Introducción a la Seguridad Informática - cryptomex.org · daño violando la confidencialidad...

Seguridad Informática Dr. Roberto Gómez

Introducción a la Seguridad Informática 1

Introducción a la Seguridad Informática

Roberto Gómez Cá[email protected]

Lámina 1 Dr. Roberto Gómez

http://homepage.cem.itesm.mx/rogomez

Seguridad Computacional

El conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema.

Disponibilidad


Integridad Confidencialidad



La seguridad involucra3 dimensiones (no sólo una)

ProcesosInfraestructura

Diseñar pensando en la seguridadRoles y responsabilidades

Los productos no cuentan con funciones de seguridadDemasiado difícil


Gentey p

Auditar dar seguimientos y rastrearMantenerse al día con el desarrollo de seguridad

Falta de conocimientoFalta de comrpomisoFalla humana

mantenerse al díaMuchos problemas no se ven abordados por estándares técnicos (BS 7779)Los productos tienen problemas

Activos de informacion

• Cualquier recurso de SW, HW, Datos, Administrativo, Físico, de Personal de Comunicaciones, etc.A ti i t ibl• Activos intangibles– Imagen, propiedad intelectual, etc

• Ejemplos– Servidores– Bases de Datos– Redes– Usuarios

Aplicaciones


– Aplicaciones– Sistemas Operativos– Dinero– Información– etc



Amenaza

• Circunstancia o evento que puede causar daño violando la confidencialidad integridaddaño violando la confidencialidad, integridad o disponibilidad

• El daño es una forma de destrucción, revelación o modificación de datos.

• Frecuentemente aprovecha una


Frecuentemente aprovecha una vulnerabilidad

La amenaza

• Fuentes de la amenaza– Naturales

• Algunos ejemplos– Naturales:– Naturales

– Ambientales– Humanas

• Accidentales• Deliberadas

– Naturales:• Terremotos que

destruyan el centro de cómputo.

– Humanos• Fraude realizado al

modificar los saldos de


cuentas por cobrar.

– Software• Cambios no autorizados

al sistema que realicen cálculos incorrectos.



Vulnerabilidad

• Falta y/o Debilidad o falla de seguridad• Indica que el activo es susceptible a recibir un daño aIndica que el activo es susceptible a recibir un daño a

través de un ataque.• La debilidad puede originarse en el diseño, la

implementación o en los procedimientos para operar y administrar el sistema.

• En el argot de la seguridad computacional una l bilid d bi id h


vulnerabilidad también es conocida como un hoyo.

Ejemplos vulnerabilidades

• Cuentas de usuarios sin contraseña.El l i d• El personal externo no registra su entrada y salida a las instalaciones.

• Falta de lineamientos para la construcción de contraseñas.

• No contar con un plan de recuperación de


• No contar con un plan de recuperación de desastres



Tiempo vida vulnerabilidad


Prot

Vulnerabilidad vs amenaza

tecciones

Vulnerabilidad

Vulnerabilidad

ActivosDatos

InstalacionesHardware/Software


Protecciones

Source:An Introduction to Computer SecurityThe NIST Handbook NIST- SerialPublication 800-12



El exploit

• Se refiere a la forma de explotar una vulnerabilidadvulnerabilidad– termino muy enfocado a herramientas de ataque,

sobre equipos de computo).• Aprovechamiento automático de una

vulnerabilidad


– generalmente en forma de un programa/software que realiza de forma automática un ataque aprovechandose de una vulnerabilidad

Ataque informático

• Es la consumación de una amenaza• No es un ataque físico (aunque puede ser)• No es un ataque físico (aunque puede ser).• Un ataque no se realiza en un solo paso.• Depende de los objetivos del atacante.• Puede consistir de varios pasos antes de llegar a su

objetivo.




Ataques Pasivos.Ataques Pasivos.

Tipos de Ataques (1)

Ataques Activos.Ataques Activos.


Tipos ataques activos

• Suplantación de identidad.– intruso se hace pasar por una entidad diferente,

normalmente incluye alguna de las otras formas de ataquenormalmente incluye alguna de las otras formas de ataque activo.

• Reactuación. – uno o varios mensajes legítimos son capturados y repetidos

para producir un efecto no deseado, • Modificación de mensajes.


– una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados,

• Degradación del servicio. – impide o inhibe el uso normal o la gestión de recursos

informáticos y de comunicaciones.



Ejemplos Ataques

• Virus • Caballo de Troya

• Dedos inexpertos• Falsificación• Caballo de Troya

• Gusanos (Worms)• Bugs• Trapdoors• Stack overflow

• Falsificación• Usurpación • Sniffers• Spoofing• Spam


• Pepena• Bombas lógicas• Secuestro sesiones

• Grafiti• Ingeniería Social • Negación de servicio

Riesgo

• Probabilidad / posibilidad de que un evento desfavorable ocurradesfavorable ocurra.

• Tiene un impacto negativo si se materializa.• A notar: que si no hay incertidumbre, no hay un

riesgo per se.• Ejemplos riesgos

Al


– Alto– Medio – Bajo– 327,782 USD



Impacto

• Es la “materialización” de un riesgo.U did d l d d d ñ bi• Una medida del grado de daño o cambio.

• Ejemplos– Retraso en la ejecución y conclusión de

actividades de negocio.– Perdida de oportunidad y efectividad en la


Perdida de oportunidad y efectividad en la operación.

– Falta de credibilidad frente a clientes.– Divulgación de información confidencial.

Control

• Es una medida o mecanismo para mitigar un riesgo. • Es un mecanismo establecido para prevenir• Es un mecanismo establecido para prevenir,

detectar y reaccionar ante un evento de seguridad.• Ejemplos

– Desarrollo de políticas y procedimientos de uso de contraseñas.

– Desarrollo e implantación de un programa de


Desarrollo e implantación de un programa de concientización.

– Implementación de un plan de recuperación de desastres



En Resumen...

VulnerabilidadDebilidad Control

Nivel de l bilid d

RiesgoAmenaza


X

Vulnerabilidad

En Resumen...

Debilidad Control Vulnerabilidad

Amenaza RiesgoNivel de

No existe un procedimiento de control de cambios en Sistemas Operativos.

• Falta de parches de seguridad.

• Huecos de seguridad por configuraciones erróneas.


X

Vulnerabilidad

ALTO• No ejecución del

proceso de negocio.• Pérdida de la

confidencialidad de la información del negocio.

• Modificación no autorizada de la información del negocio.

•Alto•Medio•Bajo



Entonces, ¿de que se trata?


La estrategía es un ciclo

análisis

políticasSEGURIDADSEGURIDADevaluación

Lámina 22 Dr. Roberto Gómezmecanismos



Asegurando el sistema• Objetivo

– minimizar los riesgos potenciales de seguridad• Análisis de riesgos• Análisis de riesgos

– análisis amenazas potenciales que se pueden sufrir,– las pérdidas que se pueden generar – y la probabilidad de su ocurrencia

• Diseño política de seguridad– definir responsabilidades y reglas a seguir para evitar tales


p y g g pamenazas o

– minimizar sus efectos en caso de que se produzcan• Implementación

– usar mecanismos de seguridad para implementar lo anterior

Determinación del nivel de riesgo

• Identificar las amenazasQ b bl• Que tan probable es que ocurran

• Dos formas de evaluar probabilidad e impacto– Establecer la probabilidad sin considerar los

controles existentes


co t o es e ste tes– Examinar el nivel de riesgo tomando en cuenta

los controles existentes– Probabilidad: alta, media, baja



Matriz del nivel de riesgo

ALTO MEDIO BAJO

IMPACTO

ALTO MEDIO BAJO

ALTO Alto Alto Moderado Medio

MEDIO Alto Moderado Alto

Moderado Bajo

Moderado ModeradoROBA

BILI

DAD


BAJO Moderado Alto

Moderado Bajo Bajo

Alto: una acción correctiva debe ser implementadaModerado alto: una acción correctiva debería ser implementadaModerado bajo: se requiere acciones de monitoreoBajo; no se requiere ninguna acción en este momento

PR

¿Y que se hace con el riesgo?

• Etapa conocida como manejo o administración del riesgoadministración del riesgo– Risk Management

• Alternativas– Tolerar el riesgo: no se implementan controles– Transferir el riesgo: se transfiere el riesgo a un

tercero


tercero– Mitigar el riesgo: se implementan controles

• El costo de los controles debe ser analizado y evaluado detalladamente



Análisis costo/beneficio

1. Identificación costo posibles pérdidas (L)

Identificar amenazas

3. Identificar posibles acciones (gasto) y sus implicaciones. (B)Seleccionar acciones a implementar.

B ≤ P L ?

Se cierra

el ciclo


2. Determinar susceptibilidad.La probabilidad de pérdida (P)

¿ B ≤ P∗L ?

