Seguridad Informática
Introducción a la Seguridad Informática 1
Dr. Roberto Gómez Cárdenas
Lámina 1 Dr. Roberto Gómez Cárdenas
Introducción a la Seguridad Informática
Roberto Gómez Cá[email protected]
http://cryptomex.org
Lámina 2 Dr. Roberto Gómez Cárdenas
Seguridad Computacional
El conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridady la disponibilidadde los recursos de un sistema.
Disponibilidad
Integridad Confidencialidad
Seguridad Informática
Introducción a la Seguridad Informática 2
Dr. Roberto Gómez Cárdenas
Lámina 3 Dr. Roberto Gómez Cárdenas
La seguridad involucra3 dimensiones (no sólo una)
Gente
Procesos
Infraestructura
Diseñar pensando en la seguridad
Roles y responsabilidades
Auditar dar seguimientos y rastrear
Mantenerse al día con el desarrollo de seguridad
Falta de conocimiento
Falta de comrpomiso
Falla humana
Los productos no cuentan con funciones de seguridad
Demasiado difícil mantenerse al día
Muchos problemas no se ven abordados por estándares técnicos (BS 7779)
Los productos tienen problemas
Lámina 4 Dr. Roberto Gómez Cárdenas
Activos de informacion
• Cualquier recurso de SW, HW, Datos, Administrativo, Físico, de Personal de Comunicaciones, etc.
• Activos intangibles– Imagen, propiedad intelectual, etc
• Ejemplos– Servidores– Bases de Datos– Redes– Usuarios– Aplicaciones– Sistemas Operativos– Dinero– Información– etc
Seguridad Informática
Introducción a la Seguridad Informática 3
Dr. Roberto Gómez Cárdenas
Lámina 5 Dr. Roberto Gómez Cárdenas
Amenaza
• Circunstancia o evento que puede causar daño violando la confidencialidad, integridad o disponibilidad
• El daño es una forma de destrucción, revelación o modificación de datos.
• Frecuentemente aprovecha una vulnerabilidad
Lámina 6 Dr. Roberto Gómez Cárdenas
La amenaza
• Fuentes de la amenaza– Naturales
– Ambientales
– Humanas• Accidentales
• Deliberadas
• Algunos ejemplos– Naturales:
• Terremotos que destruyan el centro de cómputo.
– Humanos• Fraude realizado al
modificar los saldos de cuentas por cobrar.
– Software• Cambios no autorizados
al sistema que realicen cálculos incorrectos.
Seguridad Informática
Introducción a la Seguridad Informática 4
Dr. Roberto Gómez Cárdenas
Lámina 7 Dr. Roberto Gómez Cárdenas
Vulnerabilidad
• Falta y/o Debilidad o falla de seguridad• Indica que el activo es susceptible a recibir un daño a
través de un ataque.• La debilidad puede originarse en el diseño, la
implementación o en los procedimientos para operar y administrar el sistema.
• En el argot de la seguridad computacional una vulnerabilidad también es conocida como un hoyo.
Lámina 8 Dr. Roberto Gómez Cárdenas
Ejemplos vulnerabilidades
• Cuentas de usuarios sin contraseña.
• El personal externo no registra su entrada y salida a las instalaciones.
• Falta de lineamientos para la construcción de contraseñas.
• No contar con un plan de recuperación de desastres
Seguridad Informática
Introducción a la Seguridad Informática 5
Dr. Roberto Gómez Cárdenas
Lámina 9 Dr. Roberto Gómez Cárdenas
Tiempo vida vulnerabilidad
Lámina 10 Dr. Roberto Gómez Cárdenas
Protecciones
Protecciones
Vulnerabilidad
Vulnerabilidad
ActivosDatos
InstalacionesHardware/Software
Source:An Introduction to Computer SecurityThe NIST Handbook NIST- SerialPublication 800-12
Vulnerabilidad vs amenaza
Seguridad Informática
Introducción a la Seguridad Informática 6
Dr. Roberto Gómez Cárdenas
Lámina 11 Dr. Roberto Gómez Cárdenas
El exploit
• Se refiere a la forma de explotar una vulnerabilidad– termino muy enfocado a herramientas de ataque,
sobre equipos de computo).
• Aprovechamiento automático de una vulnerabilidad– generalmente en forma de un programa/software
que realiza de forma automática un ataque aprovechandose de una vulnerabilidad
Lámina 12 Dr. Roberto Gómez Cárdenas
Ataque informático
• Es la consumación de una amenaza
• No es un ataque físico (aunque puede ser).
• Un ataque no se realiza en un solo paso.
• Depende de los objetivos del atacante.
• Puede consistir de varios pasos antes de llegar a su objetivo.
Seguridad Informática
Introducción a la Seguridad Informática 7
Dr. Roberto Gómez Cárdenas
Lámina 13 Dr. Roberto Gómez Cárdenas
Ataques Pasivos.
Ataques Activos.
Tipos de Ataques (1)
Lámina 14 Dr. Roberto Gómez Cárdenas
Tipos ataques activos
• Suplantación de identidad.– intruso se hace pasar por una entidad diferente,
normalmente incluye alguna de las otras formas de ataque activo.
• Reactuación. – uno o varios mensajes legítimos son capturados y repetidos
para producir un efecto no deseado,
• Modificación de mensajes. – una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados,
• Degradación del servicio. – impide o inhibe el uso normal o la gestión de recursos
informáticos y de comunicaciones.
Seguridad Informática
Introducción a la Seguridad Informática 8
Dr. Roberto Gómez Cárdenas
Lámina 15 Dr. Roberto Gómez Cárdenas
Ejemplos Ataques
• Virus
• Caballo de Troya
• Gusanos (Worms)
• Bugs
• Trapdoors
• Stack overflow
• Pepena
• Bombas lógicas
• Secuestro sesiones
• Dedos inexpertos
• Falsificación
• Usurpación
• Sniffers
• Spoofing
• Spam
• Grafiti
• Ingeniería Social
• Negación de servicio
Lámina 16 Dr. Roberto Gómez Cárdenas
Riesgo
• Probabilidad / posibilidad de que un evento desfavorable ocurra.
• Tiene un impacto negativo si se materializa.
• A notar: que si no hay incertidumbre, no hay un riesgo per se.
• Ejemplos riesgos– Alto
– Medio
– Bajo
– 327,782 USD
Seguridad Informática
Introducción a la Seguridad Informática 9
Dr. Roberto Gómez Cárdenas
Lámina 17 Dr. Roberto Gómez Cárdenas
Impacto
• Es la “materialización” de un riesgo.
• Una medida del grado de daño o cambio.
• Ejemplos– Retraso en la ejecución y conclusión de
actividades de negocio.
– Perdida de oportunidad y efectividad en la operación.
– Falta de credibilidad frente a clientes.
– Divulgación de información confidencial.
Lámina 18 Dr. Roberto Gómez Cárdenas
Control
• Es una medida o mecanismo para mitigar un riesgo.
• Es un mecanismo establecido para prevenir, detectar y reaccionar ante un evento de seguridad.
• Ejemplos– Desarrollo de políticas y procedimientos de uso de
contraseñas.
– Desarrollo e implantación de un programa de concientización.
– Implementación de un plan de recuperación de desastres
Seguridad Informática
Introducción a la Seguridad Informática 10
Dr. Roberto Gómez Cárdenas
Lámina 19 Dr. Roberto Gómez Cárdenas
En Resumen...
X
Vulnerabilidad
Nivel de Vulnerabilidad
Debilidad Control
RiesgoAmenaza
Lámina 20 Dr. Roberto Gómez Cárdenas
En Resumen...
Amenaza Riesgo
X
Debilidad Control
Vulnerabilidad
Nivel de Vulnerabilidad
No existe un procedimiento de control de cambios en Sistemas Operativos.
• Falta de parches de seguridad.
• Huecos de seguridad por configuraciones erróneas.
ALTO• No ejecución del
proceso de negocio.
• Pérdida de la confidencialidad de la información del negocio.
• Modificación no autorizada de la información del negocio.
•Alto
•Medio
•Bajo
Seguridad Informática
Introducción a la Seguridad Informática 11
Dr. Roberto Gómez Cárdenas
Lámina 21 Dr. Roberto Gómez Cárdenas
Interacción de todos los conceptos
Lámina 22 Dr. Roberto Gómez Cárdenas
Entonces, ¿de que se trata?
Seguridad Informática
Introducción a la Seguridad Informática 12
Dr. Roberto Gómez Cárdenas
Lámina 23 Dr. Roberto Gómez Cárdenas
La estrategía es un ciclo
análisis
mecanismos
políticasSEGURIDADevaluación
Lámina 24 Dr. Roberto Gómez Cárdenas
Asegurando el sistema
• Objetivo– minimizar los riesgos potenciales de seguridad
• Análisis de riesgos– análisis amenazas potenciales que se pueden sufrir,– las pérdidas que se pueden generar – y la probabilidad de su ocurrencia
• Diseño política de seguridad– definir responsabilidades y reglas a seguir para evitar tales
amenazas o – minimizar sus efectos en caso de que se produzcan
• Implementación– usar mecanismos de seguridad para implementar lo anterior
Seguridad Informática
Introducción a la Seguridad Informática 13
Dr. Roberto Gómez Cárdenas
Lámina 25 Dr. Roberto Gómez Cárdenas
Determinación del nivel de riesgo
• Identificar las amenazas
• Que tan probable es que ocurran
• Dos formas de evaluar probabilidad e impacto– Establecer la probabilidad sin considerar los
controles existentes
– Examinar el nivel de riesgo tomando en cuenta los controles existentes
– Probabilidad: alta, media, baja
Lámina 26 Dr. Roberto Gómez Cárdenas
Matriz del nivel de riesgo
ALTO MEDIO BAJO
ALTO Alto AltoModerado
Medio
MEDIO AltoModerado
AltoModerado
Bajo
BAJOModerado
AltoModerado
BajoBajo
Alto: una acción correctiva debe ser implementadaModerado alto: una acción correctiva debería ser implementadaModerado bajo: se requiere acciones de monitoreoBajo; no se requiere ninguna acción en este momento
IMPACTO
PROBABILIDAD
Seguridad Informática
Introducción a la Seguridad Informática 14
Dr. Roberto Gómez Cárdenas
Lámina 27 Dr. Roberto Gómez Cárdenas
¿Y que se hace con el riesgo?
• Etapa conocida como manejo o administración del riesgo– Risk Management
• Alternativas– Tolerar el riesgo: no se implementan controles– Transferir el riesgo: se transfiere el riesgo a un
tercero– Mitigar el riesgo: se implementan controles
• El costo de los controles debe ser analizado y evaluado detalladamente
Lámina 28 Dr. Roberto Gómez Cárdenas
Análisis costo/beneficio
1. Identificación costo posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.La probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones. (B)Seleccionar acciones a implementar.
¿ B ≤ P∗L ?
Se cierra
el ciclo
Seguridad Informática
Introducción a la Seguridad Informática 15
Dr. Roberto Gómez Cárdenas
Lámina 29 Dr. Roberto Gómez Cárdenas
Política de Seguridad
• Especifica las características de seguridad que un sistema debe observar y proveer– conjunto de reglas que deben respetarse para mantener la
seguridad de la información.
• Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse
• Depende de los objetivos y metas de la organización.
• Generalmente es expresada en un lenguaje o idioma.
• Típicamente establecida en términos de sujetos y objetos.
Lámina 30 Dr. Roberto Gómez Cárdenas
Objetos y Sujetos
• Un objeto es todo recurso “pasivo” del sistema. Por ejemplo, la información, un archivo, el código de un programa, un dispositivo de red, etc.
• Un sujeto es toda entidad “activa” en el sistema. Por ejemplo, un usuario, un programa en ejecución, un proceso, etc.
Seguridad Informática
Introducción a la Seguridad Informática 16
Dr. Roberto Gómez Cárdenas
Lámina 31 Dr. Roberto Gómez Cárdenas
Paradigmas
• Paranoico: Nada está permitido.
• Prudente: Lo que no está expresamente permitido, está prohibido.
• Permisivo: Lo que no está expresamente prohibido, está permitido.
• Promiscuo:Todo está permitido.
Lámina 32 Dr. Roberto Gómez Cárdenas
Tipos políticas de seguridad
• Políticas administrativas– Procedimientos administrativos.
• Políticas de control de acceso– Privilegios de acceso del usuario o programa.– Política de menor privilegio
• Políticas de flujo de información– Normas bajo la cuales se comunican los sujetos dentro del
sistema.– La información a la que se accede, se envía y recibe por:
• ¿Canales claros o canales ocultos? ¿Seguros o no?
– ¿Qué es lo que hay que potenciar?• ¿La confidencialidad o la integridad?• ¿La disponibilidad?
Seguridad Informática
Introducción a la Seguridad Informática 17
Dr. Roberto Gómez Cárdenas
Lámina 33 Dr. Roberto Gómez Cárdenas
Ejemplo de Política(en lenguaje natural)
• Sólo se permitirá el intercambio de correo electrónico con redes de confianza.
• Toda adquisición de software a través de la red debe ser autorizada por el administrador de seguridad.
• Debe impedirse la inicialización de los equipos mediante disco.
Lámina 34 Dr. Roberto Gómez Cárdenas
Ejemplo politica (1)
Seguridad Informática
Introducción a la Seguridad Informática 18
Dr. Roberto Gómez Cárdenas
Lámina 35 Dr. Roberto Gómez Cárdenas
Ejemplo política 2
Lámina 36 Dr. Roberto Gómez Cárdenas
Procedimientos
• Son la definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas.
• Los Procedimientos de Seguridad permiten aplicar e implantar las Políticas de Seguridad que han sido aprobadas por la organización.
