Download - Seguridad Informática Tema 1: Introducción a la seguridad informática

Seguridad Informatica

Seguridad Informatica1. Introduccion a la Seguridad Informatica

Francisco Medina Lopez —[email protected]

http://aulavirtual.capacitacionentics.com

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

2015-1

http://aulavirtual.capacitacionentics.com


Agenda

1 Introduccion a la Seguridad InformaticaConceptos y principios de la administracion de la seguridadEvolucion historica de la seguridadAmenazas a la seguridadControl de AccesoHackers, crackers y sus variantes


Introduccion a la Seguridad Informatica

Conceptos y principios de la administracion de la seguridad





¿Que es seguridad?

Segun la Real Academia de la Lengua Espanola:

f. Calidad de lo que es o esta seguro: la seguridad de unacuerda, de un apoyo.

Certeza, garantıa de que algo va a cumplirse: tener laseguridad de que se va a sanar.

loc. adj. Se apl. a ciertos mecanismos que previenen algunriesgo o aseguran el buen funcionamiento de algunacosa, precaviendo que falle: puerta, cinturon de seguridad.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad




¿Que es seguro?


adj. Libre y exento de todo peligro, dano o riesgo.

adj. Cierto, indubitable y en cierta manera infalible.

adj. Firme, constante y que no esta en peligro de faltar ocaerse.

adj. No sospechoso.

m. Seguridad, certeza, confianza.

m. Lugar o sitio libre de todo peligro.

m. Mecanismo que impide el funcionamiento indeseadode un aparato, utensilio, maquina o arma, o que aumenta lafirmeza de un cierre.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro




¿Que es riesgo?


m. Contingencia o proximidad de un dano.

m. Cada una de las contingencias que pueden ser objeto de uncontrato de seguro.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo




¿Que es informatica?


1. f. Conjunto de conocimientos cientıficos y tecnicas quehacen posible el tratamiento automatico de la informacion pormedio de ordenadores.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica




¿Que es informacion?

Definicion

Conjunto organizado de datos procesados, que constituyen unmensaje que cambia el estado de conocimiento del sujeto o sistemaque recibe dicho mensaje.

La informacion puede existir en muchas formas (estados de lainformacion):

puede estar impresa o escrita en papel,

almacenada electronicamente,

transmitida por correo o utilizando medios electronicos,

presentada en imagenes, o

expuesta en una conversacion.




¿Que es seguridad de la informacion?

Definicion

Es la proteccion de la informacion y los sistemas de informacion delacceso, uso, divulgacion y destruccion no autorizada a traves deestandares, procesos, procedimientos, estrategias, recursosinformaticos, recursos educativos y recursos humanos. 1

La seguridad de la informacion protege a esta, de una amplia gamade amenazas, a fin de garantizar la continuidad de unaorganizacion.

No importando la forma que se adquiere la informacion, o losmedios por los cuales se distribuye o almacena, siempre debe ser

protegida en forma adecuada.

1http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html

http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html




Seguridad de la informacion segun MAAGTIC

Definicion

La capacidad de preservar la confidencialidad, integridad ydisponibilidad de la informacion, ası como la autenticidad,confiabilidad, trazabilidad y no repudio de la misma. 2

Objetivo:

Proteger los activos de informacion de la organizacion

2Manual Administrativo de Aplicacion General en Materia de Tecnologıas de la Informacion y Comunicaciones

(MAAGTIC) http://www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf

http://www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf




Seguridad de la informacion segun el ISO 27001

Definicion

Preservacion de la confidencialidad, integridad y disponibilidad dela informacion; ademas, tambien pueden estar involucradas otraspropiedades como la autenticidad, responsabilidad, no-repudio yconfiabilidad. 3

3ISO/IEC 27001:2005




The BIG three / AIC Triad / C-I-A




Confidencialidad

Definicion

La propiedad que esa informacion este disponible y no seadivulgada a personas, entidades o procesos no-autorizados

Identificacion, Autenticacion y Autorizacion (Control deacceso).




Integridad

Definicion

La propiedad de salvaguardar la exactitud e integridad de losactivos.

Integridad de datos / informacion. Consistencia

Integridad del proceso de manipulacion de datos /informacion.

Consistencia interna y externa




Disponibilidad

Definicion

La propiedad de estar disponible y utilizable cuando lo requiera unaentidad autorizada




Objetivos de la seguridad (resumen)

ConfidencialidadPrevenir la divulgacion NO Autorizada de informacion sensible.

IntegridadPrevenir la modificacion NO Autorizada de los sistemas einformacion.

DisponibilidadPrevenir interrupcion del servicio y la perdida de productividad.

El Opuesto a las The BIG threeRevelacion (disclosure)Modificacion (alteration)Destruccion - Interrupcion (detruction - disruption)




¿Que es seguridad informatica?

Definicion

La seguridad informatica o seguridad en computo son losmecanismos tecnologicos que protegen los sistemas de informaciony todo lo asociado con ellos (edificios, impresoras, cableado, etc.).

Entonces:

La seguridad informatica: Esta enfocado a sistemas decomputo y redes de datos.

La seguridad de la informacion: Esta enfocado altratamiento y uso de la informacion, involucrando sistemas decomputo, redes de datos, personas y procesos.




¿Por que es importante la seguridad de la informacion?

1 Porque la informacion y los procesos, sistemas y redes deapoyo son activos organizacionales importantes y en algunoscasos estrategicos.

2 Porque definir, lograr, mantener y mejorar la seguridad de lainformacion puede ser esencial para mantener una ventajacompetitiva, el flujo de caja, rentabilidad, observancia legal eimagen organizacional.