Política de Seguridad

• Especifica las características de seguridad que un sistema debe observar y proveer– conjunto de reglas que deben respetarse para mantener la

seguridad de la información.

• Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse

• Depende de los objetivos y metas de la


organización.• Generalmente es expresada en un lenguaje o idioma.• Típicamente establecida en términos de sujetos y

objetos.



Objetos y Sujetos

• Un objeto es todo recurso “pasivo” del sistema Por ejemplo la información unsistema. Por ejemplo, la información, un archivo, el código de un programa, un dispositivo de red, etc.

• Un sujeto es toda entidad “activa” en el


jsistema. Por ejemplo, un usuario, un programa en ejecución, un proceso, etc.

Paradigmas

• Paranoico: Nada está permitido.• Prudente: Lo que no está expresamente

permitido, está prohibido.• Permisivo: Lo que no está expresamente

hibid tá itid


prohibido, está permitido.• Promiscuo: Todo está permitido.



Tipos políticas de seguridad

• Políticas administrativas– Procedimientos administrativos.

• Políticas de control de acceso– Privilegios de acceso del usuario o programa.– Política de menor privilegio

• Políticas de flujo de información– Normas bajo la cuales se comunican los sujetos dentro del

sistema


sistema.– La información a la que se accede, se envía y recibe por:

• ¿Canales claros o canales ocultos? ¿Seguros o no?– ¿Qué es lo que hay que potenciar?

• ¿La confidencialidad o la integridad?• ¿La disponibilidad?

Principios de escritura

• Basado en riesgosP ó i l d l i d• Propósito claro del enunciado

• Nivel de detalle consistente• Neutralidad tecnologica• Describir el que, no el como


• Apoyarse en políticas existentes



Normatividad vs Política

NormatividadPolíticas de alto nivel

Estándares Procedimientos


GuíasBaselines

Ejemplo de Política(en lenguaje natural)

• Sólo se permitirá el intercambio de correo electrónico con redes de confianzaelectrónico con redes de confianza.

• Toda adquisición de software a través de la red debe ser autorizada por el administrador de seguridad.

• Debe impedirse la inicialización de los


Debe impedirse la inicialización de los equipos mediante disco.



Como construir una política de seguridad

Analizar el problema

Determinar el riesgo del problema

Definir el propósito de la política problemap

Identificar los responsables y definir sus roles y responsabilidades

Analizar el impacto de implantar los controles elegidos

Buscar los controles de seguridad y mitigar los riesgos


Definir las métricas de cumplimiento/conformidad

Si es necesario proporcionar un mapeo con los estándares y guías.

ESCRIBIR UNA POLITICA

Ejemplo politica (1)




Ejemplo política 2


Propietarios, custodio y usuario

• Propietario– Responsable por definir los niveles y estrategias de– Responsable por definir los niveles y estrategias de

protección de la información.• Custodio

– Responsable por el cumplimiento de las directrices de uso y acceso a la información. Así como conocer y participar en las estrategias de contingencia y

ió d l i


recuperación de la misma• Usuario

– Responsable por hacer un uso adecuado y tener acceso autorizado a la información.



Mecanismos de seguridad

• Son la parte más visible de un sistema de seguridadseguridad.

• Se convierten en la herramienta básica para garantizar la protección de los sistemas o de la propia red.

• Se dividen en:


Se dividen en:– prevención– detección– recuperación

Estrategias de protecciónEvitaciónPrevenciónDetecciónRecuperación

Evitación

• No exponer activos a amenazas.

• Organizar las tareas de modo de evitar amenazas.

• Definición y uso de áreas y/o equipos


restringidos o aislados.



Prevención

• Incluye funciones de seguridad en hardware y software.

• Debe incluir la definición y observancia de políticas de seguridad.

• Incluye controles administrativos.

No se puede mostrar la imagen. Puede que su equipo no tenga suficiente memoria para abrir la imagen o que ésta esté dañada. Reinicie el equipo y, a continuación, abra el archivo de nuevo. Si sigue apareciendo la x roja, puede que tenga que borrar la imagen e insertarla de nuevo.


• Es la estrategia más ampliamente usada.

Mecanismos prevención

• Aumentan la seguridad de un sistema durante el funcionamiento normal de éste.

• Previenen la ocurrencia de violaciones a la seguridad

• Ejemplos mecanismos:– encripción durante la transmisión

de datos


de datos– passwords difíciles– firewalls– biométricos



Mecanismos prevención más habituales

• Mecanismos de autenticación• Mecanismos de control de acceso• Mecanismos de separación• Mecanismos de seguridad en las

comunicaciones


Mecanismos autenticación

• Clasificación– Basados en algo que se sabe asados e a go que se sabe– Basados en algo que se es– Basadas en algo que se tiene

• Posible combinar los métodos– autenticación de dos factores

• basado en algo que se sabe y algo que se es• basado en algo que se sabe y algo que se tiene


• basado en algo que se sabe y algo que se tiene• basado en algo que se es y algo que se tiene• basado en algo que se es y algo que se sabe• otras combinaciones

– autenticación de tres factores• basado en algo que se es, algo se sabe y algo que se tiene



Basados en algo que se sabe

• Primeros sistemas de autenticación se basaron en claves de acceso: nombre usuariobasaron en claves de acceso: nombre usuario y una clave de acceso.

• Son fáciles de usar y no requieren de un hardware especial.

• Siguen siendo el sistema de autenticación


Siguen siendo el sistema de autenticación más usado hoy en día.

• Passwords, frases y números de identificación personal, NIP.

El password

• Primera barrera contra ataques.El d l á ibl d l• El password es la parte más sensible de la seguridad en Unix.

• Es posible tener un sistema donde se ha tenido mucho cuidado del aspecto de seguridad y, sin embargo, que es vulnerable


seguridad y, sin embargo, que es vulnerable debido a passwords mal elegidos por los usuarios.



EL NCSC en 1985 definió la probabilidad de descifrar un password como:

Probabilidad de descifrar un password

pP = (LxR) /S

L = tiempo de vida del passwordR = es el número de intentos por unidad de

tiempo que es posible realizar para descifrar


un password.S= es el espacio de passwords; el número total

de passwords únicos disponibles, donde:

Espacio de passwords

S= A M

A = el número total de caracteres en el alfabetoM= longitud el password


g p



Aspectos a cuidar en la selección de un password

• No use el nombre del login en ninguna formaN b i llid• No use nombres propios, apellidos o sobrenombres.

• No use el nombre de familiares o amigos.• No use palabras contenidas en diccionarios

N i f ió l i d t d


• No use información relacionada con usted• No use únicamente dígitos o la misma letra• No use menos de siete caracteres

Consejos para la selección de passwords

• Use mayúsculas y minúsculasU dí i i d ió• Use dígitos y signos de puntuación.

• Use un password fácil de recordar para evitar escribirlo

• Use un password que pueda teclear rápido y sin mirar al teclado


sin mirar al teclado.• Use passwords derivados de frases célebres:

p.e: El respeto al derecho ajeno es la paz, deriva en ERADAELP



Tipos de contraseñas con respecto a la aplicación

• Passwords de aplicacionesARJ ZIP RAR t– ARJ, ZIP, RAR, etc

– Micosoft Office passwords– Documentos PDF

• Sistemas Operativos– Windows


Windows– Unix

Almacenamiento contraseñas

• ¿Cómo se almacenan las contraseñas?D d l l t ñ– ¿Donde se almacenan las contraseñas• Windows: C:\WINDOWS\system32\config\SAM• Linux: /etc/passwd• MacOS: /var/db/shadow/hash/• Shadow passwords

/ t / h d ól d l t


– /etc/shadow sólo puede leerse por root– /etc/passwd muestra caracteres especiales '*', o x'

en lugar del hash de la contraseña



Tipos de contraseñas con respecto a su generación

• Lan Manager Hash

• NTLM Hash: challenge-response sequence

• Salted Hash


Lan Manager Hash

• Las contraseñas se convierten a mayúsculas y se truncan en los 14 carácterestruncan en los 14 carácteres

• Las contraseñas se dividen en dos secciones de 7 caracteres y se inserta un bit cero cada séptimo bit, el resultado son secciones de 8 bytes que son usados para crear dos llaves DES

• Cada llave es usada para cifrado DES


Cada llave es usada para cifrado DES• La concatenación de ambas genera un hash LM de

16 bytes• Soportado por todas las versiones de Windows para

compatibilidad hacia atrás



NTLM Hash

• NTLM Hash: challenge-response sequenceEl li í í i d• El cliente envía características soportadas o solicitadas– eg. Tamaño de la llave de cifrado, autenticación

mutua, etc.• El servidor responde con banderas similares


pmas un random challenge

• El cliente utiliza el challenge y sus credenciales para calcular la respuesta

Salted hashes

• Salted hashes: Para cada contraseña se genera un número aleatorio (un nonce) Segenera un número aleatorio (un nonce). Se hace el hash del password con el nonce, y se almacenan el hash y el nonce– Usual– hash = md5(“deliciously salty” + password)

• MD5 is broken


MD5 is broken• Sus competidores actuales como SHA1 y SHA256

son rápidos, lo cal es un problema– Con hashes de 16b, hay 2^16 = 65,536

variaciones para la misma contraseña



Saltos

• Para hacer más robusto el algoritmo, se le añade un número de 12 bits (entre 0 y 4,095), obtenido del ( y , ),tiempo del sistema.

