introducción a la seguridad informáticacryptomex.org › slidesseguridad ›...

Seguridad Informática

Introducción a la Seguridad Informática 1

Dr. Roberto Gómez

Lámina 1 Dr. Roberto Gómez

Introducción a la Seguridad Informática

Roberto Gómez Cá[email protected]

http://webdia.cem.itesm.mx/ac/rogomez


Seguridad Computacional

El conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema.

Disponibilidad

Integridad Confidencialidad



Dr. Roberto Gómez


La seguridad involucra3 dimensiones (no sólo una)

Gente

Procesos

Infraestructura

Diseñar pensando en la seguridad

Roles y responsabilidades

Auditar dar seguimientos y rastrearMantenerse al día con el desarrollo de seguridad

Falta de conocimiento

Falta de comrpomisoFalla humana

Los productos no cuentan con funciones de seguridadDemasiado difícil mantenerse al día

Muchos problemas no se ven abordados por estándares técnicos (BS 7779)

Los productos tienen problemas


Activos de informacion

• Cualquier recurso de SW, HW, Datos, Administrativo, Físico, de Personal de Comunicaciones, etc.

• Activos intangibles– Imagen, propiedad intelectual, etc

• Ejemplos– Servidores– Bases de Datos– Redes– Usuarios– Aplicaciones– Sistemas Operativos– Dinero– Información– etc



Dr. Roberto Gómez


Amenaza

• Circunstancia o evento que puede causar daño violando la confidencialidad, integridad o disponibilidad

• El daño es una forma de destrucción, revelación o modificación de datos.

• Frecuentemente aprovecha una vulnerabilidad


La amenaza

• Fuentes de la amenaza– Naturales

– Ambientales

– Humanas• Accidentales

• Deliberadas

• Algunos ejemplos– Naturales:

• Terremotos que destruyan el centro de cómputo.

– Humanos• Fraude realizado al

modificar los saldos de cuentas por cobrar.

– Software• Cambios no autorizados

al sistema que realicen cálculos incorrectos.



Dr. Roberto Gómez


Vulnerabilidad

• Falta y/o Debilidad o falla de seguridad• Indica que el activo es susceptible a recibir un daño a

través de un ataque.• La debilidad puede originarse en el diseño, la

implementación o en los procedimientos para operar y administrar el sistema.

• En el argot de la seguridad computacional una vulnerabilidad también es conocida como un hoyo.


Ejemplos vulnerabilidades

• Cuentas de usuarios sin contraseña.

• El personal externo no registra su entrada y salida a las instalaciones.

• Falta de lineamientos para la construcción de contraseñas.

• No contar con un plan de recuperación de desastres



Dr. Roberto Gómez


Tiempo vida vulnerabilidad


Protecciones

Protecciones

Vulnerabilidad

Vulnerabilidad

ActivosDatos

InstalacionesHardware/Software

Source:An Introduction to Computer SecurityThe NIST HandbookNIST- SerialPublication 800-12

Vulnerabilidad vs amenaza



Dr. Roberto Gómez


El exploit

• Se refiere a la forma de explotar una vulnerabilidad– termino muy enfocado a herramientas de ataque,

sobre equipos de computo).

• Aprovechamiento automático de unavulnerabilidad– generalmente en forma de un programa/software

que realiza de forma automática un ataqueaprovechandose de una vulnerabilidad


Ataque informático

• Es la consumación de una amenaza

• No es un ataque físico (aunque puede ser).

• Un ataque no se realiza en un solo paso.

• Depende de los objetivos del atacante.

• Puede consistir de varios pasos antes de llegar a su objetivo.



Dr. Roberto Gómez


Ataques Pasivos.Ataques Pasivos.

Ataques Activos.Ataques Activos.

Tipos de Ataques (1)


Tipos ataques activos

• Suplantación de identidad.– intruso se hace pasar por una entidad diferente,

normalmente incluye alguna de las otras formas de ataque activo.

• Reactuación. – uno o varios mensajes legítimos son capturados y repetidos

para producir un efecto no deseado,

• Modificación de mensajes. – una porción del mensaje legítimo es alterada, o los

mensajes son retardados o reordenados,

• Degradación del servicio. – impide o inhibe el uso normal o la gestión de recursos

informáticos y de comunicaciones.



Dr. Roberto Gómez


Ejemplos Ataques

• Virus

• Caballo de Troya

• Gusanos (Worms)

• Bugs

• Trapdoors

• Stack overflow

• Pepena

• Bombas lógicas

• Secuestro sesiones

• Dedos inexpertos

• Falsificación

• Usurpación

• Sniffers

• Spoofing

• Spam

• Grafiti

• Ingeniería Social

• Negación de servicio


Riesgo

• Probabilidad / posibilidad de que un evento desfavorable ocurra.

• Tiene un impacto negativo si se materializa.

• A notar: que si no hay incertidumbre, no hay un riesgo per se.

• Ejemplos riesgos– Alto

– Medio

– Bajo

– 327,782 USD



Dr. Roberto Gómez


Impacto

• Es la “materialización” de un riesgo.

• Una medida del grado de daño o cambio.

• Ejemplos– Retraso en la ejecución y conclusión de

actividades de negocio.

– Perdida de oportunidad y efectividad en la operación.

– Falta de credibilidad frente a clientes.

– Divulgación de información confidencial.


Control

• Es una medida o mecanismo para mitigar un riesgo.

• Es un mecanismo establecido para prevenir, detectar y reaccionar ante un evento de seguridad.

• Ejemplos– Desarrollo de políticas y procedimientos de uso de

contraseñas.

– Desarrollo e implantación de un programa de concientización.

– Implementación de un plan de recuperación de desastres



Dr. Roberto Gómez


En Resumen...

X

Vulnerabilidad

Nivel de Vulnerabilidad

Debilidad Control

RiesgoAmenaza


En Resumen...

Amenaza Riesgo

X

Debilidad Control

Vulnerabilidad

Nivel de Vulnerabilidad

No existe un procedimiento de control de cambios en Sistemas Operativos.

• Falta de parches de seguridad.

• Huecos de seguridad por configuraciones erróneas.

ALTO• No ejecución del proceso de negocio.

• Pérdida de la confidencialidad de la información del negocio.

• Modificación no autorizada de la información del negocio.

•Alto

•Medio

•Bajo



Dr. Roberto Gómez


Entonces, ¿de que se trata?


