• Home

  • Education

  • Fundamentos de la Inseguridad de las Tecnologías de la Información
64
Fundamentos de la Inseguridad de las Tecnologías de la Información

Fundamentos de la Inseguridad de las Tecnologías de la Información

Embed Size (px)

Citation preview

Page 1: Fundamentos de la Inseguridad de las Tecnologías de la Información

Fundamentos de la Inseguridadde las Tecnologías de la

Información

Page 2: Fundamentos de la Inseguridad de las Tecnologías de la Información

ResumenA lo largo de años de evaluación y análisis de la seguridad de losmejores productos de seguridad de las tecnologías de lainformación, en Epoche and Espri han identificado patrones ytipologías de problemas de diseño y construcción de tecnología,así como de ataques realizables a los sistemas informáticos. Estacharla realiza una pesimista presentación de los mismos, eintenta proyectar el previsible futuro en este campo.

Page 3: Fundamentos de la Inseguridad de las Tecnologías de la Información

Sobre Miguel BañónMiguel Bañón, Licenciado en Informática, UPM 1990. Directorde Epoche and Espri, laboratorio de evaluación de la seguridad delos sistemas de información, acreditado por los esquemas decertificación de España para la norma “Common Criteria”, y porlos de Estados Unidos, Canadá, Turquía y Japón para la validaciónde módulos criptográficos. Epoche tiene amplia experiencia en laparticipación de Proyectos de I+D en Europa, Estados Unidos yJapón, siendo una referencia mundial en la aplicación de la norma“Common Criteria”.

Page 4: Fundamentos de la Inseguridad de las Tecnologías de la Información

Propuesta de desarrolloPresentación de E&E

Evaluación de la seguridadRazón de las vulnerabilidades.

Previsión profesional.

Page 5: Fundamentos de la Inseguridad de las Tecnologías de la Información

Presentación deE&E

Page 6: Fundamentos de la Inseguridad de las Tecnologías de la Información

Epoche and Espri, S.L.U. (E&E) es un laboratorio de evaluación yensayos de seguridad de las tecnologías de la información.

Trabajamos bajo las normas internacionales más exigentes, ypara organismos de certificación de diferentes administracionesy países.

Page 7: Fundamentos de la Inseguridad de las Tecnologías de la Información

Para la certificación de la seguridad conforme a la norma ISO/IEC15408, “Common Criteria”, somos laboratorio acreditado delCentro Criptológico Nacional, adscrito al Ministerio dePresidencia, www.oc.ccn.cni.es, y del Organismo deNormalización de Turquía, http://bilisim.tse.org.tr

Page 8: Fundamentos de la Inseguridad de las Tecnologías de la Información

Para la certificación de la seguridad de módulos criptográficosconforme a la norma FIPS 140-2, somos uno de los dos únicoslaboratorios europeos acreditados por National Institute ofStandards and Technology, National Voluntary LaboratoryAccreditation Program, EE.UU.

Adicionalmente, somos laboratorio acreditado por el esquema decertificación de módulos criptográficos de Japón, bajo la normaISO 19790.

Page 9: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 10: Fundamentos de la Inseguridad de las Tecnologías de la Información

Somos entidad certificadora de seguridad de los sistemas de lainformación y de software de juego reconocida por la DirecciónGeneral de Ordenación del Juego de Ministerio de Hacienda yAdministraciones Públicas, http://www.minhap.gob.es

Page 11: Fundamentos de la Inseguridad de las Tecnologías de la Información

Tanto en número y tipo de acreditaciones, como en productos ysistemas certificados, lideramos el mercado español.

Page 12: Fundamentos de la Inseguridad de las Tecnologías de la Información

Nuestra cartera de clientes representa a las mejores empresasfabricantes de tecnología.

Estamos en expansión, con una creciente presencia en losmercados asiáticos y EE.UU.

Contamos con los mejores profesionales, por ejemplo, formadosy titulados de la UCM/FI.

Page 13: Fundamentos de la Inseguridad de las Tecnologías de la Información

Evaluación de laseguridad

Page 14: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Sistemas seguros?La necesidad de conocer la seguridad de los productos y sistemasde las TI es tan legítima como la propia necesidad de seguridad.

Page 15: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Se puede determinar laseguridad de un producto?

No. En términos generales, y con el grado de complejidad actual,sólo se puede demostrar la inseguridad de los mismos, medianteejemplos concretos de explotación de vulnerabilidades.

Page 16: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Entonces?Podemos ofrecer grados de confianza en la seguridad de unproducto.

