COSEC

www.seg.inf.uc3m.es
INGENIERA DE LA SEGURIDAD

1.- Introduccin a la ingeniera
de la seguridad

GRADO EN INGENIERA INFORMTICA
COSEC
www.seg.inf.uc3m.es
Calidad relativa que expresa el balance
entre el riesgo (amenazas,
vulnerabilidades e impacto) y las
medidas adoptadas para paliarlo
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
SEGURIDAD
COSEC
www.seg.inf.uc3m.es
3
SEGURIDAD DE LOS DATOS (INFORMACIN)
Trata de la proteccin de stos frente a
revelaciones accidentales o
intencionadas a usuarios no autorizados,
frente a modificaciones indebidas o
frente a destrucciones.
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Complejidad
Mltiples funciones
Facilidad de uso
Interdependencia
Enlaces mviles
Comportamiento inesperado
Errores imprevisibles
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
SISTEMAS INFORMTICOS
COSEC
www.seg.inf.uc3m.es
5
Coste
Seguridad Rendimiento
Usabilidad

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
SEGURIDAD. Inconvenientes
COSEC
www.seg.inf.uc3m.es
6
Web 2.0
Blogs
Redes sociales
Mviles inteligentes (Androids)
Infraestructuras crticas (APT)
BYOD (Bring your own devices)
Cloud computing
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PREOCUPACIONES ACTUALES
COSEC
www.seg.inf.uc3m.es
Disciplina cuyo objetivo es el diseo,
construccin y mantenimiento de
sistemas seguros frente a errores y
amenazas deliberadas o accidentales,
atendiendo a los recursos disponibles y
respetando las obligaciones legales y
normas tcnicas pertinentes
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
La seguridad es una cadena, tan
segura como su eslabn ms dbil.

La seguridad es un proceso no un
producto

Bruce Schneier. Secrets and Lies

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Conceptos previos
Principios de diseo de sistemas seguros
Amenazas. El factor humano
Herramientas de ataque. Ingeniera social
Programas malignos
El ciclo de vida de la seguridad
CAPTULO 1. Programa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Activo
Amenaza (Ataque)
Vulnerabilidad
Riesgo
Medidas de seguridad (Servicios)
Mecanismos
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
CONCEPTOS PREVIOS (Cripto y Seguridad en las T.I.)
COSEC
www.seg.inf.uc3m.es
ACTIVOS A PROTEGER
Hardware

Software

Datos

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Datos

Confidencialidad
+
Integridad
+
Disponibilidad

OBJETIVOS DE LA SEGURIDAD
QU HAY QUE PROTEGER?: Activos
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
13
Disponibilidad
Integridad Confidencialidad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
DIMENSIONES DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Total vulnerabilidades (1995-2008): 44.074
CERT: Vulnerabilidades (1995-2008)
1

