Introducción a la Seguridad

dit
UPM

¿Qué es seguridad?
• Actuaciones que permitan:
– Defenderme: disminuir la probabilidad de
incidentes lesivos.
– Asegurarme: disminuir las consecuencias
negativas cuando se produce un incidente lesivo
– Denunciar: identificar causas y causante(s)
cuando se produce un incidente lesivo
• La seguridad normalmente implica:
– Simplicidad
– Disciplina
– Limitación de posibilidades
dit
UPM Planificación de la seguridad 2
 Factores Implicados
Análisis de Certificación
Riesgos (UNE 71502)

Política de
IEC-17799 Seguridad

Legislación Auditoría
dit
UPM Planificación de la seguridad 3

Ciclo de Seguridad

Activos Amenazas
Materialización
Daños Frecuencia

Impactos Vulnerabilidades
Σ

Riesgos
Curativas Preventivas
Salvaguardas
dit
UPM Planificación de la seguridad 4
 Análisis de Riesgos: Activos
• Todo lo que posee o usa una organización:
– Recursos físicos: Equipos, sistemas, PCs, etc.
– Utilización de recursos
– Información almacenada: software y datos
– Información en tránsito
– Personal: administradores, usuarios,
mantenimiento...
– Imagen y reputación pública y profesional

dit
UPM Planificación de la seguridad 5

Análisis de Riesgos: Amenazas

Según su origen Según su objetivo

• Suministro eléctrico • Recursos Físicos

• Agua • Utilización
• Temperatura y humedad • Información almacenada
• Incendio • Información en transito
• Personas: • Imagen y Reputación
– Personal interno malintencionado
– Errores de personal interno
– Personas externas
malintencionadas

dit
UPM Planificación de la seguridad 6
 Amenazas
• A recursos físicos:
– Daños físicos a los equipos.
• Intencionados: robo, destrucción, etc.. (normalmente poco
factible remotamente)
• Desastres Naturales: (terremotos, inundaciones, etc.)
• Entorno (electricidad, incendios, temperatura, etc.)
– Salvaguardas:
• Sistemas de detección y prevención de accidentes
• Minimizar consecuencias (ej: backups)
• Restricciones de acceso
• A utilización:
– Reducción de Disponibilidad
– Perdida Económica

dit
UPM Planificación de la seguridad 7

Amenazas
• A la información almacenada:
– Confidencialidad: Acceso a la información
– Integridad: Introducción o modificación de la
información
– Disponibilidad: Destrucción

• A la información en tránsito:
– Disponibilidad: Eliminación de datos
– Confidencialidad: Acceso a los datos
– Integridad: Modificación de datos o introducción
de datos falsos
– Repudio: Responsabilidad de haber transmitido
dit o recibido datos
Planificación de la seguridad 8
UPM
 Amenazas

• A la imagen y reputación:
– Incapacidad de prevenir incidentes
– Ataques sin gran impacto en el resto de activos
– Publicitación del ataque dejando en entredicho a
la organización

• Daños a terceros desde la organización:

– Utilización como pasarela de ataques
posteriores
– Posible petición de responsabilidades
dit
UPM Planificación de la seguridad 9

Vulnerabilidades e Impacto
• Vulnerabilidad de un activo es la posibilidad de
que una amenaza se materialice sobre él
– Es necesario cuantificarlo al menos relativamente
(más importante, menos....)
• Impacto: Consecuencia de la materialización
de una amenaza sobre un activo:
– Ejemplos:
• efecto puntual, interrupción del servicio, liquidación
total
• perdidas económicas, materiales, inmateriales
• responsabilidad civil, legal, penal
– Métricas: económicas, subjetivas
– Es necesario cuantificarlo al menos relativamente
(más importante, menos....)

dit
UPM Planificación de la seguridad 10
 Análisis de riesgos
• Tabla ordenada de riesgos, según su
importancia:
– Importancia de un riesgo: combinación del impacto y la
vulnerabilidad del mismo.
• Objetivo: aplicar una política de seguridad para
los riesgos más importantes. Hay que identificar:
– Riesgos importantes (cubiertos por la política)
– Riesgos no importantes (no cubiertos)
• Política de seguridad: disminuye la importancia
del riesgo:
– Disminuyendo su vulnerabilidad (política defensiva)
– Disminuyendo su impacto (política curativa)

dit
UPM Planificación de la seguridad 11

Análisis de riesgos:
Priorización de incidentes
Pérdidas
asociadas a
un incidente

