UT1-1 ADOPCIÓN de PAUTAS de SEGURIDAD … · nos aparece un mensaje de acceso denegado. ... Se...

UT1-1

ADOPCIÓN de PAUTAS de

SEGURIDAD INFORMÁTICA

PRINCIPIOS BÁSICOS

1Seguridad y Alta Disponibilidad

• Según la Real Academia Española de la Lengua:

• Seguridad es la cualidad de seguro, es decir, estar

libre y exento de todo daño, peligro o riesgo.

• En informática, la seguridad entendida según la

definición anterior es prácticamente imposible de

conseguir.

• Se relaja el adjetivo seguro, para hablar de fiable o de

fiabilidad, es decir, probabilidad de que un sistema se

comporte tal y como se espera de él.

Seguridad y Alta Disponibilidad

Definición de Seguridad Informática

2

• Infosec Glossary-2000:

• Medidas y controles que aseguran la

confidencialiad, integridad y disponibilidad de los

activos de los sistemas de información, incluyendo

hardware, software, firmware y aquella información

que procesan, almacenan y comunican.

• ISO 7498-1984:

• Serie de mecanismos que minimizan la

vulnerabilidad de bienes y recursos en una

organización.



3

• El experto Eugene H. Spafford cita en su frase

célebre:

“el único sistema que es totalmente seguro es aquel

que se encuentra apagado y desconectado, guardado

en una caja fuerte de titanio que está enterrada en

cemento, rodeada de gas nervioso y de un grupo de

guardias fuertemente armados. Aún así, no apostaría

mi vida en ello”.



4

• Los sistemas informáticos, ya sean SSOO, servicios

o aplicaciones, se dice que son seguros si cumplen las

siguientes características u objetivos:

• Confidencialidad: requiere que la información sea

accesible únicamente por las entidades autorizadas.

• Integridad: requiere que la información sólo pueda ser

modificada por las entidades autorizadas.

• Disponiblidad: requiere que los recursos del sistema

estén disponibles para las entidades autorizadas

cuando los necesiten.


Objetivos principales de Seguridad Informática

5

• Dependiendo del entorno en que trabajemos, nos

interesará dar prioridad a un aspecto de la seguridad:

• En un sistema militar se antepondrá la confidencialidad

de los datos almacenados o transmitidos sobre su

disponiblidad.

• En un servidor de archivos en red, se priorizará la

disponibilidad frente a la confidencialidad.

• En un entorno bancario se priorizará la integridad sobre

la disponiblidad o la confidencialidad: es menos grave

que un usuario consiga leer el saldo de otro usuario que

el hecho que ese usuario pueda modificarlo.



6

• Ejemplos de confidencialidad

• Sistema de cifrado en el SO. Por ejemplo,

EFS en Windows.

• Cifrado Asimétrico/Simétrico en

comunicaciones.



7

• PRÁCTICA de confidencialidad

• La confidencialidad o privacidad de datos es uno de los

aspectos críticos de la seguridad.

• EFS (Encrypting File System) es un sistema de archivos

que, trabajando sobre NTFS, permite cifrado de archivos

a nivel de sistema operativo.

• El usuario que realice la encriptación de archivos será el

único que dispondrá de acceso a su contenido, y al único

que se le permitirá modificar, copiar o borrar el archivo,

controlado todo ello por el sistema operativo.



8

• PRÁCTICA de confidencialidad (cont.)

• Para probarlo podemos crear un archivo de texto plano

(no cifrado) con una información confidencial en su

interior.

• En primer lugar seleccionamos el archivo (o carpeta) a

encriptar y con el botón derecho del ratón accedemos a

la ventana Propiedades/General/Opciones Avanzadas

y en Atributos de compresión y cifrado marcamos la

opción Cifrar contenido para proteger datos.

• Verificación

•Si entramos al SO con otro usuario que tenga acceso a

dicha carpeta o archivo veremos que está en color verde y

nos aparece un mensaje de acceso denegado.



9

• PRÁCTICA de confidencialidad (cont.)

•Verificación

• El archivo cifrado no es portable ni copiable a una

unidad externa ya que el SO perdería el control sobre

su cifrado.

• En el caso de intentar copiarlo a unidad USB nos

indicará lo siguiente:



10

• Ejemplos de integridad

• Comprobación de integridad, no falsificación o

modificación de archivos en el sistema (anti-rootkit).

Windows (md5sum, SFC), GNU/Linux (cksum, Rootkit

hunter).

• Firma digital y funciones resumen o hash en

comunicaciones.



11

• PRÁCTICA de integridad

• cksum en Linux



Un pequeño cambio en el contenido del archivo se

transforma en un gran cambio en el valor del sum.

12


• md5sums en Windows



Una aplicación o archivo que

hemos descargado podría haber

sido modificada incluyendo en

ella un virus o troyano.