1. Enero 2009
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
2013 OWASP TOP 10 LIST
OWAPS. Open Web Application Security Project
COSEC
www.seg.inf.uc3m.es
16
Denominacin e intercambio
CVE (Common vulnerabilities and exposures)
ITU-T Recomendacin X.1520 (04/2011)
Bases de datos
National Vulnerability DB
Open source vulnerability DB
Security Focus
IBM X-Force vulnerability DB
VULNERABILIDADES. Denominacin y BB.DD
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
17
Zero Day Initiative (Tipping Point. 3Com)
iDefense (Veri Sign)
iSight Partners
EMPRESAS COMPRADORAS DE BUGS
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
18
MEDIDAS DE SEGURIDAD (Segn actuacin)
Prevencin
Minimiza probabilidad de un ataque
Deteccin
Minimiza propagacin del ataque
Correccin
Minimiza el dao de un ataque
Recuperacin
Minimiza las consecuencias de un ataque
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
19
MEDIDAS DE SEGURIDAD (Segn naturaleza)
Legales
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
20
Ley 15/99 Orgnica de Proteccin de datos de
carcter personal (LOPD)
R. D. Legislativo 1/96 Texto Refundido LPI
Ley Orgnica 10/95 del Cdigo Penal
Ley 34/02 de servicios de la sociedad de la
informacin y del comercio electrnico (LSSCE)
Ley 32/03 general de telecomunicaciones
Ley 59/03 de firma electrnica (LFE)
MEDIDAS DE SEGURIDAD: Legales
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
21
MEDIDAS DE SEGURIDAD (Segn naturaleza)
Legales
Administrativas y organizativas
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
22
MEDIDAS SEGURIDAD: Administ-organizativas
Clasificacin de la informacin
Asignacin de responsabilidades
Funcin de seguridad
Formacin y sensibilizacin
.
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
23
MEDIDAS DE SEGURIDAD (Segn naturaleza)
Legales
Administrativas y organizativas
Fsicas
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
MEDIDAS DE SEGURIDAD: Fsicas
Sistemas de deteccin y extincin de
incendios
Sistemas contra inundaciones
Equipos de continuidad
Control de accesos de individuos y objetos
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
25
MEDIDAS DE SEGURIDAD (Segn naturaleza)
Legales
Administrativas y organizativas
Fsicas
Tcnicas
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
26
MEDIDAS DE SEGURIDAD: Tcnicas
Identificacin y autenticacin
Control de accesos
Confidencialidad
Integridad
No repudio
Auditora
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
27
MECANISMOS DE SEGURIDAD
Autenticacin
Control de accesos
Cifrado de datos
Funciones resumen
Firma digital
Registro de auditora
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
PRINCIPIO DE PROPORCIONALIDAD
Las medidas de seguridad y su aplicacin
deben ser proporcionales a la naturaleza
de los datos, a los riesgos a los que estn
expuestos stos y los sistemas de
informacin que los tratan, y al estado de
la tecnologa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Conceptos previos
Principios de diseo de sistemas seguros
Amenazas. El factor humano
Herramientas de ataque. Ingeniera social
Programas malignos
El ciclo de vida de la seguridad
CAPTULO 1. Programa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
DESARROLLO DE UN PRODUCTO. Clsico
Funcionalidad
Interoperabilidad
Seguridad
Calidad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
S
E
G
U
R
I
D
A
D

C
A
L
I
D
A
D

FUNCIONALIDAD
INTEROPERABILIDAD
DESARROLLO DE UN PRODUCTO. Actual
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
DESARROLLO DE UN PRODUCTO: Mtrica
EVS
ASI
DSI
CSI
IAS
SEGURIDAD
T
1
T
2
T
3
T
4
T
5

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
PRINCIPIOS DE DISEO. Sistemas seguros
1. Economa de mecanismos
Simplicidad frente a complejidad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
1. Economa de mecanismos
2. Seguridad por omisin
Todo lo no permitido est prohibido
(frente a todo lo que no est prohibido
est permitido)
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
1. Economa de mecanismos
2. Seguridad por omisin
3. Mediacin completa
Todos los accesos deben de ser
filtrados por los mecanismos de
seguridad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
1. Economa de mecanismos
2. Seguridad por omisin
3. Mediacin completa
4. Diseo abierto
Seguridad por transparencia frente a
seguridad por oscuridad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
1. Economa de mecanismos
2. Seguridad por omisin
3. Mediacin completa
4. Diseo abierto
5. Segregacin de funciones
P. ej., administrador de seguridad
frente a administrador del sistema
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
6. Mnimo privilegio
Acceso a los recursos imprescindibles
para el desempeo de las tareas
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
6. Mnimo privilegio
7. Mnimos mecanismos comunes
8. Aceptabilidad del usuario
Interfaces intuitivas y fciles de usar.
Concienciacin
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
6. Mnimo privilegio
7. Mnimos mecanismos comunes
8. Aceptabilidad del usuario
9. Factor de trabajo
Costo de ruptura de los mecanismos
de seguridad. Comparacin con los
beneficios esperables. Principio de
proporcionalidad
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
6. Mnimo privilegio
7. Mnimos mecanismos comunes
8. Aceptabilidad del usuario
9. Factor de trabajo
10. Registro de incidencias
Anlisis peridico de los mismos
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
PRINCIPIOS DE DISEO. Sistemas seguros
COSEC
www.seg.inf.uc3m.es
Conceptos previos
Principios de diseo de sistemas seguros
Amenazas. El factor humano
Herramientas de ataque. Ingeniera social
Programas malignos
El ciclo de vida de la seguridad
CAPTULO 1. Programa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
AMENAZAS: El factor humano
Empleados (usuarios e informticos)
Negligentes
43 INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
44
Datos personales de afiliados a CC OO, a la vista por culpa del P2P

