Seguridad Informática Ing. Héctor Abraham Hernández Erazo

LA SEGURIDAD INFORMATICA ES “UN CAMINO, NO UN DESTINO” “UN CAMINO, NO UN DESTINO” Objetivo: mantener los sistemas generando resultados.Objetivo: mantener los sistemas generando resultados. Si los sistemas no se encuentran funcionando entonces su costo se convierte en perdidas financieras (en el menos grave de los casos).Si los sistemas no se encuentran funcionando entonces su costo se convierte en perdidas financieras (en el menos grave de los casos). El resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.El resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.

La seguridad informática NO es un problema exclusivamente de las computadoras. La seguridad informática NO es un problema exclusivamente de las computadoras. Las computadoras y las redes son el principal campo de batalla. Las computadoras y las redes son el principal campo de batalla. Se debe de proteger aquello que tenga un valor para alguien. Se debe de proteger aquello que tenga un valor para alguien.

Definiciones de seguridad Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando. Proteger y Mantener los sistemas funcionando.

¿por qué? Por $$$, el dueño de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio o ventaja. Por $$$, el dueño de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio o ventaja. El Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes) El Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes) Por CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo. Por CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo.

¿De donde surge la seguridad? “Tecnológicamente, la seguridad es GRATIS” “Tecnológicamente, la seguridad es GRATIS” YA HAS PAGADO POR ELLA: Los sistemas operativos modernos contienen muchas características de seguridad. ¿Las conoces?¿Las usas?YA HAS PAGADO POR ELLA: Los sistemas operativos modernos contienen muchas características de seguridad. ¿Las conoces?¿Las usas? LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN SOURCE. (excepto los antivirus)LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN SOURCE. (excepto los antivirus)

La Seguridad Informática es Fácil: “Con el 20% de esfuerzo se puede lograr el 80% de resultados” La Seguridad Informática es Fácil: “Con el 20% de esfuerzo se puede lograr el 80% de resultados” Actividades sencillas pero constantes son las que evitan la mayoría de los problemas.Actividades sencillas pero constantes son las que evitan la mayoría de los problemas. Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.

¿Dónde entra el Software Libre? Esta adquiriendo muchos simpatizantes y usuarios. Se esta volviendo popular. Esta adquiriendo muchos simpatizantes y usuarios. Se esta volviendo popular. Generalmente se encuentran en partes importantes de los sistemas de una empresa, aunque el resto de los usuarios sigan mirando por las ventanas. Generalmente se encuentran en partes importantes de los sistemas de una empresa, aunque el resto de los usuarios sigan mirando por las ventanas. Se descubren constantemente nuevas vulnerabilidades y algunas de ellas son muy fáciles de aprovechar. Se descubren constantemente nuevas vulnerabilidades y algunas de ellas son muy fáciles de aprovechar. Por falta de conocimientos, podemos introducir vulnerabilidades donde antes no había. Por falta de conocimientos, podemos introducir vulnerabilidades donde antes no había.

¿Cómo se puede proteger a la empresa? Antivirus que controle todas las posibles entradas de datos. (Internet, discos,...) Firewall perimetral. (Control de accesos) Política estricta de seguridad del personal. Auditorias externas puntuales. Formación continuada del encargado(s) de seguridad. Separar físicamente redes diferentes. (Subnetting)

A más seguridad, más coste. A más seguridad, menos facilidad para el usuario. No hay sistema conectado 100% seguro. Se establece un compromiso de seguridad. Riesgo Inversión Compromiso óptimo

USUARIOS SEGURIDAD

Usuarios comunes Los usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que pueden correr. Los usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que pueden correr. Son las principales víctimas. Son las principales víctimas. También son el punto de entrada de muchos de los problemas crónicos. También son el punto de entrada de muchos de los problemas crónicos. “El eslabón más débil” en la cadena de seguridad. “El eslabón más débil” en la cadena de seguridad. Social Engineering Specialist: Because There is no Security Patch for Humans Social Engineering Specialist: Because There is no Security Patch for Humans

2 enfoques para controlarlos Principio del MENOR PRIVILEGIO POSIBLE: Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de acción del usuario sobre los sistemas.Reducir la capacidad de acción del usuario sobre los sistemas. Objetivo: Lograr el menor daño posible en caso de incidentes.Objetivo: Lograr el menor daño posible en caso de incidentes. EDUCAR AL USUARIO: EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad.Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el número de incidentesObjetivo: Reducir el número de incidentes

USUARIOS CREADORES DE SISTEMAS SEGURIDAD

Creando Software El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”. Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”. Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW. Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW.

