Universidad Nacional de Ingeniera

Facultad de Ingeniera Industrial y de Sistemas

Introduccin y necesidad de Seguridad de la Informacin

Ing. Alfredo Ramos

Introduccin a la Seguridad de la Informacin

Conceptos y trminos claves de la seguridad de la informacin

 Proviene de la palabra en latn Informare que significa noticia. Los datos son la unidad mnima de informacin. El proceso es la actividad mediante el cual se transforman los datos. INFORMACION es el resultado del proceso de datos.

Es un conjunto de elementos que interactan para lograr un objetivo comn.

Por su interaccin con el entorno

SISTEMA ABIERTO: Es el que interacta con su medio ambiente. SISTEMA CERRADO: Es aquel que no interacta con su entorno.

Por su naturaleza
SISTEMA FISICO: Es el sistema tangible, el cual se puede ver y tocar.
SISTEMA CONCEPTUAL: No se encuentra en forma fsica o material sino en la mente de la persona.

Informtica
Es el procesamiento de informacin en forma automatizada, el cual se efecta mediante un software computarizado.

Seguridad es una caracterstica de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de todo peligro, dao o riesgo, y que es, en cierta manera, infalible. Como esta caracterstica, particularizando para el caso de sistemas operativos o redes de computadoras, es muy difcil de conseguir (segn la mayora de expertos, imposible), se suaviza la definicin de seguridad y se pasa a hablar de fiabilidad (probabilidad de que un sistema se comporte tal y como se espera de l) ms que de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros

Si la informacin debe considerarse como un recurso con el que cuentan las entidades y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida mas aun si nos encontramos en la era del conocimiento donde la informacin es el factor decisivo para el xito de las empresas en la actualidad, convirtindose en el principal activo de las organizaciones.

Seguridad de la Informacin
Su objetivo es preservar la Confidencialidad, Integridad y Disponibilidad de la Informacin; adems, tambin pueden ser involucradas otra caractersticas como la autenticacin, responsabilidad, no-repudio y fiabilidad.

Confidencialidad: Se garantiza que la informacin

es accesible slo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: Se

salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento.

Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera.

Disponibilidad:

La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo y otros factores que generan incidentes de seguridad.

Es la proteccin de la Infraestructura de TI cuyo objetivo es generar informacin que agregue valor a las organizaciones. La seguridad informtica permite asegurarse que los recursos del sistema se utilizan de la manera en la que se espera y que quienes puedan acceder a la informacin que en l se encuentran sean las personas acreditadas para hacerlo.

Historia de la Seguridad de la Informacin

El rol de los profesionales de Seguridad de la Informacin

En los ltimos aos hemos asistido a un cambio profundo en el rol del directivo de seguridad. A partir del rol tradicional del Jefe de Seguridad, en el que el profesional se centraba en las operaciones y en proteger los activos bajo su responsabilidad, el rol ha evolucionado hacia el de Director de Seguridad.

El nuevo rol del profesional de Seguridad de la Informacin se centra en el conocimiento del negocio, integra los criterios de Seguridad de la Informacin en la toma de las decisiones corporativas, y es capaz de agregar valor al negocio global, ya sea disminuyendo los costos del dispositivo de seguridad, aumentando su nivel de desempeo, o creando alguna ventaja competitiva para la propia empresa o para sus clientes.

LO IMPORTANTE ES LA AUTONOMIA

La seguridad en el ciclo de vida del desarrollo de sistemas

Quines son los usuarios? Cmo accedern a la aplicacin? Con que frecuencia? Qu roles tendrn? Cmo se administrarn los roles? Esquema de autenticacin de usuarios

Cmo se almacenarn los datos? Se usar encriptacin? Existe niveles de clasificacin? Cmo se validar la informacin? Cmo se respaldar?

Cmo se acceder a la aplicacin? Habr acceso remoto? Habr acceso desde celulares? Cmo se manejar el acceso remoto? Cmo se manejar el acceso fsico? Quin manejar el acceso fsico?

