SlideShare una empresa de Scribd logo

Seguridad Informática pdf

B
BryanArm21

Es un contenido que los ayudara de mucho para que tengan una idea de lo que nomas pueden tener en cuenta.

Educación
1 de 36
Descargar para leer sin conexión
1 Seguridad Informática. 1 Seguridad Informática Conceptos generales. Luis Alonso Romero Catedrático de Ciencia de la Computación e Inteligencia Artificial. Universidad de Salamanca Seguridad Informática. 2 Bibliografía ♦ Seguridad y protección de la Información.- Morant, Ribagorda, Sancho.- Centro de Estudios Ramón Areces, 1994 ♦ Computer Networks, 3rd Ed.- Tanenbaum.- Prentice Hall 1996 ♦ Comunicaciones y Redes de Computadores, 5ª Ed .- Stallings.-. Prentice Hall 1997 ♦ Computer Security Basics.- Russell, Gangemi.- O’Reilly ♦ Seguridad y protección de la información. Universidad Jaime I.- http://spisa.act.uji.es/SPI ♦ Network and Internet Network Security. Principles and Practice. W. Stallings. Prentice Hall 1995 ♦ Secure Computers and Networks. E. Fish; G.B. White. CRC Press LLC, 2000
2 Seguridad Informática. 3 Contenidos ♦ Definiciones. ♦ Criterios de seguridad. ♦ Tipos de ataques. ♦ Medidas y políticas de seguridad. ♦ Principios fundamentales. ♦ Seguridad en Sistemas Operativos. ♦ Seguridad en Bases de Datos. ♦ Seguridad en Redes. Seguridad Informática. 4 Definiciones ♦ Definiciones del DRAE, 22 edición (2001): – Seguridad: • Cualidad de seguro. • (Mecanismo).- Que asegura un buen funcionamiento, precaviendo que éste falle, se frustre o se violente. – Información: • Comunicación o adquisición de conocimiento que permiten ampliar o precisar los que se poseen sobre una materia determinada. • El conocimiento es lo que permite al soberano saber y al buen general intuir, esperar y anticiparse. (Sun Tse, siglo V a.C) • Nam et ispa scientia potestas est (Bacon) – Protección: • Resguardar a una persona, animal o cosa de un perjuicio o peligro.
3 Seguridad Informática. 5 Seguridad en las TIC ♦ En los últimos tiempos se han realizado grandes avances en las tecnologías de la información y las comunicaciones (TIC). ♦ Los sistemas informáticos se han introducido de forma generalizada en el comercio, banca, industria, administración, defensa, investigación, ... ♦ La aparición y expansión de Internet, juntamente con los sistemas informáticos, han hecho posible la realización de tareas impensables hace unos pocos años: transacciones bancarias, resolución de problemas complejos, control, docencia, comercio electrónico, B2B, ... ♦ Pero, a medida que los sistemas de información son más complejos, han puesto de manifiesto una mayor cantidad de puntos vulnerables: – El número de posibles atacantes crece muy rápidamente. – Los medios disponibles para efectuar ataques siguen una evolución tan rápida como los propios sistemas. – La generalización de Internet hace que los ataques puedan provenir de cualquier lugar. Seguridad Informática. 6 ¿Qué hay que proteger? ♦ Es evidente la necesidad de proteger la información. ♦ Pero es muy difícil concretar qué es lo que hay que proteger, dado que el concepto de información es, en sí mismo, poco claro. ♦ Se choca también con el derecho a la intimidad: – Los gobiernos, y la empresas, necesitan multitud de datos de los ciudadanos, o clientes, para poder hacer planificaciones, estrategias de ventas, promover leyes, censos, tratamientos médicos, etc. – Algunas de esas informaciones pueden ser manipuladas o utilizadas con fines distintos a los originales, o ser empleadas por organizaciones a las que no se les entregaron en su momento.
4 Seguridad Informática. 7 Sistemas informáticos ♦ Un sistema informático es el conjunto de elementos hardware, software, datos y personas que permiten el almacenamiento, procesamiento y transmisión de información. ♦ Todos los elementos de un sistema informático son vulnerables: – Hardware : aislamiento de los CPD, sistemas contra incendios, SAIs, etc. – Software: bombas lógicas, caballos de Troya, gusanos, virus, .. – Personas que trabajan en la administración de los CPD, en la gestión de los sistemas de comunicaciones, etc. – Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más se necesita la aplicación de políticas de seguridad. Seguridad Informática. 8 Criterios de seguridad ♦ El Information Technology Security Evaluation Criteria (ITSEC) define los siguientes criterios de seguridad: – Secreto o confidencialidad: la información debe estar disponible solamente para aquellos usuarios autorizados a usarla. – Integridad: la información no se puede falsear. Los datos recibidos (o recuperados) son los mismos que fueron enviados (o almacenados), etc. – Accesibilidad o disponibilidad: ¿quién y cuándo puede acceder a la información? • La falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes en Internet. – Autenticidad: asegurar el origen y el destino de la información. – No repudio: cualquier entidad que envía o recibe datos no puede alegar desconocer el hecho. • Los dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónico.
5 Seguridad Informática. 9 Más criterios de seguridad relacionados. – Consistencia: asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados. – Aislamiento: impedir que personas no autorizadas entren en el sistema. – Auditoría: capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema y quién y cuándo las han llevado a cabo. – Prevención: los usuarios deben saber que sus actividades quedan registradas. – Información: posibilidad de detectar comportamientos sospechosos. – ..... Seguridad Informática. 10 Aspectos negativos ♦ Vulnerabilidad: punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de debilidades del sistema. ♦ Amenazas o ataques (Threats): Posible peligro del sistema. Pueden provenir de personas (hackers, crackers), de programas, de sucesos naturales. Equivalen a los factores que se aprovechan de las debilidades del sistema. ♦ Contramedidas: técnicas de protección del sistema contra las amenazas. – La seguridad informática se encarga de identificar las vulnerabilidades del sistema y establecer las contramedidas necesarias para intentar evitarlas. – Axioma de seguridad: No existe ningún sistema absolutamente seguro.
6 Seguridad Informática. 11 Tipos de vulnerabilidad ♦ Algunos tipos de vulnerabilidad pueden ser: – Natural: desastres naturales o ambientales. – Física: • acceso físico a los equipos informáticos, • a los medios de transmisión (cables, ondas, ...), etc. – Lógica: programas o algoritmos que puedan alterar el almacenamiento, acceso, transmisión, etc. – Humana: Las personas que administran y utilizan el sistema constituyen la mayor vulnerabilidad del sistema. • Toda la seguridad del sistema descansa sobre el administrador, o administradores. • Los usuarios también suponen un gran riesgo. Seguridad Informática. 12 Tipos de ataques ♦ Sistema que proporciona información: flujo de información fuente-destino. Situación normal: fuente destino Flujo normal intruso
7 Seguridad Informática. 13 Tipos de ataques II – 1.- Interrupción: Destruye información o la inutiliza: Ataca la accesibilidad o disponibilidad – 2.- Intercepción: Una parte no autorizada gana el acceso a un bien. Ataca la confidencialidad. Interrupción Intercepción intruso Destruir algún dispositivo. Saturar la capacidad del procesador, Escuchas en línea de datos. Copias no autorizadas, ... Seguridad Informática. 14 Tipos de ataques III – 3.- Modificación: Una parte no autorizada modifica el bien. Ataque a la integridad. – 4.- Fabricación: Falsificar la información: Ataca la autenticidad. Modificación intruso Fabricación Cambiar contenidos de bases de datos, cambiar líneas de un programa, datos de una transferencia, etc.., ... Añadir campos y registros en una base de datos, añadir líneas de un programa (virus), etc.., ...
8 Seguridad Informática. 15 Tipos de ataques III Ataques pasivos Intercepción (Confidencialidad) Publicación Análisis de Tráfico Ataques activos Interrupción (disponibilidad) Modificación (Integridad) Fabricación (Integridad) Seguridad Informática. 16 Medidas de seguridad ♦ Las medidas de seguridad se suelen clasificar en cuatro niveles: – Físico: impedir el acceso físico a los equipos informáticos, a los medios de transmisión (cables de argón, por ejemplo), etc. • Vigilancia, sistemas de contingencia, recuperación, ... – Lógico: establecer programas o algoritmos que protejan el almacenamiento, acceso, transmisión, etc. • Contraseñas, Criptografía, cortafuegos, ... – Administrativo: en caso de que se haya producido una violación de seguridad, ¿cómo se delimitan las responsabilidades? • Publicación de la política de seguridad. – Legal: ¿qué se hace en caso de ataques, violaciones, que hayan sido comprobadas? • Normalmente, transcienden el ámbito empresarial y son fijadas por los gobiernos o instituciones internacionales.
9 Seguridad Informática. 17 Política de seguridad ♦ La política de seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas de información y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. – Se plasma en una serie de normas, reglamentos y protocolos a seguir donde se definen las distintas medidas a tomar para proteger la seguridad del sistemas, las funciones y responsabilidades de los distintos componentes de la organización y los mecanismos para controlar el funcionamiento correcto. • ¿Qué necesitamos proteger? • ¿De qué necesitamos protegerlo? • ¿Cómo lo vamos a proteger? • ......... Seguridad Informática. 18 Análisis y gestión de riesgos ♦ Los objetivos de la seguridad de un sistema de información son mantener la información: – Confidencial – Integra – Disponible ♦ Una violación de la seguridad es cualquier suceso que comprometa estos objetivos. ♦ El Análisis y la Gestión de riesgos es un método formal para investigar los riesgos de un sistema de información y recomendar las medidas apropiadas para controlarlos.
