1. ACTIVOS Y SEGURIDAD FÍSICA
INFORMÁTICA
Ing. Jorge Luis Pariasca León
Carrera Profesional de Computación e Informática
Curso: Seguridad Informática
Instituto Superior Tecnológico
Público
INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO
“Víctor Raúl Haya de la Torre”
“VÍCTOR RAÚL HAYA DE LA TORRE”
2. Exposiciones grupales
2
1. Seguridad Eléctrica.
2. Sistemas biométricos (Costos para nuestro país).
3. Virus informáticos (top ranking de los virus mas famosos de
los últimos años, ejemplo de virus básico).
4. Servidores y Software de seguridad (Proxi, firewall, VPN)
5. Delitos informáticos. (Leyes peruanas)
6. Criptografía.
7. Técnicas Hacker.
8. Seguridad en redes.
9. Firma digital.
Ojo: Investigar definiciones, tipos o clases, ejemplos, costos de
instalación según sea el caso, etc.
3. 3
INTRODUCCIÓN
Cuando hablamos de seguridad física nos referimos a todos aquellos
mecanismos generalmente de prevención y detección destinados a
proteger físicamente cualquier recurso del sistema.
La seguridad física de los sistemas informáticos consiste en la
aplicación de barreras físicas y procedimientos de control como
medidas de prevención y contramedidas contra las amenazas a los
recursos y la información confidencial.
Es muy importante ser consciente que por más que nuestra empresa
sea la más segura desde el punto de vista de ataques externos,
Hackers, virus, etc. la seguridad de la misma será nula si no se ha
previsto como combatir un incendio por ejemplo.
4. 4
INTRODUCCIÓN
La seguridad física es un aspecto olvidado con demasiada
frecuencia a la hora de hablar de seguridad informática en
general; en muchas organizaciones se suelen tomar medidas
para prevenir o detectar accesos no autorizados o negaciones de
servicio, pero rara vez para prevenir la acción de un atacante
que intenta acceder físicamente a la sala de operaciones o al
lugar donde se depositan las impresiones del sistema.
Esto motiva que en determinadas situaciones un atacante se
decline por aprovechar vulnerabilidades físicas en lugar de
lógicas, ya que posiblemente le sea más fácil robar una copia
con una imagen completa del sistema que intentar acceder a él
mediante fallos en el software.
5. 5
PROTECCIÓN DEL HARDWARE
El hardware es frecuentemente el elemento más caro de todo
sistema informático.
Especialmente en universidades, centros de investigación,
institutos tecnológicos..., que suelen poseer entre sus equipos
máquinas y dispositivos muy valiosos:
Servidores con una gran potencia de cálculo
Routers de última tecnología
Redes de Fibra Óptica
...
6. 6
PROTECCIÓN DEL HARDWARE
De qué nos sirve proteger los accesos por red a un ordenador,
cuando cualquier persona puede sentarse delante del mismo y
modificar la información sin limitación de ninguna clase.
O incluso, llevarlo a su casa para poder investigar el contenido
del ordenador.
Con acceso físico al ordenador, cualquier usuario malicioso puede
obtener todo su contenido.
Son muchas las amenazas al hardware de una instalación
informática, se presenta algunas de ellas, sus posibles efectos y
algunas soluciones, no para evitar los problemas sino para
minimizar sus efectos.
7. 7
AMENAZAS
Las principales amenazas que se prevén en la
seguridad física son:
Amenazas ocasionadas por el hombre.
Desastres naturales, incendios accidentales
tormentas e inundaciones, etc.
Alteraciones del Entorno.
8. 8
AMENAZAS OCASIONADAS POR EL
HOMBRE
La posibilidad de acceder físicamente a cualquier sistema
operativo hace inútiles casi todas las medidas de seguridad
que hayamos aplicado sobre ella.
Hemos de pensar que si un atacante puede llegar con
total libertad hasta una estación puede por ejemplo abrir
la CPU y llevarse un disco duro sin necesidad de privilegios
en el sistema, sin importar la robustez de nuestros
cortafuegos, sin ni siquiera una clave de usuario, el
atacante podrá seguramente modificar la información
almacenada, destruirla o simplemente leerla.
