El documento presenta una charla sobre seguridad informática y criptografía. Se discuten los problemas de seguridad de la información, los servicios y mecanismos de seguridad, incluyendo la criptografía y sus aplicaciones. También se presentan ejemplos del uso de la criptografía en protocolos y redes, así como herramientas de seguridad.
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
Seguridad Informática y Criptografía en Simposium UAEM 2010
1. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
1
Seguridad Informática y
Criptografía
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico, FES Aragón, UNAM
2. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
2
Agenda
Información y sus estados
Problemas de Seguridad de la Información
Servicios y Mecanismos de Seguridad
Seguridad Informática y Criptografía
Criptografía
Aplicaciones de la Criptografía a la Seguridad
Protocolos Criptográficos
Ejemplo: Seguridad en Redes
Herramientas de Seguridad
Comentarios y Conclusiones
3. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
3
Información y sus estados
La información actual es digital
Su manejo implica considerar estados:
Adquisición
Creación
Almacenamiento
Proceso (transformación, análisis, etc.)
Transmisión
4. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
4
Problemas en manejo de
Información digital
Confiabilidad de las fuentes y de la
información misma
Integridad (verificación)
Confidencialidad
Disponibilidad
Control de Acceso
Autenticación de las partes
No repudio
5. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
5
Más Problemas
El canal es público
Uso canales seguros nada fácil, práctico, ni barato
Las fuentes pueden no ser compatibles ni
confiables
Los sistemas de análisis y toma de decisiones
asumen lo contrario
Los resultados y reportes pueden ser equivocados
Las decisiones se toman a partir de esos
resultados
6. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
6
Más Problemas
Información más valiosa que el dinero
Hay que protegerla
No solo en almacenamiento y proceso
También durante la transmisión
Formas almacenamiento y proceso:
dispositivos digitales
Formas de transmisión: redes y sistemas
distribuidos
7. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
7
Más Problemas
Expuesta a ataques de todo tipo
Nada fácil crear un modelo para estudiar la
seguridad
Redes heterogéneas de todos los tipos
Plataformas, medios, SO’s, arquitecturas
distintas
La pesadilla: Internet
Que hacer??
8. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
8
Seguridad de la Informacion
Técnicas, procedimientos, políticas y
herramientas para proteger y resguardar
información en medios y dispositivos
electrónicos
Proteger la información almacenada en los
equipos y la que se transfiere e intercambia
por canales públicos
9. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
9
Seguridad de la Informacion
Proteger informacion de amenazas, ataques y
vulnerabilidades reales y potenciales
Garantizar propiedades de información en todos
sus estados: creación, modificación, transmisión y
almacenamiento
Implementar servicios de seguridad usando
mecanismos útiles y eficientes
10. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
10
Servicios y Mecanismos de
Seguridad
Naturaleza pública del canal no se puede
cambiar
Sobre ese canal hay que saber qué se
quiere:
Servicios de Seguridad
Sobre ese canal hay que saber cómo se
implementa (si se puede):
Mecanismos de seguridad
11. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
11
Servicios y Mecanismos de
Seguridad (ISO 7498 – 2)
Servicios Mecanismos
Confidencialidad Cifrado
Integridad Funciones Hash
Autenticación Protocolos Criptográfico
Control de Acceso Esquemas de CA
No Repudio Firma Digital
Disponibilidad No se puede !!
12. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
12
Seguridad Informática
Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir
indisponibilidad
El Triángulo de Oro de la Seguridad incluye:
Confidencialidad
Integridad
Disponibilidad
13. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
13
Seguridad Informática y
Criptografía
4 de los 5 servicios estandarizados
se implementan usando Criptografía:
Confidencialidad
Integridad (Verificación)
Autenticación
No Repudio
No se puede hablar de Seguridad sin
hablar de Criptografía
14. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
14
Criptología
Criptología se divide en:
Criptografía
Criptoanálisis
Esteganografía
Criptografía: oculta información aplicando al
mensaje M, una transformación (algoritmo) F,
usando una llave K y produce el texto cifrado C
Fk(M) = C
15. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
15
Criptografía
Algoritmo F debe ser público
Seguridad debe basarse en:
Diseño y fortaleza de F
Mantener K en secreto
Algoritmo F integra 2 procesos:
Cifrado: Fk(M) = C
Descifrado: F’k(C) = M
16. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
16
Criptografía
Algoritmos usan diferentes bases de diseño:
Operaciones elementales
Sustituciones (César, Vigenere, Vernam, etc.)
Permutaciones
Combinación de ambas (DES, AES, etc.)
Matemáticas
Teoría de Números (RSA, ElGamal, DSS, etc.)
