Ayuda Web Seguridad Romero Gt
-
Upload
mauricio-romero -
Category
Technology
-
view
1.457 -
download
0
description
Transcript of Ayuda Web Seguridad Romero Gt
Ayuda: Web & SeguridadRomeroGT:
Ayuda: Web & SeguridadAyuda: Web & Seguridad
RomeroGT@ExpoNETGuatemala, 5 de marzo 2008
E. Mauricio Romero Escobarhttp://romerogt.delaermita.com/
Ayuda: Web & SeguridadRomeroGT:
Su turno de presentarseSu turno de presentarse
● Conexión: Casa, Trabajo, Estudio, C@fe
● Uso: Email, IM, VoIP, Docs., Trabajo, Estudio
Información: Estudio, Trabajo, Hobbie, Diversion
Seguridad: Bajo, Medio, Alto, Unbreakable
Ayuda: Web & SeguridadRomeroGT:
Dicen de la seguridadDicen de la seguridad
● La seguridad trasciende la tecnología.
● (ISC2)
● Un viaje (sin fin), no un destino.
● La seguridad es un estado mental
● No hay tal cosa como seguridad al 100%
Ayuda: Web & SeguridadRomeroGT:
Psicología de la seguridadPsicología de la seguridad
● Seguridad es al mismo tiempo un sentimiento y una realidad. Y no son lo mismo
● Psicología de la Seguridad, Bruce Schneier en Black Hat USA 2007
● Puedes estar seguro y sentirte inseguro, o puedes sentirte seguro y estar inseguro.
● Mientras la realidad puede ser medida y pronosticada, el sentimiento es la ilógica percepción natural del ser humano
Ayuda: Web & SeguridadRomeroGT:
Seguridad: Una decisiónSeguridad: Una decisión
● La seguridad es un trueque, un intercambio que considera:● Severidad del riesgo (vida?)● Probabilidad del riesgo (pasará?)● Magnitud del riesgo (grave?)● Mitigación y contigencia del riesgo (control?)● Evaluación del costo/beneficio (vale?)●
● El problema: realidad/objetividad vrs. sentimiento/percepción.
Ayuda: Web & SeguridadRomeroGT:
En la vida realEn la vida real
● Estas en peligro constante● Ignorando estadísticas,
asignamos probabilidad.● La gravedad es subjetiva.● Contratamos seguros,
usamos cinturon, dejamos con llave todo.
● Juicio personal del costo ($,libertad,eficiencia) y beneficio (seguridad?)
Ayuda: Web & SeguridadRomeroGT:
En la Web de hoyEn la Web de hoy
● ”Bichos informáticos”, ataques, criminales disfrazados.
● Desconocemos estadísticas, quizás nos pretendemos inmunes.
● No vemos la gravedad: robo, ineficiencia, privacidad, daños.
● Antivirus y firewall no son suficientes, confiar no es una opción.
● Creemos costosa la seguridad, vemos poco beneficio o lo desestimamos.
Ayuda: Web & SeguridadRomeroGT:
Vida web real de hoyVida web real de hoy
● La web como como escenario y accesorio criminal.
● Podemos ser fumadores pasivos de amenazas.
● No se trata de criminales tecnológicos.
● Es una vida con tecnología al alcance de -todos-.
Ayuda: Web & SeguridadRomeroGT:
Lo que esta en juegoLo que esta en juego
● Dinero● Privacidad● Información● Secretos industriales● Recursos del computador● Prestigio personal o profesional
Ayuda: Web & SeguridadRomeroGT:
La decisión de seguridadLa decisión de seguridad
● Costos que quizás no esten dispuestos a correr:
● Desconectarse de Internet, no comprar el nuevo smartphone, no intercambiar archivos, no hacer transacciones por Internet.
● Costos que quizás debes considerar:● Actualización de software, programas especializados de
seguridad, evaluar la seguridad de tu información, verificar seguridad de red.
● Beneficio esperados:● Información y conexión global, eficiencia en diversos aspectos,
información segura, disfrutar del Web 2.0... y contando.
Ayuda: Web & SeguridadRomeroGT:
Seguridad... de ser un target!Seguridad... de ser un target!
Ayuda: Web & SeguridadRomeroGT:
Encuesta de Opinion IIEncuesta de Opinion II
● Que ha instalado: Sistema Operativo, Aplicaciones, Plugins – Un tercero.
