Movimientos Precursores de La Independencia en Venezuela
Seguridad informatica
1. Origen de los problemas de
Seguridad Informática
Helios Mier Castillo
hmier@ieee.org
Departamento de Seguridad Informática
desei@uag.mx
Instituto de Investigación y Desarrollo de
Ingeniería de Software
Universidad Autónoma de Guadalajara
2. “Si te conoces a ti mismo y
conoces a tu enemigo,
entonces no deberás temer
el resultado de mil batallas”
Sun-Tzu, El Arte de la Guerra
3.
“LA SEGURIDAD INFORMATICA ES
UN CAMINO, NO UN DESTINO”
• Objetivo: mantener los sistemas
generando resultados.
• Si los sistemas no se encuentran
funcionando entonces su costo se
convierte en perdidas financieras (en el
menos grave de los casos).
• El resultado generado por un sistema es
la INFORMACION que ALMACENA O
PRODUCE.
4.
NO
La seguridad informática
es
un problema exclusivamente de las
computadoras.
Las computadoras y las redes son el
principal campo de batalla.
Se debe de proteger aquello que
tenga un valor para alguien.
5. Definiciones de seguridad
Políticas, procedimientos y técnicas
para asegurar la integridad,
disponibilidad y confiabilidad de
datos y sistemas.
Prevenir y detectar amenazas.
Responder de una forma adecuada y
con prontitud ante un incidente.
Proteger y Mantener los sistemas
funcionando.
6. ¿por qué?
Por $$$, el dueño de los sistemas
tiene dinero INVERTIDO en algo que
le trae un beneficio o ventaja.
El Cracking a otros sistemas desde
cualquier punto de vista es ilegal.
Estamos defendiéndonos ante el
crimen. (aunque no haya leyes)
Por CALIDAD, hay que
acostumbrarnos a hacer las cosas
bien, aunque cueste más esfuerzo.
7. ¿De donde surge la seguridad?
“Tecnológicamente, la seguridad es
GRATIS”
• YA HAS PAGADO POR ELLA: Los
sistemas operativos modernos contienen
muchas características de seguridad.
¿Las conoces?¿Las usas?
• LAS MEJORES HERRAMIENTAS DE
SEGURIDAD SON OPEN SOURCE.
(excepto los antivirus)
8.
La Seguridad Informática es Fácil:
“Con el 20% de esfuerzo se puede
lograr el 80% de resultados”
• Actividades sencillas pero constantes
son las que evitan la mayoría de los
problemas.
• Se debe de trabajar en crear
MECANISMOS de seguridad que usan las
TECNICAS de seguridad adecuadas
según lo que se quiera proteger.
9. ¿Dónde entra el Software Libre?
Esta adquiriendo muchos simpatizantes y
usuarios. Se esta volviendo popular.
Generalmente se encuentran en partes
importantes de los sistemas de una
empresa, aunque el resto de los usuarios
sigan mirando por las ventanas.
Se descubren constantemente nuevas
vulnerabilidades y algunas de ellas son muy
fáciles de aprovechar.
Por falta de conocimientos, podemos
introducir vulnerabilidades donde antes no
había.
12. Usuarios comunes
Los usuarios se acostumbran a usar
la tecnología sin saber como funciona
o de los riesgos que pueden correr.
Son las principales víctimas.
También son el punto de entrada de
muchos de los problemas crónicos.
“El eslabón más débil” en la cadena
de seguridad.
Social Engineering Specialist:
Because There is no Security
Patch for Humans
13. 2 enfoques para controlarlos
Principio del MENOR PRIVILEGIO
POSIBLE:
• Reducir la capacidad de acción del usuario
sobre los sistemas.
• Objetivo: Lograr el menor daño posible en
caso de incidentes.
EDUCAR AL USUARIO:
• Generar una cultura de seguridad. El
usuario ayuda a reforzar y aplicar los
mecanismos de seguridad.
• Objetivo: Reducir el número de incidentes
15. Creando Software
El software moderno es muy complejo
y tiene una alta probabilidad de
contener vulnerabilidades de
seguridad.
Un mal proceso de desarrollo genera
software de mala calidad. “Prefieren
que salga mal a que salga tarde”.
Usualmente no se enseña a incorporar
requisitos ni protocolos de seguridad
en los productos de SW.
16.
Propiedades de la Información en
un “Trusted System”
Confidencialidad: Asegurarse que
la información en un sistema de
cómputo y la transmitida por un
medio de comunicación, pueda ser
leída SOLO por las personas
autorizadas.
Autenticación: Asegurarse que el
origen de un mensaje o documento
electrónico esta correctamente
identificado, con la seguridad que la
entidad emisora o receptora no esta
suplantada.
17.
Integridad: Asegurarse que solo el
personal autorizado sea capaz de
modificar la información o recursos
de cómputo.
No repudiación: Asegurarse que ni
el emisor o receptor de un mensaje o
acción sea capaz de negar lo hecho.
Disponibilidad: Requiere que los
recursos de un sistema de cómputo
estén disponibles en el momento que
se necesiten.
18. Ataques contra el flujo de la
información
Receptor
Emisor
Atacante
FLUJO NORMAL
• Los mensajes en una red se envían a
partir de un emisor a uno o varios
receptores
• El atacante es un tercer elemento; en la
realidad existen millones de elementos
atacantes, intencionales o accidentales.
