Title: Origen de los problemas de Seguridad Inform
1Origen de los problemas de Seguridad Informática
- Helios Mier Castillo
- hmier_at_ieee.org
- Departamento de Seguridad Informática
- desei_at_uag.mx
- Instituto de Investigación y Desarrollo de
Ingeniería de Software - Universidad Autónoma de Guadalajara
2Si te conoces a ti mismo y conoces a tu enemigo,
entonces no deberás temer el resultado de mil
batallas
- Sun-Tzu, El Arte de la Guerra
3- LA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN
DESTINO - Objetivo mantener los sistemas generando
resultados. - Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas
financieras (en el menos grave de los casos). - El resultado generado por un sistema es la
INFORMACION que ALMACENA O PRODUCE.
4- La seguridad informática NO es un problema
exclusivamente de las computadoras. - Las computadoras y las redes son el principal
campo de batalla. - Se debe de proteger aquello que tenga un valor
para alguien.
5Definiciones de seguridad
- Políticas, procedimientos y técnicas para
asegurar la integridad, disponibilidad y
confiabilidad de datos y sistemas. - Prevenir y detectar amenazas. Responder de una
forma adecuada y con prontitud ante un incidente. - Proteger y Mantener los sistemas funcionando.
6por qué?
- Por , el dueño de los sistemas tiene dinero
INVERTIDO en algo que le trae un beneficio o
ventaja. - El Cracking a otros sistemas desde cualquier
punto de vista es ilegal. Estamos defendiéndonos
ante el crimen. (aunque no haya leyes) - Por CALIDAD, hay que acostumbrarnos a hacer las
cosas bien, aunque cueste más esfuerzo.
7De donde surge la seguridad?
- Tecnológicamente, la seguridad es GRATIS
- YA HAS PAGADO POR ELLA Los sistemas operativos
modernos contienen muchas características de
seguridad. Las conoces?Las usas? - LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN
SOURCE. (excepto los antivirus)
8- La Seguridad Informática es Fácil Con el 20 de
esfuerzo se puede lograr el 80 de resultados - Actividades sencillas pero constantes son las que
evitan la mayoría de los problemas. - Se debe de trabajar en crear MECANISMOS de
seguridad que usan las TECNICAS de seguridad
adecuadas según lo que se quiera proteger.
9Dónde entra el Software Libre?
- Esta adquiriendo muchos simpatizantes y usuarios.
Se esta volviendo popular. - Generalmente se encuentran en partes importantes
de los sistemas de una empresa, aunque el resto
de los usuarios sigan mirando por las ventanas. - Se descubren constantemente nuevas
vulnerabilidades y algunas de ellas son muy
fáciles de aprovechar. - Por falta de conocimientos, podemos introducir
vulnerabilidades donde antes no había.
10ROLES INVOLUCRADOS EN SEGURIDAD
11SEGURIDAD
USUARIOS
12Usuarios comunes
- Los usuarios se acostumbran a usar la tecnología
sin saber como funciona o de los riesgos que
pueden correr. - Son las principales víctimas.
- También son el punto de entrada de muchos de los
problemas crónicos. - El eslabón más débil en la cadena de seguridad.
- Social Engineering Specialist Because There is
no Security Patch for Humans
132 enfoques para controlarlos
- Principio del MENOR PRIVILEGIO POSIBLE
- Reducir la capacidad de acción del usuario sobre
los sistemas. - Objetivo Lograr el menor daño posible en caso de
incidentes. - EDUCAR AL USUARIO
- Generar una cultura de seguridad. El usuario
ayuda a reforzar y aplicar los mecanismos de
seguridad. - Objetivo Reducir el número de incidentes
14CREADORES DE SISTEMAS
SEGURIDAD
USUARIOS
15Creando Software
- El software moderno es muy complejo y tiene una
alta probabilidad de contener vulnerabilidades de
seguridad. - Un mal proceso de desarrollo genera software de
mala calidad. Prefieren que salga mal a que
salga tarde. - Usualmente no se enseña a incorporar requisitos
ni protocolos de seguridad en los productos de SW.
16Propiedades de la Información en un Trusted
System
- Confidencialidad Asegurarse que la información
en un sistema de cómputo y la transmitida por un
medio de comunicación, pueda ser leída SOLO por
las personas autorizadas. - Autenticación Asegurarse que el origen de un
mensaje o documento electrónico esta
correctamente identificado, con la seguridad que
la entidad emisora o receptora no esta suplantada.
17- Integridad Asegurarse que solo el personal
autorizado sea capaz de modificar la información
o recursos de cómputo. - No repudiación Asegurarse que ni el emisor o
receptor de un mensaje o acción sea capaz de
negar lo hecho. - Disponibilidad Requiere que los recursos de un
sistema de cómputo estén disponibles en el
momento que se necesiten.
18Ataques contra el flujo de la información
Receptor
Emisor
Atacante
- FLUJO NORMAL
- Los mensajes en una red se envían a partir de un
emisor a uno o varios receptores - El atacante es un tercer elemento en la realidad
existen millones de elementos atacantes,
intencionales o accidentales.
19Receptor
Emisor
Atacante
- INTERRUPCION
- El mensaje no puede llegar a su destino, un
recurso del sistema es destruido o temporalmente
inutilizado. - Este es un ataque contra la Disponibilidad
- Ejemplos Destrucción de una pieza de hardware,
cortar los medios de comunicación o deshabilitar
los sistemas de administración de archivos.