• Las Políticas definen "qué" se debe proteger en el sistema, mientras que los Procedimientos de Seguridad describen "cómo" se debe conseguir dicha protección
Seguridad Informática
Introducción a la Seguridad Informática 19
Dr. Roberto Gómez Cárdenas
Lámina 37 Dr. Roberto Gómez Cárdenas
Acuerdos de Nivel de Servicio
• Documento en el que se estipulan los niveles de un servicio en función de una serie de parámetros objetivos, establecidos de mutuo acuerdo entre ambas partes, así, refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por caída de servicio, limitación de responsabilidad por no servicio, etc....
• No ha de estar relacionado necesariamente con la contratación de servicios a terceras partes, sino que puede implantarse a nivel interno, transformando una determinada unidad de negocio en centro de servicios que provea a la propia compañía
• Ejemplo:– http://edu.jccm.es/joomla15/index.php/sobre-joomla/informacion-
general/81-acuerdo-de-nivel-de-servicio-sla.html
Lámina 38 Dr. Roberto Gómez Cárdenas
Propietarios, custodio y usuario
• Propietario– Responsable por definir los niveles y estrategias de
protección de la información.
• Custodio– Responsable por el cumplimiento de las directrices de
uso y acceso a la información. Así como conocer y participar en las estrategias de contingencia y recuperación de la misma
• Usuario– Responsable por hacer un uso adecuado y tener acceso
autorizado a la información.
Seguridad Informática
Introducción a la Seguridad Informática 20
Dr. Roberto Gómez Cárdenas
Lámina 39 Dr. Roberto Gómez Cárdenas
Mecanismos de seguridad
• Son la parte más visible de un sistema de seguridad.
• Se convierten en la herramienta básica para garantizar la protección de los sistemas o de la propia red.
• Se dividen en:– prevención
– detección
– recuperación
Estrategias de protecciónEvitaciónPrevenciónDetecciónRecuperación
Lámina 40 Dr. Roberto Gómez Cárdenas
Evitación
• No exponer activos a amenazas.
• Organizar las tareas de modo de evitar amenazas.
• Definición y uso de áreas y/o equipos restringidos o aislados.
Seguridad Informática
Introducción a la Seguridad Informática 21
Dr. Roberto Gómez Cárdenas
Lámina 41 Dr. Roberto Gómez Cárdenas
Prevención
• Incluye funciones de seguridad en hardware y software.
• Debe incluir la definición y observancia de políticas de seguridad.
• Incluye controles administrativos.
• Es la estrategia más ampliamente usada.
Lámina 42 Dr. Roberto Gómez Cárdenas
Mecanismos prevención
• Aumentan la seguridad de un sistema durante el funcionamiento normal de éste.
• Previenen la ocurrencia de violaciones a la seguridad
• Ejemplos mecanismos:– encripción durante la transmisión
de datos– passwords difíciles– firewalls– biométricos
Seguridad Informática
Introducción a la Seguridad Informática 22
Dr. Roberto Gómez Cárdenas
Lámina 43 Dr. Roberto Gómez Cárdenas
Mecanismos prevención más habituales
• Mecanismos de autenticación
• Mecanismos de control de acceso
• Mecanismos de separación
• Mecanismos de seguridad en lascomunicaciones
Lámina 44 Dr. Roberto Gómez Cárdenas
Mecanismos autenticación
• Clasificación– Basados en algo que se sabe – Basados en algo que se es– Basadas en algo que se tiene
• Posible combinar los métodos– autenticación de dos factores
• basado en algo que se sabe y algo que se es• basado en algo que se sabe y algo que se tiene• basado en algo que se es y algo que se tiene• basado en algo que se es y algo que se sabe• otras combinaciones
– autenticación de tres factores• basado en algo que se es, algo se sabe y algo que se tiene
Seguridad Informática
Introducción a la Seguridad Informática 23
Dr. Roberto Gómez Cárdenas
Lámina 45 Dr. Roberto Gómez Cárdenas
Basados en algo que se sabe
• Primeros sistemas de autenticación se basaron en claves de acceso: nombre usuario y una clave de acceso.
• Son fáciles de usar y no requieren de un hardware especial.
• Siguen siendo el sistema de autenticación más usado hoy en día.
• Passwords, frases y números de identificación personal, NIP.
Lámina 46 Dr. Roberto Gómez Cárdenas
El password
• Primera barrera contra ataques.
• El password es la parte más sensible de la seguridad en Unix.
• Es posible tener un sistema donde se ha tenido mucho cuidado del aspecto de seguridad y, sin embargo, que es vulnerable debido a passwords mal elegidos por los usuarios.
Seguridad Informática
Introducción a la Seguridad Informática 24
Dr. Roberto Gómez Cárdenas
Lámina 47 Dr. Roberto Gómez Cárdenas
EL NCSC en 1985 definió la probabilidad de descifrar un password como:
P = (LxR) /S
L = tiempo de vida del password
R = es el número de intentos por unidad de tiempo que es posible realizar para descifrar un password.
S= es el espacio de passwords; el número total de passwords únicos disponibles, donde:
Probabilidad de descifrar un password
Lámina 48 Dr. Roberto Gómez Cárdenas
Espacio de passwords
S= A M
A = el número total de caracteres en el alfabeto
M= longitud el password
Seguridad Informática
Introducción a la Seguridad Informática 25
Dr. Roberto Gómez Cárdenas
Lámina 49 Dr. Roberto Gómez Cárdenas
Aspectos a cuidar en la selección de un password
• No use el nombre del login en ninguna forma
• No use nombres propios, apellidos o sobrenombres.
• No use el nombre de familiares o amigos.
• No use palabras contenidas en diccionarios
• No use información relacionada con usted
• No use únicamente dígitos o la misma letra
• No use menos de siete caracteres
Lámina 50 Dr. Roberto Gómez Cárdenas
Consejos para la selección de passwords
• Use mayúsculas y minúsculas
• Use dígitos y signos de puntuación.
• Use un password fácil de recordar para evitar escribirlo
• Use un password que pueda teclear rápido y sin mirar al teclado.
• Use passwords derivados de frases célebres:
p.e: El respeto al derecho ajeno es la paz, deriva en ERADAELP
Seguridad Informática
Introducción a la Seguridad Informática 26
Dr. Roberto Gómez Cárdenas
Lámina 51 Dr. Roberto Gómez Cárdenas
Tipos de contraseñas con respecto a la aplicación
• Passwords de aplicaciones– ARJ, ZIP, RAR, etc
– Micosoft Office passwords
– Documentos PDF
• Sistemas Operativos– Windows
– Unix
Lámina 52 Dr. Roberto Gómez Cárdenas
Almacenamiento contraseñas
• ¿Cómo se almacenan las contraseñas?– ¿Donde se almacenan las contraseñas?
• Windows: C:\WINDOWS\system32\config\SAM
• Linux: /etc/passwd
• MacOS: /var/db/shadow/hash/
• Shadow passwords
– /etc/shadow sólo puede leerse por root
– /etc/passwd muestra caracteres especiales '*', o x' en lugar del hash de la contraseña
Seguridad Informática
Introducción a la Seguridad Informática 27
Dr. Roberto Gómez Cárdenas
Lámina 53 Dr. Roberto Gómez Cárdenas
Hash: huella digital, message digest o función de un solo sentido
9aa6abe505e5c526d2238f641b903af4
cryptographichash
function
Lámina 54 Dr. Roberto Gómez Cárdenas
Tipos de contraseñas con respecto a su generación
• Lan Manager Hash
• NT Hash
• Salted Hash
Seguridad Informática
Introducción a la Seguridad Informática 28
Dr. Roberto Gómez Cárdenas
Lámina 55 Dr. Roberto Gómez Cárdenas
Lan Manager Hash
• Las contraseñas se convierten a mayúsculas y se truncan en los 14 carácteres
• Las contraseñas se dividen en dos secciones de 7 caracteres y se inserta un bit cero cada séptimo bit, el resultado son secciones de 8 bytes que son usados para crear dos llaves DES
• Cada llave es usada para cifrado DES
• La concatenación de ambas genera un hash LM de 16 bytes
• Soportado por todas las versiones de Windows para compatibilidad hacia atrás
Lámina 56 Dr. Roberto Gómez Cárdenas
Generación del LM Hash
Llave
Constante
Bazinga01 BAZINGA 01*****= +
LM Hash
Llave
Constante
Concatenados
DES DES
Seguridad Informática
Introducción a la Seguridad Informática 29
Dr. Roberto Gómez Cárdenas
Lámina 57 Dr. Roberto Gómez Cárdenas
NT Lan Manager Hash
• Sucesor de LM
• Se basa en hash MD4– Usado tres veces para
producir el hash NT
unicodePwd
Bazinga01 MD4
Lámina 58 Dr. Roberto Gómez Cárdenas
Autenticación en Windows NT
LSA: Local Security AuthoritySAM: Security Accounts ManagerMSV TOP: En máquina localMSV Bottom: En máquina con las cuentas
Seguridad Informática
Introducción a la Seguridad Informática 30
Dr. Roberto Gómez Cárdenas
Lámina 59 Dr. Roberto Gómez Cárdenas
Protocolos de autenticación
• Secreto compartido
• Reto/respuesta (challenge/response)
Lámina 60 Dr. Roberto Gómez Cárdenas
ServidorISA Server (Internet Security and Acceleration Server)
Controlador de dominio
Máquina cliente
Usuario
Nombre dominioUsuarioContraseña
Usuario(texto claro)
Servidor genera número aleatorio (reto)
Cliente cifra el reto con el hash de la contraseña del usuario como llave
Servidor envíaUsuarioReto del servidorRespuesta del cliente
CD utiliza cuenta para Conocer el hash del usuario en el SAM Usa este hash para cifrar El reto
Compara lo que cifraCon la respuesta delCliente y envía el resultadoDe la comparación
Seguridad Informática
Introducción a la Seguridad Informática 31
Dr. Roberto Gómez Cárdenas
Lámina 61 Dr. Roberto Gómez Cárdenas
NTLM Hash
• NTLM Hash: challenge-response sequence
• El cliente envía características soportadas o solicitadas– eg. Tamaño de la llave de cifrado, autenticación
mutua, etc.
• El servidor responde con banderas similaresmas un random challenge
• El cliente utiliza el challenge y sus credenciales para calcular la respuesta
Lámina 62 Dr. Roberto Gómez Cárdenas
Salted hashes
• Salted hashes: Para cada contraseña se genera un número aleatorio (un nonce). Se hace el hash del password con el nonce, y se almacenan el hash y el nonce– Usual– hash = md5(“deliciously salty” + password)
• MD5 is broken• Sus competidores actuales como SHA1 y SHA256
son rápidos, lo cal es un problema
– Con hashes de 16b, hay 2^16 = 65,536 variaciones para la misma contraseña
Seguridad Informática
Introducción a la Seguridad Informática 32
Dr. Roberto Gómez Cárdenas
Lámina 63 Dr. Roberto Gómez Cárdenas
Saltos
• Para hacer más robusto el algoritmo, se le añade un número de 12 bits (entre 0 y 4,095), obtenido del tiempo del sistema.
• Este número se le conoce como salto.• El salto es convertido en un string de dos caracteres
y es almacenado junto con el password en el archivo /etc/passwd ocupando los dos primeros lugares.
• Cuando se teclea el password este es encriptado con el salto, ya que si usa otro, el resultado obtenido no coincidiría con el password almacenado.
Lámina 64 Dr. Roberto Gómez Cárdenas
Ejemplo passwords y saltos
Password Salto Password Encriptado
My+Self oZ oZsV5zgRK6sjwvaLgLo Na NaWyhsolA2gTMATSw.IM! Hc HcLrEM.BYtLwkGlobal Gi GiRzWzP5IEPMGlobal DY DYmeXoTgacmWYGlobal pd pdOTBzon3G2KU
Seguridad Informática
Introducción a la Seguridad Informática 33
Dr. Roberto Gómez Cárdenas
Lámina 65 Dr. Roberto Gómez Cárdenas
Encripción de un password
XY
hora pid
password
SALTO: XY
12 bits / 4096
Campo de contraseña delarchivo /etc/passwd
~DESMD5Blowfish
Lámina 66 Dr. Roberto Gómez Cárdenas
Verificación de un password
XYpassword
password encriptado
¿iguales?
~DESMD5Blowfish
Campo de contraseña delarchivo /etc/passwd
Seguridad Informática
Introducción a la Seguridad Informática 34
Dr. Roberto Gómez Cárdenas
Lámina 67 Dr. Roberto Gómez Cárdenas
Contraseñas y sistemas operativos
Lámina 68 Dr. Roberto Gómez Cárdenas
Crackeo
• El termino se refiere al hecho de encontrar la contraseña de una determinada cuenta o de un conjunto de cuentas.
• Puede ser considerado ilegal o parte de una auditoria.
• Técnicas principales– Ataque por diccionario:
– Ataque por fuerza bruta
– Híbrido: Diccionario con fuerza bruta
Seguridad Informática
Introducción a la Seguridad Informática 35
Dr. Roberto Gómez Cárdenas
Lámina 69 Dr. Roberto Gómez Cárdenas
Técnicas crackeo contraseñas
• ¿Cómo se crackean las contraseñas?– Fuerza bruta: ataques en línea contra ataques
fuera de línea. Dado el tiempo y CPU suficientelas contraseñas eventualmente serán crackeadas
– Diccionario: Lista de palabras, encriptadas unavez en un tiempo dado y verifica si los hashes son iguales
– Híbrido: Diccionario con fuerza bruta
Lámina 70 Dr. Roberto Gómez Cárdenas
Tiempo de crackeo
Conjunto caracteres Número de símbolos en el conjunto
Passwords de 3 símbolos
Passwords de 6 símbolos
Cantidad Tiempo Cantidad Tiempo
Letras latinas minúsculas
26 17,576 0.02 segs 308.915.776 5 min
Letras latinas minúsculas y dígitos.
