Hacia una sociedad TIC… ¿Segura? - Distrito Capital · virus y gusanos. 26/07/10 Problemas en el...
-
Upload
truongdung -
Category
Documents
-
view
223 -
download
0
Transcript of Hacia una sociedad TIC… ¿Segura? - Distrito Capital · virus y gusanos. 26/07/10 Problemas en el...
Haga clic para modificar el estilo de subtítulo del patrón
26/07/10
Hacia una sociedad TIC… ¿Segura?
Ing. Humberto Díaz Pando, [email protected]
26/07/10
Motivación
INTERNET
Gobierno
Almacenes
Hogar
Móviles
Empresas
Industria de software
Industrias
Viajes
26/07/10
¿Cómo garantizar la seguridad de la información que viaja por la red?
¿Cómo evitar la divulgación no autorizada de información confidencial?
¿Cómo evitar la modificación de esta información?
¿Son realmente seguros los mecanismos implementados por terceros?
¿Se encuentran los datos confidenciales
Motivación
26/07/10
Temas
Seguridad informática.
Seguridad de las infraestructuras.
Seguridad del entorno.
Seguridad de aplicaciones.
26/07/10
Hechos relevantes
Años 80Integridad
de los datos
Años 90 Internet,
¿lugar confiable?
Aumentan ataques a sistemas
informáticos
ordenador
personal
virus y gusanos
26/07/10
Problemas en el desarrollo de software
Contínuos éxitos de los atacadores.
Dudas sobre la confiabilidad de los productos.
Hechos relevantes
Años 2000
Aumento de la seguridad
de los sistemas informaticos
26/07/10
“Un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza”.
(Dr. Jorge Ramió Aguirre, Universidad Politécnica de Madrid)
Seguridad
“La protección de sistemas, datos y servicios contra amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad”.
(Robert English, e-Security, OSIPTEL, Lima, 2001)
26/07/10
Objetivos de la seguridad informática
Confidencialidad
Los componentes del sistema serán accesibles sólo por aquellos usuarios autorizados.
Integridad
Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.
26/07/10
Amenaza
“Posibilidad de ocurrencia de un evento que comprometa de forma accidental o
deliberada los objetivos fundamentales de la seguridad.”
Materializada por ataques naturales o humanos
26/07/10
Ataques(provocados por el hombre)
Hackers, crackers, piratas.
Programas malignos.
Escucha electrónica
Ataques físicos
26/07/10
Herramientas
Ataques
Rotura de contraseñas
Puertas traseras
Sniffers
Ataques www
ConocimientoComplejidad
1980 1985 1990 1995 2000
Denegación de servicio
Tendencias de los ataques
26/07/10
Resumen
No existe ninguna organización a salvo de ataques a sus sistemas informáticos.
Es decir, no existe ningún sistema informático, ni organización
absolutamente seguros.
Cuestión de tiempo y recursos
26/07/10
La aplicación correcta de la seguridad de sistemas permite:
Proteger los activos de la entidad, incluyendo los secretos comerciales.
Mantener una posición e imagen competitiva.
(mencionar paradoja)
26/07/10
Seguridad informática
1. Planificación de las necesidades.
2. Estimación de riesgos.
3. Análisis Costos – Beneficios.
4. Definición de políticas.
5. Implementación.
6. Auditoría.
26/07/10
Temas
Seguridad informática.
Seguridad de las infraestructuras.
Seguridad del entorno.
Seguridad de aplicaciones.
26/07/10
Seguridad de las infraestructuras
¿Cómo garantizar la seguridad de la información que viaja por la red?
¿Cómo evitar la divulgación no autorizada de información confidencial?
¿Cómo evitar la modificación de esta información?
Necesidades de seguridad
Integridad
Confidencialidad
Amenazas
Ataques pasivos
INTERNET
Gobierno
Almacenes
Hogar
Móviles
Empresas
Industria de software
Industrias
Viajes
26/07/10
Cifrador(E)
Descifrador(D)B
Esquema general
Mensaje sin
cifrar
M
CMensaje
cifrado
K K
Mensaje sin
cifrar
M
Clave Clave
Canal
A
Criptografía.
Griego kriptos: ocultar y gráphein: escribir.
4000 años.
Arte o ciencia de cifrar y descifrar información mediante técnicas matemáticas para mantener seguros los mensajes, de manera que sólo puedan ser leídos por aquellos a quienes van dirigidos y que está orientada a la solución de los problemas: confidencialidad, integridad, autenticación y no repudio.
26/07/10
Tipos de criptosistemas
Clasificación histórica y cultural (no técnica).
Clásicos
Modernos
Según el tratamiento del mensaje.
De bloque
De flujo
Según el tipo de clave
26/07/10
Criptosistemas simétricos
Clave secreta.
Una única clave para cifrar y descifrar.
Importante mantener la clave en secreto.
