Certificación en Seguridad

Trainer:
Pablo Ferrarese
pferrarese@uesiglo21.edu.ar
 Class Hours

Introducción
Parking

• Presentación
Rest Rooms
• Organización
• Planteo de las clases Break
• Presentación alumnos
• Planilla Smoking

• Horarios disponibles
• Consultas por correo
• Material didáctico y ejercicios
Programa:
• Unidad I: Introducción a Seguridad
• Unidad II: Concepto de TCP/IP
• Unidad III: Dispositivos
• Unidad IV: Detección de Vulnerabilidad (I)
• Unidad V: Detección de Vulnerabilidad (II)
• Unidad VI: Seguridad en plataforma Microsoft.
• Unidad VII: Firewall y IDS
Definición: Seguridad
• Cualidad o estado de seguro
• Garantía o conjunto de garantías que se da a alguien
sobre el cumplimiento de algo.
• Ejemplo: Seguridad Social Conjunto de organismos,
medios, medidas, etc., de la administración estatal
para prevenir o remediar los posibles riesgos,
problemas y necesidades de los trabajadores, como
enfermedad, accidentes laborales, incapacidad,
maternidad o jubilación; se financia con aportaciones
del Estado, trabajadores y empresarios.
• Se dice también de todos aquellos objetos,
dispositivos, medidas, etc., que contribuyen a hacer
más seguro el funcionamiento o el uso de una cosa:
cierre de seguridad, cinturón de seguridad
La Seguridad Informática
• Objetivo
“ Será mantener la INTEGRIDAD,
DISPONIBILIDAD, PRIVACIDAD, CONTROL y
AUTENTICIDAD de la Información manejada
por computadora”
• Con el avance de la tecnología , la Seguridad
segundo plano.
• Las “nuevas tecnologías” TCP/IP son inseguras por
diseño. Las técnicas de producción de software no
han mejorado mucho
Calificación de la Información

9 CRITICA
( es indispensable )

9 VALIOSA
( activo con valor )

9 SENSITIVA
( Conocidas por sólo personas que la procesan )
Objetivos de la Seguridad
• INTEGRIDAD : Contenido inalterado
• DISPONIBILIDAD : Siempre disponible
• PRIVACIDAD o CONFIDENCIALIDAD:
Sólo personas autorizadas
• CONTROL : Verificar accesos a datos
• AUTENTICIDAD : Es válida y utilizable

Ejemplos:
“...administrador de bases de datos...”
“...cluster o backup...”
“...permisos de usuarios...”
“...auditorías...”
Amenaza – Riesgo:
• Amenaza : Todo elemento que
comprometa el sistema

• Riesgo : Proximidad o posibilidad de un

daño, peligro, etc. .Cada uno de los
imprevistos, hechos desafortunados,
etc., que puede cubrir un seguro.

• Sinónimos: amenaza, contingencia,

emergencia, urgencia, apuro.
 Amenazas para la Seguridad
Humanas Desastres
Naturales

Maliciosas No Maliciosas

Externas Internas Error Humano

Incendio
Inundaciones
Empleados no
Terremotos
capacitados

• La implantación de unas medidas de seguridad informática en la empresa comienza a

tener un peso específico en este sector sólo a finales de la década pasada
• Analizar con un ejemplo las Maliciosas – Internas.
Acciones (ejemplos):

• Una persona no autorizada podría:

– Clasificar y desclasificar los datos.
– Filtrar información.
– Alterar la información.
– Borrar la información.
– Usurpar datos.
– Hojear información clasificada.
– Deducir datos confidenciales
De quiénes debemos protegernos?

• Intruso: intenta o accede sin

autorización a un sistema ajeno, ya sea
intencional o no.

• Se pueden clasificar

–por clase
–por tipo de acceso
 Por Clase

Fuente : http://www.cybsec.com/
Clases
• CLASE A : 80 % programas bajados de
Internet. Un juego más.
• CLASE B : 12 % Saben compilar
programas, prueban y conocen sobre
S.O.
• CLASE C : 5 % Sabe y tiene definido
objetivos
• CLASE D : 3 % Buscan lo que necesitan
Fuente de datos
• Acceder a programas es muy simple, ya
que están disponibles en Internet.
• No hay legislación en Argentina por
contenidos
http://neworder.box.sk
http://www.cultdeadcow.com/main.php3
http://packetstorm.widexs.nl
http://www.datafull.com
http://johnstart.com/toplist/hacking.html
http://library.2ya.com
 Por tipo de acceso
4%

