Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SECCIN OPERATIVA I
SECCIN OPERATIVA II
SECCIN TCNICA
REDES ABIERTAS
!$%& '()!*a
"e u$ s!s)e'a
se
.
es)a-le*!'!e$)&
a'e$a0as 1&s!-les e21l&)e$
"e
es)as ,ul$e a-!l!"a"es.
CONCEPTO DE SEGURIDAD
3Proceso consistente en mantener
un nivel aceptable de riesgo percibido R!*4a " Be5)l!*4. El Ta& "e la '&$!)& !0a*!+$ "e segu !"a" e$ e"es
"e
e#u$!"a" FALLAR%&
Implantar las eglas "e O & Au)e$)!*a*!+$6 Qu!7$ es Au)& !0a*!+$6 Qu7 1ue"e 4a*e Au"!)& 8a6 Qu7 &*u !+
C&$*e1)&s B(s!*&s
Vul$e a-!l!"a". Punto o aspecto del sistema o sus aplicaciones que es susceptible de ser atacado o de daar la seguridad del mismo . R e presentan las debilidades o aspectos alibles o atacables en un sistema in orm!tico. A'e$a0a. Posible peligro para el sistema. Puede ser una persona programa de los (ro)a& posibles ...%& o *ndole " uego& "'irus& un suceso inundaci+n& atacantes etc.%. o caballo natural actores o de otra que Representan "#ac$er%& un
apro'ec#an las debilidades del sistema. C&$) a'e"!"a. (,cnicas amenazas. de protecci+n del sistema contra las
Seguridad Informtica
CARACTERISTICAS A GARA TI!AR
Disponibilidad
-l sistema se mantiene uncionando e icientemente ) es capaz de recuperarse r!pidamente en caso de allo. Integridad Permite asegurar que no se #a alseado la in ormaci+n& es decir& que los datos recibidos o recuperados son e.actamente los que ueron en'iados o almacenados& sin que se #a)a producido ninguna modi icaci+n. Con idencialidad Capacidad del sistema para e'itar que personas no autorizadas
en ,l.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA
Seguridad Informtica
"TR"S ASPECT"S
Autenticidad
Permite asegurar el origen de la in ormaci+n. /a identidad del emisor puede ser 'alidada& de modo que se puede demostrar que es quien dice ser. Consistencia Asegurar que el sistema se comporta como se supone que debe #acerlo con los usuarios autorizados Aislamiento Regular el acceso al sistema& impidiendo que personas no autorizadas entren en ,l. Auditoria Capacidad de determinar qu, acciones o procesos se #an lle'ado a cabo en el sistema& ) qui,n ) cu!ndo las #an lle'ado a cabo. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA
Seguridad Informtica
PRI CIPI"S #$ %A&E TALES
el
grado
de seguridad
Seguridad Informtica
PRI CIPI"S #$ %A&E TALES
de alg2n usuario autorizado para romperlo. 1implicidad 4antener las cosas lo m!s simples posibles& las #ace m!s !ciles de comprender mientras que la comple0idad permite esconder m2ltiples allos.
Seguridad
#'sica
Ambiental
9 eas Segu as6 C&$ la %!$al!"a" "e !'1e"! el a**es& $& au)& !0a"& a las !$s)ala*!&$es "e la & ga$!0a*!+$.
Segu !"a" e$ l&s e/u!1&s6 A %!$ "e !'1e"! la 1e "!"a: "a;& & &-& "e la !$%& 'a*!+$.
D!s)!$gue ) es %ases6
A$)es "e la *&$) a)a*!+$.
Antes
de
la
contratacin)
Se &les
"e-e$ .
"e%!$!
"&*u'e$)a
l&s el
%urante
la
contratacin)
I$%& 'a :
*&$*!e$*!a
'&)!,a
l&s
e'1lea"&s
)7 '!$&s "e segu !"a".
