seguridad en internet - uap.edu.pe€¦ · seguridad en internet ... • la información es un...
TRANSCRIPT
SEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNETSEGURIDAD EN INTERNET
Universidad Alas PeruanasUniversidad Alas Peruanas
Facultad de DerechoFacultad de Derecho
Ing. Cynthia Zúñiga Ramos
Una primera definiciUna primera definicióón de tn de téérminos y conceptosrminos y conceptos
Proyecto CriptoRed y el Desarrollo de la Seguridad Informática en Iberoamérica – Campinas 2003
Aclaremos un concepto: ¿Qué se entiende por seguridad informática?
Es muy común encontrar documentos en donde la seguridad informática viene
separada en dos apartados: seguridad física y seguridad lógica.
La seguridad física se relaciona normalmente con temas de políticas de seguridad,
normativas, planes de contingencia, la protección física de los datos, gestión de la
seguridad, accesos, auditoría, leyes...
En cambio la seguridad lógica está más orientada hacia la protección de la
información en su mismo medio, ya sea generación, almacenamiento y
transmisión, usando en este caso por lo general herramientas, técnicas y esquemas
propios de la criptografía... POR LO TANTO...
Como conclusión, se podría decir que no está muy clara la delimitación entre una y
la otra, en tanto en muchos casos se complementan y una no puede plantearse sin
la otra. Lo que sí está aceptado por todos es que, hoy por hoy, la seguridad
informática es una especialidad emergente donde convergen un alto número de
disciplinas y temas muy específicos.
Seguridad InformSeguridad Informááticatica
• Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
• El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática.
• Principios de “defensa en profundidad”: cifrado de datos, gestión de usuarios, configuración ribusta de equipos, segmentación de redes (VLANs), Seguridad Perimetral.
Seguridad InformSeguridad Informááticatica
• Existen 4 planes de actuación: técnico, humano, legal y organizativo.
• La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI).
• La información es un recurso vital en el mundo globalizado de hoy en día.
Seguridad InformSeguridad Informááticatica
• Se tiene una jerarquía de seguridad informática:
• CIA• Políticas• Planes
• Procedimientos• Tareas y Operaciones
• Registros y Evidencias.
Seguridad InformSeguridad Informááticatica
• Ejemplo de seguridad CIA
• Política: protección del servidor Web de la organización contra accesos no autorizados.
• Procedimiento 1: Actualización del software del servidor Web.
• Tarea1: Revisión diaria de los parches publicados por el fabricante.
Seguridad InformSeguridad Informááticatica
• Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad.
• Procedimiento 2: Revisión de los registros de actividad en el servidor.
• Tarea1: revisión semanal de los “logs”del servidor para detectar anomalías.
Seguridad InformSeguridad Informááticatica
• Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión.
• Inventario de soportes físicos. Destructor de Discos Duros
Seguridad InformSeguridad Informááticatica
Amenazas a la seguridadAmenazas a la seguridad
• Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios.
• Explosión de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.
• Se puede modelar el sistema como un flujo de información desde una fuente (un fichero o usuario) a un destino (otro fichero o usuario).
Amenazas a la seguridadAmenazas a la seguridad
• Interrupción– Parte del sistema queda destruida o no disponible.
– Destrucción hardware,
corte de una línea de comunicación.
• Intercepción– Una entidad no autorizada accede a parte de la
información .
– Pinchazo línea telefónica,
copia ilícita de ficheros, intercepción vía radio comunicaciones móviles.
Amenazas a la seguridadAmenazas a la seguridad
• Modificación– Una entidad no autorizada
accede a parte de la
información y modifica su contenido.
– Alteración de ficheros de
datos, alteración de programas, modificación de mensajes trasmitidos por la red.
• Fabricación– Una entidad no autorizada
envía mensajes haciéndose
pasar por un usuario legítimo.
• Interrupción:– Este es un ataque en la disponibilidad.
• Intercepción:– Este es un ataque en la confidencialidad.
• Modificación:– Este un ataque a la integridad.
• Fabricación:– Este es un ataque a la autenticidad.
