0. introducci on a la seguridad inform aticaseguridad.capacitacionentics.com/...informatica2... ·...

Seguridad Informatica 2

Seguridad Informatica 20. Introduccion a la Seguridad Informatica

Francisco Medina Lopez — [email protected]

http://aulavirtual.franciscomedina.net

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

21 de agosto de 2011

http://aulavirtual.franciscomedina.net


Agenda

1 Introduccion a la Seguridad InformaticaConceptos y PrincipiosProblematicaHistoriaConceptos basicosActivos y Tipos de amenazaAtaques comunesEstandares de seguridad


Introduccion a la Seguridad Informatica

Conceptos y Principios





¿Que es seguridad?

Segun la Real Academia de la Lengua Espanola:

f. Calidad de lo que es o esta seguro: la seguridad de unacuerda, de un apoyo.

Certeza, garantıa de que algo va a cumplirse: tener laseguridad de que se va a sanar.

loc. adj. Se apl. a ciertos mecanismos que previenen algunriesgo o aseguran el buen funcionamiento de algunacosa, precaviendo que falle: puerta, cinturon de seguridad.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad




¿Que es seguro?


adj. Libre y exento de todo peligro, dano o riesgo.

adj. Cierto, indubitable y en cierta manera infalible.

adj. Firme, constante y que no esta en peligro de faltar ocaerse.

adj. No sospechoso.

m. Seguridad, certeza, confianza.

m. Lugar o sitio libre de todo peligro.

m. Mecanismo que impide el funcionamiento indeseadode un aparato, utensilio, maquina o arma, o que aumenta lafirmeza de un cierre.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro




¿Que es riesgo?


m. Contingencia o proximidad de un dano.

m. Cada una de las contingencias que pueden ser objeto de uncontrato de seguro.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo




¿Que es informatica?


1. f. Conjunto de conocimientos cientıficos y tecnicas quehacen posible el tratamiento automatico de la informacion pormedio de ordenadores.

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica




Estados de la informacion

La informacion puede existir en muchas formas:

puede estar impresa o escrita en papel,

almacenada electronicamente,

transmitida por correo o utilizando medios electronicos,

presentada en imagenes, o

expuesta en una conversacion.




¿Que es seguridad de la informacion?

Definicion

Es la proteccion de la informacion y de los sistemas de informaciondel acceso, uso, divulgacion y destruccion no autorizada a travesde estandares, procesos, procedimientos, estrategias, recursosinformaticos, recursos educativos y recursos humanos. 1

La seguridad de la informacion protege a esta de una amplia gamade amenazas, a fin de garantizar la continuidad de unaorganizacion.

No importando la forma que se adquiere la informacion, o losmedios por los cuales se distribuye o almacena, siempre debe ser

protegida en forma adecuada.

1http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html

http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html




¿Que es seguridad informatica?

Definicion

La seguridad informatica o seguridad en computo son losmecanismos tecnologicos que protegen los sistemas de informaciony todo lo asociado con ellos (edificios, impresoras, cableado, etc.).

Entonces:

La seguridad informatica: Esta enfocado a sistemas decomputo y redes de datos.

La seguridad de la informacion: Esta enfocado altratamiento y uso de la informacion, involucrando sistemas decomputo, redes de datos, personas y procesos.




Objetivos

Lograr adquirir, almacenar, procesary transmitir informacion, preservandolos servicios de:

Confidencialidad (que lainformacion solo la conozcanquienes tienen derecho a ello)

Integridad (que la informacionno sea alterada sin autorizacion)

Disponibilidad (que losusuarios legıtimos puedan usarla informacion cuando lorequieran)

http:

//en.wikipedia.org/wiki/Information_security

http://en.wikipedia.org/wiki/Information_security

http://en.wikipedia.org/wiki/Information_security




¿Por que es importante la seguridad de la informacion?

1 Porque la informacion y los procesos, sistemas y redes deapoyo son activos organizacionales importantes y en algunoscasos estrategicos.

2 Porque definir, lograr, mantener y mejorar la seguridad de lainformacion puede ser esencial para mantener una ventajacompetitiva, el flujo de caja, rentabilidad, observancia legal eimagen organizacional.

El 94 % de las empresas que pierden su informacion desaparece.2

2http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35




¿Donde es mas vulnerable la informacion confidencial?