36 46,656 0.04 segs 2.176.782.336 36 min
Letras latinas minúsculas, mayúsculas y dígitos.
62 238,238 0.2 segs 56.800.235.584 15 hrs
Letras latinas minúsculas, mayúsculas, dígitos y caracteres especiales
94 830,584 1 seg 689.869.781.056 8 dias
Seguridad Informática
Introducción a la Seguridad Informática 36
Dr. Roberto Gómez Cárdenas
Lámina 71 Dr. Roberto Gómez Cárdenas
Tiempo de crackeo
Conjunto caracteres
Número símbolos
Passwords de 8 símbolos Passwords de 12 símbolos
Cantidad Tiempo Cantidad Tiempo
Letras latinas minúsculas
26 208.827.064.576 58 hrs 95.428.956.661.682.176 3,000 años
Letras latinas minúsculas y dígitos.
36 2.821.109.907.456 32 días 4.738.381.338.321.616.896 150,000 años
Letras latinas minúsculas, mayúsculas y dígitos.
62 2.183.40.105.584.896 7 años 3.226.266.762.397.899.821.056
100 millones años
Letras latinas minúsculas, mayúsculas, dígitos y caracteres especiales
94 6.095.689.385.410.816 193 años 475.920.314.814.253.376.475.1366
Más de lo que ha existido la tierra
Lámina 72 Dr. Roberto Gómez Cárdenas
Procesamiento
• CPUs
• Procesadores gráficos– GPGPU, (General-purpose computing on
graphics processing units) en Georgia Tech Research Institute
• Botnets
• Distributed.net
• FPGAs: DeepCrack de la EFF
• La nube
Seguridad Informática
Introducción a la Seguridad Informática 37
Dr. Roberto Gómez Cárdenas
Lámina 73 Dr. Roberto Gómez Cárdenas
Password Cracking en la nube
Lámina 74 Dr. Roberto Gómez Cárdenas
Las contraseñas son como la ropa interior…
• Debes cambiarla regularmente.
• No puedes dejar que nadie la vea
• No la compartas ni con tus amigos.
• Mientras más largas, mejor.
• No las dejes tiradas por ahí.
• Sé misterioso.
Seguridad Informática
Introducción a la Seguridad Informática 38
Dr. Roberto Gómez Cárdenas
Lámina 75 Dr. Roberto Gómez Cárdenas
Basados en algo que se tiene
• Usar un objeto físico que llevan consigo y que de alguna forma comprueba la identidad del portador.
• Las tarjetas de acceso son las prendas típicas
• Cada tarjeta tiene un número único.
• El sistema tiene una lista de las tarjetas autorizadas.
Lámina 76 Dr. Roberto Gómez Cárdenas
Arquitectura Tarjeta Inteligente
CPU RAM ROM
SecurityBlock
Input/Output
PersistentMemory
8 bits (6805), 16 bits and 32 bits RISC (ARM 7)
2KB to 64 KB
Maximum 64 KB
128 Bytes to1 KB
Seguridad Informática
Introducción a la Seguridad Informática 39
Dr. Roberto Gómez Cárdenas
Lámina 77 Dr. Roberto Gómez Cárdenas
Problemas de este mecanismo
• El objeto no prueba quien es la persona. – Cualquiera que tenga la tarjeta puede entrar al
área restringida.
• Si una persona pierde su objeto no podra entrar al área restringida aunque no haya cambiado su identidad.
• Algunas prendas pueden ser copiadas o falsificadas con facilidad.
Lámina 78 Dr. Roberto Gómez Cárdenas
Basados en algo que se es
• Se realiza una medición física y se compara con un perfil almacenado con anterioridad,– técnica conocida como biométrica,
– se basa en la medición de algún rasgo de una persona viva.
• Existen dos formas para usar biometricos:– comparar las medidas de un individuo con un perfil
específico almacenado.
– buscar un perfil en particular en una gran base de datos.
Seguridad Informática
Introducción a la Seguridad Informática 40
Dr. Roberto Gómez Cárdenas
Lámina 79 Dr. Roberto Gómez Cárdenas
El proceso biométrico
Registro
Identificación
SensorBiométrico
Extractorcaracterística
Base datos template
SensorBiométrico
Extractor característica
Comparacióncaracterística
Lámina 80 Dr. Roberto Gómez Cárdenas
Características biométrico ideal
• Universal– toda persona posee la característica
• Único– dos personas no comparten la característica
• Permanente– la característica no debe cambiar o alterarse
• Colectable (collectable)– característica es realmente presentable a un
sensor y es fácilmente cuantificable.
Seguridad Informática
Introducción a la Seguridad Informática 41
Dr. Roberto Gómez Cárdenas
Lámina 81 Dr. Roberto Gómez Cárdenas
Sistemas biométricos prácticos
• Desempeño– robustez, requerimientos de recursos, y factores
operacionales o de ambiente que afectan su confiabilidad y velocidad
• Aceptación– personas dispuestas a aceptar un identificador biométrico
en su vida diaria.
• Confiablidad– que tan fácil es engañar al sistema, a través de métodos
fraudulentos
Lámina 82 Dr. Roberto Gómez Cárdenas
Tecnologías Biométricas
• Imágenes faciales
• Geometría mano
• Métodos basados en el ojo
• Firmas
• Voz
• Geometría de la vena
• Imágenes palma y dedos
Seguridad Informática
Introducción a la Seguridad Informática 42
Dr. Roberto Gómez Cárdenas
Lámina 83 Dr. Roberto Gómez Cárdenas
Retina y huella
http://news.bbc.co.uk/nol/shared/spl/hi/guides/45690
Lámina 84 Dr. Roberto Gómez Cárdenas
Ejemplo 1
Seguridad Informática
Introducción a la Seguridad Informática 43
Dr. Roberto Gómez Cárdenas
Lámina 85 Dr. Roberto Gómez Cárdenas
Ejemplo 2
Lámina 86 Dr. Roberto Gómez Cárdenas
Comparación
Biometrico Universal Unico Permanente Colectable Desempe ño Aceptación ConfiabilidadCara alta baja media alta baja baja bajoHuella digital media alta alta media alta media altoGometria Mano media media media alta media media mediaIris alta alta alta media alta baja altaScan retina alta alta media baja alta baja altaFirma baja baja baja alta baja alta bajaImpresión voz media baja baja media baja alta bajaF. Termográfico alta alta baja alta media alta alta
Seguridad Informática
Introducción a la Seguridad Informática 44
Dr. Roberto Gómez Cárdenas
Lámina 87 Dr. Roberto Gómez Cárdenas
Concluyendo…
Lámina 88 Dr. Roberto Gómez Cárdenas
Mecanismos de control de acceso
• La autenticación pretende establecer quién eres.• La autorización (o control de accesos) establece qué
puedes hacer con el sistema.• Dos modelos: DAC y MAC• Control de acceso discrecional (DAC),
– un usuario bien identificado (típicamente, el creador o'propietario' del recurso) decide cómo protegerloestableciendo cómo compartirlo, mediante controles deacceso impuestos por el sistema.
• Control acceso mandatorio (MAC)– es el sistema quién protege los recursos. – todo recurso del sistema, y todo usuario tiene una etiqueta de
seguridad.
Seguridad Informática
Introducción a la Seguridad Informática 45
Dr. Roberto Gómez Cárdenas
Lámina 89 Dr. Roberto Gómez Cárdenas
Control de acceso basado en Roles
• También conocido como RBAC– Role Based Access Control
• Surge a finales de los 80s y toma un fuerte impulso en los 90s.
• Combina aspectos de DAC y MAC , pero con una visión más orientada a la estructura organizacional.
• Básicamente consiste en la creación de roles para los trabajos o funciones que se realizan en la organización.
• Los miembros del staff se asignan a roles y a través de estos roles adquieren permisos para ejecutar funciones del sistema.
Lámina 90 Dr. Roberto Gómez Cárdenas
RBAC
• Los sujetos acceden a los objetos en base a las actividades que (los sujetos) llevan a cabo en el sistema.
• Es decir, considerando los roles que ocupan en el sistema.
• Rol– Es el conjunto de acciones y responsabilidades
asociadas con una actividad en particular.
– También conocido como Perfil
Seguridad Informática
Introducción a la Seguridad Informática 46
Dr. Roberto Gómez Cárdenas
Lámina 91 Dr. Roberto Gómez Cárdenas
Ejemplo RBAC: Sistema GRid
Listar
Aplics
Migrar
Aplic o
clase
Aprovisio-
nar una
aplicación
Crear o
importar
aplicación
Enumerar
catálogos
Mostrar
info
servidores
Listar
ACL
Grid
Reiniciar
la Grid
Crear o
borrar
usuarios
Desbloqueo
de usuarios
Importar
exportar
volums
Limipia o
reparar
volums
Monitor X X X
Operador X X X
Desarrollador X X X X X X X
Operador Grid X X X X X X
Admon Grid X X X X X X X X X X X X
Lámina 92 Dr. Roberto Gómez Cárdenas
Ejemplo asignación perfiles
Seguridad Informática
Introducción a la Seguridad Informática 47
Dr. Roberto Gómez Cárdenas
Lámina 93 Dr. Roberto Gómez Cárdenas
Control acceso y monitor referencia
• Monitor referencia: mecanismo responsable de “mediar” cuando los sujetos intentan realizar operaciones sobre los objetos en función de una política de acceso.
Solicitud deacceso
SujetoMonitor de Referencia
Objeto
Lámina 94 Dr. Roberto Gómez Cárdenas
Matriz de control de acceso
• Modelo conceptual que describe el estado de protección de manera precisa.
• Matriz que describe los permisos de los sujetos (usuarios o procesos) sobre los objetos.
Seguridad Informática
Introducción a la Seguridad Informática 48
Dr. Roberto Gómez Cárdenas
Lámina 95 Dr. Roberto Gómez Cárdenas
Ejemplo matriz de acceso
• Dos procesos: proc1, proc2
• Dos archivos: arch1, arch2
• Permisos: r=lectura, w=escritura, x=ejecución, a = añadir
rwa r rwxa w
a ra r rwxa
arch1 arch2 proc1 proc2
proc1 proc2
Lámina 96 Dr. Roberto Gómez Cárdenas
Segundo ejemplo
• Dos usuarios: toto, cachafas
• Tres archivos: info.pdf, script.sh, foto.jpg
• Tres permisos: r=lectura, w=escritura, x=ejecución
--- rwx rw
rw rx r
info.pdf script.sh foto,jpg
totocachafas
Seguridad Informática
Introducción a la Seguridad Informática 49
Dr. Roberto Gómez Cárdenas
Lámina 97 Dr. Roberto Gómez Cárdenas
Un último ejemplo
Lámina 98 Dr. Roberto Gómez Cárdenas
Implementación
• Dos formas de implementar la matriz de control de accesos:
– Lista de control de accesos (ACL):• Hay una lista por objeto. Indica los permisos que
posee cada sujeto sobre el objeto.
– Lista de capacidades:• Hay una lista por sujeto. Indica los permisos que
posee el sujeto sobre cada objeto.
Seguridad Informática
Introducción a la Seguridad Informática 50
Dr. Roberto Gómez Cárdenas
Lámina 99 Dr. Roberto Gómez Cárdenas
Listas de control de accesos
• Consiste en almacenar la matriz de control de accesos por columnas.
• Dado un objeto, tenemos las siguientes ventajas :– Es fácil ver los permisos del mismo para todos los
sujetos.
– Es fácil revocar todos sus accesos, reemplazando su ACL por una vacía.
– Es fácil darlo de baja, borrando su ACL.
• Problemas:– ¿Cómo verificar a que puede acceder un sujeto?
Lámina 100 Dr. Roberto Gómez Cárdenas
Lista control de acceso
Objeto Dominio(s) Derechos de Acceso
D1 eje, lec
D2 lec, esc, borr
D3 esc, lec, eje
D5 lec, eje
D4 esc
D5 lec, eje
A4 D3 esc, lec, eje
D3 imp
D4 imp
Imp2 D5 imp
UC1 D4 lec, esc
D2 lec, esc, reb
D3 lec, reb
A1
A2
A3
Imp1
UC2
Seguridad Informática
Introducción a la Seguridad Informática 51
Dr. Roberto Gómez Cárdenas
Lámina 101 Dr. Roberto Gómez Cárdenas
Lista de capacidades
• Consiste en almacenar la matriz de control de accesos por filas.
• Dado un sujeto, tenemos las siguientes ventajas:– Es fácil de chequear todos los permisos que posee.
– Es fácil de revocar sus permisos, reemplazando su lista de capacidades por una vacía.
– Es fácil darlo de baja, eliminando su lista de capacidades.
• Problemas:– ¿Cómo verificar quien puede acceder a un objeto?
Lámina 102 Dr. Roberto Gómez Cárdenas
Ejemplo lista capacidades
Dominio Objeto(s) Derechos de Acceso
D1 A1 lec, eje
A1 lec, esc, borr
UC2 lec, esc, reb
A2 lec, esc, eje
A4 esc, lec, eje
Imp1 imp
UC2 lec, reb
A3 esc
Imp1 imp
UC1 lec, esc
A2 lec, eje
A3 lec, eje
Imp2 imp
D2
D3
D4
D5
Seguridad Informática
Introducción a la Seguridad Informática 52
Dr. Roberto Gómez Cárdenas
Lámina 103 Dr. Roberto Gómez Cárdenas
Lista capacidades vs ACL
Lámina 104 Dr. Roberto Gómez Cárdenas
Ejemplo definición perfiles aplicativos
Seguridad Informática
Introducción a la Seguridad Informática 53
Dr. Roberto Gómez Cárdenas
Lámina 105 Dr. Roberto Gómez Cárdenas
Mecanismos de separación
• Definición de un perímetro de seguridad• Definir las zonas “abiertas” y las zonas
cerradas.– DMZ: Zona desmilitarizada
• Mecanismos que sirven para delimitar una frontera– Filtros de paquetes– Firewalls– Wrappers– Proxies
Lámina 106 Dr. Roberto Gómez Cárdenas
Ejemplo separación
INTERNET
Seguridad Informática
Introducción a la Seguridad Informática 54
Dr. Roberto Gómez Cárdenas
Lámina 107 Dr. Roberto Gómez Cárdenas
Mecanismos seguridad en las comunicaciones
• Seguridad en la transmisión de información entre las diferentes entidades.