Amenazas de SeguridadAmenazas de Seguridad
•• IngenierIngenier íía Sociala Social
•• Ataques pasivosAtaques pasivos•• Ataques activosAtaques activos
•• AnAn áálisis de Riesgoslisis de Riesgos•• InterrupciInterrupci óón del Servicion del Servicio•• FPGAFPGA
• Virus informáticos
• Gusanos
• Troyanos
• Spyware
• Adware
• Dialers
• Exploit
• Bots
• Pharming
Amenazas de SeguridadAmenazas de Seguridad
•• BackdoorBackdoor
•• Bomba Bomba forkfork
•• HijackerHijacker
•• KeystrokeKeystroke o o KeyloggersKeyloggers
•• PPáárasitorasito InformInform ááticotico
Amenazas de SeguridadAmenazas de Seguridad
•• PhishingsPhishings
•• PornwarePornware
•• RabbitRabbit
•• RootkitRootkit
•• SpamSpam
•• PopPop --UpsUps
•• Bomba LBomba L óógicagica
•• CookiesCookies (Malas)(Malas)
•• Trampas y/o InocentadasTrampas y/o Inocentadas
Amenazas de SeguridadAmenazas de Seguridad
Servicios de SeguridadServicios de Seguridad
•• ConfidencialidadConfidencialidad– Requiere que la información sea accesible únicamente por las entidades autorizadas (carta lacrada).
•• AutenticaciAutenticaci óónn– Requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa (huellas dactilares).
•• IntegridadIntegridad– Requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación , etc… (tinta indeleble).
Servicios de SeguridadServicios de Seguridad
•• No repudioNo repudio– Requiere que ni el emisor ni el receptor del mensaje puedan negar la transmisión (correo certificado).
•• Control de accesoControl de acceso– Requiere que el acceso a la información sea controlado por el sistema destino (llaves y cerrojos).
Mecanismos de SeguridadMecanismos de Seguridad
•• Intercambio de autenticaciIntercambio de autenticaci óónn– Corrobora que una entidad, ya sea origen o destino de la información, es la deseada.
•• CifradoCifrado– Garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados.
•• Integridad de datosIntegridad de datos– Implica el cifrado de una cadena comprimida de datos a transmitir. Esto se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y el cifrado de los datos y compara el resultado obtenido con el que le llega, para verificar que no hayan sido modificados.
Mecanismos de SeguridadMecanismos de Seguridad
• Firma digital– Cifrado, con una clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía al receptor junto con los datos ordinarios. Se procesa en el receptor, para verificar su integridad.
• Control de acceso– Sólo aquellos usuarios autorizados acceden a
los recursos del sistema o a la red.
Mecanismos de SeguridadMecanismos de Seguridad
• Tráfico de relleno– Consiste en enviar tráfico redundante junto con los datos válidos para que el enemigo no sepa si se está enviando información, ni qué cantidad de datos útiles se está transfiriendo.
• Control de encaminamiento– Permite enviar determinada información por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de integridad en una ruta determinada.
• Derecho a la intimidad
• Elaboración de perfiles
• Dispositivos biométricos
• Uso de VPN
• Uso de certificados de autoridad
Mecanismos de SeguridadMecanismos de Seguridad
• Antivirus• Firewall
• Anti-Spyware• Anti-Rootkits
• Parches (Service Pack)• Configuraciones• Trucos, Trucos y más trucos
Mecanismos de SeguridadMecanismos de Seguridad
• Hacer copias de seguridad• Habilitar las zonas de seguridad
• Utilizar antivirus y dos firewalls*
• Control para padres• Utilización de sockets seguros (SSL)
Mecanismos de SeguridadMecanismos de Seguridad
• Emplear claves difíciles de acordar.
• Comprobar el estado del sistema operativo.
• Comprobación del estado del hardware
• Evitar descargas de archivos.
• IDS Sistemas Detector de Intrusos• Utilización de Proxys
Mecanismos de SeguridadMecanismos de Seguridad
Proceso de ConstrucciProceso de Construccióón de un ambiente de Red, n de un ambiente de Red,
InformInformáática Seguro tica Seguro
Evaluación de Amenazas
y Auditoría
Inicio del Proceso
Análisis Estratégico
Creación de Reglas y Políticas
Diseño de la Plataforma de
Protección
Implantación de las
Políticas
Implantación de la Malla de
Seguridad
Auditoria y Revisión Continua
Conceptos mConceptos máás importantes relativos s importantes relativos
a la Criptografa la Criptografíía y a la Firma Digital.a y a la Firma Digital.
• ¿Por qué es importante mantener Secretas las Claves (privadas) de un sistema Criptográfico?