El 94 % de las empresas que pierden su informacion desaparece.4

4http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35




Componentes de la seguridad de la informacion

Gestion del riesgo

Normativas de seguridad:polıticas,normas,procedimientos,estandares,guıas

Clasificacion de la informacion

Organizacion de la seguridad

Educacion en seguridad

Definicion e implantacion de controles

Seguimiento y mejora continuos




Activo

Definicion

Recursos que estan tratando de proteger

Pueden ser datos, sistemas, personas, edificios, propiedades,etc.

El valor o la criticidad del activo determina las medidas deseguridad a implementar.

Las personas son el activo mas valioso.




Activos de un sistema de computo




Amenaza

Definicion

Evento o circunstancia cuya ocurrencia podrıa impactar en formanegativa a una organizacion.

La amenazas explotan (toman ventaja de) las vulnerabilidades.

La “entidad” que toma ventaja de una vulnerabilidad, suelereferirse como “agente de la amenaza” (Threat Agent).

Ejemplo de amenazas:

Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,Malware, . . .




Amenazas respecto de la confidencialidad

“Shoulder surfing”

Ingenierıa Social

Usuarios descuidados

Hacker / Cracker

Masqueraders / Spoofing (Suplantacion)

Descarga de archivos sin proteccion

Actividad de usuario no autorizada

Caballos de Troya

Sniffing / Man-in-the-middle

Trashing (Dumpster Diving)

Emanations (electromagnetic radiation)

. . .




Amenazas respecto de la integridad

Ingenierıa Social

Usuarios descuidados

Hacker / Cracker

Masqueraders (Suplantacion)

Actividad de usuario no autorizada

Descarga de archivos sin proteccion

Caballos de troya

Virus / Gusanos

Buffer overflow

Trapdoor − Maintenance hook

. . .




Amenazas respecto de la disponibilidad

Denegacion de servicio (DOS)

Desastres naturales

Acciones humanas − intencionales o accidentales

. . .




Vulnerabilidad

Definicion

Cualquier debilidad que puede explotarse para causar perdida odano al sistema.

Condicion que podrıa permitir que una amenaza se materialicecon mayor frecuencia, impacto o ambas.

Una vulnerabilidad puede ser la ausencia o debilidad en loscontroles administrativos, tecnicos o fısicos.

El punto mas debil de seguridad de un sistema consiste en el puntode mayor vulnerabilidad de ese sistema.




Riesgo

Definicion

Probabilidad de que un agente de amenaza explote unavulnerabilidad, en combinacion con el impacto que esto ocasiona.

Se conoce por riesgo a la combinacion de probabilidad deocurrencia e impacto de una amenaza.




Atacante

Atacante

Cualquier cualquier entidad que realiza un ataque. Puede ser:

Persona.

Proceso.

Dispositivo.




¿Quien es un intruso?

Intruso

Persona que intenta acceder a un sistema informatico sinautorizacion. adj. Que se ha introducido sin derecho.

Un cracker es una persona que intenta acceder a un sistemainformatico sin autorizacion.

Estas personas tienen a menudo malas intenciones, encontraste con los hackers, y pueden disponer de muchosmedios para introducirse en un sistema.




Compromiso de seguridad

Definicion

Cualquier forma posible de perdida o dano en un sistema decomputo.

comprometer la seguridad de un sistema equivale a la posibilidadde provocar perdida o dano al sistema.




Evento de seguridad de la informacion

Definicion

Una ocurrencia identificada del estado de un sistema, servicio o redindicando una posible violacion de la polıtica de seguridad de lainformacion o falla en las salvaguardas, o una situacionpreviamente desconocida que puede ser relevante para la seguridad.




Contramedidas o controles

Definicion

Cualquier tipo de medida que permita detectar, prevenir ominimizar el riesgo asociado con la ocurrencia de unaamenaza especıfica.

Ejemplos:

Contrasenas robustas.

Mecanismos de control de acceso.

Antivirus

El estandar ISO/IEC 27002:2005 define 134 controles




Objetivo de las contramedias o controles

Reducir los efectos producidos por las amenazas de seguridad(threats) y vulnerabilidades (vulnerabilities) a un niveltolerable por la empresa.

Estos controles pueden ser:

Preventivos / Detectivos / CorrectivosFısicos / Tecnicos (Logicos) / Administrativos




Tipos de Controles

Controles AdministrativosAdministracion de responsabilidades necesarias para protegerlos activos.Controles Suaves. (Polıticas, procedimientos, guıas, estandares)

Controles Tecnicos.

Mecanismos logicos de proteccion.Software o Hardware

Controles FısicosDestinados a proteger las instalaciones.




Control de seguridad de la informacion (2)

Fuente: Harris Shon, CISSP All-In-One Exam Guide, p 57, McGraw-Hill Professional, 2007.




ISO/IEC 27002:2013

Fuente: http://www.iso27000.es/download/ControlesISO27002-2013.pdf




Medidas de proteccion contra la perdida deconfidencialidad

Cifrado de datos (origen, transito y destino)

Estrictos mecanismos de control de acceso


Capacitacion

Procedimientos




Medidas de proteccion contra la perdida de integridad

Menor Privilegio − Need−to−Know Access (Otorgar accesosolo a lo necesario)

Separacion de Deberes / Tareas (Separation of Duties)

Rotacion de Deberes / Tareas (Rotation of Duties)

Procedimientos de control de cambios

Integrity checkers (Tripwire)

Algoritmos de hash




Medidas de proteccion contra la perdida de disponibilidad

Conjunto de Controles: Fısicos, Tecnicos y Administrativos

Seguridad fısica

Mecanismos de tolerancia a fallos

Plan de contingencia

Procedimientos operativos




Relacion entre los diferentes conceptos de seguridad

Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63




Administracion de Seguridad de la Informacion

Objetivo

Proteger los activos de informacion de la organizacion

Comprende:

Gestion del riesgo

Normativas de seguridad: polıticas, normas, procedimientos,estandares, guıas


Organizacion de la seguridad

Educacion en seguridad

Definicion e implantacion de controles

Seguimiento y mejora continuos




Enfoque Top-Down

La seguridad de la informacion debe ser preocupacion de laalta direccion de la organizacion.

