¿Qué es la seguridad?

Desde el punto de vista computacional "un medio para minimizar la vulnerabilidad

de bienes y recursos”.
Bien: Cualquier cosa de valor.

Vulnerabilidad: Cualquier debilidad

que puede ser explotada para violar
un sistema o la información que
contiene.

Amenaza: Potencial violación de la

Sistemas de Seguridad
seguridad.

Ataque a un sistema computacional. Cualquier acción llevada a cabo por intrusos

que comprometa la propiedad de algún bien del sistema computacional de una
organización.
Bienes (en un sistema computacional)

Información. La información almacenada, procesada o transmitida por los distintos

componentes de un sistema computacional es el bien de mayor importancia en
cualquier organización.

Internet En general, la actividad en un

Microcomp. clientes sistema computacional, se puede
ver como un flujo de
información desde una fuente a
un destino. Gráficamente:

BdD

Fuente de Destino de
Información Información
Ataques al flujo de información.

El flujo de información en un sistema computacional puede sufrir las siguientes

formas de ataque:

Interrupción: Un bien del sistema

puede perderse, quedar inutilizado
Intercepción: Un ente no autorizado obtiene o no disponible (Disponibilidad)
acceso a un bien (Confidencialidad)

Modificación: Un ente no autorizado gana Inserción: Un ente no autorizado

acceso a un bien y lo altera. (Integridad) puede insertar objetos. (Autenticidad)
Bienes (cont)

Recursos.
Son los sistemas físicos (hardware) y de software de sistemas utilizados para el
almacenamiento, procesamiento y transmisión de la información.

Microcomp. Hardware
Internet
clientes
Computadores (servidores y clientes)
Terminales
Equipos de comunicaciones, etc.

BdD Software
Sistemas operativos
Administradores de bases de datos
Compiladores, etc
Como aplican las categorías de ataque a los bienes Datos, Hardware y
Software.
Intercepción

Interrupción Modificación
(perdida)
Inserción
Datos

Modificación
Interrupción
Bloqueo de Interrupción
servicio HW SW (Borrado)

Intercepción Intercepción
(Robo)
La información en la red
Las características particulares del intercambio de información a través de una red de
computadores, en la que los entes en comunicación están geográficamente distantes,
introduce nuevos temas, en relación con la seguridad de la información. Se trata de la
relación con la contraparte, que se constituye en un potencial de amenaza.

Internet Microcomp.
clientes Relación con la contraparte.
• Confianza en la identidad de la
contraparte.
• Confianza en la integridad y
confidencialidad de la
BdD aplicación intercambiada.
• Confianza en las acciones de
comunicación.
• Privacidad como consecuencia
de la comunicación.
Amenazas

Una amenaza puede ser cualquier persona, objeto o evento que, de concretarse,
podría potencialmente causar daño a la Red.

Amenazas pueden ser:

• Acciones de la naturaleza.
• Accidentales.
• Ataques activos deliberados.
• Ataques pasivos deliberados.

Cualquiera de estas amenazas o combinación de ellas puede resultar en una

suspensión del servicio, intromisión no autorizada o modificación no
autorizada.

El daño inmediato causado por una amenaza se conoce con el nombre de

Impacto.
Vulnerabilidades.

Son debilidades de una Red que pueden ser explotadas por una amenaza.
Dos tipos de vulnerabilidades: Vulnerabilidad universal y Exposiciones.
Vulnerabilidad universal
Una vulnerabilidad universal es un estado en un sistema computacional que:
• Permite a un atacante ejecutar comandos como usuario autorizado.
• Permite a un atacante accesar data pasando a llevar las restricciones de acceso para
esa data.
• Permite a un atacante hacerse pasar por otra entidad.
• Permite a un atacante denegar un servicio.
Ejemplos
Phf (ejecutar comandos remotos)
Password por defecto (ejecutar comandos remotos u otros accesos
smurf (inunda una red)
Exposiciones.

