Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA
Semestre: IX
Juliaca Per
2017
DEDICATORIA
2
AGRADECIMIENTO
3
RESUMEN
La seguridad informtica es el rea de la computacin que se enfoca en la
proteccin y la privatizacin de sus sistemas y en esta se pueden encontrar
dos tipos: La seguridad lgica que se enfoca en la proteccin de los
contenidos y su informacin y la seguridad fsica aplicada a los equipos
como tal, ya que el ataque no es estrictamente al software del computador
como tal sino tambin al hardware.
4
ABSTRACT
Threats can occur both externally and internally, and the form of attacks
commonly used is attack by viruses that are files that can alter information
or data from another file without the user's consent, the external way is the
one that is Performs from the outside and does not have as much security,
therefore it is easy to combat, and therefore more difficult on the part of the
perpetrator to come to concretise its attack, instead of the internal one that
is much more dangerous since it does not need to be connected in network
The computer to receive the attack.
5
ndice
1.- Reglamento de medida de seguridad (RMS-LOPD) ....................................................... 8
2.- Niveles de seguridad definidos en el RMS segn el tipo de datos: ............................... 9
2.1. Medidas tcnicas y organizativas a adoptar segn nivel de seguridad definidas en
el RMS ........................................................................................................................... 10
3.- LSSI-CE.......................................................................................................................... 15
4.- Anonimato de las comunicaciones electrnicas. Cookies ........................................... 17
4.1. Tecnologas de anonimato de comunicaciones ..................................................... 18
4.2. Privacidad del usuario cookies ............................................................................... 23
5.- Servicio de investigacin: computer forensic .............................................................. 25
5.1. Elementos que buscan mediante computer forensic ............................................ 25
5.2. Incidentes tratados por computer forensic ........................................................... 27
6.- EVIDENCIAS EN computer forensic .............................................................................. 31
6.1. Fases de la investigacin en anlisis forense ......................................................... 31
6.2. Proceso de recogida de evidencias en computer forensic .................................... 32
6.3. Dificultades que aparecen en computer forensic .................................................. 33
6.4. Recogida de evidencias en una red corporativa .................................................... 33
7.- Principios legales y tcnicos en computer forensic ..................................................... 37
8.-Servicio De responsabilidad: auditora de seguridad ................................................... 37
8.1. Funciones de auditora de seguridad ..................................................................... 38
8.2. Informacin Registrada en cada evento ................................................................ 39
8.3. Recogida de informacin de auditora ................................................................... 40
8.4. Clasificacin de requisitos de auditora en TCSEC ................................................. 41
8.5. Almacenamiento de registro de auditora ............................................................. 42
8.6. Saturacin en el proceso de recogida de datos de auditora ................................ 43
8.7. Monitorizacin y reconocimiento de amenazas .................................................... 44
Bibliografa ........................................................................................................................ 45
6
Lista de Tablas
7
CUMPLIMIENTO CON LAS LEYES.
PRIVACIDAD Y ANONIMATO.
SERVICIO DE INVESTIGACIN Y
RESPONSABILIDAD
9
2.1. Medidas tcnicas y organizativas a adoptar segn nivel de
seguridad definidas en el RMS
Las medidas de seguridad de los niveles superiores incluyen tambin, alas
de los niveles inferiores, las medidas de seguridad especificadas en los tres
niveles constituyen el mnimo exigible Por la ley, sin perjuicio de las
disposiciones legales o reglamentarias especficas vigentes.
Por otra parte, las medidas de seguridad adoptar deben implantarse, tanto
a nivel de acceso local como a nivel de acceso remoto, como en caso de
que existan tele trabajadores en la organizacin, y a travs de una red de
comunicacin (intranet, internet o extranet). Asimismo, el responsable de
Los ficheros con datos de carcter personal deber autorizar la realizacin
de trabajos fuera de los locales donde se encuentra ubicado el sistema de
informacin afectado, cuando personal de la empresa Precise desplazarse
fsicamente con un porttil, una DPA o un dispositivo similar,
garantizndose as el nivel de seguridad correspondiente al tipo de fichero
utilizado en dicho trabajo.
Por ltimo, cualquier fichero temporal asociado a otro que contenga datos
de carcter personal, estar Bajo el mismo nivel de seguridad que aqul o
aquellos ficheros de los que procede, y deber ser eliminado al terminar su
objeto o utilidad.
10
A. determinacin del mbito de aplicacin del documento, con
especificacin detallada de los recursos protegidos.
2. Procedimientos.
11
4. Tratamiento de las copias de respaldo y recuperacin. El
responsable del fichero de datos de carcter personal se encarga de
verificar la definicin y la correcta aplicacin de los procedimientos
de realizacin de copias de respaldo y de recuperacin de datos
13
6. Auditora, En este nivel se recogen los datos necesarios para
identificar las deficiencias y proponer medidas correctas, quedando
a disposicin de la APD (agencia de proteccin de datos).