Definitivamente NO debe circunscribirse el area de TI o al arade seguridad.

Enfoque TOP-DOWN




Funcion del Information Security Manager

Funcion

Establecer y mantener un Programa Integral de Seguridad, elcual permita garantizar la existencia de tres requerimientos basicos:Confidencialidad, Integridad y Disponibilidad, sobre los activos deinformacion de la organizacion.

Determinar objetivos, alcance, polıticas, prioridades,estandares y estrategias.




Ubicacion dentro de la estructura organizacional

Debe ser independiente de otras areas de la organizacion:

Como staff de la alta gerencia:




Posibles inconvenientes con la alta gerencia

Falta de entendimiento sobre la necesidad de seguridad.

Concepcion de la seguridad como costosa e innecesaria

Incapacidad de identificar amenazas y vulnerabilidades.

Incapacidad para estimar el impacto y probabilidad de losriesgos relacionados con los recursos.

Creer que la implementacion de seguridad interferira con losobjetivos de negocio.

Creer que la seguridad es un tema de TI.




Sistema Confiable (Trustworthy System)

Definicion

Aquel que posee la combinacion apropiada de confidencialidad,integridad y disponibilidad a efectos de soportar los objetivosparticulares de negocio fijados por la organizacion.




Estandares de seguridad informatica

Fuente: Data Cetenrs Hoy: Proteccion y administracion de datos en la empresa, Alfaomega, 2014.



Evolucion historica de la seguridad





Primera Revolucion: La Computadora Personal




Primera Revolucion: La Computadora Personal

En 1981 IBM introduce la primera computadora personal(PC) alrededor de la familia de procesadores 8086.

La computadora llega al hogar, las escuelas y oficinas en unavariedad de aplicaciones.

El control de procesamiento que se encontraba presente en elcentro de computo se pone en manos de los usuarios.

Los sistemas de escritorio no fueron disenados con laseguridad en mente.

No todos los usuarios de PC son expertos y el mal uso de losequipos puede comprometer la seguridad.

Existen mas recursos que perder y mas formas de hacerlo.




Problemas de seguridad en las computadoras personales

Accesibilidad fısica al hardware Facilidad de robo.

Software Codigo malicioso (virus): compromete la integridadde informacion, disponibilidad del servicio,confidencialidad, etc.

Respaldos No se ejecutan por falta de interes de los usuarios.

Concientizacion de seguridad a los usuarios El mejor software delmundo para proteger los activos de informacion nosirve si los usuarios no ponen en practica buenoshabitos de seguridad.




Segunda Revolucion: Internet

Internet proporciona la infraestructura para la comunicacion eintercambio de informacion.

Utiliza el protocolo TCP/IP para las comunicaciones.

Hace posible servicios como: correo electronico, transferenciade archivos, acceso a sistemas remotos, conferenciasinteractivas, grupos de noticias y acceso a WWW.

Internet y TCP/IP no fueron disenados pensando en seguridad, sufilosofıa es el procesamiento distribuido y las comunicaciones

abiertas. De este hecho se derivan sus principales vulnerabilidades.




Internet hace algunos anos

http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html

http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html




Internet en nuestros dıas

http://www.cheswick.com/ches/map/gallery/index.html

http://www.cheswick.com/ches/map/gallery/index.html




Numero de vulnerabilidades reportadas

http://www.cert.org/stats/

http://www.cert.org/stats/




Ataques reportados en el 2004

http://www.gocsi.com/





Ataques reportados del 2007 al 2010






Evolucion de los ataques




Problematica Actual




Problematica Actual (2)




Diez paıses mas vulnerables a los ataques ciberneticos

1 Indonesia

2 China

3 Thailand

4 Philippines

5 Malaysia

6 India

7 Mexico

8 UAE

9 Taiwan

10 Hong Kong.http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/

http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/




Ataques mas utilizados






Limitantes en la investigacion

Falta de legislacion que responsabilice y controle a losProveedores de Servicios de Internet en relacion a los datosque se transmiten y almacenan en sus servidores y dispositivode conexion.Falta de legislacion que controle y garantice la produccion desoftware que indique niveles de vulnerabilidad del mismo.Falta de acuerdos interinstitucionales que permitan lograreficiencia en la investigacion evitando la duplicidad deesfuerzos.Falta de acuerdos Internacionales que permitan elestablecimiento claro de protocolos de trabajo en lapersecucion de delincuentes ciberneticos mas alla de nuestrasfronteras.

Mas del 50 % de los delitos reconocidos como graves en el CodigoPenal Federal Se pueden cometer a traves de TIC’s



Amenazas a la seguridad





Amenaza

Definicion

Evento o circunstancia cuya ocurrencia podrıa impactar en formanegativa a una organizacion.

La amenazas explotan (toman ventaja de) las vulnerabilidades.

La “entidad” que toma ventaja de una vulnerabilidad, suelereferirse como “agente de la amenaza” (Threat Agent).

