Seguridad en aplicaciones y S.O.

Diplomado Seguridad informática

Mg. Andrés Alberto Gómez Acosta
Mg. Andrés Alberto Gómez Acosta
E-mail: andresgomezacosta@gmail.com
andresgomez1703@correo.itm.edu.co
Cel/Whatsapp: 300 6201078
 Sesión 1: Seguridad en aplicaciones y S.O.
1. Presentación de los participantes
2. Presentacion del Docente
3. Temática del curso

Agenda
Mg. Andrés Alberto Gómez Acosta
 FORMACIÓN ACADÉMICA
Ingeniero de Sistemas
Especialista en Gerencia de información
Candidato a Magister en Gestión de la Información y el Conocimiento

Especialista en Seguridad Informática

Magíster en Tecnologías de la Información y la Comunicación
 CERTIFICACIONES

Auditor líder 27001:2013

ABCP Auditor Interno 27001:2005

EXPERIENCIA LABORAL
EXPERIENCIA COMO DOCENTE
Transformación digital
 Debemos reinventarno… ser prevenidos

No porque detrás venga gente...

Sino porque ya hay mucha gente delante de

nosotros.

¿Cuánto es el tiempo promedio en atacar

una APT?
• Integridad: Busca garantizar la
exactitud de los datos
transportados o almacenados,
asegurando que no se ha
producido su alteración, pérdida o
destrucción, ya sea de forma
accidental o intencionada, por
errores de software o hardware o
por condiciones
medioambientales.
Disponibilidad: Es la
capacidad que tiene un
servicio, sistema o
information, a ser
accesible y utilizable por
los usuarios o procesos
autorizados cuando estos
lo requieran.
 ¿Y entonces?

¿Qué debe cumplir un sistema para ser

seguro?
 ¿Qué debe cumplir un
sistema para ser seguro?
Un sistema
informático Autenticidad
para ser
seguro No repudio
debería Integridad
garantizar Confidencialidad
los
Disponibilidad
siguientes
criterios:
 No repudio

• El no repudio es un servicio de seguridad que permite«probar»laejecución

deun proceso ( transacción, comunicaciones,etc.)
• Ejemplos:
– No repudio en origen: El emisor no puede negar que envío
porque el destinatario tiene pruebas del envío.
– No repudio en destino: El receptor no puede negar que
recibió el mensaje porque el emisor tiene pruebas de la
recepción.
 Si crees que la tecnología puede
solventar tus problemas de
seguridad, entonces no entiendes
los problemas y no entiendes de
tecnología.

Bruce Schneier
 Las empresas invierten millones en firewalls, cifrado y
dispositivos para acceder de forma segura, y es dinero
malgastado, porque ninguna de estas medidas corrige el
nexo más débil de la cadena.

Kevin Mitnick
La seguridad no es un producto, es un proceso

Bruce Schneier
 Atributos o Dimensiones
Atributos o Dimensiones: Las dimensiones de un activo tienen
que ver con las características de la información que se deben
precisar o valorar, los tres comunesson:

 Confidencialidad: y debe resolver a la inquietud ¿qué daño

causaría que la información asociada a este activo lo
conociera quien nodebe?
 Integridad: este debe resolver la inquietud, que perjuicios
causaría que estuviese dañado o corrupto el activo.
 Disponibilidad: por último, ¿Qué perjuicios causaría no
tenerlo o no poderutilizarlo?
Principios de
Criptografía
 Contenido
¿Qué es?
Un poco de historia
Criptografía simétrica
Criptografía asimétrica
Certificados digitales
Uso de certificados digitales
Criptografía. ¿Qué es?
Criptografía… ¿No es?
E8a5451c034cd94b751c7283e5f8645b143f3c6d
83919c7daaa62ac1a20b9d010a66035023c04de2bb
Instalar steghide
apt-get install steghide
Comandos steghide
steghide
Comandos steghide
steghide
Ocultar archive en imagen
steghide embed -ef (pathfile) -cf (pathfile)

Calcular HASH
Sha1sum imagen.jpeg
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Para poder utilizar este programa, escribiremos gpg

en la consola. Podemos obtener ayuda con el
comando man gpg. En la ayuda podemos obtener
todas las opciones que debemos utilizar para realizar
las diferentes tareas con gpg.
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Para cifrar simétricamente un documento utilizamos

la opción -c. Su invocación es como sigue:

$ gpg -c documento_que_cifrar CIFRADO SIMETRICO

El programa gpg nos solicitará una contraseña con la
que él cifrará el documento. Hecho esto, nos creará
un documento cifrado con extensión .gpg que
podemos enviar a un destinatario, éste podrá
descifrarlo simplemente invocando:

