1. “AÑO DE LA INTEGRACIÓN NACIONAL Y EL
RECONOCIMIENTO DE NUESTRA
DIVERSIDAD”
CTP COMPUTACIÓN E
INFORMÁTICA
UNIDAD DIDÁCTICA:
SEGURIDAD INFORMÁTICA
DOCENTE:
ING. SIST. LIZTH CAMPOS CRISPIN
2. Algunas Definiciones
La Seguridad tiene que ver con la protección de objetos de
valor.
La Seguridad en Sistemas se enfoca en proteger objetos de
valor dentro de un sistema informático (información y
servicios).
Al igual que la seguridad en el “mundo real”, la seguridad
en sistemas provee distintos tipos y grados de la misma.
3. ¿Seguridad en Crisis?
Todos los días se ven fallas de seguridad...
¿Dónde?
Medios amarillistas (TV, Web)
Listas de correo, libros!
¿Por qué? ….. Si existe mucha experiencia en el campo.
En general se debe a pobres diseños y falta de dinero
invertido en seguridad por parte de las compañías. Sin
embargo esto está cambiando.......
4. Seguridad: Línea de Tiempo
Los ataques comenzaron en la década del '50. Los primeros
atacantes eran personas cercanas a los sistemas (¿ y hoy?.......).
1960 HW de protección de memoria: VM.
1962 Mecanismos de control de acceso a los archivos.
1967 Funciones One-Way (passwords).
1968 Seguridad en kernels (Multics).
1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IP
en 1977.
5. Seguridad: Línea de Tiempo (2)
1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa en
mails,
1976 Criptografia de clave pública y firma digital.
1978 RSA (clave pública).
1978 Estudio de contraseñas (inteligente).
1978 Primer protocolo de e-cash.
1983 DNS distribuido (vulnerable al spoofing).
1984 Los Virus empiezan a investigarse.
1985 Esquemas de contraseñas avanzados.
1988 Intemet Worm (6000 computadoras (10% Intemet)).
1988 Autentificación distribuida (Kerberos).
1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).
6. Seguridad: Línea de Tiempo (3)
1990 Remailers anónimos.
1993 Spooling, sniffing, firewalls.
1994 SSL v 1.0 (Netscape).
1996 Java (Web hacking),
1997 DNSSec.
1998 Programas de barrido de redes.
1998 Ipsec.
1999 Primer ataque DDoS.
2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones).
B02k.
2001 Red Code, Nimbda (infección de servidores MS IIS).
2002 Mas I-Worms (en general explotan fallas en Intemet
Explorer).
7. Introducción a la Seguridad
Seguridad en una Organización
Antaño:
Física
Administrativa
Hoy:
Computadoras - necesidad de herramientas que protejan la
información. Ej.: time-sharing, redes, dial-up.
Esta colección de herramientas diseñadas para este fin y para
dificultar la vida del hacker conforman la
Seguridad en Sistemas
8. Introducción a la Seguridad
El otro gran cambio: sistemas distribuidos y redes para
transportar datos (tty-user y maq.- maq.).
Seguridad en Redes
No hay un límite claro entre estas dos formas de seguridad:
Seguridad en Sistemas y Seguridad en Redes
pues todos los sistemas actuales son distribuidos por
naturaleza.
9. Objetivos de la Seguridad de Datos
(Relativos a entidades no autorizadas)
Privacidad: no accesible
Permanente: no borrable, no editable.
Confiable: que los cambios puedan detectarse.
Pero los datos deben ser accesibles a personas autorizadas!
(Probablemente sobre una red, posiblemente sobre la
Intemet).
10. Aspectos de Seguridad
Ataque (Seguridad): cualquier acción que comprometa la
seguridad de la información perteneciente a una organización.
Mecanismo de Seguridad: mecanismo diseñado para
prevenir, detectar o recuperarse de un ataque.
Servicio de Seguridad: servicio que mejora la seguridad
en un sistema de procesamiento de datos y la trasferencia de
estos datos. Hace uso de uno o más mecanismos de seguridad.
11. Instrucciones
1. Lograr acceso (no autorizado) a cierta información.
2. Hacerse pasar por alguien más para evitar responsabilidad.
3. Afirmar haber recibido información de otro usuario que el
hacker creó. ( P.e., atribución fraudulenta de responsabilidad).
4. Afirmar haber enviado a un receptor (en un dada fecha)
información que nunca fue enviada (o que fue enviada en otro
momento).
5. No aceptar haber recibido información que en realidad si fue
recibida, o decir que llegó en otro momento.
6. Aumentar la “capacidad” del cheater (mayor acceso, origen,
etc.).
