Texto completo

(1)

UT1-1

ADOPCIÓN de PAUTAS de

SEGURIDAD INFORMÁTICA

(2)

• Según la Real Academia Española de la Lengua:

Seguridad es la cualidad de seguro, es decir, estar libre y exento de todo daño, peligro o riesgo.

• En informática, la seguridad entendida según la definición anterior es prácticamente imposible de conseguir.

Se relaja el adjetivo seguro, para hablar de fiable o de fiabilidad, es decir, probabilidad de que un sistema se comporte tal y como se espera de él.

(3)

• Infosec Glossary-2000:

Medidas y controles que aseguran la

confidencialiad, integridad y disponibilidad de los

activos de los sistemas de información, incluyendo

hardware, software, firmware y aquella información que procesan, almacenan y comunican.

• ISO 7498-1984:

Serie de mecanismos que minimizan la

vulnerabilidad de bienes y recursos en una

organización.

(4)

• El experto Eugene H. Spafford cita en su frase célebre:

“el único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio que está enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias fuertemente armados. Aún así, no apostaría mi vida en ello”.

(5)

• Los sistemas informáticos, ya sean SSOO, servicios o aplicaciones, se dice que son seguros si cumplen las siguientes características u objetivos:

Confidencialidad: requiere que la información sea

accesible únicamente por las entidades autorizadas.

Integridad: requiere que la información sólo pueda ser modificada por las entidades autorizadas.

Disponiblidad: requiere que los recursos del sistema

estén disponibles para las entidades autorizadas cuando los necesiten.

(6)

• Dependiendo del entorno en que trabajemos, nos interesará dar prioridad a un aspecto de la seguridad:

En un sistema militar se antepondrá la confidencialidad de los datos almacenados o transmitidos sobre su disponiblidad.

En un servidor de archivos en red, se priorizará la disponibilidad frente a la confidencialidad.

En un entorno bancario se priorizará la integridad sobre la disponiblidad o la confidencialidad: es menos grave que un usuario consiga leer el saldo de otro usuario que el hecho que ese usuario pueda modificarlo.

(7)

• Ejemplos de confidencialidad

Sistema de cifrado en el SO. Por ejemplo,

EFS en Windows.

Cifrado Asimétrico/Simétrico en comunicaciones.

(8)

• PRÁCTICA de confidencialidad

La confidencialidad o privacidad de datos es uno de los aspectos críticos de la seguridad.

EFS (Encrypting File System) es un sistema de archivos

que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema operativo.

El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único que se le permitirá modificar, copiar o borrar el archivo,

controlado todo ello por el sistema operativo.

(9)

• PRÁCTICA de confidencialidad (cont.)

Para probarlo podemos crear un archivo de texto plano (no cifrado) con una información confidencial en su interior.

En primer lugar seleccionamos el archivo (o carpeta) a encriptar y con el botón derecho del ratón accedemos a la ventana Propiedades/General/Opciones Avanzadas y en Atributos de compresión y cifrado marcamos la opción Cifrar contenido para proteger datos.

Verificación

Si entramos al SO con otro usuario que tenga acceso a dicha carpeta o archivo veremos que está en color verde y

(10)

• PRÁCTICA de confidencialidad (cont.)

Verificación

El archivo cifrado no es portable ni copiable a una unidad externa ya que el SO perdería el control sobre su cifrado.

En el caso de intentar copiarlo a unidad USB nos indicará lo siguiente:

(11)

• Ejemplos de integridad

Comprobación de integridad, no falsificación o modificación de archivos en el sistema (anti-rootkit). Windows (md5sum, SFC), GNU/Linux (cksum, Rootkit

hunter).

Firma digital y funciones resumen o hash en comunicaciones.

(12)

• PRÁCTICA de integridad

cksum en Linux

Objetivos principales de Seguridad Informática

(13)

• PRÁCTICA de integridad

md5sums en Windows

Objetivos principales de Seguridad Informática

Una aplicación o archivo que hemos descargado podría haber sido modificada incluyendo en ella un virus o troyano.

