UT1-1
ADOPCIÓN de PAUTAS de
SEGURIDAD INFORMÁTICA
PRINCIPIOS BÁSICOS
1Seguridad y Alta Disponibilidad
• Según la Real Academia Española de la Lengua:
• Seguridad es la cualidad de seguro, es decir, estar
libre y exento de todo daño, peligro o riesgo.
• En informática, la seguridad entendida según la
definición anterior es prácticamente imposible de
conseguir.
• Se relaja el adjetivo seguro, para hablar de fiable o de
fiabilidad, es decir, probabilidad de que un sistema se
comporte tal y como se espera de él.
Seguridad y Alta Disponibilidad
Definición de Seguridad Informática
2
• Infosec Glossary-2000:
• Medidas y controles que aseguran la
confidencialiad, integridad y disponibilidad de los
activos de los sistemas de información, incluyendo
hardware, software, firmware y aquella información
que procesan, almacenan y comunican.
• ISO 7498-1984:
• Serie de mecanismos que minimizan la
vulnerabilidad de bienes y recursos en una
organización.
Seguridad y Alta Disponibilidad
Definición de Seguridad Informática
3
• El experto Eugene H. Spafford cita en su frase
célebre:
“el único sistema que es totalmente seguro es aquel
que se encuentra apagado y desconectado, guardado
en una caja fuerte de titanio que está enterrada en
cemento, rodeada de gas nervioso y de un grupo de
guardias fuertemente armados. Aún así, no apostaría
mi vida en ello”.
Seguridad y Alta Disponibilidad
Definición de Seguridad Informática
4
• Los sistemas informáticos, ya sean SSOO, servicios
o aplicaciones, se dice que son seguros si cumplen las
siguientes características u objetivos:
• Confidencialidad: requiere que la información sea
accesible únicamente por las entidades autorizadas.
• Integridad: requiere que la información sólo pueda ser
modificada por las entidades autorizadas.
• Disponiblidad: requiere que los recursos del sistema
estén disponibles para las entidades autorizadas
cuando los necesiten.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
5
• Dependiendo del entorno en que trabajemos, nos
interesará dar prioridad a un aspecto de la seguridad:
• En un sistema militar se antepondrá la confidencialidad
de los datos almacenados o transmitidos sobre su
disponiblidad.
• En un servidor de archivos en red, se priorizará la
disponibilidad frente a la confidencialidad.
• En un entorno bancario se priorizará la integridad sobre
la disponiblidad o la confidencialidad: es menos grave
que un usuario consiga leer el saldo de otro usuario que
el hecho que ese usuario pueda modificarlo.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
6
• Ejemplos de confidencialidad
• Sistema de cifrado en el SO. Por ejemplo,
EFS en Windows.
• Cifrado Asimétrico/Simétrico en
comunicaciones.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
7
• PRÁCTICA de confidencialidad
• La confidencialidad o privacidad de datos es uno de los
aspectos críticos de la seguridad.
• EFS (Encrypting File System) es un sistema de archivos
que, trabajando sobre NTFS, permite cifrado de archivos
a nivel de sistema operativo.
• El usuario que realice la encriptación de archivos será el
único que dispondrá de acceso a su contenido, y al único
que se le permitirá modificar, copiar o borrar el archivo,
controlado todo ello por el sistema operativo.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
8
• PRÁCTICA de confidencialidad (cont.)
• Para probarlo podemos crear un archivo de texto plano
(no cifrado) con una información confidencial en su
interior.
• En primer lugar seleccionamos el archivo (o carpeta) a
encriptar y con el botón derecho del ratón accedemos a
la ventana Propiedades/General/Opciones Avanzadas
y en Atributos de compresión y cifrado marcamos la
opción Cifrar contenido para proteger datos.
• Verificación
•Si entramos al SO con otro usuario que tenga acceso a
dicha carpeta o archivo veremos que está en color verde y
nos aparece un mensaje de acceso denegado.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
9
• PRÁCTICA de confidencialidad (cont.)
