Ing. Israel Pulido Picazo

Si te conoces a ti mismo y conoces

a tu enemigo, entonces no

deberás temer el resultado de mil

batallas

Sun-Tzu, El Arte de la Guerra

LA SEGURIDAD INFORMATICA ES UN

CAMINO, NO UN DESTINO”

Objetivo:

Mantener los sistemas generando resultados

Si los sistemas no se encuentran funcionando

entonces su costo se convierte en perdidas financieras (en el menos grave de los casos).

El resultado generado por un sistema es la INFORMACION que ALMACENA O

PRODUCE.

Triangulo CIA

INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD

Mitos de Seguridad

¿El sistema puede llegar al 100% de seguridad?

No hay nada en mi computadora que un hacker

pudiera querer

Solo los grandes servidores son objetivo de los

hackers

Linux es más seguro que Windows

Tengo un software antivirus y es todo lo que

necesito.

Se necesitan muchos conocimientos

tecnológicos para ser un hacker

Definiciones de seguridad

Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas.

Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente.

Proteger y Mantener los sistemas funcionando.

Control de Acceso

Conjunto de mecanismos para limitar, controlar y monitorear el sistema de acceso a ciertos items de información o a ciertos aspectos basados en una identidad de usuario y su pertenencia en varios grupos predefinidos.

Permite a los administradores de un sistema

ejercer una directriz o influencia de restricción sobre el comportamiento, uso y contenido de un sistema respecto a confidencialidad, integridad y disponibilidad.

Ejemplos de tipo de acceso

Control de acceso basado en roles

Usar un conjunto de permisos basados en el área laboral (Nomina, Finanzas, Recursos Humanos, etc.) A un usuario se le conceden acceso a

recursos Necesidad de asignar derechos individualmente a cada usuario en específico.

El control de acceso puede definirse basándose en: El tipo de cargo que desempeña un usuario.

Su rol en la empresa.

ROLES

INVOLUCRADOS

EN SEGURIDAD

USUARIOS

SEGURIDAD

Usuarios comunes

Los usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que pueden correr.

Son las principales víctimas.

También son el punto de entrada de muchos de los problemas crónicos.

“El eslabón más débil” en la cadena de seguridad.

Social Engineering Specialist:

Because There is no Security Patch for Humans

Enfoques de Control

Principio del Menor Privilegio Posible:

Reducir la capacidad de acción del usuario sobre los sistemas.

Objetivo: Lograr el menor daño posible en caso de incidentes.

Educar al Usuario:

Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad.

Objetivo: Reducir el número de incidentes

Actividad 1

Mesa de trabajo:

“El Usuario, el eslabón más débil en la cadena de Seguridad”

Desarrollar una exposición.

Pequeña investigación sobre el tema.

Comentarios sobre experiencias laborales o personales.

Dinámica

Cada miembro deberá presentar su exposición en un tiempo estimado de 7 minutos como máximo. (sin diapositivas)

Al final de cada exposición habrá una sesión de preguntas y respuestas.

Al final de las exposiciones se otorgara la palabra a aquellas personas que deseen aportar conclusiones generales o comentarios.

CREADORES DE

SISTEMAS

SEGURIDAD

Creando Software

El software moderno es muy complejo y

tiene una alta probabilidad de contener

vulnerabilidades de seguridad.

Un mal proceso de desarrollo genera

software de mala calidad. “Prefieren que

salga mal a que salga tarde”.

Usualmente no se enseña a incorporar

requisitos ni protocolos de seguridad en

los productos de Software.

Propiedades de la Información en

un “Trusted System” Confidencialidad: Asegurarse que la

información en un sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por las personas autorizadas.

Autenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada.

Autenticación

Autenticación de usuario consiste en que

un sistema verifique que uno es quien

dice ser.

Mecanismos de autenticación

Clasificación:

Basados en algo que se sabe (NIP)

Basados en algo que se tiene (Badge)

Basados en algo que se es (Biometría)

Autenticación de doble factor:

Combinación de 2 de los 3 anteriores.

Autenticación de triple factor:

Combinación de los 3 anteriores.

GERENTES

SEGURIDAD

“Si gastas más dinero en café que en

Seguridad Informática, entonces vas a

ser hackeado, es más, mereces ser

hackeado” Richard Clark, USA DoD

La mayoría de las empresas incorporan medidas de

seguridad, hasta que han tenido graves

problemas.

¿Para que esperarse?

Razones para atacar la red de

una empresa:

Dinero, ventaja económica, ventaja

competitiva, espionaje político, espionaje industrial, sabotaje,…

Otras Razones

¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad? Costos económicos (perder oportunidades de

negocio).

Costos de recuperación.

Costos de reparación.

Costos de tiempo.

Costos legales y judiciales.

Costos de imagen.

Costos de confianza de clientes.

Perdidas humanas (cuando sea el caso).

Recomendaciones

Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad.

Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa.

Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)

HACKER

CRACKER

SEGURIDAD

Los ataques son cada vez mas complejos.

Cada vez se requieren menos

conocimientos para iniciar un ataque.

¿Por qué alguien querría introducirse en

mis sistemas?