1%

Aficionados
95% Profesionales
Cybercriminales

Fuente : www.securityfocus.com
Conceptos:
• Ataques
• Hacker
• Prehacker
• Violación
• Ddos, Dos
• Compromiso de Sistema
• Vulnerabilidad
Ataques
• Intento programado para
ejecutar una amenaza.
• Acto de delinquir
• Violar la seguridad
• Demostrar debilidades del SO
• Producir daño
 Tipos de Ataques
• PASIVO : No altera la funcionalidad. Solo
escucha y transmite. (Netbus, sniffer)
• ACTIVO : modificación del flujo de datos
transmitido o generación de uno falso.
(Hackers, piratas, etc)
• ACTIVO categorizado en
¾ Interrupción
¾ Intercepción
¾ Modificación
¾ Fabricación
¾ Destrucción

Fuente: Tipos de Ataques, HOWARD, John D. Thesis : An analysis of

security on the Internet. EEUU. www.cert.org
Secuencia de un ataque
Localizar el Objetivo

Recopilación de Información

Acceso Remoto

Acceso Local
“Escalada de privilegios”
Administrator

Borrado de Huellas / Pistas

Mantenimiento de Acceso
Riesgo y pérdida aceptable
• Seguridad total imposible. Costo vs. Inoperable
• Elegir métodos adecuados.
• Proactiva – Reactiva
• Pérdida aceptable : tiempo. Si las medidas son
correctas, solo el tiempo del servicio fuera de
línea.
• Métodología y perseverancia.

LA SEGURIDAD EN LA RED ES UN PROBLEMA

CULTURAL MÁS QUE TECNOLÓGICO
Riesgo y pérdida aceptable
• 1. ¿Qué sucedería si no se puede utilizar el sistema? Si
el sistema depende de la aplicación por completo se
debe definir el nivel de riesgo.

• 2. ¿Qué consecuencias traería si es que no se pudiera

acceder al sistema? Al considerar esta pregunta se debe
cuidar la presencia de manuales de respaldo para
emergencias o algún modo de cómo se soluciono este
problema en el pasado.

• 3. ¿Existe un procedimiento alternativo y que problemas

ocasionaría?
Riesgo y pérdida aceptable
Usted :
9¿Hace Backup?
9¿Prueba los restore?
9¿Tiene un manual de procedimientos
de restauración?
9¿Qué sucede si el server no sirve,
tiene otro alternativo?
9¿Cuánto vale el tiempo fuera de
hora?
Hacker
• Definición inicial de los ingenieros del MIT que
hacían alardes de sus conocimientos en
informática (1959)
• Perfil:
– Alguien con profundos conocimientos sobre
tecnología
– Tiene ansias de saberlo todo, pero es paciente a la
hora de aplicarlo.
– Le gusta la investigación
– Disfruta del reto
– Dicen NO a la sociedad de la Información y SI a la
sociedad informada
– Le gusta demostrar lo que sabe
Hacker
• Un hacker es un PIRATA
• Un verdadero HACKER no se mete
en el sistema para borrarlo.
• Buscar introducirse en el sistema y
dejar huellas de la violación
• ¿Por qué destruir algo y perder la
posibilidad de dar a conocer la
intrusión?
Hacker
• Disfruta de los retos intelectuales
• Todos definen al hacker como travieso,
perverso o exploradores, pero no se los
define como CRIMINAL
• Anuncios de hazañas
™defaced.alldas.de
™www.safemode.org
™www.attrition.org/mirror/attrition
Hacker
• Se debe usar el término INTRUSO
• Muchos se consideran NERD y no
hacker
• “Geek” insignia de orgullo
• Buscados por empresas de seguridad
para asesoramiento.
• Experto en programación
Hacker - Intrusos
Calidad técnica
Intrusos
Nº de
intrusos

1980 1985 1990 1995 2000 2005 ...