•Verificación
• El archivo cifrado no es portable ni copiable a una
unidad externa ya que el SO perdería el control sobre
su cifrado.
• En el caso de intentar copiarlo a unidad USB nos
indicará lo siguiente:
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
10
• Ejemplos de integridad
• Comprobación de integridad, no falsificación o
modificación de archivos en el sistema (anti-rootkit).
Windows (md5sum, SFC), GNU/Linux (cksum, Rootkit
hunter).
• Firma digital y funciones resumen o hash en
comunicaciones.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
11
• PRÁCTICA de integridad
• cksum en Linux
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
Un pequeño cambio en el contenido del archivo se
transforma en un gran cambio en el valor del sum.
12
• PRÁCTICA de integridad
• md5sums en Windows
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
Una aplicación o archivo que
hemos descargado podría haber
sido modificada incluyendo en
ella un virus o troyano.
Queremos estar seguros de que
no ha sido alterado.
En Linux existe md5sum
13
• PRÁCTICA de integridad
• Amenaza o vulnerabilidad
• En caso de que algún tipo de malware reemplace o falsifique
archivos del SO, los administradores de sistemas no dudarán de la
veracidad de dichos archivos y procesos.
• A este tipo de malware se le denomina rootkit, programa que
sustituye los ejecutables binarios del sistema para ocultarse mejor,
pudiendo servir de puertas traseras o backdoor para la ejecución
malware remota.
Seguridad y Alta Disponibilidad
• SFC (System File Checker) es una utilidad de los sistemas
Windows que comprueba la integridad de los archivos del sistema.
• Rootkit hunter es una herramienta más completa bajo
GNU/Linux que examina los permisos de los ejecutables del
sistema, busca rootkits conocidos y realiza la comprobación de
integridad de los archivos del sistema.
Objetivos principales de Seguridad Informática
14
• PRÁCTICA de disponibilidad
• Creación de sistemas RAID
• FreeNAS
• Creación de una imagen de disco en Linux
dd if=/dev/sda of=/dev/sdb
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
15
• Ejemplos de disponiblidad
• Comprobación de disponibilidad de servicios, protocolos
y aplicaciones inseguras: NMAP, NESSUS, MBSA, etc.
• Alta disponibilidad (High Availability): aplicaciones y
datos que se encuentren operativos en todo momento y
sin interrupciones, carácter crítico.
• Mantener sistemas funcionando 24 horas, 7 días a la
semana y 365 días al año a salvo de interrupciones. El
mayor nivel acepta 5 minutos de inactividad al año
(disponibilidad de 5 nueves: 99,999%).
• Un claro ejemplo de alta disponibilidad son los CPD:
centros de procesamiento de datos.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
16
• Ejemplos de disponiblidad (cont.)
• Identificar y analizar la disponibilidad de servicios o
servidores, puertos abiertos y versiones de SSOO que
los soportan, supone la información base para el estudio
de las innumerables vulnerabilidades de los sistemas
en red.
• Amenaza o vulnerabilidad. Para las versiones de
software de servidores y de los SSOO, es posible buscar
posibles vulnerabilidades existentes:
• www.securityfocus.com.
• www.nessus.org. Aplicación que detecta vulnerabilidades,
tanto para sistemas y aplicaciones Windows como
GNU/Linux. En su última versión, Nessus4
funciona como un servidor Web.
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
17
• Amenaza o vulnerabilidad (cont.)
• Microsoft Baseline Security Analizer (MBSA) es una
herramienta diseñada para analizar el estado de
seguridad según las recomendaciones de seguridad de
Microsoft y ofrece orientación de soluciones específicas.
