Seguridad y Alta Disponibilidad Manuel Castaño Guillén

A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Cifrar y descifrar usando un cifrado simétrico.

Para estas actividades usaremos gpg, GNU Privacy Guard (GnuPG o GPG) es una herramienta
de cifrado y firmas digitales. Forma parte de debian pero si queremos usarlo en otro sistema
podemos descargarlo en https://www.gnupg.org/download/index.html Hay diferentes versiones
incluso versión gráfica para Windows.
Para cifrar-descifrar usando una única clave (cifrado simétrico) tecleamos: gpg -c fichero_origen
Nos solicitará una clave y generará un fichero de salida con extensión gpg:

Para descrifrar escribimos gpg ficherocifrado.gpg y nos solicitará la clave:

Actividad: Cifrado asimétrico. Trabajando con pares de claves

Para un cifrado asimétrico necesitamos un par de claves que podemos generar con gpg --gen-
key (con la opción --full-generate-key podemos optar a diferentes tipos de claves).-

Nos medirá Nombre y correo, después una clave para proteger al par de claves generadas
(puede que compartamos el equipo y por seguridad es mejor que nuestras claves estén
protegidas), nos sugerirá que movamos el ratón o trabajemos en otra ventana para que el par
de claves tengan más seguridad.
Podemos exportar nuestras claves con gpg -a --export identificador

1
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Para guardar la clave pública en un fichero gpg -a --export identificador > clavepublica.asc
Para guardar la clave privada en un fichero gpg -a --export-secret-key identificador >
claveprivada.asc
Se usa la clave pública para cifrar porque lo correcto es enviar la clave pública al otro
interlocutor para que nos envíe sus mensajes cifrados con ella (o para que verifique nuestros
ficheros firmados). La clave privada no debe salir de nuestro equipo
Para recibir una clave pública (o privada, no es lo recomendable, aunque también puede que
queramos exportar nuestro par de claves a otro equipo porque tengamos 2 pcs de trabajo) de
otra persona e incorporarla a nuestro anillo de claves (keyring) utilizamos la opción --import

Para ver nuestro almacén de claves gpg -k (esto para claves públicas, para las claves privadas
en mayúsculas -K)

Actividad: Cifrar un fichero para enviar

Una hemos recibido la clave pública de nuestro interlocutor, ciframos el fichero a enviar
indicando el destinatario (clave pública) con -r (la barra invertida es para caracteres especiales,
en este caso para que tome el espacio en blanco como parte del identificador):
`
Para descifrar el fichero nuestro interlocutor utilizará su clave privada, para ello teclea gpg
ficherocifrado ó gpg --output nombreficherosalida --decrypt ficherocifrado

Actividad: Firmar un fichero para enviar

En este caso vamos a enviar un fichero firmado con nuestra clave privada y nuestro interlocutor
una vez recibido el fichero y nuestra clave pública verificará la procedencia del fichero,
podemos enviar un único fichero con la opción --clearsign que incluirá el fichero original + la
firma (genera un fichero asc):

2
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Podemos enviar el fichero de la firma separado con la opción --detach-sign (genera un fichero
sig), con lo cual para que todo el proceso pueda ser verificado por el receptor, este necesitará
el fichero original, la firma y la clave pública.

El receptor recibirá la clave pública y verificará que el fichero no ha cambiado y que lo ha

firmado el emisor (si es firma separada incluyendo el fichero original en el comando)

Actividad: Openssl
Otra de las herramientas muy utilizada para trabajar con cifrado es openssl, al ejecutarla nos
mostrará el prompt OpenSSL>:
Podemos usar ? para ayuda, quit o exit para salir.

Para cifrar un fichero de texto (nos solicitará la clave, o utilizamos --pass pass:clave para
incluirla en la línea de comandos):
OpenSSL> enc -e -des -in mensaje.txt -out mensajeencriptado.txt

Para descifrar un fichero de texto:

OpenSSL> enc -d -des -in mensajeencriptado.txt -out mensajedesencriptado.txt
(Nota: la opción -des es el tipo de cifrado, se pueden usar diferentes tipos: aes, rc2, …)

Actividad: Openssl. Cifrar y descifrar pequeños ficheros usando un cifrado asimétrico.

