seguridad informática

IESTP“JOAQUÍN REÁTEGUI MEDINA”

CTP COMPUTACIÓN E INFORMÁTICA

“AÑO DE LA INTEGRACIÓN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD”

UNIDAD DIDÁCTICA:SEGURIDAD INFORMÁTICA

DOCENTE:ING. SIST. LIZTH CAMPOS CRISPIN

Algunas Definiciones

La Seguridad tiene que ver con la protección de objetos de valor.

La Seguridad en Sistemas se enfoca en proteger objetos de valor dentro de un sistema informático (información y servicios).

Al igual que la seguridad en el “mundo real”, la seguridad en sistemas provee distintos tipos y grados de la misma.

¿Seguridad en Crisis?

Todos los días se ven fallas de seguridad...

¿Dónde?

Medios amarillistas (TV, Web)Listas de correo, libros!

¿Por qué? ….. Si existe mucha experiencia en el campo.

En general se debe a pobres diseños y falta de dinero invertido en seguridad por parte de las compañías. Sin embargo esto está cambiando.......

Seguridad: Línea de Tiempo

Los ataques comenzaron en la década del '50. Los primeros atacantes eran personas cercanas a los sistemas (¿ y hoy?.......).

1960 HW de protección de memoria: VM.1962 Mecanismos de control de acceso a los archivos.1967 Funciones One-Way (passwords). 1968 Seguridad en kernels (Multics). 1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IP en 1977.

Seguridad: Línea de Tiempo (2)

1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa en mails,1976 Criptografia de clave pública y firma digital. 1978 RSA (clave pública). 1978 Estudio de contraseñas (inteligente). 1978 Primer protocolo de e-cash.1983 DNS distribuido (vulnerable al spoofing). 1984 Los Virus empiezan a investigarse. 1985 Esquemas de contraseñas avanzados.1988 Intemet Worm (6000 computadoras (10% Intemet)). 1988 Autentificación distribuida (Kerberos). 1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).

Seguridad: Línea de Tiempo (3)

1990 Remailers anónimos.1993 Spooling, sniffing, firewalls. 1994 SSL v 1.0 (Netscape). 1996 Java (Web hacking), 1997 DNSSec.1998 Programas de barrido de redes. 1998 Ipsec.1999 Primer ataque DDoS.2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones). B02k. 2001 Red Code, Nimbda (infección de servidores MS IIS).2002 Mas I-Worms (en general explotan fallas en Intemet Explorer).

Introducción a la Seguridad

Seguridad en una Organización

Antaño:

FísicaAdministrativa

Hoy: Computadoras - necesidad de herramientas que protejan la información. Ej.: time-sharing, redes, dial-up.

Esta colección de herramientas diseñadas para este fin y para dificultar la vida del hacker conforman la

Seguridad en Sistemas

Introducción a la Seguridad

El otro gran cambio: sistemas distribuidos y redes para transportar datos (tty-user y maq.- maq.).

Seguridad en Redes

No hay un límite claro entre estas dos formas de seguridad:Seguridad en Sistemas y Seguridad en Redes

pues todos los sistemas actuales son distribuidos por naturaleza.

Objetivos de la Seguridad de Datos

(Relativos a entidades no autorizadas)

Privacidad: no accesiblePermanente: no borrable, no editable.Confiable: que los cambios puedan detectarse.

Pero los datos deben ser accesibles a personas autorizadas!

(Probablemente sobre una red, posiblemente sobre la Intemet).

Aspectos de Seguridad

Ataque (Seguridad): cualquier acción que comprometa la seguridad de la información perteneciente a una organización.

Mecanismo de Seguridad: mecanismo diseñado para prevenir, detectar o recuperarse de un ataque.

Servicio de Seguridad: servicio que mejora la seguridad en un sistema de procesamiento de datos y la trasferencia de estos datos. Hace uso de uno o más mecanismos de seguridad.

Instrucciones

1. Lograr acceso (no autorizado) a cierta información.2. Hacerse pasar por alguien más para evitar responsabilidad.3. Afirmar haber recibido información de otro usuario que el

hacker creó. ( P.e., atribución fraudulenta de responsabilidad).4. Afirmar haber enviado a un receptor (en un dada fecha)

información que nunca fue enviada (o que fue enviada en otro momento).