• Nmap es una aplicación que puede utilizarse en modo
comando o mediante una utilidad gráfica denominada
zenmap. Se instala en Debian/Ubuntu con el comando:
sudo apt-get install nmap
Y la interfaz gráfica con:
sudo apt-get install zenmap
Seguridad y Alta Disponibilidad
Objetivos principales de Seguridad Informática
18
Seguridad y Alta Disponibilidad
Escaneo rápido sobre la red
192.168.0.0/24 equivalente al
comando
nmap -T4 -F 192.168.0.0/24
Por cada máquina encontrada
en la red informa de su IP,
nombre dentro del dominio,
puertos abiertos, etc.
Nmap proporciona el nombre
DNS scanme.nmap.org sobre
el que se pueden hacer
pruebas sobre la herramienta,
aunque de forma moderada.
La interfaz gráfica se lanza con sudo zenmap
Objetivos principales de Seguridad Informática
19
Seguridad y Alta Disponibilidad
Ejecución y salida de MBSA
Objetivos principales de Seguridad Informática
20
• Además de estas tres características se suelen estudiar
otras dos:
• No repudio:
•En origen: El emisor no puede negar el envío. La prueba
la crea el propio emisor y la recibe el destinatario.
•En destino: El receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción. En
este caso, la prueba irrefutable la crea el receptor y la recibe
el emisor.
• Autenticación: cuando se puede verificar que el usuario
es quien dice ser: p.e. login+password, certificado
digital, etc.
Seguridad y Alta Disponibilidad
Objetivos deseables de Seguridad Informática
21
• Si la autenticidad prueba quién es el autor o el
propietario de un documento y cuál es su destinatario,
• el no repudio prueba que el autor envió la
comunicación (no repudio en origen) y que
• el destinatario la recibió (no repudio en destino).
Seguridad y Alta Disponibilidad
Objetivos deseables de Seguridad Informática
22
1) El usuario es quien dice ser si demuestra conocer algo
que solamente este conoce.Por ejemplo, conoce una palabra secreta de acceso.
2) El usuario es quien dice ser si posee algún objeto,
como por ejemplo una tarjeta magnética.Un ejemplo no relacionado con la informática podrían ser
las llaves de casa: en principio, es el propietario quien las
posee.
3) El usuario es quien dice ser si posee alguna
característica física que sólo él tiene.Por ejemplo, la huella dactilar.
4) El usuario es quien dice ser si es capaz de hacer algo
de forma única:Por ejemplo, el patrón de escritura.
Seguridad y Alta Disponibilidad
Objetivos deseables de Seguridad Informática
23
Al conjunto de estas características se las conoce con el
nemotécnico de CIDAN
Seguridad y Alta Disponibilidad
Objetivos de Seguridad Informática
Confidencialidad
Integridad
Disponibilidad
+
Autenticidad
No repudio 24
• Recursos hardware
• Recursos software
• Elementos de comunicación
• Información que se almacena, procesa y distribuye
• Locales y oficinas
• Usuarios del sistema
• Imagen y reputación de la organización.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
• Recursos del sistema: son los activos a proteger del
sistema de información:
25
• Amenazas:
• Posible causa de un incidente no deseado, el cual puede
ocasionar un daño a un sistema o a una organización.
• Pueden ser:
•Naturales: incendio, fallo eléctrico, inundación, terremoto,
etc.
•De agentes externos: virus informáticos, intrusos en la red,
robos, estafas, etc.
•De agentes internos: empleados descuidados o con
formación inadecuada o descontentos, errores en la
utilización del sistema o de herramientas, etc.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
26
• Otra clasificación de las amenazas:
• Físicas: afectan a las instalaciones y/o hardware
contenido en ellas y suponen el primer nivel de seguridad
a proteger para garantizar la disponibilidad de los sistemas.
• Lógicas: software o código que de una forma u otra
pueden afectar o dañar nuestro sistema, creados de forma
intencionada para ello.
• Rogueware o falsos programas de seguridad. También se
denomina Rogue, FakeAVs, Badware, Scareware.
