Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA:
ASIGNATURA
ALUMNO
CICLO
GRUPO
FECHA
xx/xx/13
Pucallpa Per
Monografa
Seguridad web e informtica
DEDICATORIA
Este trabajo est dedicado a mis
padres que me instan a seguir
seguir adelante pese a las
dificultades que se cruzan por
delante, que bueno tenerlo a ellos.
Monografa
Seguridad web e informtica
AGRADECIMIENTO
De todo corazn agradezco a Dios
por el apoyo que me da hasta estos
momentos y a mis padres por su amor
y proteccin, gracias.
Monografa
Seguridad web e informtica
NDICE
CONTRAPORTADA
DEDICATORIA
ii
AGRADECIMIENTO
iii
NDICE
iv
INTRODUCCIN
v
Pg.
CAPTULO I
Monografa
Seguridad web e informtica
2.2.1 Detectores de virus
2.2.2 Detectores de crackers
2.2.3 Herramientas de anlisis para solucin de problemas
Monografa
Seguridad web e informtica
CAPTULO III
SEGURIDAD EN EL ENTORNO FSICO
3.1 Verdades y contrastes de la seguridad informtica
3.1.1 La seguridad para las personas de a pie
3.1.2 La seguridad para las empresas y los bancos
3.1.3 Seguridad para todos
3.2 Seguridad en el comercio electrnico
3.2.1 Dinero electrnico
3.2.2 Certificados x.500
3.2.3 Sll
3.2.4 Tls
3.2.5 Set
3.3 Seguridad, principio fundamental en la sociedad
3.3.1 Servicios de sistemas de confianza
CONCLUSIONES
APNDICE
BIBLIOGRAFA
WEBGRAFA
Monografa
Seguridad web e informtica
ANEXOS
INTRODUCCIN
El
presente
trabajo
monogrfico
denominado
la
SEGURIDAD
WEB
Captulo II
Captulo III
Monografa
Seguridad web e informtica
CAPTULO I
CONCEPTOS BSICOS DE SEGURIDAD INFORMTICA
1.1 Historia de seguridad informtica1
Los primeros conceptos de seguridad se
evidencian en los inicios de la escritura con
Sumerios (3000 AC) o el Hammurabi (2000
Tambin la Biblia, Homero,
Cicern, Cesar han sido autores de
obras en donde aparecen ciertos
rasgos de la seguridad en la guerra
y el gobierno.
los
AC).
Monografa
Seguridad web e informtica
La seguridad moderna se origin con la Revolucin Industrial para
combatir los delitos tan comunes en aquella poca.
Entonces la seguridad viene a ser una necesidad bsica, como
siempre lo fue, desde que el hombre trato de dar un paso ms hacia lo
desconocido, en todo aspecto, desde lo primitivo hasta lo actual estando
siempre enfocada en la prevencin y siempre tratando de cumplir su
funcin, manteniendo el equilibrio.
En este proceso se aprecia que no se ha aadido ningn nuevo
concepto a los ya conocidos en la antigedad, los actuales slo son
perfeccionamientos de aquellos: cerraduras, cajas fuerte, puertas
blindadas, trampas, vigilancia, etc.
Monografa
Seguridad web e informtica
1.1.1. a Confidencialidad
La
terceros.
Esto
debe
hacerse
independientemente
de
la
seguridad del sistema de comunicacin utilizado: de hecho, un asunto de
gran inters es el problema de garantizar la confidencialidad de la
comunicacin utilizada cuando el sistema es inherentemente insegura
(como Internet).
Ilustracin 3: smbolo de
confidencialidad
1.1.1. b Integridad
Monografa
Seguridad web e informtica
En informtica, la integridad puede
referirse a:
1.1.1 c Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones. Groso modo, la
disponibilidad es el acceso a la informacin y a los sistemas por
personas autorizadas en el momento que as lo requieran .
En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizados para
protegerlo, y los canales de comunicacin protegidos que se utilizan
para acceder a ella deben estar funcionando correctamente .
Garantizar la disponibilidad implica tambin la prevencin de ataque
de denegacin de servicio. Para poder manejar con mayor facilidad la
seguridad de la informacin, las empresas o negocios se pueden ayudar
Monografa
Seguridad web e informtica
con un sistema de gestin que permita conocer, administrar y minimizar
los posibles riesgos que atenten contra la seguridad de la informacin
del negocio.