• Objetivos– Confidencialidad de la información transmitida– Integridad de los datos entre las diferentes
entidades– Autenticidad de las partes comunicantes y de la
información transmitida
• Herramientas– Criptografía: VPNs
Lámina 108 Dr. Roberto Gómez Cárdenas
Detección
• Busca descubrir incidentes al momento en que ocurren o lo antes posible.
• Debe permitir detectar eventos para reducir el daño.
• Permite identificar y perseguir culpables.
• Revela vulnerabilidades.
Seguridad Informática
Introducción a la Seguridad Informática 55
Dr. Roberto Gómez Cárdenas
Lámina 109 Dr. Roberto Gómez Cárdenas
Mecanismos detección
• Son aquellos que se utilizan para detectar violaciones de la seguridad o intentos de violación.
• Ejemplos de estos mecanismos– IDS
• Tripwire• Snort
– Detectores de vulnerabilidades• Nessus• ISS
Lámina 110 Dr. Roberto Gómez Cárdenas
Mecanismos de recuperación
• Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste su funcionamiento correcto.
• Ejemplos– respaldos– redundancia– bitácoras– BCP– DRP
• Subgrupo– mecanismos de
análisis forense
Bueno, Gracias al Cielo salimos a tiempo . . . Y Ahora Qué? . . .
Seguridad Informática
Introducción a la Seguridad Informática 56
Dr. Roberto Gómez Cárdenas
Lámina 111 Dr. Roberto Gómez Cárdenas
Accountabilty: bitácoras
• Se refiere al procedimiento a través del cual un sistema operativo registra eventos conforme van ocurriendo y los preserva para un uso posterior.
• Bitácora:– Registro de datos sobre quien, que,
cuando, donde y por que (W5: who, what, when, where y why, W5) un evento relacionado con un dispositivo o aplicación en particular tiene lugar.
• La mayoría de las bitácoras son almacenadas o desplegadas en el formato estándar ASCII
Lámina 112 Dr. Roberto Gómez Cárdenas
Consolidación de bitácoras
• Todos los dispositivos envían sus archivos de bitácoras a un único común servidor de bitácoras.
• todos los dispositivos similares envían sus archivos de bitácoras a un único servidor designado.
Seguridad Informática
Introducción a la Seguridad Informática 57
Dr. Roberto Gómez Cárdenas
Lámina 113 Dr. Roberto Gómez Cárdenas
Ejemplo consolidación
Lámina 114 Dr. Roberto Gómez Cárdenas
Rotación de bitácoras
Seguridad Informática
Introducción a la Seguridad Informática 58
Dr. Roberto Gómez Cárdenas
Lámina 115 Dr. Roberto Gómez Cárdenas
Correlación de bitácoras
Lámina 116 Dr. Roberto Gómez Cárdenas
Algunos aspectos a considerar
• Es posible configurar los sistemas de tal forma que los eventos:– Se escriban en uno o en distintos archivos, – Se envíen a través de la red a otra computadora,– Se transmitan a algún dispositivo.
• Principales desventajas– Espacio disco– Desempeño del sistema
• Confidencialidad e integridad de las bitácoras.• Sincronización de relojes de las fuentes de las
bitácoras.
Seguridad Informática
Introducción a la Seguridad Informática 59
Dr. Roberto Gómez Cárdenas
Lámina 117 Dr. Roberto Gómez Cárdenas
Uniendo todo
Motor de correlaciónA1
A2
An
Base de Datos
B1
B2
Bn
Reglas
Correlación de
EventosSalida
Recolección FiltradoNormalización
Lámina 118 Dr. Roberto Gómez Cárdenas
Visión gráfica de las bitácoras
Seguridad Informática
Introducción a la Seguridad Informática 60
Dr. Roberto Gómez Cárdenas
Lámina 119 Dr. Roberto Gómez Cárdenas
El sistema VALI (Visual Analysis of Log Information)
Lámina 120 Dr. Roberto Gómez Cárdenas
Los respaldos
• Es una copia de los datos escrita en cinta u otro medio de almacenamiento duradero.
• De manera rutinaria se recuerda a los usuarios de computadoras que respalden su trabajo con frecuencia.
• Los administradores de sitios pueden tener la responsabilidad de respaldar docenas o incluso cientos de máquinas
Seguridad Informática
Introducción a la Seguridad Informática 61
Dr. Roberto Gómez Cárdenas
Lámina 121 Dr. Roberto Gómez Cárdenas
Tipos de respaldos
• Respaldo completo (full backup)– Se respaldan todos los archivos, contenidos en el
dispositivo protegiso en el medio de respaldo.
• Respaldo diferencial (differential backup)– Se respaldantodos los archivosque han sido
modificados desde más reciente respaldo completo.
• Respaldo incremental (incremental backup)– Se respaldansolo aquellos archivosque han sido
modificados desde el más reciente respaldo completo o incremental.
Lámina 122 Dr. Roberto Gómez Cárdenas
Ejemplos de respaldos completosy diferenciales.
Seguridad Informática
Introducción a la Seguridad Informática 62
Dr. Roberto Gómez Cárdenas
Lámina 123 Dr. Roberto Gómez Cárdenas
Ejemplo de una restauracióndiferencial
Lámina 124 Dr. Roberto Gómez Cárdenas
Ejemplo de un respaldoincremental
Seguridad Informática
Introducción a la Seguridad Informática 63
Dr. Roberto Gómez Cárdenas
Lámina 125 Dr. Roberto Gómez Cárdenas
Ejemplo de un restablecimientoincremental
Lámina 126 Dr. Roberto Gómez Cárdenas
Diferencial vs incremental
Archivos modificados
RespaldoDiferencial
RespaldoIncremental
Seguridad Informática
Introducción a la Seguridad Informática 64
Dr. Roberto Gómez Cárdenas
Lámina 127 Dr. Roberto Gómez Cárdenas
Modelo de status de los datos
SiteSiteSiteSite PrimarioPrimarioPrimarioPrimario SiteSiteSiteSite RecuperaciónRecuperaciónRecuperaciónRecuperación
No transferible Transferible Transferido Aplicado
Unsafe: No seguro Safe: Seguro
Lámina 128 Dr. Roberto Gómez Cárdenas
Esquemas de respaldos
1. Ninguno
2. Backup periódico
3. Ready to Roll Forward
4. Roll-Forward
5. RealTime-Roll-Forward
6. RealTime-Remote-Updat
Seguridad Informática
Introducción a la Seguridad Informática 65
Dr. Roberto Gómez Cárdenas
Lámina 129 Dr. Roberto Gómez Cárdenas
Esquemas de respaldos
1. Ninguno– No se tiene ninguna provisión para recuperar la
aplicación en caso de un desastre.
2. Backup Periódico– En forma periódica se saca un respaldo de todo
lo requerido para recuperar la aplicación hasta el momento en que se sacó dicho respaldo y se envía a una localidad donde esté a salvo.
– Tipo respaldo: full backup
Lámina 130 Dr. Roberto Gómez Cárdenas
3. Ready-to-roll-forward
• En adición a los respaldos periódicos, se obtienen bitácoras de actualizaciones a datos los cuales se envían a otra localidad para que estén a salvo.
• El transporte de los datos o de las bitácoras puede ser por algún medio físico o electrónico.
• La recuperación será hasta la última bitácora recibida en el sitio de recuperación.
• Tipos de respaldo: – Completo y
– Diferencial o incremental
Seguridad Informática
Introducción a la Seguridad Informática 66
Dr. Roberto Gómez Cárdenas
Lámina 131 Dr. Roberto Gómez Cárdenas
4. Roll-Forward
• Una copia “shadow” de los datos se mantiene en el disco ubicado en el sitio de recuperación.
• Las bitácoras de las actualizaciones de los datos se recolectan allí y son aplicados periódicamente a la copia “shadow” a través de utilerías de recuperación.
• La transmisión puede ser por medios físicos o electrónicos.
Lámina 132 Dr. Roberto Gómez Cárdenas
5. Realtime-Roll-Forward
• Este esquema de respaldo es similar a la de Roll-Forward, excepto que las actualizaciones son transmitidas y aplicadas al mismo tiempo en que están siendo grabadas en el “log” en el site de producción.
• Esta transmisión y aplicación del “log” casi en tiempo real, no debería impactar el tiempo de respuesta de las transacciones en el site de producción.
Seguridad Informática
Introducción a la Seguridad Informática 67
Dr. Roberto Gómez Cárdenas
Lámina 133 Dr. Roberto Gómez Cárdenas
6. Realtime-remote-update
• Este esquema de respaldo también es conocido como “Remote Copy Síncrono” o “Replicación Síncrona”.
• Es la capacidad para actualizar los datos tanto en el site de producción como la copia “shadow”, antes de que sea enviada la respuesta a una transacción o al hecho en que se complete un programa/tarea.
Lámina 134 Dr. Roberto Gómez Cárdenas
Planes de contingencia
• Consiste en un análisis pormenorizado de las áreas que componen una organización para establecer una política de recuperación ante un desastre.– es un conjunto de datos estratégicos de la empresa y que se
plasma en un documento con el fin de protegerse ante eventualidades.
• Además de aumentar su seguridad la empresa también gana en el conocimiento de fortalezas y debilidades.
• Si no lo hace, se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan.
Seguridad Informática
Introducción a la Seguridad Informática 68
Dr. Roberto Gómez Cárdenas
Lámina 135 Dr. Roberto Gómez Cárdenas
DRP y BCP
• DRP (Disaster Recovery Planning)– Recuperar la operación de los servicios computacionales y
de telecomunicacionesdespués de un desastre.
• BCP (Business Continuity Planning)– Capacidad para mantener la continuidad de las operaciones.
• Business Continuity Management– Establecer la administración de la continuidad del negocio
como un programa continuo, el cual incluye procedimientos para la ejecución, prueba, actualización y mantenimiento de todos los planes de recuperación y continuidad del negocio.
Lámina 136 Dr. Roberto Gómez Cárdenas
¿Desastre?
• Desastre es un evento no planeado que ocasiona la “no disponibilidad” de los servicios informáticos por un periodo de tiempo tal que, para restablecer estos servicios, es necesario utilizar facilidades alternas de cómputo y telecomunicaciones en otra localidad.
• Los planes están dirigidos a situaciones catastróficas (no problemas rutinarios).
Seguridad Informática
Introducción a la Seguridad Informática 69
Dr. Roberto Gómez Cárdenas
Lámina 137 Dr. Roberto Gómez Cárdenas
Una posible clasificación de desastres
1
Destrucción
2
No Acceso
3
No Uso (Sistemas)
4 5
Lámina 138 Dr. Roberto Gómez Cárdenas
Elementos BCP
• BIA– Análisis de Impacto al Negocio
– Identificar las Funciones y Procesos Críticos del Negocio, y determinar el impacto de una interrupción significativa del servicio (desastre) en las Unidades Funcionales.
• RTO (Recovery Time Objective)– Define el límite de tiempo máximo tolerable dentro del cual se
recuperan los datos. Si se produce un desastre y los sistemas deben estar disponibles inmediatamente, pero se permite que haya alguna pérdida de datos, el RTO es cero.
– Sin embargo, si se tolera una hora de recuperación de datos, el RTO es una hora
Seguridad Informática
Introducción a la Seguridad Informática 70
Dr. Roberto Gómez Cárdenas
Lámina 139 Dr. Roberto Gómez Cárdenas
Elementos BCP
• RPO (Recovery Point Objective) – Expresa la tolerancia a la pérdida de datos como resultado de una
interrupción de las operaciones de la empresa o del Proceso del Negocio.
– Comúnmente se mide como el tiempo entre el último respaldo de los datos y el momento del desastre.
– ¿Cuál es la tolerancia en términos de cantidad de tiempo, para la pérdida de datos, que puede ocurrir entre cualesquiera dos períodos de respaldo?
• Sitios alternos– Hot site
– Warm Site
– Cold site
Lámina 140 Dr. Roberto Gómez Cárdenas
Hot Site
• Una sala o instalación de cómputo alterna la cual tiene instalado el equipo de cómputo, las telecomunicaciones, y la infraestructura ambiental requerida para recuperar los sistemas, aplicaciones y servicios que soportan los procesos de la organización.
Seguridad Informática
Introducción a la Seguridad Informática 71
Dr. Roberto Gómez Cárdenas
Lámina 141 Dr. Roberto Gómez Cárdenas
• Una sala o instalación de cómputo alterna con acondicionamiento eléctrico y ambiental la cual tiene preinstalado algún equipo periférico e interfaces de comunicaciones mas no el procesador central o servidores, los cuales, normalmente son los equipos más caros y que son indispensables para poder realizar la recuperación de los sistemas, aplicaciones y servicios que soportan los procesos de la organización
Warm Site
Lámina 142 Dr. Roberto Gómez Cárdenas
Una sala o instalación de cómputo alterna que cuenta con la infraestructuraambiental requerida para recuperar los sistemas, aplicaciones y servicios quesoportan los procesos de la organización, pero que no tiene preinstalado ningúnequipo de cómputo, equipo de telecomunicaciones ni Red, los cuales deberánser proporcionados e instalados en la etapa del desastre.