Vamos a generar con openssl un par de claves (pública y privada):
1.- Generar una clave privada:
OpenSSL> genrsa -out privada.key 1024
2.- Generar la clave pública:
OpenSSL> rsa -in privada.key -pubout -out publica.key
3.- Encriptar el fichero:
OpenSSL> rsautl -pubin -encrypt -in mensaje.txt -out asimetrico.txt -inkey publica.key
4.- Desencriptar el fichero:
OpenSSL> rsautl -decrypt -in asimetrico.txt -out desencriptado.txt -inkey privada.key

Actividad: Openssl. Cifrar y descifrar ficheros grandes usando un cifrado asimétrico.

Vamos a generar con openssl un par de claves (pública y privada):
1.- Generar una clave privada:
OpenSSL> genrsa --des3 --out privada.key 2048
2.- Generar solicitud de certificado (los datos los inventamos):
OpenSSL> req --new --key privada.key --out solicitud.csr
3.- Autofirmar el certificado:
OpenSSL> x509 --days 365 --signkey privada.key --in solicitud.csr --req --out certificado.crt
4.- Cifrar el fichero:
OpenSSL> smime -encrypt -binary -aes-256-cbc -in ficherooriginal -out ficheroencriptado -
outform DER certificado.crt
5.- Descifrar el fichero:

3
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

OpenSSL> smime -decrypt -binary -aes-256-cbc -in ficheroencriptado -out ficherodesencriptado

-inform DER -inkey privada.key

Actividad: Exportar las claves privada y pública de nuestro certificado digital.

Para extraer las claves privadas y públicas utilizado openssl, bien desde Ubuntu o Windows y
ejecutamos la orden (o abrimos el prompt openssl>):
Openssl pcks12 --in certificado.pfx --out publica.pem --nokeys
Openssl pkcs12 --in certificado.pfx --out privada.pem --nodes --nocerts

Actividad: Instalación y uso del certificado digital FNMT

El certificado más utilizado para firmar digital es el obtenido a través de la web de la Fábrica
Nacional de Moneda y Timbre. Para instalar el certificado:
 Primero debemos solicitarlo:

 Nos enviarán un código numérico al correo facilitado, con este código, en persona
tendremos que acercarnos a un organismo público para que nos validen la solicitud
(AEAT, Seg. Social, …)
Estimado/a Sr/a GARCIA:
A continuación le facilitamos el CÓDIGO DE SOLICITUD del
Certificado FNMT de Persona Física que nos ha solicitado:
658685456
NIF asociado a la solicitud:
12345678A

 Desde el mismo ordenador y navegador desde el que hemos solicitado el certificado

finalizamos la descarga y lo instalamos.

Vamos a probar su funcionamiento accediendo a Rayuela, una vez dentro en la parte superior
aparecerán nuestro nombre y apellidos:

4
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Firmar digitalmente un fichero en word

Para firmar un fichero en Word, vamos a Archivo, Información, Proteger documento, Agregar
una firma digital:

Actividad: Firmar digitalmente un fichero pdf

Para firmar un pdf desde las herramientas tenemos la opción certificados para firmar el
documento, marcamos un rectángulo, seleccionamos el certificado:

Actividad: Exportar nuestro certificado digital.

Dependerá del navegador con el que hayamos descargado nuestro certificado digital. Chrome,
Explorer y otros utilizan el almacén de certificados de Windows, en cambio Firefox tiene otro
almacén propio:

5
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Para exportarlo con clave privada (.pfx en almacén de Windows o .p12 en almacén Firefox).
Una vez exportado lo podremos llevar a cualquier equipo.

Actividad: Si alguien accede a una base de datos de usuarios y contraseñas ¿podría suplantar a
todos los usuarios?
Si la base de datos está bien diseñada no podrá acceder, lo normal es aplicar una técnica de
hash a las contraseñas, por ejemplo md5, de forma que en la base de datos se almacena el
resultado de la función hash, cuando un usuario quiere acceder teclea su usuario y contraseña,
a la contraseña se le aplica la función md5 y se compara con el dato almacenado en la base de
datos:

Por tanto, el atacante solo podrá ver los resultados de la función hash y no las contraseñas.