10 Seguridad Informática. 19 Análisis y gestión de riesgos II ♦ En el análisis de riesgos hay tres costes fundamentales: – Cr : Valor de los recursos y la información a proteger. – Ca : Coste de los medios necesarios para romper las medidas de seguridad implantadas en el sistema. – Cs : Coste de las medidas de seguridad. ♦ Es evidente que se debería cumplir que: – Ca > Cr > Cs – Es decir, el coste de romper las medidas de seguridad es mayor que el de los posibles beneficios obtenidos. – El coste de las medidas de seguridad es menor que el de los recursos protegidos. – De los tres sumandos es Cr el más difícil de evaluar. – Cr = Valor intrínseco (hardware, software, datos, patentes, ...) + Costes derivados de su pérdida, intercepción o modificación (reposición, repetición de experimentos, recuperación, ...) Seguridad Informática. 20 Principios fundamentales de la seguridad informática ♦ 1.- Principio de menor privilegio: – Este es quizás el principio más fundamental de la seguridad, y no solamente de la informática. Básicamente, el principio de menor privilegio afirma que cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más. ♦ 2.- Seguridad no equivale a oscuridad. – Un sistema no es más seguro porque escondamos sus posibles defectos o vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las medidas de seguridad adecuadas. El hecho de mantener posibles errores o vulnerabilidades en secreto no evita que existan, y de hecho evita que se corrijan. – No es una buena medida basar la seguridad en el hecho de que un posible atacante no conozca las vulnerabilidades de nuestro sistema. Los atacantes siempre disponen de los medios necesarios para descubrir las debilidades más insospechadas de nuestro sistema.
11 Seguridad Informática. 21 Principios fundamentales de la seguridad informática (II) ♦ 3.- Principio del eslabón más débil. – En un sistema de seguridad el atacante siempre acaba encontrando y aprovechando los puntos débiles o vulnerabilidades. Cuando diseñemos una política de seguridad o establezcamos los mecanismos necesarios para ponerla en práctica, debemos contemplar todas las vulnerabilidades y amenazas. No basta con establecer unos mecanismos muy fuertes y complejos en algún punto en concreto, sino que hay que proteger todos los posibles puntos de ataque. ♦ 4.- Defensa en profundidad. – La seguridad de nuestro sistema no debe depender de un solo mecanismo por muy fuerte que éste sea, sino que es necesario establecer varias mecanismos sucesivos. De este modo cualquier atacante tendrá que superar varias barreras para acceder a nuestro sistema. Seguridad Informática. 22 Principios fundamentales de la seguridad informática (III) ♦ 5.- Punto de control centralizado. – Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema. ♦ 6.- Seguridad en caso de fallo. – Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. Por ejemplo, si nuestros mecanismos de control de acceso al sistema fallan, es preferible que como resultado no dejen pasar a ningún usuario a que dejen pasar a cualquiera aunque no esté autorizado.
12 Seguridad Informática. 23 Principios fundamentales de la seguridad informática (IV) ♦ 7.- Participación universal. – La participación voluntaria de todos los usuarios en la seguridad de un sistema es el mecanismo más fuerte conocido para hacerlo seguro. Si todos los usuarios prestan su apoyo y colaboran en establecer las medidas de seguridad y en ponerlas en práctica el sistema siempre tenderá a mejorar. ♦ 8.- Principio de simplicidad. – La simplicidad es un principio de seguridad por dos razones: • En primer lugar, mantener las cosas simples, las hace más fáciles de comprender. Si no se entiende algo, difícilmente puede saberse si es seguro. • En segundo lugar, la complejidad permite esconder múltiples fallos. Los programas más largos y complejos son propensos a contener múltiples fallos y puntos débiles. Seguridad Informática. 24 Seguridad en Sistemas Operativos. ♦ Los sistemas Operativos (Windows, Unix, MacOs,...)son los encargados de la interacción entre los usuarios de las máquinas y los recursos informáticos. – Por tanto, forman la primera línea de seguridad lógica. ♦ Un sistema operativo “seguro” debería contemplar: – Identificación y autentificación de los usuarios. – Control de acceso a los recursos del sistema. – Monitorizar las acciones realizadas por los usuarios, sobre todo las que sean sensibles desde el punto de vista de seguridad. – Auditoría de los eventos de posible riesgo. – Garantía de integridad de los datos almacenados. – Garantía de la disponibilidad de los recursos, – .......
13 Seguridad Informática. 25 Evaluación de seguridad en Sistemas Operativos. ♦ Uno de los criterios de seguridad más extendido lo establece el National Computer Security Center (NCSC), publicado en 1985 como Trusted Computer Systems Evaluation Criteria (TSEC) también llamado el “libro naranja”. – Define 4 niveles de seguridad (D,C,B,A) con algunos subniveles: • D : sistema con protección mínima. • C1 : sistema con seguridad discrecional, • C2: sistema con control de accesos, • ....... ♦ En la Unión Europea se publicó en 1990 el Information Technology Security Evaluation Criteria (ITSEC). – Define 7 niveles de seguridad algo más elaborados que los TSEC. – E0 : sistema con nivel de confianza nulo. – ....E6: Sistema con protección y diseño de máxima confianza. ♦ La metodologia de evaluación está definida en el ITSEM, cuya primera versión es de 1992. Seguridad Informática. 26 Seguridad en Bases de Datos. ♦ La información en un sistema informático reside, fundamentalmente, en Bases de Datos cuya seguridad es, por consiguiente, de vital importancia. ♦ El primer filtro de seguridad de la Base de Datos lo constituye, evidentemente, el Sistema Operativo. ♦ No obstante, la seguridad que debe proporcionar la Base de Datos tiene algunas características diferenciadas: – Hay muchos más objetos a proteger. – El promedio de tiempo de vida de los objetos es mayor. – La granularidad del control es mayor. – Los objetos son estructuras lógicas complejas. – La seguridad está relacionada con la semántica de los datos, no con sus características físicas, – ....
14 Seguridad Informática. 27 Seguridad en Bases de Datos II. ♦ Dada la complejidad de los problemas anteriores, es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona la seguridad de éstas. ♦ Un SGBD debe mantener los tres criterios básicos: – Confidencialidad. – Integridad. – Disponibilidad. ♦ La seguridad en Bases de Datos se implementa mediante mecanismos de: – Identificación y autentificación. – Control de acceso a los objetos (datos y recursos). – Registro de auditoría. – Protección criptográfica de alguno de los datos. – .... Seguridad Informática. 28 Seguridad en Bases de Datos III. ♦ Las posibles vulnerabilidades en la Bases de Datos son: – Ataques Directos: revelación, alteración y destrucción de datos. • La prevención frente a este tipo de ataques pasa por mecanismos de identificación, autentificación y control de acceso. – Ataques Directos: Inferencias estadísticas. • Tratan de descubrir datos sensibles, y privados, en base a parámetros estadísticos que son de acceso más libre (valores medios, desviaciones, máximos, ...) – Ataques indirectos: Caballo de Troya. • Son programas hostiles que actúan solapándose bajo un programa normal. Cuando éste se procesa, el caballo de Troya ataca a la Base de Datos soslayando los mecanismos de protección.
15 Seguridad Informática. 29 Seguridad en Redes. ♦ Desde el punto de vista de seguridad una Red es “un entorno de computación con varios ordenadores independientes comunicados entre sí”. ♦ Las redes suponen un incremento: – Cuantitativo: el número de ordenadores a proteger se dispara. – Cualitativo: aparecen un conjunto de nuevas vulnerabilidades y amenazas. ♦ La “explosión” de Internet es el cambio más significativo en el mundo informático en los últimos años. ♦ Internet también puede considerarse como la revolución más importante en el mundo de la información desde la aparición de la imprenta. Seguridad Informática. 30
16 Seguridad Informática. 31 Seguridad Informática. 32 Usuarios en Internet (predicciones) - 50,0 100,0 150,0 200,0 250,0 300,0 350,0 1995 1996 1997 1998 1999 2000 2005 Áreas 3D 1
17 Seguridad Informática. 33 Ventajas de las redes informáticas ♦ Posibilidad de compartir una enorme cantidad de recursos y de información. ♦ Aumento de la fiabilidad y disponibilidad, debido a la redundancia. ♦ Posibilidad de computación distribuida. – El programa SETI es un ejemplo. ♦ Posibilidad de expansión continua de forma “transparente” (invisible) al usuario. Seguridad Informática. 34 Desventajas de las redes informáticas ♦ Aumento espectacular en el número de usuarios involucrados, es decir, el número de potenciales atacantes. ♦ Aumento de la complejidad del sistema: – Distintos tipos de nodos, distintos sistemas operativos, distintas políticas de seguridad, .... ♦ Límites desconocidos: – La expansión continua de la red hace incierta la identidad de los integrantes, su situación física, los nuevos problemas que pueden surgir, etc. ♦ Múltiples puntos de ataque: – Los ataques pueden producirse tanto en los nodos origen y destino como en los dispositivos de encaminamiento, de transmisión, en los nodos intermedios, ...
18 Seguridad Informática. 35 Nuevas vulnerabilidades ♦ Privacidad: – Es más difícil de mantener debido a: • Aumento de posibles usuarios que pueden penetrar en cada nodo. • Aumento de los puntos en que la información puede ser interceptada. ♦ Integridad: – La transmisión de la información supone un riesgo claro. ♦ Autenticidad: – No sólo hay que identificar a los usuarios sino también a los nodos. ♦ Disponibilidad: – Es muy fácil saturar una máquina lanzando ataques desde diversos puntos de la Red. ♦ El mecanismo más utilizado para proporcionar seguridad en redes es la criptografía: – Permite establecer conexiones seguras sobre canales inseguros. Seguridad Informática. 36 Seguridad Informática Técnicas de Cifrado Dr. Angel Luis Sánchez Lázaro Profesor Titular de Universidad Dpto. Informática y Automática Universidad de Salamanca <angeluis@tejo.usal.es>
19 Seguridad Informática. 37 CRIPTOLOGIA ♦ Criptografía: (Kryptos: secreto, Graphos: escrito) ciencia que estudia la escritura secreta, escribir ocultando el significado. ♦ Criptoanálisis: Ciencia que estudia como hacer inteligible la escritura secreta. ♦ Criptología: Ciencia que engloba a las anteriores, criptografía y criptoanálisis. Seguridad Informática. 38 CRIPTOANALISIS ♦ A partir de sólo texto cifrado. ♦ A partir de texto plano conocido ♦ Elección del mensaje – Texto plano elegido – Texto cifrado elegido – Texto elegido
20 Seguridad Informática. 39 MODELO DE SEGURIDAD mensaje clave CANAL mensaje clave Transformación TransformaciónOponente Tercera parte confiable Parte Parte 1: Algoritmo de transformación 2: Generación de información secreta 3: Distribucón y compartición de claves 4: Protocolo de intercambio para un servicio Seguridad Informática. 40 CIFRADO ♦ Se asigna a cada símbolo del mensaje (letra) un código numérico ♦ Por una transformación se cambia el mensaje – Teorías de números, de información y de complejidad de algoritmos ♦ Tipos de transformaciones – Transformaciones (familias de funciones) reversibles • Cifrado simétrico – Transformaciones de una vía • Compendio de mensajes – Funciones relacionadas • Cifrado asimétrico