La estrategía es un ciclo

análisis

mecanismos

políticasSEGURIDADSEGURIDADevaluación



Dr. Roberto Gómez


Asegurando el sistema

• Objetivo– minimizar los riesgos potenciales de seguridad

• Análisis de riesgos– análisis amenazas potenciales que se pueden sufrir,– las pérdidas que se pueden generar– y la probabilidad de su ocurrencia

• Diseño política de seguridad– definir responsabilidades y reglas a seguir para evitartales

amenazas o – minimizar sus efectos en caso de que se produzcan

• Implementación– usar mecanismos de seguridad para implementar lo anterior


Determinación del nivel de riesgo

• Identificar las amenazas

• Que tan probable es que ocurran

• Dos formas de evaluar probabilidad e impacto– Establecer la probabilidad sin considerar los

controles existentes

– Examinar el nivel de riesgo tomando en cuenta los controles existentes

– Probabilidad: alta, media, baja



Dr. Roberto Gómez


Matriz del nivel de riesgo

BajoModerado

BajoModerado

AltoBAJO

Moderado Bajo

Moderado Alto

AltoMEDIO

Moderado Medio

AltoAltoALTO

BAJOMEDIOALTO

Alto: una acción correctiva debe ser implementadaModerado alto: una acción correctiva debería ser implementadaModerado bajo: se requiere acciones de monitoreoBajo; no se requiere ninguna acción en este momento

IMPACTOPROBABILIDAD


¿Y que se hace con el riesgo?

• Etapa conocida como manejo o administración del riesgo– Risk Management

• Alternativas– Tolerar el riesgo: no se implementan controles– Transferir el riesgo: se transfiere el riesgo a un

tercero– Mitigar el riesgo: se implementan controles

• El costo de los controles debe ser analizado y evaluado detalladamente



Dr. Roberto Gómez


Análisis costo/beneficio

1. Identificación costo posibles pérdidas (L)

Identificar amenazas

2. Determinar susceptibilidad.La probabilidad de pérdida (P)

3. Identificar posibles acciones (gasto) y sus implicaciones. (B)Seleccionar acciones a implementar.

¿ B ≤ P∗L ?

Se cierra

el ciclo


Política de Seguridad

• Especifica las características de seguridad que un sistema debe observar y proveer– conjunto de reglas que deben respetarse para mantener la

seguridad de la información.

• Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse

• Depende de los objetivos y metas de la organización.

• Generalmente es expresada en un lenguaje o idioma.

• Típicamente establecida en términos de sujetos y objetos.



Dr. Roberto Gómez


Objetos y Sujetos

• Un objeto es todo recurso “pasivo” del sistema. Por ejemplo, la información, un archivo, el código de un programa, un dispositivo de red, etc.

• Un sujeto es toda entidad “activa” en el sistema. Por ejemplo, un usuario, un programa en ejecución, un proceso, etc.


Paradigmas

• Paranoico: Nada está permitido.

• Prudente: Lo que no está expresamente permitido, está prohibido.

• Permisivo: Lo que no está expresamente prohibido, está permitido.

• Promiscuo: Todo está permitido.



Dr. Roberto Gómez


Tipos políticas de seguridad

• Políticas administrativas– Procedimientos administrativos.

• Políticas de control de acceso– Privilegios de acceso del usuario o programa.– Política de menor privilegio

• Políticas de flujo de información– Normas bajo la cuales se comunican los sujetos dentro del

sistema.– La información a la que se accede, se envía y recibe por:

• ¿Canales claros o canales ocultos? ¿Seguros o no?

– ¿Qué es lo que hay que potenciar?• ¿La confidencialidad o la integridad?• ¿La disponibilidad?


Ejemplo de Política(en lenguaje natural)

• Sólo se permitirá el intercambio de correo electrónico con redes de confianza.

• Toda adquisición de software a través de la red debe ser autorizada por el administrador de seguridad.

• Debe impedirse la inicialización de los equipos mediante disco.



Dr. Roberto Gómez


Propietarios, custodio y usuario

• Propietario– Responsable por definir los niveles y estrategias de

protección de la información.

• Custodio– Responsable por el cumplimiento de las directrices de

uso y acceso a la información. Así como conocer y participar en las estrategias de contingencia y recuperación de la misma

• Usuario– Responsable por hacer un uso adecuado y tener acceso

autorizado a la información.


Mecanismos de seguridad

• Son la parte más visible de un sistema de seguridad.

• Se convierten en la herramienta básica paragarantizar la protección de los sistemas o de la propia red.

• Se dividen en:– prevención

– detección

– recuperación

Estrategias de protecciónEvitaciónPrevenciónDetecciónRecuperación



Dr. Roberto Gómez


Evitación

• No exponer activos a amenazas.

• Organizar las tareas de modo de evitar amenazas.

• Definición y uso de áreas y/o equipos restringidos o aislados.


Prevención

• Incluye funciones de seguridad en hardware y software.

• Debe incluir la definición y observancia de políticas de seguridad.

• Incluye controles administrativos.

• Es la estrategia más ampliamente usada.



Dr. Roberto Gómez


Mecanismos prevención

• Aumentan la seguridad de un sistema durante el funcionamiento normal de éste.

• Previenen la ocurrencia de violaciones a la seguridad

• Ejemplos mecanismos:– encripción durante la transmisión

de datos– passwords difíciles– firewalls– biométricos


Mecanismos prevención máshabituales

• Mecanismos de autenticación

• Mecanismos de control de acceso

• Mecanismos de separación

• Mecanismos de seguridad en lascomunicaciones



Dr. Roberto Gómez


Mecanismos autenticación

• Clasificación– Basados en algo que se sabe – Basados en algo que se es– Basadas en algo que se tiene

• Posible combinar los métodos– autenticación de dos factores

• basado en algo que se sabe y algo que se es• basado en algo que se sabe y algo que se tiene• basado en algo que se es y algo que se tiene• basado en algo que se es y algo que se sabe• otras combinaciones

– autenticación de tres factores• basado en algo que se es, algo se sabe y algo que se tiene


Basados en algo que se tiene

• Usar un objeto físico que llevan consigo y que de alguna forma comprueba la identidad del portador.

• Las tarjetas de acceso son las prendas típicas

• Cada tarjeta tiene un número único.

• El sistema tiene una lista de las tarjetas autorizadas.



Dr. Roberto Gómez


Arquitectura Tarjeta Inteligente

CPU RAM ROM

SecurityBlock

Input/Output

PersistentMemory

8 bits (6805), 16 bits and32 bits RISC (ARM 7)

128 Bytes to1 KB

2KB to 64 KB

Maximum 64 KB


Problemas de este mecanismo

• El objeto no prueba quien es la persona. – Cualquiera que tenga la tarjeta puede entrar al

área restringida.

• Si una persona pierde su objeto no podraentrar al área restringida aunque no haya cambiado su identidad.

• Algunas prendas pueden ser copiadas o falsificadas con facilidad.



Dr. Roberto Gómez


Basados en algo que se es

• Se realiza una medición física y se compara con un perfil almacenado con anterioridad,– técnica conocida como biométrica,

– se basa en la medición de algún rasgo de una persona viva.

• Existen dos formas para usar biometricos:– comparar las medidas de un individuo con un perfil

específico almacenado.

– buscar un perfil en particular en una gran base de datos.


El proceso biométrico

Registro

Identificación

SensorBiométrico

Extractorcaracterística

Base datos template

SensorBiométrico

Extractor característica

Comparacióncaracterística



Dr. Roberto Gómez


Características biométrico ideal

• Universal– toda persona posee la característica

• Único– dos personas no comparten la característica

• Permanente– la característica no debe cambiar o alterarse

• Colectable (collectable)– característica es realmente presentable a un

sensor y es fácilmente cuantificable.


