Haga clic para modificar el estilo de subtítulo del patrón

26/07/10

Hacia una sociedad TIC… ¿Segura?

Ing. Humberto Díaz Pando, MSc.hdiazp@ceis.cujae.edu.cu

26/07/10

Motivación

INTERNET

Gobierno

Almacenes

Hogar

Móviles

Empresas

Industria de software

Industrias

Viajes

26/07/10

¿Cómo garantizar la seguridad de la información que viaja por la red?

¿Cómo evitar la divulgación no autorizada de información confidencial?

¿Cómo evitar la modificación de esta información?

¿Son realmente seguros los mecanismos implementados por terceros?

¿Se encuentran los datos confidenciales

Motivación

26/07/10

Objetivo

Debatir algunos elementos de seguridad relacionados con la sociedad TIC.

26/07/10

Temas

Seguridad informática.

Seguridad de las infraestructuras.

Seguridad del entorno.

Seguridad de aplicaciones.

26/07/10

Hechos relevantes

Años 80Integridad

de los datos

Años 90 Internet,

¿lugar confiable?

Aumentan ataques a sistemas

informáticos

ordenador

personal

virus y gusanos

26/07/10

Problemas en el desarrollo de software

Contínuos éxitos de los atacadores.

Dudas sobre la confiabilidad de los productos.

Hechos relevantes

Años 2000

Aumento de la seguridad

de los sistemas informaticos

26/07/10

“Un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza”.

(Dr. Jorge Ramió Aguirre, Universidad Politécnica de Madrid)

Seguridad

“La protección de sistemas, datos y servicios contra amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad”.

(Robert English, e-Security, OSIPTEL, Lima, 2001)

26/07/10

Objetivos de la seguridad informática

Confidencialidad

Los componentes del sistema serán accesibles sólo por aquellos usuarios autorizados.

Integridad

Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados.

Disponibilidad

Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

26/07/10

Amenaza

“Posibilidad de ocurrencia de un evento que comprometa de forma accidental o

deliberada los objetivos fundamentales de la seguridad.”

Materializada por ataques naturales o humanos

26/07/10

Ataques(provocados por la naturaleza)

Desastres naturales Accidentes.

26/07/10

Ataques(provocados por el hombre)

Hackers, crackers, piratas.

Programas malignos.

Escucha electrónica

Ataques físicos

26/07/10

Herramientas

Ataques

Rotura de contraseñas

Puertas traseras

Sniffers

Ataques www

ConocimientoComplejidad

1980 1985 1990 1995 2000

Denegación de servicio

Tendencias de los ataques

26/07/10

Resumen

No existe ninguna organización a salvo de ataques a sus sistemas informáticos.

Es decir, no existe ningún sistema informático, ni organización

absolutamente seguros.

Cuestión de tiempo y recursos

26/07/10

La aplicación correcta de la seguridad de sistemas permite:

Proteger los activos de la entidad, incluyendo los secretos comerciales.

Mantener una posición e imagen competitiva.

(mencionar paradoja)

26/07/10

Seguridad informática

1. Planificación de las necesidades.

2. Estimación de riesgos.

3. Análisis Costos – Beneficios.

4. Definición de políticas.

5. Implementación.

6. Auditoría.

26/07/10

Temas

Seguridad informática.

Seguridad de las infraestructuras.

Seguridad del entorno.

Seguridad de aplicaciones.

26/07/10

Seguridad de las infraestructuras

¿Cómo garantizar la seguridad de la información que viaja por la red?

¿Cómo evitar la divulgación no autorizada de información confidencial?

¿Cómo evitar la modificación de esta información?

Necesidades de seguridad

Integridad

Confidencialidad

Amenazas

Ataques pasivos

INTERNET

Gobierno

Almacenes

Hogar

Móviles

Empresas

Industria de software

Industrias

Viajes

26/07/10

Seguridad de las infraestructuras

Ataques pasivos

Canal

A B

Adversario

26/07/10

Seguridad de las infraestructuras

Ataques activos

Canal

A B

Adversario

26/07/10

Cifrador(E)

Descifrador(D)B

Esquema general

Mensaje sin

cifrar

M

CMensaje

cifrado

K K

Mensaje sin

cifrar

M

Clave Clave

Canal

A

Criptografía.

Griego kriptos: ocultar y gráphein: escribir.

4000 años.

Arte o ciencia de cifrar y descifrar información mediante técnicas matemáticas para mantener seguros los mensajes, de manera que sólo puedan ser leídos por aquellos a quienes van dirigidos y que está orientada a la solución de los problemas: confidencialidad, integridad, autenticación y no repudio.

26/07/10

Tipos de criptosistemas

Clasificación histórica y cultural (no técnica).

Clásicos

Modernos

Según el tratamiento del mensaje.

De bloque

De flujo

Según el tipo de clave

26/07/10

Criptosistemas simétricos

Clave secreta.

Una única clave para cifrar y descifrar.

Importante mantener la clave en secreto.