Ejemplo de amenazas:

Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,Malware, . . .




Clasificacion de amenazas por vulnerabilidad explotada




Interrupcion

Definicion

Un activo del sistema se pierde, se hace no disponible o inutilizable.

Ejemplos:

Destruccion maliciosa de un dispositivo.

Borrado de un programa o de un archivo de datos.

Malfuncionamiento del manejador de archivos del sistemaoperativo que trajera como consecuencia que no se puedahallar un archivo particular en el disco duro.




Ejemplo interrupcion con LOIC

http://sourceforge.net/projects/loic/

http://sourceforge.net/projects/loic/




Intercepcion

Definicion

Alguna parte no autorizada logra acceso a un activo del sistema.

Ejemplos:

Copiado ilıcito de programas o archivos de datos.

La intervencion del canal para obtener datos sobre la red.




Ejemplo de intercepcion con Subterfuge

https://code.google.com/p/subterfuge/

https://code.google.com/p/subterfuge/




Modificacion

Definicion

Cuando una parte no autorizada logra acceso al activo del sistemay puede manipular ese activo.

Ejemplos:

Cambiar datos en una base de datos.

Alterar un programa para que realice alguna computacionadicional o distinta a la que realiza

Modificar datos en una comunicacion, entre otras acciones.




Ejemplo de modificacion con sqlmap

http://sqlmap.org/

http://sqlmap.org/




Ejemplo: Fabricacion

Definicion

Una parte no autorizada puede fabricar objetos falsos en unsistema.

Ejemplos:

Insercion de transacciones espurias en un sistema decomunicacion en red.

Agregar registros a una base datos ya existente.




Ejemplo: Fabricacion




Amenazas a Hardware, Software y Datos




Clasificacion de amenazas por su origen

IT for Decision Makers




Ejemplos Amenazas Naturales

Relacionadas con clima frıo

Avalancha de nieveSevera tormenta de hielo, tormenta de granizoViento fuerte o prolongado

Relacionadas con clima calido

Lluvias severa o prolongadaTormentasInundaciones

inundaciones repentinasiinundaciones de rıoinundaciones urbanas

Sequıa (puede afectar a las zonas urbanas, rurales y agrıcolas)Incendio

Incendios forestalesIncendios urbanos, rurales, agrıcolas




Ejemplos Amenazas Naturales (2)

Relacionadas con clima calido (2)

Tormentas tropicalesHuracanes, ciclones, tifonesTornados

Riesgos Geologicos

TerremotoTsunamiErupcion volcanica

La ceniza volcanicaFlujo de lava

Alud de lodoDesplazamientos




Ejemplo Amenazas de origen humano

Terrorismo

BombasLos ataques armadosLiberacion de material peligroso (riesgo biologico, radioactivo)ciber ataqueAtaque biologico (aire, agua, alimentos)Ataque a medios de transporte (aeropuertos, puertos,ferrocarriles de agua)Ataque a infraestructura crıtica (aeropuertos, edificiosgubernamentales, bases militares, servicios publicos, suministrode agua)Secuestro

Fuego

incendio provocadoaccidental




Ejemplo Amenazas de origen humano (2)

Ciber ataque

Amenaza o alardeIntrusion menosIntrusion mayorInterrupcion totalInfraestructura de red deteriorada (Internet, columna vertebral,etc)

Disturbios civiles, motines

Protestas

Las protestas polıticas generalesLas protestas dirigidas (especıficamente a su empresa, porejemplo)




Ejemplo de relacion Amenaza y Vulnerabilidad

La amenaza Conficker, se esparce por tres diferentes vectores:

1 Falta de la actualizacion MS08-067 (http://technet.microsoft.com/en-us/security/bulletin/ms08-067).

2 Dispositivos de almacenamiento USB infectados que ejectuanel comando “autorun” en sistemas operativos Windows.

3 Contrasenas debiles usadas en recursos compartidos.

http://technet.microsoft.com/en-us/security/bulletin/ms08-067

http://technet.microsoft.com/en-us/security/bulletin/ms08-067




Jinetes del Apocalipsis Electronico

1 Spam

2 Bugs

3 Negacion de servicio

4 Codigo malicioso




Spam

Definicion

Mensajes no solicitados, habitualmente de tipo publicitario,enviados en grandes cantidades (incluso masivas) que perjudicande alguna o varias maneras al receptor.

Se estima que el 88 % del correo electronico es spam.

Causa perdidas por $20 mil millones de dlls.http://es.wikipedia.org/wiki/Spam

http://es.wikipedia.org/wiki/Spam




Bugs

Definicion

Es el resultado de un fallo o deficiencia durante el proceso decreacion de programas (software).

En 1947, los creadores deMark II informaron del primercaso de error en un ordenadorcausado por un bicho.

http://es.wikipedia.org/wiki/Error_de_software

http://es.wikipedia.org/wiki/Error_de_software




Negacion de Servicio

Definicion

Ataque a un sistema de computadoras o red que causa que unservicio o recurso sea inaccesible a los usuarios legıtimos.Normalmente provoca la perdida de la conectividad de la red por elconsumo del ancho de banda de la red de la vıctima o sobrecargade los recursos computacionales del sistema de la vıctima.

Se genera mediante la saturacion de los puertos con flujo deinformacion, haciendo que el servidor se sobrecargue y no puedaseguir prestando servicios, por eso se le dice ”denegacion”, pueshace que el servidor no de abasto a la cantidad de usuarios. Estatecnica es usada por los llamados crackers para dejar fuera deservicio a servidores objetivo.




