Gira Up To Secure 2010

Portátiles a prueba de robos

Rames SarwatSMARTACCESS

www.smartaccess.es

¿ SmartAccess ?

Empresa española que desarrolla soluciones empresariales que evitan el Acceso no autorizado a los Sistemas de Información y la Suplantación de la Identidad.

www.smartaccess.es

¿Están seguros mis datos?

Hagámonos algunas preguntas…

La era de la información

Nuestra empresa u organismo público utiliza información para funcionar.

¿Qué datos? ¿Qué protejo?

Planos, diseños industriales y patentes

Informes Financieros

Información clínica de pacientes

Código fuente

Información de clientes, proveedores y empleados

Marca / Imagen / Marketing

La actitud habitual

¿Qué sucede si…?

Nos roban o perdemos un portátilPerdemos un dispositivo USB con datos

• A nivel empresarial Lo que menos valor tiene es el dispositivo o equipo Es mucho más valiosa la información que contiene Nos exponemos a que nuestra información caiga en

malas manos o incluso a sanciones económicas.

Cuando sucede lo imprevistolo lamentamos

Un caso real…

• Dos estudiantes del MIT compraron por Internet, en eBay, 150 discos duros de segunda mano.

• Aplicando técnicas y herramientas de análisis forense pudieron recuperar información crítica de la mayoría de ellos.– Datos personales, cuentas

corrientes, datos financieros, datos médicos, etc…

Proteger nuestra información¿Como proteger nuestra información cuando esta

traspasa constantemente los límites físicos de nuestra empresa u organismo?

Estrategia de protección propuesta

• Similar a cuando utilizamos una Caja Fuerte– Colocamos los objetos

valiosos dentro de un contenedor seguro.• CIFRADO

– Establecemos un mecanismos de acceso seguro• AUTENTICACIÓN FUERTE

La Formula

BL + BTG + (WBF or CNG) = Info Segura2

Tecnologías en Windows Vista/7• BL = BitLocker

– Cifrado completo de discos y particiones– Disponible sólo en versiones Ultímate y Enterprise

• BTG = BitLocker To Go (Nuevo)– Cifrado de discos externos extraíbles– Disponible sólo en versiones Ultímate y Enterprise

• WBF = Windows Biometric Framework (Nuevo)– Soporte de biometría integrada en el S.O. – Disponible en todas las versiones

• CNG = Cryptography API: Next Generation– Arquitectura de smart cards y criptografía– Disponible en todas las versiones

• EFS = Encrypting File System– Cifrado de carpetas y ficheros– Disponible en todas las versiones

El cifradoBitLocker utiliza el algoritmo AES

para cifrar los sectores de un disco o partición

¿Dónde guardo la clave?¿puedo recuperar la información si pierdo la clave?

BitLocker y BitLocker To Go

• Cifrar la información – BitLocker (BL)

• Discos y particiones en nuestro equipo• Asegurar la integridad del arranque• Disponible en Windows Vista, Windows 7 y Windows Server

2008

– BitLocker To Go (BTG)• Cifrar los dispositivos extraíbles (discos USB) que contienen

la información.• Disponible en Windows 7 y Windows Server 2008 R2• Se puede utilizar en versiones anteriores en modo lectura

Cifrar discos y particiones

• AES es un algoritmo de cifrado simétrico que requiere disponer de una clave de cifrado.– Para cifrar una partición o disco

secundario, almacenará la clave de forma segura en la partición o disco del sistema operativo.

– Para cifrar la partición o disco del sistema operativo, debemos disponer de:• Hardware externo para almacenar clave (chip

TPM o disco USB)• Una partición de arranque (100 Mb)

El chip TPM(Trusted Platform Module)

• Chip de almacenamiento seguro de pares de claves y credenciales PKI – Incluido en la placa base e integrado con el arranque del

equipo y el sistema operativo.

• Principales Fabricantes : – Atmel, Infineon, Intel, ST Microelectronics y otros

NO TODOS LOS EQUIPOS DISPONEN DE CHIP TPM

Se incorpora en portátiles desde el año 2006

Integrado con el Active Directory

Configuración centralizada de BitLocker y BitLocker To Go:• Definir algoritmos de cifrado• Forzar el uso de BitLocker en discos• Forzar el cifrado de discos extraíbles (BTG)• Backup de claves de recuperación y cifrado en AD• PIN de arranque. Configuración de arranque desde

unidad de sistema operativo cifrada.

