Ponencia dictada a la Policía Nacional, sobre Seguridad Informática y de la Información Básica.

1. Conferencia:
Seguridad Informática
Ponente: Karina Bajaña
Fecha: 3,4,5 de Abril de 2012

2. Qué son:
Seguridad Informática y
Seguridad de la Información

3. Seguridad Informática
Protección de la
Infraestructura de
tecnologías de la
información y
comunicación (TIC)

4. Seguridad de la Información
Protección de los
activos de la
Información
fundamentales la
Policía Nacional.

5. Archivo

6. Tener un SGSI??
• 1.- Analizar y ordenar la estructura de
los sistemas de los sistemas de
información.
• 2.- Facilitará la definición de
procedimientos de trabajo para
mantener su seguridad.
• 3.- Disponer de controles que permitan
medir la eficacia de las medidas
tomadas.

7. Principios y otros
Conceptos importantes

8. PRINCIPIOS
• Confidencialidad: Se ve protegida por ciertos
programas como firewall, antivirus, antispyware,
que no permiten el acceso de hacker a los
sistemas y alteren u obtengan información
privada.

9. PRINCIPIOS
• Integridad: Los datos y la información en un
sistema deben protegerse por lo menos hasta
que pierdan valor.

10. PRINCIPIOS
• Disponibilidad: Las medidas de control que se
implementen deben ser efectivas, eficientes,
fáciles de usar y apropiadas al medio. Estas
medidas deben funcionar en el momento
oportuno y deben ser actualizados
periódicamente, de lo contrario pasaría a ser un
gasto inútil.

11. PROTOCOLOS DE RED
• Es un conjunto de reglas usadas por
computadoras para comunicarse unas con
otras a través de una red por medio de
intercambio de mensajes.

12. PROTOCOLOS DE RED
• Es un conjunto de reglas usadas por
computadoras para comunicarse unas con
otras a través de una red por medio de
intercambio de mensajes.

13. PROTOCOLOS DE RED
• Es un conjunto de reglas usadas por
computadoras para comunicarse unas con
otras a través de una red por medio de
intercambio de mensajes.

14. PROTOCOLO TCP/IP
Ves hijo,
• El protocolo ahora
presiona
SEND
TCP/IP fue
creado para
las
comunicacio
nes en
Internet. S.O.S

15. MODELO OSI
• Nace de un estudio que
realizó la Organización
Internacional para la
Estandarización (ISO)
para encontrar un
conjunto de reglas
aplicables de forma
general a todas las
redes..

17. AUTENTICACIÓN
• Es el acto de establecimiento o confirmación de
algo o alguien como autentico.

18. LAS 3`s A

19. REDES
• Una red es un conjunto de equipos informáticos
interconectados entre sí para lograr el
intercambio e información.
•TOPOLOGIAS
•TIPOS

21. REDES
• Una red es un conjunto de equipos informáticos
interconectados entre sí para lograr el
intercambio e información.
•TOPOLOGIA
•TIPOS

23. DIRECCIONES IP
• Son una etiqueta numérica que identifica de
forma lógica a cada computador dentro de una
red.

25. DIRECCIÓN MAC
Cuàl es tu
• Es un identificador de nombre
real?
48 bits (6 bloques 00-17-c4-8f-
hexadecimales) que g3-6t
corresponde de forma
única a una tarjeta o
dispositivo de red. Se
conoce también como
dirección física, y es
única para cada
dispositivo

26. DIRECCIÓN IP & DIRECCIÓN MAC

27. PASSWORDS-CLAVES-CONTRASEÑA
?¿?¿?¿

28. Porque construir una buena
Contraseña!!!???
• Algoritmos débiles
• Ataque de diccionario
• Ataque Heurístico
• Ataque Brute Force
(fuerza Bruta)
Hola Galán!...

29. FACTORES DE RIESGO
• Humanos: hurto, adulteración, fraude, hacker,
falsificación, intrusión, robo de contraseña.

30. ESTUDIO DATAPRO RESEARCH CORP
10%
10%
Errores de Empleados
Empleados
Deshonestos
Empleados
50%
Descuidados
15% Intrusos Ajenos a la
empresa
Integridad física en las
instalaciones
15%

31. FACTORES DE RIESGO
• Humanos:
hurto, adulteración, fraude, hacker, falsificación,
intrusión, robo de contraseña.
PROBLEMAS DE IGNORANCIA
PROBLEMAS DE HAGANERIA
PROBLEMAS DE MALICIA

32. Amenazas y Ataques

33. Amenazas
• Internas
• Externas

34. ETAPAS DE UN ATAQUE
DESCUBRIMIENTO
EXPLORACIÓN
INTRUSIÓN

35. Vacunar las PCS?? Y de que???
•Botnets
•Virus
•Sniffers
•Spam
•Spiders
•Gusanos
•Actualizaciones
•Bombas
Forks, etc

36. FUNCIONAMIENTO DE UNA BOMBA FORK

38. ATAQUE DOS/DDOS

39. Cortesía de Anonymous Chile

40. FOOT PRINT
• Es la técnica mediante la cual un atacante
obtiene información sobre su victima.
• Ejemplos:
• Ping
• Nslookup
• Traceroute
• Whois -> Server Whois

41. Enumeración
• Se utiliza para obtener los recursos que poseee
un sistema. Es Conocida la herramienta nmap
para realizar enumeración.
• Host y dominios
• Usuarios
• Recursos compartidos
• Servicios corriendo
• Sistemas operativos

42. Scanning
• Es la técnica mediante el envío de paquetes
TCP/UDP se permiten descubrir puertosa la
escucha (listening) y determinar servicós
ejecutandose en la victima.
• Existen cantidad de scan`s de puertos faciles de
usar.