La disponibilidad adems de ser importante en el proceso de
seguridad de la informacin, es adems variada en el sentido de que
existen varios mecanismos para cumplir con los niveles de servicio que
se requiera. Tales mecanismos se implementan en infraestructura
tecnolgica, servidores de correo electrnico, de bases de datos, de web
etc, mediante el uso de clusters o arreglos de discos, equipos en alta
disponibilidad a nivel de red, servidores espejo, replicacin de datos,
redes de almacenamiento (SAN), enlaces redundantes, etc.
La gama de posibilidades depender de lo que queremos proteger y
el nivel de servicio que se quiera proporcionar.
1.1.2 Autores que emprendieron el uso de la seguridad web3
Al definir el objetivo de la Seguridad Fayol dice: salvaguardar
propiedades y personas contra el robo, fuego, inundacin contrarrestar
huelgas y felonas, y de forma amplia todos los disturbios sociales que
puedan poner en peligro el progreso e incluso la vida del negocio. Es
generalmente hablando, todas las medidas para conferir la requerida paz
y tranquilidad al personal.
Las medidas de seguridad a las que se refiere Fayol, slo se
restringan exclusivamente a lo fsico de la instalacin, ya que el mayor
activo era justamente ese: los equipos, ni siquiera el empleado. Con la
aparicin de los cerebros electrnicos, esta mentalidad se mantuvo,
porque quin sera capaz de entender estos complicados aparatos
como para poner en peligro la integridad de los datos por ellos
utilizados?
1.2 Qu es seguridad informtica?
Monografa
Seguridad web e informtica
La seguridad informtica es el rea que se
en la proteccin de la infraestructura
computacional y todo lo relacionado con esta
(incluyendo la informacin contenida).
enfoca
Monografa
Seguridad web e informtica
normal de los sistemas.
Para ello existen una serie de estndares, protocolos, mtodos,
reglas, herramientas y leyes concebidas para minimizar los posibles
riesgos a la infraestructura o a la informacin
Monografa
Seguridad web e informtica
Como el avance de los hackers se vuelve mas fuerte se necesitara
un centro de investigacin, deteccin y eliminacin de amenazas, para
ello se da a conocer los planes a tomar en cuentas.
1. Creacin de malware: En 2012 hemos visto un aumento
significativo de la cantidad de malware, con ms de 20 millones de
nuevos virus, cifra muy superior a la que se cre en 2011. No obstante,
el ratio de crecimiento interanual parece haber alcanzado su punto
lgido, pasando hace unos aos de ms del 100% al actual 50%.
2. Ciberguerra: Stuxnet y la filtracin de Wikileaks apuntando a que
el Gobierno chino estaba detrs de los ciberataques a Google, ha
marcado un antes y un despus en la historia de los conflictos. En las
ciberguerras, no se puede distinguir a los diferentes bandos, no se sabe
quin es el que ataca, ni desde dnde lo hace, lo nico que puede tratar
de
deducirse
es
el
objetivo
que
persigue.
En el caso de Stuxnet, ha quedado claro que se quera interferir en
determinados procesos de centrales nucleares, especficamente en el
centrifugado del Uranio. Ataques de similares caractersticas estn
teniendo lugar ahora mismo, y durante 2013 se incrementarn.
3. Ciberprotestas: Se trata de un nuevo movimiento inagurado por el
grupo Anonymous y su Operacin Payback, apuntando a objetivos que
pretenden acabar con la piratera en Internet adems de apoyar a
Wikileaks, y a su mximo responsable Julian Assange.
La facilidad con la que incluso usuarios con pocos conocimientos
tcnicos pueden formar parte de estos ataques de Denegacin de
Servicio Distribuido (ataques DDoS) o campaas de spam apunta que
se
convertirn
en
una
tendencia
durante
2013.
4. Ingeniera social: Los ciber delincuentes han encontrado un campo
de cultivo ideal en las redes sociales, donde los usuarios son ms
confiados que cuando usan otro tipo de herramientas de comunicacin.