Page 17: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Cómo obtener esa confianza?Hipótesis: hay un método de desarrollo que genera productos seguros.

¿Cómo determinar la seguridad de un producto?

Determinar si se ha seguido el método de desarrollo para elproducto a evaluar.Dedicar cierto esfuerzo a la búsqueda del contraejemplo de laseguridad del producto.

Page 18: Fundamentos de la Inseguridad de las Tecnologías de la Información

Si se cumple el método, y no se encuentran vulnerabilidades,afirmaremos que es seguro.

¿Con qué convicción?

Con la que tengamos en el método de desarrollo, y en relación alesfuerzo que hayamos aplicado a la búsqueda del contraejemplo.

Page 19: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué método genera productosseguros?

Una metodología de desarrollo (de software, generalmente) debegarantizar el cumplimiento de los requisitos funcionales y nofuncionales de un producto.

Hay metodologías, métricas sobre las metodologías, e inclusoniveles de madurez de estas metodologías.

Page 20: Fundamentos de la Inseguridad de las Tecnologías de la Información

La seguridad es, en realidad, un atributo más del producto, comola fiabilidad o la facilidad de uso. Cualquier método de desarrollo“genérico” debería ser capaz de obtener productos seguros, si laseguridad es un atributo deseable.

Page 21: Fundamentos de la Inseguridad de las Tecnologías de la Información

Cuando un atributo del producto impera sobre los demás, suelecondicionar el método de desarrollo. Hay ciertas técnicas yprácticas de desarrollo que han demostrado una influenciadirecta en la seguridad del producto resultante.

Page 22: Fundamentos de la Inseguridad de las Tecnologías de la Información

Modelo implícito1. Analizar y diseñar la seguridad que se requiere al caso.2. Implementar esa seguridad con funciones y mecanismos

adecuados.3. Probar las propiedades de seguridad resultantes.4. Documentar todo lo relevante al uso seguro del producto para

su administrador y usuarios.5. Controlar la seguridad del entorno de desarrollo y cada cambio

realizado en el producto.6. Establecer procedimientos de distribución del producto que

permitan identificar/corregir modificaciones del mismo.7. Establecer procedimientos de resolución de los fallos o no

conformidades de la seguridad del producto.8. Buscar las vulnerabilidades que puedan haberse introducido

en el producto, a pesar de los esfuerzos anteriores.

Page 23: Fundamentos de la Inseguridad de las Tecnologías de la Información

Cada fase o actividad de las anteriores se puede escalar condistintos grados de esfuerzo. Por ejemplo, se pueden probar:

Las especificaciones globales del producto;El diseño interno del mismo;Cada uno de sus componentes.

Page 24: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Hay otras aproximaciones a laevaluación de la seguridad?

autodeclaraciones del fabricante;dejar el producto en el dominio público y reaccionar a lasvulnerabilidades, etc

No son objeto de consenso internacional en el campo de lacertificación.

Page 25: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué es la norma ISO15408?Un acuerdo internacional sobre el método de desarrollo seguro, ysobre 7 niveles discretos de la gama de esfuerzo, incluyendo laespecificación del trabajo de los evaluadores en cada nivel.

Un paradigma de arquitectura de seguridad sobre el que se aplicaun catálogo coherente y relacionado de funciones de seguridadque permiten establecer un lenguaje común para la expresión dela seguridad de los productos y sistemas de las TI.

Page 26: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Cuál es su origen?

Page 27: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué otros elementos tiene ensu entorno?

Page 28: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Cómo es la norma ISO15408?Voluminosa

Parte 1 – Introducción y modelo generalParte 2 – Requisitos funcionales de seguridadParte 3 – Requisitos de garantía de seguridad

Page 29: Fundamentos de la Inseguridad de las Tecnologías de la Información

Estructurada

Page 30: Fundamentos de la Inseguridad de las Tecnologías de la Información

En evolución

El llamado “Common Criteria Management Board”, formado porAUS, CAN, FR, GE, NL, SP, UK y USA mantiene y avanza el CC aresultas de la evolución de la tecnología, las peticiones de losinteresados y de los esquemas de certificación nacionales.http://www.commoncriteriaportal.org

Page 31: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Cuál es el resultado de suaplicación?

Un informe técnico del laboratorio de evaluación, donde sedetermina si la evaluación de la declaración de seguridad y delproducto han sido satisfactorias, y el nivel de garantía deseguridad obtenido en la evaluación.

Page 32: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué es la declaración deseguridad?

