1 / 117

Introducción a la seguridad en cómputo

Introducción a la seguridad en cómputo. Sergio A. Becerril CELE | UNAM. Temario. Conceptos básicos Ataques Seguridad básica Actualizaciones Buenas prácticas Navegación segura. Lao Tsé. 千里之 行 始 于足下. Introducción a la seguridad en cómputo. Conceptos básicos. ¿Qué es seguridad?.

miriam
Download Presentation

Introducción a la seguridad en cómputo

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Introducción a la seguridad en cómputo Sergio A. Becerril CELE | UNAM

  2. Temario • Conceptos básicos • Ataques • Seguridad básica • Actualizaciones • Buenas prácticas • Navegación segura

  3. Lao Tsé 千里之行 始于足下 Introducción a la seguridad en cómputo Conceptos básicos

  4. ¿Qué es seguridad? • Confianza • Tranquilidad • Protección

  5. La importancia de la información • Es un mundo digital • Tendencia irreversible • Más que una alternativa • Es un mundo globalizado • Inevitable, compartir información • No tenemos control del ambiente externo • No es solo la información • Cada dispositivo que interactúa es importante • Recordemos los recursos informáticos

  6. Seguridad informática

  7. “Los pilares de la seguridad” • Confidencialidad • Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas. Solo aquellos autorizados podrán acceder a la información. • Integridad • Mantener la fidelidad del estado de la información o los recursos informáticos. La información no se puede modificar sin autorización. • Disponibilidad • Garantizar que la información o los recursos informáticos podrán ser utilizados por entidades autorizadas. La información estará utilizable siempre que se necesite.

  8. Elementos adicionales • AAA • Autenticación: Comprobar la identidad de quien pretende acceder a los recursos. • Autorización: Comprobar los privilegios de quien pretende acceder a los recursos. • Auditoría: Mantener registros de las entidades y operaciones involucradas. • No repudio • Garantizar que las entidades involucradas en la manipulación de los recursos no puedan negar su participación.

  9. Seguridad informática • Confianza en los recursos informáticos • Integridad • Disponibilidad • No repudio • Tranquilidad acerca de los recursos informáticos • Integridad • Disponibilidad • Confidencialidad • Protección de los recursos informáticos • Confidencialidad • Cifrado • Autenticación, Autorización, Auditoría

  10. No es solo la información • Recursos informáticos • Equipos: computadoras, móviles, tablets... • Periféricos: impresoras, cámaras, monitores... • Almacenamiento removible • Dispositivos de interconexión • Entidades • Organizaciones • Usuarios • Creadores • Administradores

  11. Términos comunes • Activo Cualquier elemento de importancia para la organización • Vulnerabilidad Cualquier debilidad en un activo • Amenaza Un peligro posible que puede explotar una vulnerabilidad, causando daño a los activos.

  12. Términos comunes • Riesgo El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular. • Impacto La afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada a un riesgo específico. • Ataque Cualquier intento de explotar una vulnerabilidad, con el objeto de afectar los activos.

  13. Términos comunes • Evento Cualquier cambio al comportamiento normal de un sistema, ambiente, proceso, flujo o persona. • Incidente Cualquier evento atribuible, de raíz, a una causa humana. • Política Definición de seguridad para algún sistema, organización u otra entidad.

  14. Consecuencias • Pérdida • Modificación • Divulgación

  15. Atacantes • Hacker Persona con profundo conocimiento del funcionamiento de algún sistema. • Cracker Persona que viola la seguridad de algún sistema informático para beneficio propio. • Intruso Persona que intenta violar la seguridad de algún sistema informático.

