Origen de los problemas de Seguridad Inform

1
Origen de los problemas de Seguridad Informática

• Helios Mier Castillo
• hmier_at_ieee.org
• Departamento de Seguridad Informática
• desei_at_uag.mx
• Instituto de Investigación y Desarrollo de
  Ingeniería de Software
• Universidad Autónoma de Guadalajara

2
Si te conoces a ti mismo y conoces a tu enemigo,
entonces no deberás temer el resultado de mil
batallas

• Sun-Tzu, El Arte de la Guerra

3

• LA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN
  DESTINO
• Objetivo mantener los sistemas generando
  resultados.
• Si los sistemas no se encuentran funcionando
  entonces su costo se convierte en perdidas
  financieras (en el menos grave de los casos).
• El resultado generado por un sistema es la
  INFORMACION que ALMACENA O PRODUCE.

4

• La seguridad informática NO es un problema
  exclusivamente de las computadoras.
• Las computadoras y las redes son el principal
  campo de batalla.
• Se debe de proteger aquello que tenga un valor
  para alguien.

5
Definiciones de seguridad

• Políticas, procedimientos y técnicas para
  asegurar la integridad, disponibilidad y
  confiabilidad de datos y sistemas.
• Prevenir y detectar amenazas. Responder de una
  forma adecuada y con prontitud ante un incidente.
• Proteger y Mantener los sistemas funcionando.

6
por qué?

• Por , el dueño de los sistemas tiene dinero
  INVERTIDO en algo que le trae un beneficio o
  ventaja.
• El Cracking a otros sistemas desde cualquier
  punto de vista es ilegal. Estamos defendiéndonos
  ante el crimen. (aunque no haya leyes)
• Por CALIDAD, hay que acostumbrarnos a hacer las
  cosas bien, aunque cueste más esfuerzo.

7
De donde surge la seguridad?

• Tecnológicamente, la seguridad es GRATIS
• YA HAS PAGADO POR ELLA Los sistemas operativos
  modernos contienen muchas características de
  seguridad. Las conoces?Las usas?
• LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN
  SOURCE. (excepto los antivirus)

8

• La Seguridad Informática es Fácil Con el 20 de
  esfuerzo se puede lograr el 80 de resultados
• Actividades sencillas pero constantes son las que
  evitan la mayoría de los problemas.
• Se debe de trabajar en crear MECANISMOS de
  seguridad que usan las TECNICAS de seguridad
  adecuadas según lo que se quiera proteger.

9
Dónde entra el Software Libre?

• Esta adquiriendo muchos simpatizantes y usuarios.
  Se esta volviendo popular.
• Generalmente se encuentran en partes importantes
  de los sistemas de una empresa, aunque el resto
  de los usuarios sigan mirando por las ventanas.
• Se descubren constantemente nuevas
  vulnerabilidades y algunas de ellas son muy
  fáciles de aprovechar.
• Por falta de conocimientos, podemos introducir
  vulnerabilidades donde antes no había.

10
ROLES INVOLUCRADOS EN SEGURIDAD
11
SEGURIDAD
USUARIOS
12
Usuarios comunes

• Los usuarios se acostumbran a usar la tecnología
  sin saber como funciona o de los riesgos que
  pueden correr.
• Son las principales víctimas.
• También son el punto de entrada de muchos de los
  problemas crónicos.
• El eslabón más débil en la cadena de seguridad.
• Social Engineering Specialist Because There is
  no Security Patch for Humans

13
2 enfoques para controlarlos

• Principio del MENOR PRIVILEGIO POSIBLE
• Reducir la capacidad de acción del usuario sobre
  los sistemas.
• Objetivo Lograr el menor daño posible en caso de
  incidentes.
• EDUCAR AL USUARIO
• Generar una cultura de seguridad. El usuario
  ayuda a reforzar y aplicar los mecanismos de
  seguridad.
• Objetivo Reducir el número de incidentes

14
CREADORES DE SISTEMAS
SEGURIDAD
USUARIOS
15
Creando Software

• El software moderno es muy complejo y tiene una
  alta probabilidad de contener vulnerabilidades de
  seguridad.
• Un mal proceso de desarrollo genera software de
  mala calidad. Prefieren que salga mal a que
  salga tarde.
• Usualmente no se enseña a incorporar requisitos
  ni protocolos de seguridad en los productos de SW.

16
Propiedades de la Información en un Trusted
System

• Confidencialidad Asegurarse que la información
  en un sistema de cómputo y la transmitida por un
  medio de comunicación, pueda ser leída SOLO por
  las personas autorizadas.
• Autenticación Asegurarse que el origen de un
  mensaje o documento electrónico esta
  correctamente identificado, con la seguridad que
  la entidad emisora o receptora no esta suplantada.

17

• Integridad Asegurarse que solo el personal
  autorizado sea capaz de modificar la información
  o recursos de cómputo.
• No repudiación Asegurarse que ni el emisor o
  receptor de un mensaje o acción sea capaz de
  negar lo hecho.
• Disponibilidad Requiere que los recursos de un
  sistema de cómputo estén disponibles en el
  momento que se necesiten.

18
Ataques contra el flujo de la información
Receptor
Emisor
Atacante

• FLUJO NORMAL
• Los mensajes en una red se envían a partir de un
  emisor a uno o varios receptores
• El atacante es un tercer elemento en la realidad
  existen millones de elementos atacantes,
  intencionales o accidentales.

19
Receptor
Emisor
Atacante

• INTERRUPCION
• El mensaje no puede llegar a su destino, un
  recurso del sistema es destruido o temporalmente
  inutilizado.
• Este es un ataque contra la Disponibilidad
• Ejemplos Destrucción de una pieza de hardware,
  cortar los medios de comunicación o deshabilitar
  los sistemas de administración de archivos.