Cold Site
Seguridad Informática
Introducción a la Seguridad Informática 72
Dr. Roberto Gómez Cárdenas
Lámina 143 Dr. Roberto Gómez Cárdenas
BCM vs BCP vs DRP
BCM (BusinessContinuity
Management) BCP(BusinessContinuityPlanning)
DRP (DisasterRecoveryPlanning)
Administración de la continuidad como un proceso
Plan específico atecnología de la
Información
Plan dirigido alos procesosdel Negocio
Lámina 144 Dr. Roberto Gómez Cárdenas
Fases de la Metodología DRP / BCP / BCM
1. Planeación y
Organización
del Proyecto
2. Análisis
tecnológico
3. Análisis de
Impacto al
Negocio (BIA)
4. Estrategias
para la
recuperación
5. Desarrollo del Plan para el
Restablecimiento del Servicio Informático
(Cómputo y Comunicaciones) (DRP).
6. Prueba del
Plan de DRPDRP
7. Análisis
de Riesgos
de Desastre
BCP
8. Desarrollo del Plan para el restablecimiento y
continuidad de los Procesos Críticos del Negocio
operados por los Usuarios
9. Prueba del Plan para el restablecimiento
y continuidad de los Procesos Críticos del
Negocio operados por los Usuarios
10. Programa de
Sensibilización Corporativa
sobre DRP-BCP (Awareness)
11. Desarrollo
del Plan de
Manejo de Crisis
BCM
12. Ejecución permanente del Programa de Administración de
la Continuidad del Negocio (BCM)
Seguridad Informática
Introducción a la Seguridad Informática 73
Dr. Roberto Gómez Cárdenas
Lámina 145 Dr. Roberto Gómez Cárdenas
El computo forense
• Se refiere al proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal
• ¿Que clase de evidencia ?– la computadora involucrada de forma directa.
– la computadora involucrada de forma indirecta.
• Meta: reconstrucción de eventos pasados– reconstruir que pasó, que lo ocasionó y deslindar
responsabilidades
Lámina 146 Dr. Roberto Gómez Cárdenas
El proceso forense
Identificar evidencia
Preservar evidencia
Analizar evidencia
Presentarevidencia
Seguridad Informática
Introducción a la Seguridad Informática 74
Dr. Roberto Gómez Cárdenas
Lámina 147 Dr. Roberto Gómez Cárdenas
Clasificación mecanismos seguridad
Mecanismosde seguridad
prevención
detección
recuperación
autenticación
control acceso
separación
seguridad comunicaciones
IDSscanner vulnerabilidades
en lo que se sabeen lo que se tieneen lo que es
discrecionalmandatorio
filtrosfirewallwrappersproxies
respaldosredundanciabitácorasBCPDRPanálisis forense
Lámina 148 Dr. Roberto Gómez Cárdenas
Algunos principios de Seguridad
• Propuestos por la OECD en 1992– Organisation for Economic Co-operation and
Developmen
• Entre los más importantes encontramos– Accountability (Responsabilidad / Rendición de
Cuentas)
– Awareness (Sensibilización)
Seguridad Informática
Introducción a la Seguridad Informática 75
Dr. Roberto Gómez Cárdenas
Lámina 149 Dr. Roberto Gómez Cárdenas
Accountability
• Propiedad que asegura que las acciones de una entidad deben llevar unicamente a dicha entidad (ISO 7498-2)
• La propiedad que habilita actividades en un sistema ADP que conducen (trace) a individuos que pueden ser declarados responsables de dichas actividades (DOE 5636.2A)
Lámina 150 Dr. Roberto Gómez Cárdenas
Awareness (Sensibilización)
• Todas las partes deben poder conocer las medidas de seguridad, practicas y procedimientos.
• Una motivación para este principio es forzar la confianza en los sistemas de información.
Seguridad Informática
Introducción a la Seguridad Informática 76
Dr. Roberto Gómez Cárdenas
Lámina 151 Dr. Roberto Gómez Cárdenas
Ejemplos awareness
Lámina 152 Dr. Roberto Gómez Cárdenas
Top 10 Reasons Computers Don't Have Security.
10. I just use my computer for email and web browsing.
9. I've never had any virus problems.
8. Well, I did have some security, but it kept popping up all the time.
7. It might crash my system.
6. My subscription kept expiring.
5. It slows down my system.
4. I thought it came with the computer.
3. It's too expensive.
2. Macs don't need security.
1. I don't know what to buy or how to install it.
Fuente: SANS: Ouch! Newsletter
Seguridad Informática
Introducción a la Seguridad Informática 77
Dr. Roberto Gómez Cárdenas
Lámina 153 Dr. Roberto Gómez Cárdenas
Servicios propuestos por OSI
• Autentificación.– autenticación del cliente– autenticación del servidor
• Control de Acceso– se aplica a los usuarios y procesos que ya
han sido autentificados
• Confidencialidad.– principal mecanismo: criptologia
• Integridad de Datos– CRCs y huellas digitales.
• No Repudiación.
Norma 7498-2
Lámina 154 Dr. Roberto Gómez Cárdenas
No Repudiación.
• Permite comprobar las acciones realizadas por el origen o destino de los datos.– con prueba de origen.
– con prueba de entrega.
• Los mecanismos principales son los certificados y las firmas digitales.
• Dos objetivos, garantizar:– que alguien que haya recibido
un pago no pueda negar este hecho.
– que alguien que haya efectuado un pago no pueda negar haberlo hecho.
Seguridad Informática
Introducción a la Seguridad Informática 78
Dr. Roberto Gómez Cárdenas
Lámina 155 Dr. Roberto Gómez Cárdenas
AAA
Authentication, authorization, y accounting
Lámina 156 Dr. Roberto Gómez Cárdenas
La AAA
• Authentication, authorization, y accounting – consiste de un framewok que proporciona los tres
servicios
• El objetivo del grupo de trabajo AAA es definir un protocolo que implemente autenticación, autorización y accounting lo suficientemente general para ser usado en aplicaciones diferentes.
• Definición de la arquitectura– de Laat, C. & Gross, G. & Gommans, L. & Vollbrecht, J.
& Spence, C., Generic AAA architecture, Internet Draft (work in progress), January 2000.
Seguridad Informática
Introducción a la Seguridad Informática 79
Dr. Roberto Gómez Cárdenas
Lámina 157 Dr. Roberto Gómez Cárdenas
Esquema general
Autenticación Autorización Accountability
proporcionar un métodopara identificar un usuario.
p.e. login/password
autorización para llevar a cabo ciertas
tareas
mide y/o almacena losrecursos que un usuario
consume durante su acceso
Servidor AAA
Lámina 158 Dr. Roberto Gómez Cárdenas
Evaluación
• Como evaluar que un sistema es seguro o no
• Tres mecanismos– la auditoría de seguridad (security audit),
– la evaluación de la seguridad (security assessment)
– las pruebas de penetración (penetration testing o PEN TEST).
Seguridad Informática
Introducción a la Seguridad Informática 80
Dr. Roberto Gómez Cárdenas
Lámina 159 Dr. Roberto Gómez Cárdenas
Auditoría
• Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional (Ray Kaplan)
• Auditores limitan el alcance y no incluyen detalles técnicos de bajo nivel: – fallas en protocolos de comunicación.
• Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas.
• Generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité
Lámina 160 Dr. Roberto Gómez Cárdenas
Evaluación Seguridad Informática
• Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización.
• Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías.
• Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspiciode un comité ad-hoc conformado por personal de la organización, más que por auditores certificados.
Seguridad Informática
Introducción a la Seguridad Informática 81
Dr. Roberto Gómez Cárdenas
Lámina 161 Dr. Roberto Gómez Cárdenas
Pruebas de penetración
• Conjunto de metodologías y técnicas, que se llevan a cabo para proporcionar una evaluación integral de las debilidades de los sistemas informáticos.
• Consiste en reproducir intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como externos a la organización.
• El objetivo final es determinar el grado de acceso a la infraestructura informática que tendría un atacante con intenciones maliciosas.
• Reportan a comité seleccionado por la organización
Lámina 162 Dr. Roberto Gómez Cárdenas
Tipos pruebas de penetración
• Formales e informales
• Externas o internas
• Cajas blancas, negras o grises
Seguridad Informática
Introducción a la Seguridad Informática 82
Dr. Roberto Gómez Cárdenas
Lámina 163 Dr. Roberto Gómez Cárdenas
Pruebas de penetración formales e informales
• Informales– Orientadas por objetivos técnicos
de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura.
• Formales – Orientadas a verificar debilidades
en las políticas de seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización.
Lámina 164 Dr. Roberto Gómez Cárdenas
Pruebas de penetración internas y externas
• Externas– El objetivo es acceder en forma remota a los equipos de la
organización y posicionarse como administrador del sistema.
– Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna.
• Internas– Trata de demostrar cual es el nivel de seguridad interno.
– Se deberá establecer que puede hacer un usuario interno a la organización y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos.
Seguridad Informática
Introducción a la Seguridad Informática 83
Dr. Roberto Gómez Cárdenas
Lámina 165 Dr. Roberto Gómez Cárdenas
Pruebas externas
• Pruebas de usuarios y la "fuerza" de sus contraseñas.
• Captura de tráfico.
• Detección de conexiones externas y sus rangos de direcciones.
• Detección de protocolos utilizados.
• Escaneo de puertos TCP, UDP e ICMP.
• Intentos de acceso vía accesos remotos, módems, Internet, etc.
• Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades externas a la organización.
• Pruebas de vulnerabilidades existentes y conocidas en el momento de realización de la prueba.
• Prueba de ataques de negación de servicio.
Lámina 166 Dr. Roberto Gómez Cárdenas
Prueba internas
• Análisis de protocolos internos y sus vulnerabilidades.
• Autenticación de usuarios.
• Verificación de permisos y recursos compartidos.
• Pruebas de los servidores principales (WWW, DNS, FTP, SMTP, etc.).
• Pruebas de vulnerabilidades sobre las aplicaciones propietarias.
• Nivel de detección de la intrusión de los sistemas.
• Análisis de la seguridad de las estaciones de trabajo.
• Seguridad de la red.
• Verificación de reglas de acceso.
• Ataques de negación de servicio
Seguridad Informática
Introducción a la Seguridad Informática 84
Dr. Roberto Gómez Cárdenas
Lámina 167 Dr. Roberto Gómez Cárdenas
Pruebas de penetración: cajas negras, blancas y grises
• Caja negra (blind)– No se cuenta con ninguna información del sistema
y/o red que se va a analizar.
• Caja blanca (full disclosure)– Se tiene acceso a toda la información (datos
internos, código fuente, etc.) del sistema y/o red que debe analizar.
• Caja gris (partial disclosure)– Caso intermedio a los anteriores.
– El consultor cuanta con un mapa de la red y los segmentos de direcciones relevantes, pero no con el código fuente de los aplicativos disponibles.
Lámina 168 Dr. Roberto Gómez Cárdenas
Pasos en una prueba de penetración
ScanningScanningScanningScanning
FootprintingFootprintingFootprintingFootprinting
EnumerationEnumerationEnumerationEnumeration
Gaining AccessGaining AccessGaining AccessGaining Access
Escalating PrivilegeEscalating PrivilegeEscalating PrivilegeEscalating Privilege
PilfertingPilfertingPilfertingPilferting
Covering TracksCovering TracksCovering TracksCovering Tracks
Creating Back DoorsCreating Back DoorsCreating Back DoorsCreating Back Doors
Denial of ServiceDenial of ServiceDenial of ServiceDenial of Service
whois, nslookup
nmap, fping
dumpACL, showmountlegion, rpcinfo
tcpdump, lophtcrack, NAT
johntheripper, getadmin
rhosts, userdataConfig files, registry
zap, rootkits
cron,at, startup folder netcat, keystroke logger, remote desktop
synk4, ping of death tfn/stacheldraht
Seguridad Informática
Introducción a la Seguridad Informática 85
Dr. Roberto Gómez Cárdenas
Lámina 169 Dr. Roberto Gómez Cárdenas
Otros ejemplos de fases
Escaneo
Reconocimiento
Enumeración
Acceso
Mantenimiento
Reporte
Presentación hallazgos
Intelligence Gathering
Pre-engagement Interactions
Threat Modeling
Vulnerability Analysis
Exploitation
Post Exploitation
Reporting
http://www.pentest-standard.org/index.php/Main_Page
Lámina 170 Dr. Roberto Gómez Cárdenas
Metodologías
• El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la lleva a cabo, es bueno apoyarse en una metodología
• Ejemplos metodologías– Wardoc . Rhino9 y Neonsurge
• Recopilación de información (NetBIOS e IIS)• Penetración (NetBIOS e IIS)
– NIST 800-42 (Guía para evaluar la seguridad en red)• Planeación• Descubrimiento• Ataque (nuevamente descubrimiento)• Reporte (análisis causas raíz)
Seguridad Informática
Introducción a la Seguridad Informática 86
Dr. Roberto Gómez Cárdenas
Lámina 171 Dr. Roberto Gómez Cárdenas
La metodología OSSTMM
• Open Source Security Testing Methodology Manual– Autor: Pete Herzog
• Metodología dividida en secciones, módulos y tareas.• Mapa de Seguridad (6 secciones)
– Seguridad de la Información– Seguridad de los Procesos– Seguridad de las Tecnologías de Internet– Seguridad de las Comunicaciones– Seguridad Inalámbrica– Seguridad Física
• Base: Valores de Evaluación de Riesgos– solo aplicación efectiva de los controles y no solo su existencia.
• Cada sección se compone de varios módulos y estos a su vez de tareas.
