220 likes | 329 Views
Sistema de Seguridad para la Creación y Control de Dispositivos Virtuales de Generación de Clave Gráfica de Un Solo Uso. ¿Están su empresa y sus clientes protegidos ante robos de identidad en Internet? . ¡Si tiene dudas lo que viene a continuación le interesa!.
E N D
Sistema de Seguridad para la Creación y Control de Dispositivos Virtuales de Generación de Clave Gráfica de Un Solo Uso
¿Están su empresa y sus clientes protegidos ante robos de identidad en Internet? ¡Si tiene dudas lo que viene a continuación le interesa!
¿Sabe Ud. de que las aplicaciones en Internet de su empresa involucran costos ocultos debidos a fallas de seguridad? • Permítanos mencionarle algunos motivos de preocupación que debiera tener presentes: • Phishing, Pharming, XSS, Tab-nabbing, y otros tipos de scams que amenazan la identidad digital de su personal y sus clientes. • Vulnerabilidades no descubiertas en sus aplicaciones. • Pérdidas financieras no calculadas por costos de ajustes y adaptaciones y defensa ante estos tipos de problemas y sus crecientes variantes. • Clientes renuentes a usar su plataforma en Internet por miedo o malas experiencias. • La asociación de su marca a malas prácticas de seguridad. Si está consciente de que existe un problema, sepa que ya existen soluciones para evitarlo, pero: ¿No serán más costosas las soluciones que el problema que solucionan?
Permítanos presentarle una solución que a diferencia de las existentes, garantiza la eliminación del problema sin que por eso tenga usted que endeudarse para poder adquirirla, lo que permite a su vez masificarla: GraphicalOTP Un sistema de generación de claves gráficas temporales únicas e irrepetibles que emula el comportamiento de los dispositivos de hardware OTP (One Time Password) “virtualizando” su comportamiento en una aplicación de software segura y ofreciendo mayores ventajas que estos, dentro de las cuales la más importante es indudablemente:¡Un costo radicalmente inferior!
¿Un dispositivo OTP virtual? La gran mayoría de los problemas de masificación de los dispositivos OTP (One Time Password) o dispositivos de generación de password perecedero, se deben a que se basan en componentes de hardware. Una de las mayores razones para crear un OTP virtual es la capacidad de producir múltiples copias del mismo sin mayores costos de plataforma. Además este nuevo acercamiento al problema ofrece una solución que adquiere características novedosas que permiten llevar un control forense nunca antes ofrecido por otro tipo de productos de seguridad.
Ventajas de un OTP virtual basado en el hardware del usuario: Sincronización en tiempo real: El usuario está conectado a Internet accediendo a su aplicación, por lo tanto se puede usar la misma vía para sincronizar el dispositivo en tiempo real. Lo mismo es válido para el acceso desde su smartphone Proceso de “enrollment”, simple y eficiente: El mismo software permite instruir al usuario en el proceso de registro de su dispositivo G-OTP independientemente de la plataforma. Algoritmo de generación de claves reprogramable: La aplicación puede recibir actualizaciones del proceso de generación de claves, cada vez que se considere necesario. Proceso de actualización intuitivo y sencillo: El dispositivo se puede actualizar transparentemente en línea como se actualizan por si solos los antivirus y otras aplicaciones. Los markets de aplicaciones se encargan de esto deforma transparente para la entidad.
Ventajas de un OTP virtual basado en el hardware del usuario: Cifrado de alto nivel de los datos transferidos: Usamos las librerías más sofisticadas de cifrado sin que signifique ningún costo adicional en potencia de cálculo. Fácil de adaptar a los procesos de validación de la aplicación anfitriona. Solo hay que enviar los datos introducidos por el usuario a un “web service” y esperar una respuesta (true o false). Costo de actualización muy inferior al de una solución en hardware. Distribuir y actualizar software es mucho más sencillo y cómodo que hacerlo con el hardware.
Posibles desventajas de un OTP basado en software y soluciones utilizadas: Una aplicación en software puede ser copiada. No se trata de prohibir que se copie la aplicación, sino de saber exactamente en donde está instalada y quién la ejecuta obteniendo los datos de dicha plataforma cada vez que ejecute. La aplicación instalada “enrola” en un servidor de licencias de última generación. Una aplicación puede ser descompilada o des-ensamblada.La aplicación pasa por un proceso de ofuscación y otras técnicas de protección de código complejas que hacen que descompilarla y/o desensamblarla sean procesos extremadamente complejos e inútiles.Sin embargo… ¡El código crítico no está en la aplicación! “,¿Es esto posible? En Internet la transmisión de datos puede ser interceptada. Sobre el protocolo de seguridad SSL agregamos utiliza una “pila” muy compleja de protocolos de ofuscación y cifrado de comprobada seguridad y eficiencia. El proceso de identificación del cliente se basa solamente en un número IP.¡Esto ya no es cierto!Al instalar la aplicación tendríamos un “aliado” trabajando para nosotros en la PC o dispositivo móvil del cliente. Podemos obtener información forense de muy buena calidad.
