Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Seguridad Informática - Sesión 2 - Contexto

Contexto de la seguridad informática vista desde el punto de vista del software libre
by

Ricardo Naranjo

on 25 June 2017

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Seguridad Informática - Sesión 2 - Contexto

Seguridad Informática
Ing. Ricardo Naranjo Faccini, M.Sc.
gerencia@skinait.com
http://www.skinait.com

Incidentes - Políticas
Certificaciones - Libertad Vs Seguridad

Incidentes
Ingeniería Social
Relacionado con usuarios ignorantes, desprevenidos y pusilánimes que hacen pendejadas.
Incidentes
Extracción o extravío físico
Se refiere al hurto o pérdida de equipos (computadores, portátiles, discos duros externos, memory sticks)
¿Qué es más valioso? ¿más peligroso?
Hardware
Información
Todo tipo de ingreso y operación
No autorizado
Exitosos
Fallidos
Ejemplos:
Accesos no autorizados exitosos, sin perjuicios.
Robo de información.
Borrado de información.
Alteración de la información.
Intentos de acceso no autorizado
recurrentes
no recurrentes.
Abuso y/o Mal uso de los servicios informáticos internos o externos que requieren autenticación.
Incidentes
Incidentes
Acceso no autorizado
Incidentes
Malware (código malévolo)
Introducción de códigos maliciosos en la infraestructura tecnológica de la Entidad.
Ejemplos:
Virus informáticos
Troyanos
Gusanos informáticos
Incidentes
Denegación de servicio
Eventos que ocasionan pérdida o bloqueo de un servicio en particular.
Síntomas (Suceden sin razones aparentes):
Tiempos de respuesta muy bajos.
Servicio(s) interno(s) inaccesibles.
Servicio(s) Externo(s) inaccesibles.
Ransomware.
Incidentes
Escaneos, pruebas o chuzadas
Buscan obtener información de la infraestructura tecnológica
Intentan obtener información de la red o de un servidor en particular
Ejemplos:
Sniffers (software utilizado para capturar información que viaja por la red)
Detección de Vulnerabilidades
Incidentes
Mal uso de los recursos
Atentan contra los recursos tecnológicos por el mal uso.
Ejemplos:
Mal uso y/o Abuso de servicios informáticos internos o externos
Violación de las normas de acceso a Internet
Mal uso y/o Abuso del correo electrónico de la Entidad
Políticas
Responsables
http://portal.aerocivil.gov.co/portal/page/portal/Aerocivil_Portal_Intranet/seguridad_informatica/mejore_seguridad_informacion/
Socialización de las implicaciones de compartir la contraseña:
Contractuales
Civiles
Penales
Frecuencia de refresco
Diferencia con el historial
Contraseña segura
difícil de adivinar + fácil de recordar.
8 caracteres.
letras
números
caracteres especiales ($%&).
mayúsculas y minúsculas.
Sustituciones y agregaciones
A:4, E:3, I:1, O:0, S:$
Cuidado con ataques por diccionario
"GT65*&es" ¿Es segura?
Jun&0r_tu_p4p4!
Políticas
Seguridad física
Puestos de trabajo
Stress de escritorio
Ausencia
Bloqueo de pantalla
Screensaver con bloqueo
Apagar equipos
Monitoreo + Veeduría
Candados
Hardware
Documentos físicos
Dispositivos móviles
Almacenamiento
Procesamiento
Estaciones de trabajo
Servidores
Políticas
Políticas relacionadas con
la información
Almacenamiento y organización de la información
Tratamiento de información personal en equipos organizacionales
Utilizaciónes
Quién puede manipular hardware
Quién puede manipular software
Qué software puede utilizarse
libre
privativo
Servicios a través de internet
dropbox
google docs
Control de versiones y Administración de cambios
Acceso y disponibilidad de la información
Horarios de servicio
Canales de comunicación
Netiquette
Disposición de desechos
Información obsoleta
Dispositivos de almacenamiento
Copias duras
Evitar la burocratización
¿Cómo se ajusta a nuevas tecnologías?