Queremos estar seguros de que no ha sido alterado.

(14)

• PRÁCTICA de integridad

• Amenaza o vulnerabilidad

• En caso de que algún tipo de malware reemplace o falsifique archivos del SO, los administradores de sistemas no dudarán de la veracidad de dichos archivos y procesos.

• A este tipo de malware se le denomina rootkit, programa que sustituye los ejecutables binarios del sistema para ocultarse mejor, pudiendo servir de puertas traseras o backdoor para la ejecución

malware remota.

SFC (System File Checker) es una utilidad de los sistemas Windows que comprueba la integridad de los archivos del sistema.

Rootkit hunter es una herramienta más completa bajo GNU/Linux que examina los permisos de los ejecutables del sistema, busca rootkits conocidos y realiza la comprobación de integridad de los archivos del sistema.

(15)

• PRÁCTICA de disponibilidad

• Creación de sistemas RAID • FreeNAS

• Creación de una imagen de disco en Linux

dd if=/dev/sda of=/dev/sdb

(16)

• Ejemplos de disponiblidad

Comprobación de disponibilidad de servicios, protocolos y aplicaciones inseguras: NMAP, NESSUS, MBSA, etc.

Alta disponibilidad (High Availability): aplicaciones y datos que se encuentren operativos en todo momento y sin interrupciones, carácter crítico.

Mantener sistemas funcionando 24 horas, 7 días a la

semana y 365 días al año a salvo de interrupciones. El

mayor nivel acepta 5 minutos de inactividad al año (disponibilidad de 5 nueves: 99,999%).

Un claro ejemplo de alta disponibilidad son los CPD: centros de procesamiento de datos.

(17)

• Ejemplos de disponiblidad (cont.)

• Identificar y analizar la disponibilidad de servicios o servidores, puertos abiertos y versiones de SSOO que los soportan, supone la información base para el estudio de las innumerables vulnerabilidades de los sistemas en red.

• Amenaza o vulnerabilidad. Para las versiones de software de servidores y de los SSOO, es posible buscar posibles vulnerabilidades existentes:

www.securityfocus.com.

• www.nessus.org. Aplicación que detecta vulnerabilidades, tanto para sistemas y aplicaciones Windows como GNU/Linux. En su última versión, Nessus4

(18)

• Amenaza o vulnerabilidad (cont.)

Microsoft Baseline Security Analizer (MBSA) es una

herramienta diseñada para analizar el estado de seguridad según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones específicas.

Nmap es una aplicación que puede utilizarse en modo comando o mediante una utilidad gráfica denominada

zenmap. Se instala en Debian/Ubuntu con el comando:

sudo apt-get install nmap

Y la interfaz gráfica con:

sudo apt-get install zenmap

(19)

Escaneo rápido sobre la red 192.168.0.0/24 equivalente al comando

nmap -T4 -F 192.168.0.0/24

Por cada máquina encontrada en la red informa de su IP, nombre dentro del dominio, puertos abiertos, etc.

Nmap proporciona el nombre DNS scanme.nmap.org sobre

el que se pueden hacer

pruebas sobre la herramienta, aunque de forma moderada.

La interfaz gráfica se lanza con sudo zenmap

(20)

Ejecución y salida de MBSA

(21)

• Además de estas tres características se suelen estudiar otras dos:

No repudio:

•En origen: El emisor no puede negar el envío. La prueba la crea el propio emisor y la recibe el destinatario.

En destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. En este caso, la prueba irrefutable la crea el receptor y la recibe

Autenticación: cuando se puede verificar que el usuario

es quien dice ser: p.e. login+password, certificado digital, etc.