Lámina 172 Dr. Roberto Gómez Cárdenas
Otras metodologías
• Breaking into computer networks form the Internet, Roelof Temming (sensepost)
• An approach to systematic network auditing -Mixter (TFN)
• Impoving the security of your site by breaking into it . Dan Farme y Wietse Venema
• Managing a Network Vulnerability Assessment . Peltier y Blackley
• Hack I.T. . T.J. Klevinsky
• Hacking Exposed . McClure, Scambray, Kurtz
Seguridad Informática
Introducción a la Seguridad Informática 87
Dr. Roberto Gómez Cárdenas
Lámina 173 Dr. Roberto Gómez Cárdenas
Reporte prueba penetración
• Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones.
• Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en lasconfiguraciones del hardware paraingresar de manera no autorizada al perímetro de comunicaciones de la empresa.
• Dos reportes: técnico y ejecutivo
Lámina 174 Dr. Roberto Gómez Cárdenas
Ejemplos resultados Nessus
Seguridad Informática
Introducción a la Seguridad Informática 88
Dr. Roberto Gómez Cárdenas
Lámina 175 Dr. Roberto Gómez Cárdenas
¿Cuál de las tres usar?
Lámina 176 Dr. Roberto Gómez Cárdenas
¿Qué se espera de un sistema de información?
SISTEMA DE INFORMACION capability
seguridad
flexibilidad
facilidad de uso
costo
requerimientos usuariodesempeño
Seguridad Informática
Introducción a la Seguridad Informática 89
Dr. Roberto Gómez Cárdenas
Lámina 177 Dr. Roberto Gómez Cárdenas
Arquitectura de seguridad
• Vista total de la arquitectura del sistema desde un punto de vista de seguridad.
• Da a conocer recomendaciones de donde, dentro del contexto general de la arquitectura del sistema, se deben colocar los mecanismos de seguridad.
• Proporciona una percepción de los servicios de seguridad, mecanismos, tecnologías y características que pueden ser usados para satisfacer requerimientos de seguridad del sistema.
Lámina 178 Dr. Roberto Gómez Cárdenas
Puntos a tomar en cuenta
• La seguridad es un requerimiento desde un principio.
• Es otra característica que necesita ser incluida.
• Se enfoca en los servicios de seguridad del sistema– Mecanismos de alto nivel.
– Ubicación de funcionalidades relacionadas con seguridad.
– Identificar interdependencias entre componentes relacionados con seguridad, servicios, mecanismos y tecnologías, y al mismo tiempo arreglar cualquier conflicto entre ellos.
Seguridad Informática
Introducción a la Seguridad Informática 90
Dr. Roberto Gómez Cárdenas
Lámina 179 Dr. Roberto Gómez Cárdenas
Un primer ejemplo de arquitectura
Lámina 180 Dr. Roberto Gómez Cárdenas
Segundo ejemplo
Seguridad Informática
Introducción a la Seguridad Informática 91
Dr. Roberto Gómez Cárdenas
Lámina 181 Dr. Roberto Gómez Cárdenas
Tercer ejemplo
Lámina 182 Dr. Roberto Gómez Cárdenas
Un último ejemplo
Seguridad Informática
Introducción a la Seguridad Informática 92
Dr. Roberto Gómez Cárdenas
Lámina 183 Dr. Roberto Gómez Cárdenas
Estrategia seguridad
• Elección de las reglas y medidas a tomar para proteger el sistema.
• Las estrategias que se sigan deben estar alineadas a los procesos de negocio para asegurar la continuidad del negocio.
• La seguridad informática debe verse más como un proceso que como una alternativa tecnológica dentro de las organizaciones.
Lámina 184 Dr. Roberto Gómez Cárdenas
Estableciendo una estrategia
• Es conveniente pensar en los distintos niveles que esta debe abarcar– Física, lógica, humas y la interacción entre estos.
• Debe incluir los siguientes tipos de estrategias:– Estrategia proactiva (proteger y proceder)
• conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia.
– Estrategia reactiva (perseguir y procesar):• evaluar el daño que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.
Seguridad Informática
Introducción a la Seguridad Informática 93
Dr. Roberto Gómez Cárdenas
Lámina 185 Dr. Roberto Gómez Cárdenas
Definiendo la estrategia
• Definir objetivos– Qué se quiere proteger.
– Con base en el objetivo, misión y visión empresarial de la organización pueden identificarse sistemas de aplicación crítica
• Administración riesgos– Identificar riesgos, evaluarlos y administrarlos.
– Qué puede pasar si ... el riesgo identificado se materializa.
• Definir política seguridad– Establecer las reglas de actuación ante los riesgos de seguridad y deben
incluir los controles preventivos, detectivos y correctivos necesarios para el control de los riesgos informáticos
• Monitorear el proceso.– Evaluar la efectividad del proceso, haciendo auditorías internas y
externas que permitan identificar con oportunidad posibles problemas o riesgos, y corregir lo que sea necesario.
Lámina 186 Dr. Roberto Gómez Cárdenas
Los protagonistas
hackers, crackers y ...
Seguridad Informática
Introducción a la Seguridad Informática 94
Dr. Roberto Gómez Cárdenas
Lámina 187 Dr. Roberto Gómez Cárdenas
Los protagonistas
• Los hackers
• Los crackers
• Los phreakers
• Los script kidies
Lámina 188 Dr. Roberto Gómez Cárdenas
El Hacker: La Vieja Guardia
• Origen del término a finales de los 60.
• Programador con alto dominio de su profesión, capaz de solucionar problemas a través de hacks (segmentos de código muy ingenioso).
• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones (85-93).
• La búsqueda del conocimiento siempre fue su fuerza impulsora.
Seguridad Informática
Introducción a la Seguridad Informática 95
Dr. Roberto Gómez Cárdenas
Lámina 189 Dr. Roberto Gómez Cárdenas
Este mundo es nuestro ... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya existente, sin pagar por eso que podría haber sido más barato si no fuese por esos devoradores de beneficios. Y nos llaman delincuentes. Exploramos... y nos llaman delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y ustedes nos llaman delincuentes. Construyen bombas atómicas, hacen la guerra, asesinan, estafan al país y nos mienten tratando de hacernos creer que son buenos, y aún nos tratan de delincuentes. Si, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es ser más inteligente que ustedes, algo que nunca me perdonarán.
The Mentor
Lámina 190 Dr. Roberto Gómez Cárdenas
The Mentor
Seguridad Informática
Introducción a la Seguridad Informática 96
Dr. Roberto Gómez Cárdenas
Lámina 191 Dr. Roberto Gómez Cárdenas
El cracker
• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales.
• Una vez logrado el acceso produce daños a los recursos del sistema atacado.
• No necesariamente tiene el mismo nivel de conocimientos que el hacker.
Lámina 192 Dr. Roberto Gómez Cárdenas
Los phreakers
• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas telefónicos privados.
• Una vez logrado el acceso produce daños a los recursos del sistema atacado, o se beneficia del mismo.
Seguridad Informática
Introducción a la Seguridad Informática 97
Dr. Roberto Gómez Cárdenas
Lámina 193 Dr. Roberto Gómez Cárdenas
El Hacker: la nueva generación o los ¨Script-kidies¨
• Gente con la capacidad de buscar un programa en la red y ejecutarlo.
• No hay una meta fija.• Necesidad de pertenencia, aunque sea al
inframundo.• No hay preocupación por las consecuencias
reales de sus actos.• Se sienten muy ¨cool¨.
Lámina 194 Dr. Roberto Gómez Cárdenas
External Threats: Hacker Tool ExplosionRecent Web Search for “Hacker Tools” returned over 2100 hits
1980 1985 1990 1995 2000
Password Guessing
Disabling Audits
Backdoors & Trojan Horses
Hijacking Sessions
Password Crackers
Packet SniffersStealth Diagnostics
Tools with GUIs
OS DetectorsPort Scanners
Vulnerability Scanners
Distributed Denial of Service Attacks
Packet Spoofing
HIGH
LOW
Sophistication of Attacker Tools
Required Knowledge and Ability of Attackers
I get scanned dozens of times everyday. Less than 20% of those scans are US basedISS User
Seguridad Informática
Introducción a la Seguridad Informática 98
Dr. Roberto Gómez Cárdenas
Lámina 195 Dr. Roberto Gómez Cárdenas
Los Lammers
• Individuo sin muchos conocimientos, aunque un poco más elevados que los mortales, pero claramente inferiores a los de un hacker.
• Se hacen pasar por hackers
• Termino bastante despectivo
• Se les reconoce por su costumbre de presumir en los chats de conocimientos, normalmente técnicas que aunque al conjunto de los usuarios puedan parecer asombrosas, son más viejas que el arca de Noé y su uso no implica conocimientos de alto nivel.
Lámina 196 Dr. Roberto Gómez Cárdenas
Algunos intentos de sofisticación
• Escribir con k– “kasi” da pena al leerlos
• Escribir minúsculas y mayúsculas– EsTo TiPo De TiPoGrAfIa Ya No EsTa De
MoDa Y yA nO sE uSa
• Lenguaje “elite”– sustituir letras por números
– 3ST0 S3RI4 UN 3J3MPLO D3 DICH0 L3NGU4J3
Seguridad Informática
Introducción a la Seguridad Informática 99
Dr. Roberto Gómez Cárdenas
Lámina 197 Dr. Roberto Gómez Cárdenas
Newbies
• Joven usuario que está comenzando y decide aprender siguiendo las reglas sin romper nada.
• No son peligrosos porque prefieren asesorarse y normalmente acaban siendo hackers
• En cierto modo un newbie es un “aprendiz” de un hacker.
Una madrecitaAprendiendo a“Hackear”.
Lámina 198 Dr. Roberto Gómez Cárdenas
El Hacker: ¿cómo lo ven el resto de los usuarios?
• ¿Qué es eso?
• Eso pasa solo en las películas.
• Así como los de ¨The Net¨
• Yo soy hacker.
• Yo apenas sé como se usa una computadora.
• Bill Gates se va a encargar de ellos.
Seguridad Informática
Introducción a la Seguridad Informática 100
Dr. Roberto Gómez Cárdenas
Lámina 199 Dr. Roberto Gómez Cárdenas
El hall de la fama de los hackers
www.discovery.com/area/technology/hackers/hackers.html
X
Lámina 200 Dr. Roberto Gómez Cárdenas
¿Qué hicieron?
• Kevin Poulsen– En 1990 Poulsen tomo control de todas las líneas telefónicas que
llegaban a la estación de radio de Los Angeles KII-FM para ganar un concurso.
• Johan Helsingius– Operaba el más famoso remailer anónimo a nivel mundial, llamado
penet.fi, hasta que lo cerro en Septiembre de 1996
• Phiber Optik (Mark Abene)– Inspiro cientos a adolescentes en el país para “estudiar” los trabajos
internos del sistema telefónico nacional de USA.
• Cap Crunch (John Draper)– Averiguo la forma de realizar llamadas telefónicas gratis usando un
silbato de plástico que encontró en una caja de cereales
Seguridad Informática
Introducción a la Seguridad Informática 101
Dr. Roberto Gómez Cárdenas
Lámina 201 Dr. Roberto Gómez Cárdenas
El hacker Kevin Mitnick
Lámina 202 Dr. Roberto Gómez Cárdenas
Algunos otros
• Steve Wozniak
• Tsutomu Shimomura
• Linus Torvalds
Seguridad Informática
Introducción a la Seguridad Informática 102
Dr. Roberto Gómez Cárdenas
Lámina 203 Dr. Roberto Gómez Cárdenas
¿Que motiva a un hacker?
• Hacktivists
• State sponsored
• Industrial Espionage
Lámina 204 Dr. Roberto Gómez Cárdenas
Seguridad Informática
Introducción a la Seguridad Informática 103
Dr. Roberto Gómez Cárdenas
Lámina 205 Dr. Roberto Gómez Cárdenas
Aficionados al deporte...
Lámina 206 Dr. Roberto Gómez Cárdenas
La revancha ...
Seguridad Informática
Introducción a la Seguridad Informática 104
Dr. Roberto Gómez Cárdenas
Lámina 207 Dr. Roberto Gómez Cárdenas
Lámina 208 Dr. Roberto Gómez Cárdenas
Defaced pages
• Primero fue attrition– http://www.attrition.org
• Después fue alldas– http://defaced.alldas.de/
• Ahora es: – http://www.zone-h.org/defacements/onhold
Seguridad Informática
Introducción a la Seguridad Informática 105
Dr. Roberto Gómez Cárdenas
Lámina 209 Dr. Roberto Gómez Cárdenas
One of the most predominant sections of Attrition h as been the defacement mirror. What began as a small collection of web site defacement mirrors soon turned into a near 24/7 chore of keeping it up to date. In the last month, we have experienced single days of mirroring over 100 defaced web sites, over three ti mes the total for 1995 and 1996 combined. With the rapid increase in web defacement activity, there are times when it requires one of us to take mirrors for four or five hours straig ht to catch up. Add to that the scripts and utilities needed to keep the mirror updated, st atistics generated, mail lists maintained, and the time required for basic functionality is im mense. A "hobby" is supposed to be enjoyable. Maintaining the mirror is becoming a tha nkless chore.
During this time, we have struggled to keep up vari ous other sections of Attrition that have been a core part of the site. As the mirror gr ew and began to consume more resources, the other sections have found themselves on the backburner and rarely updated. In essence, what was once a hobby site run in spare time for fun has turned into a beleaguring second job. A job that comes wit h more headache, complaints, criticisms, slander and attacks than productive out put or reward. In two years we have turned away countless computer security work t hat could have been fulfilled by a number of us. The abuse and ignorance we deal with from defacers and defacement victims is staggering, and some of that abuse spills over into actual attacks. Attrition has been taken down more than on ce by massive denial of service attacks which have inconvenienced our generous upst ream provider, hundreds of other colo customers, and thousands of dialup custo mers, making our job even more difficult.
With that, the mirror will no longer be maintained. We've served our time.