Sistemas biométricos prácticos

• Desempeño– robustez, requerimientos de recursos, y factores

operacionales o de ambiente que afectan su confiabilidad y velocidad

• Aceptación– personas dispuestas a aceptar un identificador biométrico

en su vida diaria.

• Confiablidad– que tan fácil es engañar al sistema, a través de métodos

fraudulentos



Dr. Roberto Gómez


Tecnologías Biométricas

• Imágenes faciales

• Geometría mano

• Métodos basados en el ojo

• Firmas

• Voz

• Geometría de la vena

• Imágenes palma y dedos


Comparación

Biometrico Universal Unico Permanente Colectable Desempe ño Aceptación ConfiabilidadCara alta baja media alta baja baja bajoHuella digital media alta alta media alta media altoGometria Mano media media media alta media media mediaIris alta alta alta media alta baja altaScan retina alta alta media baja alta baja altaFirma baja baja baja alta baja alta bajaImpresión voz media baja baja media baja alta bajaF. Termográfico alta alta baja alta media alta alta



Dr. Roberto Gómez


Mecanismos de control de acceso

• La autenticación pretende establecer quién eres.• La autorización (o control de accesos) establece qué

puedes hacer con el sistema.• Dos modelos: DAC y MAC• Control de acceso discrecional (DAC),

– un usuario bien identificado (típicamente, el creador o'propietario' del recurso) decide cómo protegerloestableciendo cómo compartirlo, mediante controles deacceso impuestos por el sistema.

• Control acceso mandatorio (MAC)– es el sistema quién protege los recursos. – todo recurso del sistema, y todo usuario tiene una etiqueta de

seguridad.


Mecanismos de separación

• Definición de un perímetro de seguridad• Definir las zonas “abiertas” y las zonas

cerradas.– DMZ: Zona desmilitarizada

• Mecanismos que sirven para delimitar una frontera– Filtros de paquetes– Firewalls– Wrappers– Proxies



Dr. Roberto Gómez


Ejemplo separación

INTERNET


Mecanismos seguridad en las comunicaciones

• Seguridad en la transmisión de información entre las diferentes entidades.

• Objetivos– Confidencialidad de la información transmitida– Integridad de los datos entre las diferentes

entidades– Autenticidad de las partes comunicantes y de la

información transmitida

• Herramientas– Criptografía: VPNs



Dr. Roberto Gómez


Detección

• Busca descubrir incidentes al momento en que ocurren o lo antes posible.

• Debe permitir detectar eventos para reducir el daño.

• Permite identificar y perseguir culpables.

• Revela vulnerabilidades.


Mecanismos detección

• Son aquellos que se utilizan para detectarviolaciones de la seguridad o intentos de violación.

• Ejemplos de estos mecanismos– IDS

• Tripwire• Snort

– Detectores de vulnerabilidades• Nessus• ISS



Dr. Roberto Gómez


Mecanismos de recuperación

• Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste sufuncionamiento correcto.

• Ejemplos– respaldos– redundancia– bitácoras– BCP– DRP

• Subgrupo– mecanismos de

análisis forense

Bueno, Gracias al Cielo salimos a tiempo . . . Y Ahora Qué? . . .


Los respaldos

• Es una copia de los datos escrita en cinta u otro medio de almacenamiento duradero.

• De manera rutinaria se recuerda a los usuarios de computadoras que respalden su trabajo con frecuencia.

• Los administradores de sitios pueden tener la responsabilidad de respaldar docenas o incluso cientos de máquinas



Dr. Roberto Gómez


Accountabilty: loggin: bitácoras

• Se refiere al procedimiento a través del cual un sistema operativo registra eventos conforme van ocurriendo y los preserva para un uso posterior.

• Es posible configurar los sistemas de tal forma que los eventos:– se escriban en uno o en distintos archivos, – se envien a través de la red a otra computadora,– se transmitan a algún dipositivo.

• Algunos comandos en linux– lastlog– last


Planes de contingencia

• Consiste en un análisis pormenorizado de las áreas que componen una organización para establecer una política de recuperación ante un desastre.– es un conjunto de datos estratégicos de la empresa y que se

plasma en un documento con el fin de protegerse ante eventualidades.

• Además de aumentar su seguridad la empresa también gana en el conocimiento de fortalezas y debilidades.

• Si no lo hace, se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan.



Dr. Roberto Gómez


DRP y BCP

• DRP (Disaster Recovery Planning)– recuperar la operación de los servicios computacionales y de

telecomunicaciones después de un desastre

– desastre es un evento no planeado que ocasiona la “no disponibilidad” de los servicios informáticos por un periodo de tiempo tal que, para restablecer estos servicios, es necesario utilizar facilidades alternas de cómputo y telecomunicaciones en otra localidad

• BCP (Business Continuity Planning)– capacidad para mantener la continuidad de las operaciones– dirigido a situaciones catastróficas (no problemas rutinarios)


El computo forense

• Se refiere al proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal

• ¿Que clase de evidencia ?– la computadora involucrada de forma directa.

– la computadora involucrada de forma indirecta.

• Meta: reconstrucción de eventos pasados– reconstruir que pasó, que lo ocasionó y deslindar

responsabilidades



Dr. Roberto Gómez


Clasificación mecanismos seguridad

Mecanismosde seguridad

prevención

detección

recuperación

autenticación

control acceso

separación

seguridad comunicaciones

IDSscanner vulnerabilidades

en lo que se sabeen lo que se tieneen lo que es

discrecionalmandatorio

filtrosfirewallwrappersproxies

respaldosredundanciabitácorasBCPDRPanálisis forense


Algunos principios de Seguridad

• Propuestos por la OECD en 1992

• Entre los más importantes encontramos– Accountability (Responsabilidad / Rendición de

Cuentas)

– Awareness (Sensibilización)



Dr. Roberto Gómez


Accountability

• Propiedad que asegura que las acciones de unaentidad deben llevar unicamente a dicha entidad (ISO 7498-2)

• La propiedad que habilita actividades en un sistemaADP que conducen (trace) a individuos que pueden ser declarados responsablesde dichas actividades(DOE 5636.2A)


Awareness (Sensibilización)

• Todas las partes deben poder conocer las medidas de seguridad, practicas y procedimientos.

• Una motivación para este principio es forzar la confianza en los sistemas de información.



Dr. Roberto Gómez


Servicios propuestos por OSI

• Autentificación.– autenticación del cliente– autenticación del servidor

• Control de Acceso– se aplica a los usuarios y procesos que ya

han sido autentificados

• Confidencialidad.– principal mecanismo: criptologia

• Integridad de Datos– CRCs y huellas digitales.

• No Repudiación.

Norma 7498-2


No Repudiación.

• Permite comprobar las acciones realizadas por el origen o destino de los datos.– con prueba de origen.

– con prueba de entrega.

• Los mecanismos principales son los certificados y las firmas digitales.

• Dos objetivos, garantizar:– que alguien que haya recibido

un pago no pueda negar este hecho.

– que alguien que haya efectuado un pago no pueda negar haberlo hecho.