Las tcnicas BlackHatSEO, con los que posicionar portales y engaar
los algoritmos de los buscadores, sern mpliamente usados en 2013.
5. Windows 7: se ver como las amenazas que afectan al nuevo
sistema operativo de Microsoft se multiplican, tras pasar el tiempo
necesario para que hackers y ciber delincuentes encuentren la frmula
para atacar a los cada vez ms usuarios de Windows 7.
6. Sistemas Mac: Pandalabs seala que el nmero de amenazas que
Monografa
Seguridad web e informtica
afecten a Mac e iOS se van a multiplicar debido a la relevancia que los
sistemas de Apple entre usuarios de todo el mundo.
7. HTML5: El potencial reemplazo de Flash es un candidato perfecto
para todo tipo de ciber delincuentes. El hecho de que pueda ser
ejecutado por los navegadores sin necesidad de plugins, convierte
todava en ms atractivo encontrar un agujero de seguridad con el que
llegar al equipo de los usuarios independientemente del navegador
utilizado. Se espera que los primeros ataques se produzcan en los
prximos
meses.
8. Amenazas cifradas y muy dinmicas: Se ha constatado un
aumento de cdigos ofuscados con mecanismos de cifrado, preparados
para conectarse a un servidor y actualizarse rpidamente en el momento
en que una solucin de seguridad es capaz de detectarlo.
CAPTULO II
SEGURIDAD WEB E INFORMTICA
2.1 Los enemigos de la seguridad
Uno de los principales enemigos de la seguridad es la confianza mal
adquirida despus de aos de prctica, sin ningn cuidado, pero sin
haber tenido algn accidente que demuestre claramente la exposicin al
riesgo.
Monografa
Seguridad web e informtica
defectuosos, fallaban continuamente, los que las manejaban se
devanaban los sesos creando rutas para aumentar la velocidad y cosas
parecidas. Estas cosas se denominaban Hacks y a los que lo hacan se
les llamaban Hackers.
Otra denominacin se le haca a aquel experto en cualquier campo,
que disfrutaba modificando el orden de funcionamiento del aparato.
(Computador)
Pero pronto surgieron otros acrnimos como Crackers. Fue
inventado por los propios Hackers para diferenciar a aquel que fisgaba
en un ordenador. Con aquel que creaba un virus daino o copiaba un
software.
As, frente a un ordenador ajeno, un Hacker y un Cracker; son la
misma cosa.
Por otro lado en algunas ocasiones un Hacker es muy til porque
siempre detecta un agujero en cualquier programa nuevo. El Cracker
aprovechara este error para entrar en el programa y copiarlo.
Aparte del Cracking existen otras formas de vandalismo tecnolgico.
As, el Phreaking, por ejemplo: es la manipulacin de las redes
telefnicas para no pagar las llamadas.
El Carding se refiere al uso ilegal de las tarjetas de crdito. Y el
Trashing consiste en rastrear la basura o residuos de los sistemas
informticos en busca de informacin como contraseas.
2.1.2 Los virus
Un virus es un malware que tiene por objeto alterar el normal
funcionamiento de la computadora, sin el permiso o el conocimiento del
usuario.
infectados
Monografa
Seguridad web e informtica
desconocimiento del usuario.
El cdigo del virus queda alojado) en la memoria RAM de la
computadora entonces el virus toma el control de los servicios bsicos
del sistema operativo, infectando, de manera posterior, archivos
ejecutables que sean llamados para su ejecucin.
Monografa
Seguridad web e informtica
Trabajar mejor manteniendo la sensacin de seguridad
Descartar falsas hiptesis si se produjeran incidentes
Tener los medios para luchar contra accidentes
Monografa
Seguridad web e informtica
archivo de captura en algn disco. Se puede examinar interactivamente
la informacin capturada, viendo informacin de detalles y sumarios por
cada paquete. Ethereal tiene varias caractersticas poderosas,
incluyendo un completo lenguaje para filtrar lo que querramos ver y la
habilidad de mostrar el flujo reconstrudo de una sesin de TCP. Incluye
una versin basada en texto llamada tethereal.
Monografa
Seguridad web e informtica
o no, y de identificar huellas de sistemas operativos {OS fingerprints}
para dejarnos conocer la geometra de la LAN.