$ gpg documento_cifrado.gpg
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Los algoritmos de cifrado asimétrico utilizan dos

claves para el cifrado y descifrado de mensajes. Cada
persona involucrada (receptor y emisor) debe
disponer, por tanto, de una pareja de claves pública CIFRADO ASIMETRICO
y privada. Para generar nuestra pareja de claves con
gpg utilizamos la opción --gen-key:

$ gpg --gen-key

Tras ejecutar gpg con esta opción, empieza un

proceso interactivo que va preguntando al usuario,
que debe decidir entre una serie de opciones.
Iremos explicando este proceso paso a paso.
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Para enviar archivos cifrados a otras personas,

necesitamos disponer de sus claves públicas. De la
misma manera, si queremos que cierta persona
pueda enviarnos datos cifrados, ésta necesita CIFRADO ASIMETRICO
conocer nuestra clave pública. Para ello, podemos
hacérsela llegar por email por ejemplo. Si queremos
ver cómo es nuestra clave pública utilizaremos el
siguiente comando:
$ gpg -a --export key_id

donde key_id es el ID de la clave que queremos

visualizar:
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Para enviar archivos cifrados a otras personas,

necesitamos disponer de sus claves públicas. De la
misma manera, si queremos que cierta persona
pueda enviarnos datos cifrados, ésta necesita CIFRADO ASIMETRICO
conocer nuestra clave pública. Para ello, podemos
hacérsela llegar por email por ejemplo. Si queremos
ver cómo es nuestra clave pública utilizaremos el
siguiente comando:
$ gpg -a --export key_id

donde key_id es el ID de la clave que queremos

visualizar:
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

El comando anterior muestra en pantalla nuestra clave pública en formato

ASCII, si queremos exportar la clave directamente a un archivo, utilizamos
alguno de los comandos siguientes:

$ gpg -a --export -o miclave.asc key_id

$ gpg -a --export --output miclave.asc key_id
$ gpg -a --export key_id > miclave.asc CIFRADO ASIMETRICO
donde miclave.asc es el nombre del archivo en el que se guardará la clave.
Cuando recibamos una clave pública de otra persona, ésta deberemos
incluirla en nuestro keyring o anillo de claves, que es el lugar donde se
almacenan todas las claves públicas de las que disponemos. Para incluir
estas claves públicas de otras personas, lo haremos de la siguiente forma:
$ gpg --import clavepublica.asc

donde clavepublica.asc es el nombre del archivo recibido con la clave

pública.
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Cifrado asimétrico con claves públicas Tras realizar el ejercicio anterior,

podemos enviar ya documentos cifrados utilizando la Instalación y
mantenimiento de servicios de redes locales Explotación de Sistemas
Informáticos IES Murgi 2006-2007 clave pública de los destinatarios del
mensaje. Por ejemplo, si queremos enviar un archivo cifrado a Paco y
Pepe, escribiríamos lo siguiente:
CIFRADO ASIMETRICO
$ gpg -a -r Paco -r Pepe --encrypt

documento La orden anterior crearía el archivo document.asc, que es el

que enviaríamos por correo a los destinatarios. Posteriormente, estos
destinatarios tras recibir el archivo cifrado, podrán descifrarlo puesto que
ha sido cifrado con su clave publica, y ellos dispondrán de la clave privada
para poder descifrarlo. Con la orden siguiente podrán descifrar el archivo:

$ gpg documento.asc
 CIFRADO SIMETRICO Y ASIMETRICO CON GPG

Firma digital de un documento Con la firma de un documento, nos

aseguramos de que los destinatarios de éste, no tengan duda de que el
autor del mensaje es quien dice ser (autenticidad), y de que el documento
no ha sido modificado por nadie (integridad). Para firmar un documento lo
haremos de la siguiente forma:

$ gpg -sb -a documentoafirmar CIFRADO ASIMETRICO

El programa nos pedirá la contraseña de nuestra clave privada puesto que
ésta es necesaria para firmar el documento, y el resultado será un archivo
documentoafirmar.asc que contiene la firma digital. Para verificar que la
firma es correcta, debemos poseer tanto el documento original como el
archivo de firma, y bastará con ejecutar gpg sobre el archivo de firma:

$ gpg documentoafirmar.asc
¿Qué es Google Hacking?

Google hacking, es una de estas técnicas que

aprovecha los comandos de Google para
encontrar información indexada en el
buscador, con lo cual puedes encontrar desde
listas de emails, contraseñas de servidores;
cámaras ip; archivos de todo tipo;
información personal y mucho más
 ¿Qué es Google Hacking?