Attrition Decision
Lámina 210 Dr. Roberto Gómez Cárdenas
Seguridad Informática
Introducción a la Seguridad Informática 106
Dr. Roberto Gómez Cárdenas
Lámina 211 Dr. Roberto Gómez Cárdenas
Un ejemplo de conversación
#25 por ThA_CroW 21/9/2003 kiuvo banda? ya deberian de dejarse de lameradas y ponerse a trabajar ya ke se supone ke pagar tanta lana por es te evento ke segun yo pienso ke deberia de ser gratis o ke? n o ke muy hackers?
#14 por SoylaIradeDios 18/9/2003 los de hackersoft y hakim.ws si son hackers la mayo ria, y organizan sus reuniones sin cobrar para enseñar sus conocimientos en hack por eso preguntaba si iban a dar alguna ponencia como representantes de la escene en mexico , ellos si han hackeado servers importantes
#32 por ArPhAnEt_X 24/9/2003 pus komo ya dijo napa...no kreo ke esto sea kompete ncia y al igual ke el yo tambien llevo amigos ke kieren apren der... lo ke dice la ira de dios pues kreo ke no todos en hac kersoft sabemos mucho o por lo menos yo... pero lo ke si te nemos en hackersoft, es ganas de avanzar, aprender y kompart ir todo esto con mas gente y esto es a lo ke muchos les hac e falta y no estankarce kon lo ke ya esta deskubierto, sino d eskubrir mas y enseñar a mas dejando el elitismo a un lado.
Lámina 212 Dr. Roberto Gómez Cárdenas
Otros términos relacionados
• Wracker– programas shareware o freeware
• Carding– reventar o emular tarjetas de crédito
– Copy-hackers o Copy-crakers
– skimming
• Wares– intercambio programas comerciales pirateados
• Sneaker– espía informático por excelencia
Seguridad Informática
Introducción a la Seguridad Informática 107
Dr. Roberto Gómez Cárdenas
Lámina 213 Dr. Roberto Gómez Cárdenas
Más términos relacionados
• Snuffer– variante sneaker, limitado a averiguar claves de acceso a
sistemas y descubre errores y agujeros en programas
• Corsarios– ya no se habla, ya no existen en ningún país– comprobar efectividad programas de una empresa y
sobre todo los de la competencia
• Bucaneros– sin tener conocimientos especiales, recogen programas
pirateados y los revenden para enriquecerse con ello
• Rider– estaba en alguna de las categorías anteriores pero
actualmente trabaja en el campo legal
Lámina 214 Dr. Roberto Gómez Cárdenas
Algunos grupos
• Chaos Computer Club – www.ccc.de
• Cult of the Dead Cow – www.cultdeadcow.com
• DC2600.org – www.2600.com/
• AntiOffline removing the Dot in Dot.com – www.antioffline.com/
• The Ghetto Hackers (rootfu)– http://www.ghettohackers.net/
• DARK CLAW • LoD • ¿Y en México?
– Raza Mexicana (www.raza-mexicana.org)– Aztlan Klan– Cucaracha Hackers Team
Seguridad Informática
Introducción a la Seguridad Informática 108
Dr. Roberto Gómez Cárdenas
Lámina 215 Dr. Roberto Gómez Cárdenas
Lámina 216 Dr. Roberto Gómez Cárdenas
Ejemplo hackeo hardware
Seguridad Informática
Introducción a la Seguridad Informática 109
Dr. Roberto Gómez Cárdenas
Lámina 217 Dr. Roberto Gómez Cárdenas
Originalidad
Lámina 218 Dr. Roberto Gómez Cárdenas
¿Y cómo diferenciar a los buenos de los malos?
• Recomendaciones de terceros
• Prestigio de las compañías
• Certificaciones / títulos academicos
Seguridad Informática
Introducción a la Seguridad Informática 110
Dr. Roberto Gómez Cárdenas
Lámina 219 Dr. Roberto Gómez Cárdenas
Títulos y certificaciones
• Títulos académicos– licenciatura– maestría– doctorado
• Certificaciones– CISSP– SSCP– CISA– CISM– CISMP– SCP– BS7799-LA
Lámina 220 Dr. Roberto Gómez Cárdenas
Las opciones académicas
• Diplomados– ITESM-CEM– UNAM– y otros
• Cursos aislados en programas de maestría y licenciatura
• Licenciatura– Tec Milenio: Ingeniero en Seguridad Computacional
• Maestrias en seguridad informativa– CESNAV– UNITEC– ESIME Culhuacan
• Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.
Seguridad Informática
Introducción a la Seguridad Informática 111
Dr. Roberto Gómez Cárdenas
Lámina 221 Dr. Roberto Gómez Cárdenas
Universidades relacionadas
• University of Sheffield – http://www.shef.ac.uk
• Ecole Ingenieur Télécom Paris - ENST Ecole nationale – Mastere Sécurité des systèmes informatiques et des réseaux– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php
• University Purdue– Center for Education and Research in Information Assurance
and Security, or CERIAS– http://www.cerias.purdue.edu/
• The George Washington University– Master of Arts in the arts in the field of Criminal Justice
Computer Fraud Investigation– http://www.gwu.edu
Lámina 222 Dr. Roberto Gómez Cárdenas
Otras dos más...
• Carnegie Mellon University. – Information Networking Institute (INI)– http://www.ini.cmu.edu/– Master of Science in Information Networking – Master of Science in Information Security Technology
and Management
• Capitol College– Master of Science in Network Security– restricted by the United States Department of Commerce
to U.S. citizens and permanent residents– http://www.capitol-
college.edu/academics/grad/msns.html
Seguridad Informática
Introducción a la Seguridad Informática 112
Dr. Roberto Gómez Cárdenas
Lámina 223 Dr. Roberto Gómez Cárdenas
Certificaciones
• Requerimientos legales – Sarbanes Oxley (2002)
– Turnbull Report (1990’s) en Europa
– PCI: Mastercard y Visa (2007)
• ¿Qué puedo certificar?– Individuos
– Organizaciones
– Productos
Lámina 224 Dr. Roberto Gómez Cárdenas
• La empresa American International Group (AIG) recibió una multa de $10 millones de dólares
–Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas
–Es la primer multa de este tipo aplicada a una aseguradora
• Al Bank of América se le multó con $375 millones de dólares
–No existió cooperación con la investigación –Es la primera multa de este monto en un solo caso
Violaciones
Seguridad Informática
Introducción a la Seguridad Informática 113
Dr. Roberto Gómez Cárdenas
Lámina 225 Dr. Roberto Gómez Cárdenas
Certificación de individuos
CISSP, SSCP, CISA, CISM, GIAC
Lámina 226 Dr. Roberto Gómez Cárdenas
Certificación de individuos
• Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos
• Cada certificación cuenta con un CBK– Cuerpo común de conocimientos
Seguridad Informática
Introducción a la Seguridad Informática 114
Dr. Roberto Gómez Cárdenas
Lámina 227 Dr. Roberto Gómez Cárdenas
Opciones certificación
• Más de 55 certificaciones en seguridad neutrales de productos
• Las mas demandadas– CISSP– SANS GIAC– CPP
• SANS GIAC la pionera en la creación de programas de certificaciones – cuenta con una gran variedad y están
relacionadas entre sí a manera de carrera.
Lámina 228 Dr. Roberto Gómez Cárdenas
Hacia una jerarquía
CompTIA Security + SANS GSEC SSCP de (ISC)2
SANS-GIAC CISSP de (ISC)2 CISM de ISACA
primer nivel básico
credenciales intermedias y de nivel Senior
restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad.
CPP de ASIS PCI de ASIS PSP de ASIS
Seguridad Informática
Introducción a la Seguridad Informática 115
Dr. Roberto Gómez Cárdenas
Lámina 229 Dr. Roberto Gómez Cárdenas
CompTIA
• Asociación mundial de la industria de la computación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países– www.comptia.org
• Es la mas grande y única asociación global de este tipo
• Ha desarrollado once destrezas en Certificaciones en Tecnología Informática – cubren un amplio rango de disciplinas, ambientes
operativos y niveles de destrezas
Lámina 230 Dr. Roberto Gómez Cárdenas
Certificaciones de la CompTIA
• A+ Entry-Level Computer Service • CTT+ Certified Trainer• Network+ Network Support and Administration • CDIA+ Document Imaging and Management• Server+ Server Hardware Technology • i-Net+ Internet and Online Technologies• Security+ Computer and Information Security • Linux+ Linux Operating Systems• HTI+ Home Technology Integration • Project+ Project Management• e-Biz+ e-Commerce
Seguridad Informática
Introducción a la Seguridad Informática 116
Dr. Roberto Gómez Cárdenas
Lámina 231 Dr. Roberto Gómez Cárdenas
CBK y examen
• CBK
• Examen– 100 preguntas– 90 minutos para responder– 764 en escala de 100-900 para pasar
Dominio % examen
General Security Concepts 30%
Communication Security 20%
Infrastructure Security 20%
Basics of Cryptography 15%
Operational / Organizational Security 15%
Lámina 232 Dr. Roberto Gómez Cárdenas
CISSP
• No es una asociación, es el título que ostenta el profesional certificado– Certified Information Systems Security Professional
• Ser CISSP es un privilegio que se debe ganar y mantener
• Otorgado por la (ISC)2
– International Information Systems Security Certification Consortium
– Organismo independiente
– Creado para realizar la certificación de profesionales en seguridad informática
Seguridad Informática
Introducción a la Seguridad Informática 117
Dr. Roberto Gómez Cárdenas
Lámina 233 Dr. Roberto Gómez Cárdenas
CBK del CISSP
• Access Control Systems & Methodology
• Telecommunications & Network Security
• Security Management Practices
• Applications & Systems Development Security
• Cryptography
• Security Architecture & Models
• Operations Security• Business Continuity
Planning (BCP) & Disaster Recovery Planning (DRP)
• Law, Investigations & Ethics
• Physical Security
Lámina 234 Dr. Roberto Gómez Cárdenas
CISSP en México
• ALAPSI– Asociación Latinoamerica Profesionales
Seguridad Informática
– http://www.alapsi.org
• Dos/tres exámenes por año
• Cursos preparación examen
• Próximo examen: consultar página
• Número de certificados en México: 250/61,000
Seguridad Informática
Introducción a la Seguridad Informática 118
Dr. Roberto Gómez Cárdenas
Lámina 235 Dr. Roberto Gómez Cárdenas
El examen
• Formato– examen de opción múltiple– 250 preguntas– se cuenta hasta 6 horas para resolverrlo
• Aprobar examen con 700 puntos • Enviar formato de adhesión/certificación
(Endorsement Form) avalada por un CISSP o por otro profesional calificado
• Auditoría, si es seleccionado• Calendarización
– www.isc2.org
Lámina 236 Dr. Roberto Gómez Cárdenas
SSCP
• Especialista Certificado de Seguridad de Sistemas – Systems Security Certified Practitioner
• Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización.– proporcionar soporte de la infraestructura de la seguridad
– security enforcer
– la persona no solo entiende su posición, sino también tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada
Seguridad Informática
Introducción a la Seguridad Informática 119
Dr. Roberto Gómez Cárdenas
Lámina 237 Dr. Roberto Gómez Cárdenas
CBK del SSCP
• Access Controls
• Administration
• Audit and Monitoring
• Risk, Response and Recovery
• Cryptography
• Data Communications
• Malicious Code/Malware
Lámina 238 Dr. Roberto Gómez Cárdenas
CISA
• Certified Information Systems Auditor• En un principio dominio exclusivo de auditores de IT• Administrada por la ISACA (Information Systems
Audit and Control Association & Foundation)– fundada en 1969
• Certificación CISA tiene desde 1978• En 2002 se contaba con unos 28,000 personas con
dicha certificación.• Dominios coinciden con CISSP
– más enfocado a los procedimientos del negocio que a la tecnología
• Varios CISSP optan por ganar su CISA
Seguridad Informática
Introducción a la Seguridad Informática 120
Dr. Roberto Gómez Cárdenas
Lámina 239 Dr. Roberto Gómez Cárdenas
Áreas CISA
• Management, planning and organization of IS
• Technical infrastructure and operational practices
• Protection of information assets
• Disaster recovery and business continuity
• Business application system development, acquisition, implementation and maintenance
• Business process evaluation and risk management
• The IS audit process
Lámina 240 Dr. Roberto Gómez Cárdenas
CISM
• ISACA acaba de diseñar la certificación CISM– Certified Information Security Manager
• Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT
• Debido a que es nuevo, pasa por un periodo de “apadrinamiento” – aquellos que puedan demostrar ocho años de experiencia
en el área de seguridad informática puede obtener la certificación sin realizar examen alguno
– periodo abierto hasta el 31 diciembre 2003
• Después periodo será necesario presentar examen.• Primer examen será ofrecido en Junio 2004
Seguridad Informática
Introducción a la Seguridad Informática 121
Dr. Roberto Gómez Cárdenas
Lámina 241 Dr. Roberto Gómez Cárdenas
CBK del CISM
• Information Security Governance
• Risk Management
• Information Security Programme Management
• Information Security Management
• Response Management
Lámina 242 Dr. Roberto Gómez Cárdenas
Global Information Assurance Certifications
• SANS Institute ofrece una serie de certificaciones bajo el programa GIAC– Global Information Assurance Certification
• Grupo de certificaciones técnicas y algunas administrativas
• La experiencia no es explicita o necesaria para obtenerla– orientado a la práctica de seguridad informática
• Código de ética del SANS• http://www.giac.org
Seguridad Informática
Introducción a la Seguridad Informática 122
Dr. Roberto Gómez Cárdenas
Lámina 243 Dr. Roberto Gómez Cárdenas
Certificaciones
• No hay un orden en particular
• Se recomienda empezar con los de nivel bajo e ir subiendo
• GIAC Certification – cursos 5-6 días– periodo de 6 meses para
certificarse– color amarillo
• GIAC Certificates– cursos 1-2 días– 10 semanas– color verde
Lámina 244 Dr. Roberto Gómez Cárdenas
Las certificaciones
• Information Security Fundamentals • Mastering Packet Analysis • Security Essentials Certification • Securing Solaris • Securing Windows 2000 • Defeating Rogue Access Points• Auditing Cisco Routers• Certified Firewall Analyst • Certified Intrusion Analyst• Certified Windows Security
Administrator• Certified Incident Handler • Certified UNIX Security
Administrator • Certified Forensics Analyst • Securing Oracle Certification • Intrusion Prevention • Cutting Edge Hacking Techniques • Web Application Security
• Reverse Engineering Malware• Secure Internet Presence• .Net• E-warfare • Fundamentals of Information Security Policy • Cyber Warrior • HIPAA Security Implementation • Ethics in IT • Security Leadership Certification • Certified Security Consultant • Security Audit Essentials • Certified ISO-17799 Specialist• Systems and Network Auditor • Auditing Wireless Networks• Contracting for Data Security • Law of Fraud • Business Law and Computer Security • Legal Issues in Information Technologies
Seguridad Informática
Introducción a la Seguridad Informática 123
Dr. Roberto Gómez Cárdenas
Lámina 245 Dr. Roberto Gómez Cárdenas
Otras certificaciones
• Puestos IT managers o IT security managers solicitan otro tipo de certificaciones como– Microsoft Certified Systems Engineer (MCSE)
– CISCO: CCNA, CCNP, etc
• Certificaciones productos– ISS: Internet Security Scanner
– Symantec
– Network Associates
– Checkpoint / Firewall 1
Lámina 246 Dr. Roberto Gómez Cárdenas
Certificaciones de organizaciones
ISO 17799 / BS 7799 / UNE 71502
Seguridad Informática
Introducción a la Seguridad Informática 124
Dr. Roberto Gómez Cárdenas
Lámina 247 Dr. Roberto Gómez Cárdenas
Certificación organizaciones
• Pregunta– ¿Si igual voy a hacer algo, porque no lo hago
teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables?