El documento, de contenido normalizado, que refleja el análisis ypropiedades de seguridad del objeto a evaluar.

Page 33: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 34: Fundamentos de la Inseguridad de las Tecnologías de la Información

La norma supone que se aplica desde la concepción del producto,asumiendo idealmente un desarrollo top-down, que comenzaríacon los análisis requeridos en la declaración de seguridad, y quevan a conformar el producto.

Page 35: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué es el nivel de garantía deseguridad?

El nivel de metodología de desarrollo aplicado al producto, que vaparejo a un esfuerzo y detalle de evaluación determinado.

Page 36: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 37: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué significa un certificadoCC?

Page 38: Fundamentos de la Inseguridad de las Tecnologías de la Información

¿Qué significa un certificadoCC?

Que la declaración de seguridad es cierta.El grado de confianza que se puede poner en dichaaseveración.

Este documento debe estar a nuestra disposición, ya quedetermina la verdadera utilidad del producto.

Page 39: Fundamentos de la Inseguridad de las Tecnologías de la Información

Paradigma funcionalNecesitamos especificar las propiedades de seguridad de unproducto como fase previa a su evaluación. CC establece en suparte 2 un catálogo de requisitos funcionales de seguridad quepermiten esta especificación. Los requisitos funcionales sederivan de un modelo general de producto de seguridad, elparadigma funcional.

Page 40: Fundamentos de la Inseguridad de las Tecnologías de la Información

Con este paradigma de IT y su seguridad, se establece uncatálogo de requisitos funcionales de seguridad

Page 41: Fundamentos de la Inseguridad de las Tecnologías de la Información

Con estos requisitos funcionales de la parte 2, expresamos lafuncionalidad de seguridad del producto

Page 42: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 43: Fundamentos de la Inseguridad de las Tecnologías de la Información

ResumiendoLa seguridad se puede diseñar como cualquier otro atributo deun producto.El diseño de un producto seguro es caro y requiere de unproceso de ingeniería explícito.La medida de la seguridad es un problema complejo, requiereesfuerzo y competencia técnica, y únicamente puede ofrecergrados de garantía.

Page 44: Fundamentos de la Inseguridad de las Tecnologías de la Información

Razón de lasvulnerabilidades.

Page 45: Fundamentos de la Inseguridad de las Tecnologías de la Información

NotaComplejidad, capacidad de comprensión, determinismo yaleatoriedad.

Page 46: Fundamentos de la Inseguridad de las Tecnologías de la Información

VulnerabilidadesVulnerabilities can arise through failures in:

requirements -- that is, an IT product or system may possess allthe functions and features required of it and still containvulnerabilities that render it unsuitable or ineffective withrespect to security;construction -- that is, an IT product or system does not meetits specifications and/or vulnerabilities have been introducedas a result of poor constructional standards or incorrect designchoices;operation -- that is, an IT product or system has beenconstructed correctly to a correct specification butvulnerabilities have been introduced as a result of inadequatecontrols upon the operation.

Page 47: Fundamentos de la Inseguridad de las Tecnologías de la Información

Vulnerabilidades en la especificaciónSon las más habituales, no se considera la seguridad hastaterminado el desarrollo.

Por lo general, un producto destinado al mercado de la seguridadno ofrece ninguna seguridad.

Page 48: Fundamentos de la Inseguridad de las Tecnologías de la Información

Casos de uso frente a casos de abuso.

Page 49: Fundamentos de la Inseguridad de las Tecnologías de la Información

Vulnerabilidades en la construcciónDe nivel más técnico, para evitarlas se requiere de la práctica detécnicas de diseño y programación seguras.

Page 50: Fundamentos de la Inseguridad de las Tecnologías de la Información

Algunos dramas en la construcción

Page 51: Fundamentos de la Inseguridad de las Tecnologías de la Información

Las hipótesis y el mundo realSea r un número aleatorio ...

Sea C un cálculo realizado a espaldas del enemigo, ...

Sea S un sistema aislado ...

Page 52: Fundamentos de la Inseguridad de las Tecnologías de la Información

Platón y el mito de la cavernaObservabilidadRealidad, virtualidad

Page 53: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 54: Fundamentos de la Inseguridad de las Tecnologías de la Información

El acceso y posesión física del producto en manos del atacantepermite vulnerar la práctica totalidad de las hipótesis tenidas encuenta durante su construcción.