• Este número se le conoce como salto.• El salto es convertido en un string de dos caracteres

y es almacenado junto con el password en el archivo /etc/passwd ocupando los dos primeros lugares


lugares.• Cuando se teclea el password este es encriptado con

el salto, ya que si usa otro, el resultado obtenido no coincidiría con el password almacenado.

Ejemplo passwords y saltos

Password Salto Password EncriptadoPassword Salto Password Encriptado

My+Self oZ oZsV5zgRK6sjwvaLgLo Na NaWyhsolA2gTMATSw.IM! Hc HcLrEM.BYtLwkGlobal Gi GiRzWzP5IEPM


Global DY DYmeXoTgacmWYGlobal pd pdOTBzon3G2KU



Encripción de un password

hora pid

XYd

SALTO: XY

12 bits / 4096

~DES


XYpassword

Campo de contraseña delarchivo /etc/passwd

DESMD5Blowfish

Verificación de un password

XYd ~DES XYpassword

password encriptado

DESMD5Blowfish


encriptado

¿iguales?

Campo de contraseña delarchivo /etc/passwd



Contraseñas y sistemas operativos


Crackeo

• El termino se refiere al hecho de encontrar la contraseña de una determinada cuenta o decontraseña de una determinada cuenta o de un conjunto de cuentas.

• Puede ser considerado ilegal o parte de una auditoria.

• Técnicas principales


Técnicas principales– Ataque por diccionario: – Ataque por fuerza bruta– Híbrido: Diccionario con fuerza bruta



Técnicas crackeo contraseñas

• ¿Cómo se crackean las contraseñas?F b t t lí t t– Fuerza bruta: ataques en línea contra ataquesfuera de línea. Dado el tiempo y CPU suficientelas contraseñas eventualmente serán crackeadas

– Diccionario: Lista de palabras, encriptadas unavez en un tiempo dado y verifica si los hashes son iguales


son iguales– Híbrido: Diccionario con fuerza bruta

Tiempo de crackeo

Conjunto caracteres Número de símbolos en

Passwords de 3 símbolos

Passwords de 6 símbolos

el conjunto Cantidad Tiempo Cantidad Tiempo

Letras latinas minúsculas

26 17,576 0.02 segs 308.915.776 5 min

Letras latinas minúsculas y dígitos.

36 46,656 0.04 segs 2.176.782.336 36 min

Letras latinas minúsculas, mayúsculas y

62 238,238 0.2 segs 56.800.235.584 15 hrs


mayúsculas y dígitos.Letras latinas minúsculas, mayúsculas, dígitos y caracteres especiales

94 830,584 1 seg 689.869.781.056 8 dias



Tiempo de crackeo

Conjunto caracteres

Número símbolos

Passwords de 8 símbolos Passwords de 12 símbolos

Cantidad Tiempo Cantidad Tiempop p

Letras latinas minúsculas

26 208.827.064.576 58 hrs 95.428.956.661.682.176 3,000 años

Letras latinas minúsculas y dígitos.

36 2.821.109.907.456 32 días 4.738.381.338.321.616.896 150,000 años

Letras latinas minúsculas, mayúsculas y dígitos.

62 2.183.40.105.584.896 7 años 3.226.266.762.397.899.821.056

100 millones años


dígitos.

Letras latinas minúsculas, mayúsculas, dígitos y caracteres especiales

94 6.095.689.385.410.816 193 años 475.920.314.814.253.376.475.1366

Más de lo que ha existido la tierra

Basados en algo que se tiene

• Usar un objeto físico que llevan consigo y• Usar un objeto físico que llevan consigo y que de alguna forma comprueba la identidad del portador.

• Las tarjetas de acceso son las prendas típicas• Cada tarjeta tiene un número único.


C j• El sistema tiene una lista de las tarjetas

autorizadas.



Arquitectura Tarjeta Inteligente

CPU RAM ROM

8 bits (6805), 16 bits and 32 bits RISC (ARM 7)

128 Bytes to1 KB


SecurityBlock

Input/Output

PersistentMemory

2KB to 64 KB

Maximum 64 KB

Problemas de este mecanismo

• El objeto no prueba quien es la persona. C l i t l t j t d t l– Cualquiera que tenga la tarjeta puede entrar al área restringida.

• Si una persona pierde su objeto no podra entrar al área restringida aunque no haya cambiado su identidad.


• Algunas prendas pueden ser copiadas o falsificadas con facilidad.



Basados en algo que se es

• Se realiza una medición física y se compara con un perfil almacenado con anterioridad,– técnica conocida como biométrica,– se basa en la medición de algún rasgo de una persona

viva.• Existen dos formas para usar biometricos:

l did d i di id fil


– comparar las medidas de un individuo con un perfil específico almacenado.

– buscar un perfil en particular en una gran base de datos.

El proceso biométrico

Registro Base datos template

Identificación

SensorBiométrico

Extractorcaracterística

template


Identificación

SensorBiométrico

Extractor característica

Comparacióncaracterística



Características biométrico ideal

• Universalt d l t í ti– toda persona posee la característica

• Único– dos personas no comparten la característica

• Permanentela característica no debe cambiar o alterarse


– la característica no debe cambiar o alterarse• Colectable (collectable)

– característica es realmente presentable a un sensor y es fácilmente cuantificable.

Sistemas biométricos prácticos

• Desempeño– robustez requerimientos de recursos y factores– robustez, requerimientos de recursos, y factores

operacionales o de ambiente que afectan su confiabilidad y velocidad

• Aceptación– personas dispuestas a aceptar un identificador biométrico

en su vida diaria.


• Confiablidad– que tan fácil es engañar al sistema, a través de métodos

fraudulentos



Tecnologías Biométricas

• Imágenes facialesG t í• Geometría mano

• Métodos basados en el ojo

• Firmas• Voz


• Geometría de la vena

• Imágenes palma y dedos

Retina y huella

http://news.bbc.co.uk/nol/shared/spl/hi/guides/45690




Ejemplo 1


Ejemplo 2




Comparación

Biometrico Universal Unico Permanente Colectable Desempeño Aceptación ConfiabilidadCara alta baja media alta baja baja bajoHuella digital media alta alta media alta media altoGometria Mano media media media alta media media mediaIris alta alta alta media alta baja altaScan retina alta alta media baja alta baja altaFirma baja baja baja alta baja alta bajaImpresión voz media baja baja media baja alta bajaF. Termográfico alta alta baja alta media alta alta


Concluyendo…




Mecanismos de control de acceso

• La autenticación pretende establecer quién eres.• La autorización (o control de accesos) establece qué

d h l i tpuedes hacer con el sistema.• Dos modelos: DAC y MAC• Control de acceso discrecional (DAC),

– un usuario bien identificado (típicamente, el creador o'propietario' del recurso) decide cómo protegerloestableciendo cómo compartirlo, mediante controles de


acceso impuestos por el sistema. • Control acceso mandatorio (MAC)

– es el sistema quién protege los recursos. – todo recurso del sistema, y todo usuario tiene una etiqueta de

seguridad.

Control de acceso basado en Roles

• También conocido como RBAC– Role Based Access ControlRole Based Access Control

• Surge a finales de los 80s y toma un fuerte impulso en los 90s.

• Combina aspectos de DAC y MAC , pero con una visión más orientada a la estructura organizacional.

• Básicamente consiste en la creación de roles para los


• Básicamente consiste en la creación de roles para los trabajos o funciones que se realizan en la organización.

• Los miembros del staff se asignan a roles y a través de estos roles adquieren permisos para ejecutar funciones del sistema.



RBAC

• Los sujetos acceden a los objetos en base a las actividades que (los sujetos) llevan alas actividades que (los sujetos) llevan a cabo en el sistema.

• Es decir, considerando los roles que ocupan en el sistema.

• Rol


Rol– es el conjunto de acciones y responsabilidades

asociadas con una actividad en particular.

Control acceso y monitor referencia

• Monitor referencia: mecanismo responsable de “mediar” cuando los sujetos intentan realizarmediar cuando los sujetos intentan realizar operaciones sobre los objetos en función de una política de acceso.

SujetoMonitor de Referencia

Objeto


Solicitud deacceso



Matriz de control de acceso

• Modelo conceptual que describe el estado de protección de manera precisaprotección de manera precisa.

• Matriz que describe los permisos de los sujetos (usuarios o procesos) sobre los objetos.