26/07/10

Criptosistemas simétricos

Cifrador(Ek)

Descifrador

(Dk)

Canal de comunicación

Texto claro

M

CTexto cifrad

o

K K

Texto Claro

M

Clave Clave

A B

26/07/10

Criptosistemas simétricos

A

E D

C

B

kAB

kAC

kBC

kAD

kBD

kCD

kAE

kBE

kCE

kDE

Número Claves:n (n-1) / 2

2 usuarios: N = 13 usuarios: N = 34 usuarios: N = 65 usuarios: N = 10

Muy mala gestión de claves.

26/07/10

Criptosistemas asimétricos

Dos claves (pública y privada).

Lo que se cifra en emisión con una clave, se descifra en recepción con la otra.

Dificultad computacional de descubrir la clave privada a partir de la pública.

Relación matemática entre ambas claves.

26/07/10

Criptosistemas asimétricos (I)

Cifrador(Eb)

Descifrador

(Db)

Canal de comunicación

Texto Claro

M

CTexto cifrad

o

Texto Claro

M

Clave pública de B

Clave privada de B

A B

Cifrado: se garantiza confidencialidad

26/07/10

Criptosistemas asimétricos (II)

Cifrador(Da)

Descifrador

(Ea)

Canal de comunicación

Texto claro

M

CTexto cifrad

o

Texto Claro

M

Clave pública de A

Clave privada de A

A B

Firma digital: se garantiza Integridad, autenticidad, no

repudio

26/07/10

¿Simétrico o Asimétrico?

Simétrico: mala gestión de claves, buen rendimiento

Asimétrico: buena gestión de claves, mal rendimiento

Sistemas híbridos

¿Cómo saber si la clave pública es:

Confiable: emitida por una entidad autorizada

Íntegra: si no ha sido modificado por alguien no autorizado.

26/07/10

¿Qué es una PKI?

Es una infraestructura.

Basada en la criptografía asimétrica o de clave pública.

Garantiza los 4 objetivos principales de la criptografía.

Basa su seguridad en la confianza de los usuarios con la TPC.

26/07/10

Autoridad de certificación

Políticas de certificación

AplicacionesPKI

Autoridad de registro

Publicación de certificados

Estructura de una PKI

26/07/10

CAs desconocida

26/07/10

CAs desconocida

26/07/10

CAs de confianza registradas

CAs Intermedias

CAs Raíz

26/07/10

CAs registradas como no confiables

26/07/10

Certificado Digital X.509

26/07/10

¿Qué me resuelve una PKI?

¿De quién es esta clave pública?

¿Para qué uso está hecha la clave?

¿Sigue siendo válida la clave?

26/07/10

Aplicaciones de la PKI y los certificados

Firma Digital

Validación de certificados vía CRL o OCSP

Autenticación con Certificados

Autorización con Certificados

Autoridad de Timestamp

26/07/10

Aplicaciones de la PKI y los certificados

PIN (Número de Identificación Personal)

S/MIME (Secure Multi-purpose Internet Mail Extension)

PGP (Pretty Good Privacy)

SSL (Secure Socket Layer)

26/07/10

Seguridad de las infraestructuras

INTERNET

Gobierno

Almacenes

Hogar

Móviles

Empresas

Industria de software

Industrias

Viajes

26/07/10

Temas

Seguridad informática.

Seguridad de las infraestructuras.

Seguridad del entorno.

Seguridad de aplicaciones.

26/07/10

Seguridad del entorno

¿Son realmente seguros los mecanismos implementados por terceros?

Necesidades de seguridad

Integridad

Confidencialidad

Amenazas

Explotar vulnerabilidades.

Descubrimiento de información sensible.

Ataques pasivos.

Ataques activos.

INTERNET

Gobierno

Almacenes

Hogar

Móviles

Empresas

Industria de software

Industrias

Viajes

26/07/10

Seguridad del entorno

Funcionalidades ocultas.

Puertas traseras.

No correspondencia entre la especificación y la implementación.

Reconocimiento de fallas de seguridad.

26/07/10

Seguridad del entorno

Generador de números aleatorios de Windows 2000.

Notepad. (www.eeggs.com)

Winrar.

Criptografía de Windows

No se consideran requisitos de seguridad.

26/07/10

Seguridad del entorno

The implication of these findings is that a buffer overflow attack or a similar attack can be used to learn a single state of the generator, which can then be used to predict all random values, such as SSL keys, used by a process in all its past and future operation. This attack is more severe and more efficient than known attacks, in which an attacker can only learn SSL keys if it is controlling the attacked machine at the time the keys are used.

26/07/10

Seguridad del entorno

26/07/10

Seguridad del entorno

26/07/10

Conclusiones

Si todo es cuestión de tiempo y recursos…¿para qué pensar en la seguridad?

Seguridad Informática como proceso.

Elevar los niveles de seguridad de forma iterativa e incremental.

¿Cómo garantizar la seguridad de la información que viaja por la red?

26/07/10

Hacia una sociedad TIC… ¿Segura?

INTERNET

Gobierno

Almacenes

Hogar

Móviles

Empresas

Industria de software

Industrias

Viajes

Haga clic para modificar el estilo de subtítulo del patrón

26/07/10

Hacia una sociedad TIC… ¿Segura?

Ing. Humberto Díaz Pando, MSc.hdiazp@ceis.cujae.edu.cu