20Receptor
Emisor
Atacante
- INTERCEPCION
- Una persona, computadora o programa sin
autorización logra el acceso a un recurso
controlado. - Es un ataque contra la Confidencialidad.
- Ejemplos Escuchas electrónicos, copias ilícitas
de programas o datos, escalamiento de privilegios.
21Receptor
Emisor
Atacante
- MODIFICACION
- La persona sin autorización, además de lograr el
acceso, modifica el mensaje. - Este es un ataque contra la Integridad.
- Ejemplos Alterar la información que se transmite
desde una base de datos, modificar los mensajes
entre programas para que se comporten diferente.
22Receptor
Emisor
Atacante
- FABRICACION
- Una persona sin autorización inserta objetos
falsos en el sistema. - Es un ataque contra la Autenticidad.
- Ejemplos Suplantación de identidades, robo de
sesiones, robo de contraseñas, robo de
direcciones IP, etc... - Es muy difícil estar seguro de quién esta al otro
lado de la línea.
23CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
USUARIOS
24Para que esperar
- Si gastas más dinero en café que en Seguridad
Informática, entonces vas a ser hackeado, es más,
mereces ser hackeado - Richard digital armageddon Clark, USA DoD
- La mayoría de las empresas incorporan medidas de
seguridad hasta que han tenido graves problemas.
para que esperarse?
25Siempre tenemos algo de valor para alguien
- Razones para atacar la red de una empresa
- , ventaja económica, ventaja competitiva,
espionaje político, espionaje industrial,
sabotaje, - Empleados descontentos, fraudes, extorsiones,
(insiders). - Espacio de almacenamiento, ancho de banda,
servidores de correo (SPAM), poder de cómputo,
etc - Objetivo de oportunidad.
26Siempre hay algo que perder
- Pregunta Cuánto te cuesta tener un sistema de
cómputo detenido por causa de un incidente de
seguridad? - Costos económicos (perder oportunidades de
negocio). - Costos de recuperación.
- Costos de reparación.
- Costos de tiempo.
- Costos legales y judiciales.
- Costos de imagen.
- Costos de confianza de clientes.
- Perdidas humanas (cuando sea el caso).
27Qué hacer?
- Los altos niveles de la empresa tienen que apoyar
y patrocinar las iniciativas de seguridad. - Las políticas y mecanismos de seguridad deben de
exigirse para toda la empresa. - Con su apoyo se puede pasar fácilmente a
enfrentar los problemas de manera proactiva (en
lugar de reactiva como se hace normalmente)
28CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
HACKER CRACKER
USUARIOS
29Cracking
- Cool as usual Todo está bien
- Los ataques son cada vez mas complejos.
- Cada vez se requieren menos conocimientos para
iniciar un ataque. - México es un paraíso para el cracking.
- Por qué alguien querría introducirse en mis
sistemas? - Por qué no? Si es tan fácil descuidos,
desconocimiento, negligencias, (factores humanos).
30Quienes atacan los sistemas
- Gobiernos Extranjeros.
- Espías industriales o políticos.
- Criminales.
- Empleados descontentos y abusos internos.
- Adolescentes sin nada que hacer
31Niveles de Hackers
- Nivel 3 (ELITE) Expertos en varias áreas de la
informática, son los que usualmente descubren los
puntos débiles en los sistemas y pueden crear
herramientas para explotarlos. - Nivel 2 Tienen un conocimiento avanzado de la
informática y pueden obtener las herramientas
creadas por los de nivel 3, pero pueden darle
usos más preciso de acuerdo a los intereses
propios o de un grupo.
32- Nivel 1 o Script Kiddies Obtienen las
herramientas creadas por los de nivel 3, pero las
ejecutan contra una víctima muchas veces sin
saber lo que están haciendo. - Son los que con más frecuencia realizan ataques
serios. - Cualquiera conectado a la red es una víctima
potencial, sin importar a que se dedique, debido
a que muchos atacantes sólo quieren probar que
pueden hacer un hack por diversión.
33CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
HACKER/CRACKER
USUARIOS
ADMINISTRADORES DE T.I.
34ADMINISTRADORES
- Son los que tienen directamente la
responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas) - Hay actividades de seguridad que deben de
realizar de manera rutinaria. - Obligados a capacitarse, investigar, y proponer
soluciones e implementarlas. - También tiene que ser hackers Conocer al
enemigo, proponer soluciones inteligentes y
creativas para problemas complejos.
35Puntos Débiles en los Sistemas
Comunicaciones
Aplicación
Servicios Internos
Servicios Públicos
Sistema Operativo
Usuarios
Almacenamiento de datos
36Palabras Finales
- El Boom del S.L. ofrece la oportunidad de que las
cosas se hagan bien desde el principio. - La educación de seguridad tiene que ir a la par
del cambio hacia el S.L. - Si esto no se realiza, en el futuro nos estaremos
quejando de S.L. de la misma forma que
37- PREGUNTAS Y RESPUESTAS
- Helios Mier Castillo
- hmier_at_ieee.org
- Departamento de Seguridad Informática
- desei_at_uag.mx
- Instituto de Investigación y Desarrollo de
Ingeniería de Software - Universidad Autónoma de Guadalajara