Actividad: Aplicar una función hash a un texto.

Descargamos de https://quickhash-gui.org la
utilidad quickhash y vemos en la parte
inferior el hash de la palabra “juan” y observamos por el resultado inferior que
el usuario juan de la actividad anterior ha elegido una mala contraseña pues ha
elegido también “juan” como contraseña.

Actividad: Calcular MD5 o SHA1 de un fichero

Tanto MD5 como SHA1 son funciones hash que permiten crear una huella única de un fichero,
de forma que, si cambiamos lo más mínimo en el contenido del fichero su huella cambia.
Con la misma aplicación anterior:

6
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Esteganografía.
Vamos a incrustar un fichero de texto dentro de una imagen, para ello vamos a descargar la
herramienta OpenStego:

Estas son las 2 imágenes, original (izquierda) e imagen con el fichero mensaje.txt (derecha):

Para extraer el mensaje:

7
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Como cifrar un archivo en Windows para evitar accesos de otras personas aunque
este en una carpeta accesible
Desde propiedades del archivo, accedemos a avanzados, marcamos cifrar contenido:

Si accedemos con otro usuario veremos el fichero en verde:

Actividad: Comprobar la integridad del sistema de ficheros en Windows

Windows dispone del comando sfc (System File Checker) para comprobar que ningún malware
haya cambiado algún fichero del sistema:

Actividad: Crear un punto de restauración del sistema en Windows

Para crear un punto de restauración basta con acceder a Propiedades avanzadas y hacer clic en
“Crear“

8
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Crear una imagen del sistema con Clonezilla

Paso 1: Descargar clonezilla y grabarlo en DVD o USB de arranque
Paso 2: Arrancar el sistema desde el DVD o USB

Paso 3: Elegir idioma y teclado (este último mejor no cambiarlo)

Paso 4: Iniciar Clonezilla

Paso 5: Elegir copia de Disco a imagen:

Paso 6: Elegir destino de la imagen (lo más sencillo un USB o disco local, pero también
podemos copiar a una carpeta de red con samba, etc):

Paso 7: Montar el dispositivo de destino de la copia:

9
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Paso 8: Seleccionar carpeta

Paso 9: Seleccionar principiante

Paso 10: Seleccionar almacenar

Paso 11: Poner nombre y guardar

Actividad: Utilizar el programador de tareas de Windows para programar una copia de

seguridad todos los viernes
Desde el administrador de tareas creamos una nueva tarea:

En el desencadenador marcamos “semanalmente”, miércoles y la hora

10
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

En acciones ejecutar un programa, que puede ser, sencillamente, un archivo .bat con la orden
de copia:
xcopy C:\Users\Manuel\Documents\*.* \\Copias\Manuel\Documentos\*.* /D /S /Y /R /H /C

Actividad: Utilidades para realización de un análisis forense. Recolección de datos. Copia de

disco
Uno de los pasos a la hora de hacer un análisis forense es realizar copias de disco en el estado
en que se encuentran para recolectar las evidencias y que sean puedan ser utilizadas en algún
proceso judicial posterior. Para realizar estas copias podemos usar dd.exe que encontraremos
en la web chrysocome.net

Una vez extraído con dd.exe --list podemos mostrar una lista de discos, cdrom y memorias a
copiar. Por ejemplo con el siguiente comando hacemos una imagen de la unidad f
correspondiente al cdrom:

Actividad: Utilidades para realización de un análisis forense. Recolección de datos. Volcado de

memoria
Un volcado de memoria se realiza automáticamente cuando se produce un bloqueo del sistema
siguiendo la configuración de inicio y recuperación:

Si deseamos podemos provocar un volcado de memoria con la utilidad Notmyfault64.exe de

Microsoft: https://live.sysinternals.com/ ejecutando notmyfault64 /crash (cuidado que el
sistema se bloquea cuando lo ejecutéis)

Actividad: Utilidades para realización de un análisis forense. Análisis de datos.