14
3. Telecomunicaciones. la transmisin de datos de carcter personal
a travs de redes se realizar de manera cifrada o bien utilizando
otro mecanismo que garantice que la informacin resulte ininteligible
y no pueda ser manipulada por terceros.
3.- LSSI-CE
las empresas que realicen contratos online tienen que especificar los
trmites que se deben realizar para la contratacin de servicios o productos
por esta va, Las condiciones generales a las que se ajusta el contrato y
realizar una confirmacin al final de la realizacin del mismo por medio
electrnicos, mediante el envo de un acuse de recibo del pedido efectuado.
Por otra parte, el cdigo penal tipifica las actividades ilegales dentro del
mbito de los servicios informticos y las sanciones penas de prisin y/o
Multas.
16
4.- Anonimato de las comunicaciones electrnicas. Cookies
17
C. De los atacantes internos que se confabulan, como es el caso
de utilizar elementos del sistema (routers, puntos de acceso
Wi-Fi, switches) con su seguridad comprometida.
18
- tecnologia onion routing(OR) de anonimato para las
Comunicaciones. desarrollada por D. Goldschlag, M. Reed y P.
Syverson, est basada en una red mix en tiempo real mejorada. es
una infraestructura de propsito general, diseada para conseguir
comunicaciones annimas sobre una red pblica, por ejemplo,
internet, soporta diversos tipos de aplicaciones como http, ftp, smtp,
RLOGIN o TELNET, a travs del empleo de proxies especficos De
aplicacin, opera sobre una red lgica de routers onion, formada por
mix Chaum en tiempo real. los mensajes se envan prcticamente
en tiempo real, lo que puede debilitar la proteccin.
19
crowd, localizado en su computador. cuando el jondo arranca,
contacta con un servidor denominado Blender, para solicitar la
entrada al crowd. el Blender informa al crowd de todos los jondos
que estn en funcionamiento y enva la informacin necesaria para
unirse al crowd, Cmo pueden ser las claves criptogrficas. el
usuario configuracin navegador para utilizar su jondo como Proxy
web, cuando el jondo recibe la primera peticin del navegador se
inicia el establecimiento de un camino aleatorio de jondos en el
crowd, siguiendo estos pasos, en primer lugar el jondo elige de
forma aleatoria a otro jondo del crowd qu puede ser el mismo y
reenva la peticin despus de ocultarlo, cuando este jondo recibe la
peticion lo reenvia A otro jondo seleccionado aleatoriamente con una
probabilidad pf y presenta la peticin al servidor destino con una
probabilidad igual a (1 - pf) las siguientes peticiones seguirn la
misma ruta las respuestas del servidor atraviesan el mismo camino
en direccin opuesta. la comunicacin entre jondos est cifrada.
-
Crowd opera de forma que cualquier nodo tenga la misma
probabilidad que otro de ser el iniciador del mensaje, cada nodo que
se une a la red arranca un jondo Qu es un pequeo proceso que
reenviara y recibir peticiones de otros usuarios. cuando el jondo se
ejecuta todos los nodos de la red son informados de la entrada del
nuevo nodo y empezarn a seleccionarlo como un reenviador. para
enviar un mensaje un nodo elige de entre todos los nodos de la red
de forma aleatoria y con probabilidad uniforme, a uno de ellos y
reenva el mensaje. cada nodo remisor registra al predecesor y de
esta forma se construye un tnel qu se utiliza para la comunicacin
annima entre el emisor y el receptor.
las limitaciones de la tecnologa crowd son las exposiciones de los
contenidos de la peticin a los jondos intermedios ya que el servicio
puede ser circunvalada por Applets Java Y controles ActiveX Y por
ltimo no existe defensa contra ataques DoS organizados por
miembros Crowd maliciosos.
20
- Tecnologa tor de anonimato para las comunicaciones. La
tecnologa Tor es una implementacin de segunda generacin de la
tcnica onion routing (OR) se trata de un sistema de anonimato que
permite a sus usuarios comunicarse de forma annima por internet.
Tor protege a sus usuarios contra ataques de anlisis de trfico
operando en una red solapada de onion routers qu posibilita el
anonimato de las conexiones salientes y el anonimato de servicios
ocultos.
21
- tecnologa Tarzn de anonimato para las comunicaciones Se
basa en una red solapada ip de anonimato PERR-TO-PERR
(P2P) transparente a las aplicaciones. realice el anonimato con
cifrado en capas y un encaminamiento multisaltos similar al mix de
Chaum. Tarzn proporciona anonimato a clientes y servidores,
utiliza un traductor de direcciones de red o NAT como puente entre
los computadores Tarzn y las mquinas de computacin de internet
que ignoran su existencia. Tarzn permite el anonimato contra
escuchas clandestinas globales.