John the Ripper: Un extraordinariamente poderoso, flexible
y rpido cracker de hashes de passwords multi-plataforma. John the
Ripper es un cracker de passwords rpido, actualmente disponible para
muchos sabores de Unix (11 son oficialmente soportados, sin contar
arquitecturas diferentes), DOS, Win32, BeOs, y OpenVMS. Su propsito
principal es detectar passwords de Unix dbiles. Soporta varios tipos de
hashes de password de crypt(3) que son comnmente encontrados en
varios sabores de Unix, as como tambin AFS de Kerberos y las "LM
hashes" de Windows NT/2000/XP. Otros varios tipos de hashes se
pueden agregar con algunos parches que contribuyen algunos
desarrolladores.
Monografa
Seguridad web e informtica
los mismos, y actualmente ya son capaces de reconocer otros tipos
de malware, como spyware, rootkits, etc.
Existen dos grandes grupos de propagacin: los virus cuya
instalacin el usuario en un momento dado ejecuta o acepta de forma
inadvertida, o los gusanos, con los que el programa malicioso acta
replicndose a travs de las redes.
En cualquiera de los dos casos, el sistema operativo infectado
comienza a sufrir una serie de comportamientos anmalos o no
previstos. Dichos comportamientos son los que dan la traza del
problema y tienen que permitir la recuperacin del mismo.
Monografa
Seguridad web e informtica
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando as todo el trfico de la red.
2.2.3 Herramientas de anlisis para solucin de problemas
La identificacin de amenazas requiere conocer los tipos de ataques, el
tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podran clasificar en:
Data Corruption: la informacin que no contena defectos pasa a
tenerlos.
Denial of Service (DoS): servicios que deberan estar disponibles no lo
estn.
Leakage: los datos llegan a destinos a los que no deberan llegar.
Desde 1990 hasta nuestros das, el CERT viene desarrollando una
serie de estadsticas que demuestran que cada da se registran ms
ataques informticos, y estos son cada vez ms sofisticados,
automticos y difciles de rastrear.
Al describirlos se pretende dar una idea de la cantidad y variabilidad
de los mismos, as como que su adaptacin (y aparicin de nuevos)
contina paralela a la creacin de nuevas tecnologas.
Monografa
Seguridad web e informtica
Desde
la
liberacin
de Internet en la dcada
de los noventa que se
introdujo la World Wide
Web,
muchas organizaciones
se dispusieron a darse a
conocer al mundo en esta red, con la introduccin del lenguaje para
hipertexto HTML(Hiper Text Markup Language) se pudo realizar pginas
en donde ponan datos acerca de su organizacin o empresa y esto trajo
consigo un boom global al esto incrementar ventas sobre todo en el rea
de las exportaciones, gracias a que con esta herramienta se puede
llegar a muchos lugares en el mundo.
Monografa
Seguridad web e informtica
informtico normal emplea un sistema que usa dispositivos que se usan
para programar y almacenar programas y datos.
Si adems de la informacin, es capaz de almacenar y difundir los
conocimientos que se generan sobre cierta temtica, tanto dentro, como
en el entorno de la entidad, entonces est en presencia de un sistema
de gestin de informacin y conocimientos. Como utilizador final emplea
esa informacin en dos actividades fundamentales: la toma de
decisiones y el control.
Monografa
Seguridad web e informtica
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes
y que ejerce la una poltica de seguridad establecida. Es el mecanismo
encargado de proteger una red confiable de una que no lo es (por
ejemplo Internet).
Cuando los paquetes de informacin viajan entre su destino y origen, va
TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de Red).
Los Routers son dispositivos electrnicos encargados de establecer
comunicaciones externas y de convertir los protocolos utilizados en las
LAN en protocolos de WAN y viceversa.
2.4 Aplicaciones de seguridad en redes
La complejidad inherente a los servicios ofrecidos por los sistemas
informticos en las redes de ordenadores de hoy en da introduce
mltiples riesgos de seguridad que pueden resultar en el compromiso
total o parcial de la red vctima del ataque, o en la utilizacin ilegtima de
dichos servicios.