Negacion de Servicio (DoS)

Tipos:TCP

SYNACKNULL

ICMPUDP

Randomized SRC IP:

Full 32 bitsSubnet /24

Examples: trinoo, tfn2k, stacheldraht, mstream, etc.




Codigo Malicioso

Definicion

Es un software que tiene como objetivo infiltrarse en el sistema ydanar la computadora sin el conocimiento de su dueno, confinalidades muy diversas, ya que en esta categorıa encontramosdesde un troyano a un spyware.




Tipos de Malware

Virus

Macrovirus

Bombas Logicas

Troyanos

Backdooors

Polimorfismo/Metamofirmos

Virus de Bootsector

Worms (I-worms, p2p,@mm)

Octopus / Rabbits

Hydras

TSR

Script

Programas peligrosos

RootkitsSpyware/ADwareVgen Droopers, Dialers,. . .

Fuente: Peter Szor, The art of computer virus research and defense, Addison-Wesley, 2005.




Worm

Definicion

Agente infeccioso capaz de autoduplicarse de manera autonoma,capaz de buscar nuevos sistemas e infectarlos a traves de la red.




Ejemplo de gusano: Sapphire/Slammer Worm

http://www.caida.org/publications/papers/2003/sapphire/sapphire.html

http://www.caida.org/publications/papers/2003/sapphire/sapphire.html




Paıses mas atacados por software malicioso de agosto del2011 a agosto del 2012

http://securitylabs.websense.com/content/CrimewarePhishing.aspx

http://securitylabs.websense.com/content/CrimewarePhishing.aspx




¿De donde viene el malware?

http://www.stopbadware.org/home/reports

http://www.stopbadware.org/home/reports




¿Donde es mas vulnerable la informacion confidencial?

Fuente: Informe de investigacion de ESG, Protecting Confidential Data Revisited, abril de 2009



Control de Acceso




Control de Acceso

¿Que es el control de acceso?

Definicion

Mecanismos empleados para proteger los recursos de un sistema decomputo de accesos no autorizados.



Control de Acceso

¿Que es acceso?

Definicion

Transferencia de informacion desde un sujeto a un objeto

Los sujetos son entidadesactivas, que pueden esterepresentadas por:

UsuariosProgramasProcesosComputadoras, . . .

Los objetos son entidadespasivas, que pueden esterepresentadas por:

ArchivosBases de datosProgramasImpresorasMedios dealmacenamiento, . . .



Control de Acceso

Control de acceso

El sujeto es siempre la entidad que recibe informacion acercadel objeto, o datos que provienen de este.

El sujeto es tambien la entidad que altera o modifica lainformacion del objeto, o bien, los datos almacenados dentrode el.



Control de Acceso

Objetivo del control de acceso

El control de acceso se implementa para asegurar:

Confidencialidad: Necesidad de que la informacion solo seaconocida por personas autorizadas.

Integridad: Caracterıstica que hace que el contenido de lainformacion permanezca inalterado, a menos que seamodificado por personal atomizado.

Disponibilidad: Capacidad que permite que la informacion seencuentre siempre disponible, para que pueda ser procesadapor el personal autorizado.



Control de Acceso

Pasos para acceder a un objeto

El control de acceso gobierna el acceso de sujetos a objetos



Control de Acceso

Identificacion

Definicion

Forma en la cual los usuarios comunican su identidad a un sistema.

Identidad: Conjunto de rasgos o informacion queindividualizan o distinguen algo y confirman que es realmentelo que se dice que es.

Un usuario puede utilizar como identidad:

Nombre de usuario (Username)Logon IDPIN

Identificacion es un paso necesario para lograr la autenticacion yautorizacion. Equivale a la presentacion de credenciales a un

autoridad”



Control de Acceso

Autenticacion

Definicion

Es el proceso por el cual se prueba que la informacion deidentificacion se corresponde con el sujeto que la presenta.

La autenticacion requiere que el sujeto proporcioneinformacion adicional que debe corresponder exactamentecon la identidad indicada.

El metodo mas comun, es el empleo de contrasenas.

“Equivale a la validacion por parte de la autoridad de lascredenciales presentadas.”



Control de Acceso

Autenticacion (2)

Los tipos de informacion mas comunes que pueden ser empleadosson:

Tipo 1: Un factor de autenticacion por Tipo 1 es “Algo queel usuario conoce”, como una contrasena, un PIN, . . .

Tipo 2: Un factor de autenticacion por Tipo 2 es “Algo queel usuario tiene”, como una tarjeta inteligente, un token, . . .

Tipo 3: Un factor de autenticacion por Tipo 3 es “Algo queel usuario es”, como su huella digital, analisis de voz, escanerde retina o iris , . . .



Control de Acceso

Tecnicas mas comunes de Identificacion y Autenticacion

Entre las principales tecnicas de mayor utilizacion en laactualidad, encontramos:

ContrasenasSistemas biometricosTockensTickets



Control de Acceso

¿Que son las contrasenas?

Definicion

Una contrasena o clave (password en ingles) es una cadenaalfanumerica utilizada para autenticar una identidad. Esta cadenadebe permanecer en secreto5.

Prueban nuestra identidad a traves de un proceso deautenticacion ante sistemas informaticos.

Aseguran nuestra privacidad.

Garantizan el no-repudio

5The 2011 SNIA Dictionary



Control de Acceso

Contrasenas (Password)

Es la tecnica de autenticacion mas usada, pero tambien esconsiderada la mas debil.