• ¿Porqué es importante la longitud de las Clave Criptográficas ?
• ¿ Es posible implementar “Firma Digital” con Criptografía de Clave Simétrica, y con Clave Asimétrica ?
• ¿Que es conceptualmente una Firma Digital?• La FD de un Documento ¿Impide que este sea alterado? • ¿Que Función Cumple una Autoridad Certificante? • ¿Es posible implementar un Sistema Seguro de FD sin
Autoridad Certificante ?
CriptografCriptografíía sega segúún la RAEn la RAE
Criptografíauna definición no muy afortunada...
La Real Academia Española define criptografía (oculto + escritura) como:
"el arte de escribir mensajes con una clave secreta o de modo enigmático ".
Es interesante pero resulta muy poco ajustada a los tiempos actuales.
Imprecisiones de esta definiciImprecisiones de esta definicióónn
Arte:Arte: la criptografía ha dejado de ser un arte: es una
ciencia.
Escritura de mensajes:Escritura de mensajes: ya no sólo se escriben mensajes;
se envían o se guardan en un computador diversos tipos
de documentos con distintos formatos (txt, doc, exe, gif,
jpg, ...).
Una claveUna clave: los sistemas actuales usan una o dos claves.
Clave secreta:Clave secreta: existirán sistemas de clave secreta que
usan una sola clave y sistemas de clave pública (muy
importantes) que usan dos: una clave privada (secreta) y
la otra pública.
Representación enigmática: la representación binaria de
la información podría ser enigmática para nosotros los
humanos pero no para los computadores ☺ ... es su
lenguaje natural.
Una definiciUna definicióón mn máás ts téécnica de criptografcnica de criptografííaa
CriptografCriptografííaa
Lo que realmente es
Rama inicial de las Matemáticas y en la actualidad de la Informática
y la Telemática, que hace uso de métodos y técnicas con el objeto
principal de cifrar y/o proteger un mensaje o archivo por medio de
un algoritmo, usando una o más claves. Esto da lugar a diferentes
tipos de sistemas de cifra que permiten asegurar estos cuatro
aspectos de la seguridad informática: la confidencialidad, la
integridad, la disponibilidad y el no repudio de emisor y receptor.
CriptosistemaMedio de
Transmisor Transmisión ReceptorM C
Cifrador Mensaje cifrado Descifrador
T RMTC M
Usurpación de identidadpor un intruso (I)
Interceptación del mensajepor un intruso (I)
Cualquier medio de transmisión es inseguro
Integridad
Confidencialidad
Estos dos principios de la seguridad informática, el de la confidencialidady la integridad, (además de la disponibilidad y el no repudio) serán muy importantes en un sistema de intercambio
de información segura a través de Internet.
Confidencialidad e integridadConfidencialidad e integridad
Tipos de criptosistemasTipos de criptosistemas
ClasificaciClasificacióón de los criptosistemasn de los criptosistemas
Según el tratamiento del mensaje se dividen en:
Cifrado en bloque (DES, IDEA, RSA) 64-128 bits
Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit
Según el tipo de claves se dividen en:
Cifrado con clave secreta
Cifrado con clave públicaSistemas simétricos
Sistemas asimétricos
Criptosistemas simCriptosistemas siméétricos y asimtricos y asiméétricostricos
Criptosistemas simCriptosistemas siméétricos:tricos:
Existirá una única clave (secreta) que deben compartir emisor y
receptor. Con la misma clave se cifra y se descifra por lo que la seguridad
reside sólo en mantener dicha clave en secreto.
Criptosistemas asimCriptosistemas asiméétricos:tricos:
Cada usuario crea un par de claves, una privada y otra pública, inversas
dentro de un cuerpo finito. Lo que se cifra en emisión con una clave, se
descifra en recepción con la clave inversa. La seguridad del sistema
reside en la dificultad computacional de descubrir la clave privada a
partir de la pública. Para ello, usan funciones matemáticas de un solo
sentido con trampa.
Criptosistemas simCriptosistemas siméétricostricos
Cifrado con criptosistemas de clave secretaMedio de
k Transmisión kM C
Texto TextoBase Criptograma Base
EK MT DKMC
protegida
Integridad
C’ no permitido
Intruso
EK
Confidencialidad
protegida
M no permitido
DK
La confidencialidad y la integridad se lograrán si se protegen las claves en el cifrado
y en el descifrado. Es decir, se obtienen simultáneamente si se protege laclave secreta.