Por tanto, resulta imprescindible implantar una poltica de seguridad que
evale dichos riesgos a travs del denominado hacking blanco.
En este proyecto se ponen en prctica los procedimientos utilizados para
comprometer un sistema informtico o alterar de manera maliciosa el
comportamiento de las aplicacin eso servicios ofrecidos por ste.
A travs de ejemplos se demuestra la efectividad de las tcnicas de
ataque ms comunes en escenarios reales, y se describen las
alternativas que existen para protegerse de los mismos.
Para su realizacin, se han utilizado aplicaciones comerciales y de libre
distribucin que contenan fallos en alguna de sus versiones,
documentos que describen el comportamiento (errneo) de
determinados protocolos y bibliografa relacionada con el mundo de la
seguridad telemtica y las estrategias de programacin segura.
Con todo ello se pretende demostrar la viabilidad de semejantes ataques
en todo tipo de redes de comunicaciones y, simultneamente,
profundizaren los detalles de su implementacin
Monografa
Seguridad web e informtica
2.4.1 Aplicaciones de autentificacin
Es el acto de establecimiento o confirmacin de algo (o alguien) como
autntico. La autenticacin de un objeto puede significar (pensar) la
confirmacin de su procedencia, mientras que la autenticacin de una
persona a menudo consiste en verificar su identidad. La autenticacin
depende de uno o varios factores.
Se puede dividir en tres aspectos fundamentales:
Autenticacin En la seguridad de ordenador, la autenticacin es el
proceso de intento de verificar la identidad digital del remitente de una
comunicacin como una peticin para conectarse. El remitente siendo
autenticado puede ser una persona que usa un ordenador, un ordenador
por s mismo o un programa del ordenador. En un web de confianza,
"autenticacin" es un modo de asegurar que los usuarios son quin ellos
dicen que ellos son - que el usuario que intenta realizar funciones en un
sistema es de hecho el usuario que tiene la autorizacin para hacer as.
Monografa
Seguridad web e informtica
Monografa
Seguridad web e informtica
descifrar este mensaje, ya que es el nico que la conoce. Por tanto se
logra la confidencialidad del envo del mensaje, nadie salvo el
destinatario puede descifrarlo.
La criptografa se invent con el fin de evitar por completo el problema
del intercambio de claves de los sistemas de cifrado simtricos. Con las
claves pblicas no es necesario que el remitente y el destinatario se
pongan de acuerdo en la clave a emplear. Todo lo que se requiere es
que, antes de iniciar la comunicacin secreta, el remitente consiga una
copia de la clave pblica del destinatario. Es ms, esa misma clave
pblica puede ser usada por cualquiera que desee comunicarse con su
propietario. Por tanto, se necesitarn slo n pares de claves por
cada n personas que deseen comunicarse entre s.
Monografa
Seguridad web e informtica
Tcnicamente, Dan enva a Alicia un mensaje llano
en forma de un
nmero
menor que otro nmero , mediante un protocolo reversible
conocido como padding scheme (patrn de relleno). A continuacin
genera el mensaje cifrado mediante la siguiente operacin:
,
donde
mediante la operacin
,
donde
Monografa
Seguridad web e informtica
x h(x),
que tiene como entrada un conjunto de elementos, que suelen
ser cadenas, y los convierte (mapea) en un rango de salida finito,
normalmente cadenas de longitud fija. Es decir, la funcin acta como
una proyeccin del conjunto U sobre el conjunto M.
Una funcin hash con clave HK es una funcin hash H que tiene un
parmetro secreto K que pertenece al conjunto posible de claves y en la
que para una entrada x, hK(x) es el valor hash de x. Al resto de funciones
hash se dice que son sin clave.
Monografa
Seguridad web e informtica
coinciden, significa que no hubo alteracin y que el firmante es quien
dice serlo.
En consecuencia, si es posible descifrar un mensaje utilizando la clave
pblica de una persona, entonces puede afirmarse que el mensaje lo
gener esa persona utilizando su clave privada.
Monografa
Seguridad web e informtica
la Ley 22.195 el 17 de marzo
respectivamente.