5. No aceptar haber recibido información que en realidad si fue recibida, o decir que llegó en otro momento.

6. Aumentar la “capacidad” del cheater (mayor acceso, origen, etc.).

7. Modificar (sin tener la autoridad) las "capacidades" de otros para aumentar, restringir, agregar, borrar, etc. su nivel,

8. Ocultar cierta información dentro de otra información (abierta).

Instrucciones

9. Entrometerse (oculto) en la comunicación de otros usuarios.10. Saber quién y cuando accedió alguien a cierta información.11. Acusar a un protocolo de integridad revelando información que

se supone el cheater no debería conocer.12. Cambiar el comportamiento de algún SW, usualmente

agregando funciones ocultas.13. Sabotear un protocolo causando fallas (aparentes) en el

sistema,14. Evitar que los usuarios puedan comunicarse. Tal vez

provocando15. fallas atribuibles a problemas en la red, otros usuarios, etc.

Población de Riesgos

Defensa Aerea.Aviones de pasajeros (WTC).Sistemas de Armas (Arg!).Bancos.Energia eléctrica.Control de tránsito (peajes).E-mails.Historias Clinicas (medicina).

TV/Radio. Ascensores.Trenes. Registros policíacos.Impuestos. Notas (Warning).BurgerKing.Otros.

Algunos de estos crímenes son TERRORISTAS

Ataques: Categorías

1. Interrupción

Ataque a la Disponibilidad.

2. Intercepción

Ataque a la Confidencialidad.

3. Modificación

Ataque a la Integridad.

4. Fabricación

Ataque a la Autenticidad.

Flujo Normal de la Información

Durante un Flujo Normal de la información, la transferencia (de un archivo, región de memoria, cte.) se hace desde el fuente hacia el destino (otro archivo, memoria, etc.).

Fuente Destino

Interrupción

Algo de "valor" en el sistema es destruido o se vuelve no disponible.

(Ataque a la Disponibilidad).

Ejemplos: destrucción de HW, cortado de una línea de comunicación, deshabilitación de un FS (umount).

Fuente Destino

Intercepción

Alguien no autorizado gana acceso sobre algo de valor(Ataque a la Confidencialidad).

El "no-autorizado" puede ser una persona, una máquina o un programa.Ejemplos: captura de información en una red, o una copia no autorizada de archivos.

Fuente Destino

Modificación

Alguien (o algo) no solo gana acceso sino que también modifica contenido.(Ataque a la Integridad).

Ejemplos: cambiar valores en un archivo, alterando un programa para que se comporte diferente, o modificando un mensaje transmitido en una red.

Fuente Destino

Fabricación

Alguien (o algo) inserta objetos falsos en el sistema.(Ataque a la Autenticidad).

Ejemplos: inserción de msgs espúreos en una red o inserción de registros falsos en un archivo.

Fuente Destino

Ataques Pasivos

Eavesdrop ("escuchar" sin que el que “habla“ se entere) o monitoreo de transmisiones.

Objetivo: obtener información transmitida.Dos tipos:

Liberación de Contenidos: conversación telefónica, e-mail o información confidencial.Análisis de Tráfico: el atacante puede mediante análisis de la comunicación (patrones, long., etc.) tratar de “adivinar” la naturaleza de la comunicación. Ej: si se usa encriptación débil.

Dificiles de detectar pues no se altera información.Énfasis en prevención más que en detección.

Ataques Activos

Involucra la modificación de datos a la introducción de información falsa.

Cuatro tipos:Masquerade: cuando una entidad se hace pasar por otra. Generalmente involucra uno de los siguientes tipos de ataques activos.Repetición (Replay): involucra la captura pasiva de información y la subsecuente retransmisión para lograr un efecto no autorizado.Modificación de mensajes: cuando el atacante gana acceso a algo de valor y lo modifica, retrasa o reordena.Denegación de Servicio (DoS): previene o inhibe el uso normal de cierto servicio de comunicación. Ej: supresión de mensajes hacia Pepe. Énfasis en detección y recuperación.

Servicios (Gráfico Objetivos)

Confidencialidad

Integridad Disponibilidad

Seguridad: Servicios (ISO)

Confidencialidad: protección (de ataques pasivos) sobre la info transmitida. Privacidad. Ej: mensajes entre dos personas.

Autentificación: asegurar que la comunicación sea auténtica. Ej: e-mail recibido por un usuario o comunicación terminal-server.