22
pares de nodos Qu utilizan el trfico encubierto para
mantener los niveles de trfico independientes de las
velocidades de datos. el iniciador del tnel oculta las
cabeceras IP y TCP. un tnel Tarzn pasa dos tipos
de mensajes entre nodos: los paquetes de datos a
retransmitir a travs de los tneles existentes y los
paquetes de control que contienen comandos y
respuestas que establecen y mantienen estos circuitos
virtuales. Tarzn en capsula ambos tipos de paquetes
en datagramas UDP. cada Enlace del tnel se
identifica de forma nica mediante una etiqueta de
flujo. el cifrado simtrico oculta los datos y un MAC
(cdigo de autentificacin de mensajes) proteger su
integridad en cada transmisin.
23
que no interese su aplicacin desde el punto de vista econmico y porque
las tecnologas PET (privacy enhancing technologies) son complejas y
difciles de gestionar por el usuario.
Las cokiees operan en tres fases: en primer lugar, cuando el usuario teclea
la direccin web o la URL el programa navegador busca en el disco duro la
cokiee asociada con dicho sitio web. Posteriormente, si el navegador web
24
encuentra una cokiee, enva la informacin de esta en forma de fichero al
sitio web.
25
frecuentemente se pueden extraer de los sistemas de computacin
transacciones de negocios privadas comunicaciones con Cmplices
indicadores de fraude etctera a menudo todos los intentos de los
delincuentes y de los atacantes para ocultar o borrar sus pistas no tienen
xito y un pequeo detalle obtenido por un forense puede ser clave para
sacar a la luz y probar un delito.
26
sus nminas proyectos, finanzas, patentes, detalles de cliente, etc. Los
profesionales roban los datos de valor e informacin vendible, hacindose
pasar por empleados, personal de mantenimiento o clientes.
27
factible, Ya que puede que haya alguno de ellos que no sea necesario
proteger. es interesante proteger los datos RAID, ya que las mquinas
servidoras propietarias suelen crear pesadillas forenses. el acceso fsico a
los datos alojados en servidores seguros, cmo los Apache- Linux con
SSL) y la utilizacin de programas de imagen comprobados. permiten
verificar los parmetros fsicos del medio de almacenamiento.
28
Es importante el entendimiento de la tecnologa. para ello, se proporciona
un adiestramiento, para el examinador o forense realice su trabajo con
seguridad y credibilidad.
29
ataque. para analizar esto, el forense tendr que analizar los componentes
de red a los que est conectada la mquina de computacin que se ha visto
comprometida, los modos de acceso al sistema, ect. para ello, comprueba
los registros de los cortafuegos y establece la direccin IP desde la que se
gener la peticin original. esta podra ser una mquina intermediaria y no
del atacante, pero ayuda a reducir el crculo en torno al atacante.
Desde el punto de vista del forense, los lugares de informacin valiosa que
permite hacerse una idea de lata Qu son los ficheros del registro del
sistema, que constituyen el lugar ms apropiado para la bsqueda, ya que
cada sistema operativo tiene su propia forma de registrar la mayor parte de
la informacin del usuario. para ello, puede buscar los registros de sesiones
telnet o analizar los registros En bsqueda de actividad de usuario
sospechosa, Como abrir una sesin en la cuenta de root del administrador
del sistema a las 4 de la madrugada. tambin puede buscar ejecutables y
usuarios no reconocibles O binarios del sistema convertidos en troyanos.
En unix se puede utilizar Strings para leer todas las cadenas imprimibles
encontradas en un fichero. por ltimo, puede utilizar los registros forenses
de los modernos IDS (Sistemas de deteccin y respuesta frente a
instrusiones)
Una investigacin forense bien hecha tiene todos los detalles del caso
adecuadamente de comentados y debe mantener la cadena de custodia de
la informacin de pruebas. la documentacin debe empezar desde la
confiscacin del sistema informtico y llegar hasta la actividad judicial. es
muy til recordar todos los detalles del caso, dada la duracin de sta. las
cuestiones legales asociadas con la informtica forense estado de
evolucin ando. las leyes de investigacin en delitos informticos deban
ser internacionales, como los de la internet y no deberan estar limitadas
por las fronteras geogrficas. los investigadores forenses informticos
deben mantener atento a los desarrollos en el rea.
30
6.- EVIDENCIAS EN computer forensic
31
pone a prueba la habilidad del investigador para detectar patrones,
en lo que puede aparecer como un escenario catico. cada
escenario consta de patrones de recurrencia que Define una
secuencia normal de eventos al igual que los usuarios siguen sus
patrones normalmente de utilizacin de la red o la creacin de
backups, que tienen lugar de acuerdo a su planificacin
predeterminada cuando se identifican estos patrones el investigador
forense ya puede visualizar cualquier trastorno o los eventos
anmalos que pueden haber ocurrido. la solucin de muchos
incidentes est en hacer un marcaje de estas ocurrencias para un
escrutinio posterior cuidadoso.