7. Modificar (sin tener la autoridad) las "capacidades" de otros
para aumentar, restringir, agregar, borrar, etc. su nivel,
8. Ocultar cierta información dentro de otra información (abierta).
12. Instrucciones
9. Entrometerse (oculto) en la comunicación de otros usuarios.
10. Saber quién y cuando accedió alguien a cierta información.
11. Acusar a un protocolo de integridad revelando información que
se supone el cheater no debería conocer.
12. Cambiar el comportamiento de algún SW, usualmente
agregando funciones ocultas.
13. Sabotear un protocolo causando fallas (aparentes) en el
sistema,
14. Evitar que los usuarios puedan comunicarse. Tal vez
provocando
15. fallas atribuibles a problemas en la red, otros usuarios, etc.
13. Población de Riesgos
Defensa Aerea. TV/Radio.
Aviones de pasajeros (WTC). Ascensores.
Sistemas de Armas (Arg!). Trenes.
Bancos. Registros policíacos.
Energia eléctrica. Impuestos.
Control de tránsito (peajes). Notas (Warning).
E-mails. BurgerKing.
Historias Clinicas (medicina). Otros.
Algunos de estos crímenes son TERRORISTAS
14. Ataques: Categorías
1. Interrupción
Ataque a la Disponibilidad.
2. Intercepción
Ataque a la Confidencialidad.
3. Modificación
Ataque a la Integridad.
4. Fabricación
Ataque a la Autenticidad.
15. Flujo Normal de la Información
Fuente Destino
Durante un Flujo Normal de la información, la transferencia
(de un archivo, región de memoria, cte.) se hace desde el
fuente hacia el destino (otro archivo, memoria, etc.).
16. Interrupción
Fuente Destino
Algo de "valor" en el sistema es destruido o se vuelve no
disponible.
(Ataque a la Disponibilidad).
Ejemplos: destrucción de HW, cortado de una línea de
comunicación, deshabilitación de un FS (umount).
17. Intercepción
Fuente Destino
Alguien no autorizado gana acceso sobre algo de valor
(Ataque a la Confidencialidad).
El "no-autorizado" puede ser una persona, una máquina o un
programa.
Ejemplos: captura de información en una red, o una copia no
autorizada de archivos.
18. Modificación
Fuente Destino
Alguien (o algo) no solo gana acceso sino que también
modifica contenido.(Ataque a la Integridad).
Ejemplos: cambiar valores en un archivo, alterando un
programa para que se comporte diferente, o modificando un
mensaje transmitido en una red.
19. Fabricación
Fuente Destino
Alguien (o algo) inserta objetos falsos en el sistema.
(Ataque a la Autenticidad).
Ejemplos: inserción de msgs espúreos en una red o inserción de
registros falsos en un archivo.
20. Ataques Pasivos
Eavesdrop ("escuchar" sin que el que “habla“ se entere) o
monitoreo de transmisiones.
Objetivo: obtener información transmitida.
Dos tipos:
Liberación de Contenidos: conversación telefónica, e-
mail o información confidencial.
Análisis de Tráfico: el atacante puede mediante análisis
de la comunicación (patrones, long., etc.) tratar de
“adivinar” la naturaleza de la comunicación. Ej: si se usa
encriptación débil.
Dificiles de detectar pues no se altera información.
Énfasis en prevención más que en detección.
21. Ataques Activos
Involucra la modificación de datos a la introducción de
información falsa.
Cuatro tipos:
Masquerade: cuando una entidad se hace pasar por otra.
Generalmente involucra uno de los siguientes tipos de ataques
activos.
Repetición (Replay): involucra la captura pasiva de
información y la subsecuente retransmisión para lograr un efecto
no autorizado.
Modificación de mensajes: cuando el atacante gana acceso a
algo de valor y lo modifica, retrasa o reordena.
Denegación de Servicio (DoS): previene o inhibe el uso
normal de cierto servicio de comunicación. Ej: supresión de
mensajes hacia Pepe.
Énfasis en detección y recuperación.
23. Seguridad: Servicios (ISO)
Confidencialidad: protección (de ataques pasivos) sobre la info
transmitida. Privacidad. Ej: mensajes entre dos personas.
Autentificación: asegurar que la comunicación sea auténtica. Ej: e-
mail recibido por un usuario o comunicación terminal-server.
Integridad: asegurar que los mensajes recibidos sean iguales a los
enviados (modificación de mensajes y DoS (a vece)). Además de
detectar estos ataques activos puede participar en la recuperación.
24. Seguridad: Servicios (ISO)
No Repudio: evita que el emisor o el receptor niegue la ocurrencia
de un mensaje ("yo no fui").