Fuente: Informe de investigacion de ESG, Protecting Confidential Data Revisited, abril de 2009




Directrices de la OCDE para la seguridad de sistemas yredes de informacion

1 Concienciacion

2 Responsabilidad

3 Respuesta

4 Etica

5 Democracia

6 Evaluacion del riesgo

7 Diseno y realizacion de la seguridad

8 Gestion de la Seguridad

9 Reevaluacion




Concienciacion

Definicion

Los participantes deberan ser conscientes de la necesidad de contarcon sistemas y redes de informacion seguros, y tener conocimientode los medios para ampliar la seguridad.

El conocimiento de los riesgos y de los mecanismos de defensa(contramedidas), es el primer paso en la defensa de laseguridad de los sistemas y redes de informacion.

Los participantes deben comprender que los fallos en laseguridad pueden danar significativamente los sistemas y redesque estan bajo su control.




Responsabilidad

Definicion

Todos los participantes son responsables de la seguridad de lossistemas y redes de informacion.

Los participantes:

dependen de los sistemas y redes de informacion locales yglobales, y deben comprender su responsabilidad en lasalvaguarda de la seguridad de los sistemas y redes deinformacion;

deben igualmente revisar sus propias polıticas, practicas,medidas y procedimientos de manera regular, y evaluar siestos son apropiados en relacion con su propio entorno.




Respuesta

Definicion

Los participantes deben actuar de manera adecuada y conjuntapara prevenir, detectar y responder a incidentes que afecten laseguridad.

Los participantes

deben actuar de manera adecuada y conjunta para enfrentarsea los incidentes que afecten la seguridad;

han de compartir informacion sobre los riesgos yvulnerabilidades y ejecutar procedimientos para unacooperacion rapida y efectiva que permita prevenir, detectar yresponder a incidentes que afecten a la seguridad.




Etica

Definicion

Los participantes deben respetar los intereses legıtimos de terceros.

Los participantes:

necesitan reconocer que sus acciones o la falta de estas,pueden comportar danos a terceros;

deben hacer esfuerzos por desarrollar y adoptar buenaspracticas y promover conductas que reconozcan la necesidadde salvaguardar la seguridad y respetar los intereses legıtimosde terceros.




Democracia

Definicion

La seguridad de los sistemas y redes de informacion debe sercompatible con los valores esenciales de una sociedad democratica.

Libertad de intercambio de pensamiento e ideas, ası como ellibre flujo de informacion, la confidencialidad de la informaciony la comunicacion y la proteccion apropiada de informacionpersonal, apertura y transparencia.




Evaluacion del riesgo

Definicion

Los participantes deben llevar a cabo evaluaciones de riesgo.

La evaluacion del riesgo identificara las amenazas yvulnerabilidades, y debe ser lo suficientemente amplia paraincluir factores internos y externos fundamentales comotecnologıa, factores fısicos y humanos, y polıticas y serviciosde terceros que tengan repercusiones en la seguridad.

La evaluacion del riesgo permitira determinar los nivelesaceptables de seguridad y ayudar en la seleccion de controlesapropiados para administrar el riesgo de danos potenciales alos sistemas y redes de informacion, en relacion a la naturalezae importancia de la informacion que debe ser protegida.




Diseno y realizacion de la seguridad.

Definicion

Los participantes deben incorporar la seguridad como un elementoesencial de los sistemas y redes de informacion.

Los sistemas, las redes y las polıticas deberan ser disenados,ejecutados y coordinados de manera apropiada para optimizarla seguridad.

Un enfoque mayor pero no exclusivo de este esfuerzo ha deencontrarse en el diseno y adopcion de mecanismos ysoluciones que salvaguarden o limiten el dano potencial deamenazas o vulnerabilidades identificadas.




Gestion de la Seguridad.

Definicion

Los participantes deben adoptar una vision integral de laadministracion de la seguridad.

La gestion de la seguridad debe estar basada en la evaluaciondel riesgo y ser dinamica, debiendo comprender todos losniveles de las actividades de los participantes y todos losaspectos de sus operaciones.




Reevaluacion

Definicion

Los participantes deben revisar y reevaluar la seguridad de sussistemas y redes de informacion, y realizar las modificacionespertinentes sobre sus polıticas, practicas, medidas y procedimientosde seguridad.

De manera constante se descubren nuevas amenazas yvulnerabilidades.

Los participantes deberan, en este sentido, revisar y evaluar, ymodificar todos los aspectos de la seguridad de maneracontinuada, a fin de poder enfrentarse a riesgos siempre enevolucion permanente.