Monografa
Seguridad web e informtica
establecer pautas o estndares mnimos, tal es el caso de la
Organizacin de Cooperacin y Desarrollo Econmico que tard tres
aos, desde 1983 hasta 1986 en publicar un informe titulado Delitos de
Informtica: anlisis de la normativa jurdica.
Donde se recomendaba una lista mnima de ejemplos de uso indebido
que cada pas podra prohibir y sancionar con leyes penales especiales
que promulgaran para tal fin.
Y seala como delitos:
El trfico con contraseas informticas obtenidas
inapropiados.
Distribucin de virus o de programas similares.
por
medios
Monografa
Seguridad web e informtica
Se establece que el dueo del archivo no puede modificar los permisos
de un objeto que est bajo control de acceso obligatorio. A cada objeto
del sistema (usuario, dato, etc. ) se le asigna una etiqueta, con un nivel
de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con
unas categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso
para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos
asociados.
Tambin se establecen controles para limitar la propagacin de derecho
de accesos a los distintos objetos.
2.6.3 Nivel b2
Requiere que se etiquete cada objeto de nivel superior por ser padre de
un objeto inferior. La Proteccin Estructurada es la primera que empieza
a referirse al problema de un objeto a un nivel mas elevado de seguridad
en comunicacin con otro objeto a un nivel inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son
accedidos pordistintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de banda a
utilizar por los dems usuarios.
2.6.4 Nivel b3
Refuerza a los dominios con la instalacin de hardware: por ejemplo el
hardware de administracin de memoria se usa para proteger el dominio
de seguridad de acceso no autorizado a la modificacin de objetos de
diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de
cada usuario y las permite o las deniega segn las polticas de acceso
que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente
pequeas como para permitir anlisis y testeos ante posibles
violaciones. Este nivel requiere que la terminal del usuario se conecte al
sistema por medio de una conexin segura.
Monografa
Seguridad web e informtica
Adems, cada usuario tiene asignado los lugares y objetos a los que
puede acceder.
2.6.5 Nivel c1
Se requiere identificacin de usuarios que permite el acceso a distinta
informacin.
Cada usuario puede manejar su informacin privada y se hace la
distincin entre los usuarios y el administrador del sistema, quien tiene
control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo
pueden ser realizadas por este super usuario; quien tiene gran
responsabilidad en la seguridad del mismo.
Con la actual descentralizacin de los sistemas de cmputos, no es raro
que en una organizacin encontremos dos o tres personas cumpliendo
este rol. Esto es un problema, pues no hay forma de distinguir entre los
cambios que hizo cada usuario.
2.6.6 Nivel c2
Este subnivel fue diseado para solucionar las debilidades del C1.
Cuenta con caractersticas adicionales que crean un ambiente de acceso
controlado. Se debe llevar una auditoria de accesos e intentos fallidos de
acceso a objetos. Tiene la capacidad de restringir an ms el que los
usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos,
permitir o denegar datos a usuarios en concreto, con base no slo en los
permisos, sino tambin en los niveles de autorizacin.
Requiere que se audite el sistema. Esta auditora es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
La auditora requiere de autenticacin adicional para estar seguros de
que la persona que ejecuta el comando es quien dice ser. Su mayor
desventaja reside en los recursos adicionales requeridos por el
procesador y el subsistema de discos.
Monografa
Seguridad web e informtica
Los usuarios de un sistema C2 tienen la autorizacin para realizar
algunas tareas de administracin del sistema sin necesidad de ser
administradores. Permite llevar mejor cuenta de las tareas relacionadas
con la administracin del sistema, ya que es cada usuario quien ejecuta
el trabajo y no el administrador del sistema.
2.6.7 Nivel d
Este nivel contiene slo una divisin y est reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificacin de
seguridad. Sin sistemas no confiables, no hay proteccin para el
hardware, el sistema operativo es inestable y no hay autentificacin con
respecto a los usuarios y sus derechos en el acceso a la informacin.
Los sistemas operativos que responden a este nivel son MS DOS y
System 7.0 de Macintosh.
Monografa
Seguridad web e informtica
uso de la informtica para garantizar el honor y la intimidad personal y
familiar
de
los ciudadanos y el pleno ejercicio de sus
derechos.