Control de Aceso: es la capacidad de limitar y controlar el acceso a
un sistema. Previene uso inapropiado de recursos.
Disponibilidad: una variedad de ataques pueden ser causantes de
pérdida parcial o total de la disponibilidad. Algunos pueden
prevenirse con autentificación/encriptación o seguridad fisica.
25. Métodos de Defensa
Controles de Software. Ej: acceso limitado a bases de
datos, proteger a un usuario de otro (Sistema Operativo).
Controles de Hardware. Ej: smartcards.
Encriptación.
Políticas. Ej: cambio frecuente de contraseñas.
Educación.
Auditorías. Detección de intrusos.
Controles físicos.
Amenazas/Defensa
Amenazas/Defensa: Bucle Infinito
27. Auditoria de Sistemas de Información
•Presión para incroporar tecnología en estrategias empresariales
•Aumento de la complejidad de los entornos de TI
•Infraestructuras TI fragmentadas
•Brecha de comunicación entre directivos y gerentes TI
•Niveles de servicio de TI decepcionantes tanto por parte de las funciones
internas de TI como los proveedores externos
•Costes de TI fuera de control
•Productividad y ROI marginales sobre inversiones en TI
•Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc
•Inflexibilidad organizacional
ITGI (2004)
28. Auditoria de Sistemas de Información
• Dependencia creciente de la información y los sistemas que la gestionan
• Vulnerabilidades crecientes y amplio espectro de amenazas
• Escalado y coste de las inversiones actuales y futuras de la información y los
sistemas de información
• Necesidad de cumplir con leyes y regulaciones
• Potencial de las TI para cambiar espectacularmente las organizaciones y las
prácticas empresariales, crear nuevas oportunidades y reducir costes
• Reconocimiento por parte de muchas organizaciones de los beneficios
potenciales que las TI pueden aportar
ITGI (2004)
29. Auditoria de Sistemas de Información
• El IT Governance Institute fue fundado en 1998 para desarrollar normativas
de dirección y control de la tecnología de la información en las empresas.
• Un Gobierno TI(Tecnologías de la Información) eficaz permite asegurar que
las TI soportarán los objetivos de negocio, optimizando la inversión
empresarial en TI y gestionando adecuadamente los riesgos y oportunidades
relacionados con las TI.
• El TI Governance Institute desarrolló el sistema de Objetivos de control de
información y tecnologías relacionadas (CobiT) y ofrece casos de
investigación y estudio originales para ayudar a líderes empresariales y
directivos en sus responsabilidades de gobierno de las TI.
ITGI (2004)
30. Auditoria de Sistemas de Información
Gestión de los SI
Control y evaluación de esta
gestión
31. Auditoria de Sistemas de Información
Para asegurar que las
TI proporcionan valor
Coste, tiempo, funcionalidad esperados
TI no proporcionan sorpresas
Riesgos mitigados
TI contribuyen al negocio
Nuevas oportunidades e innovaciones en productos,
procesos y servicios
la dirección necesita tener las TI bajo control
32. Auditoria de Sistemas de Información
Perspectiva de la gestión de SI/TIC
IMPACTO
en el desarrollo del negocio o actividad empresarial
REQUERIMIENTOS de fiabilidad de
los servicios
REQUERIMIENTOS legales
33. Auditoria de Sistemas de Información
La Auditoría de Sistemas de Información nace hace
más de 35 años justamente como un
mecanismo
para valorar y evaluar
LA CONFIANZA
que se puede depositar en los sistemas de
información
34. Auditoria de Sistemas de Información
•Contabilidad desde el inicio de las transacciones comerciales
• Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS)
• Edad Media y Renacimiento en Italia: Vaticano, República de
Venecia, etc.
• Contralor de Borgoña, Veedor de Castilla, Account de Inglaterra,
etc.
• SXVIII: revolución industrial, creación de grandes empresas
• SXX: Impulso a las normas de auditoría en EEUU como
consecuencia del desarrollo económico y crisis de 1929
• Años 1960: nace la Auditoría Informática
Historia
35. Auditoria de Sistemas de Información
AUDITORÍA
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
36. Auditoria de Sistemas de Información
la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
37. Auditoria de Sistemas de Información
La responsabilidad en último extremo, en una empresa
sobre la optimización de la calidad de los SI, y la
rentabilidad de los recursos informáticos la tiene:
1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware
38. Auditoria de Sistemas de Información
Un Auditor de Sistemas de Información debe, entre sus
responsabilidades, realizar:
1. La redacción de los procedimientos de control en el
área de seguridad lógica
2. La aprobación de nuevos sistemas de gestión
3. Evaluar los riesgos de los sistemas de información
4. Las pruebas del plan de continuidad del negocio