Ejemplo matriz de acceso

• Dos procesos: proc1, proc2• Dos archivos: arch1 arch2• Dos archivos: arch1, arch2• Permisos: r=lectura, w=escritura, x=ejecución, a =

añadir

rwa r rwxa w

arch1 arch2 proc1 proc2

proc1


rwa r rwxa wa ra r rwxa

proc1 proc2



Segundo ejemplo

• Dos usuarios: toto, cachafas• Tres archivos: info pdf script sh foto jpg• Tres archivos: info.pdf, script.sh, foto.jpg• Tres permisos: r=lectura, w=escritura, x=ejecución

--- rwx rw

info.pdf script.sh foto,jpg

toto


--- rwx rwrw rx r

totocachafas

Implementación

• Dos formas de implementar la matriz de control de accesos:control de accesos:

– Lista de control de accesos (ACL):• Hay una lista por objeto. Indica los permisos que

posee cada sujeto sobre el objeto.


– Lista de capacidades:• Hay una lista por sujeto. Indica los permisos que

posee el sujeto sobre cada objeto.



Listas de control de accesos

• Consiste en almacenar la matriz de control de accesos por columnasaccesos por columnas.

• Dado un objeto, tenemos las siguientes ventajas :– Es fácil ver los permisos del mismo para todos los

sujetos.– Es fácil revocar todos sus accesos, reemplazando su

ACL por una vacía.


– Es fácil darlo de baja, borrando su ACL.

• Problemas:– ¿Cómo chequear a que puede acceder un sujeto?

Lista de capacidades

• Consiste en almacenar la matriz de control de accesos por filasaccesos por filas.

• Dado un sujeto, tenemos las siguientes ventajas:– Es fácil de chequear todos los permisos que posee.– Es fácil de revocar sus permisos, reemplazando su lista

de capacidades por una vacía.– Es fácil darlo de baja, eliminando su lista de


j ,capacidades.

• Problemas:– ¿Cómo chequear quien puede acceder a un objeto?



Mecanismos de separación

• Definición de un perímetro de seguridad• Definir las zonas “abiertas” y las zonas• Definir las zonas abiertas y las zonas

cerradas.– DMZ: Zona desmilitarizada

• Mecanismos que sirven para delimitar una frontera

il d


– Filtros de paquetes– Firewalls– Wrappers– Proxies

Ejemplo separación

INTERNET




Mecanismos seguridad en las comunicaciones

• Seguridad en la transmisión de información entre las diferentes entidadesentre las diferentes entidades.

• Objetivos– Confidencialidad de la información transmitida– Integridad de los datos entre las diferentes

entidadesAutenticidad de las partes comunicantes y de la


– Autenticidad de las partes comunicantes y de la información transmitida

• Herramientas– Criptografía: VPNs

Detección

• Busca descubrir incidentes l tal momento en que ocurren

o lo antes posible.• Debe permitir detectar

eventos para reducir el daño.

• Permite identificar y


Permite identificar y perseguir culpables.

• Revela vulnerabilidades.



Mecanismos detección

• Son aquellos que se utilizan para detectar violaciones de la seguridad o intentos deviolaciones de la seguridad o intentos de violación.

• Ejemplos de estos mecanismos– IDS

• Tripwire• Snort


Snort– Detectores de vulnerabilidades

• Nessus• ISS

Mecanismos de recuperación

• Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste su f i i t tfuncionamiento correcto.

• Ejemplos– respaldos– redundancia– bitácoras– BCP

Bueno, Gracias al Cielo salimos a tiempo . . . Y Ah Q é?


BCP– DRP

• Subgrupo– mecanismos de

análisis forense

Y Ahora Qué? . . .



Los respaldos

• Es una copia de los datos escrita en cinta u otro medio de almacenamiento duraderootro medio de almacenamiento duradero.

• De manera rutinaria se recuerda a los usuarios de computadoras que respalden su trabajo con frecuencia.

• Los administradores de sitios pueden tener la


Los administradores de sitios pueden tener la responsabilidad de respaldar docenas o incluso cientos de máquinas

Accountabilty: loggin: bitácoras

• Se refiere al procedimiento a través del cual un sistema operativo registra eventos conforme van ocurriendo y l t ilos preserva para un uso posterior.

• Es posible configurar los sistemas de tal forma que los eventos:– se escriban en uno o en distintos archivos, – se envien a través de la red a otra computadora,– se transmitan a algún dipositivo.


g p• Algunos comandos en linux

– lastlog– last



Planes de contingencia

• Consiste en un análisis pormenorizado de las áreas que componen una organización para establecer unacomponen una organización para establecer una política de recuperación ante un desastre.– es un conjunto de datos estratégicos de la empresa y que se

plasma en un documento con el fin de protegerse ante eventualidades.

• Además de aumentar su seguridad la empresa también


gana en el conocimiento de fortalezas y debilidades.• Si no lo hace, se expone a sufrir una pérdida

irreparable mucho más costosa que la implantación de este plan.

DRP y BCP

• DRP (Disaster Recovery Planning)– recuperar la operación de los servicios computacionales y derecuperar la operación de los servicios computacionales y de

telecomunicaciones después de un desastre– desastre es un evento no planeado que ocasiona la “no

disponibilidad” de los servicios informáticos por un periodo de tiempo tal que, para restablecer estos servicios, es necesario utilizar facilidades alternas de cómputo y telecomunicaciones en otra localidad


• BCP (Business Continuity Planning)– capacidad para mantener la continuidad de las operaciones– dirigido a situaciones catastróficas (no problemas rutinarios)



El computo forense

• Se refiere al proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo, para y p , pidentificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal

• ¿Que clase de evidencia ?– la computadora involucrada de forma directa.

l t d i l d d f i di t


– la computadora involucrada de forma indirecta.• Meta: reconstrucción de eventos pasados

– reconstruir que pasó, que lo ocasionó y deslindar responsabilidades

Clasificación mecanismos seguridad

autenticaciónen lo que se sabeen lo que se tieneen lo que es

discrecional

Mecanismosde seguridad

prevención

control acceso

separación

seguridad comunicaciones

IDS

discrecionalmandatorio

filtrosfirewallwrappersproxies


detección

recuperación

IDSscanner vulnerabilidades

respaldosredundanciabitácorasBCPDRPanálisis forense



Algunos principios de Seguridad

• Propuestos por la OECD en 1992p p– Organisation for Economic Co-operation and

Developmen• Entre los más importantes encontramos

– Accountability (Responsabilidad / Rendición de C t )


Cuentas)– Awareness (Sensibilización)

Accountability

• Propiedad que asegura que las acciones de una entidad deben llevar unicamente a dicha entidad (ISO (7498-2)

• La propiedad que habilita actividades en un sistema ADP que conducen (trace) a individuos que pueden ser declarados responsables


de dichas actividades (DOE 5636.2A)



Awareness (Sensibilización)

• Todas las partes deben poder l did dconocer las medidas de

seguridad, practicas y procedimientos.

• Una motivación para este principio es forzar la confianza en los


la confianza en los sistemas de información.

Ejemplos awareness




Top 10 Reasons Computers Don't Have Security.

10. I just use my computer for email and web browsing. 9. I've never had any virus problems. 8. Well, I did have some security, but it kept popping up all

the time. 7. It might crash my system.6. My subscription kept expiring.5. It slows down my system. 4 I tho ght it came ith the comp ter


4. I thought it came with the computer.3. It's too expensive.2. Macs don't need security. 1. I don't know what to buy or how to install it.

Fuente: SANS: Ouch! Newsletter

Servicios propuestos por OSI

• Autentificación.– autenticación del clienteaute t cac ó de c e te– autenticación del servidor

• Control de Acceso– se aplica a los usuarios y procesos que ya

han sido autentificados• Confidencialidad.

i i l i i l i

Norma 7498-2


– principal mecanismo: criptologia• Integridad de Datos

– CRCs y huellas digitales.• No Repudiación.



No Repudiación.

• Permite comprobar las acciones realizadas por el origen o destino de los datos.– con prueba de origen.– con prueba de entrega.

• Los mecanismos principales son los certificados y las firmas digitales.

• Dos objetivos, garantizar:


j , g– que alguien que haya recibido

un pago no pueda negar este hecho.

– que alguien que haya efectuado un pago no pueda negar haberlo hecho.

AAA

Authentication, authorization, y ti


accounting



La AAA

• Authentication, authorization, y accounting – consiste de un framewok que proporciona los tres– consiste de un framewok que proporciona los tres

servicios• El objetivo del grupo de trabajo AAA es definir un

protocolo que implemente autenticación, autorización y accounting lo suficientemente general para ser usado en aplicaciones diferentes.


g p p• Definición de la arquitectura

– de Laat, C. & Gross, G. & Gommans, L. & Vollbrecht, J. & Spence, C., Generic AAA architecture, Internet Draft (work in progress), January 2000.