C
Frecuencia
del incidente

dit
UPM Planificación de la seguridad 12
 Costes de la seguridad

• Directos:
– Inversiones en equipos y sistemas
– Gasto de mantenimiento
– Gasto de Personal

• Indirectos:
– Dificultad de uso
– Restricciones de servicios
– Reducción de prestaciones

dit
UPM Planificación de la seguridad 13

Punto de equilibrio financiero

Costes

Coste Total

Coste de
Pérdidas por Seguridad
incidentes

Nivel de
Seguridad
0% 25% 50% 75% 100%
dit
UPM Planificación de la seguridad 14
 Análisis de Riesgos:
Política de seguridad
• Documento oficial de la organización que debe
establecer:
– Objetivos de seguridad a conseguir
– Disciplina de seguridad necesaria para conseguir
dichos objetivos.
• Propósito:
– Informar a los usuarios de la organización de la
disciplina para proteger los activos de la organización
• Puede incluir una Política de Uso Apropiado
– Actividades adecuadas o no adecuadas dentro de la
disciplina de la política de seguridad.

dit
UPM Planificación de la seguridad 15

Legislación

• Directivas UE y Leyes nacionales

– Directivas de tratamiento y protección de datos personales
– LOPD 15/19999
– RD 1332/1994 (regula determinados aspectos de la LORTAD)
– RD 994/19999 (reglamento de medidas de seguridad de ficheros
con datos personales)

dit
UPM Planificación de la seguridad 16
 Buenas Prácticas en un SGSI
• ISO 27001: Requisitos que debe cumplir un
SGSI.
– Se puede solicitar la certificación de este cumplimiento.
• ISO 27002: Guía de Buenas prácticas para la
gestión de la seguridad de la información
– Controles a aplicar para establecer un SGSI
• 39 objetivos de control
• 134 controles

• ISO 27003: Directrices para implantar un SGSI

(soporte de la ISO 27001)
• ISO 27004: Métricas para la gestión de la
seguridad de la información (quien, cuando)

dit
UPM Planificación de la seguridad 17

Auditoría y Certificación

• Auditoría: ITSEC & ISO/IEC 15408: Criterios

de valoración de la seguridad IT de sistemas y
productos
• Certificación: BS 7779-2 & UNE 71502
– Especificación para la certificación de SGSI
• Otros: Common Criteria / ITSEC

dit
UPM Planificación de la seguridad 18
 Riesgos de Internet

dit
UPM

Hackers ?
• Hacker: neologismo utilizado para referirse a
un experto en ramas técnicas relacionadas
con la informática (programación, redes,
sistemas operativos)
• Cracker (criminal hacker):
– Creadores de programas (cracks) que permiten
modificar el funcionamiento de un software o
hardware
– Usuarios que utilizan estos cracks para realizar
intrusiones a sistemas (también: lamer, newbie..)

dit
UPM
 ¿Cómo lo hacen?
• Amenazas tecnológicas: ataques que se
aprovechan de fallos de los programas
• Amenazas humanas: ataques que se
aprovechan de fallos de las personas.
– PERSONAS: el eslabón más débil.
• Desconocimiento técnico
• Tendencia a confiar
• Miedo a meterse en problemas.

“Los aficionados hackean sistemas. Los

profesionales hackean gente” (Bruce Schenier)

dit
UPM

Amenazas
Objetivo
Atacante

Empleado
Internet

Cortafuegos
Servidor
Amenaza Tecnológica
dit
UPM
 Amenazas Humanas
• Técnicas de Ingeniería Social:
– Con presencia física:
• Engaños presenciales (pretextos, desvío de envíos…)
• Rebuscar en la basura (dumpster diving)
• Pisar los talones (tailgating)
• Mirar por encima del hombro (shoulder surfing)
– Por teléfono / fax / envío postal / etc.
– A través de Internet
• Ejecución de programas maliciosos (malware)
• Revelación de secretos
• Búsqueda de información en Internet

dit
UPM

Ingenieria Social
• Con presencia física (I):
– Engaños presenciales
• Pretexto: el atacante inventa un escenario para embaucar
al atacado y que revele información confidencial
– Impersonación de autoridades, periodistas, etc.
– Uso también por teléfono, e-mail.
• Desvío de envíos: engaño a empresas de transporte para
que modifiquen el sitio de entrega de mercancía
• Baiting: “olvido” de CDs, DVDs, USBs en la cercanía de las
organizaciones.
– Rebuscar en la basura (dumpster diving)
• Datos confidenciales, números de cuentas corriente, etc.
• Ejemplos cercanos: Supermercados Sánchez-Romero,
dit
UPM
Hospital Puerta de Hierro
 Ingenieria Social
• Con presencia física (II):
– Pisar los talones (tailgating)
• Atravesar un control de acceso
pegado a otra persona
– Mirar por encima del hombro
(shoulder surfing)
• Un problema de educación!

