Академический Документы
Профессиональный Документы
Культура Документы
Unidad 1. Conceptos
bsicos de la seguridad
informtica
Materiales y recursos
Para llevar a cabo las actividades y ejercicios propuestos se
necesita:
t0SEFOBEPSDPOBDDFTPB*OUFSOFU
t-QJ[ZQBQFM
Actividades
Si se dispone de un antivirus actualizado y de un cortafuegos, las vulnerabilidades disminuyen, por lo que el riesgo
es menor.
Es decir, cuanto menos vulnerable sea el equipo, menor
riesgo habr.
4. Supn que en el ordenador porttil con cmara web
integrada que tienes en tu habitacin, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes
siempre conectado a Internet. Un desconocido toma el
control de tu porttil y te das cuenta porque te encuentras la cmara web encendida y t no la has conectado.
Objetivos
Autenticacin
No repudio
Autorizacin
Condencialidad
Auditora
Disponibilidad
Encriptacin
Condencialidad e integridad
Copias de seguridad
Disponibilidad
Imgenes de respaldo
Disponibilidad
Antivirus
Integridad y disponibilidad
Cortafuegos
Integridad
Servidores proxy
Integridad
Firma electrnica
y certicados
No repudio y condencialidad
LOPD
Condencialidad
5. Imagina ahora que la persona que ha tomado el control de tu ordenador no hace nada en tu ordenador y t
no te das cuenta de esta situacin. Un da te dejas conectado tu DNI electrnico en el lector del ordenador.
&ODBTPEFRVFMBFNQSFTB4J5PVSUBNCJOUVWJFSBMPTEBUPT
de las facturas y de los proveedores (adems de los datos de
los clientes) solamente en el porttil del director:
tActivos: los datos de los clientes y proveedores, el equipo porttil y las facturas.
tDaos: la prdida de los datos de facturas de proveedores y clientes.
11
QBSB8JOEPXT91
UFOESBNPTFTUBWVMOFSBCJMJEBEFOOVFTUSP
sistema para siempre.
En el titular de la noticia se habla de un hacker, pero despus se dice que se trata de un grupo organizado dedicado
a vulnerar la seguridad de sistemas... con el fin de utilizar la informacin para fines ilegtimos. Es decir, en realidad se trata de un cracker, porque intentar obtener algn
beneficio de sus acciones.
Para saber qu tipo de clasificacin tiene el boletn MS09027 hay que acceder a l poniendo en el navegador boletn MS09-027. En el ttulo del artculo se indica su clasificacin que, en este caso, es crtica.
7. Busca una de las ltimas vulnerabilidades publicadas
por Microsoft que afecte a uno de sus sistemas operativos.
Haz un informe con los siguientes puntos:
tla descripcin de la vulnerabilidad,
tBRVTPGUXBSFBGFDUB
tRVDMBTJmDBDJOMFIBEBEP.JDSPTPGU
tRVJNQBDUPQPESBUFOFS
TJFOUVPQJOJOBGFDUBB
nuestros sistemas (los de clase),
tRV NFEJEBT UFOFNPT RVF UPNBS QBSB DPSSFHJS FTUB
vulnerabilidad.
En cuanto al tipo de ataque, dada la magnitud de las acciones, probablemente se hayan utilizado varios (en realidad
muchos) de los tipos explicados en la unidad, pero en el
texto no se detalla el procedimiento seguido para llevarlo
a cabo.
9. Analiza cules de las pautas no cumple el sistema
que tienes en tu casa.
Los alumnos deben analizar las circunstancias en que se
encuentran los ordenadores de sus casas y comprobar cules, de las recomendaciones explicadas, cumplen.
t&OFMDBTPEFOPTPMJDJUBSMBDSFBDJOEFMmDIFSPEFEBUPT
dentro del punto 2 de infracciones leves (art. 44), en el
apartado c) se indica: no solicitar la inscripcin del chero de datos de carcter personal en el registro... cuando
no sea constitutivo de infraccin grave. Si no se cumple
ninguno de los supuestos descritos en el apartado 3, esta
situacin se clasicar como una infraccin leve.
t&ODVBOUPBOPIBDFSDPQJBTEFTFHVSJEBEEFMmDIFSPEF
datos de carcter personal, como ya se ha especicado
en el Caso prctico 9, el nivel de seguridad de los datos
RVF4J5PVSEFTFBSFDPHFSFTCTJDP1BSBFTUFOJWFM
VOB
de las medidas de seguridad que hay que llevar a cabo es
realizar copias de seguridad, como mnimo una vez por
semana. En el apartado h) del punto 3 del mismo artculo se especica mantener los cheros... sin las debidas
t1SJNFSDBTPBQFTFUBT
t4FHVOEPDBTPBQFTFUBT
t5FSDFSDBTPBQFTFUBT
(Hay que tener en cuenta que la ley es anterior al euro.)
