AUDITORIA Y SEGURIDAD INFORMATICA ELEMENTOS DE SEGURIDAD INFORMÁTICA UNIVERSIDAD PILOTO DE COLOMBIA Ing. RARM
“Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberĂĄs temer el resultado de mil batallasâ€? Sun-Tzu, El Arte de la Guerra
Seguridad informática La seguridad informática
NO es un problema
exclusivamente de las computadoras. Las computadoras y las redes son el principal campo de batalla. Se debe de proteger aquello que tenga un valor para alguien.
Seguridad informática Recordando ¿Qué es un sistema informático? Es el conjunto que resulta de la integración de cuatro elementos: Hardware, software, datos y usuarios.
¿Cuál es el objetivo de integrar estos componentes? Hacer posible el procesamiento automático de los datos, mediante el uso de computadores.
Seguridad informática Recordando ¿Qué son datos? Símbolos que representan hechos, situaciones, condiciones o valores. Los datos son la materia prima que procesamos para producir información.
¿Qué es la información? El resultado de procesar o transformar los datos. La información es significativa para el usuario.
Seguridad informática Objetivos “LA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN DESTINO” Mantener los sistemas generando resultados.
Si los sistemas no se encuentran funcionando entonces su costo se convierte en perdidas financieras (en el menos grave de los casos). El resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.
Seguridad informática Objetivos Explicar la importancia de la información como activo estratégico. Definir la expresión “Seguridad Informática”. Describir los principios que sirven de fundamento a la Seguridad Informática. Ejemplificar los mecanismos de implantación de la seguridad informática, asociándolos con el principio que fortalecen.
Seguridad informática Conceptos Como consecuencia de la amplia difusión de la tecnología informática, la información:
Se almacena y se procesa en computadores, que pueden ser independientes o estar conectados a sistemas de redes. Puede ser confidencial para algunas personas o para instituciones completas.
No está centralizada y puede tener alto valor.
Seguridad informática Conceptos Como consecuencia de la amplia difusión de la tecnología informática, la información:
Puede utilizarse para fines poco éticos. Puede divulgarse sin autorización de su propietario. Puede estar sujeta a robos, sabotaje o fraudes.
Puede ser alterada, destruida y mal utilizada.
Seguridad informática Conceptos La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. La decisión de aplicarlos es responsabilidad de cada usuario. Las consecuencias de no hacerlo … también.
Seguridad informรกtica Principios de Seguridad Informรกtica Para lograr sus objetivos, la seguridad informรกtica se fundamenta en tres principios, que debe cumplir todo sistema informรกtico:
Confidencialidad Integridad Disponibilidad
Seguridad informática Principios de Seguridad Informática Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.
Seguridad informática Principios de Seguridad Informática Integridad
Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.
Seguridad informática Principios de Seguridad Informática Disponibilidad
Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran. Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.
Seguridad informática Factores de riesgo Impredecibles - Inciertos
Predecibles
Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc.
Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc.
Definiciones de seguridad Políticas, procedimientos y técnicas para asegurar la
integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando.
¿por qué? Por $$$, el dueño de los sistemas tiene dinero
INVERTIDO en algo que le trae un beneficio o ventaja. El Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes) Por CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo.
¿De donde surge la seguridad? “Tecnológicamente, la seguridad es GRATIS” YA SE HA PAGADO POR ELLA: Los sistemas operativos
modernos contienen muchas características de seguridad. ¿Las conoces?¿Las usas? LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN SOURCE. (excepto los antivirus)
¿De donde surge la seguridad? La Seguridad Informática es Fácil: “Con el 20% de
esfuerzo se puede lograr el 80% de resultados” (PARETO)
Actividades sencillas pero constantes son las que evitan
la mayoría de los problemas. Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.
ROLES INVOLUCRADOS EN SEGURIDAD
SEGURIDAD
USUARIOS
Usuarios comunes Los usuarios se acostumbran a usar la tecnología sin
saber como funciona o de los riesgos que pueden correr. Son las principales víctimas. También son el punto de entrada de muchos de los problemas crónicos. “El eslabón más débil” en la cadena de seguridad. Social Engineering Specialist: Because There is no Security Patch for Humans
2 enfoques para controlarlos Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de acción del usuario sobre los sistemas. Objetivo: Lograr el menor daño posible en caso de incidentes.
EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayuda a reforzar y
aplicar los mecanismos de seguridad. Objetivo: Reducir el número de incidentes
CREADORES DE SISTEMAS
SEGURIDAD
USUARIOS
Creando Software El software es muy complejo y tiene una alta probabilidad
de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”. Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW.
Propiedades de la Información en un “Trusted System” (Sistema de confianza) Confidencialidad: Asegurarse que la información en un
sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por las personas autorizadas. Autenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada. Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la información o recursos de cómputo. No repudiación: Asegurarse que ni el emisor o receptor de un mensaje o acción sea capaz de negar lo hecho. Disponibilidad: Requiere que los recursos de un sistema de cómputo estén disponibles en el momento que se necesiten.
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
USUARIOS
Para que esperar… “Si gastas más dinero en café que en Seguridad
Informática, entonces vas a ser hackeado, es más, mereces ser hackeado” Richard “digital armageddon” Clark, USA DoD Origen de los problemas de Seguridad Informática
La mayoría de las empresas incorporan medidas de
seguridad hasta que han tenido graves problemas. ¿para que esperarse?