Una exposición, es un estado en un sistema computacional (o conjunto de sistemas)

que :

• Permite a un atacante obtener información de las actividades del sistema.

• Permite a un atacante ocultar actividades.
• Incluye capacidades que se comportan como se espera, pero que pueden ser
fácilmante modificadas.
• Es un punto de entrada que un atacante puede intentar usar obtener acceso al
sistema o a datos corporativos.
Ejemplos.
• Correr servicios como “finger”
• Correr servicios que son puntos comunes de ataque (FTP, HTTP, o SMTP)
• Uso de aplicaciones o servicios que pueden ser atacados con éxito por la fuerza
bruta (passwords débiles, encriptación trivial, etc).
Causas Potenciales de inseguridad en redes

• Gran número de usuarios compartiendo

recursos.
Internet • Redes son multidominio.
Fronteras poco claras
Administración deficiente de interconexiones.
• Políticas de seguridad difíciles de coordinar.
• Perímetro desconocido.
Nuevas conexiones.
Gran número de nuevos usuarios.
Un host puede ser nodo de más de una red
• Trayectorias desconocidas.
Algunos nodos intermedios pueden tener
seguridad aceptable mientras que otros no.
Causas Potenciales de inseguridad en redes (cont.)

• Variedad de protocolos.
La interoperabilidad permite la coexistencia de
Internet
diversas redes, cada una con sus propios
protocolos.
• Complejidad del sistema
En una red coexisten diversos sistemas
operativos.
Su interacción requiere de mecanismos
adicionales que permitan la comunicación.
• Medios físicos susceptibles de ser intervenidos.
Normalmente en una red existen diversos tipos
de medios de comunicación.
Ejemplo de ataque a una red Ethernet

Es posible

Paquetes "Colgarse" del bus.

Desarrollar y correr software que lea
(copie) todos los paquetes teniendo
como consecuencias:

• Violar la confidencialidad.
• Vulnerar los controles de
acceso (consecuencia posterior).

Factor de inseguridad se encuentra a nivel de protocolo.

En una red Token ring se puede ingresar en forma equivalente

Intrusos.

Dos grandes tipos de intrusos amenazan permanentemente los sistemas computacionales

y redes: Humanos y Software.

Amenazas Humanas: Individuos o grupos de individuos que intentan penetrar

sistemas a través de redes de computadores, redes telefónicas públicas u otras fuentes.

Tres categorías.

Suplantadores. Individuo no autorizado que usa recursos a través de cuentas

autorizadas; externo.
Infidentes. Usuario legítimo de un sistema, que accesa recursos no autorizados;
interno.
Usuario clandestino. Individuo que toma control de un sistema, evade auditorias y
control de acceso y borra "huellas"; interno o externo.
Objetivos de ataques a redes.

• Permiten llegar a sistemas que poseen data sensible.

• Proporcionan facilidades de comunicación para mover datos robados
alrededor del mundo.
• Permiten usar sistemas para encriptar datos robados antes de moverlos.
• Permiten usar sistemas para almacenar datos robados.
• Permiten usar sistemas para desarrollar Caballos de Troya
Técnicas de ingreso.
Observación general
• Planos de facilidades computacionales.
• Listados telefónicos, etc.
Llamadas con algún pretexto.
• Hacerse pasar por vendedores.
• Hacer preguntas haciéndose pasar por estudiantes.
• Ingresar a oficinas en busca de detalles de acceso.
Escaneo telefónico.
Intercepción de comunicaciones.
• Cableado de redes o líneas telefónicas.
• Satélite, microondas o celulares.
• Radiación electromagnética de equipos computacionales.
"Ingeniería social" o explotación de debilidades humanas.
• Problemas maritales.
• Intolerancia financiera.
• Extrema intolerancia con algún empleado.
• Alcohol, Drogas.
Ataque al archivo de passwords. Método más común:

Técnicas para obtener passwords:

• Uso de passwords por defecto sin cambiar.

