Upload
prudencia-cayetano
View
221
Download
0
Embed Size (px)
Citation preview
SEGURIDAD LÓGICA
Ing. Yolfer Hernández, CIA
Seguridad y Auditoria de Sistemas
Ciclo 2009-2
• Métodos de Criptografía• Conceptos de criptografía y protección• Criptografía Clásica y Moderna• Algoritmos Simétricos y Asimetricos• Métodos de Criptografía: Certificado
Digital• Planes de Contingencia
• Conceptos generales del PCN / BRS• Fases del PCN
TEMARIO – Herramientas y Técnicas SL
• Ataques Informáticos• Riesgos por Internet: Programas
intrusivos• Crimen Informático• Métodos de Defensa y Prevención
TEMARIO – Herramientas y Técnicas SL
Métodos de Criptografía
Criptografía, es el arte y ciencia de cifrar y descifrar datos usando las matemáticas.
Usualmente se usan Algoritmos y Claves, haciendo posible el intercambio de datos para que sólo puedan ser leídos por las personas autorizadas.
Funciones:
Autenticación: ¿Como puedo garantizar que soy quien digo ser?
Integridad: ¿Como puedo saber si la información no ha sido manipulada?
Confidencialidad: ¿Como se garantiza que solo aquellos a los que se ha autorizado tienen acceso a la información ?
No repudio: ¿Como me aseguro que las partes que intervienen en una transacción no niegen haberlo hecho?
Criptografía clásica
Sistema de SustituciónLos caracteres del mensaje en claro se modifican o sustituyen por otros elementos o letras en la cifra. El criptograma tendrá caracteres distintos a los que tenía el mensaje en claro.Ejemplo: El cifrador de Vigenére, Soluciona la debilidad del cifrado del César en que una letra se cifra siempre igual. Se usa una clave K de longitud L y se cifra carácter a carácter sumando módulo n el texto en claro con los elementos de esta clave.
Sea K = CIFRA y el mensaje M = HOLA AMIGOSM = H O L A A M I G O S K = C I F R A C I F R A sumando mod 27...C = J W P R A Ñ P L G S
A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Ci = Mi + Ki mod 27
Ci = Mi + 3 mod 27
Criptografía clásica
Sistema de TransposiciónLos caracteres del mensaje en claro se redistribuyen sin modificarlos y según unas reglas, dentro del criptograma. El criptograma tendrá los mismos caracteres del mensaje en claro pero con una distribución diferente.Ejemplo: El cifrador escítala, Usada por los griegos siglo V a.c. Consistía en un bastón en el que se enrollaba una cinta de cuero y luego se escribía en ella el mensaje de forma longitudinal. Al desenrollar la cinta, las letras aparecerán desordenadas. Bastón y cinta para cifrar:
El texto en claro es: M = ASI CIFRABAN CON LA ESCITALAEl texto cifrado o criptograma será: C = AAC SNI ICT COA INL FLA RA AE BS
A S I C I F R A B
A N C O N L A E S
C I T A L A
En ese bastón residía la fortaleza de un pueblo. De esos tiempos proviene como símbolo de poder, el bastón de mando que se le entrega al alcalde de una ciudad en la ceremonia de su nombramiento
Criptografía moderna
Sistemas criptográficos
Surge como solución a las necesidades de seguridad, permitido por el avance tecnológico (velocidad de cálculo), matemático (Métodos criptográficos).
Los criptosistemas modernos, cuya cifra en bits está orientada a todos los caracteres ASCII o ANSI usan por lo general una operación algebraica, sin que necesariamente deba corresponder con el número de elementos del alfabeto o código utilizado.
Generalmente nunca coinciden.
Su fortaleza está en la imposibilidad computacional de descubrir una clave secreta única, en tanto que el algoritmo de cifra es (o debería ser) público.
protegida
EK
protegida
M no permitido
DK
Medio de
k Transmisión kM C
Texto TextoBase Criptograma Base
EKMT DK
MC
Integridad
C’ no permitido Intruso
Confidencialidad
La confidencialidad y la integridad se lograrán si se protegen las claves en el cifrado y en el descifrado. Es decir, se obtienen
simultáneamente si se protege la clave secreta.
DES, TDES, IDEA, CAST, RC2, RC5, Blowfish, Rijndael...
DES, TDES, IDEA, CAST, RC2, RC5, Blowfish, Rijndael...