20
Receptor
Emisor
Atacante

• INTERCEPCION
• Una persona, computadora o programa sin
  autorización logra el acceso a un recurso
  controlado.
• Es un ataque contra la Confidencialidad.
• Ejemplos Escuchas electrónicos, copias ilícitas
  de programas o datos, escalamiento de privilegios.

21
Receptor
Emisor
Atacante

• MODIFICACION
• La persona sin autorización, además de lograr el
  acceso, modifica el mensaje.
• Este es un ataque contra la Integridad.
• Ejemplos Alterar la información que se transmite
  desde una base de datos, modificar los mensajes
  entre programas para que se comporten diferente.

22
Receptor
Emisor
Atacante

• FABRICACION
• Una persona sin autorización inserta objetos
  falsos en el sistema.
• Es un ataque contra la Autenticidad.
• Ejemplos Suplantación de identidades, robo de
  sesiones, robo de contraseñas, robo de
  direcciones IP, etc...
• Es muy difícil estar seguro de quién esta al otro
  lado de la línea.

23
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
USUARIOS
24
Para que esperar

• Si gastas más dinero en café que en Seguridad
  Informática, entonces vas a ser hackeado, es más,
  mereces ser hackeado
• Richard digital armageddon Clark, USA DoD
• La mayoría de las empresas incorporan medidas de
  seguridad hasta que han tenido graves problemas.
  para que esperarse?

25
Siempre tenemos algo de valor para alguien

• Razones para atacar la red de una empresa
• , ventaja económica, ventaja competitiva,
  espionaje político, espionaje industrial,
  sabotaje,
• Empleados descontentos, fraudes, extorsiones,
  (insiders).
• Espacio de almacenamiento, ancho de banda,
  servidores de correo (SPAM), poder de cómputo,
  etc
• Objetivo de oportunidad.

26
Siempre hay algo que perder

• Pregunta Cuánto te cuesta tener un sistema de
  cómputo detenido por causa de un incidente de
  seguridad?
• Costos económicos (perder oportunidades de
  negocio).
• Costos de recuperación.
• Costos de reparación.
• Costos de tiempo.
• Costos legales y judiciales.
• Costos de imagen.
• Costos de confianza de clientes.
• Perdidas humanas (cuando sea el caso).

27
Qué hacer?

• Los altos niveles de la empresa tienen que apoyar
  y patrocinar las iniciativas de seguridad.
• Las políticas y mecanismos de seguridad deben de
  exigirse para toda la empresa.
• Con su apoyo se puede pasar fácilmente a
  enfrentar los problemas de manera proactiva (en
  lugar de reactiva como se hace normalmente)

28
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
HACKER CRACKER
USUARIOS
29
Cracking

• Cool as usual Todo está bien
• Los ataques son cada vez mas complejos.
• Cada vez se requieren menos conocimientos para
  iniciar un ataque.
• México es un paraíso para el cracking.
• Por qué alguien querría introducirse en mis
  sistemas?
• Por qué no? Si es tan fácil descuidos,
  desconocimiento, negligencias, (factores humanos).

30
Quienes atacan los sistemas

• Gobiernos Extranjeros.
• Espías industriales o políticos.
• Criminales.
• Empleados descontentos y abusos internos.
• Adolescentes sin nada que hacer

31
Niveles de Hackers

• Nivel 3 (ELITE) Expertos en varias áreas de la
  informática, son los que usualmente descubren los
  puntos débiles en los sistemas y pueden crear
  herramientas para explotarlos.
• Nivel 2 Tienen un conocimiento avanzado de la
  informática y pueden obtener las herramientas
  creadas por los de nivel 3, pero pueden darle
  usos más preciso de acuerdo a los intereses
  propios o de un grupo.

32

• Nivel 1 o Script Kiddies Obtienen las
  herramientas creadas por los de nivel 3, pero las
  ejecutan contra una víctima muchas veces sin
  saber lo que están haciendo.
• Son los que con más frecuencia realizan ataques
  serios.
• Cualquiera conectado a la red es una víctima
  potencial, sin importar a que se dedique, debido
  a que muchos atacantes sólo quieren probar que
  pueden hacer un hack por diversión.

33
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
HACKER/CRACKER
USUARIOS
ADMINISTRADORES DE T.I.
34
ADMINISTRADORES

• Son los que tienen directamente la
  responsabilidad de vigilar a los otros roles.
  (aparte de sus sistemas)
• Hay actividades de seguridad que deben de
  realizar de manera rutinaria.
• Obligados a capacitarse, investigar, y proponer
  soluciones e implementarlas.
• También tiene que ser hackers Conocer al
  enemigo, proponer soluciones inteligentes y
  creativas para problemas complejos.

35
Puntos Débiles en los Sistemas
Comunicaciones
Aplicación
Servicios Internos
Servicios Públicos
Sistema Operativo
Usuarios
Almacenamiento de datos
36
Palabras Finales

• El Boom del S.L. ofrece la oportunidad de que las
  cosas se hagan bien desde el principio.
• La educación de seguridad tiene que ir a la par
  del cambio hacia el S.L.
• Si esto no se realiza, en el futuro nos estaremos
  quejando de S.L. de la misma forma que

37

• PREGUNTAS Y RESPUESTAS
• Helios Mier Castillo
• hmier_at_ieee.org
• Departamento de Seguridad Informática
• desei_at_uag.mx
• Instituto de Investigación y Desarrollo de
  Ingeniería de Software
• Universidad Autónoma de Guadalajara