Origen de los problemas de Seguridad Informtica

hmier@ieee.org Departamento de Seguridad Informtica desei@uag.mx Instituto de Investigacin y Desarrollo de Ingeniera de Software Universidad Autnoma de Guadalajara

Helios Mier Castillo

Si te conoces a ti mismo y conoces a tu enemigo, entonces no debers temer el resultado de mil batallas
Sun-Tzu, El Arte de la Guerra

LA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN DESTINO

Objetivo: mantener los sistemas generando resultados. Si los sistemas no se encuentran funcionando entonces su costo se convierte en perdidas financieras (en el menos grave de los casos). El resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.

La seguridad informtica es un problema exclusivamente de las computadoras. Las computadoras y las redes son el principal campo de batalla. Se debe de proteger aquello que tenga un valor para alguien.

NO

Definiciones de seguridad

Polticas, procedimientos y tcnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando.

por qu?

Por $$$, el dueo de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio o ventaja. El Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendindonos ante el crimen. (aunque no haya leyes) Por CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste ms esfuerzo.

De donde surge la seguridad?

Tecnolgicamente, la seguridad es GRATIS

YA HAS PAGADO POR ELLA: Los sistemas operativos modernos contienen muchas caractersticas de seguridad. Las conoces?Las usas? LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN SOURCE. (excepto los antivirus)

La Seguridad Informtica es Fcil: Con el 20% de esfuerzo se puede lograr el 80% de resultados
Actividades sencillas pero constantes son las que evitan la mayora de los problemas. Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas segn lo que se quiera proteger.

Dnde entra el Software Libre?

Esta adquiriendo muchos simpatizantes y usuarios. Se esta volviendo popular. Generalmente se encuentran en partes importantes de los sistemas de una empresa, aunque el resto de los usuarios sigan mirando por las ventanas. Se descubren constantemente nuevas vulnerabilidades y algunas de ellas son muy fciles de aprovechar. Por falta de conocimientos, podemos introducir vulnerabilidades donde antes no haba.

ROLES INVOLUCRADOS EN SEGURIDAD

SEGURIDAD

USUARIOS

Usuarios comunes

Los usuarios se acostumbran a usar la tecnologa sin saber como funciona o de los riesgos que pueden correr. Son las principales vctimas. Tambin son el punto de entrada de muchos de los problemas crnicos. El eslabn ms dbil en la cadena de seguridad. Social Engineering Specialist: Because There is no Security Patch for Humans

2 enfoques para controlarlos

Principio del MENOR PRIVILEGIO POSIBLE:

Reducir la capacidad de accin del usuario sobre los sistemas. Objetivo: Lograr el menor dao posible en caso de incidentes.

EDUCAR AL USUARIO:
Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el nmero de incidentes

CREADORES DE SISTEMAS

SEGURIDAD

USUARIOS

Creando Software

El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga mal a que salga tarde. Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los productos de SW.

Propiedades de la Informacin en un Trusted System

Confidencialidad: Asegurarse que la informacin en un sistema de cmputo y la transmitida por un medio de comunicacin, pueda ser leda SOLO por las personas autorizadas. Autenticacin: Asegurarse que el origen de un mensaje o documento electrnico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada.

Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la informacin o recursos de cmputo. No repudiacin: Asegurarse que ni el emisor o receptor de un mensaje o accin sea capaz de negar lo hecho. Disponibilidad: Requiere que los recursos de un sistema de cmputo estn disponibles en el momento que se necesiten.

Ataques contra el flujo de la informacin

Emisor Receptor

Atacante

FLUJO NORMAL
Los mensajes en una red se envan a partir de un emisor a uno o varios receptores El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.

Emisor

Receptor

Atacante

INTERRUPCION
El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Disponibilidad Ejemplos: Destruccin de una pieza de hardware, cortar los medios de comunicacin o deshabilitar los sistemas de administracin de archivos.

Emisor

Receptor

Atacante

INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos, escalamiento de privilegios.

Emisor

Receptor

Atacante

MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Ejemplos: Alterar la informacin que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

Emisor

Receptor

Atacante

FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Ejemplos: Suplantacin de identidades, robo de sesiones, robo de contraseas, robo de direcciones IP, etc...

Es muy difcil estar seguro de quin esta al otro lado de la lnea.

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD

USUARIOS

Para que esperar

Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser hackeado, es ms, mereces ser hackeado
Richard digital armageddon Clark, USA DoD

La mayora de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. para que esperarse?

Siempre tenemos algo de valor para alguien

Razones para atacar la red de una empresa:

$$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje industrial, sabotaje, Empleados descontentos, fraudes, extorsiones, (insiders). Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cmputo, etc Objetivo de oportunidad.

Siempre hay algo que perder

Pregunta: Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente de seguridad?
Costos econmicos (perder oportunidades de negocio). Costos de recuperacin. Costos de reparacin. Costos de tiempo. Costos legales y judiciales. Costos de imagen. Costos de confianza de clientes. Perdidas humanas (cuando sea el caso).

Qu hacer?

Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa. Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD
HACKER CRACKER

USUARIOS

Cracking

Cool as usual Todo est bien Los ataques son cada vez mas complejos. Cada vez se requieren menos conocimientos para iniciar un ataque. Mxico es un paraso para el cracking. Por qu alguien querra introducirse en mis sistemas? Por qu no? Si es tan fcil: descuidos, desconocimiento, negligencias, (factores humanos).

Gobiernos Extranjeros. Espas industriales o polticos. Criminales. Empleados descontentos y abusos internos. Adolescentes sin nada que hacer

Quienes atacan los sistemas

Niveles de Hackers

Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente descubren los puntos dbiles en los sistemas y pueden crear herramientas para explotarlos. Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darle usos ms preciso de acuerdo a los intereses propios o de un grupo.

Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo. Son los que con ms frecuencia realizan ataques serios. Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD
HACKER/CRACKER USUARIOS

ADMINISTRADORES DE T.I.

ADMINISTRADORES

Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) Hay actividades de seguridad que deben de realizar de manera rutinaria. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas. Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.

Puntos Dbiles en los Sistemas

Comunicaciones Aplicacin Servicios Internos Servicios Pblicos Sistema Operativo

Usuarios

Almacenamiento de datos

Palabras Finales

El Boom del S.L. ofrece la oportunidad de que las cosas se hagan bien desde el principio. La educacin de seguridad tiene que ir a la par del cambio hacia el S.L. Si esto no se realiza, en el futuro nos estaremos quejando de S.L. de la misma forma que

PREGUNTAS Y RESPUESTAS

Helios Mier Castillo

hmier@ieee.org Departamento de Seguridad Informtica desei@uag.mx Instituto de Investigacin y Desarrollo de Ingeniera de Software Universidad Autnoma de Guadalajara