Dr. Roberto Gómez


AAA

Authentication, authorization, y accounting


La AAA

• Authentication, authorization, y accounting – consiste de un framewok que proporciona los tres

servicios

• El objetivo del grupo de trabajo AAA es definir un protocolo que implemente autenticación, autorización y accounting lo suficientementegeneral para ser usado en aplicaciones diferentes.

• Definición de la arquitectura– de Laat, C. & Gross, G. & Gommans, L. & Vollbrecht, J.

& Spence, C., Generic AAA architecture, Internet Draft (work in progress), January 2000.



Dr. Roberto Gómez


Esquema general

Autenticación Autorización Accountability

proporcionar un métodopara identificar un usuario.

p.e. login/password

autorización para llevar a cabo ciertas

tareas

mide y/o almacena losrecursos que un usuario

consume durante su acceso

Servidor AAA


Evaluación

• Como evaluar que un sistema es seguro o no

• Tres mecanismos– la auditoría de seguridad (security audit),

– la evaluación de la seguridad (securityassessment)

– las pruebas de penetración (penetration testing o PEN TEST).



Dr. Roberto Gómez


Auditoría

• Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional (Ray Kaplan)

• Auditores limitan el alcance y no incluyen detalles técnicos de bajo nivel: – fallas en protocolos de comunicación.

• Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas.

• Generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité


Evaluación Seguridad Informática

• Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización.

• Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías.

• Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspiciode un comité ad-hoc conformado por personal de la organización, más que por auditores certificados.



Dr. Roberto Gómez


Pruebas de penetración

• Se encuentran involucrados expertos en tecnología o profesionales certificados en seguridad informática

• Reportan a comité seleccionado por la organización• Pretende demostrar que una infraestructura es

vulnerable, penetrando en ella a través de ataques controlados desde dentro o fuera de la organización.

• Se pretende simular las actividades de un atacante, buscando medios para evadir los controles e identificar y aprovechar puntos débiles.


Pruebas de penetración

• Pueden ser prácticas formales o informales

• Informales– orientadas por objetivos técnicos de la infraestructura de

comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura.

• Formales – están orientadas a verificar debilidades en las políticas de

seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización.



Dr. Roberto Gómez


Metodologías

• El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la lleva a cabo, es bueno apoyarse en una metodología

• Ejemplos metodologías– Wardoc . Rhino9 y Neonsurge

• Recopilación de información (NetBIOS e IIS)• Penetración (NetBIOS e IIS)

– NIST 800-42 (Guía para evaluar la seguridad en red)• Planeación• Descubrimiento• Ataque (nuevamente descubrimiento)• Reporte (análisis causas raíz)


La metodología OSSTMM

• Open Source Security Testing Methodology Manual– Autor: Pete Herzog

• Metodología dividida en secciones, módulos y tareas.• Mapa de Seguridad (6 secciones)

– Seguridad de la Información– Seguridad de los Procesos– Seguridad de las Tecnologías de Internet– Seguridad de las Comunicaciones– Seguridad Inalámbrica– Seguridad Física

• Base: Valores de Evaluación de Riesgos– solo aplicación efectiva de los controles y no solo su existencia.

• Cada sección se compone de varios módulos y estos a su vez de tareas.



Dr. Roberto Gómez


Otras metodologías

• Breaking into computer networks form the Internet, Roelof Temming (sensepost)

• An approach to systematic network auditing -Mixter (TFN)

• Impoving the security of your site by breaking into it . Dan Farme y Wietse Venema

• Managing a Network Vulnerability Assessment . Peltier y Blackley

• Hack I.T. . T.J. Klevinsky

• Hacking Exposed . McClure, Scambray, Kurtz


Reporte prueba penetración

• Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones.

• Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en lasconfiguraciones del hardware para ingresarde manera no autorizada al perímetro de comunicaciones de la empresa



Dr. Roberto Gómez


Ejemplos resultados Nessus


¿Cuál de las tres usar?



Dr. Roberto Gómez


Los protagonistas

hackers, crackers y ...


Los protagonistas

• Los hackers

• Los crackers

• Los phreakers

• Los script kidies



Dr. Roberto Gómez


El Hacker: La Vieja Guardia

• Origen del término a finales de los 60.

• Programador con alto dominio de su profesión, capaz de solucionar problemas a través de hacks(segmentos de código muy ingenioso).

• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones (85-93).

• La búsqueda del conocimiento siempre fue su fuerza impulsora.


Este mundo es nuestro ... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya existente, sin pagar por eso que podría haber sido más barato si no fuese por esos devoradores de beneficios. Y nos llaman delincuentes. Exploramos... y nos llaman delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y ustedes nos llaman delincuentes. Construyen bombas atómicas, hacen la guerra, asesinan, estafan al país y nos mienten tratando de hacernos creer que son buenos, y aún nos tratan de delincuentes. Si, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es sermás inteligente que ustedes, algo que nunca me perdonarán.

The Mentor



Dr. Roberto Gómez


The Mentor


El cracker

• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales.

• Una vez logrado el acceso produce daños a los recursos del sistema atacado.

• No necesariamente tiene el mismo nivel de conocimientos que el hacker.



Dr. Roberto Gómez


Los phreakers

• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas telefónicos privados.

• Una vez logrado el acceso produce daños a los recursos del sistema atacado, o se beneficia del mismo.


El Hacker: la nueva generación o los ¨Script-kidies¨

• Gente con la capacidad de buscar un programa en la red y ejecutarlo.

• No hay una meta fija.• Necesidad de pertenencia, aunque sea al

inframundo.• No hay preocupación por las consecuencias

reales de sus actos.• Se sienten muy ¨cool¨.



Dr. Roberto Gómez


External Threats: Hacker Tool ExplosionRecent Web Search for “Hacker Tools” returned over 2100 hits

1980 1985 1990 1995 2000

Password Guessing

Disabling Audits

Backdoors & Trojan Horses

Hijacking Sessions

Password Crackers

Packet SniffersStealth Diagnostics

Tools with GUIs

OS DetectorsPort Scanners

Vulnerability Scanners

Distributed Denial of Service Attacks

Packet Spoofing

HIGH

LOW

Sophistication ofAttacker Tools

Required Knowledgeand Ability of Attackers

I get scanned dozens of times everyday. Less than 20% of those scans are US based

ISS User


Los Lammers

• Individuo sin muchos conocimientos, aunque un poco más elevados que los mortales, pero claramente inferiores a los de un hacker.

• Se hacen pasar por hackers

• Termino bastante despectivo

• Se les reconoce por su costumbre de presumir en los chats de conocimientos, normalmente técnicas que aunque al conjunto de los usuarios puedan parecer asombrosas, son más viejas que el arca de Noé y su uso no implica conocimientos de alto nivel.