Esquema general

Autenticación Autorización Accountability

proporcionar un métodopara identificar un usuario.

p.e. login/password

autorización para llevar a cabo ciertas

tareas

mide y/o almacena losrecursos que un usuario

consume durante su acceso


Servidor AAA



Evaluación

• Como evaluar que un sistema es seguro o noT i• Tres mecanismos– la auditoría de seguridad (security audit), – la evaluación de la seguridad (security

assessment) – las pruebas de penetración (penetration testing o


p p (p gPEN TEST).

Auditoría

• Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la

i i i l (R K l )perspectiva organizacional (Ray Kaplan) • Auditores limitan el alcance y no incluyen detalles

técnicos de bajo nivel: – fallas en protocolos de comunicación.

• Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y

d i té i d t ll d


recomendaciones técnicas detalladas. • Generalmente se lleva a cabo por auditores EDP

(Electronic Data Processing) certificados bajo las directrices de un comité



Evaluación Seguridad Informática

• Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de unatécnicos de la seguridad de la infraestructura de una organización.

• Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías.

• Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y


tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados.

Pruebas de penetración

• Se encuentran involucrados expertos en tecnología o profesionales certificados en seguridad p ginformática

• Reportan a comité seleccionado por la organización• Pretende demostrar que una infraestructura es

vulnerable, penetrando en ella a través de ataques controlados desde dentro o fuera de la organización


organización.• Se pretende simular las actividades de un atacante,

buscando medios para evadir los controles e identificar y aprovechar puntos débiles.



Pruebas de penetración

• Pueden ser prácticas formales o informales• Informales• Informales

– orientadas por objetivos técnicos de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura.

• Formales – están orientadas a verificar debilidades en las políticas de


pseguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización.

Metodologías

• El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la p p y p qlleva a cabo, es bueno apoyarse en una metodología

• Ejemplos metodologías– Wardoc . Rhino9 y Neonsurge

• Recopilación de información (NetBIOS e IIS)• Penetración (NetBIOS e IIS)

– NIST 800-42 (Guía para evaluar la seguridad en red)


NIST 800 42 (Guía para evaluar la seguridad en red)• Planeación• Descubrimiento• Ataque (nuevamente descubrimiento)• Reporte (análisis causas raíz)



La metodología OSSTMM

• Open Source Security Testing Methodology Manual– Autor: Pete Herzog

d l í di idid i ód l• Metodología dividida en secciones, módulos y tareas.• Mapa de Seguridad (6 secciones)

– Seguridad de la Información– Seguridad de los Procesos– Seguridad de las Tecnologías de Internet– Seguridad de las Comunicaciones– Seguridad Inalámbrica


Seguridad Inalámbrica– Seguridad Física

• Base: Valores de Evaluación de Riesgos– solo aplicación efectiva de los controles y no solo su existencia.

• Cada sección se compone de varios módulos y estos a su vez de tareas.

Otras metodologías

• Breaking into computer networks form the Internet, Roelof Temming (sensepost)Roelof Temming (sensepost)

• An approach to systematic network auditing -Mixter (TFN)

• Impoving the security of your site by breaking into it . Dan Farme y Wietse Venema

• Managing a Network Vulnerability Assessment


• Managing a Network Vulnerability Assessment . Peltier y Blackley

• Hack I.T. . T.J. Klevinsky• Hacking Exposed . McClure, Scambray, Kurtz



Reporte prueba penetración

• Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar lacabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones.

• Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en las


p gconfiguraciones del hardware para ingresar de manera no autorizada al perímetro de comunicaciones de la empresa

Ejemplos resultados Nessus




¿Cuál de las tres usar?


¿Qué se espera de un sistema de información?

requerimientos usuariodesempeño

SISTEMA DE INFORMACION capability

flexibilidad


seguridad

facilidad de uso

costo



Arquitectura de seguridad

• Vista total de la arquitectura del sistema desde un punto de vista de seguridadpunto de vista de seguridad.

• Da a conocer recomendaciones de donde, dentro del contexto general de la arquitectura del sistema, se deben colocar los mecanismos de seguridad.

• Proporciona una percepción de los servicios de seguridad mecanismos tecnologías y


seguridad, mecanismos, tecnologías y características que pueden ser usados para satisfacer requerimientos de seguridad del sistema.

Puntos a tomar en cuenta

• La seguridad es un requerimiento desde un principioprincipio.

• Es otra característica que necesita ser incluida.• Se enfoca en los servicios de seguridad del sistema

– Mecanismos de alto nivel.– Ubicación de funcionalidades relacionadas con

seguridad


seguridad.– Identificar interdependencias entre componentes

relacionados con seguridad, servicios, mecanismos y tecnologías, y al mismo tiempo arreglar cualquier conflicto entre ellos.



Un primer ejemplo de arquitectura


Segundo ejemplo




Tercer ejemplo


Un último ejemplo




Estrategia seguridad

• Elección de las reglas y medidas a tomar para proteger el sistemapara proteger el sistema.

• Las estrategias que se sigan deben estar alineadas a los procesos de negocio para asegurar la continuidad del negocio.

• La seguridad informática debe verse más


La seguridad informática debe verse más como un proceso que como una alternativa tecnológica dentro de las organizaciones.

Estableciendo una estrategia

• Es conveniente pensar en los distintos niveles que esta debe abarcaresta debe abarcar– Física, lógica, humas y la interacción entre estos.

• Debe incluir los siguientes tipos de estrategias:– Estrategia proactiva (proteger y proceder)

• conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a d ll l d i i


desarrollar planes de contingencia.

– Estrategia reactiva (perseguir y procesar):• evaluar el daño que ha causado el ataque, a repararlo o a

implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.



Definiendo la estrategia• Definir objetivos

– Qué se quiere proteger. – Con base en el objetivo, misión y visión empresarial de la organizaciónCon base en el objetivo, misión y visión empresarial de la organización

pueden identificarse sistemas de aplicación crítica

• Administración riesgos– Identificar riesgos, evaluarlos y administrarlos. – Qué puede pasar si ... el riesgo identificado se materializa.

• Definir política seguridad– Establecer las reglas de actuación ante los riesgos de seguridad y deben


Establecer las reglas de actuación ante los riesgos de seguridad y deben incluir los controles preventivos, detectivos y correctivos necesarios para el control de los riesgos informáticos

• Monitorear el proceso.– Evaluar la efectividad del proceso, haciendo auditorías internas y

externas que permitan identificar con oportunidad posibles problemas o riesgos, y corregir lo que sea necesario.

Los protagonistas

hackers, crackers y ...




Los protagonistas

• Los hackersL k• Los crackers

• Los phreakers• Los script kidies


El Hacker: La Vieja Guardia

• Origen del término a finales de los 60• Origen del término a finales de los 60.• Programador con alto dominio de su profesión,

capaz de solucionar problemas a través de hacks (segmentos de código muy ingenioso).

• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones (85 93)


cómputo y telecomunicaciones (85-93).• La búsqueda del conocimiento siempre fue su

fuerza impulsora.



Este mundo es nuestro ... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya e istente sin pagar por eso q e podría haber sido más baratoexistente, sin pagar por eso que podría haber sido más barato si no fuese por esos devoradores de beneficios. Y nos llaman delincuentes. Exploramos... y nos llaman delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y ustedes nos llaman delincuentes. Construyen bombas atómicas, hacen la guerra, asesinan, estafan al país y nos mienten tratando de hacernos creer que son buenos y


y nos mienten tratando de hacernos creer que son buenos, y aún nos tratan de delincuentes. Si, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es ser más inteligente que ustedes, algo que nunca me perdonarán.

The Mentor

The Mentor




El cracker

• Aquella persona que en forma persistente realiza intentos hasta obtener acceso arealiza intentos hasta obtener acceso a sistemas computacionales.

• Una vez logrado el acceso produce daños a los recursos del sistema atacado.

• No necesariamente tiene el mismo nivel de


No necesariamente tiene el mismo nivel de conocimientos que el hacker.

Los phreakers

• Aquella persona que en forma persistente realiza intentos hasta obtener acceso arealiza intentos hasta obtener acceso a sistemas telefónicos privados.

• Una vez logrado el acceso produce daños a los recursos del


sistema atacado, o se beneficia del mismo.



El Hacker: la nueva generación o los ¨Script-kidies¨

• Gente con la capacidad de buscar un programa en la red y ejecutarlo.

• No hay una meta fija.• Necesidad de pertenencia, aunque sea al

inframundo.• No hay preocupación por las consecuencias


No hay preocupación por las consecuencias reales de sus actos.

• Se sienten muy ¨cool¨.

