Download
introducci n a la seguridad en c mputo n.
Skip this Video
Loading SlideShow in 5 Seconds..
Introducción a la seguridad en cómputo PowerPoint Presentation
Download Presentation
Introducción a la seguridad en cómputo

Introducción a la seguridad en cómputo

124 Views Download Presentation
Download Presentation

Introducción a la seguridad en cómputo

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Introducción a la seguridad en cómputo Sergio A. Becerril CELE | UNAM

  2. Temario • Conceptos básicos • Ataques • Seguridad básica • Actualizaciones • Buenas prácticas • Navegación segura

  3. Lao Tsé 千里之行 始于足下 Introducción a la seguridad en cómputo Conceptos básicos

  4. ¿Qué es seguridad? • Confianza • Tranquilidad • Protección

  5. La importancia de la información • Es un mundo digital • Tendencia irreversible • Más que una alternativa • Es un mundo globalizado • Inevitable, compartir información • No tenemos control del ambiente externo • No es solo la información • Cada dispositivo que interactúa es importante • Recordemos los recursos informáticos

  6. Seguridad informática

  7. “Los pilares de la seguridad” • Confidencialidad • Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas. Solo aquellos autorizados podrán acceder a la información. • Integridad • Mantener la fidelidad del estado de la información o los recursos informáticos. La información no se puede modificar sin autorización. • Disponibilidad • Garantizar que la información o los recursos informáticos podrán ser utilizados por entidades autorizadas. La información estará utilizable siempre que se necesite.

  8. Elementos adicionales • AAA • Autenticación: Comprobar la identidad de quien pretende acceder a los recursos. • Autorización: Comprobar los privilegios de quien pretende acceder a los recursos. • Auditoría: Mantener registros de las entidades y operaciones involucradas. • No repudio • Garantizar que las entidades involucradas en la manipulación de los recursos no puedan negar su participación.

  9. Seguridad informática • Confianza en los recursos informáticos • Integridad • Disponibilidad • No repudio • Tranquilidad acerca de los recursos informáticos • Integridad • Disponibilidad • Confidencialidad • Protección de los recursos informáticos • Confidencialidad • Cifrado • Autenticación, Autorización, Auditoría

  10. No es solo la información • Recursos informáticos • Equipos: computadoras, móviles, tablets... • Periféricos: impresoras, cámaras, monitores... • Almacenamiento removible • Dispositivos de interconexión • Entidades • Organizaciones • Usuarios • Creadores • Administradores

  11. Términos comunes • Activo Cualquier elemento de importancia para la organización • Vulnerabilidad Cualquier debilidad en un activo • Amenaza Un peligro posible que puede explotar una vulnerabilidad, causando daño a los activos.

  12. Términos comunes • Riesgo El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular. • Impacto La afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada a un riesgo específico. • Ataque Cualquier intento de explotar una vulnerabilidad, con el objeto de afectar los activos.

  13. Términos comunes • Evento Cualquier cambio al comportamiento normal de un sistema, ambiente, proceso, flujo o persona. • Incidente Cualquier evento atribuible, de raíz, a una causa humana. • Política Definición de seguridad para algún sistema, organización u otra entidad.

  14. Consecuencias • Pérdida • Modificación • Divulgación

  15. Atacantes • Hacker Persona con profundo conocimiento del funcionamiento de algún sistema. • Cracker Persona que viola la seguridad de algún sistema informático para beneficio propio. • Intruso Persona que intenta violar la seguridad de algún sistema informático.