Sobre esa base se construy
un derecho que ha ido
ganando sustantividad propia
y
que
se
lleg
a
conocer
impropiamente como "libertad informtica",
ya
que
expresa la idea de que la persona debe tener en
todo momento el conocimiento y la capacidad de control para decidir qu
datos personales pueden ser informatizados y conocidos por terceros.
A fecha de hoy subsiste esa idea originaria de que la persona tiene el
derecho a conocer que datos personales suyos son o pueden ser
tratados por terceros.
conservando las facultades de decisin y disposicin sobre los datos
personales propios, lo que justifica la necesidad de recabar un
consentimiento previo para el tratamiento y la cesin de datos, a
suministrar un adecuado nivel de informacin sobre los fines
perseguidos con el tratamiento o la cesin, a custodiar los datos
personales ajenos con un determinado grado de seguridad y a reconocer
a las personas cuyos datos han sido tratados los derechos de oposicin,
acceso, rectificacin y cancelacin sobre sus datos.
Pero la proteccin legal ya no se proyecta slo (como prev nuestra
Constitucin) sobre los riesgos o peligros de "la informtica", sino sobre
el mbito del tratamiento de datos en s mismo, entendido como la
posibilidad que tiene un tercero de almacenar distintos datos que
cruzados y unidos pueden revelar un determinado perfil ideolgico o
conductual que la persona deseara mantener en secreto y dentro de su
mbito de control, pero sin importar si el fichero en el que se almacenan
o tratan datos est o no informatizado.
Por ello, resulta ms adecuado hablar hoy de un derecho a la proteccin
de datos personales (informatizados o no informatizados) donde la
proteccin se proyecta tanto en el mbito del tratamiento como en el
mbito de la posterior cesin de datos, configurndose como un derecho
fundamental de la persona que debe ser en todo caso respetado por
todos.
De hecho, ya en la malograda Constitucin Europea, se contena una
Carta de Derechos Fundamentales de la Unin, donde el derecho a la
proteccin de datos personales se reconoca de manera singular y en
Monografa
Seguridad web e informtica
clara sintona con la Directiva 1995/46/CE, de 24 de octubre de 1995, en
un artculo propio con el siguiente tenor literal:
Toda persona tiene derecho a la proteccin de los datos de carcter
personal que le conciernan.
Estos datos se tratarn de modo leal, para fines concretos y sobre la
base del consentimiento de la persona afectada o en virtud de otro
fundamento legtimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que la conciernan y a obtener su
rectificacin.
El respeto de estas normas estar sujeto al control de una autoridad
independiente.
La proteccin de datos afecta a todo fichero. Por fichero, segn la Ley
Orgnica de Proteccin de Datos, ha de entenderse todo conjunto
organizado de datos de carcter personal, cualquiera que fuere la forma o
modalidad de su creacin, almacenamiento, organizacin y acceso.
Efectivamente, la Ley Orgnica de Proteccin de Datos vigente ha
entendido que slo las personas fsicas (las llamadas personas de carne y
hueso) merecan proteccin frente al tratamiento de datos personales y que
las personas jurdicas (corporaciones, sociedades, asociaciones,
fundaciones, cooperativas) no merecan tal proteccin y todo ello sobre la
base de que los datos de las personas jurdicas son pblicos.
Ello no impide que las personas jurdicas puedan encontrar una proteccin
de sus datos personales en mbitos concretos como en el Cdigo Penal (en
el delito de descubrimiento y relevacin de secretos mediante el acceso y
cesin incontenido de datos de la empresa o la revelacin de secretos) o en
la normativa de proteccin de las comunicaciones electrnicas.
Monografa
Seguridad web e informtica
Constituyen una importante ayuda para proteger al sistema operativo de
la red, al sistema de aplicacin y dems software de la utilizacin o
modificaciones no autorizadas; para mantener la integridad de la
informacin (restringiendo la cantidad de usuarios y procesos con
acceso permitido) y para resguardar la informacin confidencial de
accesos no autorizados.
Los intrusos utilizan diversas tcnicas para quebrar los sistemas de
seguridad de una red. Bsicamente buscan los puntos dbiles del
sistema para poder colarse en ella. El trabajo de los Administradores y
Testers no difiere mucho de esto.