ELPAIS.com - 11-04-2007
El escenario no puede ser ms desolador para el administrador de una red
corporativa: uno de los trabajadores instala el conocido programa de
intercambio de ficheros eMule (el sistema se lo permite), se conecta a
Internet con l para bajar ficheros (la red se lo permite) y para colmo,
pone a compartir no slo un directorio, sino todo el disco duro... ,
incluida una base de datos con 20.000 registros de funcionarios que
haban participado en unos cursos de formacin, entre los que estaban el
DNI, su nombre y apellidos, su direccin, o su puesto. El caso, aun
siendo estrafalario, es tan real como la sancin que la AEPD ha impuesto
a la Federacin de Servicios y AA PP de CCOO, de la que salieron los
datos, por incumplir su deber de custodiarlos a buen recaudo.
EMPLEADOS NEGLIGENTES. Ejemplo
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
El Pas 25 Abr 08
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
1. Fuente CERT
Intrusiones explotan vulnerabilidades corregidas
EMPLEADOS NEGLIGENTES. Actualizacin software
1

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Estimado cliente,

Hoy Microsoft tuvo conocimiento de la disponibilidad de cdigo en
Internet que tiene como objetivo aprovechar las vulnerabilidades
publicadas en el boletn de seguridad del pasado 13 de Abril.
Probablemente, usted o alguien de su compaa recibiera dicho
boletn, anunciando las actualizaciones de seguridad.

Nos ponemos nuevamente en contacto con usted para
asegurarnos de que cuenta con la informacin y con los recursos
necesarios para afrontar cualquier incidencia de seguridad que
pudiera surgir. Si usted todava est evaluando estas
actualizaciones, le recomendamos que acelere dicho proceso de
anlisis y las instale de manera inmediata. (23 de Abril de 2004)
EMPLEADOS NEGLIGENTES. Actualizacin software
COSEC
www.seg.inf.uc3m.es
AMENAZAS: El factor humano
Empleados
Negligentes
Desleales y resentidos
48 INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
1. 5 Global State of I.S. PwC. 2008
AMENAZAS: El factor humano
1

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
Atacantes
2007 2008
Empleados/Antiguos empleados
89% 50%
Hackers
41% 28%
Desconocido
* 42%
Partners/clientes/otros
48% 31%
Terroristas/gobiernos extranjeros
6% 4%
* No contemplado
COSEC
www.seg.inf.uc3m.es
1. Perfil defraudador. 2007. KPMG
50
69%
11%
20%
Interna
Externa
Mixta
RELACIN CON LA EMPRESA
1
COSEC
www.seg.inf.uc3m.es
1. Perfil defraudador. 2007. KPMG
51
0% 10% 20% 30% 40%
>10
6<x<10
3<x<6
1<x<3
<1
AOS AL SERVICIO DE LA ORGANIZACIN
1

COSEC
www.seg.inf.uc3m.es
78%
22%
Interno
Externo
EMPLEADOS DESLEALES: Tipo de investigacin
1

INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
74%
26%
Acuerdo
transacional
Reclamacin
judicial
EMPLEADOS DESLEALES: Actuacin de la empresa
1
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
13%
87%
S
No
EMPLEADOS DESLEALES: Divulgacin infraccin
1
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
22%
11%
10%
21%
5%
31%
Empresa paralela
Daos
Acceso no
autorizado
Amenazas
Otros
Informacin
otros P2P
EMPLEADOS DESLEALES: Infraccin
1
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
1. National Strategy to Secure Cyberspace.Casa Blanca 2003
56
Many cyber vulnerabilities exist because of a
lack of cybersecurity awareness on the part
of computer users, systems administrators,
technology developers, auditors, chief
information officers and corporate boards.
Such awareness-based vulnerabilities present
serious risks to critical infrastructures
1
COSEC
www.seg.inf.uc3m.es
AMENAZAS: El factor humano
Empleados
Negligentes
Desleales y resentidos
Acciones de terceros
Delincuentes
Vndalos
57
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
58
Satisfaccin personal (Autoestima)
Efectos inocuos
Efectos vandlicos
Beneficio (usualmente lucro econmico)
Destruccin de infraestructuras crticas o
instalaciones militares (ciberterrorismo,
ciberguerra)
EL FACTOR HUMANO: Motivacin
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Conceptos previos
Principios de diseo de sistemas seguros
Amenazas. El factor humano
Herramientas de ataque. Ingeniera social
Programas malignos
El ciclo de vida de la seguridad
CAPTULO 1. Programa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
HERRAMIENTAS DE ATAQUE
Sofisticadas
Ataques hbridos
60
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
61
HERRAMIENTAS HBRIDAS. Programas espa
Programas usualmente malignos,
contenidos en software descargado de
Internet, que se autoinstalan en el
ordenador recogiendo informacin de los
hbitos de navegacin del usuario o sus
pulsaciones del teclado para remitirla
despus a su creador
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
COSEC
www.seg.inf.uc3m.es
63
HERRAMIENTAS HBRIDAS. Programas espa
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
Sofisticadas

Automatizadas
64
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
HERRAMIENTAS DE ATAQUE
COSEC
www.seg.inf.uc3m.es
HERRAMIENTAS AUTOMATIZADAS: Ejemplo
COSEC
www.seg.inf.uc3m.es
VERSION ACTUALIZADA 2003
Contenido CD HACKER
MANUALES Y TUTORIALES HACKERS Y COMUNICACIONES
SNIFFERS
IP TOOLS
SCANNERS
CONTROL A DISTANCIA
PROGRAMAS VARIOS HACKING
HERRAMIENTAS ANTI SPYWARE
HERRAMIENTAS ANTI HACKER
ATAQUES
SERIALS Y CRACKERS
KEYLOGGERS
PASSWORDS (utilitarios para develar claves, generadores de combinaciones de claves, fuerza
bruta )
FUERZA BRUTA (para forzar el login / password de sitios protegidos)
PHREAK (conexion telefonica)
CORREO ELECTRONICO (utilitarios para e mail , ICQ y Chat)
ENCRIPTADORES
BROMAS PESADAS (utilidades que generan falsos errores, deshabilitan funciones windows,
simulan virus, etc)
SPOOFING
CURSOS (para desarrollas sus propios programas, utilitarios y virii)
DECODIFICADORES AUDIO Y VIDEO (para Divx - Mp3)
COMPILACION DE TRUCOS
MP3Z (tutoriales sobre creacion y manejo de MP3)
PROGRAMAS PARA GRABACION CD
TUTORIALES PARA GRABACION CD
VIRII (detectores, creadores, codigo fuente, tutoriales sobre virus)

HERRAMIENTAS AUTOMATIZADAS: Ejemplo
66
COSEC
www.seg.inf.uc3m.es
67

password
guessing
self-replicating
code
password
cracking
exploiting
known
vulnerabilities
disabling
audits
back
doors
hijacking
sessions
stealth
diagnostics
packet forging /
spoofing
Anti-
detection
1980 1985 1990 1995 2000 2005
SOFISTICACIN. Ataque vs. conocimiento
Alto
Bajo
Conocimiento
del intruso
Sofisticacin
del ataque
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
COSEC
www.seg.inf.uc3m.es
68
SOFISTICACIN vs. MOTIVACIN
COSEC
www.seg.inf.uc3m.es
Sofisticadas

Automatizadas
Ingeniera social
69
INTRODUCCIN A LA INGENIERA DE LA SEGURIDAD
HERRAMIENTAS DE ATAQUE
COSEC
www.seg.inf.uc3m.es
INGENIERA SOCIAL
COSEC
www.seg.inf.uc3m.es
Enero 07
COSEC
www.seg.inf.uc3m.es
COSEC
www.seg.inf.uc3m.es
COSEC
www.seg.inf.uc3m.es