Metodologıa

1 Evaluacion: Analisis del ambiente y de los requerimientos deseguridad del sistema. Durante esta fase, se crea ydocumentan las polıticas de seguridad y los planes paraimplantar dichas polıticas.

2 Proteccion: Implantacion del plan de seguridad (e.j.,configuraciones de seguridad, proteccion de recursos,mantenimiento).

3 Deteccion: Identificacion de los ataques y violaciones a laspolıticas de seguridad con el uso de tecnicas como elmonitoreo, analisis de bitacoras y deteccion de intrusos.

4 Respuesta: Manejo de incidentes de acuerdo al plan deseguridad




Practicas de gestion de la seguridad

Metas y definiciones de seguridad

Tipos de contramedidas (controles)

Analisis y administracion del riesgo

Elementos de un programa de seguridad

Roles y responsabilidades en seguridad

Clasificacion de la informacion

Administracion de los empleados

Sensibilizacion y formacion




Modelo de Seguridad Organizacional




Seguridad en Profundidad




Seguridad en Profundidad II

Proporciona capas de defensa que un atacante debecomprometer antes para acceder a un activo.

No depender de una sola contramedida.

Entender que se puede comprometer una capa para podertener una capa de respaldo para compensar la falla.




¿Que no es la seguridad de la informacion?

La seguridad no es la meta de la organizacion.

La seguridad no es un aspecto tecnico mas a considerar.

La seguridad no se resuelve con un producto.

No hay sistemas 100 % seguros.

“El unico sistema totalmente seguro es aquel que esta apagado,desconectado de la red, guardado en una caja fuerte de titanio,

encerrado en un bunker de concreto, rodeado por gas venenoso ycuidado por guardias muy bien armados y muy bien pagados. Aun

ası, no apostarıa mi vida por el.” –Eugene Spafford.




Errores de seguridad de TI comunes I

1 No tratar la seguridad como una prioridad. A pesar delbombardeo de titulares acerca de interrupciones e infraccionesde seguridad, muchas empresas siguen relegando losproblemas de seguridad a un segundo plano. ’“La seguridad esun elemento caro y no parece considerarse una parte esencialde la empresa”3. “Consume una gran cantidad de capital quelos ejecutivos prefieren invertir en cualquier otra area de laorganizacion.”




Errores de seguridad de TI comunes II

2 Estrategia de respuesta inadecuada. Cuando aparece unaamenaza de seguridad y no hay nadie que tome las riendas,los retrasos y la indecision pueden arruinar cualquier respuestaefectiva. “Hoy dıa, muchas organizaciones son capaces deidentificar incidentes de seguridad dentro de su entorno de TI,pero carecen de la habilidad para responder de forma eficaz,especialmente en el caso de las amenazas que pueden surgir”4.

3 Sistemas de seguridad integrados de forma deficiente.Dado que las amenazas de seguridad cambian continuamente,muchas organizaciones tienen que enfrentarse a una maranade aplicaciones, configuraciones de hardware, administradoresinternos, codigo de programacion y consultores, lo que, en suconjunto, puede crear incompatibilidades e ineficiencias.




Errores de seguridad de TI comunes III

“Llega un momento en el que todo se derrumba y la empresase ve inmersa en el desastre”.

4 Falta de aprendizaje para los empleados. Cada vez esmayor el numero de amenazas, que ademas se disenan paraexplotar el vınculo de seguridad mas debil de la cadena: susempleados. En concreto, las tecnicas de ingenierıa social comola suplantacion de identidad (phishing) y el spear phishing(esta ultima esta dirigida a una persona en concreto o a ungrupo reducido) estan haciendo estragos. “Muchas empresasconsideran el aprendizaje algo superfluo o creen que es pocoproductivo que los empleados no esten es su puesto de trabajodurante el mas mınimo perıodo de tiempo”5




Errores de seguridad de TI comunes IV

5 Reglas y procedimientos no efectivos. Ante una amenaza,es facil optar por bloquear la mensajerıa instantanea o prohibirlas unidades flash USB (bus serie universal), que puedentrasladar datos fuera de los lımites fısicos de una oficina.Tambien puede crear la ilusion de una seguridad mas ferreaexigiendo a los empleados que cambien sus contrasenas cadames. Por desgracia, estas reglas molestas pueden reducir laproductividad o simplemente promover que los empleadosbusquen otros metodos. “Las directivas insuficientes puedenconvertirse en un obstaculo para el trabajo y aumentar losriesgos de seguridad”




Errores de seguridad de TI comunes V

6 Amenazas internas. A pesar de todo lo que se insiste en laexistencia de hackers e intrusos, muchas infracciones deseguridad se producen dentro de la empresa. Los empleadosdescontentos o sin escrupulos son una amenaza constante, porlo que la despreocupacion puede ser catastrofica,especialmente entre los empleados moviles con equiposportatiles y asistentes digitales personales. Losadministradores y los ejecutivos superiores con privilegios deacceso practicamente sin control, tambien son imparables.Ademas, el personal de entrega, los trabajadores temporales eincluso los conserjes, a menudo, pueden deambular librementepor las instalaciones.