Queremos estar seguros de que

no ha sido alterado.

En Linux existe md5sum

13


• Amenaza o vulnerabilidad

• En caso de que algún tipo de malware reemplace o falsifique

archivos del SO, los administradores de sistemas no dudarán de la

veracidad de dichos archivos y procesos.

• A este tipo de malware se le denomina rootkit, programa que

sustituye los ejecutables binarios del sistema para ocultarse mejor,

pudiendo servir de puertas traseras o backdoor para la ejecución

malware remota.


• SFC (System File Checker) es una utilidad de los sistemas

Windows que comprueba la integridad de los archivos del sistema.

• Rootkit hunter es una herramienta más completa bajo

GNU/Linux que examina los permisos de los ejecutables del

sistema, busca rootkits conocidos y realiza la comprobación de

integridad de los archivos del sistema.


14

• PRÁCTICA de disponibilidad

• Creación de sistemas RAID

• FreeNAS

• Creación de una imagen de disco en Linux

dd if=/dev/sda of=/dev/sdb



15

• Ejemplos de disponiblidad

• Comprobación de disponibilidad de servicios, protocolos

y aplicaciones inseguras: NMAP, NESSUS, MBSA, etc.

• Alta disponibilidad (High Availability): aplicaciones y

datos que se encuentren operativos en todo momento y

sin interrupciones, carácter crítico.

• Mantener sistemas funcionando 24 horas, 7 días a la

semana y 365 días al año a salvo de interrupciones. El

mayor nivel acepta 5 minutos de inactividad al año

(disponibilidad de 5 nueves: 99,999%).

• Un claro ejemplo de alta disponibilidad son los CPD:

centros de procesamiento de datos.



16

• Ejemplos de disponiblidad (cont.)

• Identificar y analizar la disponibilidad de servicios o

servidores, puertos abiertos y versiones de SSOO que

los soportan, supone la información base para el estudio

de las innumerables vulnerabilidades de los sistemas

en red.

• Amenaza o vulnerabilidad. Para las versiones de

software de servidores y de los SSOO, es posible buscar

posibles vulnerabilidades existentes:

• www.securityfocus.com.

• www.nessus.org. Aplicación que detecta vulnerabilidades,

tanto para sistemas y aplicaciones Windows como

GNU/Linux. En su última versión, Nessus4

funciona como un servidor Web.



17

http://www.securityfocus.com/

http://www.nessus.org/

• Amenaza o vulnerabilidad (cont.)

• Microsoft Baseline Security Analizer (MBSA) es una

herramienta diseñada para analizar el estado de

seguridad según las recomendaciones de seguridad de

Microsoft y ofrece orientación de soluciones específicas.

• Nmap es una aplicación que puede utilizarse en modo

comando o mediante una utilidad gráfica denominada

zenmap. Se instala en Debian/Ubuntu con el comando:

sudo apt-get install nmap

Y la interfaz gráfica con:

sudo apt-get install zenmap



18


Escaneo rápido sobre la red

192.168.0.0/24 equivalente al

comando

nmap -T4 -F 192.168.0.0/24

Por cada máquina encontrada

en la red informa de su IP,

nombre dentro del dominio,

puertos abiertos, etc.

Nmap proporciona el nombre

DNS scanme.nmap.org sobre

el que se pueden hacer

pruebas sobre la herramienta,

aunque de forma moderada.

La interfaz gráfica se lanza con sudo zenmap


19


Ejecución y salida de MBSA


20

• Además de estas tres características se suelen estudiar

otras dos:

• No repudio:

•En origen: El emisor no puede negar el envío. La prueba

la crea el propio emisor y la recibe el destinatario.

•En destino: El receptor no puede negar que recibió el

mensaje porque el emisor tiene pruebas de la recepción. En

este caso, la prueba irrefutable la crea el receptor y la recibe

el emisor.

• Autenticación: cuando se puede verificar que el usuario

es quien dice ser: p.e. login+password, certificado

digital, etc.


Objetivos deseables de Seguridad Informática

21

• Si la autenticidad prueba quién es el autor o el

propietario de un documento y cuál es su destinatario,

• el no repudio prueba que el autor envió la

comunicación (no repudio en origen) y que

• el destinatario la recibió (no repudio en destino).



22

1) El usuario es quien dice ser si demuestra conocer algo

que solamente este conoce.Por ejemplo, conoce una palabra secreta de acceso.

2) El usuario es quien dice ser si posee algún objeto,

como por ejemplo una tarjeta magnética.Un ejemplo no relacionado con la informática podrían ser

las llaves de casa: en principio, es el propietario quien las

posee.

3) El usuario es quien dice ser si posee alguna

característica física que sólo él tiene.Por ejemplo, la huella dactilar.