1a a el *u'1l!'!e$)&
*&$"!*!&$es es)a-le*!"&s
"e l&s
e$ 'a)e !a
. .
*a1a*!)a 1 &*e"!'!e$)&s
F!5a 1a a
u$
7g!'e$ e$
segu !"a"
En
el
cese
cambio
de
puesto
de traba*o)
Se "e-e$ "e%!$! . "&*u'e$)a l&s &les . es1&$sa-!l!"a"es ) as el *ese !$*lu.e$"& *ual/u!e *ues)!+$ ela*!&$a"a *&$ l&s a*ue "&s "e *&$%!"e$*!al!"a". F!5a 1 &*e"!'!e$)&s "e "e,&lu*!+$ "e )&"& el 'a)e !al 1 &1& *!&$a"& 1& la & ga$!0a*!+$. E$ *as& "e e/u!1&s *e"!"&s & ,e$"!"&s al ) a-a5a"& ga a$)!0a la l!'1!e0a "e l&s e/u!1&s.
Re)! a l&s "e e*4&s "e a**es& /ue 1u"!e a$ 4a-7 sele &)& ga"&.
L&s *a'-!&s "e 1ues)& "e ) a-a5& "e-e$ ) a)a se *&'& s! %ue a$ u$ *ese . u$a $ue,a *&$) a)a*!+$.
MEDIDAS DE PROTECCIN ADMINISTRATIVAS = ORGANI>ATIVAS -l establecimiento de una pol*tica de seguridad / asignaci+ a n / pol*tica a de
-l an!lisis de riesgos ) los planes de contingencia
de responsabilidades
personal
POLTICAS DE SEGURIDAD
a? N!$gu$a segu !"a" /a medida m!s simple posible es no #acer ning2n es uerzo en seguridad ) tener la m*nima& cualquiera que sea& por e0emplo la que proporcione el 'endedor de orma preestablecida. -? Segu !"a" a ) a,7s "e se "es*&$&*!"& Con este planteamiento se supone que un sistema es seguro s+lo porque nadie sabe de ,l. *? Segu !"a" 1a a a$%!) !+$ -l modelo plantea re orzar la seguridad de cada m!quina an itri+n por separado& ) #acer todo el es uerzo para e'itar o reducir los problemas de seguridad que puedan a ectar a ese an itri+n espec* ico. "? Segu !"a" 1a a e"es Con orme los entornos se #acen m!s grandes ) di'ersos& es m!s di *cil asegurar an itri+n por an itri+n& por ello a#ora se tiende #acia un modelo de seguridad para redes
DIN9MICA DE LA SEGURIDAD
La Segu !"a" NO es u$ 1 &*es& 1u$)ual: es u$ 1 &*es& C5N(IN65.
E t!ma'!(n
Re )ue ta
P$*te''!(n
Dete''!(n
As$!%%e ?
A'e$a0a A*)!,a6 Ca'-!a$ el es)a"& "el s!s)e'a
Intrusiones para mal uso.B s&$ a)a/ues e$ 1u$)&s "7-!les *&$&*!"&s "e u$ s!s)e'a. Pue"e$ se "e)e*)a"&s &-se ,a$"& . -us*a$"& *!e )as a**!&$es /ue se eal!0a$ a *!e )&s &-5e)&s.
Intrusiones an+malas.B se -asa e$ la &-se ,a*!+$ "e "es,!a*!&$es "e l&s 1a) &$es "e us& $& 'ales "el
TIP"S %E ATA+$ES
Ataques 7uerza
la
%enegacin de ser,icio
A)a/ue DOS6 C&la1sa u$ s!s)e'a s&- e*a g($"&l& "e 1e)!*!&$es: "e %& 'a /ue sus usua !&s leg8)!'&s $& 1ue"a$ a**e"e .