Principio de menor privilegio Separacin de roles Separacin de dominios Mantener configuracin y ejecutables separados Minimizar la cantidad de puntos de entrada del sistema Auditora

 Reutilizar el cdigo cuando sea posible Usar la ltima versin de bibliotecas Buenas prcticas de cdigo seguro Administracin segura de versiones

Test unitarios Test de integracin Test de stress Paralelo Revisin de cdigo

Hardening del sistema (vulnerabilidades) Revisar los requerimientos Configurar accesos acordes Usar encriptacin de ser posible Ethical Hacking

Ambiente de testing Probar los parches Set de pruebas estndar Ethical Hacking

 Involucrar seguridad desde el comienzo Concientizar al cliente Concientizar programadores

La Necesidad de Seguridad de la Informacin

Primero las necesidades del negocio, despus las necesidades de la tecnologa

Lo primero que se debe conocer es en que consiste el negocio de la organizacin, ya que la informacin que debe asegurarse tiene una relacin directa con dicha actividad.

Las amenazas

Causa potencial de un incidente no deseado que puede resultar en dao al sistema u organizacin.
NTP-ISO/IEC 17799

Las organizaciones son cada vez ms dependientes de sus Sistemas y Servicios de Tecnologa de Informacin, por lo tanto podemos afirmar que son cada vez ms vulnerables a las amenazas concernientes a su seguridad.

Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line Inmadurez de las Nuevas Tecnologas de Informacin Alta difusin de software ilegal Nuevas Tcnicas de Ataque al Sistema de Informacin. Tcnicas de Ingeniera Social

AMENAZAS EXTERNAS Y AMBIENTALES AMENAZAS INTERNAS

Accidentes: Averas, Catstrofes, Siniestros, Interrupciones, Incendios, ...

Errores: Humanos de Uso, Diseo, Control, ....

Intencionales Presenciales: Atentados con acceso fsico no autorizado.

Intencionales Remotas: Requieren acceso al canal de comunicacin con acceso lgico no autorizado.

Principales riesgos:

Captura de PC desde el exterior

Mails annimos con informacin crtica o con agresiones

Spamming

Violacin de e-mails

Robo de informacin
Destruccin de equipamiento

Violacin de contraseas

Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados
empleados deshonestos

Virus

Incumplimiento de leyes y regulaciones

Fraudes informticos

Ingeniera Social

Interrupcin de los servicios

Acceso clandestino a redes

Acceso indebido a documentos impresos
Indisponibilidad de informacin clave

Destruccin de soportes documentales

Propiedad de la Informacin

Software ilegal
Agujeros de seguridad de redes conectadas

Robo o extravo de Notebooks, Tablets, Smartphone, iPhones

Falsificacin de informacin para terceros

Intercepcin de comunicaciones

Principales riesgos

Instalaciones default

Password cracking

Escalamiento de privilegios

Exploits Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados Denegacin de servicio

Los ltimos parches no instalados

Backups inexistentes
Keylogging

Desactualizacin

Replay attack

PHISHING ES UN ATAQUE QUE TIENE COMO OBJETIVO OBTENER INFORMACION CONFIDENCIAL DE UN CLIENTE DE UNA ENTIDAD MEDIANTE EL USO DE INGENIERIA SOCIAL.

Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El trmino proviene de una concatenacin de la palabra inglesa root, que significa 'raz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa).

Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su explorador de internet a la pgina web que el atacante haya especificado para ese nombre de dominio.

Exploit (del ingls to exploit, explotar o aprovechar) es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de informacin para conseguir un comportamiento no deseado del mismo. Ejemplos de comportamiento errneo: Acceso de forma no autorizada, toma de control de un sistema de cmputo, consecucin privilegios no concedidos lcitamente, consecucin de ataques de denegacin de servicio. Hay que observar que el trmino no se circunscribe a piezas de software, por ejemplo cuando lanzamos un ataque de ingeniera social, el ardid o discurso que preparamos para convencer a la vctima tambin se considera un exploit.