• K = Usa la misma clave para cifrar y descifrar
• La seguridad esta en la clave no en el algoritmo
• Las claves hay que distribuirlas en secreto
• Altas velocidades de cifrado
• Si una clave esta comprometida, puede descifrarse todo el trafico de la misma.• Aumento del numero de claves : n(n-1)/2 para n usuarios.
Métodos de Criptografía
Algoritmos Simétricos
• El conocimiento de una de las claves no permite deducir la otra• La clave pública se puede comunicar a cualquier persona• Se facilita el procedimiento para establecer la comunicación segura y la
gestión de claves• Algoritmos lentos
Algoritmos Asimétricos (RSA)• Uso de dos claves
diferentes• Una secreta• Otra publica• Ambas
relacionadas matemáticamente
• El mensaje cifrado con una clave, sólo puede ser descifrado por la otra
protegida
M no permitido
Las cifras EB y DB (claves) son inversas dentro de un cuerpo
Medio de
Clave pública
del usuario B
TransmisiónM
CUsuario A Criptogram
a
EBMT DB
M
C
Clave privada
del usuario B
Usuario B
Confidencialidad
DB
Observe que se cifra con la clave pública del destinatario.
RSA, DH (Diffie y Hellman), Elgamal
Integridad
C’ no permitido
Intruso
Métodos de Criptografía
Métodos de Criptografía
Firma Digital• Un mensaje se puede firmar cifrandolo con la
clave privadao Esto garantiza que el emisor lo ha creadoo El documento sigue siendo público
• Resulta mas eficiente firmar el código hasho Se genera el código hash del mensajeo Luego se cifra el código hash con la clave
privadaCertificado Digital
Métodos de Criptografía
Certificados• Los certificados son claves públicas que han sido “firmadas” por una
entidad certificadora reconocida• Se firma la clave pública con los datos del propietario• La clave de la entidad certificadora está integrada en el navegador
en el programa de correo, para poder verificar la firma• Además de verificar la clave localmente, se puede consultar la lista
pública de claves no-válidas en la entidad certificadora
Protocolos de SeguridadSSL (Secure Sockets Layer), creado en 1994 por Netscape, para autentificar
al servidor y cliente (tambien confidencialidad e Integridad)
SET (Secure Electronic Transaction), sistema de pago seguro para certificar a tarjetas y comercios, creado por Visa, Mastercard, IBM, Microsoft, Verisign y Netscape.
PKI (Public Key Infraestructure), mejora de seguridad incluyendo no-repudio y control de acceso, gestion de certificados, claves, etc.
Métodos de Criptografía
Certificado Digital
Plan de Continuidad de Negocio - PCN
Plan de Continuidad
“Es un conjunto de procedimientos, normas, recursos, funciones, planes, pruebas, etc, diseñadas para asegurar la continuidad del negocio, mitigar los riesgos y organizar la recuperación, cuando se presenten eventos que impidan el normal funcionamiento de las actividades.”
Plan de Continuidad - Fases
• Planificación Responsabilidad de la Dirección Asignar equipo de PCN Desarrollar y aprobar el Plan
• Acciones de Emergencia Procedimientos de alertas y activación Evaluación de Daños
• Continuidad de Operaciones Atención de servicios críticos (offline y/o manual) Recuperación de Infraestructura Tecnológica alterna Cuadre operativo y “enganche” offline-online alterno Atención con infraestructura alterna
Plan de Continuidad - Fases
• Retorno a la Normalidad al sistema principal Recuperación procesador principal Procedimientos de retorno Atención en procesador principal
• Sin Retorno a la Normalidad (otra estrategia) Switch procesador alterno como principal
• Fin de la Emergencia Informe final – Evaluación de resultados Actualización de procedimientos (retroalimentación)
• Gestión del Plan - Programas Entrenamiento Pruebas Mantenimiento y Monitoreo Evaluación: Auditoria
Plan de Continuidad
AmenazasActivos
VulnerabilidadesExplotan
GeneranImpactos
Riesgos
Implican
SalvaguardasDecisiones
R E D U C E N
Aspectos a tener en cuenta:
• Estrategia de Recuperación Actividades previas al desastre Actividades durante el desastre Actividades después del desastre
• Factores importantes: Tecnología Servicios (Circuitos, proveedores, etc.) Recursos Humanos
Riesgos por Internet
Spams
Virus Troyanos
Programas intrusivos
SniffingPhishing
Denegación de Servicios