DES, TDES, IDEA, CAST, RIJNDAEL
DES, TDES, IDEA, CAST, RIJNDAEL
Cifrado con clave pública del receptorIntercambio de claves RSA
Intruso
Medio deClave públicadel usuario B Transmisión
M
CUsuario A Criptograma
EB MT DB M
C
Clave privadadel usuario B
Usuario B protegida
Confidencialidad
M no permitido
DB
Observe que se cifra con la clave pública del destinatario.
Las cifras EB y DB (claves) son inversas dentro de un cuerpo
Un sistema similar es el intercambio de clave de Diffie y Hellman (DH)
Criptosistemas asimCriptosistemas asiméétricos (parte 1)tricos (parte 1)
Cifrado con clave privada del emisorFirma digital RSA
Intruso
CriptogramaC
Medio deClave privadadel usuario A Transmisión
M
Usuario A
DA MT EA M
C
Clave públicadel usuario A
Usuario B
DA
protegida
Integridad
C’ no permitidoObserve que se cifra con la clave privada del emisor.
Se firma sobre un hash H(M) del mensaje, por ejemplo MD5 o SHA-1
Firmas: RSA y DSS
La firma DSS estábasada en el algoritmo de cifra de El Gamal
Criptosistemas asimCriptosistemas asiméétricos (parte 2)tricos (parte 2)
Las cifras DA y EA (claves) son inversas dentro de un cuerpo
Tipos de cifra con sistemas asimTipos de cifra con sistemas asiméétricostricos
Criptosistemas de clave pública
Integridad
Confidencialidad
La confidencialidad y la integridad se obtienen por separado
Firmadigital
Información cifrada
Autenticación del usuario A;
integridad de M
EB DBDAM EA
M
UsuarioB
k privada
de A
k pública
de A
k pública
de Bk privada
de B
DA DBC
UsuarioA
¿¿QuQuéé usar, cifra simusar, cifra siméétrica o asimtrica o asiméétrica?trica?
Los sistemas de clave pública son muy lentos pero tienen firma digital.
Los sistemas de clave secreta son muy rápidos pero no tienen firma digital.
Cifrado de la información: Sistemas de clave secreta
Firma e intercambio de clave de sesión:Sistemas de clave pública
¿Qué hacer?
Sistema hSistema hííbrido de cifra y firmabrido de cifra y firma
Firmadigitalsobre H(M)
Cifrado simétrico
Intercambio clave de sesión k usandoEB(k) en emisión y DB(k) en recepción
Autenticacióndel usuario eintegridad
k k
M EA M
Usuario A
k privada
de A
Usuario B
k pública
de A
Cifrado asimétrico
k secreta
kDA kC
k secreta
Fin del Tema 1
�� ¿¿QuQuéé es un firewall?es un firewall?
� Es un programa que se ocupa de filtrar
el tráfico siguiendo una serie de reglas
establecidas.
FirewallsFirewalls
Internet Internet
InteracciInteraccióón tn tíípica B2Cpica B2C
Escenario 1: Chanchis entra a hacer una transacción en www.banquito.com
Usuario: chanchisClave: chan00
Usuario: chanchisClave: chan00
Paso 1. ¿Quién soy?
Internetwww.banquito.com
Internetwww.banquito.com
Cuenta: 4622-7Operación: TraspasoCant: 10,000Cta.destino: 3746-9
Cuenta: 4622-7Operación: TraspasoCant: 10,000Cta.destino: 3746-9
Paso 2. ¿Qué quiero hacer?
InteracciInteraccióón tn tíípica B2Cpica B2C
Riesgo #1 : EspionajeRiesgo #1 : Espionaje
Internet www.banquito.com
“Maloso(a)” espiando
Ajá!! Chanchisestá enviando dinero a Pancho L.
Riesgo #2: SuplantaciRiesgo #2: Suplantacióónn
Internetwww.banquito.com
Usuario: chanchisClave: chan99Clave inválidaClave: chan00O.K. ...
Usuario: chanchisClave: chan99Clave inválidaClave: chan00O.K. ...
Riesgo #3: AlteraciRiesgo #3: Alteracióónn
Internet www.banquito.com
Cambia la cuenta destino a la 1234-41 (la de Chente)