9. 9
ACCIONES HOSTILES
ROBO
Las computadoras son posesiones valiosas de las empresas y
están expuestas, de la misma forma que lo están las piezas de
stock e incluso el dinero.
FRAUDE
Cada año, millones de dólares son sustraídos de empresas y, en
muchas ocasiones, las computadoras han sido utilizadas como
instrumento o herramientas para dicho fin.
SABOTAJE
El peligro más temido en los centros de procesamiento de
datos, es el sabotaje.
10. 10
PREVENCIÓN Y DETECCIÓN
Para evitar este tipo de problemas deberemos implantar
mecanismos de prevención (control de acceso a los recursos) y
de detección (si un mecanismo de prevención falla o no existe
debemos al menos detectar los accesos no autorizados cuanto
antes).
Para la prevención hay soluciones para todos los gustos y de
todos los precios:
Analizadores de retina,
Tarjetas inteligentes,
Videocámaras,
Vigilantes.
11. 11
PREVENCIÓN Y DETECCIÓN
Control de Accesos
El control de acceso no sólo requiere la capacidad de
identificación, sino también asociarla a la apertura o
cerramiento de puertas, permitir o negar acceso basado en
restricciones de tiempo, área o sector dentro de una empresa
o institución.
Utilización de Guardias
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico
para la revisión de personas, ofreciendo grandes ventajas
sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta
manera establecer un volumen metálico mínimo, a partir del
cual se activará la alarma.
La utilización de este tipo de detectores debe hacerse
conocer a todo el personal. De este modo, actuará como
elemento disuasivo.
Utilización de Sistemas Biométricos
12. 12
DETECCIÓN
Para la detección de accesos se emplean medios técnicos, como
cámaras de vigilancia de circuito cerrado o alarmas, aunque en
muchos entornos es suficiente con qué las personas que utilizan
los sistemas se conozcan entre si y sepan quien tiene y no tiene
acceso a las distintas salas y equipos, de modo que les resulte
sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.
Visto esto, el nivel de seguridad física depende completamente
del entorno donde se ubiquen los puntos a proteger.
13. 13
DETECCIÓN
Es importante concienciar a todos de su papel en la
política de seguridad del entorno.
Si por ejemplo un usuario autorizado detecta presencia
de alguien de quien sospecha que no tiene autorización
para estar en una determinada estancia debe avisar
inmediatamente al administrador o al responsable de
los equipos, que a su vez puede avisar al servicio de
seguridad si es necesario.
14. 14
Personas: Ataques potenciales
Ingeniería Social
Manipulación de las personas para que
voluntariamente realicen actos que
normalmente no harían. No siempre es
tan perjudicial: vendedor.
Es el método de ataque mas sencillo,
menos peligroso para el atacante y uno
de los más efectivos.
15. 15
Personas: Ataques potenciales
Ingeniería Social (Cont.)
Ej.: mail
From: <root@sistema.com>
To: user <us3r@sistema.com>
Subject: cambio de clave
Hola,
Para realizar una serie de pruebas orientadas a
conseguir un óptimo funcionamiento del sistema, es
necesario que cambie su clave mediante el comando
‘passwd’. Hasta que reciba un nuevo aviso
(aproximadamente en dos días), por favor, asigne
‘chauchauadios’ como su contraseña.
Ruego disculpe las molestias. Saludos,
El Administrador
16. 16
Personas: Ataques potenciales
Ingeniería Social (Cont.)
Otro ejemplo, esta vez sin abusar de la buena fe.
Engaño al administrador:
[Admin] Buenos días, aquí sistemas, en que puedo
ayudarlo?
[Atacante] Hola, soy Juan Pérez y llamaba porque no consigo
recordar mi password en la maquina cs.uns.edu.pe
[Admin] Un momento, me puede dar su nombre de usuario (login).
[Atacante] Si, por supuesto, cositorico.
[Admin] OK, ya le cambie el password. Le asigne “zapaton2014”.
Por favor cambielo cuanto antes.
[Atacante] Listo, en un ratito lo cambio. Muchas gracias!