• Prueba exhaustiva de passwords cortas.
• Uso de palabras del diccionario en línea del sistema.
• Prueba con passwords obvias.
• Buscar información personal de un usuario. (nombres, apellidos, cuadros en la
oficina,
• libros, hobbies, etc.)
• Prueba con números asociados al usuario (Carnet de Identidad, de Conducir,
teléfonos,
etc.)
• Pruebas con Nºs de patentes.
• Uso de caballos de Troya.
• "Colgarse" de líneas de comunicación asociadas al usuario.
• Pretender ser un usuario legítimo y solicitar al operador cambio de password.
• Observar mientras se digitan las passwords.
Consideraciones "humanas” en la elección de password.
• Algunos usuarios eligen passwords excesivamente cortas.
• Estadísticas realizadas sobre un universo de 54 máquinas con alrededor de 7000
cuentas, arrojaron los siguientes resultados:

Estrategia usada:
Largo Número % del • 130 permutaciones para cada usuario (nombre, y otros)
total • Diccionario de 60.000 palabras. (animales, películas,
1 55 0.4 nombres de mujer, etc).
2 87 0.6 • Permutaciones de dos pasos del diccionario anterior.
3 212 2 (incluye cambios de mayúsculas, caracteres de control,
4 449 3 etc), total 2 millones de palabras adicionales.
5 1260 9
6 3035 22 Resultados:
7 2917 21 • Diccionario de tres millones de palabras.
8 5772 42 • Una hora de tiempo de proceso de una máquina paralela
Total 13787 (tamaño modesto).
• 25% de password descubiertas.
Programas dañinos.

Dos categorías:
Requieren anfitrión: Fragmentos de programas que no pueden existir
independientemente de algún programa de aplicación, utilitario o programa de sistema.
Independientes: Programas autocontenidos que pueden ser itinerados y corridos por
el sistema operativo.

Programas Dos características:

Dañinos
Se replican: Cuando son
ejecutados, generan copias
Requiere de
un anfitrión Independientes de si mismos.
No se replican: Cuando
el anfitrión es ejecutado,
realizan una función
Trapdoors
Bombas Caballos
Virus Bacteria Worms específica.
Lógicas de Troya
Bacterias:

• No dañan programas en forma explícita.

• Su propósito es replicarse.
• En un sistema multiprogramado, ejecuta dos copias de si mismo simultáneamente,
o crea dos archivos de si mismo.
• Se reproducen exponencialmente.
• Copan la capacidad del procesador, disco o memoria.

Bombas Lógicas.

• Más antiguas que virus o worms.

• Código inserto en programas legítimos.
• Programado para actuar bajo ciertas condiciones (presencia o ausencia de ciertos
archivos, fechas, aplicaciones, etc.).
• Activada puede: borrar archivos, detener la máquina, etc.
Trapdoors.

• Punto de entrada secreta a un programa.

• Código que reconoce una cierta secuencia de entrada o a un usuario específico o
una cierta secuencia de eventos.
• Usadas legítimamente por programadores (debuging).
• Son amenazas cuando son utilizadas por programadores inescrupulosos.
• Controles, muy difíciles de implementar

Virus.
Segmento de código que se replica a si mismo, anexando la copia a ejecutables
existentes.

Características.
• Replicación.
• Requiere un programa anfitrión como portador.
• Se activa por acciones externas.
• Réplicas confinadas al sistema.
Virus (cont).
• Explotan debilidades del sistema de control del sistema operativo.
• Virus destructivos son más difíciles de erradicar.
• Virus "mutantes" tienen mayor oportunidad de actuar antes de ser detectados.
• Para diseminarse requieren una gran población de sistemas homogéneos e
intercambio de software ejecutable.

Ciclo de vida del virus

• Sin actividad. El virus está ocioso. Es activado por algún evento. (fecha, presencia
de otro programa o archivo, etc)
• De propagación. Se copia en otros programas o ciertas áreas del disco.
• De Activación. Se prepara para realizar su función. Es activado por algún evento
(Nº de veces que ha sido copiado, etc.).
• Ejecución. Se lleva a cabo la función.