• Puertas traseras o backdoors: los programadores insertan
“atajos” de acceso o administración, en ocasiones con poco
nivel de seguridad.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
27
• Otra clasificación de las amenazas (cont.):
• Virus: secuencia de código que se inserta en un fichero
ejecutable (.exe, .com, .bat, etc.), de forma que cuando el
archivo se ejecuta, el virus también lo hace.
• Gusano o Worm: programa capaz de ejecutarse y
propagarse (duplicarse) por sí mismo a través de redes,
normalmente mediante correo electrónico basura o spam.
• Troyanos o Caballos de Troya: aplicaciones con
instrucciones escondidas en otros programas de forma que
éstas parezcan realizar las tareas que un usuario espera de
ellas, pero que realmente ejecutan funciones ocultas sin el
conocimiento del usuario.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
http://unaaldia.hispasec.com/2013/11/gusanos-
routers-y-javascript.html
28
• Otra clasificación de las amenazas (cont.):
• Canales cubiertos: canales de comunicación que permiten
a un proceso transferir información de forma que viole la
política de seguridad del sistema. Un proceso transmite
información a otros que no están autorizados a leer dicha
información.
• Bombas lógicas: son partes de código de ciertos
programas que permanecen sin realizar ninguna función hasta
que son activadas (ausencia o presencia de ciertos ficheros o
la llegada de una fecha/hora concreta).
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
¿ Serías capaz de crear una bomba
lógica en algún lenguaje que
conozcas ?
29
• Otra clasificación de las amenazas (cont.):
Seguridad y Alta Disponibilidad
Acceder a la siguiente página y analizar y discutir su contenido:
http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica
Conceptos de Seguridad Informática
30
• Vulnerabilidad:
• Debilidad de un activo o grupo de activos que puede ser
explotada por una o más amenazas.
• Incidente de seguridad:
• Es la materialización de una amenaza.
• Impacto:• Es la medición y valoración del daño que puede producir
a la organización un incidente de seguridad.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-
puntos-de-acceso.html
http://unaaldia.hispasec.com/2014/01/diversas-vulnerabilidades-en-
moodle.html
31
• Defensas, salvaguardas o medidas de seguridad:
• Es cualquier medio empleado para eliminar o reducir un
riesgo.
• Su objetivo es reducir las vulnerabilidades de los activos,
la probabilidad de ocurrencia de las amenazas y/o el nivel
de impacto en la organización.
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
• Riesgo:
• Posibilidad de que se produzca un impacto determinado
en un activo(s) o en toda la organización.
32
http://unaaldia.hispasec.com/2014/01/ataques-de-denegacion-de-
servicio.html
• Activo: único servidor de archivos.
• Amenaza: fallo hardware en el servidor con una
probabilidad de ocurrencia baja (una vez cada 5 años).
• Vulnerabilidad del sistema: alta, ya que no se dispone
de un servidor alternativo ni de medidas redundantes
(discos RAID).
Seguridad y Alta Disponibilidad
Conceptos de Seguridad Informática
Ejemplo
33
• Impacto: indisponibilidad durante 24 horas de activo
afectado hasta su reposición. En este caso se trata de un
impacto de nivel alto.
• Nivel de riesgo: se obtiene a partir de las tablas de
valoración adoptadas teniendo en cuenta que la
amenaza es baja, la vulnerabilidad es alta y el impacto
es alto.
Seguridad y Alta Disponibilidad
Ejemplo (cont.)
Conceptos de Seguridad Informática
34
• Cerca del 80% de los ‘ataques’ provienen del interior.
• No se notifican todos los ataques que se reciben.
• Muchos accidentes humanos se reportan como ataques.
• No es eficiente hacer una alta inversión puntual y
olvidarse durante un tiempo.
Seguridad y Alta Disponibilidad
El ‘problema’ de la Seguridad Informática
• Sistemas como cortafuegos y detectores de intrusos no
sirven para este tipo de ataques.
Estoy dentro35
• La seguridad es un proceso, un camino continuo.