Problemas NP y NP Completos
Curvas Elípticas (ECC)
Fisica Cuántica
Mecanica Cuántica
Principio de Incertidumbre de Heinsenberg
Otras
17. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
17
Criptografía
Algoritmos pueden ser:
Simétricos o de Llave Secreta
Usan misma llave para cifrar y descifrar
Asimétricos o de Llave Pública
La llave que cifra es diferente a la que descifra
Funciones Hash, Resumen o Compendio
No usan llave
18. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
18
Criptografía
También pueden ser por:
Bloque
El mensaje se procesa en bloques del
mismo tamaño
Flujo
El mensaje se procesa como un todo por
unidad básica
19. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
19
Criptografía
Algoritmos Simétricos o de Llave Secreta
DES (anterior estándar mundial)
3DES
AES (Nuevo estándar mundial)
Algoritmos Asimétricos o de Llave Pública
RSA (Estándar de facto)
ElGamal
DSS (Digital Signature Standard)
Algoritmos Hash
MD5
SHA-1
20. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
20
Criptografía
Algoritmos Simétricos
Basan su diseño en operaciones elementales
Buscan eficiencia
Seguridad depende del tiempo y los recursos de
cómputo
Aplicaciones de Criptografia Simétrica
Cifrado de información no clasificada (Confidencialidad)
Verificación de Integridad
Autenticación
21. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
21
Criptografía
Algoritmos Asimétricos
Diseño basado en problemas matemáticos
Seguros computacionalmente
Seguridad no depende de tiempo ni de recursos de
cómputo
Pero...son ineficientes
Aplicaciones de Criptografia Asimétrica
Cifrado de informacion clasificada (Confidencialidad)
Acuerdo de llave simétrica
Firma Digital (Autenticación y No Repudio)
22. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
22
Criptografía
Algoritmos Hash
Diseño basado en operaciones elementales
Son eficientes
Seguridad depende del tiempo y recursos de cómputo
Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash
Verificación de Integridad
Autenticación
Demostrar posesión de secretos sin revelar el secreto
Virología
23. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
23
Aplicaciones de Criptografía
Usar algoritmos criptográficos para diseñar
protocolos de seguridad
Actualmente se usan de forma híbrida
Simétricos: eficientes
Asimétricos: seguros computacionalmente
Hash: eficientes y proporcionan huella digital
Se usan asimétricos para acordar llave simétrica
Acordada la llave simétrica, se usa un algoritmo simétrico
para cifrar la información
Ejemplo: PGP, SSH, etc.
24. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
24
Protocolos Criptográficos
Criptografía por sí sola no sirve para
nada
Protocolos: hilos mágicos que conectan
Seguridad con Criptografía
Toda herramienta que proporciona
servicios de seguridad implementa
protocolos
Ejemplo: PGP, SSH, SET, SSL, etc.
25. Ejemplo de Protocolo Criptográfico:
Autenticación con Criptografía Simétrica
XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
25
A Na B
Ekab (Na), Nb
Ekab (Nb)
26. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
26
Ejemplo: Seguridad en Redes
El canal es público
Usar canales cifrados. Ejemplo: SecureSHell
Cifrar toda información que se intercambia. Ejemplo: Pretty
Good Privacy (PGP)
Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME
Monitorear la red. Ejemplo: ntop y EtheReal
Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS
Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper
27. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
27
Ejemplo: Seguridad en Redes
No se sabe la identidad del que envía o recibe
Usar esquemas de firma y certificados digitales
Ejemplo: PGP
Usar protocolos fuertes de autenticación como IKE
No se sabe qué información entra y sale
Usar filtros de contenido
No se sabe de donde viene y a donde van los
accesos
Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
28. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
28
Ejemplo: Seguridad en Redes
No se sabe si lo que se recibe es lo que se envió
Usar esquemas para verificar integridad. Ejemplo: PGP
Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico
No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe
Implantar politicas de uso (ISO 17799 y 27001)
Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
No se sabe por donde me están atacando y que
debilidades tiene mi red
Usar analizadores de vulnerabilidades. Ejemplo: Nessus
31. IDS (Intrusion Detection System)
Snort: http://www.snort.org
Real Secure (ISS):
http://www.iss.net/latam/spanish/products_service/enterprise_prot
ection/index.php
Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.ht
ml
Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html 31XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
32. Monitores de Red
Ntop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/ 32XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
33. Analizadores de Vulnerabilidades
Nessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS)
htttp://www.iss.net/products_services/enterprise_prote
ction/vulnerability_assessment/scanner_internet.php
Passwords Crackers
John de Ripper http://www.openwall.com/john/
33XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
35. ANTIVIRUS
AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html
CLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
35XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
36. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
36
Recursos de Seguridad
www.nsa.gov
www.nist.gov
www.cert.org
www.securityfocus.org
www.packetstorm.org
www.sans.org
37. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
37
Comentarios y Conclusiones
Hay que empezar a preocuparse y ocuparse del
problema
Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había
desaparecido todo
Biblioteca de Alejandría
11 Sept. 2001
A partir de 2001 el mundo cambió su visión,
concepción y percepción de seguridad y su relación
con las TI
Replanteamiento total: Land Home Security
Seguridad Nacional
Estandarización global
38. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
38
Comentarios y Conclusiones
Estándares Globales
ISO 17799-2005 y 27001
Ley Sarbanes Oxley (SOX)
Ley Federal de Protección de Datos PPP
Para empresas e instituciones, la seguridad ha
dejado de ser un problema tecnológico para
convertirse en ventaja competitiva
Toda empresa o institución que desee competir
a nivel mundial tiene que cumplir esos
estándares
39. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
39
Comentarios y Conclusiones
La seguridad puede verse ahora en 3 niveles de
responsabilidad
Directores y cuadros ejecutivos
Niveles técnicos y operativos
Usuarios
Todos los niveles deben tener conciencia del problema
Todo gobierno actual se siente obligado a seguir las
tendencias globales
Muchos no están preparados (México)
Están empezando a prepararse
40. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
40
Comentarios y Conclusiones
Tampoco las empresas están preparadas
Empiezan a darse cuenta
No es el mejor camino el que se sigue ahora
para resolver el problema:
Consultoría externa (cara y escasa): dependencia
Productos ¨milagro¨ generales (no resuelven nada)
Soluciones sobre la marcha (improvisación y
arribismo)
Hay que trabajar en educación en Seguridad
Universidades
41. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
41
Seguridad y TI en la UNAM
Diplomado en Seguridad Informática
http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información
http://siberiano.aragon.unam.mx/dti/
Laboratorio de Seguridad Informática, CTA
http://leopardo.aragon.unam.mx/labsec/
42. XIV Simposium Internacional de Informática
Administrativa, UAEM, Oct. 2010
42
Gracias ..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
leo@servidor.unam.mx
Tel. (55) 56231070