Dr. Roberto Gómez


Algunos intentos de sofisticación

• Escribir con k– “kasi” da pena al leerlos

• Escribir minúsculas y mayúsculas– EsTo TiPo De TiPoGrAfIa Ya No EsTa De

MoDa Y yA nO sE uSa

• Lenguaje “elite”– sustituir letras por números

– 3ST0 S3RI4 UN 3J3MPLO D3 DICH0 L3NGU4J3


Newbies

• Joven usuario que está comenzando y decide aprender siguiendo las reglas sin romper nada.

• No son peligrosos porque prefieren asesorarse y normalmente acaban siendo hackers

• En cierto modo un newbie es un “aprendiz” de un hacker.

Una madrecitaAprendiendo a“Hackear”.



Dr. Roberto Gómez


El Hacker: ¿cómo lo ven el resto de los usuarios?

• ¿Qué es eso?

• Eso pasa solo en las películas.

• Así como los de ¨The Net¨

• Yo soy hacker.

• Yo apenas sé como se usa una computadora.

• Bill Gates se va a encargar de ellos.


El hall de la fama de los hackers

www.discovery.com/area/technology/hackers/hackers.html

X



Dr. Roberto Gómez


¿Qué hicieron?

• Kevin Poulsen– In 1990 Poulsen took over all telephone lines going into Los

Angeles area radio station KIIS-FM to win a call-in contest.

• Johan Helsingius– Operated the world's most popular anonymous remailer, called

penet.fi, until he closed up shop in September 1996.

• Phiber Optik (Mark Abene)– Inspired thousands of teenagers around the country to "study" the

internal workings of our nation's phone system.

• Cap Crunch (John Draper)– Figured out how to make free phone calls using a plasticprize

whistle he found in a cereal box.


El hacker Kevin Mitnick



Dr. Roberto Gómez


Algunos otros

• Steve Wozniak

• Tsutomu Shimomura

• Linus Torvalds


¿Que motiva a un hacker?

• Hacktivists

• State sponsored

• Industrial Espionage



Dr. Roberto Gómez



Aficionados al deporte...



Dr. Roberto Gómez


La revancha ...




Dr. Roberto Gómez


Defaced pages

• Primero fue attrition– http://www.attrition.org

• Después fue alldas– http://defaced.alldas.de/

• Ahora es: – http://www.zone-h.org/defacements/onhold


One of the most predominant sections of Attrition has been t he defacement mirror. Whatbegan as a small collection of web site defacement mirror s soon turned into a near 24/7 chore of keeping it up to date. In the last month, we have e xperienced single days ofmirroring over 100 defaced web sites, over three times t he total for 1995 and 1996 combined. With the rapid increase in web defacement activity, ther e are times when it requires oneof us to take mirrors for four or five hours straight to catch u p. Add to that the scriptsand utilities needed to keep the mirror updated, statistic s generated, mail lists maintained, and the time required for basic functionality is immense. A "hobby" is supposed to be enjoyable. Maintaining the mirror is becoming a thankles s chore.

During this time, we have struggled to keep up various othe r sections of Attrition thathave been a core part of the site. As the mirror grew and beg an to consume more resources, the other sections have found themselves on the backburner and rarelyupdated. In essence, what was once a hobby site run in spare time for fun has turnedinto a beleaguring second job. A job that comes with more headache, complaints, criticisms, slander and attacks than productive output o r reward. In two years wehave turned away countless computer security work that coul d have been fulfilledby a number of us. The abuse and ignorance we deal with fro m defacers anddefacement victims is staggering, and some of that abuse s pills over into actual attacks. Attrition has been taken down more than once by massive denial of serviceattacks which have inconvenienced our generous upstream pr ovider, hundreds ofother colo customers, and thousands of dialup customers, making our job evenmore difficult.

With that, the mirror will no longer be maintained. We'v e served our time.

Attrition Decision



Dr. Roberto Gómez



Un ejemplo de conversación

#25 por ThA_CroW 21/9/2003 kiuvo banda? ya deberian de dejarse de lameradas y pon erse a trabajar ya ke se supone ke pagar tanta lana por este evento ke segun yo pienso ke deberia de ser gratis o ke? no ke muy hackers?

#14 por SoylaIradeDios 18/9/2003 los de hackersoft y hakim.ws si son hackers la mayoria , y organizan sus reuniones sin cobrar para enseñar sus conocimientos en hack por eso preguntaba si iban a d ar alguna ponencia como representantes de la escene en mexico, ellos si han hackeado servers importantes

#32 por ArPhAnEt_X 24/9/2003 pus komo ya dijo napa...no kreo ke esto sea kompetenci a y al igual ke el yo tambien llevo amigos ke kieren aprender. .. lo ke dice la ira de dios pues kreo ke no todos en hacker softsabemos mucho o por lo menos yo... pero lo ke si ten emos en hackersoft, es ganas de avanzar, aprender y kompart ir todo esto con mas gente y esto es a lo ke muchos les hace falta y no estankarce kon lo ke ya esta deskubierto, sino desk ubrirmas y enseñar a mas dejando el elitismo a un lado.



Dr. Roberto Gómez


Otros términos relacionados

• Wracker– programas shareware o freeware

• Carding– reventar o emular tarjetas de crédito

– Copy-hackers o Copy-crakers

– skimming

• Wares– intercambio programas comerciales pirateados

• Sneaker– espía informático por excelencia


Más términos relacionados

• Snuffer– variante sneaker, limitado a averiguar claves de acceso a

sistemas y descubre errores y agujeros en programas

• Corsarios– ya no se habla, ya no existen en ningún país– comprobar efectividad programas de una empresa y

sobre todo los de la competencia

• Bucaneros– sin tener conocimientos especiales, recogen programas

pirateados y los revenden para enriquecerse con ello

• Rider– estaba en alguna de las categorías anteriores pero

actualmente trabaja en el campo legal



Dr. Roberto Gómez


Algunos grupos

• Chaos Computer Club – www.ccc.de

• Cult of the Dead Cow– www.cultdeadcow.com

• DC2600.org– www.2600.com/

• AntiOffline removing the Dot in Dot.com– www.antioffline.com/

• The Ghetto Hackers (rootfu)– http://www.ghettohackers.net/

• DARK CLAW • LoD• ¿Y en México?

– Raza Mexicana (www.raza-mexicana.org)– Aztlan Klan– Cucaracha Hackers Team




Dr. Roberto Gómez


Ejemplo hackeo hardware


¿Y cómo diferenciar a los buenos de los malos?

• Recomendaciones de terceros

• Prestigio de las compañías

• Certificaciones / títulos academicos



Dr. Roberto Gómez


Títulos y certificaciones

• Títulos académicos– licenciatura– maestría– doctorado

• Certificaciones– CISSP– SSCP– CISA– CISM– CISMP– SCP– BS7799-LA


Las opciones académicas

• Diplomados– ITESM-CEM– UNAM– y otros

• Cursos aislados en programas de maestría y licenciatura

• Ninguna institución a nivel nacional (latinoamerica??) ofrece una opción en seguridad informática– CESNAV– UNITEC

• Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.