Pirámide de seguridad del G-OTP En la pirámide se puede observar la cantidad de protocolos de seguridad involucrados de cada lado de la conversación entre los aplicativos clientes y el servicio de control principal.
Diagrama básico de conexión del sistema G-OTP Interfaz Javascript en aplicación Aplicación Móvil
Datos utilizados en la creación del FINGERPRINT Usuario/PC/Dispositivo Móvil Sistema Operativo Número IMEI Recolección de datos Operadora Telf. Modelo y Serial Recolección de datos Código de 128 bytes único e irrepetible: FDE1-ED45-4532-78F4-3542-EE65-EFD4-DEAB-34E3-CD11-998E-2315-DE32-4408-10AB-EDA1
Proceso de “enrollment” o enlistamiento del G-OTP: El proceso de “enrollment” o enlistamiento, permite que cada combinación Usuario/Dispositivo se registren en el sistema al primer uso que hagan del G-OTP en sus equipos. Al ejecutar por primera vez el G-OTP envía de inmediato los datos esenciales del dispositivo a la base de datos de dispositivos pendientes por acceso. Luego le entrega al cliente un código para finalizar el proceso y asociar el dispositivo al usuario correcto según el método seleccionado por la entidad que mejor se adapte a su plataforma. Para todo este procedimiento se cuenta con una interfaz administrativa capacitada para aprobar y rechazar dispositivos, y generar una serie completa de reportes y procesos administrativos.
Interfaz cliente del G-OTP El usuario selecciona con el dedo o el ratón las figuras en el teclado gráfico Las figuras seleccionadas aparecen en el campo hasta completar la clave
Proceso de inserción de código en tiempo real: Una de las técnicas que hace que el sistema no sea vulnerable a “decompilación” y/o “desensamblado” se basa en que el código crítico del proceso no reside en la aplicación. ¿Es esto posible? Claro, hemos agregado a la aplicación un intérprete de código en tiempo realque está en capacidad de recibir líneas de código fuente directamente desde un servicio web, evaluarlas y ejecutarlas en tiempo real. ¡Simplemente no es posible descompilar o desensamblar un código que no se posee!
Además, no ofrece limitaciones de uso: Versión Móvil • Un usuario puede enrolar tantos dispositivos G-OTP como PCs o Smartphones tenga o utilice (y la entidad desde la interfaz administrativa le permita) • Cada uno de ellos funcionará solo si él y la interfaz administrativa lo activan tanto en la PC y/o Dispositivo Móvil como en el administrador de licencias. • Cualquier otro usuario de la PC, que intente utilizarlos accederá a ellos como si nunca hubieran enrolado ya que producirán un “fingerprint” diferente (esto no aplica a dispositivos móviles). • El G-OTP versión PC se comporta como un OTP diferente para cada binomio PC/Usuario. Es decir para cada perfil de usuario en una misma PC, un mismo G-OTP actúa como una unidad única y diferente. Versión Desktop
Proceso de generación de clave gráfica: Si usted no entiende lo que a continuación se expone en este grafico, no se preocupe, es solo un esquema que muestra precisamente la complejidad del proceso de generación de la clave gráfica.
Extremadamente fácil de usar… G-OTP ClienteAplicación en Smartphone El usuario introduce la clave seleccionando las mismas imágenes en el teclado gráfico Teclado Gráfico JavascriptInstalado en la aplicación transaccional El software cliente solicita y muestra la clave gráfica
El sistema de G-OTP está conformado por los siguientes módulos: • Módulo administrativo de control de “enrollment”, validación, activación y bloqueo de dispositivos y/o usuarios así como inserción de código a los aplicativos cliente. • Aplicaciónescliente personalizada con “skins” representativos de la imagen corporativa de la institución, en versiones para Windows (desktop), Windows Phone 7.1 o superior , Android (2.1 Froyo o superior) y iOS (2.0 o superior). • Middleware de servicios web que maneja los procesos de conexión e interacción entre el servidor solicitante y las interfaces cliente. • Módulo de teclado gráfico cliente en Javascript, adaptable a la aplicación Transaccional. Versión Ubuntu Versión Windows • Apache Web Server • ASP.NET 2.0, sobre Mono • Postgre SQL o MS-SQL • Internet Information Server 6.0, o superior. • ASP.NET 3.5 sobre .NET • MS-SQL
Ofrézcale a su personal y clientes la solución definitiva de seguridad que merecen, para validar sus transacciones sin complicaciones…
¡Muchas gracias por su atención! Sistema de generación en tiempo real de Clave de Acceso Gráfica, de un solo uso.
Para más información puede comunicarse con: Cybercriminals are smart... Good thing we're smarter! Urb. Villas del Valle, Calle 5, TH-82, El Valle del Espíritu Santo Porlamar - Isla de Margarita - Venezuela Teléfonos: +58 295 4160387 / +58 412 3567152 +58 414 0894627 mauro.maulini@e-securing.com http://www.e-securing.com Skype: callto:mauro.maulini Mauro Maulini R.Presidente e-Securing C.A.