3Matthew Green, analista de Independent Security Evaluators4Ken Dunham, director del equipo de respuesta rapida de VeriSign iDefense5Joseph Feiman, vicepresidente de investigacion de la companıa de

consultorıa e investigacion de TI Gartner en Stamford, Connecticut.




¿Cuando podemos decir que un sistema es seguro?

“Un sistema de computo es seguro si se puede confiar en que el ysu software se comportaran como se espera que lo hagan, y que lainformacion almacenada en el se mantendra inalterada y accesible

durante tanto tiempo como su dueno lo desee.”




Modelo de Madurez de la Seguridad de la Informacion



Problematica




Problematica

Primera Revolucion: La Computadora Personal



Problematica

Primera Revolucion: La Computadora Personal

En 1981 IBM introduce la primera computadora personal(PC) alrededor de la familia de procesadores 8086.

La computadora llega al hogar, las escuelas y oficinas en unavariedad de aplicaciones.

El control de procesamiento que se encontraba presente en elcentro de computo se pone en manos de los usuarios.

Los sistemas de escritorio no fueron disenados con laseguridad en mente.

No todos los usuarios de PC son expertos y el mal uso de losequipos puede comprometer la seguridad.

Existen mas recursos que perder y mas formas de hacerlo.



Problematica

Problemas de Seguridad en las Computadoras Personales

Accesibilidad fısica al hardware Facilidad de robo.

Software Codigo malicioso (virus): compromete la integridadde informacion, disponibilidad del servicio,confidencialidad, etc.

Respaldos No se ejecutan por falta de interes de los usuarios.

Concientizacion de seguridad a los usuarios El mejor software delmundo para proteger los activos de informacion nosirve si los usuarios no ponen en practica buenoshabitos de seguridad.



Problematica

Segunda Revolucion: Internet

Internet proporciona la infraestructura para la comunicacion eintercambio de informacion.

Utiliza el protocolo TCP/IP para las comunicaciones.

Hace posible servicios como: correo electronico, transferenciade archivos, acceso a sistemas remotos, conferenciasinteractivas, grupos de noticias y acceso a WWW.

Internet y TCP/IP no fueron disenados pensando en seguridad, sufilosofıa es el procesamiento distribuido y las comunicaciones

abiertas. De este hecho se derivan sus principales vulnerabilidades.



Problematica

Internet hace algunos anos

http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html

http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html



Problematica

Internet en nuestros dıas

http://www.cheswick.com/ches/map/gallery/index.html

http://www.cheswick.com/ches/map/gallery/index.html



Historia




Historia

Ataques famosos

1986 Clifford Stoll Rastreo de intrusos que trataban de vio-lar sistemas de computo de los Labora-torios Lawrence Berkeley.

1986 Captian Mid-night

Mensaje satelital enviado a 8 millonesde usuarios de la HBO protestando porlas tarifas que debıan pagar los duenosde antenas parabolicas.

1988 Robert Morris Gusano que se introdujo en 6,000 equi-pos de universidades y gobierno.

1988 Virus Viernes 13 infecto cientos decomputadoras borrando informacion.



Historia

Ataques famosos

1994 Kevin Mitnick Robo de software y tarjetas de creditoa traves de ingenierıa social y ataquesIP-Spoofing.

1996 Alteracion de la pagina web de la fuerzaaerea de EUA.

1998 Alteracion de la pagina web de la fuerzaaerea del Departamento de Justicia.

1998 X-Ploit En Mexico: Secretarıa de Hacienda yCredito Publico, INEGI, Secretarıa deSalud, Senado de la Republica



Historia

Caso Clifford Stoll

Astronomo de Berkeley, Stoll tuvo las ideas y la paciencianecesarias para cazar al cracker del KGB Markus Hess a traves dela red de Hanover en Alemania. Stoll hizo un libro sobre ello; ypara muchos, su ”The Cuckoo’s Egg”fue la primera introduccionseria al mundo del hacking.