Ataques contra el flujo de la información FLUJO NORMAL FLUJO NORMAL Los mensajes en una red se envían a partir de un emisor a uno o varios receptoresLos mensajes en una red se envían a partir de un emisor a uno o varios receptores El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales. Emisor Receptor Atacante

INTERRUPCION INTERRUPCION El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Disponibilidad Este es un ataque contra la Disponibilidad Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos. Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos. Emisor Receptor Atacante

INTERCEPCION INTERCEPCION Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado. Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios. Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios. Emisor Receptor Atacante

MODIFICACION MODIFICACION La persona sin autorización, además de lograr el acceso, modifica el mensaje. La persona sin autorización, además de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Este es un ataque contra la Integridad. Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente. Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente. Emisor Receptor Atacante

FABRICACION FABRICACION Una persona sin autorización inserta objetos falsos en el sistema. Una persona sin autorización inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Es un ataque contra la Autenticidad. Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc... Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc... Es muy difícil estar seguro de quién esta al otro lado de la línea. Es muy difícil estar seguro de quién esta al otro lado de la línea. Emisor Receptor Atacante

USUARIOS CREADORES DE SISTEMAS GERENTES SEGURIDAD

Para que esperar… “Si gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más, mereces ser hackeado” “Si gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más, mereces ser hackeado” Richard “digital armageddon” Clark, USA DoDRichard “digital armageddon” Clark, USA DoD La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse? La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse?

Siempre tenemos algo de valor para alguien Razones para atacar la red de una empresa: Razones para atacar la red de una empresa: $$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,…$$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,… Empleados descontentos, fraudes, extorsiones, (insiders).Empleados descontentos, fraudes, extorsiones, (insiders). Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc…Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc… Objetivo de oportunidad.Objetivo de oportunidad.

Siempre hay algo que perder Pregunta: ¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad? Pregunta: ¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad? Costos económicos (perder oportunidades de negocio).Costos económicos (perder oportunidades de negocio). Costos de recuperación.Costos de recuperación. Costos de reparación.Costos de reparación. Costos de tiempo.Costos de tiempo. Costos legales y judiciales.Costos legales y judiciales. Costos de imagen.Costos de imagen. Costos de confianza de clientes.Costos de confianza de clientes. Perdidas humanas (cuando sea el caso).Perdidas humanas (cuando sea el caso).

¿Qué hacer? Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa. Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa. Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente) Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)

USUARIOS CREADORES DE SISTEMAS GERENTES HACKER CRACKER SEGURIDAD

Cracking Cool as usual – Todo está bien Cool as usual – Todo está bien Los ataques son cada vez mas complejos. Los ataques son cada vez mas complejos. Cada vez se requieren menos conocimientos para iniciar un ataque. Cada vez se requieren menos conocimientos para iniciar un ataque. ¿Por qué alguien querría introducirse en mis sistemas? ¿Por qué alguien querría introducirse en mis sistemas? ¿Por qué no? Si es tan fácil: descuidos, desconocimiento, negligencias, (factores humanos). ¿Por qué no? Si es tan fácil: descuidos, desconocimiento, negligencias, (factores humanos).

Quienes atacan los sistemas Gobiernos Extranjeros. Gobiernos Extranjeros. Espías industriales o políticos. Espías industriales o políticos. Criminales. Criminales. Empleados descontentos y abusos internos. Empleados descontentos y abusos internos. Adolescentes sin nada que hacer Adolescentes sin nada que hacer

Niveles de Hackers Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos. Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos. Nivel 2: Tienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de acuerdo a los intereses propios o de un grupo. Nivel 2: Tienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de acuerdo a los intereses propios o de un grupo.

Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo. Son los que con más frecuencia realizan ataques serios. Cualquiera conectado a la red es una víctima potencial, sin importar a que se dedique, debido a que muchos atacantes sólo quieren probar que pueden hacer un hack por diversión. Cualquiera conectado a la red es una víctima potencial, sin importar a que se dedique, debido a que muchos atacantes sólo quieren probar que pueden hacer un hack por diversión.

USUARIOS CREADORES DE SISTEMAS GERENTES HACKER/CRACKER ADMINISTRADORES DE TECNOLOGIAS DE INFORMACIÓN SEGURIDAD

ADMINISTRADORES Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) Hay actividades de seguridad que deben de realizar de manera rutinaria. Hay actividades de seguridad que deben de realizar de manera rutinaria. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas. También tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos. También tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.

Puntos Débiles en los Sistemas Comunicaciones Almacenamiento de datos Sistema Operativo Servicios Públicos Aplicación Usuarios Servicios Internos