21 Seguridad Informática. 41 OTRAS TÉCNICAS ♦ Esteganografía (Stegos: cubierto) – No se trata tanto de ocultar el contenido del mensaje sino la existencia misma del mensaje. – Clásicamente con tinta invisible, marcado de caracteres con lapicero o agujeros con alfileres, cinta correctora de máquina – Equivalencia moderna scribiendo mensajes en el mismo color que el fondo, secuencias con caracteres de control que no aparezcan en pantalla (‘a’ ‘bs’ ‘b’) o fuentes distintas aunque muy parecidas. – Ocultar información en ficheros de imágenes o sonido. Seguridad Informática. 42 CIFRADO SIMÉTRICO I ♦ Cifrado convencional, simétrico o de clave secreta ♦ Elementos del cifrado convencional – X={X1, X2, X3,..., XM} Texto claro – K={K1, K2, K3,..., KJ} Clave – Y={Y1, Y2, Y3,..., YN} Texto cifrado – Li: letras de un alfabeto – Y= Ek(X) X=Dk(Y) Cifrado Clave compartida Descifrado Texto claro Texto claro Texto cifrado
22 Seguridad Informática. 43 CIFRADO SIMÉTRICO II ♦ Cifrado por sustitución monoalfabética: cada uno de los símbolos del texto claro se sustituye por otro – Cifrado del César: utilizado por el emperador romano texto claro: nos encontramos en la plaza texto cifrado:QRV HQFRQXUDPRV HQ OD SODCD • c = E(p) = (p+3) mod 26 p = D(c) = (c -3) mod 26 – Generalización: desplazamientos dependiente de clave • c = Ek(p) = (p+k) mod 26 p = Dk(c) = (c-k) mod 26 • Un total de 26 funciones de cifrado distintas – El mensaje cifrado sigue manteniendo una estructura interna • Ataque por métodos estadísticos 0 1 2 01234567890123456789012345 A. claro: abcdefghijklmnopqrstuvwxyz A. cifrado: DEFGHIJKLMNOPQRSTUVWXYZABC Seguridad Informática. 44 CIFRADO SIMÉTRICO III ♦ Sustitución polialfabética – El mismo símbolo se sustituye por varios ♦ Ejemplo: cifrado vigenère letra clave t. Claro a b c d e f g h i j k l m n o p q r s t u v x y z a a b c d e f g h i j k l m n o p q r s t u v x y z b b c d e f g h i j k l m n o p q r s t u v x y z a c c d e f g h i j k l m n o p q r s t u v x y z a b d d e f g h i j k l m n o p q r s t u v x y z a b c e e f g h i j k l m n o p q r s t u v x y z a b c d ................................. x x y z a b c d e f g h i j k l m n o p q r s t u v y y z a b c d e f g h i j k l m n o p q r s t u v x z z a b c d e f g h i j k l m n o p q r s t u v x y palabra clave:decepciondecepciondecepci texto claro: estetextoesparaserescrito texto cifrado:HWVIIGFHBHWREGCASEHWEVXVW
23 Seguridad Informática. 45 CIFRADO SIMÉTRICO IV ♦ Cifrado por trasposición o permutación – T. claro: este texto se cifrara por trasposicion – clave: atencion – T. Cifrado: etrti tcppn tsrai eiooo eeaso xfrsp soarc ♦ Algoritmos – DES: Data EncriptionStandart (clave 64 bits) – IDEA: International Data Encription Algorithm (128 bits) ♦ Problemas con las claves (una clave secreta por pareja) – Generación de claves – Administración de claves – Distribución de claves atencio 1735246 estetex tosecif rarapor traspos icionop Seguridad Informática. 46 DES: CIFRADO Cifra bloques de 64 bits con una clave de 56 bits
24 Seguridad Informática. 47 DES: DESCIFRADO ♦ Mismo esquema que cifrado cambiando el orden de las subclaves Seguridad Informática. 48 DES: MODOS DE OPERACION ♦ Modo ECB: Libro de códigos. Cifrador de bloques Ci= Ek(Pi) Pi= Dk(Ci) ♦ Modo CBC: Bloque cifrado encadenado. Cifrador de bloques Ci= Ek(Ci-1 + Pi) Pi= Ci-1 + Dk(Ci) ♦ Modo CFB: Realimentación de cifrado. Cifrador de corriente ♦ Modo OFB: Realimentación de salida. Cifrador de corriente ♦ Otros modos – doble DES – triple DES – ampliar la longitud de la clave
25 Seguridad Informática. 49 OTROS ALGORITMOS DE CIFRADO SIMÉTRICO ♦ IDEA – International Data Encryption Algorithm – Procesa la entrada en bloques de 64 bits – Usa una clave de 128 bits – Incorpora nuevas transformaciones • operaciones lógicas (XOR) • operaciones aritméticas – suma y multiplicación modular – 9 etapas – 52 subclaves – Para descifrar se usa el mismo esquema con distintas sublaves • las subclaves se obtienen de las de cifrado Seguridad Informática. 50 CIFRADO ASIMÉTRICO I ♦ Cifrado asimétrico o de clave pública – Un par de claves por cada entidad – Una para el emisor y la otra para el receptor ♦ Elementos del cifrado asimétrico – X: Texto claro – KU: Clave pública – KR: Clave privada – Y: Texto cifrado – Y= EKUb(X) X=DKRb(Y) Cifrado Par de claves KUb, KRb Descifrado Texto claro Texto claro Texto cifrado
26 Seguridad Informática. 51 CIFRADO ASIMÉTRICO II ♦ Confidencialidad con cifrado asimétrico – Emisor: Y= EKUb(X) Receptor: X=DKRb(Y) ♦ Autenticación por firma con cifrado asimétrico – Emisor: Y= EKRa(X) Receptor: X=DKUa(Y) – Necesidad de estructura interna del mensaje ♦ Confidencialidad y autenticación con cifrado asimétrico – Emisor: Y= EKRa (EKUb(X)) Receptor: X= DKRb (DKUa(Y)) – Emisor: Y= EKUb (EKRa(X)) Receptor: X= DKUa (DKRb(Y)) YE D KRa KUa X X Seguridad Informática. 52 POSTULADOS DIFFIE-HELLMAN ♦ Es computacionalmente fácil generar un par de claves pública y privada ♦ El cifrado es computacionalmente sencillo ♦ El descifrado, conocida la clave privada debe ser sencillo ♦ La obtención de la clave privada conocida la pública, es computacionalmente imposible ♦ Es computacionalmente imposible conocer el mensaje claro conocido el mensaje cifrado y la clave pública ♦ Las funciones de cifrado y descifrado pueden aplicarse en cualquier orden
27 Seguridad Informática. 53 ALGORITMO RSA (Rivest Shamir Adleman) ♦ Cifrado de bloques ♦ KU={e,n} KR={d,n} ♦ C = EKU(M) = Me mod n ♦ M = DKR(C) = Cd mod n = Med mod n ♦ Generación de claves – Seleccionar p, q primos grandes (>150 dígitos) – Calcular n = pxq – Calcular φ(n) = (p-1)x(q-1) – Seleccionar e mcd(φ(n),e) = 1 – Calcular d = e-1 mod φ(n) Seguridad Informática. 54 EJEMPLO DIDÁCTICO RSA 1 p = 7 q=17 2 n = pxq =7x17 = 119 3 φ(n) = (p-1) x (q-1) = 96 4 Seleccionar e primo respecto a 96 e=5 5 Calcular d = e-1 (mod 96) = 77 KU={5,119} KR={77,119} Cifrado M=19 M5=2476099 C= M5 mod 119 = 66 Descifrado C=66 C77=1,27 1040 M= C77 mod 119 = 19
28 Seguridad Informática. 55 INTERCAMBIO DE CLAVES PÚBLICAS I ♦ Anuncio público ♦ Directorio disponible públicamente ♦ Autoridad de claves públicas ♦ Certificado de claves públicas Seguridad Informática. 56 INTERCAMBIO DE CLAVES PÚBLICAS II Autoridad de claves A B (1) P||T1 (2) EKRc(KUb||P||T1) (3) EKUb(IDA||N1) (4) P||T2 (5) EKRc(KUa||P||T2) (6) EKUa(N1||N2) (7) EKUb(N2) ♦ Protocolo de intercambio con una autoridad de claves – Petición de clave de destinatario a la autoridad cada vez – Aumento de tráfico con la autoridad de claves
29 Seguridad Informática. 57 INTERCAMBIO DE CLAVES PÚBLICAS III Autoridad de certificación A B KUa Ca=EKRc(KUa||A||T1) (1) Ca KUb Cb= EKRc(KUb||B||T2) (2) Cb ♦ Protocolo de intercambio con una autoridad de certificación (emisión de certificados) – Una única emisión de certificado de clave pública – Certifica la identidad y clave pública de una entidad – Se envía junto al mensaje Seguridad Informática. 58 Servicio de autenticación ♦ Compendios (Funciones hash o de dispersión) ♦ Funciones de un sólo sentido ♦ Requisitos de la función H(M) – H puede aplicarse a mensajes de cualquier longitud – H produce salida de longitud fija – H(x) es fácil de calcular – Para un código dado h es infactible encontrar m, H(m)=h – Para un bloque dado x es infactible encontrar y, H(x)=H(y) – Es computacionalmente infactible encontrar x e y, H(x)=H(y)
30 Seguridad Informática. 59 ALGORITMO DIDACTICO Sea un texto cualquiera del que se quiere obtener su función de dispersion o funcion hash Colocar el texto con un número de columnas fijo. 01234567 seauntex tocualqu ieradelq uesequie reobtene rsufunci ondedisp ersionof uncionha shijklmn zuybimbe Sumar en aritmética modular por columnas el número de orden y reconvertir a símbolo Seguridad Informática. 60 FUNCIONES HASH ESTÁNDAR ♦ MD5 – Message Digest versión 5 (RFC1321) – Genera un código de 128 bits – Procesa la entrada en bloques de 512 bits ♦ SHA – Secure Hash Algorithm (FIPS PUB 180) – Genera un código de 160 bits – Procesa la entrada en bloques de 512 bits
31 Seguridad Informática. 61 FORMAS DE USO ♦ (a) A--> B EK(M || H(M)) – Confidencialidad y Autentificación ♦ (b) A--> B M || EK(H(M)) – Autentificación ♦ (c) A--> B M || EKRa(H(M)) – Autentificación y Firma digital ♦ (d) A--> B EK(M || EKRa(H(M))) – Autentificación y Firma digital. Confidencialidad ♦ (e) A--> B M || H(M || S) S: valor compartido por A,B – Autentificación Seguridad Informática. 62 FIRMAS DIGITALES ♦ Propiedades: • Capaz de verificar autor, fecha y hora • Autentificar contenido a la hora de la firma • Verificable por terceras partes ♦ Requisitos: • Patrón de bits dependiente del mensaje que se firma • Información del emisor para prevenir falsificación y negación • Sencilla de generar • Sencilla de reconocer y verificar • Imposible de falsificar (ni firma, ni mensaje) • Debe ser práctico guardar una copia ♦ Tipos • Directa • Arbitrada
32 Seguridad Informática. 63 VARIAS FIRMAS ♦ Esquema de un mensaje con varias firmas directas y una firma arbitrada – Mensaje M – Firma 1 F1: EKRx(H(M) || T)) – Firma 2 F2: EKRy(H(M) || T)) – Firma 3 F3: EKRz(H(M) || T)) – Arbitro EKRa(F1 || F2 || F3 || T) ♦ La firma(s) puede guardarse independientemente del mensaje Seguridad Informática. 64 ALGORITMOS Y APLICACIONES IDEA RSA DES MD5 SHA PGP PEM SNMPv2 Kerberos DSS E-mail G. red Autentificación Cifrado Hash IDEA: International Data Encryption Algorithm RSA: Rivest-Shamir-Adleman DES: Data Encryption Standard MD5: Message Digest v5 SHA: Secure Hash Algorithm PGP: Peretty Good Privacy PEM: Privacy Enhanced Mail DSS: Digital Signature Standard SNMP: Simple Network Management P.
33 Seguridad Informática. 65 VISORES Seguridad Informática. 66 CLASIFICACIÓN DE CERTIFICADOS ♦ Certificados son emitidos por Entidades Certificadoras ♦ Clasifican atendiendo a diferentes criterios: – Objeto de la certificación • Firma digital, intercambio de claves para confidencialidad, identidad del usuario, atributos de usuario, credenciales de pago electrónico, etc. – Tipo de entidad identificada (certificados de identidad) • un ciudadano, una organización, un equipo informático, una aplicación (applet), etc. – Aplicación para la que puede utilizarse el certificado. Incluye mensajería segura, servicios web, acceso remoto, etc. – Nivel de garantía del certificado.
34 Seguridad Informática. 67 ENTIDADES Y CLASES ♦ Entidades certificadoras – FNMT (Fabrica nacional de Moneda y Timbre) – Verisign – ..... ♦ Clases de certificados por nivel de seguridad – FNMT Clase 1 CA – FNMT Clase 1S CA – FNMT Clase 2 CA Seguridad Informática. 68 PÁGINA DEL FNMT Clase 2 CA http://www.cert.fnmt.es/clase2/caracter.htm
35 Seguridad Informática. 69 INFORMACION Seguridad Informática. 70 CERTIFICADO
36 Seguridad Informática. 71 INF. CERTIFICADOS