Intrusion: Agosto 1986 (LBL).

Deteccion:Error de 75c en contabilidadCreacion de una nueva cuenta“hunter”Actividad en una cuentadormida “sventek”

http://en.wikipedia.org/wiki/Clifford_Stoll

http://en.wikipedia.org/wiki/Clifford_Stoll



Historia

El gusano de internet

Aparicion: 02/11/88 (Se reproduce demaquina en maquina).

Danos: Carga las maquinas, se caen, y niegael acceso

Vıctimas: Sun3 y VAX, 6,000 en total.

Vulnerabilidad explotada: rsh, finger ysendmail.

Responsable: Robert Tappan Morris

Sentencia:04/05/90$10,000 multa3 anos de libertad provisional400 horas servicio comunitario.

http://es.wikipedia.org/wiki/

Gusano_Morris

http://es.wikipedia.org/wiki/Gusano_Morris

http://es.wikipedia.org/wiki/Gusano_Morris



Historia

Kevin Mitnick -“Condor”-

http://www.kevinmitnick.com/

Se le considera el padre de los hackers yfue el primero en aparecer inmortalizadocomo hombre mas buscado por el FBI. Suhistorial arranca en los ochenta cuandorobaba manuales de hardware y culmina en1995 cuando es detenido por el FBI graciasal contra-hacker Tsutomu Shimomura.

Ataques:20.000 numeros de tarjetas decredito,mando central aereo,Centrales telefonicas en California yMoviles de Motorola y Qualcomm.

http://www.kevinmitnick.com/



Historia

Casos en Mexico

1996 Cinvestav, IPN

1998 Secretarıa de Hacienda y Credito Publico

1998 Comision nacional del Agua

1998 INEGI

1998 Senado de la Republica

1998 Secretarıa de Salud

http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html

http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html



Historia

”X-Ploit Team”: Solo queremos que nos escuchen, nocausar danos

La primera irrupcion de los “X-Ploit” –una traduccion podrıa ser“los incendiario”– se produjo el 4 de febrero de 1998, cuandodieron la bienvenida al recien designado secretario de Hacienda yCredito Publico, Jose Angel Gurrıa, quien en su anterior cargocomo canciller habıa afirmado que la de Chiapas era “una guerrade tinta e Internet”.La pagina presentaba varias fotografıas de Emiliano Zapata y lasiguiente leyenda:

“Nuestra afiliacion no es ninguna, no pertenecemos al EZLN, peroeste es nuestro derecho de libre expresion como mexicanos.”

http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM

http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM



Historia

Problematica Actual



Conceptos basicos




Conceptos basicos

Definiciones de seguridad

Sistema de Computo

Conjunto formado por la coleccion de hardware, software, mediosde almacenamiento, datos o informacion y personas involucradasen el conjunto.



Conceptos basicos

Activos de un sistema de computo



Conceptos basicos

Definiciones de seguridad II

Vulnerabilidad

Cualquier debilidad que puede explotarse para causar perdida odano al sistema.

El punto mas debil de seguridad de un sistema consiste en elpunto de mayor vulnerabilidad de ese sistema.

Amenaza

Cualquier circunstancia con el potencial suficiente para causarperdida o dano al sistema

Ejemplos: ataques humanos, desastres naturales, erroreshumanos inadvertidos, fallas internas del hardware o delsoftware, etc



Conceptos basicos

Numero de vulnerabilidades reportadas

http://www.cert.org/stats/

http://www.cert.org/stats/



Conceptos basicos

Definiciones de seguridad III

Preocupaciones o Contramedidas o Controles

Cualquier mecanismo que mitiga un riesgo potencial. Ya sea atraves de una correcta configuracion de software, algundispositivo fısico o cualquier procedimiento destinado a reducirla vulnerabilidad o que reduzca la probabilidad que unatacante sea capaz de explotar una vulnerabilidad.

Ejemplos:

Contrasenas robustas.

Mecanismos de control de acceso.

Antivirus



Conceptos basicos

Tipos de Controles

Controles AdministrativosAdministracion de responsabilidades necesarias para protegerlos activos.Controles Suaves. (Polıticas, procedimientos, guıas, estandares)

Controles Tecnicos.

Mecanismos logicos de proteccion.Software o Hardware

Controles FısicosDestinados a proteger las instalaciones y recursos internos.