• ” ” (comillas): muestra resultados que

contengan la frase exacta.
• and or not: operadores lógicos “y” o “no”.
• + y -: incluir y excluir alguna palabra
respectivamente, se utiliza delante de la palabra, ej:
perro negro –blanco, le dices que muestre todas las
coincidencias con perro negro e ignore la palabra
blanco.
• * (asterisco): funciona como comodín, de
una sola palabra.
• . (punto): se puede utilizar como comodín
de una o varias palabras.
• intitle o allintitle: muestra resultados que
contengan la palabra en el título.
¿Qué es Google Hacking?

• inurl o allinurl: muestra resultados

que contengan la palabra en la url.
• site: muestra resultados de un sitio,
ej: site:Wikipedia.org.
• filetype: sirve para buscar archivos
poniendo la extensión (doc, xls, txt…)
• link: muestra los enlaces a una
página.
• inanchor: muestra resultados que
contengan la palabra clave buscada en el
texto ancla del enlace.
• cache: muestra el resultado en la
cache de Google de una página web.
• related: busca webs relacionadas
con una determinada.
¿Qué se puede encontrar usando Google hacking?

Cámaras de seguridad:

camera linksys inurl: main.cgi

inurl: ”ViewerFrame?Mode=”
“active webcam page” inurl: 8080
intitle:”toshiba network camera – User Login”
intitle:”ivista main page”
intitle:”i-catcher console” “please visit”
Gestión de vulnerabilidades Técnicas
Introducción
– Definiciones
– Identificación de problemática Agenda
• Gestión devulnerabilidades
• Bibliografía yreferencias
 Definiciones
• Vulnerabilidad: error de software que usa
un intruso para ganar acceso a un sistema
de información de forma manual o
mediante el uso de exploits.
• Exploit: programa informático malicioso
que aprovecha una vulnerabilidad para
realizar acciones no autorizadas por el
usurious.
• Intruso: individuo que intenta
aprovechar una vulnerabilidad para
benéfico propio o daño ajeno.
 Problemática
• Existen grupos de personas y organizaciones que
encuentran vulnerabilidades en S.O y Aplicaciones.

• La publicación de las vulnerabilidades expone los

sistemas afectados y las organizaciones.

• Exploits e intrusos que aprovechan las existencia de

las Vulnerabilidades.

• Vulnerabilidades de día 0

• Se estima que por cada 1000 líneas de código

existen entre 5 y 20 fallas
 1. CVE
Publicaciones 2. NIST
sobre 3. SANS
4. CERT
Vulnerabilidades
5. Fabricantes Ej: “Patch
Tuesday”
 A qué se expone por NO gestionar
vulnerabilidades
• Ingresos no autorizados a la
infraestructura de red y los sistemas
de información.
• Acceso y divulgación de información
privilegiada.
• Violación de privacidad, legislación o
regulaciones
• Incumplimiento de estándares.
• Detención o entorpecimiento de la
operación.
 A qué se deben las
vulnerabilidades
• Fallas de software
• Fallas de configuración
• Configuraciones por defecto
• Errores humanos
• Desbordamiento de Buffer
• Cross Site Scripting.
Algunos tipos
ataques que
• Inyección SQL
aprovechan
• Denegación de Servicio vulnerabilidades
(DoS) (DDoS).
• Altas: Un atacante puede ganar acceso
privilegiado (Root, Administrador)
remotamente.

• Medias: Un atacante puede ganar acceso

No−privilegiado (User) remotamente.
• Bajas: Permiten revelación de información
para elaborar ataques de mas riesgo.

• Informativas: Revelan información menos

valiosa que las Bajas, en muchos casos son
inherentes al funcionamiento de la red.
 ¿Qué
acciones se
suelen
tomar ante
un
incidente?
 GESTION DE VULNERABILIDADES

• Es diferente de detección de
vulnerabilidades
• Es diferente de Ethical Hacking
• Es una de las medidas básicas de
seguridad
• Implica la detección, remoción y
control del riesgo generado por las
vulnerabilidades mediante el uso de
herramientas y workflows que
ayudan a minimizar los riesgos de
explotación
 GESTION DE VULNERABILIDADES

• Alinearse con la gestión de riesgo de la organización Objetivos base de GV

• Ir más allá de un Ethical hacking o una prueba de
vulnerabilidades
• Identificar y corregir fallas de software o configuraciones
• Verificar que los correctivos no afecten funcionalidad yƒo
rendimiento de los sistemas
• Identificar amenazas
• Identificar falencias que no pueden ser corregidas y ofrecer
alternativas para la minimización del riesgo
• Identificar e implementar las mejores alternativas para
remediar las vulnerabilidades
• Permitir documentar y seguir las labores de remediación
• Permitir verificar el estado de seguridad para labores de
auditoria y cumplimiento
 GESTION DE VULNERABILIDADES