Recomendados

Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaLisby Mora
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJeaneth Calderon
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 

Recomendados

Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaLisby Mora
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJeaneth Calderon
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica Lisby Mora
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaUniversidad José María Vargas
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaErnesto Herrera
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTSJose Manuel Acosta
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidorCarloz Kaztro
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Unidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad InformáticaUnidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad InformáticaLisby Mora
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaLisby Mora
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informaticaAnahi1708
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informáticaJOSE BABILONIA
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCamilo Hernandez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Presentación1
Presentación1Presentación1
Presentación1jorgeysupresentacion
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosJavi Hurtado
 

Más contenido relacionado

La actualidad más candente

Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica Lisby Mora
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidorCarloz Kaztro
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Unidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad InformáticaUnidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad InformáticaLisby Mora
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaLisby Mora
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informaticaAnahi1708
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informáticaJOSE BABILONIA
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 

La actualidad más candente (19)

Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica Guia 1:Seguridad Física y Lógica
Guia 1:Seguridad Física y Lógica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidor
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Unidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad InformáticaUnidad I Introducción a la Seguridad Informática
Unidad I Introducción a la Seguridad Informática
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica Lógica
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informatica
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informática
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de Computadores
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 

Similar a Seguridad Informática pdf

Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosJavi Hurtado
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetNikol-14
 
Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informaticaDaniel Gonzalez
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
Conceptos fndamentales de seguridad
Conceptos fndamentales de seguridadConceptos fndamentales de seguridad
Conceptos fndamentales de seguridadmaryr_
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de infcoromoto16
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaPiPe DiAz
 

Similar a Seguridad Informática pdf (20)

Presentación1
Presentación1Presentación1
Presentación1
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticos
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Seguridad..
Seguridad..Seguridad..
Seguridad..
 
Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informatica
 
Segu
SeguSegu
Segu
 
Segu
SeguSegu
Segu
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
Conceptos fndamentales de seguridad
Conceptos fndamentales de seguridadConceptos fndamentales de seguridad
Conceptos fndamentales de seguridad
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de inf
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Tico tema1
Tico tema1Tico tema1
Tico tema1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Más de BryanArm21

Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machalaBryanArm21
 
Archivo11275530791
Archivo11275530791Archivo11275530791
Archivo11275530791BryanArm21
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaBryanArm21
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática iBryanArm21
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática iBryanArm21
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática iBryanArm21
 
Expresion oral
Expresion oralExpresion oral
Expresion oralBryanArm21
 

Más de BryanArm21 (7)

Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machala
 
Archivo11275530791
Archivo11275530791Archivo11275530791
Archivo11275530791
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática i
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática i
 
Herramientas de informática i
Herramientas de informática iHerramientas de informática i
Herramientas de informática i
 
Expresion oral
Expresion oralExpresion oral
Expresion oral
 

Último

Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 

Último (20)

Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 

Seguridad Informática pdf

  • 1. 1 Seguridad Informática. 1 Seguridad Informática Conceptos generales. Luis Alonso Romero Catedrático de Ciencia de la Computación e Inteligencia Artificial. Universidad de Salamanca Seguridad Informática. 2 Bibliografía ♦ Seguridad y protección de la Información.- Morant, Ribagorda, Sancho.- Centro de Estudios Ramón Areces, 1994 ♦ Computer Networks, 3rd Ed.- Tanenbaum.- Prentice Hall 1996 ♦ Comunicaciones y Redes de Computadores, 5ª Ed .- Stallings.-. Prentice Hall 1997 ♦ Computer Security Basics.- Russell, Gangemi.- O’Reilly ♦ Seguridad y protección de la información. Universidad Jaime I.- http://spisa.act.uji.es/SPI ♦ Network and Internet Network Security. Principles and Practice. W. Stallings. Prentice Hall 1995 ♦ Secure Computers and Networks. E. Fish; G.B. White. CRC Press LLC, 2000
  • 2. 2 Seguridad Informática. 3 Contenidos ♦ Definiciones. ♦ Criterios de seguridad. ♦ Tipos de ataques. ♦ Medidas y políticas de seguridad. ♦ Principios fundamentales. ♦ Seguridad en Sistemas Operativos. ♦ Seguridad en Bases de Datos. ♦ Seguridad en Redes. Seguridad Informática. 4 Definiciones ♦ Definiciones del DRAE, 22 edición (2001): – Seguridad: • Cualidad de seguro. • (Mecanismo).- Que asegura un buen funcionamiento, precaviendo que éste falle, se frustre o se violente. – Información: • Comunicación o adquisición de conocimiento que permiten ampliar o precisar los que se poseen sobre una materia determinada. • El conocimiento es lo que permite al soberano saber y al buen general intuir, esperar y anticiparse. (Sun Tse, siglo V a.C) • Nam et ispa scientia potestas est (Bacon) – Protección: • Resguardar a una persona, animal o cosa de un perjuicio o peligro.
  • 3. 3 Seguridad Informática. 5 Seguridad en las TIC ♦ En los últimos tiempos se han realizado grandes avances en las tecnologías de la información y las comunicaciones (TIC). ♦ Los sistemas informáticos se han introducido de forma generalizada en el comercio, banca, industria, administración, defensa, investigación, ... ♦ La aparición y expansión de Internet, juntamente con los sistemas informáticos, han hecho posible la realización de tareas impensables hace unos pocos años: transacciones bancarias, resolución de problemas complejos, control, docencia, comercio electrónico, B2B, ... ♦ Pero, a medida que los sistemas de información son más complejos, han puesto de manifiesto una mayor cantidad de puntos vulnerables: – El número de posibles atacantes crece muy rápidamente. – Los medios disponibles para efectuar ataques siguen una evolución tan rápida como los propios sistemas. – La generalización de Internet hace que los ataques puedan provenir de cualquier lugar. Seguridad Informática. 6 ¿Qué hay que proteger? ♦ Es evidente la necesidad de proteger la información. ♦ Pero es muy difícil concretar qué es lo que hay que proteger, dado que el concepto de información es, en sí mismo, poco claro. ♦ Se choca también con el derecho a la intimidad: – Los gobiernos, y la empresas, necesitan multitud de datos de los ciudadanos, o clientes, para poder hacer planificaciones, estrategias de ventas, promover leyes, censos, tratamientos médicos, etc. – Algunas de esas informaciones pueden ser manipuladas o utilizadas con fines distintos a los originales, o ser empleadas por organizaciones a las que no se les entregaron en su momento.
  • 4. 4 Seguridad Informática. 7 Sistemas informáticos ♦ Un sistema informático es el conjunto de elementos hardware, software, datos y personas que permiten el almacenamiento, procesamiento y transmisión de información. ♦ Todos los elementos de un sistema informático son vulnerables: – Hardware : aislamiento de los CPD, sistemas contra incendios, SAIs, etc. – Software: bombas lógicas, caballos de Troya, gusanos, virus, .. – Personas que trabajan en la administración de los CPD, en la gestión de los sistemas de comunicaciones, etc. – Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más se necesita la aplicación de políticas de seguridad. Seguridad Informática. 8 Criterios de seguridad ♦ El Information Technology Security Evaluation Criteria (ITSEC) define los siguientes criterios de seguridad: – Secreto o confidencialidad: la información debe estar disponible solamente para aquellos usuarios autorizados a usarla. – Integridad: la información no se puede falsear. Los datos recibidos (o recuperados) son los mismos que fueron enviados (o almacenados), etc. – Accesibilidad o disponibilidad: ¿quién y cuándo puede acceder a la información? • La falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes en Internet. – Autenticidad: asegurar el origen y el destino de la información. – No repudio: cualquier entidad que envía o recibe datos no puede alegar desconocer el hecho. • Los dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónico.
  • 5. 5 Seguridad Informática. 9 Más criterios de seguridad relacionados. – Consistencia: asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados. – Aislamiento: impedir que personas no autorizadas entren en el sistema. – Auditoría: capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema y quién y cuándo las han llevado a cabo. – Prevención: los usuarios deben saber que sus actividades quedan registradas. – Información: posibilidad de detectar comportamientos sospechosos. – ..... Seguridad Informática. 10 Aspectos negativos ♦ Vulnerabilidad: punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de debilidades del sistema. ♦ Amenazas o ataques (Threats): Posible peligro del sistema. Pueden provenir de personas (hackers, crackers), de programas, de sucesos naturales. Equivalen a los factores que se aprovechan de las debilidades del sistema. ♦ Contramedidas: técnicas de protección del sistema contra las amenazas. – La seguridad informática se encarga de identificar las vulnerabilidades del sistema y establecer las contramedidas necesarias para intentar evitarlas. – Axioma de seguridad: No existe ningún sistema absolutamente seguro.
  • 6. 6 Seguridad Informática. 11 Tipos de vulnerabilidad ♦ Algunos tipos de vulnerabilidad pueden ser: – Natural: desastres naturales o ambientales. – Física: • acceso físico a los equipos informáticos, • a los medios de transmisión (cables, ondas, ...), etc. – Lógica: programas o algoritmos que puedan alterar el almacenamiento, acceso, transmisión, etc. – Humana: Las personas que administran y utilizan el sistema constituyen la mayor vulnerabilidad del sistema. • Toda la seguridad del sistema descansa sobre el administrador, o administradores. • Los usuarios también suponen un gran riesgo. Seguridad Informática. 12 Tipos de ataques ♦ Sistema que proporciona información: flujo de información fuente-destino. Situación normal: fuente destino Flujo normal intruso