Comprueba tu aprendizaje
1. Analiza los perjuicios que puede ocasionarte la conexin a una red Wi-Fi que no pide ningn tipo de contrasea.
Al conectarnos a una red Wi-Fi sin ningn tipo de contrasea nos exponemos a que la persona que paga la conexin
nos espe. Por ejemplo, si consultramos el saldo del nuestra
cuenta bancaria en la red, el espa podra ver el nombre de
usuario y contrasea que utilizamos para acceder al banco y,
posteriormente, podra entrar en nuestra cuenta y saquearla.
2. Analiza la seguridad que tendran las claves formadas exclusivamente por nmeros.
Probabilidades
Muchas veces evitamos memorizar contraseas complicadas usando datos ms o menos personales (el telfono, la
fecha de nacimiento, etctera) para formar las contraseas
pero, en realidad, esto supone una grave vulnerabilidad en
la seguridad de la contrasea.
Tiempo
100
Un suspiro
10 000
Un suspiro
1 milln
Un suspiro
Mil millones
1,8 minutos
5. En esta actividad vamos a trabajar con Chrome, navegador gratuito diseado por la compaa Google. En
caso de que no lo tengas descrgatelo de Internet. Vete
13
t6UJMJ[BSDPOUSBTFBT
t6TPEFTJTUFNBTUPMFSBOUFTBGBMMPT
FMFDDJOEFMTJTUFNB
de cheros del sistema operativo adecuado.
t&NQMFBSmSNBTZDFSUJmDBEPTEJHJUBMFT
t6TBSBOUJWJSVT
t5FOFSVODPSUBGVFHPTBDUJWBEP
t$POUBSDPOTFSWJEPSFTQSPYZT
t6UJMJ[BSMJTUBTEFDPOUSPMEFBDDFTP
Lgica pasiva:
tRealizar copias de seguridad para poder restaurar la informacin en caso de prdida.
tUso de conjunto de discos redundantes.
7. Indica los pasos que debemos realizar para conseguir
mejorar la seguridad informtica.
En el epgrafe 4.4 del libro del alumno (Pautas de proteccin para nuestro sistema), se dan algunas ideas para
resolver esta cuestin. Los alumnos deben indicar, como
mnimo, los puntos que se especifican en este apartado, y
pueden ampliar la respuesta con otras medidas y consejos
RVFFODVFOUSFOFOMJCSPTPFO*OUFSOFU
Fsica
pasiva
Lgica
activa
Lgica
pasiva
Mecanismos de seguridad
Fsica activa:
t&WJUBSTJUVBSFMDFOUSPEFQSPDFTBNJFOUPEFEBUPTDFSDB
de zonas donde se manejen o almacenen sustancias inamables o explosivos.
t&WJUBSMBVCJDBDJOEFMPTDFOUSPTEFDMDVMPFOMBTQMBOtas bajas de los edicios, para protegerlos de la posible
entrada de aguas superciales.
t&WJUBS DPMPDBS MPT DFOUSPT EF DMDVMP DFSDB EF MVHBSFT
con gran radiacin de seales electromagnticas, pues
pueden interferir en el correcto funcionamiento de los
equipos informticos y del cableado de red.
t*NQFSNFBCJMJ[BSMBTQBSFEFTZUFDIPTEFM$1%ZTFMMBSMBT
puertas, para evitar la posible entrada de agua proveniente de las plantas superiores.
t1SPUFHFS MPT DFOUSPT EF DMDVMP NFEJBOUF QVFSUBT DPO
medidas biomtricas, cmaras de seguridad, vigilantes
jurados, etctera, para evitar la entrada de personal no
autorizado.