¿Por qué no? Si es tan fácil: descuidos,

desconocimiento, negligencias,

(factores humanos).

Tipos de atacantes

Script kiddies: No saben nada acerca de redes y/o protocolos pero saben manejar herramientas de ataque creadas por otros. Por lo general no siguen una estrategia muy silenciosa de ataques.

Hackers medium: Personas que saben acerca de redes, protocolos, S.O. y aplicaciones pero que no crean sus propias herramientas, sino que utilizan las desarrolladas por otros.

Hackers: Personas que además de conocer de redes, protocolos, S.O. y aplicaciones, desarrollan sus propias herramientas.

Cualquiera conectado a la red es una

víctima potencial, sin importar a que se

dedique, debido a que muchos

atacantes sólo quieren probar que

pueden hacer un hack por diversión.

Quiz Pregunta No. 1: Cuáles son los 3 principios básicos de la

Seguridad informática?

a) Confidencialidad, Integridad y Accesibilidad.

b) Integridad, Confidencialidad y Disponibilidad.

c) Privacidad, Disponibilidad e Integridad

Pregunta No. 2: Cuáles son los 3 mecanismos de autenticación que existen?

a) Basados en algo que se: sabe, tiene y mide.

b) Basados en algo que se: encuentra, es y tiene.

c) Basados en algo que se: sabe, tiene y es.

a) Menciona dos mitos respecto a la seguridad de la Información

Algunos Hackers Jonathan James

El primer adolescente que era enviado a prisión acusado de Hacking

instaló un backdoor en un servidor de la Agencia de Reducción de Amenazas de la Defensa (Defense Threat Reduction Agency – DRTA)

Crackeó las computadoras de la NASA robando software por un valor aproximado de $ 1.7 millones.

Hoy, James afirma que aprendió su lección y puede ser que comience una compañía de seguridad de computadoras.

Adrian Lamo Usó conexiones como Kinko (Internet cafés), tiendas café y librerías para hacer sus

intrusiones

Sus intrusiones “pruebas de penetración”, en las que encuentra defectos de seguridad, los explota y luego envía un informe a las compañías de sus vulnerabilidades, sus logros incluyen Yahoo!, Bank of America, Citigroup y Cingular.

Por su intrusión al New York Times, Lamo fue obligado a pagar $65 mil de reparación

Lamo está actualmente trabajando como un periodista galardonado y locutor público.

Kevin Mitnick

Él empezó explotando el sistema de tarjeta perforada de los autobuses de Los Angeles para conseguir paseos libres

Encontró la forma de no ser localizado y poder deambular de un sitio a otro a través de la telefonía móvil.

A través de sus refinadas y exitosas técnicas de ingeniería social, logra hacerse con la clave del ordenador personal de Tsutomu Shimomura

White hat´s hackers

Stephen Wozniak

Tim Berners-Lee

Linus Torvalds

La seguridad involucra 3 dimensiones

Procesos

Infraestructura

Gente

Amenaza

Circunstancia o evento que puede causar

daño violando la confidencialidad,

integridad o disponibilidad

Frecuentemente aprovecha una

vulnerabilidad

Vulnerabilidad

Ausencia de una contramedida, o debilidad de la misma, de un sistema informático que permite que sus propiedades de sistema seguro sean violadas.

Condición que tiene potencial para permitir que ocurra

una amenaza, con mayor frecuencia e impacto. La debilidad puede originarse en el diseño, la

implementación o en los procedimientos para operar y administrar el sistema.

En el argot de la seguridad computacional una

vulnerabilidad también es conocida como un hoyo.

Riesgo

El potencial para perdida o falla, como respuesta a las siguientes preguntas:

¿Qué podría pasar (o cual es la amenaza)? ¿Qué tan malo puede ser (impacto

consecuencia)? ¿Qué tan frecuente puede ocurrir

(frecuencia)? ¿Qué tanta certidumbre se tiene en las

primeras 3 respuestas (grado de confianza)?

Si no hay incertidumbre, no hay un riesgo.

El exploit

Se refiere a la forma de explotar una vulnerabilidad Termino muy enfocado a herramientas de

ataque, sobre equipos de computo).

Aprovechamiento automático de una vulnerabilidad Generalmente en forma de un

programa/software que realiza de forma automática un ataque aprovechándose de una vulnerabilidad

Ataque informático

Es la consumación de una amenaza

No es un ataque físico (aunque puede ser).

Un ataque no se realiza en un solo paso.

Depende de los objetivos del atacante.

Puede consistir de varios pasos antes de llegar a su objetivo.

Tipos ataques

Suplantación de identidad. Intruso se hace pasar por una entidad diferente,

normalmente incluye alguna de las otras formas de ataque activo.

Reactuación. Uno o varios mensajes legítimos son capturados y

repetidos para producir un efecto no deseado, Modificación de mensajes. Una porción del mensaje legítimo es alterada, o los

mensajes son retardados o reordenados, Degradación del servicio. Impide o inhibe el uso normal o la gestión de

recursos informáticos y de comunicaciones.

