra combinacion, etc,
si hablamos por ejemplo de 4 digitos por directorio no deberia costar
mas de unas pocas horas el probar todas las combinaciones -con programa
claro-


la contestacion general de los "jefes" en ese sentido suele ser aquello de
"¿y quien nos va a querer entrar?" , jums, bueno con un firewall decente
instalado te puedes dar cuenta de q hoy en dia cualquier ip (hasta la mia

de

casa!) tiene una buena decena de intentos de entrar al dia :) , el otro

dia

por casualidad en el server de mi trabajo pille a una ip de inglaterra
intentando reventar mi ftp con un ataque por diccionario xD , etc etc etc,
no es nada raro q nos escaneen por bugs generales, los ataques directos

son

menos frecuentes... pero existen , basta tener un puerto ftp abierto para
que alguien nos intente entrar =) , de todas formas si encuentro algun
programilla de bforce para ftp te aviso

dani.
"Daniel Álvarez" escribió en el mensaje
news:#
> Bueno ya me lo leí, no era por tema de sueño tranquilo Dani jaja.
>
> Realmente yo pienso que es insuperable en cuanto al tema de la
encriptación,
> habras mas medidas de seguridad que se puedan tomar pero en cuanto
> encriptacion no creo que se pueda hacer mucho más. Yo de momento no he
> necesitado hacer nunca un sistema tan seguro, pero nunca se sabe cuando

te

> puede tocar algo asi sobre todo ahora con el miedo que tienen algunos
> clientes a lo de la agencia de protección de datos que recomienda

guardar

> datos encriptados, que al minimo registro que guarden ya te vienen con

el

> cuento de que han leido.. y tu te quedas pensando pero si solo

tienes

> una tabla donde digo que el color de fondo es rojo ¿quiers que encripte

el

> rojo? jaja (es un ejemplo exagerado y no real claro), la gente tiene

mucho

> lío con eso pero eso es otro tema.
>
> Como te decia nunca sabre cuando me pueda tocar crear un sistema así el
> caso es que como tengas muchas tablas con información encriptada y el
> usuario cambie la contraseña uffff el proceso de actualizar registros es
> mortal. Aún así creo como te he dicho que esta muy bien, asi que me

guardo

> el sitema por si algun día me piden algo así.
>
> Eres un crack!!
>
> Otra cosa, ya que has hablado de seguridad ftp te pongo una pregunta,

(la

> postee ayer en las news de iis pero no me han dicho nada y como aqui ha
> salido el tema pues tambien la planteo)
>
> Yo tengo un servidor windows, habilitado para ftp a traves de sitios
> (directorios) ftp virtuales
>
> En el raiz del ftp no tengo nada. Es decir si alguien se mete por

ftp://ip

> no ve nada
>
> Necesita meter el nombre de uno de esos directorios. Yo quiero saber si
hay
> alguna manera, bien mediante codigo, o bien mediante una aplicación que
> diciendole la ip (por la que no se ve nada desde el internet explorer)

te

> saque la lista de directorios. Quiero saber hasta que punto alguien

puede

> adivinar que yo tengo un directorio ftp llamado mas o menos así, dado

que

> aqui, en mi empresa no le ponen seguridad de usuarios al ftp escudandose
en
> que nadie puede saber el nombre del directorio ftp (SIN COMENTARIOS). yo
> solo quiero eso, una pequeña apliación o un codigo que me saque el

nombre

> para demostrar que tenemos un agujero como los socavones del ave a
zaragoza.
> Espero haberme explicado bien.
>
>
> Daniel Álvarez
>