• Se tiene que diferenciar de lo que hay que protegerse.
Errores involuntarios. (Maquinaria y personal)
Ataques voluntarios. (Internos y externos)
Desastres naturales.
Seguridad y Alta Disponibilidad
El ‘problema’ de la Seguridad Informática
36
• Medidas de seguridad activa:
cualquier medida utilizada para anular o
reducir el riesgo de una amenaza
• Medidas de prevención: aplicación
antes del incidente (control de acceso,
cifrado de datos, autenticación de
usuarios, formación, etc.)
• Medidas de detección: aplicación
durante el incidente (sistema de
detección de intrusos, análisis de los
registros de actividad, etc.)
Seguridad y Alta Disponibilidad
Tipos de medidas de Seguridad
37
• Medidas de seguridad pasiva: complementa a la
seguridad activa y es cualquier medida empleada para
reducir el impacto cuando se produzca un incidente de
seguridad.
• Son medidas de corrección, es decir, se aplican después
del incidente.
• Entre ellas tenemos copias de seguridad, plan de
respuesta a incidentes, etc.
Seguridad y Alta Disponibilidad
Tipos de medidas de Seguridad
38
¿Cuánto dinero dejaría de ganar en caso de estar una
hora sin conexión a Internet?
¿Y un día?
¿Qué pasaría si pierde la información de un día de
trabajo?
Hay que valorar económicamente éstos y todos los
riesgos posibles con las preguntas adecuadas.
¿Y si su competencia tiene acceso a sus archivos?
Seguridad y Alta Disponibilidad
¿ Cómo valorar la información a proteger ?
39
• Ataques de suplantación de la identidad
• IP spoofing
• ARP spoofing
• DNS spoofing
• SMTP spoofing
• Captura de cuentas de usuario y contraseñas:
mediante sniffing o password cracking.
Seguridad y Alta Disponibilidad
Algunos tipos de ataques
40
• Modificación del tráfico y de las tablas de enrutamiento.
Seguridad y Alta Disponibilidad
Algunos tipos de ataques
• Rastreo del tráfico de una red para hacerse con
información confidencial: sniffing.
41
• Conexión no autorizada a equipos.
• Introducción en el sistema de “malware”
• Virus
• Troyanos
• Gusanos
• Ataques de “Cross-Site Scripting” (XSS)
• Ataques de inyección de código SQL.
Seguridad y Alta Disponibilidad
Algunos tipos de ataques
http://unaaldia.hispasec.com/2014/06/vulnerabilidad-descubierta-en-webmin-y.html
http://unaaldia.hispasec.com/2014/01/version-troyanizada-del-cliente-ftp.html
42
• Denegación de servicio: causar que un
servicio o recurso sea inaccesible a los
usuarios legítimos.
• Ataques contra los sistemas
criptográficos
• Fraudes, engaños y extorsiones:
ingeniería social, pharming, phising.
Seguridad y Alta Disponibilidad
Algunos tipos de ataques
http://unaaldia.hispasec.com/2014/09/diversas-
vulnerabilidades-en-apache.html
http://unaaldia.hispasec.com/2014/06/denegacion
-de-servicio-en-bind-9.html
43
• Antivirus que controle todas las posibles entradas de
datos. (Internet, discos, ...)
• Firewall perimetral. (Control de accesos)
• Política estricta de seguridad del personal.
• Auditorías externas puntuales
• Formación continuada del encargado(s) de seguridad
• Separar físicamente redes diferentes. (Subnetting)
Seguridad y Alta Disponibilidad
¿ Cómo se puede proteger la empresa ?
44
• Uso de herramientas:
• Escáneres de puertos
• Sniffers
• Exploits
• Backdoors kits
• Auto-rooters
• Password crackers
Seguridad y Alta Disponibilidad
¿ Cómo se puede proteger la empresa ?
http://unaaldia.hispasec.com/2014/02/exploits-de-elevacion-de-privilegios-en.html
45