● Incidentes: Virus, spyware, Ataques, Perd. Inf., Falla de PC
● Que es lo último que han escuchado de Internet.
Ayuda: Web & SeguridadRomeroGT:
Amenazas tecnológicasAmenazas tecnológicas
● Si no aseguramos la tecnología, la seguridad será un castillo en el aire.
● Por eso debemos entender muy bien los tipos de amenazas:● Fallas● Vulnerabilidades● ”Bichos informáticos”● Ataques e intrusos
● Para cada una pueden aplicar diversos tipos de medidas, veamos en más detalle.
Ayuda: Web & SeguridadRomeroGT:
Fallas y vulnerabilidadesFallas y vulnerabilidades
● Falla: un disco malo, la caida de la red, PC muerto.
● Vulnerabilidad: Sistema operativo, aplicación, página web.
● No son creación humana, pueden presentarse en cualquier momento, hay mecanismos de prevención y atención.
Ayuda: Web & SeguridadRomeroGT:
Bichos informáticos IBichos informáticos I
● Virus: programas que usualmente hacen algun daño en sus equipos.
● Gusanos: añaden capacidad de diseminarse por si mismos via la red.
● Troyanos: programas que además buscan algún nivel de acceso a su PC.
● Protejerse de ejecutables es cosa del pasado!
Ayuda: Web & SeguridadRomeroGT:
Bichos informáticos IIBichos informáticos II
● Spyware: programas o archivos que llevan bitácoras de lo que hace y tiene usted en su PC
● Adware: programas supuestamente gratuitos pero que afectan rendimiento y privacidad
● Malware: programas maliciosos, ataques dirigidos.
Ayuda: Web & SeguridadRomeroGT:
Alta Tecnología Alta Tecnología
● Backdoors● Sniffers● Keyloggers● Remote monitor/control● Rootkits● Virtualización
Ayuda: Web & SeguridadRomeroGT:
Ataques e intrusosAtaques e intrusos
● Coordinados y dirigidos por personas.● Spoofing (identidad falsa): Puede darse a nivel de
correo o equipos de red que falsean información.● Phishing: Buscan hacerse pasar por
usuarios/empresas confiables. Usualen bancos.● Denegacion de servicio: Buscan provocar la
paralización de los sistemas.● Eavesdropping: ”el oreja y fisgón”● Crackers, script kiddies
Ayuda: Web & SeguridadRomeroGT:
Top 20 SANSTop 20 SANS
● Vulnerabilidades en navegadores, oficina, correo y reproductores multimedia.
● En los servidores web, servicios de Windows, Unix y MacOS, herramientas de respaldos, antivirus...
● Políticas de seguridad con accesos al definidos, phishing.
● Datos sin encriptar en laptops y almacenamiento
● Redes con voz sobre IP y telefonía móvil
● Ataques de Día-Cero
http://www.sans.org/top20/
Ayuda: Web & SeguridadRomeroGT:
SANS recomienda ...SANS recomienda ...
● Configure todo sistema lo más seguro que pueda desde el primer día y controle cambios.
● Automatice el mantenimiento de la configuración segura (parches, firmas de antivirus, etc.)
● En empresas, emplee proxys que protejan la navegación hacia Internet.
● Clasifique su información y emplee encripción y medidas para proteger el robo.
Ayuda: Web & SeguridadRomeroGT:
... SANS recomienda... SANS recomienda
● Automatice las revisiones y tome medidas para lo que no cumpla con las políticas de uso.
● Segmente adecuadamente las redes con firewalls.
● Elimine vulnerabilidades de aplicaciones web evaluando conocimiento del desarrollador y a la aplicación misma.
Ayuda: Web & SeguridadRomeroGT:
Seguridad elementalSeguridad elemental
● Inteligencia
● Protección de calidad
● Úselo
● Revise, expiran !!!
Ayuda: Web & SeguridadRomeroGT:
Sistema operativoSistema operativo seguroseguro asegurado asegurado
● No existe un sistema operativo seguro. Hay diferentes niveles amenaza, riesgo, impacto.● Hasta Linux puede ser inseguro.● Hasta Windows puede ser seguro.