  • 7. 7 Seguridad Informática. 13 Tipos de ataques II – 1.- Interrupción: Destruye información o la inutiliza: Ataca la accesibilidad o disponibilidad – 2.- Intercepción: Una parte no autorizada gana el acceso a un bien. Ataca la confidencialidad. Interrupción Intercepción intruso Destruir algún dispositivo. Saturar la capacidad del procesador, Escuchas en línea de datos. Copias no autorizadas, ... Seguridad Informática. 14 Tipos de ataques III – 3.- Modificación: Una parte no autorizada modifica el bien. Ataque a la integridad. – 4.- Fabricación: Falsificar la información: Ataca la autenticidad. Modificación intruso Fabricación Cambiar contenidos de bases de datos, cambiar líneas de un programa, datos de una transferencia, etc.., ... Añadir campos y registros en una base de datos, añadir líneas de un programa (virus), etc.., ...
  • 8. 8 Seguridad Informática. 15 Tipos de ataques III Ataques pasivos Intercepción (Confidencialidad) Publicación Análisis de Tráfico Ataques activos Interrupción (disponibilidad) Modificación (Integridad) Fabricación (Integridad) Seguridad Informática. 16 Medidas de seguridad ♦ Las medidas de seguridad se suelen clasificar en cuatro niveles: – Físico: impedir el acceso físico a los equipos informáticos, a los medios de transmisión (cables de argón, por ejemplo), etc. • Vigilancia, sistemas de contingencia, recuperación, ... – Lógico: establecer programas o algoritmos que protejan el almacenamiento, acceso, transmisión, etc. • Contraseñas, Criptografía, cortafuegos, ... – Administrativo: en caso de que se haya producido una violación de seguridad, ¿cómo se delimitan las responsabilidades? • Publicación de la política de seguridad. – Legal: ¿qué se hace en caso de ataques, violaciones, que hayan sido comprobadas? • Normalmente, transcienden el ámbito empresarial y son fijadas por los gobiernos o instituciones internacionales.
  • 9. 9 Seguridad Informática. 17 Política de seguridad ♦ La política de seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas de información y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. – Se plasma en una serie de normas, reglamentos y protocolos a seguir donde se definen las distintas medidas a tomar para proteger la seguridad del sistemas, las funciones y responsabilidades de los distintos componentes de la organización y los mecanismos para controlar el funcionamiento correcto. • ¿Qué necesitamos proteger? • ¿De qué necesitamos protegerlo? • ¿Cómo lo vamos a proteger? • ......... Seguridad Informática. 18 Análisis y gestión de riesgos ♦ Los objetivos de la seguridad de un sistema de información son mantener la información: – Confidencial – Integra – Disponible ♦ Una violación de la seguridad es cualquier suceso que comprometa estos objetivos. ♦ El Análisis y la Gestión de riesgos es un método formal para investigar los riesgos de un sistema de información y recomendar las medidas apropiadas para controlarlos.
  • 10. 10 Seguridad Informática. 19 Análisis y gestión de riesgos II ♦ En el análisis de riesgos hay tres costes fundamentales: – Cr : Valor de los recursos y la información a proteger. – Ca : Coste de los medios necesarios para romper las medidas de seguridad implantadas en el sistema. – Cs : Coste de las medidas de seguridad. ♦ Es evidente que se debería cumplir que: – Ca > Cr > Cs – Es decir, el coste de romper las medidas de seguridad es mayor que el de los posibles beneficios obtenidos. – El coste de las medidas de seguridad es menor que el de los recursos protegidos. – De los tres sumandos es Cr el más difícil de evaluar. – Cr = Valor intrínseco (hardware, software, datos, patentes, ...) + Costes derivados de su pérdida, intercepción o modificación (reposición, repetición de experimentos, recuperación, ...) Seguridad Informática. 20 Principios fundamentales de la seguridad informática ♦ 1.- Principio de menor privilegio: – Este es quizás el principio más fundamental de la seguridad, y no solamente de la informática. Básicamente, el principio de menor privilegio afirma que cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más. ♦ 2.- Seguridad no equivale a oscuridad. – Un sistema no es más seguro porque escondamos sus posibles defectos o vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las medidas de seguridad adecuadas. El hecho de mantener posibles errores o vulnerabilidades en secreto no evita que existan, y de hecho evita que se corrijan. – No es una buena medida basar la seguridad en el hecho de que un posible atacante no conozca las vulnerabilidades de nuestro sistema. Los atacantes siempre disponen de los medios necesarios para descubrir las debilidades más insospechadas de nuestro sistema.
  • 11. 11 Seguridad Informática. 21 Principios fundamentales de la seguridad informática (II) ♦ 3.- Principio del eslabón más débil. – En un sistema de seguridad el atacante siempre acaba encontrando y aprovechando los puntos débiles o vulnerabilidades. Cuando diseñemos una política de seguridad o establezcamos los mecanismos necesarios para ponerla en práctica, debemos contemplar todas las vulnerabilidades y amenazas. No basta con establecer unos mecanismos muy fuertes y complejos en algún punto en concreto, sino que hay que proteger todos los posibles puntos de ataque. ♦ 4.- Defensa en profundidad. – La seguridad de nuestro sistema no debe depender de un solo mecanismo por muy fuerte que éste sea, sino que es necesario establecer varias mecanismos sucesivos. De este modo cualquier atacante tendrá que superar varias barreras para acceder a nuestro sistema. Seguridad Informática. 22 Principios fundamentales de la seguridad informática (III) ♦ 5.- Punto de control centralizado. – Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema. ♦ 6.- Seguridad en caso de fallo. – Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. Por ejemplo, si nuestros mecanismos de control de acceso al sistema fallan, es preferible que como resultado no dejen pasar a ningún usuario a que dejen pasar a cualquiera aunque no esté autorizado.
  • 12. 12 Seguridad Informática. 23 Principios fundamentales de la seguridad informática (IV) ♦ 7.- Participación universal. – La participación voluntaria de todos los usuarios en la seguridad de un sistema es el mecanismo más fuerte conocido para hacerlo seguro. Si todos los usuarios prestan su apoyo y colaboran en establecer las medidas de seguridad y en ponerlas en práctica el sistema siempre tenderá a mejorar. ♦ 8.- Principio de simplicidad. – La simplicidad es un principio de seguridad por dos razones: • En primer lugar, mantener las cosas simples, las hace más fáciles de comprender. Si no se entiende algo, difícilmente puede saberse si es seguro. • En segundo lugar, la complejidad permite esconder múltiples fallos. Los programas más largos y complejos son propensos a contener múltiples fallos y puntos débiles. Seguridad Informática. 24 Seguridad en Sistemas Operativos. ♦ Los sistemas Operativos (Windows, Unix, MacOs,...)son los encargados de la interacción entre los usuarios de las máquinas y los recursos informáticos. – Por tanto, forman la primera línea de seguridad lógica. ♦ Un sistema operativo “seguro” debería contemplar: – Identificación y autentificación de los usuarios. – Control de acceso a los recursos del sistema. – Monitorizar las acciones realizadas por los usuarios, sobre todo las que sean sensibles desde el punto de vista de seguridad. – Auditoría de los eventos de posible riesgo. – Garantía de integridad de los datos almacenados. – Garantía de la disponibilidad de los recursos, – .......
  • 13. 13 Seguridad Informática. 25 Evaluación de seguridad en Sistemas Operativos. ♦ Uno de los criterios de seguridad más extendido lo establece el National Computer Security Center (NCSC), publicado en 1985 como Trusted Computer Systems Evaluation Criteria (TSEC) también llamado el “libro naranja”. – Define 4 niveles de seguridad (D,C,B,A) con algunos subniveles: • D : sistema con protección mínima. • C1 : sistema con seguridad discrecional, • C2: sistema con control de accesos, • ....... ♦ En la Unión Europea se publicó en 1990 el Information Technology Security Evaluation Criteria (ITSEC). – Define 7 niveles de seguridad algo más elaborados que los TSEC. – E0 : sistema con nivel de confianza nulo. – ....E6: Sistema con protección y diseño de máxima confianza. ♦ La metodologia de evaluación está definida en el ITSEM, cuya primera versión es de 1992. Seguridad Informática. 26 Seguridad en Bases de Datos. ♦ La información en un sistema informático reside, fundamentalmente, en Bases de Datos cuya seguridad es, por consiguiente, de vital importancia. ♦ El primer filtro de seguridad de la Base de Datos lo constituye, evidentemente, el Sistema Operativo. ♦ No obstante, la seguridad que debe proporcionar la Base de Datos tiene algunas características diferenciadas: – Hay muchos más objetos a proteger. – El promedio de tiempo de vida de los objetos es mayor. – La granularidad del control es mayor. – Los objetos son estructuras lógicas complejas. – La seguridad está relacionada con la semántica de los datos, no con sus características físicas, – ....