DemostraciónAcceso a partición cifrada con smartcard

Cifrado de datos en disco USB

Alternativas

• Otras opciones– Microsoft EFS

• Comerciales– McAfee Enpoint Encryption (antes Safeboot)– Utimaco SafeGuard Products (grupo Sophos)– Check Point Full Disk Encryption– PGP Whole Disk Encryption

• Open Source– TrueCrypt

Cryptography API: Next GenerationAcceso con smart card con certificado digital:

DNI electrónico y otras

Las passwords Frecuentemente :

Se escriben en un papel e incluso se pegan en la pantalla o bajo el teclado

Se comparten con colegas o compañeros

Son utilizadas por más de una persona

Son vulnerables a ataques por ser simples y fáciles de adivinar

Son difíciles de recordar para cada usuario, por su complejidad y alto número

Son necesarios sistemas que garanticen su identidad pero sin dejar de lado la usabilidad de la solución.

¿Que necesito?

Software acceso• Asequible• Bajo TCO• Amplio soporte

de smart cards, lectores y sistemas operativos.

Lector smartcard• Compatible

norma PC/SC• Drivers

específicos o mejor si es CCID

Smartcard • DNI electrónico• Otras

• Siemens• Gemalto• G&D• Oberthur• Infineon• FNMT

• Middleware de la smartcard

Tipos de lectores de smartcard

USB Integrados en Teclado

PCMCIA o ExpressCard/54

De bahía Tokens USB

Bajo coste Mayor integración

Orientado a dispositivo portátil

Integrado en equipo de sobremesa

No requiere adquisición de lector.

Software de Acceso

• IDOne Professional– Mejorar la seguridad de acceso a un coste

asequible y sin complicadas instalaciones– Dos versiones

• Smartcard y tarjetas/tags RFID• Biométrico

– Adaptado a cada empresa• Standalone• Workgroup• Active Directory• LDAP

– Licencia única por puesto– Soporte y mantenimiento– Disponible desde Windows 2000 hasta Windows 7

(plataformas 32bits y 64bits)– SDK para integración

Beneficios

• Mejora de la seguridad y el control de acceso.

• Protege el acceso a la información crítica de la empresa.

• Ayuda al cumplimiento de normativas de protección de datos (LOPD).

• Facilita la integración de la seguridad física y lógica.

• Acelera la adopción de la firma digital en la empresa.

DemostraciónAcceso al equipo con smartcard

con certificado

Windows Biometric FrameworkLa biometría al alcance de todos

¿Qué es WBF?

• Un marco para simplificar y homogeneizar el desarrollo de aplicaciones que hagan uso de la biometría y la experiencia del usuario y del desarrollador.

¿Por qué hacía falta?

• Crecimiento espectacular de la biometría– Reconocimiento de la huella dactilar

(fingerprint)– Durante 2009 se han vendido 61

millones de sensores de huella– Entre 2003 y 2009 se han distribuido en

total más de 300 millones de unidades– Previsión para el 2011, 188 millones de

unidades

• Mala y desigual, la experiencia de usuarios y desarrolladores.

• Funciones no integradas en el S.O.

6600tán28a5660

6600tán19a5660

6600tán10a5660

6600tán1a5660

6600tán21a5660

WBF: Arquitectura

Provided by:

Microsoft

ISV/IHV

OEM

IHV/ISV

Windows Biometric Service

Fingerprint Biometric Service Provider

Biometric API

Windows Biometric Driver Interface

Integration Points Logon/UAC

Fingerprint Management Application and Third Party Apps

(e.g., FUS, Enrollment, Web SSO,

Time and Attendance)

Sensor Adapter

Engine Adapter

Storage Adapter

WDM DriverKMDF DriverUMDF Driver

Soporte de WBF

• Ha recibido el soporte de los principales fabricantes de sensores de huella dactilar y de empresas del sector.– Upek– Authentec– digitalPersona– Validity

• Con el tiempo, fabricantes de otros dispositivos biométricos (facial, iris, vascular, voz, etc.) se irán uniendo.

WBF: Fácil de activarPanel de control

Usos

• Ejemplos de uso de la biometría– Logon local– Logon en dominio– UAC (User Access Control)– Acceso a equipos remotos (TS/Citrix)– Compartición de equipos (modo kiosco)– Cifrado de ficheros– Single Sign-On en aplicaciones– Autenticación Web / Web SSO– Control de presencia / fichaje en el puesto– Identificación de pacientes / visitas / clientes– Etc…

DemostraciónDemostraciónAcceso a equipo mediante reconocimiento de

huella dactilar

Cambio rápido de usuario

Si quieres probarlo…

• Descarga la versión de evaluación de IDOne Professional - Smartcard Edition de la zona de descargas de la web de SmartAccess (www.smartaccess.es/descargas)

• Nnecesitas además:– Un DNI electrónico u otra smartcard soportada– Un lector de smartcard (cualquiera te vale).

Te regalamos el software

• Envía un e-mail con tus datos y el código de inscripción a UpToSecure@smartaccess.es y te enviaremos un código de activación de licencia.

• Te pedimos que después de probarlo, nos envíes un e-mail con tu opinión a la misma dirección de e-mail.

Muchas GraciasSi quieres enviar

algún comentario o preguntapuedes escribirme a:

Rames Sarwatrames@smartaccess.es