19. Receptor
Emisor
Atacante
INTERRUPCION
El
mensaje no puede llegar a su destino, un
recurso del sistema es destruido o
temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destrucción de una pieza de
hardware, cortar los medios de comunicación
o deshabilitar los sistemas de administración
de archivos.
20. Receptor
Emisor
Atacante
INTERCEPCION
Una
persona, computadora o programa sin
autorización logra el acceso a un recurso
controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrónicos, copias
ilícitas de programas o datos, escalamiento
de privilegios.
21. Receptor
Emisor
Atacante
MODIFICACION
La
persona sin autorización, además de
lograr el acceso, modifica el mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la información que se
transmite desde una base de datos, modificar
los mensajes entre programas para que se
comporten diferente.
22. Receptor
Emisor
Atacante
FABRICACION
Una
persona sin autorización inserta objetos
falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantación de identidades, robo
de sesiones, robo de contraseñas, robo de
direcciones IP, etc...
Es
muy difícil estar seguro de quién esta
al otro lado de la línea.
24. Para que esperar…
“Si gastas más dinero en café que en
Seguridad Informática, entonces vas
a ser hackeado, es más, mereces ser
hackeado”
• Richard “digital armageddon” Clark, USA DoD
La mayoría de las empresas
incorporan medidas de seguridad
hasta que han tenido graves
problemas. ¿para que esperarse?
25. Siempre tenemos algo de valor
para alguien
Razones para atacar la red de una
empresa:
• $$$, ventaja económica, ventaja
competitiva, espionaje político,
espionaje industrial, sabotaje,…
• Empleados descontentos, fraudes,
extorsiones, (insiders).
• Espacio de almacenamiento, ancho de
banda, servidores de correo (SPAM),
poder de cómputo, etc…
• Objetivo de oportunidad.
26. Siempre hay algo que perder
Pregunta: ¿Cuánto te cuesta tener un
sistema de cómputo detenido por
causa de un incidente de seguridad?
• Costos económicos (perder oportunidades de
negocio).
• Costos de recuperación.
• Costos de reparación.
• Costos de tiempo.
• Costos legales y judiciales.
• Costos de imagen.
• Costos de confianza de clientes.
• Perdidas humanas (cuando sea el caso).
27. ¿Qué hacer?
Los altos niveles de la empresa
tienen que apoyar y patrocinar las
iniciativas de seguridad.
Las políticas y mecanismos de
seguridad deben de exigirse para
toda la empresa.
Con su apoyo se puede pasar
fácilmente a enfrentar los problemas
de manera proactiva (en lugar de
reactiva como se hace normalmente)
29. Cracking
Cool as usual – Todo está bien
Los ataques son cada vez mas complejos.
Cada vez se requieren menos
conocimientos para iniciar un ataque.
México es un paraíso para el cracking.
¿Por qué alguien querría introducirse en mis
sistemas?
¿Por qué no? Si es tan fácil: descuidos,
desconocimiento, negligencias, (factores
humanos).
30. Quienes atacan los sistemas
Gobiernos Extranjeros.
Espías industriales o
políticos.
Criminales.
Empleados
descontentos y abusos
internos.
Adolescentes sin nada
que hacer
31. Niveles de Hackers
Nivel 3: (ELITE) Expertos en varias áreas
de la informática, son los que usualmente
descubren los puntos débiles en los
sistemas y pueden crear herramientas
para explotarlos.
Nivel 2: Tienen un conocimiento avanzado
de la informática y pueden obtener las
herramientas creadas por los de nivel 3,
pero pueden darle usos más preciso de
acuerdo a los intereses propios o de un
grupo.
32.
Nivel 1 o Script Kiddies: Obtienen las
herramientas creadas por los de
nivel 3, pero las ejecutan contra
una víctima muchas veces sin saber
lo que están haciendo.
Son los que con más frecuencia
realizan ataques serios.
Cualquiera conectado a la red es una
víctima potencial, sin importar a que
se dedique, debido a que muchos
atacantes sólo quieren probar que
pueden hacer un hack por diversión.
34. ADMINISTRADORES
Son los que tienen directamente la
responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas)
Hay actividades de seguridad que deben de
realizar de manera rutinaria.
Obligados a capacitarse, investigar, y
proponer soluciones e implementarlas.
También tiene que ser hackers: Conocer al
enemigo, proponer soluciones inteligentes y
creativas para problemas complejos.
35. Puntos Débiles en los Sistemas
Comunicaciones
Aplicación
Servicios Internos
Servicios Públicos
Sistema Operativo
Usuarios
Almacenamiento de datos
36. Palabras Finales
El Boom del S.L. ofrece la
oportunidad de que las cosas se
hagan bien desde el principio.
La educación de seguridad tiene que
ir a la par del cambio hacia el S.L.
Si esto no se realiza, en el futuro nos
estaremos quejando de S.L. de la
misma forma que…
37. PREGUNTAS Y RESPUESTAS
Helios Mier Castillo
hmier@ieee.org
Departamento de Seguridad Informática
desei@uag.mx
Instituto de Investigación y Desarrollo de Ingeniería de
Software
Universidad Autónoma de Guadalajara