PDF de programación - Seguridad Informática

SEGURIDAD
SEGURIDAD
INFORMATICA
INFORMATICA

Mg. Sc. Miguel Cotaña Mier
Mg. Sc. Miguel Cotaña Mier

Septiembre 2008

CONTENIDO
CONTENIDO

1.- INTRODUCCION

2.- HERRAMIENTAS CRIPTOGRAFICAS
2.- HERRAMIENTAS CRIPTOGRAFICAS

3.- FIRMA DIGITAL

cvfdkfi
enreik
diekfg

h

LOGIN

PASSWORD

4.- AUTORIDADES CERTIFICANTES

2

Comercio on-line

Transacciones con la

administración

Transacciones B2B, B2C, .

Gestión remota de

aplicaciones

CANAL SEGURO
CANAL SEGURO

Introducción

Internet

son

comunicaciones

en

Las
abiertas y sin controles
Conflictos con la necesidad de privacidad,
las
confidencialidad
transacciones
El
impresionante
impresionante
Principales problemas:

fraude en la red crece en forma

integridad

e

en

Fallas humanas
Ausencia de procedimientos
Errores en la configuración del software4

Identidad de los usuarios
Sin tecnología adicional no se puede
Sin tecnología adicional no se puede
estar seguro de la identidad de los
usuarios de la red
La seguridad de la información es el
principal problema
generar marcos
generar marcos
deben
Gobiernos
Gobiernos
deben
quienes
legales
cometen delitos en la red, permitiendo
la creación de firmas y certificados
digitales estandarizados

castigar

5

para

a

Las organizaciones deben definir sus
necesidades de seguridad y confianza:

Confidencialidad: protección de acceso a
la información; ►Técnicas criptográficas
Integridad: garantía de modificación de
información y programas; ►Técnicas
criptográficas
criptográficas
Disponibilidad:
usuarios autorizados a la información;
Uso legítimo: recursos no utilizados por
personas no autorizadas; ►Sistemas de
autenticación fuerte
Validación

continuo

acceso

de

6

Política de información

Toda empresa debe desarrollar una política
de información de actualización continua:

de

riesgo

Lista de recursos que deben protegerse
Lista de recursos que deben protegerse
Catalogar las amenazas para cada uno
de los recursos a proteger
Análisis
el
que
porcentaje de probabilidad asignado a
cada amenaza
cada amenaza
sistemas
Implementación
seguridad efectivos con los costos
Definición de procesos de seguridad que
deberán ser actualizados

indique

de

de

7

Amenazas y desafíos de Internet

Amenazas se pueden categorizar en:

Amenaza
Amenaza

Impacto en la empresa
Impacto en la empresa

Pérdida de
integridad de datos
Pérdida de
privacidad de datos

Intruso crea, modifica y borra
información
Se
brinda
información
autorizadas
autorizadas

a
personas

la
no

acceso

a

Pérdida de servicio El servicio se interrumpe por las

Pérdida de control

acciones de un hacker
Personas no autorizadas utilizan
los servicios sin ningún control8

Phishing

El estafador, mejor conocido como
El estafador, mejor conocido como
phisher se hace pasar por una
persona o empresa de confianza en
una aparente comunicación oficial
electrónica, por lo común un correo
de
electrónico,
electrónico,
de
mensajería instantánea o incluso
mensajería instantánea o incluso
llamadas
utilizando
telefónicas.

también

algún
algún

sistema
sistema

9

Spoofing - Pharming

Spoofing, en términos de seguridad
Spoofing, en términos de seguridad
de redes hace referencia al uso de
técnicas de suplantación de identidad
generalmente con usos maliciosos o
de investigación.
Pharming, es la explotación de una
vulnerabilidad en el software de los
vulnerabilidad en el software de los
servidores DNS, o en los equipos de
los propios usuarios, que permite a
un atacante redireccionar un nombre
de dominio a otra máquina distinta.10

Worms o gusanos

gusano
gusano

es
es
que

un
un
tiene

virus
virus
Un
Un
la
informático
propiedad de duplicarse a sí
mismo. Los gusanos utilizan las
partes automáticas de un sistema
partes automáticas de un sistema
operativo que generalmente son
invisibles al usuario.

11

A diferencia de un virus, un gusano
no precisa alterar los archivos de
no precisa alterar los archivos de
programas, sino que reside en la
memoria y se duplica a sí mismo. Los
gusanos
red
simplemente
(aunque
banda),
de
consumiendo
de
banda),
consumiendo
siempre
virus
mientras que
infectan o corrompen los archivos de
la computadora que atacan.

siempre
sea

ancho
ancho

12

dañan

la

los

algo

usual

detectar

del

la
Es
presencia de gusanos en un
presencia de gusanos en un
sistema cuando, debido a su
los
incontrolada
se
recursos
consumen hasta el punto de que
consumen hasta el punto de que
las tareas ordinarias del mismo
o
son
simplemente
pueden
ejecutarse.

excesivamente
no

replicación,
sistema

lentas

13

Troyanos

Troya)
Troya)

a
a

un
un

permitir

Se denomina troyano (o caballo
programa
programa
de
de
malicioso capaz de alojarse en
el
computadoras
acceso a usuarios externos, a
través de una red local o de
través de una red local o de
fin de recabar
Internet, con el
controlar
o
información
remotamente
la máquina
anfitriona.