es u$ e/u!1&s
a)a/ue 30&'-!sD
DOS /ue
Se el
B&)$e)s
El )e '!$& a 3-&)$e)D u$a e" &-&)s "e "e 4a*e -&)s IRC e%e e$*!a A& !g!$al'e$)e
+Sus %u$*!&$es & !g!$ales e a$ el *&$) &l "e *a$ales . la s!'ula*!+$ "e 1a )!*!1a$)es e$ 5ueg&s 'ul)!5uga"& . A*)ual'e$)e ASPAM?: 4e a'!e$)as . 'a$!1ula*!+$ ,&)a*!&$es . se usa$ ese$*!al'e$)e 1a a A)a/ues "e DD&S: e$,8& al&5a *&'1&$e$)es "es)!$a"&s al % au"e AP4!s!$g?: "e e$*ues)as: 5ueg&s &$l!$e . "!s) !-u*!+$ "e 'alEa e. /ue s!'ula-a$ u$a u$ *a$al?. "e
CRIMEFARE
T!1& "e 1 &g a'a "!se;a"& es1e*8%!*a'e$)e 1a a *&'e)e
"el!)&s A* *!-!"& 8'e$es? )!1& & s!'!la 1asa "esa1e 1& la "e ,8*)!'a. P& %!$a$*!e e2)e$s!+$: & )a'-!7$ 4a*e es: !$)e$)a$"&
e%e e$*!a &-5e)!,&s. U$ * !'eEa e 1ue"e &-a !"e$)!"a"es: *&$) ase;as: !$%& 'a*!+$ -a$*a !a: e)*. &-a la !"e$)!"a" & es1!a a u$a 1e s&$a & e'1 esa. "a)&s *&$%!"e$*!ales: Ta'-!7$ 1ue"e se ,! a a1l!*a*!&$es Ee"!se;a"as *&$ l&s '!s'&s
1a )a
El )7 '!$& %ue !"ea"& 1& Pe)e Cass!".: Se* e)a !& Ge$e al "el
'alEa es:
es)e
s1.Ea es:
)!1& "e
)7*$!*as s!'!la es 1a a
La !$"us) !a "el * !'eEa e s!gue * e*!e$"& a ) a,7s "e la 1ues)a e$ "esa &ll& . *&'e *!al!0a*!+$ "e $ue,&s 1a/ue)es "e e21l&!)s 1 eB*&'1!la"&s se su'a$ %a*!l!)a I$)e $e). a la &%e )a las "e al)e $a)!,as "es)!$a"as a ) a,7s 'a$!&- as "el!*)!,as /ue a "e
intentando insertarse en el mercado clandestino desde principios deuna septiembre de :;<;. 1u costo esta del determinado en unci+n de serie de caracter*sticas que intentan di erenciarlo resto.
Por e0emplo& adquirir este crime9are durante < ao "por el momento el tiempo m!.imo% tiene un costo de J KLMM "+la es& mientras que una licencia semestral ) trimestral& cuestan J KMMM ) J NMM respecti'amente.
1 &1!e"a !$"us) !alP?. " Des) u! "a;a !$%& 'a*!+$. Q C&$) &la la '(/u!$a &-5e)!,& AB&)Ne)s: SPAM: DD&S?.
TIPOS DE VULNERABILIDADES
T7*$!*as A-ug? C &ss S!)e S* !1)!$g I$.e**!+$ SQL I$.e**!+$ "e *&'a$"&s Fals!%!*a*!+$ "e % a'es Des-& "a'!e$)& "e -C%e L!s)a"& "! e*)& !&s , , , , , , , + Lgi!as o "un!ionales #"la$% , , Au&en&i!a!in de"e!&uosa 'allos en lgi!a de nego!io( no se valida un n)*ero de &ar+e&a o de !uen&a ,odi"i!a!in de -re!ios ,odi"i!a!in de !oo.ies Es!alada de -rivilegios /ori0on&al1ver&i!al SSL no requerido Cri-&ogra"2a -o re In"o33 en *ensa+es de error E&!4
*&$%!gu a*!+ $
5suario *ali!ioso
passwd=xyz &rid=3+union+select+top+1 +password+from+usuarios=1& dame la !rimera !ass"ord de la #a$la ,ue almacena las cuen#as de usuarios+
de seguridad en aplicaciones 9eb. 5curre cuando l&s "a)&s 1 &1& *!&$a"&s 1& el usua !& se e$,8a$ a u$ !$)e 1 e)e como ,al!"a l&s. -l para consultas atacante orzar puede al 'a$!1ula interprete o la e$) a"a a e0ecutar otras los parte de un comando o consulta s!$
e.tra)endo
modi icando
S&lu*!&$es.
