Embed Size (px)
Citation preview
Unidad 11.2 Seguridad Informática
1.2.1 Confidencialidad1.2.2 Integridad
1.2.3 Disponibilidad
mar-10M.C. Gustavo A. Gutiérrez Carreón
Introducción
Sistemas de Cómputo:◦ Pieza clave en el desarrollo de la sociedad.
◦ Parte de nuestra forma de vivir.
Usos:◦ Transacciones Bancarias.
◦ Pago de Impuestos.
◦ Comercio.
◦ Comunicaciones.
◦ Etc.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Introducción
En la gran mayoría de los sistemas de cómputo existe información sensible.
◦ Empresas.
◦ Bancos.
◦ Gobiernos.
◦ Universidades.
◦ Etc.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Introducción
Implicaciones:
◦ Tratar de mantener libre de peligro (seguridad).
◦ Tratar de construir sistemas confiables (no completamente seguros).
mar-10M.C. Gustavo A. Gutiérrez Carreón
Seguridad Informática
Podemos entender como seguridad un estado de cualquier tipo de información o la (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo.
Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo.
Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Seguridad Informática
Modelo Estándar de Seguridad
◦ Confidencialidad.
◦ Integridad.
◦ Disponibilidad.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Seguridad Informática
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:◦ Integridad: La información sólo puede ser modificada
por quien está autorizado y de manera controlada.
◦ Confidencialidad: La información sólo debe ser legible para los autorizados.
◦ Disponibilidad: Debe estar disponible cuando se necesita.
◦ Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Historia y cronología de la seguridad informática y de redes
1984, Fred Cohen, 1er.
Autor de virus declarado,
clasificación de los virus
1988, Robert Morris
(23) Cornell University
Primer Worm liberado en
Internet (60, 000
computadoras afectadas)
1989, Mark Abebe -Phiber Opitk-, (17),
compromete la red de computo del
canal de TV WNET de los Estados
Unidos,
Líder del grupo, DOD (Master of
Deception)
1994 “Sir Dystics”,
creo el primer Back
Orifice
Historia y cronología de la seguridad informática y de redes
1998, X-Ploid Team, hackean
la página de la SHCP (México)
1994, Richard Pryce (16) y
Matthew Bevan
comprometen: Air Force Base
en Griffis, NY, Jet Propulsion
Base de la NASA en
California, Space Flight Center
en Greenbelt Maryland y
varios sitios en otros países
1995, Julio Cesar
Ardita (21) compromete:
Harvard University,
Universidad de Sonora,
Jet Propusion Laboratory
de la NASA en California,
Ministerio de Educación
de Taiwan, South Korean
Engeneering Institute
2005, Agosto, XIII reunión
anual de Hackers, Las Vegas,
(DEFCON)
Términos relacionados con la seguridad informática
Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: Es la probabilidad de que suceda la amenaza o evento
no deseado Vulnerabilidad: Son aspectos que influyen negativamente en un
activo y que posibilita la materialización de una amenaza. Ataque: evento, exitoso o no, que atenta sobre el buen
funcionamiento del sistema. Desastre o Contingencia: interrupción de la capacidad de
acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Amenazas Ambientales
Desastres Naturales:◦ Terremotos.
◦ Maremotos.
◦ Incendio.
◦ Tsumamí.
◦ Inundación.
◦ Etc.
Condiciones Ambientales:
◦ Interferencia Magnética.
◦ Contaminación.
◦ Temperatura.
◦ Roedores.
◦ Etc.
mar-10M.C. Gustavo A. Gutiérrez Carreón
•Las amenazas ambientales incluyen a los desastres naturales y otras condiciones ambientales.•Un desastre natural puede ocasionar perdida de disponibilidad y al combinarlo con seguridad física pobre obtenemos perdida de confidencialidad.
Amenazas Accidentales
Errores de programación.
Errores de configuración.
Ausencia de personal responsable.
Fallas técnicas.
Etc.
Ejemplos de vulnerabilidades para amenazas accidentales:◦ Falta de capacitación al
personal.
◦ Falta de procedimientos.
◦ Falta de redundancia en equipos.
◦ Falta de respaldo de información.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Este tipo de amenaza es originada por descuido u errores de las personas y pueden causar perdida de confidencialidad, integridad y disponibilidad (Desastre Total).
Amenazas Deliberadas
Las amenazas deliberadas son acciones planeadas que tienen la finalidad de afectar la integridad, confidencialidad y disponibilidad de hardware y software.
mar-10M.C. Gustavo A. Gutiérrez Carreón
• Robo y fraude.• Gusanos, virus y spam.• Denegación de servicio (DoS).• Etc.