Dr. Roberto Gómez


Universidades relacionadas

• University of Sheffield – http://www.shef.ac.uk

• Ecole Ingenieur Télécom Paris - ENST Ecole nationale– Mastere Sécurité des systèmes informatiques et des réseaux– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php

• University Purdue– Center for Education and Research in Information Assurance

and Security, or CERIAS– http://www.cerias.purdue.edu/

• The George Washington University– Master of Arts in the arts in the field of Criminal Justice

Computer Fraud Investigation– http://www.gwu.edu


Otras dos más...

• Carnegie Mellon University. – Information Networking Institute (INI)– http://www.ini.cmu.edu/– Master of Science in Information Networking– Master of Science in Information Security Technology

and Management

• Capitol College– Master of Science in Network Security– restricted by the United States Department of Commerce

to U.S. citizens and permanent residents– http://www.capitol-

college.edu/academics/grad/msns.html



Dr. Roberto Gómez


Certificaciones

• Requerimientos legales – Sarbanes Oxley (2002)

– Turnbull Report (1990’s) en Europa

– PCI: Mastercard y Visa (2007)

• ¿Qué puedo certificar?– Individuos

– Organizaciones

– Productos


• La empresa American International Group (AIG) recibió una multa de $10 millones de dólares

–Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas

–Es la primer multa de este tipo aplicada a una aseguradora

• Al Bank of América se le multó con $375 millones de dólares

–No existió cooperación con la investigación –Es la primera multa de este monto en un solo caso

Violaciones



Dr. Roberto Gómez


Certificación de individuos

CISSP, SSCP, CISA, CISM, GIAC


Certificación de individuos

• Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos

• Cada certificación cuenta con un CBK– Cuerpo común de conocimientos



Dr. Roberto Gómez


Consideraciones y recomendaciones

• Consideraciones básicas

– Fortalecen habilidades o perfiles según los objetivos y deseos de los candidatos

– No reemplazan la formación académica universitaria

– Evalúan cuerpos de conocimientos en campos específicos

– Orientan un desarrollo profesional técnico o administrativo.

– Requieren de una re-certificación generalmente anual

• Recomendaciones para escoger:

– Rigurosidad en conceptos y cuerpo de conocimiento formal.

– Formación y actualización permanente

– Programa educativo y de conocimientos que pueda ser validado por terceros.

– Exigencia de experiencia práctica comprobable en el mundo real.

– Declaración y aceptación formal de estándares de ética y actuación profesional


Organismos

• ISACA– Information Systems and Audit Control Association

• (ISC)2

• British Standards Institute: BS• International Standards Organization• Departamente de Defensa de USA• ITSEC

– Information Technology Security Evaluation

• Otros– Sarbanes Oxley Act– HIPAA Act, etc…



Dr. Roberto Gómez


Opciones certificación

• Más de 55 certificaciones en seguridad neutrales de productos

• Las mas demandadas– CISSP– SANS GIAC– CPP

• SANS GIAC la pionera en la creación de programas de certificaciones – cuenta con una gran variedad y están

relacionadas entre sí a manera de carrera.


Hacia una jerarquía

CompTIA Security + SANS GSEC SSCP de (ISC)2

SANS-GIAC CISSP de (ISC)2 CISM de ISACA

primer nivel básico

credenciales intermedias y de nivel Senior

restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad.

CPP de ASIS PCI de ASIS PSP de ASIS



Dr. Roberto Gómez


CompTIA

• Asociación mundial de la industria de la computación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países– www.comptia.org

• Es la mas grande y única asociación global de estetipo

• Ha desarrollado once destrezas en Certificacionesen Tecnología Informática– cubren un amplio rango de disciplinas, ambientes

operativos y niveles de destrezas


Características certificaciones

• Las certificaciones provienen de un vendedorneutral.

• Las certificaciones son rigurosamentediseñadas y construidas para asegurar quehasta la última destreza en TecnologíaInformática sea validada.

• Son tan ampliamente reconocidas que se hanconvertido en un Standard de la industria en todo el mundo.



Dr. Roberto Gómez


Certificaciones de la CompTIA

• A+ Entry-Level Computer Service • CTT+ Certified Trainer• Network+ Network Support and Administration • CDIA+ Document Imaging and Management• Server+ Server Hardware Technology • i-Net+ Internet and Online Technologies• Security+ Computer and Information Security • Linux+ Linux Operating Systems• HTI+ Home Technology Integration • Project+ Project Management• e-Biz+ e-Commerce


CBK y examen

• CBK

• Examen– 100 preguntas– 90 minutos para responder– 764 en escala de 100-900 para pasar

15%Basics of Cryptography

15%Operational / Organizational Security

20%Infrastructure Security

20%Communication Security

30%General Security Concepts

% examenDominio



Dr. Roberto Gómez


CISSP

• No es una asociación, es el título que ostenta el profesional certificado– Certified Information Systems Security Professional

• Ser CISSP es un privilegio que se debe ganar y mantener

• Otorgado por la (ISC)2

– International Information Systems Security CertificationConsortium

– Organismo independiente

– Creado para realizar la certificación de profesionales en seguridad informática


CBK del CISSP

• Access Control Systems & Methodology

• Telecommunications & Network Security

• Security Management Practices

• Applications & Systems Development Security

• Cryptography

• Security Architecture & Models

• Operations Security• Business Continuity

Planning (BCP) & DisasterRecovery Planning (DRP)

• Law, Investigations & Ethics

• Physical Security



Dr. Roberto Gómez


CISSP en México

• ALAPSI– Asociación Latinoamerica Profesionales


– http://www.alapsi.org

• Dos/tres exámenes por año

• Cursos preparación examen

• Próximo examen: consultar página

• Número de certificados en México: 185


El examen

• Formato– examen de opción múltiple– 250 preguntas– se cuenta hasta 6 horas para resolverrlo

• Aprobar examen con 700 puntos • Enviar formato de adhesión/certificación

(Endorsement Form) avalada por un CISSP o por otro profesional calificado

• Auditoría, si es seleccionado• Calendarización

– www.isc2.org



Dr. Roberto Gómez


SSCP

• Especialista Certificado de Seguridad de Sistemas – Systems Security Certified Practitioner

• Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización.– proporcionar soporte de la infraestructura de la seguridad

– security enforcer

– la persona no solo entiende su posición, sino también tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada


CBK del SSCP

• Access Controls

• Administration

• Audit and Monitoring

• Risk, Response and Recovery

• Cryptography

• Data Communications

• Malicious Code/Malware



Dr. Roberto Gómez


CISA

• Certified Information Systems Auditor• En un principio dominio exclusivo de auditores de IT• Administrada por la ISACA (Information Systems

Audit and Control Association & Foundation)– fundada en 1969

• Certificación CISA tiene desde 1978• En 2002 se contaba con unos 28,000 personas con

dicha certificación.• Dominios coinciden con CISSP

– más enfocado a los procedimientos del negocio que a la tecnología

• Varios CISSP optan por ganar su CISA


Áreas CISA

• Management, planning and organization of IS

• Technical infrastructure and operational practices

• Protection of information assets

• Disaster recovery and business continuity

• Business application system development, acquisition, implementation and maintenance