External Threats: Hacker Tool ExplosionRecent Web Search for “Hacker Tools” returned over 2100 hits

Packet Spoofing

HIGH

Sophistication of Att k T l

Hijacking SessionsPassword Crackers

Packet SniffersStealth Diagnostics

Tools with GUIsOS Detectors

Port ScannersVulnerability Scanners

Distributed Denial of Service Attacks

Packet SpoofingAttacker Tools

Required Knowledge and Ability of Attackers


1980 1985 1990 1995 2000

Password GuessingDisabling Audits

Backdoors & Trojan Horses

LOW

I get scanned dozens of times everyday. Less than 20% of those scans are US basedISS User



Los Lammers

• Individuo sin muchos conocimientos, aunque un poco más elevados que los mortales pero claramentepoco más elevados que los mortales, pero claramente inferiores a los de un hacker.

• Se hacen pasar por hackers• Termino bastante despectivo• Se les reconoce por su costumbre de presumir en los

chats de conocimientos normalmente técnicas que


chats de conocimientos, normalmente técnicas que aunque al conjunto de los usuarios puedan parecer asombrosas, son más viejas que el arca de Noé y su uso no implica conocimientos de alto nivel.

Algunos intentos de sofisticación

• Escribir con k“k i” d l l l– “kasi” da pena al leerlos

• Escribir minúsculas y mayúsculas– EsTo TiPo De TiPoGrAfIa Ya No EsTa De

MoDa Y yA nO sE uSa• Lenguaje “elite”


Lenguaje elite– sustituir letras por números– 3ST0 S3RI4 UN 3J3MPLO D3 DICH0

L3NGU4J3



Newbies

• Joven usuario que está comenzando y decide aprender siguiendo las reglas sin romper nadaaprender siguiendo las reglas sin romper nada.

• No son peligrosos porque prefieren asesorarse y normalmente acaban siendo hackers

• En cierto modo un newbie es un “aprendiz” de un hacker.


Una madrecitaAprendiendo a“Hackear”.

El Hacker: ¿cómo lo ven el resto de los usuarios?

• ¿Qué es eso?¿Q• Eso pasa solo en las películas.• Así como los de ¨The Net¨• Yo soy hacker.• Yo apenas sé como se usa una


Yo apenas sé como se usa una computadora.

• Bill Gates se va a encargar de ellos.



El hall de la fama de los hackers

X

Lámina 145 Dr. Roberto Gómezwww.discovery.com/area/technology/hackers/hackers.html

¿Qué hicieron?

• Kevin Poulsen– In 1990 Poulsen took over all telephone lines going into Los p g g

Angeles area radio station KIIS-FM to win a call-in contest.

• Johan Helsingius– Operated the world's most popular anonymous remailer, called

penet.fi, until he closed up shop in September 1996.

• Phiber Optik (Mark Abene)– Inspired thousands of teenagers around the country to "study" the


internal workings of our nation's phone system.

• Cap Crunch (John Draper)– Figured out how to make free phone calls using a plastic prize

whistle he found in a cereal box.



El hacker Kevin Mitnick


Algunos otros

• Steve WozniakT Shi• Tsutomu Shimomura

• Linus Torvalds




¿Que motiva a un hacker?

H k i i• Hacktivists• State sponsored• Industrial Espionage





Aficionados al deporte...


La revancha ...





Defaced pages

• Primero fue attritionhttp://www attrition org– http://www.attrition.org

• Después fue alldas– http://defaced.alldas.de/


• Ahora es: – http://www.zone-h.org/defacements/onhold



One of the most predominant sections of Attrition has been the defacement mirror. What began as a small collection of web site defacement mirrors soon turned into a near 24/7 chore of keeping it up to date. In the last month, we have experienced single days of mirroring over 100 defaced web sites, over three times the total for 1995 and 1996 combined. With the rapid increase in web defacement activity there are times when it requires one

Attrition Decision

With the rapid increase in web defacement activity, there are times when it requires one of us to take mirrors for four or five hours straight to catch up. Add to that the scripts and utilities needed to keep the mirror updated, statistics generated, mail lists maintained, and the time required for basic functionality is immense. A "hobby" is supposed to be enjoyable. Maintaining the mirror is becoming a thankless chore.

During this time, we have struggled to keep up various other sections of Attrition that have been a core part of the site. As the mirror grew and began to consume more resources, the other sections have found themselves on the backburner and rarely updated. In essence, what was once a hobby site run in spare time for fun has turned into a beleaguring second job. A job that comes with more headache, complaints,


criticisms, slander and attacks than productive output or reward. In two years we have turned away countless computer security work that could have been fulfilled by a number of us. The abuse and ignorance we deal with from defacers and defacement victims is staggering, and some of that abuse spills over into actual attacks. Attrition has been taken down more than once by massive denial of service attacks which have inconvenienced our generous upstream provider, hundreds of other colo customers, and thousands of dialup customers, making our job even more difficult.

With that, the mirror will no longer be maintained. We've served our time.




Un ejemplo de conversación#25 por ThA_CroW 21/9/2003

kiuvo banda? ya deberian de dejarse de lameradas y ponerse a trabajar ya ke se supone ke pagar tanta lana por este evento ke segun yo pienso ke deberia de ser gratis o ke? no ke muy g y p g yhackers?

#14 por SoylaIradeDios 18/9/2003 los de hackersoft y hakim.ws si son hackers la mayoria, y organizan sus reuniones sin cobrar para enseñar sus conocimientos en hack por eso preguntaba si iban a dar alguna ponencia como representantes de la escene en mexico, ellos si han hackeado servers importantes

#32 A PhA Et X 24/9/2003


#32 por ArPhAnEt_X 24/9/2003 pus komo ya dijo napa...no kreo ke esto sea kompetencia y al igual ke el yo tambien llevo amigos ke kieren aprender... lo ke dice la ira de dios pues kreo ke no todos en hackersoft sabemos mucho o por lo menos yo... pero lo ke si tenemos en hackersoft, es ganas de avanzar, aprender y kompartir todo esto con mas gente y esto es a lo ke muchos les hace falta y no estankarce kon lo ke ya esta deskubierto, sino deskubrir mas y enseñar a mas dejando el elitismo a un lado.

Otros términos relacionados

• Wracker– programas shareware o freeware– programas shareware o freeware

• Carding– reventar o emular tarjetas de crédito– Copy-hackers o Copy-crakers– skimming

• Wares


• Wares– intercambio programas comerciales pirateados

• Sneaker– espía informático por excelencia



Más términos relacionados

• Snuffer– variante sneaker, limitado a averiguar claves de acceso a

i t d b jsistemas y descubre errores y agujeros en programas• Corsarios

– ya no se habla, ya no existen en ningún país– comprobar efectividad programas de una empresa y

sobre todo los de la competencia• Bucaneros


– sin tener conocimientos especiales, recogen programas pirateados y los revenden para enriquecerse con ello

• Rider– estaba en alguna de las categorías anteriores pero

actualmente trabaja en el campo legal

Algunos grupos

• Chaos Computer Club – www.ccc.de

• Cult of the Dead CowCult of the Dead Cow – www.cultdeadcow.com

• DC2600.org – www.2600.com/

• AntiOffline removing the Dot in Dot.com – www.antioffline.com/

• The Ghetto Hackers (rootfu)http://www ghettohackers net/


– http://www.ghettohackers.net/• DARK CLAW • LoD • ¿Y en México?

– Raza Mexicana (www.raza-mexicana.org)– Aztlan Klan– Cucaracha Hackers Team




Ejemplo hackeo hardware




¿Y cómo diferenciar a los buenos de los malos?

• Recomendaciones de tercerosP i i d l ñí• Prestigio de las compañías

• Certificaciones / títulos academicos


Títulos y certificaciones

• Títulos académicos– licenciatura– maestría– doctorado

• Certificaciones– CISSP– SSCP

CISA


– CISA– CISM– CISMP– SCP– BS7799-LA



Las opciones académicas

• Diplomados– ITESM-CEM– UNAM– y otros

• Cursos aislados en programas de maestría y licenciatura

• Licenciatura– Tec Milenio: Ingeniero en Seguridad Computacional


• Maestrias en seguridad informativa– CESNAV– UNITEC– ESIME Culhuacan

• Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.

Universidades relacionadas

• University of Sheffield – http://www.shef.ac.uk

• Ecole Ingenieur Télécom Paris - ENST Ecole nationale – Mastere Sécurité des systèmes informatiques et des réseaux– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php

• University Purdue– Center for Education and Research in Information Assurance

and Security or CERIAS


and Security, or CERIAS– http://www.cerias.purdue.edu/

• The George Washington University– Master of Arts in the arts in the field of Criminal Justice

Computer Fraud Investigation– http://www.gwu.edu



Otras dos más...

