1. Ayuda: Web & Seguridad
RomeroGT@ExpoNET
Guatemala, 5 de marzo 2008
E. Mauricio Romero Escobar
http://romerogt.delaermita.com/
RomeroGT: Ayuda: Web & Seguridad
3. Dicen de la seguridad
● La seguridad trasciende la tecnología.
●
(ISC2)
● Un viaje (sin fin), no un destino.
● La seguridad es un estado mental
● No hay tal cosa como seguridad al 100%
RomeroGT: Ayuda: Web & Seguridad
4. Psicología de la seguridad
● Seguridad es al mismo tiempo un sentimiento y
una realidad. Y no son lo mismo
● Psicología de la Seguridad, Bruce Schneier en Black Hat
USA 2007
● Puedes estar seguro y sentirte inseguro, o
puedes sentirte seguro y estar inseguro.
● Mientras la realidad puede ser medida y
pronosticada, el sentimiento es la ilógica
percepción natural del ser humano
RomeroGT: Ayuda: Web & Seguridad
5. Seguridad: Una decisión
● La seguridad es un trueque, un intercambio que
considera:
● Severidad del riesgo (vida?)
● Probabilidad del riesgo (pasará?)
● Magnitud del riesgo (grave?)
● Mitigación y contigencia del riesgo (control?)
● Evaluación del costo/beneficio (vale?)
●
● El problema: realidad/objetividad vrs.
sentimiento/percepción.
RomeroGT: Ayuda: Web & Seguridad
6. En la vida real
● Estas en peligro constante
● Ignorando estadísticas,
asignamos probabilidad.
● La gravedad es subjetiva.
● Contratamos seguros,
usamos cinturon, dejamos
con llave todo.
● Juicio personal del costo
($,libertad,eficiencia) y
beneficio (seguridad?)
RomeroGT: Ayuda: Web & Seguridad
7. En la Web de hoy
● ”Bichos informáticos”, ataques, criminales
disfrazados.
● Desconocemos estadísticas, quizás nos
pretendemos inmunes.
● No vemos la gravedad: robo, ineficiencia,
privacidad, daños.
● Antivirus y firewall no son suficientes, confiar
no es una opción.
● Creemos costosa la seguridad, vemos poco
beneficio o lo desestimamos.
RomeroGT: Ayuda: Web & Seguridad
8. Vida web real de hoy
● La web como como
escenario y accesorio
criminal.
● Podemos ser fumadores
pasivos de amenazas.
● No se trata de criminales
tecnológicos.
● Es una vida con tecnología al
alcance de -todos-.
RomeroGT: Ayuda: Web & Seguridad
9. Lo que esta en juego
● Dinero
● Privacidad
● Información
● Secretos industriales
● Recursos del computador
● Prestigio personal o profesional
RomeroGT: Ayuda: Web & Seguridad
10. La decisión de seguridad
● Costos que quizás no esten dispuestos a
correr:
● Desconectarse de Internet, no comprar el nuevo smartphone, no
intercambiar archivos, no hacer transacciones por Internet.
● Costos que quizás debes considerar:
● Actualización de software, programas especializados de
seguridad, evaluar la seguridad de tu información, verificar
seguridad de red.
● Beneficio esperados:
● Información y conexión global, eficiencia en diversos aspectos,
información segura, disfrutar del Web 2.0... y contando.
RomeroGT: Ayuda: Web & Seguridad
12. Encuesta de Opinion II
● Que ha instalado: Sistema Operativo,
Aplicaciones, Plugins – Un tercero.
● Incidentes: Virus, spyware, Ataques, Perd. Inf.,
Falla de PC
● Que es lo último que han escuchado de
Internet.
RomeroGT: Ayuda: Web & Seguridad
13. Amenazas tecnológicas
● Si no aseguramos la tecnología, la seguridad
será un castillo en el aire.
● Por eso debemos entender muy bien los tipos
de amenazas:
● Fallas
● Vulnerabilidades
● ”Bichos informáticos”
● Ataques e intrusos
● Para cada una pueden aplicar diversos tipos de
medidas, veamos en más detalle.