Las fallas habituales de seguridad se deben a:

Usuarios que eligen frecuentemente contrasenas que son facilesde recordar y, en consecuencia, faciles de romper.Las contrasenas aleatorias son difıciles de recordar.Las contrasenas son faciles de compartir, olvidar y escribir.Pueden ser robadas facilmente, por observacion, grabacion,etc.

Algunas contrasenas se transmiten en texto claro o protegidaspor tecnicas faciles de romper.

Contrasenas cortas pueden ser descubiertas rapidamente porataques de fuerza bruta, etc.



Control de Acceso

Antecedentes de las contrasenas

Los primeros registros historicos que se tienen datan de lostiempos de los romanos.

En la antiguedad , los centinelas solicitaban el santo y sena(contrasena) para permitir el paso.

Actualmente, se utilizan para identificarse en sistemasoperativos, correo electronico, redes sociales, sitios web, . . .



Control de Acceso

Tipos de contrasenas

Existen dos tipos de contrasenas:

1 Estaticas2 Dinamicas

Las contrasenas Estaticas siempre permanecen iguales y solocambian cuando expiare su tiempo de vida.

Las contrasenas Dinamicas cambian despues de un periodode tiempo de uso. Las One-Time Password son una variantede esta categorıa.



Control de Acceso

One Time Password

Esta tecnica utiliza contrasenas que solo tienen validez paraun usuario especıfico durante una determinada sesion.

Un ejemplo caracterıstico lo constituye el sistema S/Key.

El sistema utiliza algoritmos de hashing de una vıa con el finde crear un esquema de contrasenas de unica vez.

Aquı las contrasenas son evitadas a traves de la red, peroluego que la contrasena fue utilizada, caduca y no es validapara ser utilizada nuevamente.



Control de Acceso

One Time Password (2)

Componentes de S/Key:

Cliente: Pide el nombre de usuario. No realizaalmacenamiento de contrasenas.Servidor: Procesa la contrasena, almacena la contrasena deunica vez y tambien le provee al cliente el valor inicial paracalcular el hash.Calculador de claves: Es la funcion de hash para lacontrasena de unica vez.



Control de Acceso

Ataques a contrasenas

Cuando un atacante busca obtener las contrasenas, puedeutilizar diferentes metodos:

Analisis de trafico de redAcceso al archivo de contrasenasAtaques por fuera brutaAtaques por diccionarioIngenierıa social



Control de Acceso

Polıticas de definicion de contrasenas

Muchas organizaciones poseen polıticas de definicion decontrasenas, las cuales comprenden una serie de restricciones:

Longitud mınimaDuracion mınima y maximaNo reutilizar el nombre de usuario o parte del mismoGuardar historico de contrasenaUtilizar mayusculas, minusculas, numeros, caracteres especialesPrevenir reuso



Control de Acceso

Sistemas Biometricos

Los sistemas biometricos se basan en caracterısticas fısicas delusuario a identificar o en patrones de conducta.

El proceso general de autenticacion sigue unos pasos comunesa todos los modelos de autenticacion biometrica:

Extraccion de ciertas caracterısticas de la muestra (porejemplo, el detalle de una huella dactilar).Comparacion de tales caracterısticas con las almacenadas enuna base de datos.Finalmente la decision de si el usuario es valido o no.



Control de Acceso

Sistemas Biometricos (2)

La mayorıa de los dispositivos biometricos tienen un ajuste desensibilidad para que puedan ser configurados de manera queoperen en forma mas sensible o menos sensible.

Cuando un dispositivo es demasiado sensible, ocurre un errorTipo 1, es decir, un sujeto valido no es autenticado; eso seconoce como Tasa de Falso Rechazados (FRR).

Cuando un dispositivo no es lo suficientemente sensible, ocurreun error Tipo 2, es decir, un sujeto invalido es autenticado;esto se conoce como Tasa de Falsas Aceptaciones (FAR).

El punto en el cual FRR=FAR es conocido como CrossoverError Rate (CER).

El nivel CER es usado como un estandar para evaluar eldesempeno de los dispositivos biometricos.



Control de Acceso

Crossover error rate

Fuente: IS Auditing Guideline: G36 Biometric Controls

http://www.isaca.org/Knowledge-Center/Standards/Pages/IS-Auditing-Guideline-G36-Biometric-Controls.aspx



Control de Acceso

Sistemas biometricos mas utilizados

Huellas digitales

Reconocimiento de retina

Reconocimiento de iris

Reconocimietno facial

Geometrıa de la mano

Reconocimiento de la palma

Verificacion de voz

Fuente: Eric Conrad, Eleventh Hour CISSP,Syngress,2010.



Control de Acceso

Sistemas biometricos

Ademas de los costos hay tres puntos crıticos a determinar almomento de elegir un sistema biometrico como metodo decontrol de acceso:

Aceptacion del usuarioTiempo de implantacionPrecision

Adicionalmente tambien son importantes:

Facilidad de implementacionTamano y manejo de las muestras



Control de Acceso

Enrollment

Definicion

Es el proceso por medio del cual se toma la muestra del atributofısico del individuo, la cual sera almacenada en una base de datossobre la cual se verificara posteriormente su identidad

Muchas veces se necesita tomar repetidas muestras delatributo hasta que se logra finalmente.

Esto puede hacer que los tiempo de enrollment sean altos y elsistema tenga baja aceptacion.



Control de Acceso

Ventajas de los Sistemas Biometricos

No pueden ser prestados, como una llave o token y no sepueden olvidar como una contrasena.

Buena relacion entre facilidad de uso, costo y precision.

Permiten la identificacion unica de un individuo, aun en casosde bases de datos de gran tamano.