En lo que s se diferencia, y por completo, es en los objetivos: mientras
que un intruso penetra en las redes para distintos fines
(investigacin, dao, robo, etc.) un administrador lo hace para poder
mejorar los sistemas de seguridad.
El Penetration Test es un conjunto de metodologas y tcnicas, para
realizar una evaluacin integral de las debilidades de los sistemas
informticos.
Consiste en un modelo que reproduce intentos de acceso, a cualquier
entorno informtico, de un intruso potencial desde los diferentes puntos
de entrada que existan, tanto internos como remotos.
El objetivo general del Penetration Test es acceder a los equipos
informticos de la organizacin tratada e intentar obtener los privilegios
del administrador del sistema, logrando as realizar cualquier tarea sobre
dichos equipos.
Tambin se podr definir otros objetivos secundarios que permitan
realizar pruebas puntuales sobre algunos mbitos particulares de la
empresa.
2.8 Software daino
Software Daino toma su nombre del trmino software Malicioso y es
diseado para entrar en el sistema de su computadora para causar un
dao significativo sin su conocimiento y menos con su consentimiento.
Este software daino, marcar su teclado, robar sus palabras clave,
observar que navegadores utiliza, har que surjan ventanas no
deseadas en su pantalla, le har recibir una serie de correos electrnicos
no deseados, redirigir su navegador hacia pginas fraudulentas,
Monografa
Seguridad web e informtica
reportar su informacin personal a otros servidores
consentimiento y hasta puede hacerle recibir pornografa.
sin
su
Las
formas
ms
comunes
de
software
daino
son Virus, Gusanos, Trojans, Adware ySpyware. La manera ms comn
de estos programas malignos de entrar dentro de su computadora es por
medio de la Red, pero tambin se pueden introducir por medio de
correos electrnicos, mensajes instantneos, discos, CDs, y USBs.
Monografa
Seguridad web e informtica
Dentro de las contaminaciones ms frecuentes por interaccin del
usuario estn las siguientes:
Mensajes que ejecutan automticamente programas (como el programa
de correo que abre directamente un archivo adjunto).
Ingeniera social, mensajes como: Ejecute este programa y gane un
premio.
Entrada de informacin en discos de otros usuarios infectados.
Instalacin de software que pueda contener uno o varios programas
maliciosos.
Unidades extrables de almacenamiento, USB.
Monografa
Seguridad web e informtica
CAPTULO III
SEGURIDAD EN EL ENTORNO FSICO
3.1 Verdades y contrastes de la seguridad informtica
Mi sistema no es importante para un cracker. Este tema se basa en la
idea de que no introducir passwords seguras en una empresa no entraa
riesgos pues Quin va a querer obtener informacin ma? Sin embargo
dado que los mtodos de contagio se realizan por medio de
programas automticos, desde unas mquinas a otras, estos no
distinguen buenos de malos, interesantes de no interesantes. Por tanto
abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoy protegido pues no abro archivos que no conozco. Esto es
falso, pues existen mltiples formas de contagio, adems los programas
realizan acciones sin la supervisin del usuario poniendo en riesgo los
sistemas.
Como tengo antivirus estoy protegido. nicamente estoy protegido
mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En
general los programas antivirus no son capaces de detectar todas las
posibles formas de contagio existentes, ni las nuevas que pudieran
aparecer conforme las computadoras aumenten las capacidades de
comunicacin.
Monografa
Seguridad web e informtica
Como dispongo de un firewall no me contagio. Esto nicamente
proporciona una limitada capacidad de respuesta. Las formas de
infectarse en una red son mltiples. Unas provienen directamente de
accesos a mi sistema (de lo que protege un firewall) y otras de
conexiones que realiz (de las que no me protege). Emplear usuarios
con altos privilegios para realizar conexiones tampoco ayuda.
Tengo
un
servidor
web
cuyo sistema
operativo es
un UNIX actualizado a la fecha. Puede que est protegido contra
ataques directamente hacia el ncleo, pero si alguna de las aplicaciones
web (PHP, Perl, Cpanel, etc.) est desactualizada, un ataque sobre
algn script de dicha aplicacin puede permitir que el atacante abra una
shell y por ende ejecutar comandos en el UNIX.