43. Buffer Overflow
• Es un error de software que se produce cuando
se copia una gran cantidad de datos sobre una
memoria que no es lo suficientemente grande
para contenerlos, sobreescribiendo posiciones
de memoria.

44. BUFFER OVERFLOW EN C

45. SNIFFERS
• Programas de captura de tramas de red.
• Para conseguir esto el sniffer pone la NIC en
modo promiscuo, y como resultado las tramas
de la capa de enlace destinadas a la MAC
ADDRESS no son descartadas.
• Esto se produce gracias a el envio de tramas a la
direccion de broadcasting

46. SQL Injection
• Vulnerabilidad en el nivel de la validación de la
entradas a la BD a causa del filtrado incorrecto
de las variables utilizadas en las partes del
programa con código SLQ.

47. Cortesía de Adolescente desocupado

48. Hacking Wireless
• Utilizar IPSec/OpenVPN
• No usar encriptación WEP (Cifrado WPA)
• Encriptar con WPA2+AES
• Restringir dbi
• DHCP deshabilitado
• Ocultar beatcoms
• Utilizar whilelist para autorizar clientes a
conectarse
• Utilizar filtrado MAC

49. Enemigo

50. Y de qué más deberíamos proteger
nuestro PC??? O de Quienes?
• Hackers sin ética.
• Crackers
• Noobs
• Script Kiddie
• Lammers
• Newbies
• Nirjils
• Wannabes
• Sneakers
• Gurús, etc

51. Y de que más deberíamos proteger
nuestro PC??? O de Quienes?
• Hackers sin ética.
• Crackers
• Noobs
• Script Kiddie
• Lammers
• Newbies
• Nirjils
• Wannabes
• Sneakers
• Gurús,
• Usuarios (ignorantes)
• Y de un millón de
adolescentes

52. DIFERENCIAS ENTRE UN HACKER Y UN
CRACKER
HACKER CRACKER
• Invaden un sistema protegido. • Destruyen parcial o totalmente
un sistema.

53. Ética del Hacker

54. Liga de Justicia de
Internet

57. AVAST PRO
Avast Pro

59. Mecanismos de
Seguridad

60. Casos Cotidianos
• Si podemos compartir
información es porque tenemos
algún tipo de red???
• Oficinas, Negocios, Hogares, Escu
elas, Party Lan.

63. Seguridad en los componentes de
redes e internet
• Zona Militarizada.- LAN que se ubica entre la
red interna de una organización y una red
externa (generalmente Internet)
• Objetivo: Permitir la ubicación de servidores.

64. Seguridad en los componentes de
redes e internet
• Zona Desmilitarizada.- Es la Lan en si misma, la
cual es posible el acceso desde el interior.
• Se utiliza en aquella áreas sensibles donde
transita información importante.
• Objetivo: Restringir el uso compartido de
archivos y equipos.

66. VPN (Virtual Private Network)

67. Herramientas de Protección
• Mecanismos de seguridad informática.
• 1. Preventivos: son los que toman las previsiones
y se adelantan a los hechos antes de que
acurran, previniendo así agentes no deseados.
• 2. Correctivos: corrigen las consecuencias luego
de ocurrido un hecho.

68. • Mantenimiento a PCs
• (limpieza física, limpieza lógica)
• Antivirus a Red
• Comprobación de errores.

70. SEGURIDAD EN???
• FIREWALLS
• WORD
• EXCEL
• POWER POINT
• PDF 24
• FIRMAS DIGITALES

71. POLITICAS DE SEGURIDAD
• Herramienta organizacional para concientizar a
cada uno de los miembros de una organización
sobre la importancia y sensibilidad de la
información y servicios críticos que favorecen el
desarrollo de la organización y el buen
funcionamiento.
• Nos ayuda a implementar con anticipación
medidas para detener ataques, errores y
métodos de acción ante cualquier imprevisto.

72. Principios
• Integridad
• Confidencialidad
• Disponibilidad
• Irrefutabilidad

73. Herramientas de Auditoría

75. PLAN DE CONTINGENCIAS
• Respaldo de información en medios extraíbles.
• Presupuesto para equipos nuevos.
• Capacitación del personal para manejo de
procesos manual.

76. IMPORTANCIA??
Y AHORA QUE HACEMOS???

77. TALLER

78. Agradecimientos a:
Comentarios y sugerencias por:
karinabajana