• Business process evaluation and risk management

• The IS audit process



Dr. Roberto Gómez


CISM

• ISACA acaba de diseñar la certificación CISM– Certified Information Security Manager

• Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT

• Debido a que es nuevo, pasa por un periodo de “apadrinamiento”– aquellos que puedan demostrar ocho años de experiencia

en el área de seguridad informática puede obtener la certificación sin realizar examen alguno

– periodo abierto hasta el 31 diciembre 2003

• Después periodo será necesario presentar examen.• Primer examen será ofrecido en Junio 2004


CBK del CISM

• Information Security Governance

• Risk Management

• Information Security ProgrammeManagement

• Information Security Management

• Response Management



Dr. Roberto Gómez


Global Information AssuranceCertifications

• SANS Institute ofrece una serie de certificaciones bajo el programa GIAC– Global Information Assurance Certification

• Grupo de certificaciones técnicas y algunas administrativas

• La experiencia no es explicita o necesaria para obtenerla– orientado a la práctica de seguridad informática

• Código de ética del SANS• http://www.giac.org


Certificaciones

• No hay un orden en particular

• Se recomienda empezar con los de nivel bajo e ir subiendo

• GIAC Certification – cursos 5-6 días– periodo de 6 meses para

certificarse– color amarillo

• GIAC Certificates– cursos 1-2 días– 10 semanas– color verde



Dr. Roberto Gómez


Las certificaciones

• Information Security Fundamentals • Mastering Packet Analysis • Security Essentials Certification • Securing Solaris • Securing Windows 2000 • Defeating Rogue Access Points• Auditing Cisco Routers• Certified Firewall Analyst • Certified Intrusion Analyst• Certified Windows Security

Administrator• Certified Incident Handler • Certified UNIX Security

Administrator • Certified Forensics Analyst • Securing Oracle Certification • Intrusion Prevention • Cutting Edge Hacking Techniques • Web Application Security

• Reverse Engineering Malware• Secure Internet Presence• .Net• E-warfare • Fundamentals of Information Security Policy • Cyber Warrior • HIPAA Security Implementation • Ethics in IT • Security Leadership Certification • Certified Security Consultant • Security Audit Essentials • Certified ISO-17799 Specialist• Systems and Network Auditor • Auditing Wireless Networks• Contracting for Data Security • Law of Fraud • Business Law and Computer Security • Legal Issues in Information Technologies


Otras certificaciones

• Puestos IT managers o IT security managers solicitan otro tipo de certificaciones como– Microsoft Certified Systems Engineer (MCSE)

– CISCO: CCNA, CCNP, etc

• Certificaciones productos– ISS: Internet Security Scanner

– Symantec

– Network Associates

– Checkpoint / Firewall 1



Dr. Roberto Gómez


Certificaciones de organizaciones

ISO 17799 / BS 7799 / UNE 71502


Certificación organizaciones

• Pregunta– ¿Si igual voy a hacer algo, porque no lo hago

teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables?



Dr. Roberto Gómez


Norma ISO 17799 / BS 7799 / UNE 71502

• Un conjunto de controles basados en las mejores prácticas en seguridad de la información;

• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos

– Políticas de gestión

– Recursos humanos

– Aspectos jurídicos


Las normas ISO

• International Standards Organization: Normas ISO

– ISO 9001 – Calidad

– ISO 14001 – Ambiental

– ISO 17799 – Seguridad de la Información

• La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799.



Dr. Roberto Gómez


Características de la norma

• Cobertura de la norma

• Probada

• Pública

• Internacional

• Imagen de marca asociada a "la calidad"

• Evolutiva y flexible (se adapta a los contextos)

• Disponibilidad de herramientas y soporte


ISO 17799

• Una organización puede optar a implantar y "certificar" su sistema de gerencia en la gestión de integridad y seguridad en el manejo de información y datos.– comprende de elementos y cláusulas enfocados a

prácticas y métodos fundamentales de seguridad

• La precursora de ISO 17799 es la adopción de la normativa británica BS 7799. – La BS 7799 se publicó en febrero del 1995 y se revisó en

mayo del 1999. – Esta normativa aplica invariablemente a organizaciones

pequeñas, medianas y multinacionales.



Dr. Roberto Gómez


Areas control ISO 1799

1. Security Policy2. Security Organization3. Asset Control and Classification4. Personnel Security5. Physical & Environmental Security6. Communications & Operations Management7. Acces Control8. Systems Development & Maintenance 9. Business Continuity Management 10. Compliance


Las 10 secciones de la norma

1. Politique desécurité

2. Sécurité de l’organisation

3. Classification et contrôle des

actifs

7. Contrôle des accès

4. Sécurité du personnel 5. Sécurité physique et environnementale

8. Développement et maintenance

6. Gestion des communications et opérations

9. Gestion de la continuité

10. Conformité

1. Política de seguridad

2. Seguridad de la organización

3. Clasificación y control de los

activos

7. Control de

accesos

4. Seguridad del personal 5. Seguridad física y medioambiental

8. Desarrollo y mantenimiento de los sistemas

6. Gestión de las telecomunicaciones y operaciones

9. Gestión de la continuidad de lasoperaciones de la empresa

10. Conformidad

Organizacional

Operacional



Dr. Roberto Gómez


Historia

1995

1998

BS 7799 Parte 1

BS 7799 Parte 2

Estándar Sueco SS 62 77 99 Parte 1 y 21999Nueva versión de BS 7799 Parte 1 y 2

Diciembre 2000 ISO/IEC 17799:2000

2001Revisión de BS 7799-2

Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida

UNE 71502Marzo 2004

Julio 2005Nueva versión de BS 7799-2

revisada y corregida


Nota importante

• La norma ISO 17799 no es certificable.– ISO 17799 sólo hace recomendaciones sobre uso de 127

controles de seguridad aplicados en 10 áreas de control.

– No establece requisitos cuyo cumplimiento pudieran certificarse.

• ISO 17799 es prácticamente igual a la primera parte de la norma BS 7799, o sea la BS 7799-1. – BS 7799 tiene una segunda parte, BS 7799-2, la cual puede

auditarse y certificarse.

• No hay versión ISO de BS 7799-2, la ISO 17799:2000 debe complementarse con la BS 7799-2:2002.