[Admin] De nada, saludos!
22. 22
Personas: Ataques potenciales
Shoulder Surfing
Nuevamente ingenuidad de los usuarios (plus
seguridad física).
Consiste en “espiar” físicamente a los usuarios para
obtener sus passwords.
Ej.: Post-it™ en monitor o password escrito en el
teclado, programas viejos que no ocultan tecleo de
password, o el atacante puede mirar como el otro
teclea.
Masquerading
Suplantar la identidad de otro usuario. Puede ser
electrónicamente o en persona (ataque no solo a la
seguridad física sino también a la seguridad del
personal).
No es común en entornos normales ya que en
general “nos conocemos todos”.
Variante: piggybacking. “Pegarse” a un usuario
autorizado. Ej: Ocean’s Eleven.
23. 23
Personas: Ataques potenciales
Scavenging (Basureo)
Técnica relacionada (también) con los usuarios
y la seguridad física.
Consiste en obtener información que se
encuentra en los alrededores del sistema.
Puede ser físico (tacho de basura, impresiones)
o lógico (buffer de impresora, o clusters de disco
recién borrados).
No es un ataque habitual (en entornos
“normales”) pero no es difícil de hacer – siempre
hay gente descuidada o no muy afín a la
seguridad (educación!).
Solución (papelera): Trituradora de Papel.
Solución (almacenamientos: cintas, discos, etc.):
borrado real + daño físico.
24. 24
Soluciones
Los problemas relacionados con la gente son mucho más
complejos que los relacionados con la seguridad lógica.
Generalmente la gente no está bien formada en seguridad:
están en la suya, no en seguridad. El administrador debe
lograr que la gente aprenda.
Los administradores SI deben saber sobre seguridad!
“Cadena que se rompe si falla uno de sus eslabones”: no
importa si uso criptografía si un atacante puede conseguir un
login/passwd llamando a una secretaria.
Mayor problema: usuarios externos que pueden
comprometer la seguridad del sistema. Ej.: personal de
seguridad, limpieza.
Y si hay problemas con la gente de la organización?
Asegurar una buena política de seguridad!
25. 25
Soluciones
El 80% de los ataques son causados por el personal interno.
Qué significa? que la mayor amenaza viene de la gente que
trabaja/trabajó en el sistema.
Un ataque realizado por alguien “cercano” (va al punto) es
mucho peor!
Por qué alguien querría atacar a su propia organización? (y
arriesgarse a perder el trabajo o ir a la cárcel?). “Todos
tenemos un precio” y mil motivos más.
Defensa contra los atacantes internos
Verificar CV antes de contratar a alguien, o investigar
pasado.
De todas formas alguien puede cambiar de “actitud”.
26. 26
Soluciones
Para minimizar los daños que pueda causar un atacante podemos
seguir estos principios:
• Necesidad de saber (Need to know) o mínimo privilegio:
Que el usuario sepa solo lo que necesita para su trabajo (ni +,
ni -).
• Conocimiento parcial (Dual Control)
Que dos personas sepan el password de root.
• Rotación de funciones
Problema con el anterior: complicidad. Rotar a las personas
(diferentes responsabilidades): que todos puedan vigilar a todos.
• Separación de funciones
No es bueno que una sola persona tenga acceso total a la
seguridad.
Que hacer cuando un usuario se va? Cancelar acceso urgente!
27. 27
DESASTRES NATURALES
Los desastres
naturales pueden
tener muy graves
consecuencias, sobre
todo si no los
contemplamos en
nuestra política de
seguridad y su
implantación.
28. 28
INCENDIOS
A los ordenadores no les
sienta nada bien el fuego,
por lo cual, el lugar donde
estén situados físicamente
tenga detectores de humo
para que en caso de
incendio, además de avisar
arranque un sistema de
extinción de incendios.
29. 29
INUNDACIONES
Esta es una de las causas
de mayores desastres en
centros de cómputos.
Además de las causas
naturales de inundaciones,
puede existir la posibilidad
de una inundación
provocada por la necesidad
de apagar un incendio en un
piso superior.