Conceptos basicos

Tipos de Controles II



Conceptos basicos

Definiciones de seguridad IV

Riesgo

Probabilidad que la amenaza se convierta en un ataque real con elcorrespondiente dano potencial.

Compromiso de Seguridad

Cualquier forma posible de perdida o dano en un sistema decomputo.

comprometer la seguridad de un sistema equivale a la posibilidadde provocar perdida o dano al sistema.



Conceptos basicos

Definiciones de seguridad V

Atacante

Cualquier cualquier entidad que realiza un ataque. Puede ser:

Persona.

Proceso.

Dispositivo.



Conceptos basicos

¿Quien es un hacker?

hacker

sustantivo.

1 Se dice de quien goza averiguando los detalles de sistemas decomputo y como llevarlos a su lımite, en contraposicion a lamayorıa de los usuarios que prefieren solo aprender lonecesario.

2 Se dice de quien escribe programas en forma entusiasta ogoza programando en lugar de pensar en como programar.



Conceptos basicos

¿Quien es un intruso?

Intruso

Persona que intenta acceder a un sistema informatico sinautorizacion. adj. Que se ha introducido sin derecho.

Un cracker es una persona que intenta acceder a un sistemainformatico sin autorizacion.

Estas personas tienen a menudo malas intenciones, encontraste con los hackers, y pueden disponer de muchosmedios para introducirse en un sistema.

“If you’re a good hacker, everyone knows your name. If you’re agreat hacker, no one knows who you are”



Conceptos basicos

Nombres comunes para intrusos

HackerWhiteHat (Lucro/Fama/Investigacion)GreyHat (Lucro/Investigacion)BlackHat (Lucro/Diversion)

CrackerSoftware Cracker (Diversion/Respeto/Investigacion)Cracker (Diversion/Fama/Respeto)

Script Kiddie (Diversion/Fama/Respeto)

Lamer (Lame) (Diversion/Fama/Respeto)

Phreaker (Lucro/Fama/Diversion)

VXer (Autor o creador de virus informaticos.)Research Virus Developer (Lucro/Investigacion/Fama)(PoC Creator) AVX (Lucro/Diversion/Fama)Random Destruction Vxer (Diversion/Fama)Collector



Conceptos basicos

¿Quienes impactan al negocio?

Blackhats (Ahı estan y no los vemos).

Script Kiddies (Danos a la imagen corporativa anteaccionistas y consumidores).

Crackers (Perdida de informacion).

Random Destruction Vxers (Danos a las vıas decomunicacion, perdida de informacion, robo de informacion).

Amenazas no vivas (Spyware, Adware, SPAM, Phishing,Pharming y otros tipos de poisoning).

Y logicamente los verdaderos delincuentes:Personal Interno (con permisos) que roba o altera informacion.Personal Externo con fines de espionaje industrial (targeting)Ladrones.



Conceptos basicos

Relacion entre los diferentes conceptos de seguridad



Activos y Tipos de amenaza





Activos o recursos a proteger

Principales activos o recursos a proteger:

Hardware

Software

Datos

4 tipos de amenazas principales a los sistemas que explotan lasvulnerabilidades de los activos en el sistema

Interrupcion

Intercepcion

Modificacion

Fabricacion




Interrupcion

Definicion

Un activo del sistema se pierde, se hace no disponible o inutilizable.

Ejemplos:

Destruccion maliciosa de un dispositivo.

Borrado de un programa o de un archivo de datos.

Malfuncionamiento del manejador de archivos del sistemaoperativo que trajera como consecuencia que no se puedahallar un archivo particular en el disco duro.




Ejemplo Interrupcion:

Example

while :

do

sudo nemesis arp -D 192.168.1.65

-S 192.168.1.254

-H 00:01:02:03:04:05

done




Intercepcion

Definicion

Alguna parte no autorizada logra acceso a un activo del sistema.

Ejemplos:

Copiado ilıcito de programas o archivos de datos.

La intervencion del canal para obtener datos sobre la red.




Modificacion

Definicion

Cuando una parte no autorizada logra acceso al activo del sistemay puede manipular ese activo.

Ejemplos:

Cambiar datos en una base de datos.

Alterar un programa para que realice alguna computacionadicional o distinta a la que realiza

Modificar datos en una comunicacion, entre otras acciones.




Ejemplo: Fabricacion

Definicion

Una parte no autorizada puede fabricar objetos falsos en unsistema.