Una vez tengamos el volcado de memoria podemos ver los procesos que estaban en memoria,
las conexiones abiertas, etc. Para ello podemos usar la herramienta volatility 2.6 de
https://www.volatilityfoundation.org/

11
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

volatiliby_2.6_win64_standalone.exe -f memory.dmp imageinfo (para obtener una información

general)
volatiliby_2.6_win64_standalone.exe -f memory.dmp --profile=Win10x64 pslist (para obtener
una lista de los procesos que había en memoria)

Entre otros puntos debemos analizar:

 Ficheros eliminados
 Historial de navegación
 Ficheros log
 Actividad en redes sociales
 Lugares de contenidos importantes como escritorio, carpeta “mis documentos”, carpeta
appdata, etc.
 Adjuntos de correos

Hay infinidad de herramientas gratuitas para realizar este análisis como las ofrecidas en
http://nirsoft.net, por ejemplo, la siguiente sirve para mirar la caché de Chrome:

Ver los USB conectados y el historial de conexiones:

Actividad: Utilidades para realización de un análisis forense. El registro de windows.

El registro de Windows es una base de datos jerarquizada que contiene información sobre la
configuración del sistema
https://accessdata.com/product-download/registry-viewer-2-0-0

12
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad: Herramienta para el análisis forense CAINE 11 (Computer Aide Investigation

Environment)
CAINE es una distribución basada en Ubuntu que integra herramientas para el análisis forense
(recuperación de ficheros, volcado de memoria, encriptación, etc), se descarga una imagen iso
y se graba en un USB o DVD. Una vez arrancado el sistema Caine no cambiará la información
de los discos, los pone en modo de solo lectura.

Se puede descargar en http://www.caine-live.net/page5/page5.html Para grabar la iso

podemos usar Rufus
Entre las herramientas tenemos Autopsy que nos permite analizar un disco para buscar
actividad reciente, ficheros borrados, ver los eventos del sistema, etc. Una vez lo iniciamos
creamos el caso, seleccionamos el origen que va a escanear y que datos queremos buscar,
cuando finaliza nos ofrece un árbol con la información y podemos generar un informe:

Actividad: Herramienta para el análisis forense win-UFO

Otro grupo de herramientas que permiten recuperar ficheros, escanear la red, recuperar
contraseñas, etc:

La opción de recuperación nos permite recuperar ficheros borrados en el sistema:

13
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Las herramientas de red permiten ver conexiones establecidas, equipos en la red, puertos
abiertos, etc.

Actividad: Herramienta para el análisis forense

Veremos una de las herramientas más utilizadas en el análisis forense autopsy, para comprobar
su funcionamiento vamos a analizar un almacenamiento USB (podemos analizar cualquier tipo
de disco incluso de máquinas virtuales, de hecho lo ideal es hacer una copia del disco en una
.iso o .img con clonezilla por ejemplo y así el original permanece intacto y evitamos borrar
“pistas”). Una vez hemos hecho la imagen, ejecutamos autopsy:

14
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Tendremos que indicar que módulos queremos ejecutar:

 Actividad reciente
 Identificar archivos por hash (hash lookup
comprueba en bases de datos el hash de los
archivos)
 Identificar los archivos por tipos
 Identificar por extensión
 Extraer archivos incrustados en zip, rar, etc
 Extraer información Exif de archivos de imagen
(fecha, modelo de cámara digital, etc)
 Búsqueda por palabras clave
 Interpretación de correos electrónicos
 Detección de ficheros cifrados
 Identificador de archivos de interés (configurable)
 Motor de correlación (extrae información de los
archivos y la almacena en un repositorio)
 PhotoRec Carver (reconstruye fichero desde
espacio sin asignar)
 Analizador de máquinas virtuales guardadas en el
disco
 Verificador de integridad de datos
 …

Marcamos todos y vemos el resultado del análisis (el tiempo puede ser largo dependiendo del
tamaño del disco analizado)

Veamos algunas de las informaciones que podemos encontrar:

Metadatos en imágenes como en el siguiente caso que muestra la marca de cámara con la que
se hizo la foto (EXIF):

15
Seguridad y Alta Disponibilidad Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Contenidos no correspondientes con la extensión como el siguiente pdf que realmente contiene
un png:

Archivos borrados:

Direcciones de correo en diferentes ficheros:

16