y

a

14

teóricamente
teóricamente

Un troyano no es en sí un virus, aún
cuando
ser
cuando
ser
distribuido y funcionar como tal. La
diferencia consiste en su finalidad. Para
que un programa sea un "troyano" solo
la
tiene que acceder y controlar
máquina anfitriona sin ser advertido. Al
máquina anfitriona sin ser advertido. Al
contrario que un virus, que es un
troyano no
huésped destructivo, el
necesariamente provoca daños porque
no es su objetivo

pueda
pueda

15

Suele ser un programa alojado dentro
de una aplicación, una imagen, un
de una aplicación, una imagen, un
archivo de música, etc., de apariencia
inocente, que se instala en el sistema
al ejecutar el archivo que lo contiene.
Una vez instalado parece realizar una
(aunque cierto tipo de
función útil
función útil
(aunque cierto tipo de
troyanos permanecen ocultos y por tal
motivo los antivirus o anti troyanos no
los eliminan) pero internamente realiza
otras tareas.

16

de

acceso

remoto

Habitualmente se utiliza para espiar,
usando la técnica para instalar un
usando la técnica para instalar un
software
que
permite monitorizar lo que el usuario
legítimo de la computadora hace (en
este caso el troyano es un spyware o
ejemplo,
programa
programa
ejemplo,
teclado
capturar
las pulsaciones del
fin de obtener contraseñas
con el
(cuando un troyano hace esto se le
cataloga de keylogger).

espía)
espía)

y,
y,

por
por

17

18

Bombas de tiempo y lógicas

"bombas

denominadas

de
Las
tiempo" y las "bombas lógicas" son
tiempo" y las "bombas lógicas" son
tipos de troyanos. Las primeras se
activan en fechas particulares o un
número determinado de veces. Las
determinadas
segundas
la
circunstancias
circunstancias
la
computadora infectada cumple una
serie de requisitos especificados por
su programador

en

cuando
cuando

19

Droppers

denominados

Los
droppers
realizan dos operaciones a la vez.
realizan dos operaciones a la vez.
Un “dropper” realiza una tarea
legítima pero a la vez instala un
virus informático o un gusano
informático en un sistema o
informático en un sistema o
disco, ejecutando ambos a la vez.

20

Ingeniería Social

el
el

campo
campo

de
de

de

obtener

ingeniería
ingeniería

la
la
social
social

seguridad
seguridad
En
En
la
la
informática,
informática,
información
práctica
confidencial a través de la manipulación
de usuarios legítimos.
Un IS usa comúnmente el teléfono o
Internet para engañar a la gente y
Internet para engañar a la gente y
llevarla
información
sensible, o bien violar las políticas de
seguridad típicas.

a

revelar

la

es
es

21

……. Ingeniería Social

Con este método, los IS aprovechan
la tendencia natural de la gente a
la tendencia natural de la gente a
confiar en su palabra, antes que
aprovechar agujeros de seguridad
en los SI.
Generalmente se está de acuerdo
en que “los usuarios son el eslabón
en que “los usuarios son el eslabón
débil” en seguridad; éste es el
principio por el que se rige la
ingeniería social.

22

……. Ingeniería Social

social:

las

sector

Los ataques más exitosos contra
el
víctimas
responden a solicitudes del atacante.
responden a solicitudes del atacante.
La ingeniería social se concentra
en el eslabón más débil de la
seguridad de Internet:
ser
humano
La piratería social facilita la tarea
La piratería social facilita la tarea
de
sistemas
informáticos: organigramas, listados
empresa,
telefónicos
documentos en la basura, dispositivos
de almacenamiento en desuso;

acceder

a

los

de

la

el

23

……. Ingeniería Social

Solicitud directa de información
Por bien protegido que esté un
Por bien protegido que esté un
sistema, éste puede sufrir un ataque
directo. Por tanto:

“Capacitar al personal de la empresa
para que entienda la importancia de
para que entienda la importancia de
la seguridad y poner en conocimiento
métodos de hackers para vulnerar las

barreras”

24

Scam

Buscas trabajo?
Necesita un ingreso extra?
Necesita un ingreso extra?
Desea
dólares
trabajando 2 horas desde su
hogar?

ganar

3000

Los estafadores buscan intermediarios
sirvan de pantalla para
les
que
que
sirvan de pantalla para
les
ejecutar
ejecutar
sus planes de
sus planes de
a
a
terceros a través de sus cuentas
bancarias,
han
obtenido
la
conocida técnica del phishing (y hoax).

previamente

números

cuyos

robos
robos

usando

25

El problema de la (falta de) Seguridad

26

Robo de Identidad

identificatoria

Significa la utilización de cualquier
Significa la utilización de cualquier
información
una
persona sin contar con autoridad legal
para ello, con el objetivo de cometer un
fraude.
Información
significa
cualquier nombre o número que pueda
cualquier nombre o número que pueda
ser utilizado, solo o en forma conjunta
con cualquier otra información, para
identificar a un individuo específico.

identificatoria

de

27

Cómo resolver los problemas de
seguridad

Servicio Denegado
Servicio Denegado
ataque
–Problema:

indirecto
servicio que se quiere perjudicar

al

–Solución: Un servidor web bloquea
todo tráfico no HTTP. Al pasar por
todo tráfico no HTTP. Al pasar por
alto todo el tráfico de los puertos que
no sean el 80, el servidor es menos
vulner