Duran para siempre. . .

Logran que los procesos de login y autenticacion no requieranesfuerzo alguno.



Control de Acceso

Desventajas de los Sistemas Biometricos

Siguen siendo particularmente caros.

Aun existe rechazo o desconfianza por parte de los usuarios.



Control de Acceso

Sistemas Biometricos y Privacidad

Seguimiento y Vigilancia: Permiten seguir y vigilar losmovimientos de una persona.

Anonimicidad: Si la identificacion esta asociada a una basede datos, se pierde el anonimato al acceder a servicios a travesde sistemas biometricos.

Profiling: La recopilacion de datos acerca de de transaccionesrealizadas por un indiviudo en particular, permite definir unperfil de las preferencias, afiliaciones y creencias de eseindividuo.



Control de Acceso

Tokens

Son dispositivos generadores de contrasenas que un sujetolleva con el.

Los dispositivos tokens pertenecen a la clase “Algo que elusuario tiene” (Tipo 2).

Existen cuatro tipos de tokens:

EstaticosSıncronos basados en tiempo.Sıncronos basados en eventos.Asıncronos basados en desafıo / respuesta.



Control de Acceso

Tokens Estaticos

Requieren de un factor adicional para brindas autenticacion,como una contrasena o una caracterısticas biometrica

La mayorıa de estos dispositivos almacenan una clavecriptografica.

Son utilizados principalmente como tecnica de identificacionen lugar de autenticacion.

Algunos ejemplos son:

Smart cardDispositivos USB



Control de Acceso

Tokens Sıncronos Basados en Tiempo

Las tarjetas y el servidor tienen relojes que miden el tiempotranscurrido desde la inicializacion.

Cada cierto tiempo el numero resultante se cifra y se muestraen la pantalla de la tarjeta; el usuario ingresa su PIN en elservidor junto con el numero que se visualiza en su tarjeta.

Como el servidor conoce el momento de inicializacion de latarjeta tambien puede calcular el tiempo transcurrido, dichovalor cifrado debera coincidir con el introducido por el usuariopara que este sea aceptado.



Control de Acceso

Tokens Sıncronos Basados en Eventos

Las contrasenas se generan debido a la ocurrencia de unevento, por ejemplo se requiere que el sujeto presione unatecla en la tarjeta.

Esto causa que la tarjeta y el servidor avancen al proximovalor de autenticacion.

El usuario debe ingresar su PIN en la tarjeta.

A partir del conjunto formado por el PIN y el nuevo valor deautenticacion, se genera una nueva contrasena aplicando unafuncion criptografica (Ej: DES, Hash, etc.) a dicho conjunto,la que sera enviada al servidor para su verificacion.



Control de Acceso

Autorizacion

Definicion

Derechos y permisos otorgados a un individuo (o proceso) que lepermite acceder a un recurso del sistema / computadora.

Ejemplo:

Un usuario puede estar habilitado para imprimir undocumento, pero no puede alterar la cola de impresion.

“El proceso de autorizacion se realiza una vez que se ha logrado laidentificacion y autenticacion del usuario.“



Control de Acceso

Auditorıa (Accounting)

Definicion

Proceso de registrar eventos, errores, accesos e intentos deautenticaciones en un sistema

Justificacion:

Deteccion de intrusionesReconstruccion de eventos y condiciones del sistemaObtener evidencias para acciones legalesGenerar reportes de problemas.

El conjunto de acciones a ser auditadas pueden ser:

1 Eventos de sistema2 Eventos de aplicaciones3 Eventos de usuario



Control de Acceso

Pasos para acceder a un objeto (resumen)

1 Identificacion → Nombre de usuario

2 Autenticacion → Contrasena

3 Autorizacion → Derechos / Permisos

4 Auditoria → Eventos



Hackers, crackers y sus variantes





Hacker

Definicion

1 Tradicionalmente, se dice de quien goza averiguando losdetalles de sistemas de computo y como llevarlos a su lımite,en contraposicion a la mayorıa de los usuarios que prefierensolo aprender lo necesario.6

2 En la actualidad, se dice de quien de forma malintencionadapenetra un sistema informatico para obtener algun beneficio.

Tambien conocidos como crackers.Motivados por lucro, protesta, o por el desafıo.

6http://searchsecurity.techtarget.com/definition/hacker

http://searchsecurity.techtarget.com/definition/hacker




Nombres comunes para los hackers

Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it”(9-8 anos / Grupo / Usuario Final / Diversion)

Script-kiddie: The script kid (10-18 anos / Grupo /Organizaciones con vulnerabilidad bien conocidas / Fama)

Cracker: The destroyer (17-35 anos / Solo / Empresas /Fama, Reconocimiento)

Ethical hacker: The Hacker “par excellence” (15-50 anos /Solo (rara vez en grupo)/ Organizaciones de gran tamano /Curiosidad, Aprender, Mejorar habilidades)

Quiet: Highly specialized hacker, uncommunicative, extremelyparanoid (16-50 anos / Solo / Desconocido / Curiosidad,Aprender, Egocentrismo)

Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240




Nombres comunes para los hackers (2)

Cyber warrior: The mercenary (18-50 anos / Solo /Organizaciones de prestigio / Lucro)

Industrial spy: The industrial spy (22-50 anos / Solo /Empresas multinacionales/ Lucro)

Government agent: The government agent (CIA, Mossad,FBI, etc.) (25-45 anos / Solo o en Grupo / Terroristas,profugos, industrias / Actividad profesional)

Military hacker: Recruited to fight “with a computer”(25-45anos / Solo o en Grupo (rara vez en grupo)/ Gobiernos eIndustria / Actividad profesional y por una causa)

Hacktivista: Idealistas (16-35 anos / Grupo / Gobierno,Figuras publicas / Desprestigio)





Nombres comunes para los hackers (3)

Black-hats: Muestran sus habilidades en informaticarompiendo sistemas de seguridad de computadoras,colapsando servidores, entrando a zonas restringidas,infectando redes o apoderandose de ellas, entre otras muchascosas utilizando sus destrezas en metodos hacking.