(22)

• Si la autenticidad prueba quién es el autor o el propietario de un documento y cuál es su destinatario,

• el no repudio prueba que el autor envió la comunicación (no repudio en origen) y que

• el destinatario la recibió (no repudio en destino).

(23)

1) El usuario es quien dice ser si demuestra conocer algo

que solamente este conoce.

Por ejemplo, conoce una palabra secreta de acceso.

2) El usuario es quien dice ser si posee algún objeto, como por ejemplo una tarjeta magnética.

Un ejemplo no relacionado con la informática podrían ser las llaves de casa: en principio, es el propietario quien las posee.

3) El usuario es quien dice ser si posee alguna característica física que sólo él tiene.

Por ejemplo, la huella dactilar.

4) El usuario es quien dice ser si es capaz de hacer algo de forma única:

Por ejemplo, el patrón de escritura.

(24)

Al conjunto de estas características se las conoce con el nemotécnico de CIDAN

Objetivos de Seguridad Informática

Confidencialidad

Integridad

Disponibilidad +

(25)

• Recursos hardware • Recursos software

• Elementos de comunicación

• Información que se almacena, procesa y distribuye • Locales y oficinas

• Usuarios del sistema

• Imagen y reputación de la organización.

Conceptos de Seguridad Informática

(26)

Amenazas:

• Posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una organización.

• Pueden ser:

Naturales: incendio, fallo eléctrico, inundación, terremoto, etc.

De agentes externos: virus informáticos, intrusos en la red, robos, estafas, etc.

De agentes internos: empleados descuidados o con formación inadecuada o descontentos, errores en la utilización del sistema o de herramientas, etc.

(27)

Otra clasificación de las amenazas:

Físicas: afectan a las instalaciones y/o hardware contenido en ellas y suponen el primer nivel de seguridad

a proteger para garantizar la disponibilidad de los sistemas.

Lógicas: software o código que de una forma u otra pueden afectar o dañar nuestro sistema, creados de forma intencionada para ello.

Rogueware o falsos programas de seguridad. También se denomina Rogue, FakeAVs, Badware, Scareware.

Puertas traseras o backdoors: los programadores insertan “atajos” de acceso o administración, en ocasiones con poco nivel de seguridad.

(28)

Otra clasificación de las amenazas (cont.):

Virus: secuencia de código que se inserta en un fichero ejecutable (.exe, .com, .bat, etc.), de forma que cuando el archivo se ejecuta, el virus también lo hace.

Gusano o Worm: programa capaz de ejecutarse y propagarse (duplicarse) por sí mismo a través de redes, normalmente mediante correo electrónico basura o spam.

Troyanos o Caballos de Troya: aplicaciones con instrucciones escondidas en otros programas de forma que éstas parezcan realizar las tareas que un usuario espera de ellas, pero que realmente ejecutan funciones ocultas sin el conocimiento del usuario.

Conceptos de Seguridad Informática

(29)

Otra clasificación de las amenazas (cont.):

Canales cubiertos: canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema. Un proceso transmite información a otros que no están autorizados a leer dicha información.

Bombas lógicas: son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas (ausencia o presencia de ciertos ficheros o la llegada de una fecha/hora concreta).

Conceptos de Seguridad Informática

(30)

Otra clasificación de las amenazas (cont.):

Acceder a la siguiente página y analizar y discutir su contenido:

http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica

(31)

Vulnerabilidad:

• Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

Incidente de seguridad:

• Es la materialización de una amenaza.

Impacto:

• Es la medición y valoración del daño que puede producir a la organización un incidente de seguridad.

Conceptos de Seguridad Informática

http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-puntos-de-acceso.html

(32)

Defensas, salvaguardas o medidas de seguridad:

• Es cualquier medio empleado para eliminar o reducir un riesgo.

• Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto en la organización.

Conceptos de Seguridad Informática

Riesgo:

• Posibilidad de que se produzca un impacto determinado en un activo(s) o en toda la organización.

(33)

Activo: único servidor de archivos.

