• No se han encontrado resultados

Curso: (30227) Seguridad Informática

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Curso: (30227) Seguridad Informática"

Copied!
17
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 17 página )

Texto completo

(1)

Curso: (30227) Seguridad Inform´

atica

Fernando Tricas Garc´ıa

Departamento de Inform´atica e Ingenier´ıa de Sistemas Universidad de Zaragoza

http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/

(2)

A modo de conclusiones

Fernando Tricas Garc´ıa

Departamento de Inform´atica e Ingenier´ıa de Sistemas Universidad de Zaragoza

http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/

(3)

Buenas costumbres en general

I Sobre privacidad

I Crear una declaraci´on formal

I Informar antes de recolectar informaci´on I Pedir permiso expresamente

I No coleccionar informaci´on innecesaria I Dar acceso f´acil a la informaci´on recolectada I Proteger los datos privados

I Los ni˜nos son especiales I Ser cuidadoso

(4)

Mas buenas costumbres

I Comprobar y re-comprobar, sobre todo en los errores

I Comentarios sobre seguridad en el c´odigo

I Autentificaci´on, autorizaci´on, cifrado: mejor el SO

I No confiar en el buen juicio de los usuarios

I Los ejemplos son patrones (esqueletos)

I Nosotros igual que los usuarios!

(5)

Las 10 leyes inmutables de la seguridad

I Si alguien te convence para ejecutar su c´odigo en tu m´aquina,

ya no es tu m´aquina

I Si alguien puede modificar el sistema operativo en tu

m´aquina, ya no es tu m´aquina

I Si alguien tiene acceso f´ısico a tu m´aquina, ya no es tu

m´aquina

I Si alguien puede ‘subir’ programas a nuestra m´aquina, ya no

(6)

Las 10 leyes inmutables de la seguridad

I Claves d´ebiles estropean la mejor seguridad

I Una m´aquina es tan segura como confiable su administrador

I Los datos cifrados son tan seguros como la clave de descifrado

I Un anti-virus no actualizado s´olo es marginalmente mejor que

no tener nada

I El anonimato absoluto no es pr´actico, ni en la vida real ni en

la web

I La tecnolog´ıa no es la panacea

(7)

Las 10 leyes inmutables de la administraci´

on de seguridad

I Nadie cree que le pueda pasar algo malo, hasta que le pasa

I La seguridad s´olo funciona cuando el camino seguro es,

adem´as, el f´acil

I Si no est´as al tanto de las actualizaciones, tu red no seguir´a siendo tuya por mucho tiempo

I No vale de nada asegurar algo que no empez´o siendo seguro

(8)

Las 10 leyes inmutables de la administraci´

on de seguridad

I Hay alguien por ah´ı afuera tratando de adivinar tus claves

I La red mas segura es una bien administrada

I La dificultad para defender una red es directamente

proporcional a su complejidad

I La seguridad no consiste en evitar los riesgos, si no en

gestionarlos

I La tecnolog´ıa no es la panacea

(9)

Excusas tontas

I ¡Nadie lo har´a!

I ¿Por qu´e alguien podr´ıa hacer eso?

I Nunca hemos sufrido ataques

I Es seguro, usamos criptograf´ıa

I Es seguro, usamos ACLs

(10)

Excusas tontas (mas)

I Auditamos el c´odigo, no hay fallos de seguridad

I Es el comportamiento por defecto, pero el administrador

puede quitarlo

(11)

OWASP Top Ten

I A1 Injection

I A2 Broken Authentication and Session Management

I A3 Cross-Site Scripting (XSS)

I A4 Insecure Direct Object References

I A5 Security Misconfiguration

I A6 Sensitive Data Exposure

I A7 Missing Function Level Access Control

I A8 Cross-Site Request Forgery (CSRF)

I A9 Using Components with Known Vulnerabilities

(12)

2011 CWE/SANS 25 errores m´

as peligrosos de

programaci´

on

http://cwe.mitre.org/top25/(2011)

I Improper Neutralization of Special Elements used in an SQL

Command (’SQL Injection’)