Lámina 248 Dr. Roberto Gómez Cárdenas
Norma ISO 17799 / BS 7799 / UNE 71502
• Un conjunto de controlesbasados en las mejores prácticas en seguridad de la información;
• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos
– Políticas de gestión
– Recursos humanos
– Aspectos jurídicos
Seguridad Informática
Introducción a la Seguridad Informática 125
Dr. Roberto Gómez Cárdenas
Lámina 249 Dr. Roberto Gómez Cárdenas
ISO 17799
• Una organización puede optar a implantar y "certificar" su sistema de gerencia en la gestión de integridad y seguridad en el manejo de información y datos.– comprende de elementos y cláusulas enfocados a
prácticas y métodos fundamentales de seguridad
• La precursora de ISO 17799 es la adopción de la normativa británica BS 7799. – La BS 7799 se publicó en febrero del 1995 y se revisó en
mayo del 1999. – Esta normativa aplica invariablemente a organizaciones
pequeñas, medianas y multinacionales.
Lámina 250 Dr. Roberto Gómez Cárdenas
Areas control ISO 1799
1. Security Policy2. Security Organization3. Asset Control and Classification4. Personnel Security5. Physical & Environmental Security6. Communications & Operations Management7. Acces Control8. Systems Development & Maintenance 9. Business Continuity Management 10. Compliance
Seguridad Informática
Introducción a la Seguridad Informática 126
Dr. Roberto Gómez Cárdenas
Lámina 251 Dr. Roberto Gómez Cárdenas
Historia
1995
1998
BS 7799 Parte 1
BS 7799 Parte 2
Estándar Sueco SS 62 77 99 Parte 1 y 21999Nueva versión de BS 7799 Parte 1 y 2
Diciembre 2000 ISO/IEC 17799:2000
2001Revisión de BS 7799-2
Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida
UNE 71502Marzo 2004
Julio 2005Nueva versión de BS 7799-2
revisada y corregida
Lámina 252 Dr. Roberto Gómez Cárdenas
Nota importante
• La norma ISO 17799 no es certificable.– ISO 17799 sólo hace recomendaciones sobre uso de 127
controles de seguridad aplicados en 10 áreas de control.
– No establece requisitos cuyo cumplimiento pudieran certificarse.
• ISO 17799 es prácticamente igual a la primera parte de la norma BS 7799, o sea la BS 7799-1. – BS 7799 tiene una segunda parte, BS 7799-2, la cual puede
auditarse y certificarse.
• No hay versión ISO de BS 7799-2, la ISO 17799:2000 debe complementarse con la BS 7799-2:2002.
Seguridad Informática
Introducción a la Seguridad Informática 127
Dr. Roberto Gómez Cárdenas
Lámina 253 Dr. Roberto Gómez Cárdenas
Actualización de la norma
Information security incident management
13
Compliance15Compliance 12
Business continuity management14Business continuity management11
Information systems acquisition, development & maintenance
12Systems development & maintenance
10
Access control11Access control9
Communications & operations management
10Communications & operations management
8
Physical & environmental security9Physical & environmental security7
Human resources security8Personnel security6
Asset management7Asset classification & control5
Organizing information security6Organisational security4
Security policy5Security policy3
2005 edition2000 edition
Information security incident management
13
Compliance15Compliance 12
Business continuity management14Business continuity management11
Information systems acquisition, development & maintenance
12Systems development & maintenance
10
Access control11Access control9
Communications & operations management
10Communications & operations management
8
Physical & environmental security9Physical & environmental security7
Human resources security8Personnel security6
Asset management7Asset classification & control5
Organizing information security6Organisational security4
Security policy5Security policy3
2005 edition2000 edition
Lámina 254 Dr. Roberto Gómez Cárdenas
La ISO 27001
• Anunciada como el reemplazo del BS7799• Aprobada y publicada como estándar internacional
en octubre de 2005. • Publicación hermana del ISO 17799• ISO 17799 es un código de practicas
– describe controles individuales para posibles implementaciones
• BS7799-2 es la parte del estándar contra la cual se otorga la certificación– esto se pasará al ISO 27001
Seguridad Informática
Introducción a la Seguridad Informática 128
Dr. Roberto Gómez Cárdenas
Lámina 255 Dr. Roberto Gómez Cárdenas
Integración con otras normas
ISO 9001:2000
BS 7799:2ISMS
BS 15000 is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope
BS 15000
El resto del mundo ISO
Lámina 256 Dr. Roberto Gómez Cárdenas
Lista empresas certificadas
• Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo
• Algunas de estas empresas son:– Fujitsu Limited– Insight Consulting Limited– KPMG– Marconi Secure Systems– Samsung Electronics Co Ltd;– Sony Bank inc.– Symantec Security Services– Toshiba IS Corporate
Seguridad Informática
Introducción a la Seguridad Informática 129
Dr. Roberto Gómez Cárdenas
Lámina 257 Dr. Roberto Gómez Cárdenas
La certificación de productos
TCSEC, ITSEC, CTCPEC, CC
Lámina 258 Dr. Roberto Gómez Cárdenas
TCSEC certification
• Trusted Computer Systems Evaluation Criteria
• Pagina (Rainbow Series Library)– http://www.radium.ncsc.mil/tpep/library/rainbow/
• Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983 (DOD 5200.28-STD) conocido también como el “Orange Book.”– actualizado en 1985
Seguridad Informática
Introducción a la Seguridad Informática 130
Dr. Roberto Gómez Cárdenas
Lámina 259 Dr. Roberto Gómez Cárdenas
Objetivos TCSEC
• Proporcionar una guía a los fabricantes de productos comerciales en relación a las características de seguridad que deben cumplir sus productos.
• Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada.
• Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos.
Lámina 260 Dr. Roberto Gómez Cárdenas
Criterios y niveles
A1B3B2B1C2C1
SECURITY POLICYACCOUNTABILITY
ASSURANCEDOCUMENTATION
no aditional requiriments for this classnew orenhanced requiriemntes for this class
no requirements for this class
Seguridad Informática
Introducción a la Seguridad Informática 131
Dr. Roberto Gómez Cárdenas
Lámina 261 Dr. Roberto Gómez Cárdenas
Los niveles
Nivel Descripción Comentarios
D sistema no seguro
C1 protección discrecional DAC
identificación + autenticación
C2 acceso controlado auditoria de sistemas
B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico + categorías
B2 protección estructurada etiqueta cada objeto de nivel superior por ser padre de un inferior
B3 dominios seguridad monitor referencia que permite o niega peticiones acceso
A protección verficada uso métodos formales para asegurar todos los procesos
Lámina 262 Dr. Roberto Gómez Cárdenas
Ejemplo SOs evaluados por la NSA bajo TCSEC (1996)
Seguridad Informática
Introducción a la Seguridad Informática 132
Dr. Roberto Gómez Cárdenas
Lámina 263 Dr. Roberto Gómez Cárdenas
Algunos libros de la serie arcoiris
• Orange Book– DoD Trusted Computer System Evaluation Criteria
• Green Book– DoD Password Management Guideline,
• Light Yellow Book – Computer Security Requirements
• Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments,
• Light Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments
• Bright Blue Book– Trusted Product Evaluation - A Guide for Vendors
• Red Book – Trusted Network Interpretation
Lámina 264 Dr. Roberto Gómez Cárdenas
Estandares creados a partir del TSSEC
• ITSEC– Information Technology Security Evaluation
Criteria – http://www.cordis.lu/infosec/src/crit.htm– la versión europea
• CTCPEC– Canadian Trusted Computer Product Evaluation
Criteria– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii – la versión canadiense
Seguridad Informática
Introducción a la Seguridad Informática 133
Dr. Roberto Gómez Cárdenas
Lámina 265 Dr. Roberto Gómez Cárdenas
Common Criteria
• Estándar internacional ISO 15408
• Trabajo de varios países (14)
• Inspirado del TCSEC, ITSEC, CTCPEC
• Flexible– No cuenta con perfiles predeterminados.
– Permite la adición de nuevos criterios.
• Parte de las necesidades de cada usuario/fabricante– no de las necesidades del DoD.
– cada nueva evaluación implica la creación de un modelo o marco de referencia (Security Target o ST).
Lámina 266 Dr. Roberto Gómez Cárdenas
Objetivos CC
• Permitir a los usuarios el especificar sus requerimientos de seguridad,
• Permitir a los desarrolladores especificar los atributos de sus productos
• Permitir que los evaluadores determinen si los productos cumple con lo que estipulan.
Seguridad Informática
Introducción a la Seguridad Informática 134
Dr. Roberto Gómez Cárdenas
Lámina 267 Dr. Roberto Gómez Cárdenas
Tipos documentos CC
• El CC define un conjunto de requerimientos de seguridad– dividido en requerimientos funcionales y de seguridad
• Dos tipos de documentos– Protection Profiles (PPs): documento creado por un
usuario o comunidad de usuarios que identifica requerimientos de seguridad por parte del usuario
– Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidades de un producto en partícular
• un ST puede indicar la implementación de cero o mas PPs
Lámina 268 Dr. Roberto Gómez Cárdenas
Los niveles del CC (EAL)
• Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST– evaluación conocida como TOE - Target of Evaluation
• EAL: Evaluation Assurance Level– numeradas del 1 al 7
– EALs superiores requieren de un mayor esfuerzo de evaluación
– los EAL de mayor valor garantizan más “seguridad”, pero su evaluación requiere de mayor tiempo y cuesta más dinero
– EAL valor grande no significa “mejor seguridad”, solo estipula que seguridad proclamada fue extensamente validada
Seguridad Informática
Introducción a la Seguridad Informática 135
Dr. Roberto Gómez Cárdenas
Lámina 269 Dr. Roberto Gómez Cárdenas
Niveles Aseguramiento CC
Common Criteria Descripción Referencia TCSEC
EAL1 Probado funcionalmante --
EAL2 Estructuralmente probado C1
EAL3 Metodológicamente probado C2
B1EAL4
(W2K, Solaris, HP-UX, AIX)
Metodológicamente diseñado, probado, y revisado
EAL5 Semiformalmente diseñado y probado
B2
EAL6 Semiformalmente verificado (diseño) y probado
B3
EAL7 Formalmente verificado (diseño) y probado
A1
Lámina 270 Dr. Roberto Gómez Cárdenas
Ejemplo productos clasificados
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4
Producto Nivel Fecha
3Com© Embedded Firewall V1.5.1 EAL2 June 2003
IBM WebSphere Application Server V5.0.2.8
EAL2+ 2 December 2004
Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
EAL4+ October 2002
Borderware, V6.1.1 Firewall Serve EAL4+ January 2000
Check Point VPN-1/FireWall-1© NG
EAL4 June 2002
Oracle8i Release 8.1.7.0.0 EAL4 EAL4
Red Hat Enterprise Linux 3 EAL2 February 2004
Symantec Manhunt Version 2.11 EAL3 December 2003
Seguridad Informática
Introducción a la Seguridad Informática 136
Dr. Roberto Gómez Cárdenas
Lámina 271 Dr. Roberto Gómez Cárdenas
Introducción a la Seguridad Informática
Roberto Gómez Cá[email protected]
http://cryptomex.org
Lámina 272 Dr. Roberto Gómez Cárdenas
Celebridades ”hackeadas”
Seguridad Informática
Introducción a la Seguridad Informática 137
Dr. Roberto Gómez Cárdenas
Lámina 273 Dr. Roberto Gómez Cárdenas
Celebridades ”hackeadas”
Lámina 274 Dr. Roberto Gómez Cárdenas
Introducción a la Seguridad Informática
Roberto Gómez Cá[email protected]
http://cryptomex.org
Top Related