  16. Problemas comunes • Contraseñas • Contraseñas débiles • Reutilización de contraseñas • Configuraciones • Inercia • Comodidad • Actualizaciones • Deshabilitación / no configuración • Ausencia de ambiente de pruebas • Navegación web • Sitios peligrosos • “Visión de túnel”

  17. Nobody ever defended anything successfully; there is only attack and attack and attack some more. G.A. George S. Patton Introducción a la seguridad en cómputo Ataques a la seguridad informática

  18. ¿Qué es un ataque? Un atentado sobre la seguridad de un sistema, que deriva de una amenaza inteligente; un acto inteligente que es un intento deliberado de evadir servicios de seguridad, y violar la política de seguridad de un sistema (IETF) • Explota una vulnerabilidad • Precedido por una amenaza inteligente • Conlleva un impacto

  19. Vulnerabilidades Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más amenazas (ISO 27005). • Presentes en todo elemento de cómputo • Por diseño o inherente

  20. Vulnerabilidades • Las podemos controlar • No podemos controlar la amenaza • Las podemos corregir • Vasta mayoría, error humano • Las podemos evitar • Buenas prácticas / experiencia

  21. Vulnerabilidades comunes • En software • CWE top 25 • En hardware • Acceso • Sensible a elementos • De configuración • De usuario

  22. Detección/explotación de vulnerabilidades • Escáner de puertos • Enumerador de red • Escáner de vulnerabilidades en red • Escáner de aplicaciones web • Fuzzer • Analizador estático de código

  23. CoreImpact • http://www.youtube.com/watch?v=SsI41_ZYB8c

  24. Nessus • http://www.youtube.com/watch?v=-7ThbeAMqkw

  25. Metasploit • http://www.youtube.com/watch?v=A5-E69E1G8U

  26. ZedAttack Proxy • http://www.youtube.com/watch?v=5RmHyZkQo_8

  27. Malware • Virus • El primer tipo de código malicioso • ILOVEYOU (2000, Macro Word, adjunto e-mail, PC) 50 millones en 10 días

  28. Malware • Trojanhorse • Control remoto inadvertido • Flashback (2011, Applet, Web, Mac) 600,000 Macs infectadas

  29. Malware • Spyware • Recolección no autorizada de información • Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows) 40 millones de “usuarios”

  30. Malware • Worm • Virus autorreplicable • Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA) ½ millón de infecciones

  31. Malware • Bots • Worm + trojan • BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC) 30,000,000 de bots,3,600 millones de spam/día

  32. Ataques • Denial of Service (DOS) • Spoofing • Snooping / MITM • Skimming

  33. Aún más ataques! • Trashing • Phreaking • DNS Poisoning • …

  34. Bluetooth • http://www.youtube.com/watch?v=1c-jzYAH2gw

  35. WiFi • http://www.youtube.com/watch?v=e0udwPoUR9k

  36. Phishing • Sitio web falso • Robo de información • Distribuidos por e-mail

  37. Pharming • Similar a phishing • Sustitución de servidores DNS • Sitios remotos o locales

  38. Scams • Engaños por dinero o diversión • Provenientes usualmente del extranjero • Pueden implicar contacto directo con la víctima • Nuevas tendencias: móviles, secuestros…

  39. Ingeniería social • El ataque humano más difícil – y el más productivo • Psicología + conocimiento insider • No requiere conocimiento técnico

  40. Ejemplos de ingeniería social • Mauersby & Storch (Contabilidad) • Llamada de soporte, 7:49 hrs • “Hay problemas y me gustaría verificar algunos datos” • Usuario nunca revela su contraseña • 100% de registros fiscales robados

  41. Ejemplos de ingeniería social • Proveedor de servicios, telefonía móvil • 3 llamadas: recepción, contabilidad, *, publicaciones • “Necesito una copia del directorio de empleados • 1 pieza de información: Código de compras • Directorio enviado (fuga de talento)

  42. Ejemplos de ingeniería social • Compañía de tarjetas de crédito • Buzón de voz temporal para empleada de viaje • Dos llamadas telefónicas: telecom y servicios • Robo de identidad

  43. Ejemplos de ingeniería social • Security PacificNational Bank • Empleado temporal con acceso a cuarto de transferencias • Dos llamadas: transferencias y * • 10 millones de dólares en cuenta suiza

  44. La psicología del atacante • Reto personal • Credibilidad • Ganancia económica • Retribución

  45. AdvancedPersistentThreat • Decidido • Con dominio tecnológico • Conocimiento profundo de víctima • Puede aplicar casi cualquier técnica

More Related