• Carnegie Mellon University. – Information Networking Institute (INI)o at o Netwo g st tute ( N )– http://www.ini.cmu.edu/– Master of Science in Information Networking – Master of Science in Information Security Technology

and Management • Capitol College

Master of Science in Network Security


– Master of Science in Network Security– restricted by the United States Department of Commerce

to U.S. citizens and permanent residents– http://www.capitol-

college.edu/academics/grad/msns.html

Certificaciones

• Requerimientos legales S b O l (2002)– Sarbanes Oxley (2002)

– Turnbull Report (1990’s) en Europa– PCI: Mastercard y Visa (2007)

• ¿Qué puedo certificar?– Individuos


Individuos– Organizaciones– Productos



• La empresa American International Group (AIG)

Violaciones

recibió una multa de $10 millones de dólares–Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas

–Es la primer multa de este tipo aplicada a una aseguradora

Al Bank of América se le m ltó con $375 millones de


• Al Bank of América se le multó con $375 millones de dólares

–No existió cooperación con la investigación –Es la primera multa de este monto en un solo caso

Certificación de individuos

CISSP, SSCP, CISA, CISM, GIAC




Certificación de individuos

• Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso derol cada día más importante en el proceso de selección y reclutamiento de individuos

• Cada certificación cuenta con un CBK– Cuerpo común de conocimientos


Opciones certificación

• Más de 55 certificaciones en seguridad neutrales de productosneutrales de productos

• Las mas demandadas– CISSP– SANS GIAC– CPP

SANS GIAC l i l ió d


• SANS GIAC la pionera en la creación de programas de certificaciones – cuenta con una gran variedad y están

relacionadas entre sí a manera de carrera.



Hacia una jerarquía

CompTIA Security + SANS GSEC SSCP de (ISC)2

primer nivel básico

SANS-GIAC CISSP de (ISC)2 CISM de ISACA

credenciales intermedias y de nivel Senior


restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad.

CPP de ASIS PCI de ASIS PSP de ASIS

CompTIA

• Asociación mundial de la industria de la computación tanto en software como en hardwarecomputación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países– www.comptia.org

• Es la mas grande y única asociación global de este tipo

• Ha desarrollado once destrezas en Certificaciones


• Ha desarrollado once destrezas en Certificaciones en Tecnología Informática – cubren un amplio rango de disciplinas, ambientes

operativos y niveles de destrezas



Certificaciones de la CompTIA

• A+ Entry-Level Computer Service • CTT+ Certified Trainer• Network+ Network Support and Administration • CDIA+ Document Imaging and Management• Server+ Server Hardware Technology • i-Net+ Internet and Online Technologies• Security+ Computer and Information Security • Linux+ Linux Operating Systems


• Linux+ Linux Operating Systems• HTI+ Home Technology Integration • Project+ Project Management• e-Biz+ e-Commerce

CBK y examen

• CBKDominio % examenGeneral Security Concepts 30%Communication Security 20%Infrastructure Security 20%

Basics of Cryptography 15%

Operational / Organizational Security 15%


• Examen– 100 preguntas– 90 minutos para responder– 764 en escala de 100-900 para pasar



CISSP

• No es una asociación, es el título que ostenta el profesional certificadoprofesional certificado– Certified Information Systems Security Professional

• Ser CISSP es un privilegio que se debe ganar y mantener

• Otorgado por la (ISC)2

International Information Systems Security Certification


– International Information Systems Security Certification Consortium

– Organismo independiente– Creado para realizar la certificación de profesionales en

seguridad informática

CBK del CISSP

• Access Control Systems & Methodology

• Security Architecture & ModelsMethodology

• Telecommunications & Network Security

• Security Management Practices

• Applications & Systems

Models• Operations Security• Business Continuity

Planning (BCP) & Disaster Recovery Planning (DRP)

• Law, Investigations & Ethics


Development Security• Cryptography

Ethics• Physical Security



CISSP en México

• ALAPSIA i ió L ti i P f i l– Asociación Latinoamerica Profesionales Seguridad Informática

– http://www.alapsi.org• Dos/tres exámenes por año• Cursos preparación examen


Cursos preparación examen• Próximo examen: consultar página• Número de certificados en México:

250/61,000

El examen

• Formato– examen de opción múltiplee a e de opc ó ú t p e– 250 preguntas– se cuenta hasta 6 horas para resolverrlo

• Aprobar examen con 700 puntos • Enviar formato de adhesión/certificación

(Endorsement Form) avalada por un CISSP o por f i l lifi d


otro profesional calificado• Auditoría, si es seleccionado• Calendarización

– www.isc2.org



SSCP

• Especialista Certificado de Seguridad de Sistemas – Systems Security Certified Practitioner– Systems Security Certified Practitioner

• Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización.– proporcionar soporte de la infraestructura de la seguridad– security enforcer


security enforcer– la persona no solo entiende su posición, sino también

tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada

CBK del SSCP

• Access Controls Ad i i i• Administration

• Audit and Monitoring • Risk, Response and Recovery • Cryptography


• Data Communications • Malicious Code/Malware



CISA

• Certified Information Systems Auditor• En un principio dominio exclusivo de auditores de IT• Administrada por la ISACA (Information Systems

Audit and Control Association & Foundation)– fundada en 1969

• Certificación CISA tiene desde 1978• En 2002 se contaba con unos 28,000 personas con

di h tifi ió


dicha certificación.• Dominios coinciden con CISSP

– más enfocado a los procedimientos del negocio que a la tecnología

• Varios CISSP optan por ganar su CISA

Áreas CISA

• Management, planning and organization of IS • Technical infrastructure and operational practices• Technical infrastructure and operational practices • Protection of information assets • Disaster recovery and business continuity • Business application system development,

acquisition, implementation and maintenance


• Business process evaluation and risk management • The IS audit process



CISM

• ISACA acaba de diseñar la certificación CISM– Certified Information Security ManagerCe t ed o at o Secu ty a age

• Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT

• Debido a que es nuevo, pasa por un periodo de “apadrinamiento” – aquellos que puedan demostrar ocho años de experiencia

l á d id d i f áti d bt l


en el área de seguridad informática puede obtener la certificación sin realizar examen alguno

– periodo abierto hasta el 31 diciembre 2003• Después periodo será necesario presentar examen.• Primer examen será ofrecido en Junio 2004

CBK del CISM

• Information Security GovernanceRi k M• Risk Management

• Information Security Programme Management

• Information Security Management R M t


• Response Management



Global Information Assurance Certifications

• SANS Institute ofrece una serie de certificaciones bajo el programa GIACj p g– Global Information Assurance Certification

• Grupo de certificaciones técnicas y algunas administrativas

• La experiencia no es explicita o necesaria para obtenerla

i d l á i d id d i f á i


– orientado a la práctica de seguridad informática• Código de ética del SANS• http://www.giac.org

Certificaciones

• No hay un orden en particular

• Se recomienda empezar con los de nivel bajo e ir subiendo

• GIAC Certification – cursos 5-6 días– periodo de 6 meses para

certificarse


certificarse– color amarillo

• GIAC Certificates– cursos 1-2 días– 10 semanas– color verde



Las certificaciones

• Information Security Fundamentals • Mastering Packet Analysis • Security Essentials Certification

• Reverse Engineering Malware• Secure Internet Presence• .Net

• Securing Solaris • Securing Windows 2000 • Defeating Rogue Access Points• Auditing Cisco Routers• Certified Firewall Analyst • Certified Intrusion Analyst• Certified Windows Security

Administrator• Certified Incident Handler

• E-warfare • Fundamentals of Information Security Policy • Cyber Warrior • HIPAA Security Implementation • Ethics in IT • Security Leadership Certification • Certified Security Consultant • Security Audit Essentials

Certified ISO 17799 Specialist


• Certified Incident Handler • Certified UNIX Security

Administrator • Certified Forensics Analyst • Securing Oracle Certification • Intrusion Prevention • Cutting Edge Hacking Techniques • Web Application Security

• Certified ISO-17799 Specialist• Systems and Network Auditor • Auditing Wireless Networks• Contracting for Data Security • Law of Fraud • Business Law and Computer Security • Legal Issues in Information Technologies

Otras certificaciones

• Puestos IT managers o IT security managers solicitan otro tipo de certificaciones comosolicitan otro tipo de certificaciones como– Microsoft Certified Systems Engineer (MCSE) – CISCO: CCNA, CCNP, etc

• Certificaciones productos– ISS: Internet Security Scanner


ISS: Internet Security Scanner– Symantec– Network Associates– Checkpoint / Firewall 1



Certificaciones de organizaciones

ISO 17799 / BS 7799 / UNE 71502


Certificación organizaciones

• PreguntaSi i l h l l h– ¿Si igual voy a hacer algo, porque no lo hago

teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables?




Norma ISO 17799 / BS 7799 / UNE 71502

• Un conjunto de controles basados en las mejores prácticas en seguridad de lamejores prácticas en seguridad de la información;

• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos


q p– Políticas de gestión– Recursos humanos– Aspectos jurídicos

ISO 17799

• Una organización puede optar a implantar y "certificar" su sistema de gerencia en la gestión de integridad y seguridad en el manejo de información y datos.– comprende de elementos y cláusulas enfocados a

prácticas y métodos fundamentales de seguridad • La precursora de ISO 17799 es la adopción de la

normativa británica BS 7799.