Los hallazgos de este ao revelaron que el sector de retail es ahora el principal target de los ciber-criminales. Por primera vez, la industria del retail compone el 45% de las investigaciones de violacin de datos de Trustwave (un 15% ms que en 2011) con ataques emergentes en e-commerce y una tendencia creciente a la cantidad de ataques en los puntos de venta. Adems, el malware mvil aument un 400%, con malware encontrado en dispositivos Android que aumentan de 50.000 a ms de 200.000 muestras. El reporte tambin revela que de cada 3 millones de contraseas analizadas, el 50% de los usuarios de negocios estn todava utilizando contraseas fciles de adivinar - la ms comn es Password1 porque con frecuencia se encuentra en el estndar mnimo para las contraseas aceptables. Los resultados indicaron que en 2012, casi todas las industrias, pases y tipos de datos tuvieron algn tipo de amenaza a la seguridad ciberntica que se incrementaron tan rpido como las empresas pueden implementar medidas contra ellos.

De acuerdo con Jarrett Benavidez, Director de Trustwave para Brasil y Amrica Latina, el informe tambin presenta datos de gran importancia para las empresas de la regin, que muestra el impacto de las iniciativas en Mxico, Brasil, Colombia y Per en la mejora de sus redes de pago, a travs de la adopcin de sistemas de cumplimiento y de las leyes para la proteccin de los datos del cliente. El avance de la ciberdelincuencia contra el comercio tendra un impacto an mayor en nuestra regin sin estas iniciativas, agreg Benavidez.

Es un ataque de REPLAY, tambin llamado ataque de reinyeccin es una forma de ataque de red, en el cual una transmisin de datos vlida es maliciosa o fraudulentamente repetida. Es llevada a cabo por el autor o por un adversario que intercepta la informacin y la retransmite, posiblemente como parte de un ataque enmascarado. Suplantacin de identidad Es habitual hacer un ataque de replay capturando informacin y posteriormente reenvindola con el objetivo de suplantar la identidad de uno de los lados. Denegacin de servicio Es habitual en sistemas de encaminamiento, por ejemplo, realizar ataques de replay capturando mensajes y luego reinyectndolos en la red con el objetivo de sobrecargarla y que deje de funcionar (ataque de denegacin de servicio). Para evitar este tipo de ataques es habitual que los routers detecten cuando un paquete ya ha sido procesado (y por tanto descarten ese paquete) y que los propios mensajes tengan un tiempo de validez que una vez agotado permita que los routers eliminen esos mensajes.

Los keyloggers y los stealers son programas maliciosos creados para robar informacin sensible. El creador puede obtener beneficios econmicos o de otro tipo a travs de su uso o distribucin en comunidades, su forma es distinta. Un keylogger (derivado del ingls: key ('tecla') y logger ('registrador'); 'registrador de teclas') es un tipo de software o un dispositivo hardware especfico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a travs de internet. Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envo al creador. Por ejemplo al introducir un nmero de tarjeta de crdito el keylogger guarda el nmero, posteriormente lo enva al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayora los keyloggers son usados para recopilar contraseas de acceso pero tambin pueden ser usados para espiar conversaciones de chat u otros fines. Los stealers tambin roban informacin privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseas, por ejemplo en los navegadores web o en clientes de mensajera instantnea, descifran esa informacin y la envan al creador

Keylogger en hardware

Keylogger en software

Malware (del ingls malicious software), tambin llamado badware, cdigo maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o daar una computadora o Sistema de Informacin sin el consentimiento de su propietario. El trmino malware es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto. El trmino virus informtico suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.

El spyware o programa espa es un software que recopila informacin de un ordenador y despus transmite esta informacin a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador..

Se denomina shareware a una modalidad de distribucin de software, en la que el usuario puede evaluar de forma gratuita el producto, pero con limitaciones en el tiempo de uso o en algunas de las formas de uso o con restricciones en las capacidades finales. Para adquirir una licencia de software que permita el uso del software de manera completa se requiere de un pago (muchas veces modesto) aunque tambin existe el llamado "shareware de precio cero", pero esta modalidad es poco comn.

Un programa de clase adware es cualquier programa que automticamente muestra publicidad web al usuario durante su instalacin o durante su uso para generar lucro a sus autores.

El scareware (del ingls scare, miedo y software) abarca varias clases de software para estafar con cargas maliciosas, o con limitados o ningn beneficio, que son vendidos a los consumidores va ciertas prcticas no ticas de comercializacin. El enfoque de venta usa la ingeniera social para causar choque, ansiedad, o percepcin de una amenaza, generalmente dirigida a un usuario confiado, nada suspicaz. Algunas formas de spyware y de adware tambin usan las tcticas del scareware.