Ejemplos de vulnerabilidades para amenazas deliberadas:- Carencia de antivirus y antiSpam.- Falta de firewall.- Falta de baja para empleados.- Falta de respaldo de información.
Evaluación de la seguridad de redes
Para mantener el control total sobre sus redes y datos, debe adoptar un enfoque proactivo a la seguridad, un enfoque que comienza con la evaluación para identificar y clasificar sus riesgos.
La evaluación de seguridad de la red es una parte integral de cualquier ciclo de vida de seguridad.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Técnicas de ataque implementadas
En la mayoría de los incidentes de alto perfil, los atacantes utilizan un número de las siguientes técnicas:◦ Poner en peligro los sistemas periféricos mal
configurados o protegidos que están relacionados con la red principal
◦ Directamente comprometer los componentes clave de la red privada utilización comandos y herramientas que aprovechan las vulnerabilidades del sistema operativo o aplicaciones de software.
◦ Comprometer el tráfico de red utilizando ataques de redirección (incluyendo ARP Spoofing, redirección ICMP, y hacking de VLAN)
◦ Cracking de contraseñas de cuentas de usuario y el uso de esas credenciales para comprometer otros sistemas
mar-10M.C. Gustavo A. Gutiérrez Carreón
Incidentes reportados (CERT-UNAM)
Año Incidentes
2008 12595
2007 16778
2006 17016
2005 2635
2004 2670
mar-10M.C. Gustavo A. Gutiérrez Carreón
Incidentes reportados (CERT-UNAM)
mar-10M.C. Gustavo A. Gutiérrez Carreón
Principales problemas
Reporte Porcentaje
Spam 60.56
Beagle 23.28
Malware 9.75
Flowbots 3.23
Bots 1.19
Scanners 0.63
Phishing 0.5
Incidentes reportados (CERT-UNAM)
Estadísticas por Sistema Operativo
Sistema Operativo Porcentaje
Windows XP Professional 58.91
Windows XP Home Edition 16.32
Linux kernel 2.4.x 9.76
Windows 2000 Professional 4.69
Linux Redhat 9 3.00
Windows Server 2003 2.25
ExtremeWare 1.69
Windows 95 1.50
FreeBSD 0.56
Windows ME 0.56
Dynix 0.37
Windows 2000 Server 0.37
mar-10M.C. Gustavo A. Gutiérrez Carreón
Estadísticas por Sistema Operativo
Riesgo
El riesgo es la probabilidad de que una amenaza se cumpla.
Una vez detectado el Riesgo:◦ Aceptarlo.
◦ Transferirlo.
◦ Minimizarlo.
El riesgo puede ser minimizado mediante los controles de seguridad.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Controles de Seguridad
Físicos.
Técnicos.
Administrativos.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Controles Físicos
Aplicados para la protección física de instalaciones y equipo.◦ UPS.
◦ CCTV.
◦ Sensores de Humo.
◦ Aire Acondicionado.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Controles Técnicos
Aplicados en hardware y software.◦ Criptografía.
◦ Antivirus.
◦ AntiSpam.
◦ Firewall.
◦ IDS (intrusion detection system).
mar-10M.C. Gustavo A. Gutiérrez Carreón
Controles Administrativos
Políticas de seguridad.
Reglamento de personal.
Reportes de auditoría.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Errores comunes
Se conocen varias formas para lograr introducirse sin permiso a un sistema y sin duda el arma más efectiva para cualquier atacante o intruso, es la habilidad de encontrar defectos de un sistema, que puede que no sean evidentes para quienes lo diseñaron o para quienes lo utilizan a diario.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Ataque común de redmar-10
M.C. Gustavo A. Gutiérrez Carreón
Errores comunes
Según Bob Toxen los siete pecados mortales en cuanto a seguridad en sistemas Linux son:◦ Contraseñas débiles.
◦ Puertos de red abiertos.
◦ Versiones no actualizadas de software.
◦ Seguridad física pobre.
◦ CGIs (del Inglés Common Gateway Interfce) inseguros.
◦ Cuentas viejas e innecesarias.
◦ Demora en actualizaciones por parte del administrador.
mar-10M.C. Gustavo A. Gutiérrez Carreón
Tarea 2
1. Buscar en internet 5 casos de accesos indebidos a redes informáticas y la forma en que se realizaron (Especificar las Vulnerabilidades detectadas)
2. Investigar mecanismos para implementar Seguridad en plataforma Windows, Unix, Mac, Linux.
La entrega será a mano en hojas blancas incluyendo su nombre en cada hoja.
Se deberán de incluir las referencias. Ejemplos:
◦ CERT-UNAM
◦ DARPA (Defense Advanced Research Projects Agency)
