SEGURIDAD INFORMATICA Mg. Sc. Miguel Cotaña Mier Octubre 2007

cvfdkfienreikdiekfgh CONTENIDO 1.- INTRODUCCION 2.- HERRAMIENTAS CRIPTOGRAFICAS cvfdkfienreikdiekfgh LOGIN PASSWORD 3.- FIRMA DIGITAL 4.- AUTORIDADES CERTIFICANTES

Introducción CANAL SEGURO Comercio on-line Transacciones con la administración Transacciones B2B, B2C, . Gestión remota de aplicaciones CANAL SEGURO Introducción

Las comunicaciones en Internet son abiertas y sin controles Conflictos con la necesidad de privacidad, confidencialidad e integridad en las transacciones El fraude en la red crece en forma impresionante Principales problemas: Fallas humanas Ausencia de procedimientos Errores en la configuración del software

Identidad de los usuarios Sin tecnología adicional no se puede estar seguro de la identidad de los usuarios de la red La seguridad de la información es el principal problema Gobiernos deben generar marcos legales para castigar a quienes cometen delitos en la red, permitiendo la creación de firmas y certificados digitales estandarizados

Las organizaciones deben definir sus necesidades de seguridad y confianza: Confidencialidad: protección de acceso a la información; ►Técnicas criptográficas Integridad: garantía de modificación de información y programas; ►Técnicas criptográficas Disponibilidad: acceso continuo de usuarios autorizados a la información; Uso legítimo: recursos no utilizados por personas no autorizadas; ►Sistemas de autenticación fuerte Validación

Política de información Toda empresa debe desarrollar una política de información de actualización continua: Lista de recursos que deben protegerse Catalogar las amenazas para cada uno de los recursos a proteger Análisis de riesgo que indique el porcentaje de probabilidad asignado a cada amenaza Implementación de sistemas de seguridad efectivos con los costos Definición de procesos de seguridad que deberán ser actualizados

Amenazas y desafíos de Internet Amenazas se pueden categorizar en: Amenaza Impacto en la empresa Pérdida de integridad de datos Intruso crea, modifica y borra información Pérdida de privacidad de datos Se brinda acceso a la información a personas no autorizadas Pérdida de servicio El servicio se interrumpe por las acciones de un hacker Pérdida de control Personas no autorizadas utilizan los servicios sin ningún control

Phishing El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Spoofing - Pharming Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Pharming, es la explotación de una vulnerabilidad en el software de los servidores DNS, o en los equipos de los propios usuarios, que permite a un atacante redireccionar un nombre de dominio a otra máquina distinta.

Worms o gusanos Un gusano es un virus informático que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos siempre dañan la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Troyanos Se denomina troyano (o caballo de Troya) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.

Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo

Suele ser un programa alojado dentro de una aplicación, una imagen, un archivo de música, etc., de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas.

Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de keylogger).

Bombas de tiempo y lógicas Las denominadas "bombas de tiempo" y las "bombas lógicas" son tipos de troyanos. Las primeras se activan en fechas particulares o un número determinado de veces. Las segundas en determinadas circunstancias cuando la computadora infectada cumple una serie de requisitos especificados por su programador

Droppers Los denominados droppers realizan dos operaciones a la vez. Un “dropper” realiza una tarea legítima pero a la vez instala un virus informático o un gusano informático en un sistema o disco, ejecutando ambos a la vez.

Ingeniería Social En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un IS usa comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar la información sensible, o bien violar las políticas de seguridad típicas.

……. Ingeniería Social Con este método, los IS aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los SI. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

……. Ingeniería Social Los ataques más exitosos contra el sector social: las víctimas responden a solicitudes del atacante. La ingeniería social se concentra en el eslabón más débil de la seguridad de Internet: el ser humano La piratería social facilita la tarea de acceder a los sistemas informáticos: organigramas, listados telefónicos de la empresa, documentos en la basura, dispositivos de almacenamiento en desuso;

……. Ingeniería Social Solicitud directa de información Por bien protegido que esté un sistema, éste puede sufrir un ataque directo. Por tanto: “Capacitar al personal de la empresa para que entienda la importancia de la seguridad y poner en conocimiento métodos de hackers para vulnerar las barreras”

Scam Buscas trabajo? Necesita un ingreso extra? Desea ganar 3000 dólares trabajando 2 horas desde su hogar? Los estafadores buscan intermediarios que les sirvan de pantalla para ejecutar sus planes de robos a terceros a través de sus cuentas bancarias, cuyos números han obtenido previamente usando la conocida técnica del phishing (y hoax).

El problema de la (falta de) Seguridad

Robo de Identidad Significa la utilización de cualquier información identificatoria de una persona sin contar con autoridad legal para ello, con el objetivo de cometer un fraude. Información identificatoria significa cualquier nombre o número que pueda ser utilizado, solo o en forma conjunta con cualquier otra información, para identificar a un individuo específico.

Cómo resolver los problemas de seguridad Servicio Denegado Problema: ataque indirecto al servicio que se quiere perjudicar Solución: Un servidor web bloquea todo tráfico no HTTP. Al pasar por alto todo el tráfico de los puertos que no sean el 80, el servidor es menos vulnerable.

Suplantación: Problema: un impostor accede al sistema aparentando ser un usuario legítimo. La autenticación reside en una contraseña o PIN solamente, datos que pueden ser copiados fácilmente. Solución: La autentificación debe comprender dos factores: ”algo que sabe el usuario” y “algo que tiene el usuario”. Uso combinado de tarjeta inteligente y PIN dificulta la sustitución de identidad.

Spoofing de DNS Problema: redireccionamiento de clientes a otro servidor, capturando su información privada. Solución: Se debe incluir autenticación por parte del servidor, mediante la emisión de un certificado digital único para cada nombre de dominio y dirección IP.

Alteración de información en tránsito Problema: alteración de información que viaja en la red. Solución: Integridad de mensajes, incluyendo un valor de dispersión al mensaje. La encriptación de mensajes evita el espionaje de conversaciones confidenciales.

Rechazo de mensajes Problema: al hacer una transacción on-line, se rechaza la operación faltando a la verdad. Solución: Garantizar la aplicación de reglas para evitar los rechazos, mediante certificados digitales que identifiquen al cliente en forma muy segura.

Autorización Para la migración de un negocio de red privada a Internet, se debe: Determinar quién tiene acceso a cada aplicación del negocio y a la información delicada: Lista de autorización que debe contener información sobre tareas que cada persona puede realizar Desarrollar e implementar un conjunto de políticas coherentes para un sistema dado en diferentes aplicaciones.

Concepto o Realidad ?

Retos del negocio digital Falta de confianza del comprador en el vendedor: Tiene miedo de la seguridad de su información personal. Por ejemplo, el número de su tarjeta de crédito vía Web No está seguro de si el comerciante lo manejará de modo responsable.

Fraude por parte del comprador: Compra con una tarjeta robada Niega haber ordenado una compra Reclama la baja calidad del producto para no pagarlo

¿Qué es importante al comprar? Información detallada del producto Facilidad de búsqueda Simplicidad en el pago Tiempo de entrega Rapidez de acceso a la página Servicio de Post-venta Seguridad al cliente en su pago: ver siguiente

La seguridad es fundamental!!! Control de acceso ¿quién pude accesar la información? Autentificación, verifica la identidad de las partes Confidencialidad, protege información para no ser vista indiscriminadamente Integridad, garantiza que la información no ha sido alterada No repudiación, inhabilita el desconocimiento de una transacción

Gracias !!!