4) El usuario es quien dice ser si es capaz de hacer algo

de forma única:Por ejemplo, el patrón de escritura.



23

Al conjunto de estas características se las conoce con el

nemotécnico de CIDAN


Objetivos de Seguridad Informática

Confidencialidad

Integridad

Disponibilidad

+

Autenticidad

No repudio 24

• Recursos hardware

• Recursos software

• Elementos de comunicación

• Información que se almacena, procesa y distribuye

• Locales y oficinas

• Usuarios del sistema

• Imagen y reputación de la organización.


Conceptos de Seguridad Informática

• Recursos del sistema: son los activos a proteger del

sistema de información:

25

• Amenazas:

• Posible causa de un incidente no deseado, el cual puede

ocasionar un daño a un sistema o a una organización.

• Pueden ser:

•Naturales: incendio, fallo eléctrico, inundación, terremoto,

etc.

•De agentes externos: virus informáticos, intrusos en la red,

robos, estafas, etc.

•De agentes internos: empleados descuidados o con

formación inadecuada o descontentos, errores en la

utilización del sistema o de herramientas, etc.



26

• Otra clasificación de las amenazas:

• Físicas: afectan a las instalaciones y/o hardware

contenido en ellas y suponen el primer nivel de seguridad

a proteger para garantizar la disponibilidad de los sistemas.

• Lógicas: software o código que de una forma u otra

pueden afectar o dañar nuestro sistema, creados de forma

intencionada para ello.

• Rogueware o falsos programas de seguridad. También se

denomina Rogue, FakeAVs, Badware, Scareware.

• Puertas traseras o backdoors: los programadores insertan

“atajos” de acceso o administración, en ocasiones con poco

nivel de seguridad.



27

• Otra clasificación de las amenazas (cont.):

• Virus: secuencia de código que se inserta en un fichero

ejecutable (.exe, .com, .bat, etc.), de forma que cuando el

archivo se ejecuta, el virus también lo hace.

• Gusano o Worm: programa capaz de ejecutarse y

propagarse (duplicarse) por sí mismo a través de redes,

normalmente mediante correo electrónico basura o spam.

• Troyanos o Caballos de Troya: aplicaciones con

instrucciones escondidas en otros programas de forma que

éstas parezcan realizar las tareas que un usuario espera de

ellas, pero que realmente ejecutan funciones ocultas sin el

conocimiento del usuario.



http://unaaldia.hispasec.com/2013/11/gusanos-

routers-y-javascript.html

28

http://unaaldia.hispasec.com/2013/11/gusanos-routers-y-javascript.html


• Canales cubiertos: canales de comunicación que permiten

a un proceso transferir información de forma que viole la

política de seguridad del sistema. Un proceso transmite

información a otros que no están autorizados a leer dicha

información.

• Bombas lógicas: son partes de código de ciertos

programas que permanecen sin realizar ninguna función hasta

que son activadas (ausencia o presencia de ciertos ficheros o

la llegada de una fecha/hora concreta).



¿ Serías capaz de crear una bomba

lógica en algún lenguaje que

conozcas ?

29



Acceder a la siguiente página y analizar y discutir su contenido:

http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica


30



• Vulnerabilidad:

• Debilidad de un activo o grupo de activos que puede ser

explotada por una o más amenazas.

• Incidente de seguridad:

• Es la materialización de una amenaza.

• Impacto:• Es la medición y valoración del daño que puede producir

a la organización un incidente de seguridad.



http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-

puntos-de-acceso.html

http://unaaldia.hispasec.com/2014/01/diversas-vulnerabilidades-en-

moodle.html

31

http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-puntos-de-acceso.html

http://unaaldia.hispasec.com/2014/01/diversas-vulnerabilidades-en-moodle.html

• Defensas, salvaguardas o medidas de seguridad:

• Es cualquier medio empleado para eliminar o reducir un

riesgo.

• Su objetivo es reducir las vulnerabilidades de los activos,

la probabilidad de ocurrencia de las amenazas y/o el nivel

de impacto en la organización.



• Riesgo:

• Posibilidad de que se produzca un impacto determinado

en un activo(s) o en toda la organización.

32

http://unaaldia.hispasec.com/2014/01/ataques-de-denegacion-de-

servicio.html

• Activo: único servidor de archivos.

• Amenaza: fallo hardware en el servidor con una

probabilidad de ocurrencia baja (una vez cada 5 años).

• Vulnerabilidad del sistema: alta, ya que no se dispone

de un servidor alternativo ni de medidas redundantes

(discos RAID).



Ejemplo

33

• Impacto: indisponibilidad durante 24 horas de activo

afectado hasta su reposición. En este caso se trata de un

impacto de nivel alto.

• Nivel de riesgo: se obtiene a partir de las tablas de

valoración adoptadas teniendo en cuenta que la

amenaza es baja, la vulnerabilidad es alta y el impacto

es alto.