Dr. Roberto Gómez


Actualización de la norma

Information security incident management

13

Compliance15Compliance 12

Business continuity management14Business continuity management11

Information systems acquisition, development & maintenance

12Systems development & maintenance

10

Access control11Access control9

Communications & operations management

10Communications & operations management

8

Physical & environmental security9Physical & environmental security7

Human resources security8Personnel security6

Asset management7Asset classification & control5

Organizing information security6Organisational security4

Security policy5Security policy3

2005 edition2000 edition

Information security incident management

13

Compliance15Compliance 12

Business continuity management14Business continuity management11

Information systems acquisition, development & maintenance

12Systems development & maintenance

10

Access control11Access control9

Communications & operations management

10Communications & operations management

8

Physical & environmental security9Physical & environmental security7

Human resources security8Personnel security6

Asset management7Asset classification & control5

Organizing information security6Organisational security4

Security policy5Security policy3

2005 edition2000 edition


La ISO 27001

• Anunciada como el reemplazo del BS7799• Publicación hermana del ISO 1799• ISO 17799 es un código de practicas

– describe controles individuales para posibles implementaciones

• BS7799 es la parte del estandar contra la cual se otorga la certificacion– esto se pasará al ISO 27001

• ISO 27001– incorpora un número significante de cambios– armoniza el enfoque con otros estandares como el ISO

9001



Dr. Roberto Gómez


Integración con otras normas

ISO 9001:2000ISO 9001:2000ISO 9001:2000

BS 7799:2BS 7799:2ISMSISMS

BS 15000 is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope

BS 15000BS 15000

El resto del mundo ISO


Lista empresas certificadas

• Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo

• Algunas de estas empresas son:– Fujitsu Limited– Insight Consulting Limited– KPMG– Marconi Secure Systems– Samsung Electronics Co Ltd;– Sony Bank inc.– Symantec Security Services– Toshiba IS Corporate



Dr. Roberto Gómez


La certificación de productos

TCSEC, ITSEC, CTCPEC, CC


TCSEC certification

• Trusted Computer Systems EvaluationCriteria

• Pagina (Rainbow Series Library)– http://www.radium.ncsc.mil/tpep/library/rainbow/

• Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983 (DOD 5200.28-STD) conocido también como el “Orange Book.”– actualizado en 1985



Dr. Roberto Gómez


Objetivos TCSEC

• Proporcionar una guía a los fabricantes de productos comerciales en relación a las características de seguridad que deben cumplir sus productos.

• Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada.

• Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos.


Criterios y niveles

A1B3B2B1C2C1

SECURITY POLICYACCOUNTABILITY

ASSURANCEDOCUMENTATION

disc

retio

nary

acce

ssco

ntro

lob

ject

reus

ela

bels

labe

l int

egri

tyex

port

atio

nof

labe

led

info

rmat

ion

expo

rtat

ion

tom

ultil

evel

devi

ces

expo

rtat

ion

tosi

ngle

-lev

elde

vice

s

labe

l ling

hum

an-r

edab

leou

tput

man

dato

ryac

ess

cont

rol

subj

ect s

ensi

vity

labe

lsde

vice

labe

lsid

enti f

icat

ion

auth

entif

icat

ion

audi

t

thus

ted

path

syst

emar

chite

ctur

e

secu

rity

test

ing

desi

gnsp

ecif i

catio

nan

dve

rifi

cati

on

cove

rtch

anne

l ana

lysi

str

uste

dfa

cilit

ym

anag

emen

tco

nfig

urat

ion

man

agem

ent

trus

ted

reco

very

trus

ted

dist

ribu

tion

secu

rity

feat

ures

user

´sgu

ide

trus

ted

faci

li ty

man

ual

test

docu

men

tati

onde

sign

docu

men

tatio

n

syst

emin

tegr

ity

no aditional requiriments for this classnew orenhanced requiriemntes for this class

no requirements for this class



Dr. Roberto Gómez


Los niveles

uso métodos formales para asegurar todos los procesos

protección verficadaA

monitor referencia que permite o niega peticiones acceso

dominios seguridadB3

etiqueta cada objeto de nivel superior por ser padre de un inferior

protección estructuradaB2

etiqueta + nivel seguridad jerárquico + categorías

seguridad etiquetadaB1

auditoria de sistemasacceso controladoC2

DAC

identificación + autenticación

protección discrecionalC1

sistema no seguroD

ComentariosDescripciónNivel


Ejemplo SOs evaluados por la NSA bajo TCSEC (1996)



Dr. Roberto Gómez


Algunos libros de la serie arcoiris

• Orange Book– DoD Trusted Computer System Evaluation Criteria

• Green Book– DoD Password Management Guideline,

• Light Yellow Book – Computer Security Requirements

• Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments,

• Light Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments

• Bright Blue Book– Trusted Product Evaluation - A Guide for Vendors

• Red Book – Trusted Network Interpretation


Estandares creados a partir del TSSEC

• ITSEC– Information Technology Security Evaluation

Criteria – http://www.cordis.lu/infosec/src/crit.htm– la versión europea

• CTCPEC– Canadian Trusted Computer Product Evaluation

Criteria– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii– la versión canadiense



Dr. Roberto Gómez


Common Criteria

• Estándar internacional ISO 15408

• Trabajo de varios países (14)

• Inspirado del TCSEC, ITSEC, CTCPEC

• Flexible– No cuenta con perfiles predeterminados.

– Permite la adición de nuevos criterios.

• Parte de las necesidades de cada usuario/fabricante– no de las necesidades del DoD.

– cada nueva evaluación implica la creación de un modelo o marco de referencia (Security Target o ST).


Objetivos CC

• Permitir a los usuarios el especificar sus requerimientos de seguridad,

• Permitir a los desarrolladores especificar los atributos de sus productos

• Permitir que los evaluadores determinen si los productos cumple con lo que estipulan.



Dr. Roberto Gómez


Tipos documentos CC

• El CC define un conjunto de requerimientos de seguridad– dividido en requerimientos funcionales y de seguridad

• Dos tipos de documentos– Protection Profiles (PPs): documento creado por un

usuario o comunidad de usuarios que identificarequerimientos de seguridad por parte del usuario

– Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidadesde un producto en partícular

• un ST puede indicar la implementación de cero o mas PPs


Los niveles del CC (EAL)

• Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST– evaluación conocida como TOE - Target of Evaluation

• EAL: Evaluation Assurance Level– numeradas del 1 al 7

– EALs superiores requieren de un mayor esfuerzo de evaluación

– los EAL de mayor valor garantizan más “seguridad”, pero suevaluación requiere de mayor tiempo y cuesta más dinero

– EAL valor grande no significa “mejor seguridad”, solo estipula que seguridad proclamada fue extensamente validada



Dr. Roberto Gómez


Niveles Aseguramiento CC

A1Formalmente verificado (diseño) y probado

EAL7

B3Semiformalmente verificado (diseño) y probado

EAL6

B2Semiformalmente diseñado y probado

EAL5

Metodológicamente diseñado, probado, y revisado

EAL4

(W2K, Solaris, HP-UX, AIX)

C2

B1

Metodológicamente probadoEAL3

C1Estructuralmente probadoEAL2

--Probado funcionalmanteEAL1

Referencia TCSECDescripciónCommon Criteria


Ejemplo productos clasificados

http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4

October 2002EAL4+Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886

February 2004EAL2 Red Hat Enterprise Linux 3

December 2003EAL3Symantec Manhunt Version 2.11

EAL4 EAL4 Oracle8i Release 8.1.7.0.0

June 2002 EAL4 Check Point VPN-1/FireWall-1©NG

January 2000 EAL4+ Borderware, V6.1.1 Firewall Serve

2 December 2004 EAL2+ IBM WebSphere Application Server V5.0.2.8

June 2003 EAL2 3Com© Embedded Firewall V1.5.1

FechaNivelProducto

introducción a la seguridad informáticacryptomex.org › slidesseguridad ›...

Documents