Ingeniería Social
Métodos de Ataque
Hackers
Robo de Información
Crimen Organizado
Crackers
Atacantes
Agujeros de Seguridad en las Redes
Actualizaciones no instaladas
Puertos abiertos
Debilidades de Control
Debilidades
Conexiones dered
Worms, exploits & attacks
Sistemaoperativo
Malware, Rootkits, day-zero vulnerabilities
Memoria / Procesos
Buffer Overflow, process injection, key logging
AplicacionesZero-hour attacks, Malware,
Trojans, application injection
Dispositivos de E/SSlurping, IP theft, malware
Exposición de Amenazas en puntos finales
Virus, Trojans, Malware & spyware
Archivos y datos
de sistema
Riesgos por Internet
Tendencias de los ataques - Actividad maliciosa - Mundial
• Entre el 1 de julio y el 31 de diciembre, Estados Unidos fue el principal país desde el que se originó actividad maliciosa (en datos en bruto), con un 31% del total. China apareció en segundo puesto con el 7%
3ra Reunión Regional de CIAPEM Noroeste 20
21
Tendencias de los ataques - Actividad maliciosa – América Latina
• En América Latina, Brasil fue el principal país con más actividad maliciosa en América Latina y el noveno a nivel mundial. Estuvo seguido de Argentina y México
3ra Reunión Regional de CIAPEM Noroeste
Tendencia de los AtaquesBots y Redes Bots en América Latina
• Durante el segundo semestre de 2007, Symantec detectó 61,940 computadoras de redes bot activas por día, un incremento de 17% con la primera mitad del año. El total de computadoras a nivel mundial infectadas por bot que Symantec identificó fue de 5,060,187. Los servidores de control se redujeron a 4,901
• En América Latina, Brasil ocupa el primer sitio debido a la penetración de banda ancha – líder en la región.
3ra Reunión Regional de CIAPEM Noroeste 22
Crimen Organizado a nivel mundial
Preparación de Técnicas de Fraude
• Phishing• Troyanos• Etc.
Recolección de Información de
Clientes
• Envío de Correos• Interceptación de
operaciones
Bases de Datos organizados
(“Bot’s”)
Modo de Operación
Ejecutores “Mulas”
• Reclutamiento• Apertura de Cuentas
Ejecución del Fraude
• Transferencia de Cuentas• Retiro de Fondos• Pago de Servicios• Etc.
Crimen Organizado a nivel mundial
Phishing: Fraudes por engaño o “ingeniería social” más extendidos a nivel mundial.
Tiene costo reducido, ejecución continuada y escaso riesgo de capturado. Aún con escaso impacto unitario, la Rentabilidad Ajustada a Riesgo para el delincuente es alta.
Métodos conocidos, consisten en simulación de páginas y envío de e-mails masivos (spam).
Troyano:Fraudes mediante el uso de programas intrusivos que se alojan en el disco de la PC.
Capturan información de las PC’s
Cambian la dirección de las páginas originales
Medios de Autenticación Fuerte
Malla compleja para los Usuarios
Existen diversos medios de autenticación en función de varios ejes: servicio, canal, riesgo, preferencias.
Puede compartir el mismo medio de autenticación para varios servicios, o utilizar varios diferentes.
Cada medio de autenticación requiere un sistema de validación diferente.
Las aplicaciones tienen que adecuarse a cada medio
Logística, Gestión de Estados, asignación
=> Incremento importante de Costos
Security 2.0 - Symantec Endpoint Protection 26
Fundamentos de informaciónFundamentos de información
Seguridad de punto finalSeguridad de punto final
Teléfono celularTeléfono celular LaptopLaptop DesktopDesktop Servidor deServidor dearchivosarchivos
Servidor deServidor deaplicacionesaplicaciones
Servidor deServidor demesajeríamesajería
Servidor deServidor debase de datosbase de datos
Proveer defensa en tiempo real contra actividad maliciosa
Reducción de riesgos
Security 2.0 - Symantec Endpoint Protection 27
Administración de políticas
Eventos y registrosAdmon. de informaciónAdmón. de vulnerabilidades
Fundamentos de informaciónFundamentos de información
Seguridad de punto finalSeguridad de punto final
Reducción de riesgos
Teléfono celularTeléfono celular LaptopLaptop DesktopDesktop Servidor deServidor dearchivosarchivos
Servidor deServidor deaplicacionesaplicaciones
Servidor deServidor demesajeríamesajería
Servidor deServidor debase de datosbase de datos
Administración de SeguridadAdministración de Seguridad
i!