  • 14. 14 Seguridad Informática. 27 Seguridad en Bases de Datos II. ♦ Dada la complejidad de los problemas anteriores, es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona la seguridad de éstas. ♦ Un SGBD debe mantener los tres criterios básicos: – Confidencialidad. – Integridad. – Disponibilidad. ♦ La seguridad en Bases de Datos se implementa mediante mecanismos de: – Identificación y autentificación. – Control de acceso a los objetos (datos y recursos). – Registro de auditoría. – Protección criptográfica de alguno de los datos. – .... Seguridad Informática. 28 Seguridad en Bases de Datos III. ♦ Las posibles vulnerabilidades en la Bases de Datos son: – Ataques Directos: revelación, alteración y destrucción de datos. • La prevención frente a este tipo de ataques pasa por mecanismos de identificación, autentificación y control de acceso. – Ataques Directos: Inferencias estadísticas. • Tratan de descubrir datos sensibles, y privados, en base a parámetros estadísticos que son de acceso más libre (valores medios, desviaciones, máximos, ...) – Ataques indirectos: Caballo de Troya. • Son programas hostiles que actúan solapándose bajo un programa normal. Cuando éste se procesa, el caballo de Troya ataca a la Base de Datos soslayando los mecanismos de protección.
  • 15. 15 Seguridad Informática. 29 Seguridad en Redes. ♦ Desde el punto de vista de seguridad una Red es “un entorno de computación con varios ordenadores independientes comunicados entre sí”. ♦ Las redes suponen un incremento: – Cuantitativo: el número de ordenadores a proteger se dispara. – Cualitativo: aparecen un conjunto de nuevas vulnerabilidades y amenazas. ♦ La “explosión” de Internet es el cambio más significativo en el mundo informático en los últimos años. ♦ Internet también puede considerarse como la revolución más importante en el mundo de la información desde la aparición de la imprenta. Seguridad Informática. 30
  • 16. 16 Seguridad Informática. 31 Seguridad Informática. 32 Usuarios en Internet (predicciones) - 50,0 100,0 150,0 200,0 250,0 300,0 350,0 1995 1996 1997 1998 1999 2000 2005 Áreas 3D 1
  • 17. 17 Seguridad Informática. 33 Ventajas de las redes informáticas ♦ Posibilidad de compartir una enorme cantidad de recursos y de información. ♦ Aumento de la fiabilidad y disponibilidad, debido a la redundancia. ♦ Posibilidad de computación distribuida. – El programa SETI es un ejemplo. ♦ Posibilidad de expansión continua de forma “transparente” (invisible) al usuario. Seguridad Informática. 34 Desventajas de las redes informáticas ♦ Aumento espectacular en el número de usuarios involucrados, es decir, el número de potenciales atacantes. ♦ Aumento de la complejidad del sistema: – Distintos tipos de nodos, distintos sistemas operativos, distintas políticas de seguridad, .... ♦ Límites desconocidos: – La expansión continua de la red hace incierta la identidad de los integrantes, su situación física, los nuevos problemas que pueden surgir, etc. ♦ Múltiples puntos de ataque: – Los ataques pueden producirse tanto en los nodos origen y destino como en los dispositivos de encaminamiento, de transmisión, en los nodos intermedios, ...
  • 18. 18 Seguridad Informática. 35 Nuevas vulnerabilidades ♦ Privacidad: – Es más difícil de mantener debido a: • Aumento de posibles usuarios que pueden penetrar en cada nodo. • Aumento de los puntos en que la información puede ser interceptada. ♦ Integridad: – La transmisión de la información supone un riesgo claro. ♦ Autenticidad: – No sólo hay que identificar a los usuarios sino también a los nodos. ♦ Disponibilidad: – Es muy fácil saturar una máquina lanzando ataques desde diversos puntos de la Red. ♦ El mecanismo más utilizado para proporcionar seguridad en redes es la criptografía: – Permite establecer conexiones seguras sobre canales inseguros. Seguridad Informática. 36 Seguridad Informática Técnicas de Cifrado Dr. Angel Luis Sánchez Lázaro Profesor Titular de Universidad Dpto. Informática y Automática Universidad de Salamanca <angeluis@tejo.usal.es>
  • 19. 19 Seguridad Informática. 37 CRIPTOLOGIA ♦ Criptografía: (Kryptos: secreto, Graphos: escrito) ciencia que estudia la escritura secreta, escribir ocultando el significado. ♦ Criptoanálisis: Ciencia que estudia como hacer inteligible la escritura secreta. ♦ Criptología: Ciencia que engloba a las anteriores, criptografía y criptoanálisis. Seguridad Informática. 38 CRIPTOANALISIS ♦ A partir de sólo texto cifrado. ♦ A partir de texto plano conocido ♦ Elección del mensaje – Texto plano elegido – Texto cifrado elegido – Texto elegido
  • 20. 20 Seguridad Informática. 39 MODELO DE SEGURIDAD mensaje clave CANAL mensaje clave Transformación TransformaciónOponente Tercera parte confiable Parte Parte 1: Algoritmo de transformación 2: Generación de información secreta 3: Distribucón y compartición de claves 4: Protocolo de intercambio para un servicio Seguridad Informática. 40 CIFRADO ♦ Se asigna a cada símbolo del mensaje (letra) un código numérico ♦ Por una transformación se cambia el mensaje – Teorías de números, de información y de complejidad de algoritmos ♦ Tipos de transformaciones – Transformaciones (familias de funciones) reversibles • Cifrado simétrico – Transformaciones de una vía • Compendio de mensajes – Funciones relacionadas • Cifrado asimétrico
  • 21. 21 Seguridad Informática. 41 OTRAS TÉCNICAS ♦ Esteganografía (Stegos: cubierto) – No se trata tanto de ocultar el contenido del mensaje sino la existencia misma del mensaje. – Clásicamente con tinta invisible, marcado de caracteres con lapicero o agujeros con alfileres, cinta correctora de máquina – Equivalencia moderna scribiendo mensajes en el mismo color que el fondo, secuencias con caracteres de control que no aparezcan en pantalla (‘a’ ‘bs’ ‘b’) o fuentes distintas aunque muy parecidas. – Ocultar información en ficheros de imágenes o sonido. Seguridad Informática. 42 CIFRADO SIMÉTRICO I ♦ Cifrado convencional, simétrico o de clave secreta ♦ Elementos del cifrado convencional – X={X1, X2, X3,..., XM} Texto claro – K={K1, K2, K3,..., KJ} Clave – Y={Y1, Y2, Y3,..., YN} Texto cifrado – Li: letras de un alfabeto – Y= Ek(X) X=Dk(Y) Cifrado Clave compartida Descifrado Texto claro Texto claro Texto cifrado
  • 22. 22 Seguridad Informática. 43 CIFRADO SIMÉTRICO II ♦ Cifrado por sustitución monoalfabética: cada uno de los símbolos del texto claro se sustituye por otro – Cifrado del César: utilizado por el emperador romano texto claro: nos encontramos en la plaza texto cifrado:QRV HQFRQXUDPRV HQ OD SODCD • c = E(p) = (p+3) mod 26 p = D(c) = (c -3) mod 26 – Generalización: desplazamientos dependiente de clave • c = Ek(p) = (p+k) mod 26 p = Dk(c) = (c-k) mod 26 • Un total de 26 funciones de cifrado distintas – El mensaje cifrado sigue manteniendo una estructura interna • Ataque por métodos estadísticos 0 1 2 01234567890123456789012345 A. claro: abcdefghijklmnopqrstuvwxyz A. cifrado: DEFGHIJKLMNOPQRSTUVWXYZABC Seguridad Informática. 44 CIFRADO SIMÉTRICO III ♦ Sustitución polialfabética – El mismo símbolo se sustituye por varios ♦ Ejemplo: cifrado vigenère letra clave t. Claro a b c d e f g h i j k l m n o p q r s t u v x y z a a b c d e f g h i j k l m n o p q r s t u v x y z b b c d e f g h i j k l m n o p q r s t u v x y z a c c d e f g h i j k l m n o p q r s t u v x y z a b d d e f g h i j k l m n o p q r s t u v x y z a b c e e f g h i j k l m n o p q r s t u v x y z a b c d ................................. x x y z a b c d e f g h i j k l m n o p q r s t u v y y z a b c d e f g h i j k l m n o p q r s t u v x z z a b c d e f g h i j k l m n o p q r s t u v x y palabra clave:decepciondecepciondecepci texto claro: estetextoesparaserescrito texto cifrado:HWVIIGFHBHWREGCASEHWEVXVW