Integridad: asegurar que los mensajes recibidos sean iguales a los enviados (modificación de mensajes y DoS (a vece)). Además de detectar estos ataques activos puede participar en la recuperación.

Seguridad: Servicios (ISO)

No Repudio: evita que el emisor o el receptor niegue la ocurrencia de un mensaje ("yo no fui").

Control de Aceso: es la capacidad de limitar y controlar el acceso a un sistema. Previene uso inapropiado de recursos.

Disponibilidad: una variedad de ataques pueden ser causantes de pérdida parcial o total de la disponibilidad. Algunos pueden prevenirse con autentificación/encriptación o seguridad fisica.

Amenazas/Defensa: Bucle Infinito

Métodos de Defensa

Controles de Software. Ej: acceso limitado a bases de datos, proteger a un usuario de otro (Sistema Operativo).

Controles de Hardware. Ej: smartcards.Encriptación.Políticas. Ej: cambio frecuente de contraseñas.Educación.Auditorías. Detección de intrusos.Controles físicos.

Amenazas/Defensa

Tecnologías de la Información

RIESGOS

Auditoria de Sistemas de Información

•Presión para incroporar tecnología en estrategias empresariales

•Aumento de la complejidad de los entornos de TI

•Infraestructuras TI fragmentadas

•Brecha de comunicación entre directivos y gerentes TI

•Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos

•Costes de TI fuera de control

•Productividad y ROI marginales sobre inversiones en TI

•Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc

•Inflexibilidad organizacional

ITGI (2004)


• Dependencia creciente de la información y los sistemas que la gestionan

• Vulnerabilidades crecientes y amplio espectro de amenazas

• Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información

• Necesidad de cumplir con leyes y regulaciones

• Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes

• Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

ITGI (2004)


• El IT Governance Institute fue fundado en 1998 para desarrollar normativas de dirección y control de la tecnología de la información en las empresas.

• Un Gobierno TI(Tecnologías de la Información) eficaz permite asegurar que las TI soportarán los objetivos de negocio, optimizando la inversión empresarial en TI y gestionando adecuadamente los riesgos y oportunidades relacionados con las TI.

• El TI Governance Institute desarrolló el sistema de Objetivos de control de información y tecnologías relacionadas (CobiT) y ofrece casos de investigación y estudio originales para ayudar a líderes empresariales y directivos en sus responsabilidades de gobierno de las TI.


ITGI (2004)

http://www.itgi.org/

http://www.network-sec.com/glosario/COBIT

Gestión de los SI

Control y evaluación de esta gestión


TI proporcionan valor i Coste, tiempo, funcionalidad esperados

TI no proporcionan sorpresasi Riesgos mitigados

TI contribuyen al negocioi Nuevas oportunidades e innovaciones en productos,

procesos y servicios

Para asegurar que las

la dirección necesita tener las TI bajo control


IMPACTO en el desarrollo del negocio o actividad empresarial

REQUERIMIENTOS de fiabilidad de los servicios

REQUERIMIENTOS legales

Perspectiva de la gestión de SI/TIC


La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un

mecanismo para valorar y evaluar

LA CONFIANZA

que se puede depositar en los sistemas de información


•Contabilidad desde el inicio de las transacciones comerciales

• Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS)

• Edad Media y Renacimiento en Italia: Vaticano, República de Venecia, etc.

• Contralor de Borgoña, Veedor de Castilla, Account de Inglaterra, etc.

• SXVIII: revolución industrial, creación de grandes empresas

• SXX: Impulso a las normas de auditoría en EEUU como consecuencia del desarrollo económico y crisis de 1929

• Años 1960: nace la Auditoría Informática


Historia

AUDITORÍA

Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por

terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de

correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando

los resultados obtenidos a los destinatarios y usuarios interesados

American Accounting Association


la AUDITORIA de SI es el PROCESO

de RECOGER, AGRUPAR y EVALUAREVIDENCIAS

para

DETERMINAR si un SISTEMA INFORMATIZADO

SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo

los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS


La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene:

1. La Dirección de la empresa2. El auditor de SI interno3. El responsable de las Tecnologías de la

Información4. El vendedor del software y el hardware


Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar:

1. La redacción de los procedimientos de control en el área de seguridad lógica

2. La aprobación de nuevos sistemas de gestión3. Evaluar los riesgos de los sistemas de

información4. Las pruebas del plan de continuidad del negocio


Education

seguridad informática