dit
UPM

Ingeniería Social
• Por teléfono / fax / envíos postales
– Técnicas de pretexto: generación de falsos
escenarios para engañar a la víctima
• Muy utilizado: llamada de teléfono simulando ser un
operador del departamento de informática
• Por Internet: lo más utilizado actualmente
– Objetivos:
• Que la víctima ejecute un programa malicioso (malware)
– Un adjunto de un correo electrónico
– Un programa descargado por web
– Un programa transmitido por redes sociales o mensajería
instantanea.
• Que la víctima revela información confidencial
dit
UPM
 Ejecución de malware
• Por correo electrónico enviando el malware
como adjunto
– Los programas actuales bloquean adjuntos de
tipo ejecutables
– Envío como ejecutables comprimidos (zip, rar),
salvapantallas (.scr), etc.
– Envío como PDFs dañinos, que atacan versiones
no actualizadas de Adobe
• Es uno de los más problemáticos ya que es díficil de
detectar: así atacaron a Google desde China.
– Es necesario “engañar” al usuario para que
confíe en el mensaje y lo ejecute.
dit
UPM

Correos Electrónicos maliciosos

dit
UPM
 Ejecución de malware
• Mediante enlaces web a archivos
descargables.
– Engaño necesario para que el usuario los
descargue y los ejecute
– Insertados en servidores web, anuncios, y
correos electrónicos

dit
UPM

Enlaces maliciosos

dit
UPM
 Revelación de secretos
• Usualmente por correo electrónico
– Solicitud directa de información confidencial
– Enlace a servidor web falso que solicita la
información confidencial (phising)
• Engaño al usuario:
– Es necesario hacerle creer que la solicitud es
legítima
– Uso de logos/apariencia de las páginas igual que
los reales
• Solicitan contraseñas / números de tarjetas
de crédito / etc…
dit
UPM

Revelación de secretos

dit
UPM
 Búsqueda de Información
• Metadatos en documentos online
• Información publicada en foros y grupos
• Actualizaciones de situación
– Foursquare
– Twitter
• CVs con datos personales accesibles
• Datos publicados en redes sociales:
– Facebook
– Tuenti
– Twitter
– Linkedin
• BOE
dit • Rastros de actividad en el uso de Internet
UPM

Amenazas Tecnológicas
• Provocados por estar una máquina conectada
– Acceso remoto no autorizado como usuario/administrador
– Acceso remoto no autorizado a recursos del sistema
– Negación de servicio
• Provocados por la actividad de un usuario en
Internet
– Acceso a recursos a través de aplicaciones clientes
– Acceso a información en tránsito

dit
UPM
 Acceso remoto no autorizado
• ¿Cómo puede alguien en Internet entrar en mis
sistemas? Igual que en mi casa:
– Por la puerta, si me roban o falsifican la llave
– Por las ventanas, rompiendo el cristal.
• Ventanas: servidores Internet.

E-mail FTP Telnet WWW NFS

TCP UDP
IP ICMP

Subred
dit
UPM

Acceso remoto no autorizado

• Ataque: acceso explotando vulnerabilidades del
software de servidores de red, sin pasar por
control de acceso lógico
• Pueden permitir:
– Acceso a terminal remoto como usuario o administrador
– Acceso a la CPU o ficheros del disco remoto.
• Vulnerabilidades del software:
– Buffer overflow
– Comprobación de argumentos inadecuada (numeric
overflow, etc...)
– Race conditions

dit
UPM
 Vulnerabilidades software
• Buffer Overflow. Funcionamiento:
– Forzar el desbordamiento de un buffer a la pila del
sistema
– Sobrescribir la dirección de retorno de una función a
otro sitio
– Cuando la función retorna, saltará a la nueva
dirección y puede ejecutar código malicioso
– Si se está ejecutando como administrador, el
atacante gana sus privilegios.
• Causa:
– Los límites de los buffer no son comprobados a
menudo en los programas

dit
UPM

Vulnerabilidades del software

• Numeric Overflow:
– Se proporcionan valores en rangos no esperados
– Muchos programas no comprueban si el valor está dentro
del rango adecuado
• Race Conditions:
– Deadlock Conditions:
• Múltiples copias del programa ejecutándose a la vez
• Acceden a los mismos ficheros que pueden ser modificados
maliciosamente
– Sequence Conditions:
• Un programa puede ser interrumpido entre dos operaciones
para ejecutar código malicioso.