Un ataque informtico es un mtodo por el cual un individuo, mediante un sistema informtico, intenta tomar el control, desestabilizar o daar otro sistema informtico

1.-Denegacin de servicio, tambin llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos, normalmente provocando la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de Marzo de 2013, cuando un ataque de una empresa a otra inund la red de spam provocando un colapso generalizado de internet e incluso lleg a afectar a puntos clave como el nodo central de Londres. 2.-Man in the middle, a veces abreviado MitM, es una situacin donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicacin entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas. 3.-Ataques de REPLAY ARP, una forma de ataque de red, en el cual una transmisin de datos vlida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la informacin y la retransmite, posiblemente como parte de un ataque enmascarado. 4.-Ataque de da cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algn programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicacin del parche que la solvente. 5.-Ataque por fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informticos, aunque este sistema ahorrara tiempos, energas y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.

1.-Denegacin de servicio, Para los servidores, es necesario un software como HPing es una herramienta en lnea de comandos que nos permite crear y analizar paquetes TCP/IP, y como tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como no tambin tiene la capacidad de provocar un ataque simulado (Ethical Hacking) 2.-Man in the middle, El supuesto ataque "Man in the Middle" suele estar ocasionado por un cambio en las preferencias del navegador y del archivo Host. La solucin es un buen Antivirus y un buen Antimalware. 3.-Ataques de REPLAY ARP, Los sistemas de deteccin de intrusos (IDS) permiten detectar ataques que pasan inadvertidos a un cortafuegos y avisar antes o justo despus de que se produzcan. La solucin es un buen Antivirus (se recomienda Kaspersky o Avast) 4.-Ataque de da cero, Cmo defenderse de todas estas nuevas amenazas en el menor tiempo posible? Si tomamos como ejemplo los motores antivirus tradicionales basados en firmas, cabe decir que la mejor base de datos de firmas detecta menos del 50% de las nuevas amenazas. Por tanto, estas tcnicas no resultan efectivas a la hora de luchar contra las amenazas denominadas de Da Cero. Usemos como arriba un buen AntiMalware y Antivirus. 5.-Ataque por fuerza bruta Estos ataques estn dirigidos el 90% a servidores y lo mejor es proteger a dichos servidores,que normalmente son del tipo de lenguaje sobre Linux y motor de BD Oracle. Con tres herramientas: APF, BFD y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegacin de servicios en servidores Linux. APF es un cortafuegos que es compatible con BFD y DDoS Deflate que son scripts que monitorizan el log de servicios y conexiones al servidor.

Estadstica al ao 2013 de Kaspersky Lab

El problema de la Seguridad Informtica est en su Gestin y no en las tecnologas disponibles"

Existen tres principales medios para evitar las infecciones masivas que se producen. a)Bloquear la entrada de estos archivos a las Redes(firewalls y/o anti-malwares). b)Actualizar rpidamente sus antivirus. c)Implementar directivas para que los usuarios no activen dichos archivos y si desconocen su origen consultar al rea de Seguridad Informtica.

Evidentemente esto no se ha hecho, permitiendo as, la rpida propagacin de los virus y la pregunta que surge es Por qu? Por falta de informacin? Por falta de medios?...

1.-Denegacin de servicio, Para los servidores, es necesario un software como HPing es una herramienta en lnea de comandos que nos permite crear y analizar paquetes TCP/IP, y como tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como no tambin tiene la capacidad de provocar un ataque simulado (Ethical Hacking) 2.-Man in the middle, El supuesto ataque "Man in the Middle" suele estar ocasionado por un cambio en las preferencias del navegador y del archivo Host. La solucin es un buen Antivirus y un buen Antimalware. 3.-Ataques de REPLAY ARP, Los sistemas de deteccin de intrusos (IDS) permiten detectar ataques que pasan inadvertidos a un cortafuegos y avisar antes o justo despus de que se produzcan. Con un buen Antivirus listo. Usemos el Avira Security Suite. 4.-Ataque de da cero, Cmo defenderse de todas estas nuevas amenazas en el menor tiempo posible? Si tomamos como ejemplo los motores antivirus tradicionales basados en firmas, cabe decir que la mejor base de datos de firmas detecta menos del 50% de las nuevas amenazas. Por tanto, estas tcnicas no resultan efectivas a la hora de luchar contra las amenazas denominadas de Da Cero. Usemos como arriba un buen AntiMalware y Antivirus. 5.-Ataque por fuerza bruta Estos ataques estn dirijidos el 90% a servidores y lo mejor es proteger a dichos servidores,que normalmente son del tipo de lenguaje sobre Linux y motor de BD Oracle. Con tres herramientas: APF, BFD y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegacin de servicios en servidores Linux. APF es un cortafuegos que es compatible con BFD y DDoS Deflate que son scripts que monitorizan el log de servicios y conexiones al servidor.