Ejemplos Ataques

Denial of Service (DoS): Anulación de un servicio o acceso a éste mediante técnicas de inundación de paquetes o aprovechamiento de debilidades en las aplicaciones y protocolos. Ejem: Ping of Death.

Spoofing: Falseamiento de la dirección origen en una sesión: Ips, Mac Address.

Keyloggers: Aplicaciones que registran el tecleado efectuado por un usuario.?

Virus: Aplicación diseñada para propagarse de un sistema a otro.

Ejemplos Ataques

Gusanos: Aplicación de características similares a un virus con la particularidad de que es capaz de propagarse por sí mismo.?Troyanos: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas diseñadas para sobrepasar los sistemas de seguridad.

Sniffers: Proceso de escucha y captura de tráfico de un segmento de red en manera no autorizada. Ethereal

Ejemplos Ataques

Spamming: Bombardeo indiscriminado de e-mails hacia un objetivo desde un servidor de correos que no realiza autenticación de usuarios antes de aceptar el envío de los mismos.

Ingeniería Social: Proceso de vulnerar la confianza y buena fe de las personas para obtener información de ellas por medio de la persuasión y obtención amigable de información.

Ejemplos Ataques

MAC Address Flooding Storms?Objetivo: Anular la principal funcionalidad del switch: la segmentación. ¿Gracias a herramientas de software (Macof) se inunda de tramas al switch a nivel de direcciones MAC.? Cuando la tabla MAC del switch se llena, dejará de actuar como tal y se convertirá en un hub.

La mejor forma de detener este tipo de ataques es limitar el número de direcciones MAC por puerto del switch.

Ejemplos Ataques

ARP Poisoning Attack

Herramientas: Caín y Abel,

WinARPSpoofer

Solución: No tiene

Prevención: WinARPWatch

Ejemplos Ataques

Man-in-the-middle: Ubicación de un

usuario o programa en medio de una

sesión tomando control de ésta y

haciéndoles creer a los usuarios que

ellos están conectados directamente

con los recursos y/o servicios.

Ataques contra el flujo de la

información

FLUJO NORMAL Los mensajes en una red se envían a partir de un

emisor a uno o varios receptores

El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.

Emisor Receptor

Atacante

INTERRUPCION El mensaje no puede llegar a su destino, un recurso del

sistema es destruido o temporalmente inutilizado.

Este es un ataque contra la Disponibilidad

Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.

Emisor Receptor

Atacante

INTERCEPCION Una persona, computadora o programa sin autorización

logra el acceso a un recurso controlado.

Es un ataque contra la Confidencialidad.

Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.

Emisor Receptor

Atacante

MODIFICACION La persona sin autorización, además de lograr el

acceso, modifica el mensaje.

Este es un ataque contra la Integridad.

Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

Emisor Receptor

Atacante

FABRICACION Una persona sin autorización inserta objetos falsos en

el sistema.

Es un ataque contra la Autenticidad.

Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc...

Emisor Receptor

Atacante

Defensa

Firewall´s

Dispositivos que controlan el tráfico..

Al incrementarse el tráfico, el ruteador

dejó de ser eficiente en esta función y

se prefirió dejarla a otro equipo:

Firewall.

Tipos de Firewalls:

Packet Filtering

Trabaja principalmente en la capa 3 de OSI y

en menor grado en la capa 4.

Son implementados dentro del ruteador y

trabajan con listas de control de acceso

(Access Control Lists).

Application level Firewalls

Firewall que utiliza un software proxy.

Transfiere una copia de cada paquete de

datos aceptado en la red a otra

enmascarando el origen del dato.

Statefull Inspection Firewalls

Paquetes son capturados por un motor de

inspección que está operando a la

velocidad de la red.

Paquetes son encolados y analizados en

todos los niveles OSI.

Conocido como Firewall de 3ra

generación.

Arquitecturas de Firewall

Screened-Host Firewall Systems

Dual-homed host Firewalls

Screened-subnet Firewall con DMZ

Software de Firewall

Firestarter

Shorewall

UFW

IDS

La detección de intrusos es una de las actividades claves del especialista de seguridad.

A través de ella se puede determinar si existen actividades hostiles o no en la organización.

IDS: Intrusion Detection System

IPS: Intrusion Prevention System

IDP: Intrusion Detection & Prevention

El IDS es como un sniffer, escucha y envía

alertas de acuerdo a lo configurado.? El

IPS en cambio detecta algo actividad

anómala y la bloquea.

Tipos de IDS

Network-Based IDS (Nids) Monitorean el tráfico del segmento de red donde son

instalados

Pros Invisibles a los atacantes: La NIC de monitoreo no

tiene dirección lógica.

Reconocen ataques de fragmentación y escaneos.

Contras Pueden perder paquetes por sobrecarga.

Pueden reensamblar mal los paquetes.

No informan si un ataque ha sido exitoso o no.

No monitorean datos encriptados.

Host-Based IDS (Hids)

Programas que se instalan en el servidor o host y monitorean al sistema operativo constantemente.

Pros

Pueden trabajar con tráfico de red encriptado.

No afectado por la red.

Contras

Captura específica al sistema monitoreado.

Susceptibles a ataques de DoS.

Afecta performance del host donde está instalado.

Software IDS

SNORT