Val!"a*!+$ "e e$) a"a6 C&'1 &-a l&$g!)u": )!1&: s!$)a2!s P "e )&"&s l&s "a)&s "e e$) a"a a$)es "e se '&s) a"&s & al'a*e$a"&s.
Pe '!)! l&s '8$!'&s 1 !,!leg!&s $e*esa !&s a las a1l!*a*!&$es /ue *&$e*)a$ a -ases "e
"a)&s.
E,!)a 'e$sa5es "e e & "e)alla"&s.
-l script malicioso suele estar construido en ?a'a1cript pero 'ariantes en otros lengua0es de script.
e.isten
na'egador de la 'ictima.
1us inalidades pueden ser@ Des igurar una 9eb "ADe aceB%
Insertar contenid inadecuado. o Robo de sesiones Ataques de suplantaci+n "AP#isingB% (omar el control del na'egador
S&lu*!&$es.
Val!"a*!+$ "e e$) a"a6 Usa u$ 'e*a$!s'& "e ,al!"a*!+$ "e e$) a"a /ue *&'1 ue-e l&$g!)u": )!1&: s!$)a2!s P "e )&"&s l&s "a)&s "e e$) a"a a$)es "e se '&s) a"&s & al'a*e$a"&s. C&"!%!*a*!+$ "e sal!"a6 C&"!%!*a l&s "a)&s "e %& 'a a1 &1!a"a. Ae5: <TML E$)!)!es & MS A$)! ISS l!- a .? "e '&"& /ue $& 1ue"a$ llega a '&s) a se & al'a*e$a se e$ %& 'a e5e*u)a-le.
Qu7 es u$ e21l&!)#
Es u$a 1!e0a "e s&%)Ea e: u$ % ag'e$)& "e "a)&s: & u$a se*ue$*!a "e *&'a$"&s *u.& &-5e)!,& es au)&'a)!0a el a1 &,e*4a'!e$)& "e u$a ,ul$e a-!l!"a".
LA CREACIN En 6
T &.a$&s
DE TROYANOS si*-les -asos(
D! e1*
O'ulta'!(n
.e$!2!'a'!(n
D! t$!3u'!(n
La In#en!e$8a Inve$ a
La O'ulta'!(n
4Pa'5e$ 6 '*me$'!ale 9
ASPa'5
ASP$*te't
A$ma"!ll*
E:EC$y)t*$
FSG
UPa'5 Tel*'5
E$ l&s Cl)!'&s a;&s $& es %(*!l e$*&$) a u$ !$*!"e$)e * !'!$al a g a$ es*ala e$ la /ue $& a1a e0*a$ 1& a$)e algC$ s!)!& UT&&C&!$U & UValueD&)U: $&'es !& las ess!glas *&$ RBN l&sA& /ue 4a s!"& *&$&*!"a?.
5suario *ali!ioso
CONSEJOS GENERALES
Des#abilitar ser'icios ) cuentas no utilizados.
8RIGADA D- IND-1(IGACIEN (-CN5/EGICA CF ?ulian Gonzalez 1egador sGn :H.;IJ ( no. K<GLH:.:I.MN 7a.. K<GLH:.:I.HI Oeb@ #ttp@GG999.policia.esGbitGinde..#tm -Cmail@ seguridad.logicaPpolicia.es palonsoPpolicia.es C" TACT"
4adrid