Grey-hats: Grupo de individuos que en ocasiones penetransistema sin permiso y otras con permiso.

White-hats: Se dedican a asegurar y proteger los sistemas deTecnologıas de informacion y comunicacion. Suelen trabajarpara empresas de seguridad informatica.





Ataques famosos

1986 Clifford Stoll Rastreo de intrusos que trataban de vio-lar sistemas de computo de los Labora-torios Lawrence Berkeley.

1986 Captian Mid-night

Mensaje satelital enviado a 8 millonesde usuarios de la HBO protestando porlas tarifas que debıan pagar los duenosde antenas parabolicas.

1988 Robert Morris Gusano que se introdujo en 6,000 equi-pos de universidades y gobierno.

1988 Virus Viernes 13 infecto cientos decomputadoras borrando informacion.




Ataques famosos

1994 Kevin Mitnick Robo de software y tarjetas de creditoa traves de ingenierıa social y ataquesIP-Spoofing.

1996 Alteracion de la pagina web de la fuerzaaerea de EUA.

1998 Alteracion de la pagina del Departamen-to de Justicia de EUA.

1998 X-Ploit En Mexico: Secretarıa de Hacienda yCredito Publico, INEGI, Secretarıa deSalud, Senado de la Republica




Caso Clifford Stoll

Astronomo de Berkeley, Stoll tuvo las ideas y la paciencianecesarias para cazar al cracker del KGB Markus Hess a traves dela red de Hanover en Alemania. Stoll hizo un libro sobre ello, TheCuckoo’s Egg”; para muchos fue la primera introduccion seria almundo del hacking.

Intrusion: Agosto 1986 (LBL).

Deteccion:Error de 75c en contabilidadCreacion de una nueva cuenta“hunter”Actividad en una cuentadormida “sventek”

http://en.wikipedia.org/wiki/Clifford_Stoll

http://en.wikipedia.org/wiki/Clifford_Stoll




El gusano de internet

Aparicion: 02/11/88 (Se reproduce demaquina en maquina).

Danos: Carga las maquinas, se caen, y niegael acceso

Vıctimas: Sun3 y VAX, 6,000 en total.

Vulnerabilidad explotada: rsh, finger ysendmail.

Responsable: Robert Tappan Morris

Sentencia:04/05/90$10,000 multa3 anos de libertad provisional400 horas servicio comunitario.

http://es.wikipedia.org/wiki/

Gusano_Morris

http://es.wikipedia.org/wiki/Gusano_Morris

http://es.wikipedia.org/wiki/Gusano_Morris




Kevin Mitnick -“Condor”-

http://www.kevinmitnick.com/

Se le considera el padre de los hackers yfue el primero en aparecer inmortalizadocomo hombre mas buscado por el FBI. Suhistorial arranca en los ochenta cuandorobaba manuales de hardware y culmina en1995 cuando es detenido por el FBI graciasal contra-hacker Tsutomu Shimomura.

Ataques:20.000 numeros de tarjetas decredito,mando central aereo,Centrales telefonicas en California yMoviles de Motorola y Qualcomm.

http://www.kevinmitnick.com/




Casos en Mexico

1996 Cinvestav, IPN

1998 Secretarıa de Hacienda y Credito Publico

1998 Comision nacional del Agua

1998 INEGI

1998 Senado de la Republica

1998 Secretarıa de Salud

http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html

http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html




”X-Ploit Team”: Solo queremos que nos escuchen, nocausar danos

La primera irrupcion de los “X-Ploit” –una traduccion podrıa ser“los incendiario”– se produjo el 4 de febrero de 1998, cuandodieron la bienvenida al recien designado secretario de Hacienda yCredito Publico, Jose Angel Gurrıa, quien en su anterior cargocomo canciller habıa afirmado que la de Chiapas era “una guerrade tinta e Internet”.La pagina presentaba varias fotografıas de Emiliano Zapata y lasiguiente leyenda:

“Nuestra afiliacion no es ninguna, no pertenecemos al EZLN, peroeste es nuestro derecho de libre expresion como mexicanos.”

http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM

http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM


Referencias bibliograficas

Referencias bibliograficas I

C. Wilson.Computer Attack and Cyberterrorism: Vulnerabilities andPolicy Issues for Congress.CRS Report for Congress, 2005.

E. Spafford.Seguridad Practica en Unix e Internet.

W. PrestonBackup & Recovery.O’Reilly, 2006.Seguridad Practica en Unix e Internet.


Referencias bibliograficas

Referencias bibliograficas II

K. O’SheaExamining the RPC DCOM Vulnerability: Developing aVulnerability-Exploit Cycle.SANS.

Samuel GreengardSeis errores de seguridad de TI comunes y metodos paraevitarloshttp://www.microsoft.com/business/smb/es-mx/

seguridad/evitar-errores-de-ti-comunes.mspx

http://www.microsoft.com/business/smb/es-mx/seguridad/evitar-errores-de-ti-comunes.mspx

http://www.microsoft.com/business/smb/es-mx/seguridad/evitar-errores-de-ti-comunes.mspx