Fsica pasiva:
t&MNPCJMJBSJPEFMPTDFOUSPTEFDMDVMPEFCFTFSJHOGVHP
t4JTUFNBTBOUJJODFOEJPT
EFUFDUPSFTEFIVNP
SPDJBEPSFTEF
gas, extintores, etctera para sofocar un incendio en el
menor tiempo posible y as evitar que se propague, ya que
esto podra ocasionar numerosas prdidas materiales.
Lgica activa:
t$JGSBS MB JOGPSNBDJO BMNBDFOBEB FO MPT TPQPSUFT QBSB
que, en caso de robo, no sea legible.
14
Una vez se ha averiguado y sabemos a qu programa pertenece, debemos acceder a la pgina web de la compaa y
comprobar que la empresa est al tanto de esta vulnerabilidad.
Como en el enunciado se nos especifica que es conocida,
debemos proceder siguiendo las indicaciones que nos facilite la compaa. Lo ms usual es que exista un parche
para solucionarlo, que simplemente tendremos que instalar
en nuestro sistema.
/P FTU EF NT SFDPSEBS RVF FM BENJOJTUSBEPS EFM TJTtema debe estar al da de las listas de noticias en las que
las empresas publican sus propias vulnerabilidades y sus
correspondientes soluciones. En este caso, si hubiramos
instalado el parche antes del ataque, no hubiramos sido
tan vulnerables.
Por ejemplo, si utilizamos el servidor web Apache, como
responsables del departamento de seguridad deberamos
estar suscritos a su lista de correo de seguridad (security@
apache.org) y una o varias personas del departamento
deberan leer los correos, analizar si las vulnerabilidades
afectan o no a nuestro sistema y tomar medidas en caso de
que sea necesario.
De esta manera, el departamento hubiera podido conocer la
vulnerabilidad el mismo da que fue publicada por Apache.
9. Pon un ejemplo de sistema en el que los riesgos
estn asociados a impactos altos y otro ejemplo en el
que estn asociados a mayor probabilidad de vulnerabilidades.
14. Busca informacin sobre las listas Robinson y averigua en qu consisten, cmo funcionan, quin puede
entrar a formar parte de ellas y cul es el procedimiento para que una persona sea incluida en ellas.
Para localizar una noticia sobre seguridad podemos acceder a Google noticias http://news.google.com/nwshp?hl
=es&tab=wn y buscar la palabra hacker.
Es una gran motivacin para los alumnos constatar que los
conocimientos en informtica les permiten hacer y controlar muchas cosas. Sera bueno que cada uno eligiera una
noticia diferente para que despus puedan comentar entre
todos las ms impactantes.
11. Infrmate en la pgina de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de
Microsoft Internet Information Server.
&TUBWVMOFSBCJMJEBEBGFDUBBTFSWJEPSFTXFC**4 *OUFSOFU
*OGPSNBUJPO4FSWFS
WJOTUBMBEPTTPCSFFMTJTUFNBPQFSBUJWP8JOEPXT91CJUT41
Un posible atacante podra utilizar esta vulnerabilidad para
obtener el control completo sobre la mquina afectada.
12. Busca un boletn de seguridad de Microsoft en el
que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderno un resumen, cmo ha sido clasificado, a qu sistemas afecta, si crees que nos afectara y
cmo pueden protegerse los equipos afectados de esta
vulnerabilidad.
Sera interesante que los alumnos buscaran boletines diferentes. Un ejemplo sera el MS09-056, en el que se habla de
una vulnerabilidad clasificada como importante en WinEPXT$SZQUP"1*
RVFQFSNJUJSBBVOBUBDBOUFPCUFOFSFM
certificado de un usuario y suplantar su identidad. Afecta a
.JDSPTPGU8JOEPXT
91
7JTUBZ
ZB8JOEPXT4FSWFS
2003 y 2008.
Microsoft recomienda instalar la actualizacin correspondiente para solucionar el problema.
16
correo electrnico. En qu afectan estos datos a la formacin de tu empresa? Qu medidas de seguridad tendrs que tomar cuando almacenas esta informacin?
Al pedir informacin personal a los clientes, tenemos la
obligacin de solicitar la creacin de un fichero de datos de
carcter personal.
Puesto que la informacin obtenida (nombre, apellidos,
telfono y direccin de correo electrnico) no est especialmente protegida ni son datos relativos a la salud, deberemos aplicar un nivel de seguridad bsico, y las medidas
que tendremos que establecer son las mnimas (consultar
5BCMBEFMMJCSPEFMBMVNOP