Ejemplo (cont.)


34

• Cerca del 80% de los ‘ataques’ provienen del interior.

• No se notifican todos los ataques que se reciben.

• Muchos accidentes humanos se reportan como ataques.

• No es eficiente hacer una alta inversión puntual y

olvidarse durante un tiempo.


El ‘problema’ de la Seguridad Informática

• Sistemas como cortafuegos y detectores de intrusos no

sirven para este tipo de ataques.

Estoy dentro35

• La seguridad es un proceso, un camino continuo.

• Se tiene que diferenciar de lo que hay que protegerse.

Errores involuntarios. (Maquinaria y personal)

Ataques voluntarios. (Internos y externos)

Desastres naturales.


El ‘problema’ de la Seguridad Informática

36

• Medidas de seguridad activa:

cualquier medida utilizada para anular o

reducir el riesgo de una amenaza

• Medidas de prevención: aplicación

antes del incidente (control de acceso,

cifrado de datos, autenticación de

usuarios, formación, etc.)

• Medidas de detección: aplicación

durante el incidente (sistema de

detección de intrusos, análisis de los

registros de actividad, etc.)


Tipos de medidas de Seguridad

37

• Medidas de seguridad pasiva: complementa a la

seguridad activa y es cualquier medida empleada para

reducir el impacto cuando se produzca un incidente de

seguridad.

• Son medidas de corrección, es decir, se aplican después

del incidente.

• Entre ellas tenemos copias de seguridad, plan de

respuesta a incidentes, etc.


Tipos de medidas de Seguridad

38

¿Cuánto dinero dejaría de ganar en caso de estar una

hora sin conexión a Internet?

¿Y un día?

¿Qué pasaría si pierde la información de un día de

trabajo?

Hay que valorar económicamente éstos y todos los

riesgos posibles con las preguntas adecuadas.

¿Y si su competencia tiene acceso a sus archivos?


¿ Cómo valorar la información a proteger ?

39

• Ataques de suplantación de la identidad

• IP spoofing

• ARP spoofing

• DNS spoofing

• SMTP spoofing

• Captura de cuentas de usuario y contraseñas:

mediante sniffing o password cracking.


Algunos tipos de ataques

40

• Modificación del tráfico y de las tablas de enrutamiento.



• Rastreo del tráfico de una red para hacerse con

información confidencial: sniffing.

41

• Conexión no autorizada a equipos.

• Introducción en el sistema de “malware”

• Virus

• Troyanos

• Gusanos

• Ataques de “Cross-Site Scripting” (XSS)

• Ataques de inyección de código SQL.



http://unaaldia.hispasec.com/2014/06/vulnerabilidad-descubierta-en-webmin-y.html

http://unaaldia.hispasec.com/2014/01/version-troyanizada-del-cliente-ftp.html

42

http://unaaldia.hispasec.com/2014/06/vulnerabilidad-descubierta-en-webmin-y.html

http://unaaldia.hispasec.com/2014/01/version-troyanizada-del-cliente-ftp.html

• Denegación de servicio: causar que un

servicio o recurso sea inaccesible a los

usuarios legítimos.

• Ataques contra los sistemas

criptográficos

• Fraudes, engaños y extorsiones:

ingeniería social, pharming, phising.



http://unaaldia.hispasec.com/2014/09/diversas-

vulnerabilidades-en-apache.html

http://unaaldia.hispasec.com/2014/06/denegacion

-de-servicio-en-bind-9.html

43

http://unaaldia.hispasec.com/2014/09/diversas-vulnerabilidades-en-apache.html

http://unaaldia.hispasec.com/2014/06/denegacion-de-servicio-en-bind-9.html

• Antivirus que controle todas las posibles entradas de

datos. (Internet, discos, ...)

• Firewall perimetral. (Control de accesos)

• Política estricta de seguridad del personal.

• Auditorías externas puntuales

• Formación continuada del encargado(s) de seguridad

• Separar físicamente redes diferentes. (Subnetting)


¿ Cómo se puede proteger la empresa ?

44

• Uso de herramientas:

• Escáneres de puertos

• Sniffers

• Exploits

• Backdoors kits

• Auto-rooters

• Password crackers


¿ Cómo se puede proteger la empresa ?

http://unaaldia.hispasec.com/2014/02/exploits-de-elevacion-de-privilegios-en.html

45

http://unaaldia.hispasec.com/2014/02/exploits-de-elevacion-de-privilegios-en.html

UT1-1 ADOPCIÓN de PAUTAS de SEGURIDAD … · nos aparece un mensaje de acceso denegado. ... Se...

Documents

Transcript of UT1-1 ADOPCIÓN de PAUTAS de SEGURIDAD … · nos aparece un mensaje de acceso denegado. ... Se...