RomeroGT: Ayuda: Web & Seguridad
14. Fallas y vulnerabilidades
● Falla: un disco malo, la caida
de la red, PC muerto.
● Vulnerabilidad: Sistema
operativo, aplicación, página
web.
● No son creación humana,
pueden presentarse en
cualquier momento, hay
mecanismos de prevención y
atención.
RomeroGT: Ayuda: Web & Seguridad
15. Bichos informáticos I
● Virus: programas que usualmente hacen algun
daño en sus equipos.
● Gusanos: añaden capacidad de diseminarse por
si mismos via la red.
● Troyanos: programas que además buscan
algún nivel de acceso a su PC.
● Protejerse de ejecutables es cosa del pasado!
RomeroGT: Ayuda: Web & Seguridad
16. Bichos informáticos II
● Spyware: programas o archivos que llevan
bitácoras de lo que hace y tiene usted en su
PC
● Adware: programas supuestamente gratuitos
pero que afectan rendimiento y privacidad
● Malware: programas maliciosos, ataques
dirigidos.
RomeroGT: Ayuda: Web & Seguridad
18. Ataques e intrusos
● Coordinados y dirigidos por personas.
● Spoofing (identidad falsa): Puede darse a nivel de
correo o equipos de red que falsean información.
● Phishing: Buscan hacerse pasar por
usuarios/empresas confiables. Usualen bancos.
● Denegacion de servicio: Buscan provocar la
paralización de los sistemas.
● Eavesdropping: ”el oreja y fisgón”
● Crackers, script kiddies
RomeroGT: Ayuda: Web & Seguridad
19. Top 20 SANS
● Vulnerabilidades en navegadores, oficina, correo y
reproductores multimedia.
● En los servidores web, servicios de Windows, Unix y
MacOS, herramientas de respaldos, antivirus...
● Políticas de seguridad con accesos al definidos,
phishing.
● Datos sin encriptar en laptops y almacenamiento
● Redes con voz sobre IP y telefonía móvil
● Ataques de Día-Cero
http://www.sans.org/top20/
RomeroGT: Ayuda: Web & Seguridad
20. SANS recomienda ...
● Configure todo sistema lo más seguro que
pueda desde el primer día y controle cambios.
● Automatice el mantenimiento de la configuración
segura (parches, firmas de antivirus, etc.)
● En empresas, emplee proxys que protejan la
navegación hacia Internet.
● Clasifique su información y emplee encripción y
medidas para proteger el robo.
RomeroGT: Ayuda: Web & Seguridad
21. ... SANS recomienda
● Automatice las revisiones y tome medidas para
lo que no cumpla con las políticas de uso.
● Segmente adecuadamente las redes con
firewalls.
● Elimine vulnerabilidades de aplicaciones web
evaluando conocimiento del desarrollador y a
la aplicación misma.
RomeroGT: Ayuda: Web & Seguridad
22. Seguridad elemental
● Inteligencia
● Protección de calidad
● Úselo
● Revise, expiran !!!
RomeroGT: Ayuda: Web & Seguridad
23. Sistema operativo
seguro asegurado
● No existe un sistema operativo seguro. Hay
diferentes niveles amenaza, riesgo, impacto.
● Hasta Linux puede ser inseguro.
● Hasta Windows puede ser seguro.
http://www.microsoft.com/latam/seguridad/
● Es importante:
● Tener derechos de actualización.
● Automatizar el proceso
● Mantenerse informado
RomeroGT: Ayuda: Web & Seguridad
24. Protección contra bichos
● Un antivirus por el amor a su PC
● https://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkk
● http://www.virustotal.com/
● Uso y me han funcionado: AVG, Avast! y McAfee
● Un antispyware
● http://www.safer-networking.org/es/index.html
● http://www.lavasoftusa.com/
● Solución antispam
● Webmail: Gmail el mejor pero otros webmail tienen.
● Soluciones open source y propietarias
● LA TENDENCIA: Suites integradas de seguridad.
