Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Desborde
Resumen Desborde
Contexto de Seguridad
Valor Dueos imponen Contramedidas pueden ser reducidas por puede ser conciente de para reducir pueden contener Vulnerabilidades conducen a que explotan Agentes de Amenazas aumenta las que incrementan Amenazas a Riesgos a Activos Deseo de Minimizar
Cert establece que Buffer Overflow en el 2002 an es la Qualys establece en las ltimas 10 vulnerabilidades, 4 a SecureSoftware menciona en primer lugar al Buffer Ov Secunia detalla entre el 14 y el 17 de octubre 9/25 nuev
Contexto de Seguridad
Vulnerabilidades
Debilidad de un sistema o producto Propias de los sistemas operativos Errores de programacin no intencionales Errores de programacin intencionales Falta de conciencia y/o conocimiento de la seguridad
Anlisis de Seguridad
100 90 80 70 60 50 40 30 20 10 0
Negacin de Servicio Laptop Wiretapping Fraude de Telecomunicaciones Acceso no autorizado interno Virus Fraude Financiero Abuso Interno de Acceso a la Red Penetracin de Sistemas Eavesdroping de Telecomunicaciones Sabotage
Robo de informacin
ITSEC 1991
Criterio de Certificacin
ICSA
Criterio Genrico Inicio de Proceso Testeo Proceso de Certificacin
Criterio de Evaluacin - CC
Common Criteria
Acreditados Representantes Evaluadores
Desarrolladores
Criterio de Evaluacin - CC
TOE
Evaluacin de Seguridad en Sistemas Computacionales
Criterio de Evaluacin - CC
El no tener en cuenta algunos aspectos en el proceso de desarrollo puede generar vulnerabilidades (Buffer Overflows). Perfiles de Proteccin Objetivos de Seguridad Objetivo de Evaluacin
Evaluacin de Seguridad en Sistemas Computacionales
Criterio de Evaluacin - CC
Evaluar PP Resultados de Evaluacin del PP Catalogar PP PP Evaluado
Evaluar ST
Evaluar TOE
Catalogar Certificado
TOE Evaluado
Criterio de Evaluacin - CC
EAL1 Funcionalmente testeado EAL2 Estructuralmente testeado EAL3 Metdicamente testeado y chequeado EAL4 Metdicamente diseado, testeado y revisado EAL5 Semiformalmente diseado y testeado EAL6 Semiformalmente verificado, diseado y testeado EAL7 Formalmente verificado, diseado y testeado
Objetivo de Seguridad Reporte Tcnico de Evaluacin Resultado de Conformidad Patrocinador Desarrolladores Evaluadores Validadotes
Conclusiones
Generar conciencia de la existencia de vulnerabilidades y la necesidad de la seguridad Explotar una vulnerabilidad requiere conocimientos y no es una tarea sencilla Necesidad de formalizar los conceptos de seguridad Proactividad medida vs reactividad a medida Unificacin de Criterios Requerimientos para el correcto entendimiento de una evaluacin Verificacin de la utilidad del CC referido a W2K Recomendamos el uso del CC
Evaluacin de Seguridad en Sistemas Computacionales
Buffer Overflow
Buffer Overflow
Buffer Overflow
Buffer Overflow
TCSEC
D Proteccin mnima C1 Proteccin de seguridad discreta C2 Proteccin de acceso controlado B1 Proteccin de seguridad etiquetada B2 Proteccin estructurada B3 Seguridad de dominios A1 Diseo verificado
Evaluacin de Seguridad en Sistemas Computacionales
ITSEC
E0 Compromiso Inadecuado E1 Arquitectura informal, testeo funcional E2 E1+ Diseo informal, testeo y controles interno E3 E2 + Inspeccin de cdigo fuente E4 E3 + Modelo formal E5 E4 + Modelo formal y fuente acoplados E6 E5 + Especificacin formal de lo anterior
Criterio de Evaluacin - CC
Perfiles de Proteccin
Introduccin del PP
Identificacin del PP Visin general del PP
Descripcin el TOE Ambiente de Seguridad del TOE Objetivos de Seguridad Requerimientos de Seguridad de TI
Asunciones Amenazas Polticas de Seguridad Organizacional Objetivos de Seguridad para el TOE Objetivos de Seguridad para el Ambiente
Requerimientos Funcionales de Seguridad del TOE Requerimientos de Compromiso de Seguridad del TOE
Razn
Criterio de Evaluacin - CC
Objetivo de Seguridad
Introduccin del ST Descripcin el TOE Ambiente de Seguridad del TOE Objetivos de Seguridad Requerimientos de Seguridad de TI
Asunciones Amenazas Polticas de Seguridad Organizacional Objetivos de Seguridad para el TOE Objetivos de Seguridad para el Ambiente Identificacin del ST Visin general del ST Conformidad del CC
Requerimientos Funcionales de Seguridad del TOE Requerimientos de Compromiso de Seguridad del TOE
Funciones de Seguridad para el TOE Medidas de compromiso Referencias al PP Ajustes al PP Adicionales al PP Razn de objetivos de Seguridad Razn de requerimientos de Seguridad Razn de especificacin del TOE Razn de reclamos de PP
Razn
Criterio de Evaluacin - CC
Familia Funcional Clase Funcional Nombre de Clase Nombre de Familia Comportamiento de la Familia Nivelacin de componentes Administracin Auditoria Componentes
Componente Identificacin del Componente Elementos Funcionales Dependencias Evaluacin de Seguridad en Sistemas Computacionales