dit
UPM
 Acceso remoto no autorizado
• Ejemplos famosos:
– 1988: Internet Worm. Fallo del servidor de
correo electrónico: permitía acceso como
administrador
– Fallos en servidores WWW: Red Code, etc...
• Defensa:
– Activar solo los servidores realmente necesarios
– Conocer las vulnerabilidades
– Actualización constante de los programas
utilizados en un ordenador
• Aun así, hay riesgo de tener fallos que no han sido
todavía corregidos con actualizaciones: 0-day
vulnerabilities
– Nuevas propuestas: DEP
dit
UPM
• Se basa en marcar las zonas de memoria que pueden
contener código ejecutable

Acceso remoto no autorizado

• Ataque: explotar configuraciones deficientes de

servidores de red.
• Ejemplos:
– Configuraciones de servicios rlogin, rsh, (ficheros .rhost
en UNIX)
– Configuraciones NFS (por defecto, los discos eran visibles
al resto del mundo)
– Configuraciones X-Windows (por defecto, tu pantalla era
pública)
• Defensa: corregir malas configuraciones
– Programas de auditoría de seguridad: NESSUS, TIGER,
COPS, BASTILLE-Linux, etc.

dit
UPM
 Acceso remoto no autorizado
• Ataque: fallos en implementación del protocolo:
Spoofing
• Usados para explotar confianzas entre maquinas.
• Ejemplo: ataque del número de secuencia de TCP.

X SYNx(NSx1) B A
SYNb(NSb1)
Adivino
SYNx(NSx2)
NSb3 SYNb(NSb2)

SYNa(NSa) SYNb(NSb3)
IP Spoofing
ACKa(NSb3)
de A
Comandos de ataque Respuestas

dit
UPM

Negación de Servicio
• Ataques que consiguen la interrupción de servicios
o incluso la caída de la maquina.
• Suelen utilizar deficiencias en los servidores.
• Ejemplos:
– Ping de la muerte: paquete ICMP con longitud mayor de
65535 bytes.
– NUKE: datos fuera de banda en conexión TCP permiten
desactivar la red en Microsoft Windows
• Otro método: BOMBING.
– Coordinación para realizar una petición masiva simultanea
de servicios a una maquina.
– Ejemplos: Mail-bombing, DDOS.

dit
UPM
 Deficiencias en
aplicaciones cliente
• Ataque: aprovechar deficiencias de aplicaciones de
cliente que utilizan la red para acceder a recursos
del sistema.
• Objetivo: introducir respuestas maliciosas a la
petición del usuario.
• Ejemplo: fallos de navegadores.
– Mediante paginas maliciosas, se permite el acceso a
ficheros del disco duro o a tu CPU.
– Muy fácil también para ataques de negación de servicio.
• Han sido famosos los fallos de Active/X.
• JAVA: más seguro pero también tiene fallos.
dit
UPM

Ataque a
información en transito

Interrupción Intercepción

Modificación Fabricación
dit
UPM
 Consecuencias de los ataques
• Acceso Remoto no autorizado:
– “Cracker romántico”: simplemente una notificación
• Creen que benefician a los usuarios
– Vandalismo: destrucción de información
– Instalación de malware
• Técnicas de Ingeniería Social:
– Instalación de malware
– Revelación de secretos
• Tipos de Malware:
– Virus
– Gusanos
– Caballos de Troya (Troyanos)
– Spyware
– Botnets (Redes de Zombies)
dit
UPM

Botnets
• Multitud de ordenadores infectados con un
malware de tipo troyano
• Cuando arrancan, notifican su presencia a
un ordenador central controlador
(Command Control)
• El controlador les dicta a los ordenadores
infectados sus tareas:
– Espionaje de la actividad del usuario
– Envío de spam, phishing
– Ataques DDOS
• Redes zombies: se alquilan, revenden.
dit
UPM
 Hacknomics: Economía del
hacking
• Venta de números de tarjeta de crédito
– Desde 2$ a 90$
• Datos bancarios
– Desde 80$ a 700$
– Uso de intermediarios (muleros)
• Alquiler para envío de spam
– Desde 15$
• Secuestro digital
– Se cifran ficheros importantes del ordenador y
se pide “rescate” por la clave de descifrado
• Etc., etc. etc.
dit
UPM