  • 23. 23 Seguridad Informática. 45 CIFRADO SIMÉTRICO IV ♦ Cifrado por trasposición o permutación – T. claro: este texto se cifrara por trasposicion – clave: atencion – T. Cifrado: etrti tcppn tsrai eiooo eeaso xfrsp soarc ♦ Algoritmos – DES: Data EncriptionStandart (clave 64 bits) – IDEA: International Data Encription Algorithm (128 bits) ♦ Problemas con las claves (una clave secreta por pareja) – Generación de claves – Administración de claves – Distribución de claves atencio 1735246 estetex tosecif rarapor traspos icionop Seguridad Informática. 46 DES: CIFRADO Cifra bloques de 64 bits con una clave de 56 bits
  • 24. 24 Seguridad Informática. 47 DES: DESCIFRADO ♦ Mismo esquema que cifrado cambiando el orden de las subclaves Seguridad Informática. 48 DES: MODOS DE OPERACION ♦ Modo ECB: Libro de códigos. Cifrador de bloques Ci= Ek(Pi) Pi= Dk(Ci) ♦ Modo CBC: Bloque cifrado encadenado. Cifrador de bloques Ci= Ek(Ci-1 + Pi) Pi= Ci-1 + Dk(Ci) ♦ Modo CFB: Realimentación de cifrado. Cifrador de corriente ♦ Modo OFB: Realimentación de salida. Cifrador de corriente ♦ Otros modos – doble DES – triple DES – ampliar la longitud de la clave
  • 25. 25 Seguridad Informática. 49 OTROS ALGORITMOS DE CIFRADO SIMÉTRICO ♦ IDEA – International Data Encryption Algorithm – Procesa la entrada en bloques de 64 bits – Usa una clave de 128 bits – Incorpora nuevas transformaciones • operaciones lógicas (XOR) • operaciones aritméticas – suma y multiplicación modular – 9 etapas – 52 subclaves – Para descifrar se usa el mismo esquema con distintas sublaves • las subclaves se obtienen de las de cifrado Seguridad Informática. 50 CIFRADO ASIMÉTRICO I ♦ Cifrado asimétrico o de clave pública – Un par de claves por cada entidad – Una para el emisor y la otra para el receptor ♦ Elementos del cifrado asimétrico – X: Texto claro – KU: Clave pública – KR: Clave privada – Y: Texto cifrado – Y= EKUb(X) X=DKRb(Y) Cifrado Par de claves KUb, KRb Descifrado Texto claro Texto claro Texto cifrado
  • 26. 26 Seguridad Informática. 51 CIFRADO ASIMÉTRICO II ♦ Confidencialidad con cifrado asimétrico – Emisor: Y= EKUb(X) Receptor: X=DKRb(Y) ♦ Autenticación por firma con cifrado asimétrico – Emisor: Y= EKRa(X) Receptor: X=DKUa(Y) – Necesidad de estructura interna del mensaje ♦ Confidencialidad y autenticación con cifrado asimétrico – Emisor: Y= EKRa (EKUb(X)) Receptor: X= DKRb (DKUa(Y)) – Emisor: Y= EKUb (EKRa(X)) Receptor: X= DKUa (DKRb(Y)) YE D KRa KUa X X Seguridad Informática. 52 POSTULADOS DIFFIE-HELLMAN ♦ Es computacionalmente fácil generar un par de claves pública y privada ♦ El cifrado es computacionalmente sencillo ♦ El descifrado, conocida la clave privada debe ser sencillo ♦ La obtención de la clave privada conocida la pública, es computacionalmente imposible ♦ Es computacionalmente imposible conocer el mensaje claro conocido el mensaje cifrado y la clave pública ♦ Las funciones de cifrado y descifrado pueden aplicarse en cualquier orden
  • 27. 27 Seguridad Informática. 53 ALGORITMO RSA (Rivest Shamir Adleman) ♦ Cifrado de bloques ♦ KU={e,n} KR={d,n} ♦ C = EKU(M) = Me mod n ♦ M = DKR(C) = Cd mod n = Med mod n ♦ Generación de claves – Seleccionar p, q primos grandes (>150 dígitos) – Calcular n = pxq – Calcular φ(n) = (p-1)x(q-1) – Seleccionar e mcd(φ(n),e) = 1 – Calcular d = e-1 mod φ(n) Seguridad Informática. 54 EJEMPLO DIDÁCTICO RSA 1 p = 7 q=17 2 n = pxq =7x17 = 119 3 φ(n) = (p-1) x (q-1) = 96 4 Seleccionar e primo respecto a 96 e=5 5 Calcular d = e-1 (mod 96) = 77 KU={5,119} KR={77,119} Cifrado M=19 M5=2476099 C= M5 mod 119 = 66 Descifrado C=66 C77=1,27 1040 M= C77 mod 119 = 19
  • 28. 28 Seguridad Informática. 55 INTERCAMBIO DE CLAVES PÚBLICAS I ♦ Anuncio público ♦ Directorio disponible públicamente ♦ Autoridad de claves públicas ♦ Certificado de claves públicas Seguridad Informática. 56 INTERCAMBIO DE CLAVES PÚBLICAS II Autoridad de claves A B (1) P||T1 (2) EKRc(KUb||P||T1) (3) EKUb(IDA||N1) (4) P||T2 (5) EKRc(KUa||P||T2) (6) EKUa(N1||N2) (7) EKUb(N2) ♦ Protocolo de intercambio con una autoridad de claves – Petición de clave de destinatario a la autoridad cada vez – Aumento de tráfico con la autoridad de claves
  • 29. 29 Seguridad Informática. 57 INTERCAMBIO DE CLAVES PÚBLICAS III Autoridad de certificación A B KUa Ca=EKRc(KUa||A||T1) (1) Ca KUb Cb= EKRc(KUb||B||T2) (2) Cb ♦ Protocolo de intercambio con una autoridad de certificación (emisión de certificados) – Una única emisión de certificado de clave pública – Certifica la identidad y clave pública de una entidad – Se envía junto al mensaje Seguridad Informática. 58 Servicio de autenticación ♦ Compendios (Funciones hash o de dispersión) ♦ Funciones de un sólo sentido ♦ Requisitos de la función H(M) – H puede aplicarse a mensajes de cualquier longitud – H produce salida de longitud fija – H(x) es fácil de calcular – Para un código dado h es infactible encontrar m, H(m)=h – Para un bloque dado x es infactible encontrar y, H(x)=H(y) – Es computacionalmente infactible encontrar x e y, H(x)=H(y)
  • 30. 30 Seguridad Informática. 59 ALGORITMO DIDACTICO Sea un texto cualquiera del que se quiere obtener su función de dispersion o funcion hash Colocar el texto con un número de columnas fijo. 01234567 seauntex tocualqu ieradelq uesequie reobtene rsufunci ondedisp ersionof uncionha shijklmn zuybimbe Sumar en aritmética modular por columnas el número de orden y reconvertir a símbolo Seguridad Informática. 60 FUNCIONES HASH ESTÁNDAR ♦ MD5 – Message Digest versión 5 (RFC1321) – Genera un código de 128 bits – Procesa la entrada en bloques de 512 bits ♦ SHA – Secure Hash Algorithm (FIPS PUB 180) – Genera un código de 160 bits – Procesa la entrada en bloques de 512 bits
  • 31. 31 Seguridad Informática. 61 FORMAS DE USO ♦ (a) A--> B EK(M || H(M)) – Confidencialidad y Autentificación ♦ (b) A--> B M || EK(H(M)) – Autentificación ♦ (c) A--> B M || EKRa(H(M)) – Autentificación y Firma digital ♦ (d) A--> B EK(M || EKRa(H(M))) – Autentificación y Firma digital. Confidencialidad ♦ (e) A--> B M || H(M || S) S: valor compartido por A,B – Autentificación Seguridad Informática. 62 FIRMAS DIGITALES ♦ Propiedades: • Capaz de verificar autor, fecha y hora • Autentificar contenido a la hora de la firma • Verificable por terceras partes ♦ Requisitos: • Patrón de bits dependiente del mensaje que se firma • Información del emisor para prevenir falsificación y negación • Sencilla de generar • Sencilla de reconocer y verificar • Imposible de falsificar (ni firma, ni mensaje) • Debe ser práctico guardar una copia ♦ Tipos • Directa • Arbitrada
  • 32. 32 Seguridad Informática. 63 VARIAS FIRMAS ♦ Esquema de un mensaje con varias firmas directas y una firma arbitrada – Mensaje M – Firma 1 F1: EKRx(H(M) || T)) – Firma 2 F2: EKRy(H(M) || T)) – Firma 3 F3: EKRz(H(M) || T)) – Arbitro EKRa(F1 || F2 || F3 || T) ♦ La firma(s) puede guardarse independientemente del mensaje Seguridad Informática. 64 ALGORITMOS Y APLICACIONES IDEA RSA DES MD5 SHA PGP PEM SNMPv2 Kerberos DSS E-mail G. red Autentificación Cifrado Hash IDEA: International Data Encryption Algorithm RSA: Rivest-Shamir-Adleman DES: Data Encryption Standard MD5: Message Digest v5 SHA: Secure Hash Algorithm PGP: Peretty Good Privacy PEM: Privacy Enhanced Mail DSS: Digital Signature Standard SNMP: Simple Network Management P.
  • 33. 33 Seguridad Informática. 65 VISORES Seguridad Informática. 66 CLASIFICACIÓN DE CERTIFICADOS ♦ Certificados son emitidos por Entidades Certificadoras ♦ Clasifican atendiendo a diferentes criterios: – Objeto de la certificación • Firma digital, intercambio de claves para confidencialidad, identidad del usuario, atributos de usuario, credenciales de pago electrónico, etc. – Tipo de entidad identificada (certificados de identidad) • un ciudadano, una organización, un equipo informático, una aplicación (applet), etc. – Aplicación para la que puede utilizarse el certificado. Incluye mensajería segura, servicios web, acceso remoto, etc. – Nivel de garantía del certificado.
  • 34. 34 Seguridad Informática. 67 ENTIDADES Y CLASES ♦ Entidades certificadoras – FNMT (Fabrica nacional de Moneda y Timbre) – Verisign – ..... ♦ Clases de certificados por nivel de seguridad – FNMT Clase 1 CA – FNMT Clase 1S CA – FNMT Clase 2 CA Seguridad Informática. 68 PÁGINA DEL FNMT Clase 2 CA http://www.cert.fnmt.es/clase2/caracter.htm