Siempre tenemos algo de valor para alguien Razones para atacar la red de una empresa: $$$, ventaja económica, ventaja competitiva, espionaje
político, espionaje industrial, sabotaje,… Empleados descontentos, fraudes, extorsiones, (insiders). Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc… Objetivo de oportunidad.
Siempre hay algo que perder Pregunta: ¿Cuánto te cuesta tener un sistema de
cómputo detenido por causa de un incidente de seguridad?
Costos económicos (perder oportunidades de negocio). Costos de recuperación. Costos de reparación. Costos de tiempo. Costos legales y judiciales. Costos de imagen. Costos de confianza de clientes. Perdidas humanas (cuando sea el caso).
¿Qué hacer? Los altos niveles de la empresa tienen que apoyar y
patrocinar las iniciativas de seguridad. Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa. Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD
USUARIOS
HACKER CRACKER
Cracking Cool as usual – Todo está bien
Los ataques son cada vez mas complejos. Cada vez se requieren menos conocimientos para iniciar un
ataque. ¿Por qué alguien querría introducirse en mis sistemas? ¿Por qué no? Si es tan fácil: descuidos, desconocimiento, negligencias, (factores humanos).
¿Quienes atacan los sistemas? Gobiernos Extranjeros. Espías industriales o políticos.
Criminales. Empleados descontentos y abusos
internos. Adolescentes sin nada que hacer
Niveles de Hackers Nivel 3: (ELITE) Expertos en varias áreas de la
informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.
Nivel 2: Tienen un conocimiento avanzado de la
informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de acuerdo a los intereses propios o de un grupo.
Nivel 1 o Script Kiddies: Obtienen las herramientas
creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo. Son los que con más frecuencia realizan ataques serios, también conocidos como “Lamer”
Cualquiera conectado a la red es una v铆ctima potencial, sin importar a que se dedique, debido a que muchos atacantes s贸lo quieren probar que pueden hacer un hack.
CREADORES DE SISTEMAS
GERENTES
SEGURIDAD HACKER/CRACKER USUARIOS
ADMINISTRADORES DE T.I.
ADMINISTRADORES Son los que tienen directamente la responsabilidad de
vigilar a los otros roles. (aparte de sus sistemas) Hay actividades de seguridad que deben de realizar de manera rutinaria. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas. También tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.
Puntos Débiles en los Sistemas Comunicaciones Aplicación Servicios Internos Servicios Públicos Sistema Operativo
Usuarios
Almacenamiento de datos
Ataques contra el flujo de la información
Receptor
Emisor
Atacante
FLUJO NORMAL Los mensajes en una red se envían a partir de un emisor a uno
o varios receptores El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.
Receptor
Emisor
Atacante
INTERRUPCION El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Disponibilidad Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.
Receptor
Emisor
Atacante
INTERCEPCION Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.
Receptor
Emisor
Atacante
MODIFICACION La persona sin autorización, además de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.
Receptor
Emisor
Atacante
FABRICACION Una persona sin autorización inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc... Es muy difícil estar seguro de quién esta al otro lado de la línea.
Sucesos. Algunos hechos importantes de la historia del hacking. 1982 John Shoch (uno de los creadores de ethernet), junto a un colega, escribieron el primer reporte sobre un gusano (worm), tomando ese nombre de una novela de ciencia ficción de 1975 en la que, bajo el nombre Tapeworms, describían a programas autómatas que viajaban por las redes transportando información. 1983 Ese año se estrenó la famosa película War Games, en la que el actor Matthew Broderick interpretaba a un chico que ingresaba en una base militar a través de su computadora y casi desata una guerra nuclear. 1984 Se crearon la publicación 2600, el CCC chaos computer club, Legion of doom y la división de fraude con tarjetas y computadoras del Servicio Secreto. 1988 Robert Tappan Morris soltó un gusano en Arpanet (como se llamaba Internet antes) y de ese modo infectó mi les de ser vidores Unix. Fue enjuicia do y con de nado a cumplir 400 horas de traba josocial. 1992 Kevin Mitnick, luego de estar prófugo y ser atrapa do por el FBI, fue sentencia do por robo de software e intrusiones en organizaciones. 1994 Vladimir Levin robó, desde San Petersburgo, a través de los sistemas de Citi bank, más de 10 millones de dólares por medio de transferencias a sus cuentas. En los dos años si guientes, desde otros bancos de los EstadosUni dos, 300 millones de dólares se movilizaban electrónicamente de modo fraudulento.
Anatomía de un ataque informático Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque. En la imagen se muestra las cinco etapas por las cuales suele pasar un ataque informático al momento de ser ejecutado:
Anatomía de un ataque informático Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving (búsqueda en el basurero), el sniffing.
Anatomía de un ataque informático Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.
Anatomía de un ataque informático Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow (Buffer Overflow), de Denial of Service (DoS) (Denegación e servicios), Distributed Denial of Service (DDos) (Denegación e servicios distribuidos), Password filtering (Filtración de contraseñas) y Session hijacking (Secuestro de sesión)
AnatomĂa de un ataque informĂĄtico Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscarĂĄ implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades como backdoors (puertas traseras), rootkits (herramientas ocultas) y troyanos.
Anatomía de un ataque informático Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
Anatomía de un ataque informático
“Si utilizas al enemigo para derrotar al enemigo, serás poderoso en cualquier lugar a donde vayas.” Sun Tzu, El arte de la guerra