30. 30
TORMENTAS ELÉCTRICAS
Las tormentas eléctricas y
los aparatos eléctricos,
generan subidas súbitas de
tensión infinitamente
superiores a las que pueda
generar un problema en la
red eléctrica.
Campo magnético.
Predecibles.
31. 31
TERREMOTOS
Los terremotos son el
desastre natural con
alta probabilidad en
la mayoría de
organismos ubicados
en el Perú,
simplemente por su
localización
geográfica.
32. 32
ALTERACIONES DEL ENTORNO
En nuestro entorno de trabajo hay factores que pueden sufrir
variaciones que afecten a nuestros sistemas que tendremos que
conocer e intentar controlar.
SEÑALES DE RADAR
ELECTRICIDAD
RUIDO ELÉCTRICO
TEMPERATURAS EXTREMAS
HUMO
POLVO
EXPLOSIONES
INSECTOS
33. 33
ALTERACIONES DEL ENTORNO
Electricidad
El problema más común en los entornos de trabajo son:
cortes, picos, cortocircuitos, etc.
Los equipos traen fusibles pero muchas veces eso no es
suficiente.
Soluciones: puesta a tierra, estabilizadores de tensión,
UPS’s, generadores.
Corriente estática: muy poca corriente y mucho voltaje.
Protección: spray antiestático, ionizadores, etc. Pero en
general con el sentido común alcanza.
34. 34
ALTERACIONES DEL ENTORNO
Ruido eléctrico
Es la incidencia de la corriente de otras máquinas sobre la
nuestra. Ej.: motores grandes, multitud de máquinas, incluso
celulares y equipos de radio.
Se transmite por el espacio o por líneas eléctricas.
Solución barata: alejar el HW… otra: instalar filtros.
35. 35
ALTERACIONES DEL ENTORNO
Incendios y humo
Relacionado con electricidad (cortocircuito).
Solución: matafuegos, detectores en cielorrasos, educación.
No solo son peligrosos el fuego y el calor, también lo es el
humo, el cual daña principalmente discos.
¿Humo cigarrillos?
36. 36
ALTERACIONES DEL ENTORNO
Temperaturas extremas
Operación normal: entre 10 y 25ºC.
Soluciones:
• Acondicionadores de aire (no solo para los equipos, también
“ayuda” a los usuarios).
• Correcta ventilación en equipos.
• “Correcta” ubicación del HW dentro del gabinete.
37. 37
PROTECCION DE LOS DATOS
Además proteger el hardware nuestra política de
seguridad debe incluir medidas de protección de los
datos, ya que en realidad la mayoría de ataques
tienen como objetivo la obtención de información, no
la destrucción del medio físico que la contiene.
Es necesario proteger los datos, tanto los
almacenados como los transmitidos. Se aplica lo
anterior (proteger HW implica proteger SW) más
aspectos específicos. El atacante trata de obtener la
info almacenada en el medio físico.
38. 38
COPIAS DE SEGURIDAD
No se trata sobre políticas de backup sino sobre la
protección física de la info almacenada en los backups.
Error 1: almacenar los backups en el mismo lugar físico que
el sistema.
Error 2: etiquetado de cintas/CDs con demasiada info. Pro:
se encuentran todos los archivos muy fácil y rápido. Contra:
el atacante también puede encontrar todo! Adiós firewalls,
etc.
Solución: codificar etiquetas, encriptar backups, controlar
acceso a backups.
39. 39
COPIAS DE SEGURIDAD
La info a proteger también puede estar en listados de
impresoras, documentación de una máquina, etc.
Es difícil proteger impresiones pues se compromete la
privacidad.
Solución: ubicar impresoras, faxes, plotters, etc. en lugares
restringidos.
Más problemas: el atacante puede obtener información
“útil” a partir de facturas, manuales (versión S.O.), agendas,
etc.
Cuidado con el Recycle Bin!!! Mejor es la Trituradora de
Papel.
40. 40
Actividad de Aprendizaje N° 02
Formar grupos de trabajo y responder
1. Analizar la seguridad física del instituto
1. Ambientes
2. Control de Accesos
3. Instalaciones eléctricas
4. Distribución de hardware
5. Medidas de seguridad ante imprevistos