● Es importante:● Tener derechos de actualización.● Automatizar el proceso● Mantenerse informado
http://www.microsoft.com/latam/seguridad/
Ayuda: Web & SeguridadRomeroGT:
Protección contra bichosProtección contra bichos
● Un antivirus por el amor a su PC● https://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk● http://www.virustotal.com/● Uso y me han funcionado: AVG, Avast! y McAfee
● Un antispyware● http://www.safer-networking.org/es/index.html● http://www.lavasoftusa.com/
● Solución antispam● Webmail: Gmail el mejor pero otros webmail tienen.● Soluciones open source y propietarias
● LA TENDENCIA: Suites integradas de seguridad.
Ayuda: Web & SeguridadRomeroGT:
Escoja mejor sus aplicacionesEscoja mejor sus aplicaciones
● Por su seguridad: diga NO a la piratería● Evite shareware, adware, crackware, serials● Si no quiere pagar, piense opensource
● Fuentes confiables (sf.net, cdlibre.org)● Casi todo tiene ahora alternativa
● Reduzca la superficie de ataque● No le meta a su PC todo lo que encuentra● Salgase del rebaño, tendrá menos riesgo.● Integra, p. ej: VLC por varios media player
Ayuda: Web & SeguridadRomeroGT:
Proteja su PC del exteriorProteja su PC del exterior
● Su PC se -VE- en la web y puede que exponga servicios.
● Utilice un firewall confiable● Algunos requieren
configuración● No todos protegen de la
misma forma● Brinde el mínimo acceso
hacia su PC● Los firewalls no protejen
todo
Ayuda: Web & SeguridadRomeroGT:
Otras tecnologías de seguridadOtras tecnologías de seguridad
● Encripción a nivel de disco, carpetas o archivos● EFS, PGP, alternativas comerciales
● A nivel de protección de documentos● Firma digital (PKI, PGP, RSA) ● Encripción (simétrica o asimétrica)
● Proteccion de las comunicaciones● Canales seguros: Https, sftp, ssh● Redes privadas virtuales
Ayuda: Web & SeguridadRomeroGT:
Navegacion más seguraNavegacion más segura
● En su browser (el que quiera, yo uso Firefox)● Proteccion antiphishing y del scripting● No lo llene de plugins, incrementa su riesgo● Verifique conexiones seguras e identidad del sitio
● En la mensajería instantánea● Considere antivirus que protejen IM● Cuidado con lo que escribe y lo que recibe
● En el correo● Que su servidor tenga antivirus y antispam
Ayuda: Web & SeguridadRomeroGT:
Se recomienda prudenciaSe recomienda prudencia
● Habitos de navegacion en sitios confiables.● Manejo de contraseñas de sitios● Descarga de software de sitios oficiales● No de clic a todo enlace y programa que ve● Cuidado con la publicidad engañosa● Piense dos veces la información que comparte● Lea los términos de servicio y privacidad● Contenidos inapropiados o peligros.
Ayuda: Web & SeguridadRomeroGT:
Equipos compartidosEquipos compartidos
● El acceso físico al equipo le hace vulnerable● Si usa café Internet, triplique su precaucion● Incluso en casa, cree usuarios para cada uno● Piense en la seguridad de sus archivos● Historial, privacidad, cookies (ctrl-shift-del en FF)● Emplee listas y niveles de acceso
Ayuda: Web & SeguridadRomeroGT:
Issues del Web 2.0Issues del Web 2.0
● Desea ser una persona pública en Internet?● La información que publica, adivine, es Pública!● En Internet mucha actividad es rastreable● Alguna actividad es ”espiable”.● Los detalles que comparte pueden
comprometerle● Los villanos también van adelante
Ayuda: Web & SeguridadRomeroGT:
Futuro SANS: 10 Tendencias ...Futuro SANS: 10 Tendencias ...
● Requerimiento de encripción de portátiles● Robo de PDA/SmartPhone por tecnología e
información● Acciones de gobierno respecto a información y
su seguridad.● Ataques a agencias de gobierno y empresas
relacionadas. (EEUU)● Infección de gusanos en teléfonos celulares.
Ayuda: Web & SeguridadRomeroGT:
... 10 Tendencias ... 10 Tendencias
● Ataques a sistemas VoIP por debilidades● Spyware en auge desde paises en desarrollo.● Vulnerabilidades día-0● Rootkits en redes ”bots” ● Mayor control de acceso a la red
Ayuda: Web & SeguridadRomeroGT:
Pero viva, no se muera.Pero viva, no se muera.
● Ya me siento mejor porque ahora les compartí un poco de mi paranoia; finalmente esto de la seguridad solo es un estado mental.
● Ahora vamos a bar...