En Seguridad Informtica, una zona desmilitarizada (conocida tambin como DMZ, sigla en ingls de demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ solo se permitan a la red externa.

Kaspersky Lab

Las cifras que trataremos hoy son escalofriantes. Segn el Informe Anual 2012 elaborado por Panda Labs, el 31,98% de los ordenadores de todo el mundo estaba infectado. Durante el ao que ha terminado se detectaron 27 millones de nuevos elementos maliciosos lo que confirma, segn el estudio, que el crecimiento de este tipo de amenazas informticas sigue imparable.

Si desglosamos los tipos de malware que aparecen en el informe, el 76,57% de las infecciones vienen de la mano de troyanos (un 10% ms que en 2011). En segundo lugar se sitan los virus, con un 8%, y en tercer lugar estn los gusanos, que provocan el 6,44% de las infecciones. Analizando las cifras de malware, durante el pasado ao se desarrollaron al menos 74.000 ejemplares diarios lo que demuestra la importancia de equipar nuestros equipos -no slo los equipos de sobremesa, tambin en dispositivos como tabletas y smartphones.

Por pases, China sigue encabezando la lista de pases infectados con el 54,89% de sus equipos vctimas de malware. Le siguen Corea del Sur y Taiwn con un 54,15% y un 42,14%, respectivamente. En el lado opuesto se encuentran -como viene siendo habitual en casi todas las listas de desarrollo humano y tecnolgico- Suecia, Noruega y Suiza. El informe de PandaLabs tambin destaca que 2012 ser recordado por el primero en el que se puede hablar de forma slida de ataques organizados a dispositivos mviles y redes sociales. Tambin escoge como protagonistas del ao a Ransomware, el virus de la polica que consigui engaar a millones de usuarios en todo el mundo e hizo que muchos pagaran directamente de su bolsillo a los ciberdelincuentes.

Todas estas tendencias continuarn durante este 2014. El foco de los virus seguir estando en China y el Sudeste asitico. Del mismo modo, parece que los pases menos Windows seguirn siendo ms seguros -los dos pases escandinavos cuentan con gran implantacin de Linux y el pas centroeuropeo es uno de los pocos reductos Apple fuera de Amrica. As mismo, Android pasa a ser el sistema operativo ms atacado del mundo debido a su rpida implantacin y a la falta de conocimiento de los usuarios que siguen sin vincular sus terminales a ordenadores que hacen llamadas telefnicas. Por su parte, parece que la prdida de cuota de mercado de iOS(iPhone OS), as como su condicin de entorno cerrado seguir siendo el escaparate ideal para que los users sigan decantndose por un sistema que, de momento, es el ms seguro.

Un reporte de la firma Trend Micro detect 718 mil aplicaciones maliciosas y de riesgo para Android, debido a la proliferacin de malware y el poco uso de soluciones de proteccin al 22 de Diciembre de 2013. De acuerdo con su informe Una mirada a las amenazas de banca mvil, de enero a septiembre de este ao el phishing mvil aument 53 por ciento en comparacin con igual periodo de 2012.

Proteccin de la Informacin Amenazas Internas Externas

Confidencialidad Integridad Disponibilidad

Gestionar Seguridad Informtica

 Presupuestos disminuidos Mantenimiento o aumento de los objetivos a cumplir La reduccin de inversin en TI en la Organizacin genera riesgos de Seguridad Informtica La reduccin de inversin en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informtica
Redes nicas Concentracin de Servicios Telefnicos y Datos Problemas de Confidencialidad , Integridad y Disponibilidad

Centralizacin de la Informacin
Consolidacin de Servidores