I Improper Neutralization of Special Elements used in an OS

Command (’OS Command Injection’)

I Buffer Copy without Checking Size of Input (’Classic Buffer

Overflow’)

I Improper Neutralization of Input During Web Page Generation

(’Cross-site Scripting’)

I Missing Authentication for Critical Function

(13)

2011 CWE/SANS 25 errores m´

as peligrosos de

programaci´

on

I Missing Encryption of Sensitive Data

I Unrestricted Upload of File with Dangerous Type

I Reliance on Untrusted Inputs in a Security Decision

I Execution with Unnecessary Privileges

I Cross-Site Request Forgery (CSRF)

I Improper Limitation of a Pathname to a Restricted Directory

(’Path Traversal’)

I Download of Code Without Integrity Check

(14)

2011 CWE/SANS 25 errores m´

as peligrosos de

programaci´

on

I Incorrect Permission Assignment for Critical Resource

I Use of Potentially Dangerous Function

I Use of a Broken or Risky Cryptographic Algorithm

I Incorrect Calculation of Buffer Size

I Improper Restriction of Excessive Authentication Attempts

I URL Redirection to Untrusted Site (’Open Redirect’)

I Uncontrolled Format String

I Integer Overflow or Wraparound

(15)

Los 7 reinos + 1

I Input validation and representation

I API abuse

I Security features

I Time and state

I Error handling

I Code quality

I Encapsulation

I Environment

(16)

Pensamientos finales

I No hay sustituto para el comportamiento seguro por defecto

I No confiar en los administradores, ni en que los parches se

aplicar´an

(17)

Referencias

Descargar ahora ( PDF - 17 página - 621.20 KB )

Documento similar

II26Procesadoresdelenguaje 4 Ingenier´ıaInform´atica

A˜ nade acciones sem´ anticas a la gram´ atica anterior para sintetizar, mientras se lleva a cabo un an´ alisis RLL(1) de la entrada, el atributo valor de hExpresi´ oni teniendo

Espacio-Teleco: Revista de la ETSIT-UPCT. 2012

La Escuela T´ecnica Superior de Ingenier´ıa de Telecomunicaci´on (ETSIT) de la Universidad Polit´ecnica de Cartagena (UPCT) contin´ua adaptando sus estudios al

Desarrollo, análisis y despliegue de aplicaciones basadas en componentes con requisitos de tiempo real. Un enfoque dirigido por modelos

Esta Tesis Doctoral se fundamenta en tres ´ areas diferentes de la inform´ atica: (1) la Ingenier´ıa de Software Dirigida por Modelos (MDSE por sus siglas en ingl´ es), (2) los

1 Repositorio de la Universidad de Zaragoza – Zaguan http://zaguan.unizar.es

This means that the "full-time" variable, in general, affects women's wages more than men's, especially in the middle and upper part of the distribution, that is, in

Optimización de Sistemas de Producción: Esquemas de Optimización en dos fases

Después de una descripción muy rápida de la optimización así como los problemas en los sistemas de fabricación, se presenta la integración de dos herramientas existentes

CURSO 2019/2020 MEMORIA DEPARTAMENTO DE LENGUAJES Y CIENCIAS DE LA COMPUTACIÓN

Rossi Jiménez, Carlos Manuel Guevara Plaza, Antonio Jesús Enciso García-Oliveros, Manuel N. Universidad de Málaga Institución Ferial de Madrid Organización de actividades y

(algunas) Aplicaciones de las Matem´aticas en Inform´atica Gr´afica

La Inform´atica Gr´afica (IG) es una especialidad dentro de la Inform´atica dedicada a estudiar las t´ecnicas y metodolog´ıas adecuadas para el desarrollo de software relacionado con

INTERNET Y SEGURIDAD INFORM ´ ATICA

Mediante el correo electr´ onico los ususarios env´ıan y reciben mensajes que se componen de texto y que pueden incluir ficheros de cualquier tipo (im´ agenes, v´ıdeo, audio o