– La BS 7799 se publicó en febrero del 1995 y se revisó en mayo del 1999.

– Esta normativa aplica invariablemente a organizaciones pequeñas, medianas y multinacionales.



Areas control ISO 1799

1. Security Policy2 Security Organization2. Security Organization3. Asset Control and Classification4. Personnel Security5. Physical & Environmental Security6. Communications & Operations Management7 Acces Control


7. Acces Control8. Systems Development & Maintenance 9. Business Continuity Management 10. Compliance

Historia

UNE 71502Marzo 2004Julio 2005

Nueva versión de BS 7799-2 revisada y corregida

Diciembre 2000 ISO/IEC 17799:2000

2001Revisión de BS 7799-2

Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida

UNE 71502Marzo 2004


19951998

BS 7799 Parte 1

BS 7799 Parte 2

Estándar Sueco SS 62 77 99 Parte 1 y 21999Nueva versión de BS 7799 Parte 1 y 2



Nota importante

• La norma ISO 17799 no es certificable.– ISO 17799 sólo hace recomendaciones sobre uso de 127– ISO 17799 sólo hace recomendaciones sobre uso de 127

controles de seguridad aplicados en 10 áreas de control.– No establece requisitos cuyo cumplimiento pudieran

certificarse.• ISO 17799 es prácticamente igual a la primera parte

de la norma BS 7799, o sea la BS 7799-1.


– BS 7799 tiene una segunda parte, BS 7799-2, la cual puede auditarse y certificarse.

• No hay versión ISO de BS 7799-2, la ISO 17799:2000 debe complementarse con la BS 7799-2:2002.

Actualización de la norma

Security policy5Security policy3

2005 edition2000 editionSecurity policy5Security policy3

2005 edition2000 edition

Access control11Access control9

Communications & operations management

10Communications & operations management

8Physical & environmental security9Physical & environmental security7Human resources security8Personnel security6Asset management7Asset classification & control5Organizing information security6Organisational security4

Access control11Access control9

Communications & operations management

10Communications & operations management

8Physical & environmental security9Physical & environmental security7Human resources security8Personnel security6Asset management7Asset classification & control5Organizing information security6Organisational security4


Information security incident management

13

Compliance15Compliance 12Business continuity management14Business continuity management11

Information systems acquisition, development & maintenance

12Systems development & maintenance

10

Information security incident management

13

Compliance15Compliance 12Business continuity management14Business continuity management11

Information systems acquisition, development & maintenance

12Systems development & maintenance

10



La ISO 27001

• Anunciada como el reemplazo del BS7799• Aprobada y publicada como estándar internacional p y p

en octubre de 2005. • Publicación hermana del ISO 17799• ISO 17799 es un código de practicas

– describe controles individuales para posibles implementaciones

• BS7799-2 es la parte del estándar contra la cual se


potorga la certificación– esto se pasará al ISO 27001

Integración con otras normas

BS 15000 is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope

BS 7799:2BS 7799:2ISMSISMS

ISO 9001 scope

BS 15000BS 15000


ISO 9001:2000ISO 9001:2000

El resto del mundo ISO



Lista empresas certificadas

• Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo

• Algunas de estas empresas son:– Fujitsu Limited– Insight Consulting Limited– KPMG– Marconi Secure Systems

S El t i C Ltd


– Samsung Electronics Co Ltd;– Sony Bank inc.– Symantec Security Services– Toshiba IS Corporate

La certificación de productos

TCSEC, ITSEC, CTCPEC, CC




TCSEC certification

• Trusted Computer Systems Evaluation CriteriaCriteria

• Pagina (Rainbow Series Library)– http://www.radium.ncsc.mil/tpep/library/rainbow/

• Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983


Defensa de los Estados Unidos en 1983 (DOD 5200.28-STD) conocido también como el “Orange Book.”– actualizado en 1985

Objetivos TCSEC

• Proporcionar una guía a los fabricantes de productos comerciales en relación a las pcaracterísticas de seguridad que deben cumplir sus productos.

• Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada


clasificada.• Proporcionar una base a los usuarios finales para

establecer requerimientos de seguridad en sus adquisiciones de productos.



Criterios y niveles

A1B3


B3B2B1C2C1

SECURITY POLICYACCOUNTABILITY

ASSURANCEDOCUMENTATION

no aditional requiriments for this classnew orenhanced requiriemntes for this class

no requirements for this class

Los niveles

Nivel Descripción ComentariosD sistema no seguroC1 t ió di i l DACC1 protección discrecional DAC

identificación + autenticaciónC2 acceso controlado auditoria de sistemas

B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico + categorías

B2 protección estructurada etiqueta cada objeto de nivel superior por ser padre de un inferior


ser padre de un inferiorB3 dominios seguridad monitor referencia que permite o niega

peticiones accesoA protección verficada uso métodos formales para asegurar

todos los procesos



Ejemplo SOs evaluados por la NSA bajo TCSEC (1996)


Algunos libros de la serie arcoiris

• Orange Book– DoD Trusted Computer System Evaluation Criteria

G B k• Green Book– DoD Password Management Guideline,

• Light Yellow Book – Computer Security Requirements

• Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments,

• Light Yellow Book


– Guidance for Applying the DoD TCSEC in Specific Environments • Bright Blue Book

– Trusted Product Evaluation - A Guide for Vendors • Red Book

– Trusted Network Interpretation



Estandares creados a partir del TSSEC

• ITSECInformation Technology Security Evaluation– Information Technology Security Evaluation Criteria

– http://www.cordis.lu/infosec/src/crit.htm– la versión europea

• CTCPECCanadian Trusted Computer Product Evaluation


– Canadian Trusted Computer Product Evaluation Criteria

– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii – la versión canadiense

Common Criteria

• Estándar internacional ISO 15408• Trabajo de varios países (14)• Trabajo de varios países (14)• Inspirado del TCSEC, ITSEC, CTCPEC• Flexible

– No cuenta con perfiles predeterminados.– Permite la adición de nuevos criterios.


• Parte de las necesidades de cada usuario/fabricante– no de las necesidades del DoD.– cada nueva evaluación implica la creación de un modelo

o marco de referencia (Security Target o ST).



Objetivos CC

• Permitir a los usuarios el especificar sus requerimientos de seguridadrequerimientos de seguridad,

• Permitir a los desarrolladores especificar los atributos de sus productos

• Permitir que los evaluadores determinen si los productos cumple con lo que estipulan.


los productos cumple con lo que estipulan.

Tipos documentos CC

• El CC define un conjunto de requerimientos de seguridadseguridad– dividido en requerimientos funcionales y de seguridad

• Dos tipos de documentos– Protection Profiles (PPs): documento creado por un

usuario o comunidad de usuarios que identifica requerimientos de seguridad por parte del usuario


– Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidades de un producto en partícular

• un ST puede indicar la implementación de cero o mas PPs



Los niveles del CC (EAL)

• Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST– evaluación conocida como TOE - Target of Evaluation

• EAL: Evaluation Assurance Level– numeradas del 1 al 7 – EALs superiores requieren de un mayor esfuerzo de


evaluación– los EAL de mayor valor garantizan más “seguridad”, pero su

evaluación requiere de mayor tiempo y cuesta más dinero– EAL valor grande no significa “mejor seguridad”, solo

estipula que seguridad proclamada fue extensamente validada

Niveles Aseguramiento CC

Common Criteria Descripción Referencia TCSEC

EAL1 Probado funcionalmante --

EAL2 Estructuralmente probado C1

EAL3 Metodológicamente probado C2

B1EAL4(W2K, Solaris, HP-UX, AIX)

Metodológicamente diseñado, probado, y revisado


EAL5 Semiformalmente diseñado y probado

B2

EAL6 Semiformalmente verificado (diseño) y probado

B3

EAL7 Formalmente verificado (diseño) y probado

A1



Ejemplo productos clasificados

Producto Nivel Fecha

3Com© Embedded Firewall V1.5.1 EAL2 June 2003 IBM WebSphere Application Server V5.0.2.8

EAL2+ 2 December 2004

Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886

EAL4+ October 2002

Borderware, V6.1.1 Firewall Serve EAL4+ January 2000

Lámina 215 Dr. Roberto Gómezhttp://www.commoncriteriaportal.org/public/consumer/index.php?menu=4

Check Point VPN-1/FireWall-1© NG

EAL4 June 2002

Oracle8i Release 8.1.7.0.0 EAL4 EAL4

Red Hat Enterprise Linux 3 EAL2 February 2004

Symantec Manhunt Version 2.11 EAL3 December 2003

Introducción a la Seguridad Informática - cryptomex.org · daño violando la confidencialidad...

Documents

Transcript of Introducción a la Seguridad Informática - cryptomex.org · daño violando la confidencialidad...