No todos tienen la primera etapa.

Algunos toman ventaja de debilidades del sistema.
Tipos de Virus.

Parásitos. Se anexa a un programa ejecutable y se replica. Cuando se ejecuta busca

e infecta otros ejecutables.

Residentes en memoria. Se instala en memoria como parte de programas de sistema

residentes. Infecta a todo programa que se ejecuta.

Del sector de Boot. Infecta el sector de boot de los discos.

Cauteloso. Virus diseñado para no ser detectado por software antivirus. Es más bien
una
técnica de construcción.

Polifórmico. Virus que "muta" después de cada infección. Hace imposible su detección
mediante el seguimiento de patrones.
Protección contra virus.

La primera línea de defensa son prácticas personales y administrativas y políticas

institucionales en relación con el uso y compartición de software externo.

Tres clases de productos antivirus.

• Herramientas de detección y desinfección

Scaners. Buscan strings patrones o usan métodos de detección algorítmica.
Desinfectantes.
• Monitores de vulnerabilidad.
Intentan prevenir modificaciones o accesos de partes sensibles.
Se requiere mucha información del sistema "normal"
Se requieren decisiones del usuario.
• Detección de modificación.
Método muy general. No requiere información de los virus para detectar su
presencia.
Crean una base de checksum de programas limpios. Actúan por comparación.
Worms.
Un programa que se replica a si mismo y causa la ejecución de una nueva copia.

Características:
• Replicación
• Autocontenido, no necesita anfitrión.
• Activado por creación de procesos (sistemas multitareas).
• Para worms de redes, replicación ocurre a través de los enlaces de
comunicación.
Defensas contra Worms.

• Requiere seguridad básica en sistemas y buena seguridad en redes.

• Uso adecuado de controles de identificación y autenticación incluidas en los
sistemas.
• Uso de herramientas de revisión de configuración. Su diseño requiere fuerte
conocimiento del sistema.
• Uso de herramientas de detección de intrusos.
• Uso de Firewalls.
Caballos de Troya.
Es un programa deliberadamente modificado para incluir código diseñado para
comprometer la confidencialidad e integridad de un sistema.

Características. Un caballo de Troya puede ser incorporado en:

• No se replica. • Códigos objeto o librerías objeto.
• Necesita anfitrión • Archivos con código fuente.
• Se activa mediante acciones • Shell scripts
externas. • Archivos utilitarios de configuración.
• Archivos de datos.

Métodos de detección.
En general son difíciles de detectar.

• Comparación de códigos de programas.

• Chequeo de programas sospechosos.
• Seguimiento de eventos inesperados.
• Examen de archivos de log en busca de programas sospechosos
Sistema de seguridad.

El sistema de seguridad presta un servicio que aumenta la seguridad del sistema

de procesamiento de datos y de las transferencias de información de una
organización. El servicio se opone a los ataques a la seguridad y utiliza uno o
más mecanismos de seguridad para implementar el servicio.

Ataque a la seguridad, es cualquier acción que compromete, la seguridad de la

información, propiedad de una organización.

Un mecanismo de seguridad es aquel diseñado para detectar, prevenir o

recuperar de un ataque a la seguridad.
Qué es un Firewall
Un firewall es un sistema de seguridad que intercepta data, instalado entre una red
privada e Internet. Es el equivalente de un sistema de seguridad a la entrada de un
edificio.
El firewall se implementa como un subsistema computacional (hardware y/o software,
que intercepta paquetes antes que ingresen al interior del sistema bajo protección.

Todo el tráfico (data) debe pasar a través de

él, permitiendo el paso solo de aquella data
autorizada, que responde a una política de
seguridad.
Para cada paquete de data, el firewall
compara los componentes conocidos del
paquete con un conjunto de reglas (política)
y decide si el paquete ingresa o no a la red.