cRaCkErS
• Hacker con intenciones que van más
allá de la investigación.
• Persona que intenta de forma ilegal
romper la seguridad de un sistema por
diversión o interés
• Considerados mediocres, no brillantes
que buscan VIOLAR un sistema.
Phreakers
• Fusión de la palabra Freak, Phone y
Free:”Monstruo de los teléfonos libres”
• Actividad por medio de la cual usando
software y hardware se engaña a las
compañías telefónicas para que no cobren las
llamadas.
• Son Crackers de las llamadas telefónicas.
• Más antiguo que el Hacker.
• Ej :
http://datafull.com/datahack/notas/nota.php?co
digo=14
Otros habitantes del ciberespacio
• Carding : Personas que hacen uso ilegítimo de
las tarjetas de crédito pertenecientes a otras
personas.
• Trashing : Rastrean papeleras para localizar
información (usuario y contraseña, códigos,
pin, etc)
• Gurús : Maestros encargados de formar a los
hackers.
• Lamers o Script-Kidders : Prueban programas,
programan virus y bómbas lógicas con el fin
de molestar.
• CopyHackers : Son falsificadores sin
escrúpulos que comercializan todo lo que
copian (robado).
Otros habitantes del ciberespacio
• Bucaneros : Comerciantes de productos
crackeados por otros.
• Newbie : Novatos hacker.
• Wannaber : Persona que quiere ser hacker,
pero el coeficiente no le dá
• Samurai : Producen daño por dinero, son los
más peligrosos.
• Piratas Informáticos : Copia software sin
respetar el copyright.
• Prog. de Virus: Personajes dañinos, que
desarrollan software con el fin de molestar y
producir daño
Otros Intrusos
• Personal Interno de una empresa
• Ex-empleado
• Curiosos
• Terroristas
• Remunerados
Violación - Vulnerabilidad
• Corrupción o caída de la seguridad de un
sistema.
• Pueden darse por
9 Sistemas operativos y aplicaciones
ƒ Programación compleja
9 Instalaciones por defecto (NUNCA)
ƒ Operatividad sobre SEGURIDAD
9 Errores de configuración
ƒ Administrador inexperto
Violación - Vulnerabilidad
• Descubrimiento de la incidencia
• Aviso y espera a la respuesta del
fabricante
– http://www.securityfocus.com/bid/2708
• NO Aviso o NO espera al fabricante
– http://www.securityfocus.com/cgi-bin/vulns-
item.pl?section=info&id=2540

• Boletín de seguridad de Microsoft

– http://www.microsoft.com/technet/treeview/default.asp
?url=/technet/security/bulletin/MS01-026.asp
DoS - DDos
• DoS : Deny of Services –
Denegación de servicios
• DDoS : Distributed Denial of Service
• Servicios que deben estar
disponible, pero no lo están.
• Ejemplo: Anular el puerto 80 de un
servidor Web de la competencia.
Compromiso de Sistema
• Un intruso ha constatado una
vulnerabilidad y se ha
aprovechado de ella.

• Es un sistema que ya ha sido

violado y el Administrador
desconoce esta situación.
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe
contemplar:
– El plan de seguridad debe asegurar la integridad y exactitud de
los datos
– Debe permitir identificar la información que es confidencial
– Debe contemplar áreas de uso exclusivo
– Debe proteger y conservar los activos de desastres provocados
por la mano del hombre y los actos abiertamente hostiles
– Debe asegurar la capacidad de la organización para sobrevivir
accidentes
– Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
– Debe contemplar la administración contra acusaciones por
imprudencia

IMPORTANTE : SIN RESPALDO GERENCIAL MUY POCO SE

PUEDE HACER. HAY QUE SABER VENDER EL PROYECTO
DE SEGURIDAD
Niveles de Seguridad Inf.
• Nivel C1 : Protección discreta.
9 No hay muchas restriciones
9 Usuarios con user y pass , pero con una lista
DACL
9 Un administrador tiene todos los permisos
• Nivel C2: Protección de acceso Controlado
9 Refuerza la seguridad de las anteriores
9 Más restricciones
• Nivel B1 : Seguridad Etiquetada
9 Seguridad multinivel : secreta y ultra secreta.
9 Cada objeto del sistema (archivos) tiene una
etiqueta con un nivel jerárquico (alto secreto,
secreto, reservado, semipúblico y público)
Niveles de Seguridad Inf.
• Nivel B2: Protección estructurada
9 Cada objeto etiquetado
9 Alerta por cambios de condiciones de
accesibilidad
• Nivel B3: Dominios de Seguridad
9 Seguridad de Software asociada con Hardware.
9 Desktop del usuario debe tener conexión segura
• Nivel A : Protección verificada
9 Altísimo nivel de seguridad
9 Incluye todas las anteriores
9 Métodos formales matemáticos de control de
accesos y procesos