  16. Problemas comunes • Contraseñas • Contraseñas débiles • Reutilización de contraseñas • Configuraciones • Inercia • Comodidad • Actualizaciones • Deshabilitación / no configuración • Ausencia de ambiente de pruebas • Navegación web • Sitios peligrosos • “Visión de túnel”

  17. Nobody ever defended anything successfully; there is only attack and attack and attack some more. G.A. George S. Patton Introducción a la seguridad en cómputo Ataques a la seguridad informática

  18. ¿Qué es un ataque? Un atentado sobre la seguridad de un sistema, que deriva de una amenaza inteligente; un acto inteligente que es un intento deliberado de evadir servicios de seguridad, y violar la política de seguridad de un sistema (IETF) • Explota una vulnerabilidad • Precedido por una amenaza inteligente • Conlleva un impacto

  19. Vulnerabilidades Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más amenazas (ISO 27005). • Presentes en todo elemento de cómputo • Por diseño o inherente

  20. Vulnerabilidades • Las podemos controlar • No podemos controlar la amenaza • Las podemos corregir • Vasta mayoría, error humano • Las podemos evitar • Buenas prácticas / experiencia

  21. Vulnerabilidades comunes • En software • CWE top 25 • En hardware • Acceso • Sensible a elementos • De configuración • De usuario

  22. Detección/explotación de vulnerabilidades • Escáner de puertos • Enumerador de red • Escáner de vulnerabilidades en red • Escáner de aplicaciones web • Fuzzer • Analizador estático de código

  23. CoreImpact • http://www.youtube.com/watch?v=SsI41_ZYB8c

  24. Nessus • http://www.youtube.com/watch?v=-7ThbeAMqkw

  25. Metasploit • http://www.youtube.com/watch?v=A5-E69E1G8U

  26. ZedAttack Proxy • http://www.youtube.com/watch?v=5RmHyZkQo_8

  27. Malware • Virus • El primer tipo de código malicioso • ILOVEYOU (2000, Macro Word, adjunto e-mail, PC) 50 millones en 10 días

  28. Malware • Trojanhorse • Control remoto inadvertido • Flashback (2011, Applet, Web, Mac) 600,000 Macs infectadas

  29. Malware • Spyware • Recolección no autorizada de información • Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows) 40 millones de “usuarios”

  30. Malware • Worm • Virus autorreplicable • Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA) ½ millón de infecciones

  31. Malware • Bots • Worm + trojan • BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC) 30,000,000 de bots,3,600 millones de spam/día

  32. Ataques • Denial of Service (DOS) • Spoofing • Snooping / MITM • Skimming

  33. Aún más ataques! • Trashing • Phreaking • DNS Poisoning • …

  34. Bluetooth • http://www.youtube.com/watch?v=1c-jzYAH2gw

  35. WiFi • http://www.youtube.com/watch?v=e0udwPoUR9k

  36. Phishing • Sitio web falso • Robo de información • Distribuidos por e-mail

  37. Pharming • Similar a phishing • Sustitución de servidores DNS • Sitios remotos o locales

  38. Scams • Engaños por dinero o diversión • Provenientes usualmente del extranjero • Pueden implicar contacto directo con la víctima • Nuevas tendencias: móviles, secuestros…

  39. Ingeniería social • El ataque humano más difícil – y el más productivo • Psicología + conocimiento insider • No requiere conocimiento técnico

  40. Ejemplos de ingeniería social • Mauersby & Storch (Contabilidad) • Llamada de soporte, 7:49 hrs • “Hay problemas y me gustaría verificar algunos datos” • Usuario nunca revela su contraseña • 100% de registros fiscales robados

  41. Ejemplos de ingeniería social • Proveedor de servicios, telefonía móvil • 3 llamadas: recepción, contabilidad, *, publicaciones • “Necesito una copia del directorio de empleados • 1 pieza de información: Código de compras • Directorio enviado (fuga de talento)

  42. Ejemplos de ingeniería social • Compañía de tarjetas de crédito • Buzón de voz temporal para empleada de viaje • Dos llamadas telefónicas: telecom y servicios • Robo de identidad

  43. Ejemplos de ingeniería social • Security PacificNational Bank • Empleado temporal con acceso a cuarto de transferencias • Dos llamadas: transferencias y * • 10 millones de dólares en cuenta suiza

  44. La psicología del atacante • Reto personal • Credibilidad • Ganancia económica • Retribución

  45. AdvancedPersistentThreat • Decidido • Con dominio tecnológico • Conocimiento profundo de víctima • Puede aplicar casi cualquier técnica