Slides Negocios Electronicos 03
-
Upload
miguel-jaramillo -
Category
Documents
-
view
218 -
download
0
description
Transcript of Slides Negocios Electronicos 03
SeguridadSeguridad
¿Qué se debe cuidar?¿Qué se debe cuidar?
• Datos• Información• Datos técnicos / información técnica• Datos de prueba
Jerarquía de seguridadJerarquía de seguridad
Confidencial del
departamento
Confidencial de la empresa
Información pública
De misión crítica
FirewallsFirewalls
• Colección de componentes colocados entre dos redes, para controlar el tráfico de la red privada hacia Internet y viceversa
• Bloquea el tráfico no confiable y autoriza el aprobado
• Filtra paquetes de información• No protege de ataques de datos ejecutados
dentro de la misma red.
Control anti-virusControl anti-virus
Internet
EjemploEjemplo
Ruteador selectivo
Ruteador selectivo
Zona desmilitarizad
a Zona militarizada
¿De quién se debe cuidar?¿De quién se debe cuidar?
• Los hackers• Los crackers• Los scripters• Los keyloggers• Phishing• Cartas Nigerianas
HackersHackers
• Origen del término: Finales de los ’60• Programador con alto dominio de su profesión,
capaz de solucionar problemas a través de hacks (segmentos de código muy ingeniosos).
• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones.
• La búsqueda de conocimiento siempre fue su fuerza impulsora.
• Kevin Mitnick
CrackerCracker
• Persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.
• No necesariamente tiene el mismo nivel de conocimientos del hacker.
ScriptersScripters
• Gente con la capacidad de buscar un programa en la red y ejecutarlo.
• No hay una meta fija• Necesidad de pertenencia, aunque sea al
inframundo.• No hay preocupación por las consecuencias
reales de sus actos.• Se sienten muy “tesos”
KeyloggersKeyloggers
• Son piezas de software que se instalan en computadoras públicas y que almacenan los datos que un usuario escribe desde su teclado. Posteriormente los datos almacenados son enviados a un ladrón por Internet.
• Solución: Teclados virtuales.
PhishingPhishing
• Es un modelo de “pesca” electrónica, que se realiza vía correo electrónico. Se le comunica a los usuarios una supuesta validación de datos que está haciendo una entidad bancaria. Se le solicita al usuario visitar un sitio Web para re-ingresar los datos de logueo y estos son enviados a una base de datos de un delincuente.
Cartas nigerianasCartas nigerianas
• …I discovered an abandoned sum of$30million USD(THIRTYmillion US dollars)only , in an account that belongs to one of our foreign customers who died along with his entire family in a plane crash that took place in Kenya,East Africa,the Late DR. GEORGE BRUMLEY,a citizen of Atlanta,United States of America but naturalised in Burkinafaso,West Africa…
• http://www.cnn.com/2003/WORLD/africa/07/20/kenya.crash/index.html
• Texto original
Elementos de una transacción seguraElementos de una transacción segura
• Privacidad• Integridad• Autenticación• No repudio• Disponibilidad
PrivacidadPrivacidad
• Asurar que la información que se transmite por Internet no ha sido capturada o entregada a un tercero sin el consentimiento del remitente.
IntegridadIntegridad
• Asegurar que la información que se envía o recibe no ha sido alterada.
AutenticaciónAutenticación
• ¿Cómo se verifican las identidades del emisor de un mensaje o iniciador de una transacción y el destinatario?
No repudioNo repudio
• Probar que un mensaje o una transacción fue enviada o recibida, de manera que ninguno de los participantes en ella pueda argumentar que no la hizo.
DisponibilidadDisponibilidad
• Garantizar que la red a través de la cual se hace la transacción está operando continuamente, para que se pueda realizar la transacción.
Seguridad en InternetSeguridad en Internet
• Ha sido muy mal posicionada• Es un medio seguro si cumple con ciertos
requisitos• Es más inseguro movilizar el dinero físicamente• Quiénes son los ladrones?• Encriptación • Certificados digitales
CriptografíaCriptografía
• Es construir códigos secretos• Son las técnicas utilizadas para alterar los
símbolos de información, sin alterar el contenido, de tal forma que sólo quien conoce las técnicas utilizadas pueda acceder al contenido real.
CriptografíaCriptografía
• Se han desarrollado técnicas desde la antigüedad.
• Hoy se utilizan diferentes algoritmos para encriptar / desencriptar la información.
Procedimientos clásicos de encripciónProcedimientos clásicos de encripción
• Sustitución:– Se definen correspondencias entre las letras
del alfabeto en que está escrito el mensaje y otro conjunto que puede ser o no del mismo alfabeto. (murciélago, aurelio, etc.)
• Transposición:– “barajar” los símbolos del mensaje original,
colocándolos en un orden diferente que los hace incomprensibles.
Ejemplo de SustituciónEjemplo de Sustitución
– CUÁNDO SERÁ ESE CUANDO,– ESA DICHOSA MAÑANA– QUE NOS LLEVEN A LOS DOS– EL DESAYUNO A LA CAMA
• MURCIELAGO =12345678910– 428ND 10 S638 6S6 428ND 10,– 6S8 D54H 10S8 18Ñ8N8– Q26 N 10S 776V6N 8 7 10S D 10S– 67 D6S8Y2N 10 8 78 4818
LEET = 1337LEET = 1337
Ejemplo de transposiciónEjemplo de transposición
• La escítala lacedemonia• Dos varas idénticas, alrededor de una de
ellas se envolvía un pergamino• El mensaje se escribía a lo largo del
bastón, se retiraba la cinta y se enviaba.• El destinatario tenía la segunda vara• La cinta por sí sola, no era más que una
sucesión de símbolos del alfabeto griego, ordenados de manera ininteligible.
• Encrypting• Suppose the rod allows one to write 4 letters around it in one circle
and 5 letters down the side. Clear text: "Help me I am under attack" To encrypt one simply writes across the leather...
_______________________________________________________| | H | E | L | P | M | |__| E | I | A | M | U |_ | N | D | E | R | A | | | T | T | A | C | K | |_______________________________________________________so the cipher text becomes, "HENTEIDTLAEAPMRCMUAK" after
unwinding.
Fuente: www.answers.com/topic/scytale
Métodos criptográficosMétodos criptográficos
• Simétricos– Llave encriptado coincide con la de
descifrado– La llave tiene que permanecer secreta– Emisor y receptor se han puesto de
acuerdo previamente o existe un centro de distribución de las llaves.
Métodos criptográficosMétodos criptográficos
• Asimétrico– Llave de encriptado es diferente a la de
decriptado.– Llave encriptado es conocida por el
público, mientras que la de decriptado sólo por el usuario
Llaves públicas / privadasLlaves públicas / privadas
Fuente: Internet and the World Wide Web how to program. Deitel, Deitel y Nieto
Protocolo SeguroProtocolo Seguro
• SSL (Secure Socket Layer)– Servidores certificados– Sesiones seguras– Información encriptada al salir del cliente– El servidor desencripta la información– El cliente no se tiene que certificar– Utiliza claves para autenticarse– HTTPS://
Cómo funciona?Cómo funciona?
Hablemos de manera segura. Acá están los protocolos y criptogramas que manejo
Escojo este protocolo y criptograma. Acá va mi llave pública, un certificado digital y
un número random.
Usando tu llave pública encripté una llave simétrica aleatoria
Comunicación encriptada con la llave enviada por el cliente y una función hash
para autenticación de mensajes.
¿Cómo se identifica?¿Cómo se identifica?
• HttpS://• Candado• Verisign• Información de Sitio
seguro• “La confianza se
gana”