Ejemplos:

Insercion de transacciones espurias en un sistema decomunicacion en red.

Agregar registros a una base datos ya existente.





$ telnet gsmtp183.google.com 25

HELO gmail.com

MAIL FROM:<>

RCPT TO:<[email protected]>

DATA

Date: 16 Jun 08 13:31:33

From: Informes Centro Coapa

<[email protected]>

To: [email protected]

Subject: Aviso IMPORTANTE

Favor de comunicarse al telefono 55-55-5-5-55

.quit




Amenazas




Amenazas a Hardware, Software y Datos



Ataques comunes




Ataques comunes

Ataques reportados en el 2004

http://www.gocsi.com/




Ataques comunes






Ataques comunes

Evolucion de los ataques



Ataques comunes

Jinetes del Apocalipsis Electronico

1 Spam

2 Bugs

3 Negacion de servicio

4 Codigo malicioso



Ataques comunes

Spam

Definicion

Mensajes no solicitados, habitualmente de tipo publicitario,enviados en grandes cantidades (incluso masivas) que perjudicande alguna o varias maneras al receptor.

Tambien se llama spam a los virus sueltos en la red y paginasfiltradas (casino, sorteos, premios, viajes y pornografıa), se activamediante el ingreso a paginas de comunidades o grupos o accedera links en diversas paginas.http://es.wikipedia.org/wiki/Spam

http://es.wikipedia.org/wiki/Spam



Ataques comunes

Bugs

Definicion

Es el resultado de un fallo o deficiencia durante el proceso decreacion de programas (software).

En 1947, los creadores deMark II informaron del primercaso de error en un ordenadorcausado por un bicho.

http://es.wikipedia.org/wiki/Error_de_software

http://es.wikipedia.org/wiki/Error_de_software



Ataques comunes

Negacion de Servicio

Definicion

Ataque a un sistema de computadoras o red que causa que unservicio o recurso sea inaccesible a los usuarios legıtimos.Normalmente provoca la perdida de la conectividad de la red por elconsumo del ancho de banda de la red de la vıctima o sobrecargade los recursos computacionales del sistema de la vıctima.

Se genera mediante la saturacion de los puertos con flujo deinformacion, haciendo que el servidor se sobrecargue y no puedaseguir prestando servicios, por eso se le dice ”denegacion”, pueshace que el servidor no de abasto a la cantidad de usuarios. Estatecnica es usada por los llamados crackers para dejar fuera deservicio a servidores objetivo.



Ataques comunes

Negacion de Servicio (DoS)

Tipos:TCP

SYNACKNULL

ICMPUDP

Randomized SRC IP:

Full 32 bitsSubnet /24

Examples: trinoo, tfn2k, stacheldraht, mstream, etc.



Ataques comunes

Codigo Malicioso

Definicion

Es un software que tiene como objetivo infiltrarse en el sistema ydanar la computadora sin el conocimiento de su dueno, confinalidades muy diversas, ya que en esta categorıa encontramosdesde un troyano a un spyware.



Ataques comunes

Tipos de Malware

VIRUSMACROVIRUSBOMBAS LOGICASTROYANOSBACKDOORSPOLIMORFISMO/METAMORFISMOVIRUS DE BOOTSECTORWORMS (I-worms, p2p, @mm)OCTOPUS / RABBITSCOMPANION HYDRASTSRSCRIPTPLATAFORMAS EXTRANASProgramas peligrosos

ROOTKITSSPYWARE/ADWAREVGEN, DROPPERS, DIALERS, . . .



Ataques comunes

Worm

Definicion

Agente infeccioso capaz de autoduplicarse de manera autonoma,capaz de buscar nuevos sistemas e infectarlos a traves de la red.



Ataques comunes

Ejemplo de gusano: Sapphire/Slammer Worm

http://www.caida.org/publications/papers/2003/sapphire/sapphire.html

http://www.caida.org/publications/papers/2003/sapphire/sapphire.html



Ataques comunes

Vulnerability-Exploit Cycle

1 Vulnerability birth

2 Vulnerability discovery

3 Vulnerability disclosure

4 Vulnerability Correction / Release of a fix

5 Exploit Creation and Publication

6 Manual Exploit Use in the Wild

7 Exploit Scripting and Automation

8 Exploit Death

9 Automated Propagation Mitigation



Ataques comunes

Top 10 Malware

http://www.sophos.com/security/top-10/

http://www.sophos.com/security/top-10/



Ataques comunes

¿De donde viene el malware?

http://www.stopbadware.org/home/reports

http://www.stopbadware.org/home/reports



Ataques comunes

Antivirus Magic Quadrant Balancer

http://mediaproducts.gartner.com/reprints/microsoft/vol8/article3and4/article3and4.html

http://mediaproducts.gartner.com/reprints/microsoft/vol8/article3and4/article3and4.html



Estandares de seguridad





¿Que es ISO 17799?