26/07/10
Criptosistemas simétricos
Cifrador(Ek)
Descifrador
(Dk)
Canal de comunicación
Texto claro
M
CTexto cifrad
o
K K
Texto Claro
M
Clave Clave
A B
26/07/10
Criptosistemas simétricos
A
E D
C
B
kAB
kAC
kBC
kAD
kBD
kCD
kAE
kBE
kCE
kDE
Número Claves:n (n-1) / 2
2 usuarios: N = 13 usuarios: N = 34 usuarios: N = 65 usuarios: N = 10
Muy mala gestión de claves.
26/07/10
Criptosistemas asimétricos
Dos claves (pública y privada).
Lo que se cifra en emisión con una clave, se descifra en recepción con la otra.
Dificultad computacional de descubrir la clave privada a partir de la pública.
Relación matemática entre ambas claves.
26/07/10
Criptosistemas asimétricos (I)
Cifrador(Eb)
Descifrador
(Db)
Canal de comunicación
Texto Claro
M
CTexto cifrad
o
Texto Claro
M
Clave pública de B
Clave privada de B
A B
Cifrado: se garantiza confidencialidad
26/07/10
Criptosistemas asimétricos (II)
Cifrador(Da)
Descifrador
(Ea)
Canal de comunicación
Texto claro
M
CTexto cifrad
o
Texto Claro
M
Clave pública de A
Clave privada de A
A B
Firma digital: se garantiza Integridad, autenticidad, no
repudio
26/07/10
¿Simétrico o Asimétrico?
Simétrico: mala gestión de claves, buen rendimiento
Asimétrico: buena gestión de claves, mal rendimiento
Sistemas híbridos
¿Cómo saber si la clave pública es:
Confiable: emitida por una entidad autorizada
Íntegra: si no ha sido modificado por alguien no autorizado.
26/07/10
¿Qué es una PKI?
Es una infraestructura.
Basada en la criptografía asimétrica o de clave pública.
Garantiza los 4 objetivos principales de la criptografía.
Basa su seguridad en la confianza de los usuarios con la TPC.
26/07/10
Autoridad de certificación
Políticas de certificación
AplicacionesPKI
Autoridad de registro
Publicación de certificados
Estructura de una PKI
26/07/10
¿Qué me resuelve una PKI?
¿De quién es esta clave pública?
¿Para qué uso está hecha la clave?
¿Sigue siendo válida la clave?
26/07/10
Aplicaciones de la PKI y los certificados
Firma Digital
Validación de certificados vía CRL o OCSP
Autenticación con Certificados
Autorización con Certificados
Autoridad de Timestamp
26/07/10
Aplicaciones de la PKI y los certificados
PIN (Número de Identificación Personal)
S/MIME (Secure Multi-purpose Internet Mail Extension)
PGP (Pretty Good Privacy)
SSL (Secure Socket Layer)
26/07/10
Seguridad de las infraestructuras
INTERNET
Gobierno
Almacenes
Hogar
Móviles
Empresas
Industria de software
Industrias
Viajes
26/07/10
Temas
Seguridad informática.
Seguridad de las infraestructuras.
Seguridad del entorno.
Seguridad de aplicaciones.
26/07/10
Seguridad del entorno
¿Son realmente seguros los mecanismos implementados por terceros?
Necesidades de seguridad
Integridad
Confidencialidad
Amenazas
Explotar vulnerabilidades.
Descubrimiento de información sensible.
Ataques pasivos.
Ataques activos.
INTERNET
Gobierno
Almacenes
Hogar
Móviles
Empresas
Industria de software
Industrias
Viajes
26/07/10
Seguridad del entorno
Funcionalidades ocultas.
Puertas traseras.
No correspondencia entre la especificación y la implementación.
Reconocimiento de fallas de seguridad.
26/07/10
Seguridad del entorno
Generador de números aleatorios de Windows 2000.
Notepad. (www.eeggs.com)
Winrar.
Criptografía de Windows
No se consideran requisitos de seguridad.
26/07/10
Seguridad del entorno
The implication of these findings is that a buffer overflow attack or a similar attack can be used to learn a single state of the generator, which can then be used to predict all random values, such as SSL keys, used by a process in all its past and future operation. This attack is more severe and more efficient than known attacks, in which an attacker can only learn SSL keys if it is controlling the attacked machine at the time the keys are used.
26/07/10
Conclusiones
Si todo es cuestión de tiempo y recursos…¿para qué pensar en la seguridad?
Seguridad Informática como proceso.
Elevar los niveles de seguridad de forma iterativa e incremental.
¿Cómo garantizar la seguridad de la información que viaja por la red?
26/07/10
Hacia una sociedad TIC… ¿Segura?
INTERNET
Gobierno
Almacenes
Hogar
Móviles
Empresas
Industria de software
Industrias
Viajes
Haga clic para modificar el estilo de subtítulo del patrón
26/07/10
Hacia una sociedad TIC… ¿Segura?
Ing. Humberto Díaz Pando, [email protected]