Amenaza: fallo hardware en el servidor con una probabilidad de ocurrencia baja (una vez cada 5 años).

Vulnerabilidad del sistema: alta, ya que no se dispone de un servidor alternativo ni de medidas redundantes (discos RAID).

Conceptos de Seguridad Informática

(34)

Impacto: indisponibilidad durante 24 horas de activo afectado hasta su reposición. En este caso se trata de un impacto de nivel alto.

Nivel de riesgo: se obtiene a partir de las tablas de valoración adoptadas teniendo en cuenta que la amenaza es baja, la vulnerabilidad es alta y el impacto es alto.

Ejemplo (cont.)

(35)

• Cerca del 80% de los ‘ataques’ provienen del interior. • No se notifican todos los ataques que se reciben.

• Muchos accidentes humanos se reportan como ataques.

• No es eficiente hacer una alta inversión puntual y olvidarse durante un tiempo.

El ‘problema’ de la Seguridad Informática

(36)

• La seguridad es un proceso, un camino continuo. • Se tiene que diferenciar de lo que hay que protegerse.

 Errores involuntarios. (Maquinaria y personal)

 Ataques voluntarios. (Internos y externos)

 Desastres naturales.

(37)

Medidas de seguridad activa:

cualquier medida utilizada para anular o reducir el riesgo de una amenaza

Medidas de prevención: aplicación antes del incidente (control de acceso, cifrado de datos, autenticación de usuarios, formación, etc.)

Medidas de detección: aplicación durante el incidente (sistema de detección de intrusos, análisis de los registros de actividad, etc.)

(38)

Medidas de seguridad pasiva: complementa a la seguridad activa y es cualquier medida empleada para

reducir el impacto cuando se produzca un incidente de seguridad.

• Son medidas de corrección, es decir, se aplican después del incidente.

• Entre ellas tenemos copias de seguridad, plan de respuesta a incidentes, etc.

(39)

¿Cuánto dinero dejaría de ganar en caso de estar una hora sin conexión a Internet?

¿Y un día?

¿Qué pasaría si pierde la información de un día de trabajo?

Hay que valorar económicamente éstos y todos los riesgos posibles con las preguntas adecuadas.

¿Y si su competencia tiene acceso a sus archivos?

(40)

• Ataques de suplantación de la identidad

• IP spoofing • ARP spoofing • DNS spoofing • SMTP spoofing

• Captura de cuentas de usuario y contraseñas: mediante sniffing o password cracking.

(41)

• Modificación del tráfico y de las tablas de enrutamiento.

Algunos tipos de ataques

(42)

• Conexión no autorizada a equipos.

• Introducción en el sistema de “malware

• Virus

• Troyanos • Gusanos

• Ataques de “Cross-Site Scripting” (XSS)

• Ataques de inyección de código SQL.

Algunos tipos de ataques

http://unaaldia.hispasec.com/2014/06/vulnerabilidad-descubierta-en-webmin-y.html

(43)

• Denegación de servicio: causar que un servicio o recurso sea inaccesible a los usuarios legítimos.

• Ataques contra los sistemas criptográficos

• Fraudes, engaños y extorsiones: ingeniería social, pharming, phising.

Algunos tipos de ataques

http://unaaldia.hispasec.com/2014/09/diversas-vulnerabilidades-en-apache.html

(44)

• Antivirus que controle todas las posibles entradas de datos. (Internet, discos, ...)

• Firewall perimetral. (Control de accesos)

• Política estricta de seguridad del personal. • Auditorías externas puntuales

• Formación continuada del encargado(s) de seguridad • Separar físicamente redes diferentes. (Subnetting)

(45)

• Uso de herramientas:

• Escáneres de puertos

• Sniffers

• Exploits

• Backdoors kits • Auto-rooters

• Password crackers

¿ Cómo se puede proteger la empresa ?

Figure

Actualización...

Descargar ahora (45 pages)