Definicion

El objetivo de la norma ISO 17799 es proporcionar una basecomun para desarrollar normas de seguridad dentro de lasorganizaciones y ser una practica eficaz de la administracion de laseguridad.




Antecedentes

En 1995 el British Standard Institute publica la normaBS7799, un codigo de buenas practicas para la administracionde la seguridad de la informacion.

En 1998, tambien el BSI publica la norma BS7799-2,especificaciones para los sistemas de administracion de laseguridad de la informacion; se revisa en 2002.Tras una revision de ambas partes de BS7799(1999), laprimera es adoptada como norma ISO en 2000 y denominadaISO/IEC 17799:

Conjunto completo de controles que conforman las buenaspracticas de seguridad de la informacion.Aplicable por toda organizacion, con independencia de sutamano.Flexible e independiente de cualquier solucion de seguridadconcreta: recomendaciones neutrales con respecto a latecnologıa.




Tipos de seguridad

La norma UNE-ISO/IEC 17799 establece diez dominios decontrol que cubren por completo la Administracion de laSeguridad de la Informacion:




Payment Card Industry Data Security Standard I

El marco PCI DSS esta dividido en 12 requerimientos de seguridad(VISA se refiere a ellos como la ’Docena Digital’ o digital dozen)que estan organizados en las siguientes seis categorıas:

1 Crear y mantener una red segura

Requerimiento 1: Instalar y mantener un firewall paraproteger la informacion de titulares de tarjetasRequerimiento 2: No utilizar las contrasenas ni otrosparametros de seguridad predefinidos por el fabricante delsistema

2 Proteger la informacion de los titulares de tarjetas

Requerimiento 3: Proteger la informacion almacenada detitulares de tarjetasRequerimiento 4: Cifrar la transmision de informacion detitulares de tarjetas a traves de redes abiertas, publicas

3 Mantener un programa de administracion de vulnerabilidad




Payment Card Industry Data Security Standard II

Requerimiento 5: Utilizar y actualizar regularmente elsoftware o las aplicaciones anti-virusRequerimiento 6: Desarrollar y mantener sistemas yaplicaciones seguros

4 Implementar fuertes medidas de control de acceso

Requerimiento 7: Restringir el acceso a la informacion detitulares de tarjetas segun la necesidadde-saberRequerimiento 8: Asignar un ID unico a cada persona conacceso a ordenadoresRequerimiento 9: Restringir el acceso fısico a la informacionde titulares de tarjetas

5 Monitorizar y testear regularmente las redes

Requerimiento 10: Rastrear y monitorizar todo acceso a losrecursos de red y a la informacion de titulares de tarjetasRequerimiento 11: Testear regularmente la seguridad de lossistemas y procesos




Payment Card Industry Data Security Standard III

6 Mantener una directiva de seguridad de la informacion

Requerimiento 12: Mantener una directiva que dirija laseguridad de la informacion para empleados y contratistas


Referencias bibliograficas

Referencias bibliograficas I

C. Wilson.Computer Attack and Cyberterrorism: Vulnerabilities andPolicy Issues for Congress.CRS Report for Congress, 2005.

E. Spafford.Seguridad Practica en Unix e Internet.

W. PrestonBackup & Recovery.O’Reilly, 2006.Seguridad Practica en Unix e Internet.


Referencias bibliograficas

Referencias bibliograficas II

K. O’SheaExamining the RPC DCOM Vulnerability: Developing aVulnerability-Exploit Cycle.SANS.

Samuel GreengardSeis errores de seguridad de TI comunes y metodos paraevitarloshttp://www.microsoft.com/business/smb/es-mx/

seguridad/evitar-errores-de-ti-comunes.mspx

http://www.microsoft.com/business/smb/es-mx/seguridad/evitar-errores-de-ti-comunes.mspx

http://www.microsoft.com/business/smb/es-mx/seguridad/evitar-errores-de-ti-comunes.mspx

0. introducci on a la seguridad inform aticaseguridad.capacitacionentics.com/...informatica2... ·...

Documents