Elementos básicos

• Políticas
• Inventario
• Priorización
Búsqueda de vulnerabilidades
• Identificación deamenazas
• Métricas deriesgo
• Remediación
• Revisión deimpacto
• Cumplimiento depolíticas
 GESTION DE VULNERABILIDADES

GV Políticas de Seguridad

• Deben estar alineados porque GV busca de

manera sistemática encontrar y remediar
vulnerabilidades.
• Esto implica el uso de tecnología pero
asociada a la organización y sus procesos
• Las políticas determinan la naturaleza de los
controles
• Las políticas y controles se aplican sobre cada
uno de los activos
• Las políticas ayudan a la priorización
 GESTION DE VULNERABILIDADES

GV Políticas de Seguridad

• Activos
– Que activos serán incluidos en la GV
– Ancho de banda disponible
– Segmentos de red dónde están ubicados
los activos
– Cómo llegar a revisar los activos incluidos
– Cuándo es conveniente efectuar revisiones
• Servicios
– Identificar y proveer el mínimo suficiente
 GESTION DE VULNERABILIDADES

Priorización

• Clasificación deactivos
• Clasificaciónde información
• Por unidadesde negocio
• Porprocesos productivos
• Por uso
 GESTION DE VULNERABILIDADES
Búsqueda de Vulnerablidades

• Por severidad
• Por sistemasoperativos
 GESTION DE VULNERABILIDADES
Búsqueda de Amenzas

• Cuáles son las amenazas

más relevantes para la
organizaciónen función de:
– Aplicativos y su
criticidad
– Los servicios ofrecidos
por los activos
– Uso
– Unidades de negocio
– Criticidad de los activos
 GESTION DE VULNERABILIDADES
Remediación
• NO se reduce a aplicar parches
• Pruebas
– Algunas de las medidas pueden
impactar el ambiente productivo
– Falsos positivos
– Quién, cómo, cuándo, por
dónde empezar
– Comprobar que efectivamente
se remedió
– La mejor solución viable
– Ofrecer alternativas a lo
”irremediable”
 GESTION DE VULNERABILIDADES
Revisión por Impacto

• Por área de negocio

• Por gestión efectuada
• La curva de aprendizaje puede
ser larga y dolorosa, evalúe si
puede abreviarla utilizando
servicios expertos”
 GESTION DE VULNERABILIDADES
Cumplimiento de Polítas

• ISO27001
• SOX
• HIPAA
• Sarbanes−Oxley
• FISMA
• PCI
• COBIT
• ITIL
 GESTION DE VULNERABILIDADES
Buenas prácticas en GV

• Descubra susactivos
• Clasifíquelos
• Revise todos los
segmentos de red
• Efectúe revisiones constantes y
detalladas
• Revise los reportes técnicos y
gerenciales
• Priorice, ejecute de manera
continua las medidas de
remediación
 GESTION DE VULNERABILIDADES
¿Porqué GV?

1. Permite reducir el riesgo de exposición de la organización debido al uso de tecnología

2. Ayuda a reducir los ataques exitosos contra la organización.
3. Identifica y colabora en remediar fallas de software que afecten laseguridad.
4. Busca complementar las herramientas de seguridad implementadas Antivirus, Firewall,
IPSƒIDS o VPN.
5. Permite mejorar el cumplimiento con NormasƒPoliticas.
6. Refuerza la postura de seguridad de la información
7. En 1000 activos de una infraestructura bien gestionada es fácil encontrar 500000
vulnerabilidades
8. El centro de coordinación del CERT (CC)3 (http://www.cert.org) estima que el 95% de todas
las intrusiones de red podrían ser evitadas manteniendo al día los sistemas en parches e
implantando las mejores prácticas de seguridad provistas por los fabricantes
 GESTION DE VULNERABILIDADES
BIBLIOGRAFIA

• http:ƒƒwww.cert.org
• NIST: Creating a Patch and Vulnerability Management Program,
http:ƒƒcsrc.nist.govƒpublicationsƒnistpubsƒ800−40−Ver2ƒSP800−40v2.pdf
• http:ƒƒwww.ocio.usda.gov: USDA Vulnerability ScanProcedures
• Curing the Patch Management Headache: Felicia M Nicastro
• Integrated Risk and Vulnerability Management Assisted by Decision Support Systems: Relevance
and Impact on Governance (Topics in Safety, Risk, Reliability and Quality) : Adrian V.Gheorghe
Mg. Andrés Alberto Gómez Acosta
E-mail: andresgomezacosta@gmail.com
andresgomez1703@correo.itm.edu.co
Cel/Whatsapp: 300 6201078