RomeroGT: Ayuda: Web & Seguridad
25. Escoja mejor sus aplicaciones
● Por su seguridad: diga NO a la piratería
● Evite shareware, adware, crackware, serials
● Si no quiere pagar, piense opensource
● Fuentes confiables (sf.net, cdlibre.org)
● Casi todo tiene ahora alternativa
● Reduzca la superficie de ataque
● No le meta a su PC todo lo que encuentra
● Salgase del rebaño, tendrá menos riesgo.
● Integra, p. ej: VLC por varios media player
RomeroGT: Ayuda: Web & Seguridad
26. Proteja su PC del exterior
● Su PC se -VE- en la web y
puede que exponga servicios.
● Utilice un firewall confiable
● Algunos requieren
configuración
● No todos protegen de la
misma forma
● Brinde el mínimo acceso
hacia su PC
● Los firewalls no protejen
todo
RomeroGT: Ayuda: Web & Seguridad
27. Otras tecnologías de seguridad
● Encripción a nivel de disco, carpetas o archivos
● EFS, PGP, alternativas comerciales
● A nivel de protección de documentos
● Firma digital (PKI, PGP, RSA)
● Encripción (simétrica o asimétrica)
● Proteccion de las comunicaciones
● Canales seguros: Https, sftp, ssh
● Redes privadas virtuales
RomeroGT: Ayuda: Web & Seguridad
28. Navegacion más segura
● En su browser (el que quiera, yo uso Firefox)
● Proteccion antiphishing y del scripting
● No lo llene de plugins, incrementa su riesgo
● Verifique conexiones seguras e identidad del sitio
● En la mensajería instantánea
● Considere antivirus que protejen IM
● Cuidado con lo que escribe y lo que recibe
● En el correo
● Que su servidor tenga antivirus y antispam
RomeroGT: Ayuda: Web & Seguridad
29. Se recomienda prudencia
● Habitos de navegacion en sitios confiables.
● Manejo de contraseñas de sitios
● Descarga de software de sitios oficiales
● No de clic a todo enlace y programa que ve
● Cuidado con la publicidad engañosa
● Piense dos veces la información que comparte
● Lea los términos de servicio y privacidad
● Contenidos inapropiados o peligros.
RomeroGT: Ayuda: Web & Seguridad
30. Equipos compartidos
● El acceso físico al equipo le hace vulnerable
● Si usa café Internet, triplique su precaucion
● Incluso en casa, cree usuarios para cada uno
● Piense en la seguridad de sus archivos
● Historial, privacidad, cookies (ctrl-shift-del en FF)
● Emplee listas y niveles de acceso
RomeroGT: Ayuda: Web & Seguridad
31. Issues del Web 2.0
● Desea ser una persona pública en Internet?
● La información que publica, adivine, es Pública!
● En Internet mucha actividad es rastreable
● Alguna actividad es ”espiable”.
● Los detalles que comparte pueden
comprometerle
● Los villanos también van adelante
RomeroGT: Ayuda: Web & Seguridad
32. Futuro SANS: 10 Tendencias ...
● Requerimiento de encripción de portátiles
● Robo de PDA/SmartPhone por tecnología e
información
● Acciones de gobierno respecto a información y
su seguridad.
● Ataques a agencias de gobierno y empresas
relacionadas. (EEUU)
● Infección de gusanos en teléfonos celulares.
RomeroGT: Ayuda: Web & Seguridad
33. ... 10 Tendencias
● Ataques a sistemas VoIP por debilidades
● Spyware en auge desde paises en desarrollo.
● Vulnerabilidades día-0
● Rootkits en redes ”bots”
● Mayor control de acceso a la red
RomeroGT: Ayuda: Web & Seguridad
34. Pero viva, no se muera.
● Ya me siento mejor
porque ahora les
compartí un poco de
mi paranoia;
finalmente esto de la
seguridad solo es un
estado mental.
● Ahora vamos a bar...
RomeroGT: Ayuda: Web & Seguridad