Page 55: Fundamentos de la Inseguridad de las Tecnologías de la Información
Page 56: Fundamentos de la Inseguridad de las Tecnologías de la Información

Linearidad del impacto de un cambio en laseguridad

Page 57: Fundamentos de la Inseguridad de las Tecnologías de la Información

Modularidad, reusabilidadEconomía de construcción vs. calidad y conocimiento de loscomponentes.

Page 58: Fundamentos de la Inseguridad de las Tecnologías de la Información

Modelos económicos de desarrollo

Casos de éxito en la industria vs economía de la seguridad

Page 59: Fundamentos de la Inseguridad de las Tecnologías de la Información

Vulnerabilidades en laoperación

Page 60: Fundamentos de la Inseguridad de las Tecnologías de la Información

FormaciónConfianzaEl enemigo en casa

Page 61: Fundamentos de la Inseguridad de las Tecnologías de la Información

Previsiónprofesional.

Page 62: Fundamentos de la Inseguridad de las Tecnologías de la Información

El sector de la seguridad de las TIC tiene un futuro muyprometedor ...... inversamente proporcional a la previsible experiencia en lageneralización absoluta de nuestra dependencia en las mismasTIC.

Page 63: Fundamentos de la Inseguridad de las Tecnologías de la Información

Q&A

Page 64: Fundamentos de la Inseguridad de las Tecnologías de la Información

Thanks!


Fundamentos de Tecnologías y Protocolos de Red

Fundamentos de Tecnologías y Protocolos de Red

Documents
La inseguridad ciudadana y la percepción de inseguridad en

La inseguridad ciudadana y la percepción de inseguridad en

Documents
cifras inseguridad

cifras inseguridad

Documents
La inseguridad

La inseguridad

Documents
INSEGURIDAD CIUDADANA

INSEGURIDAD CIUDADANA

Documents
La Inseguridad Nacional

La Inseguridad Nacional

Documents
inseguridad cuidadana

inseguridad cuidadana

Documents
Diapositivas inseguridad

Diapositivas inseguridad

Education
Unidad 1 fundamentos de tecnologías emergentes e innovación

Unidad 1 fundamentos de tecnologías emergentes e innovación

Education
Inseguridad en méxico

Inseguridad en méxico

Education
Crimen e inseguridad

Crimen e inseguridad

Documents
4. FUNDAMENTOS DE ECONOMÍA - Tecnologías, Pregrados y

4. FUNDAMENTOS DE ECONOMÍA - Tecnologías, Pregrados y

Documents
Fundamentos de las Tecnologías Grid - Introducción a las

Fundamentos de las Tecnologías Grid - Introducción a las

Documents
Investigacion de inseguridad

Investigacion de inseguridad

Documents
Inseguridad alimentaria

Inseguridad alimentaria

Documents
Inseguridad IPv6

Inseguridad IPv6

Technology
FUNDAMENTOS FÍSICOS DE LA INFORMÁTICA GRADO I. I. Tecnologías Informáticas

FUNDAMENTOS FÍSICOS DE LA INFORMÁTICA GRADO I. I. Tecnologías Informáticas

Documents
Inseguridad Vial

Inseguridad Vial

Documents
Inseguridad en Wifi

Inseguridad en Wifi

Documents
La Inseguridad Ciudadana

La Inseguridad Ciudadana

Education
La inseguridad cuidadana

La inseguridad cuidadana

Documents
Fundamentos de Tecnologías y Servicios de Comunicaciones de Voz y Video

Fundamentos de Tecnologías y Servicios de Comunicaciones de Voz y Video

Documents
Inseguridad en Honduras

Inseguridad en Honduras

Education
FUNDAMENTOS DE SISTEMAS DE TRANSMISIÓN: TECNOLOGÍAS Y APLICACIONES

FUNDAMENTOS DE SISTEMAS DE TRANSMISIÓN: TECNOLOGÍAS Y APLICACIONES

Documents
Inseguridad CIudanaa

Inseguridad CIudanaa

Documents
Inseguridad y percepción de inseguridad en Lima, Perú

Inseguridad y percepción de inseguridad en Lima, Perú

Documents
Factores inseguridad

Factores inseguridad

Education
Inseguridad Ciudadana Final

Inseguridad Ciudadana Final

Documents
POLÍTICA 4 INSEGURIDAD 11 INSEGURIDAD 11

POLÍTICA 4 INSEGURIDAD 11 INSEGURIDAD 11

Documents
Manual Fundamentos de Tecnologías de la Información - v0510

Manual Fundamentos de Tecnologías de la Información - v0510

Documents