Lo ideal es hacer copias, a bajo nivel, de todos los discos Duros de los
sistemas computacin sospechosos para su examen, utilizando software
forense; Pero esto no siempre es posible y se necesita un procedimiento
estricto para identificar y hacer seguras las evidencias potenciales. las
claves para la investigacin forense son asegurar que la confidencialidad
del cliente se respete y los negocios no se interrumpan. la discrecin es
absolutamente esencial y se debe ser consciente de las muchas leyes que
protegen los derechos y libertades del individuo a investigar. las empresas
deben evitar una casa de brujas de hipotticos atacantes o delincuentes ya
32
que a menudo esto conduce a la paranoia Y se acusa a la persona
equivocada poniendo en Guardia al verdadero culpable.
Entre los hechos de los que hay que desconfiar tenemos los cambios de
las marcas de fecha y hora Cuando se arranca la mquina, cuando se
sobreescribe la informacin en el espacio libre del disco duro durante el
arranque, cuando se esparce virus informticos que corrompen ficheros y
dan lugar a reclamaciones por daos o cuando se apagan los sistemas en
computacin basados en un servidor y que no pueden ser restaurados
despus de apagarse.
33
En un entorno de intranet, donde los recursos se encuentran distribuidos,
los eventos diferentes mquinas estn muy relacionadas. en estos
escenarios, el registro centralizado conduce a cadenas cortas de pruebas
muy localizadas, Qu son difciles De relacionar con otras cadenas de otras
computadoras, dentro de la misma intranet.
34
daos en un entorno de internet. cada grupo de acciones es independiente
de otros y se basa en el nivel de autoridad requerido para ejecutarlas cada
grupo de acciones tiene una fuente diferente de evidencias, qu debe ser
documentadas para propsitos frases. sin embargo, cada una de las
fuentes de evidencias debe basarse a los registros que le siguen para
formar una cadena completa de evidencias
35
Preservacin de datos y evidencias. Uno de los retos ms importantes
en una investigacin es la preservacin de la escena del delito mientras el
olvido puede ser relativamente sencillo, en el anlisis forense de delitos
informticos puede ser muy complejo.
36
Consideremos un escenario de un sitio web de una institucin que contiene
informacin crtica como datos mdicos a financieros que ha sido atacada.
el atacante tiene el control absoluto de sistema, puede cambiar los registros
de informacin de una persona, robar la informacin relativa a la tarjeta de
crdito, cambiar informacin de la cuenta, etc., pero incluso pequeos
cambios en los datos, pueden causar un caos y tanto a la compaa como
los clientes pueden ser daados.
38
Un intento de penetracin produce indicaciones sospechosas en el registro
de los, en Las ondas monitoras del Hardware y en la estacin de gestin
de seguridad. el personal de seguridad que controla esta estacin y ciertos
mecanismos automatizados. pueden tomar acciones inmediatas para
impedir el intento de penetracin del intruso. las evidencias acumuladas por
el registro de la estacin gestora y las sondas monitoras permiten la
investigacin forense despus del hecho y posibilitan establecer
responsabilidades de forma documentada por medio de los registros de
auditora con pruebas.
39
peticin( Cmo era identificador de terminal); el, como un fichero para
borrar, la descripcin de las modificaciones a las bases de datos de
seguridad y los niveles de seguridad del sujeto y del objeto, segn
distintas mtricas.
40
suficiente y se puede necesitar el estado de m. se tiende a
utilizar esto cuando las transiciones especficas requieren
siempre anlisis, por ejemplo, cambio de privilegios.
41
naturalmente existe mucha ms informacin que se puede recoger
dependiendo del sistema que se disponga y el espacio que de
memoria disponible para el Almacenamiento de esta informacin.
42
nico fichero, pero tiene una ventaja significativa que es la de incrementar
de forma importante la seguridad, ya que un susto no puede alterar los
datos que indican que se ha producido una intrusin. el inconveniente de
este mtodo es que necesita mantener una provisin de los medios de
almacenamiento que conlleva un alto. Asimismo, puede que los datos no
se encuentran disponibles de forma instantnea.
43
Si el plan de manipulacin de datos de auditora no estuviera definido
adecuadamente antes de un incidente, es posible que no existan recursos
para hacer frente a las consecuencias del evento y se pueden crear
responsabilidades resultantes de un tratamiento inadecuado de los datos.
por el hecho de recoger y guardar datos de auditora es necesario
prepararse para consecuencias que resultan, tanto de su existencia como
de Su contenido .
44
Bibliografa
45