http://portal.aerocivil.gov.co/portal/page/portal/Aerocivil_Portal_Intranet/seguridad_informatica/modelo_seguridad_informatica/politicas
Políticas
¿Certificación al software libre?
Primera certificación → abierta
IBM+SuSE → SLES 8/eServer xSeries
Common Criteria Evaluation Assurance Level 2+ (EAL2+) Julio 2003
Inusual
No está diseñado para SL
SLES8 EAL3+: 2003
SLES9 EAL4+: 2004
2011-2012: Evaluación de
SLES9 y SLES10-SP1
SUSE Linux Enterprise Server version 11 Service Pack 2
http://lwn.net/Articles/57995/
Certificación
http://doc.opensuse.org/products/draft/SLES-Hardening/SLES-hardening_draft/cha.setup_for_eal.intro.html
Evaluation Assurance Level
Elementos
Perfil de protección (Objetivos de seguridad)
Niveles alcanzados
Estándar generado por la NSA
¿Qué busca?
Diseño de alto nivel
Guías de seguridad
Objetivos de seguridad
Planes de pruebas
Reportes que certifiquen
Certificación
Niveles 1-7
La seguridad no es problema serio
Se brinda funcionalidad
Está protegido contra vulnerabilidades conocidas
EAL 1: Functionally Tested
Cooperación del desarrollador
Buenas prácticas comerciales
Nivel bajo a moderado
Sistemas históricos (legacy)
EAL2: Structurally Tested
Nivel Moderado
Máxima seguridad en etapa de diseño
No requiere reingeniería de procesos de desarrollo
EAL3: Methodically Tested and Checked
Máxima seguridad basada en buenas prácticas comerciales de desarrollo
No requiere conocimiento substancial de especialistas
Más alto nivel para una línea de producción alcanzable economicamente
Nivel moderado a alto
EAL4 is expected to be the highest level of assurance that a product can have if it has not been designed from the start to achieve a higher level of assurance.
Certificados EAL 4+:
AIX, HPUX, FreeBSD, Solaris
SLES9, SLES10, RedHat EL 6 y 5
Windows 2000 SP3, XP, 7, Windows Server 2008 R2
EAL4: Methodically Designed, Tested, and Reviewed
Prácticas de desarrollo comercial rigurosas
Diseñado y desarrollado para alcanzar EAL5
Tecnicas especializadas de desarrollo rigurosas
Alto nivel en un ambiente de desarrollo bien planeado
Certificados EAL 5+:
Tarjetas Inteligentes
Tenix Interactive Link
XTS-400 (general-purpose operating system)
LPAR on IBM System z is EAL5 Certified.
EAL5: Semiformally Designed and Tested
Altos niveles de aseguramiento de aplicación de:
tecnicas rigurosas de desarrollo
Técnicas de ingeniería para la seguridad
Certificados EAL6+:
Green Hills Software's INTEGRITY-178B RTOS.
EAL6: Semiformally Verified Design and Tested
Desarrollo en situaciones de riesgo extremo
El alto valor de lo protegido justifica los altos costos
Se enfoca en funcionalidades seguras y análisis formal
Certificaciones EAL 7+:
Tenix Interactive Link Data Diode Device
Fox Data Diode
Open Kernel Labs seL4 microkernel OS
Fox-IT "Fox Data Diode"
EAL7: Formally Verified Design and Tested
The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well-managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security.

Don't hook this to the internet, don't run email, don't install software unless you can 100% trust the developer, and if anybody who works for you turns out to be out to get you you are toast.

While CAPP is the "standard", it really does not provide requirements that would make a system secure from the biggest security threats that exist today. It seems somewhat unlikely that the cracker community is particularly well funded, but they certainly are hostile, clever, and persistent. Given the volume of exploits against the CAPP/EAL4 certified Windows 2000, it seems clear that certification is mostly a marketing bullet point to make purchasers more comfortable without actually providing a secure system.

Professor
Jonathan Shapiro
, Johns Hopkins University
Libertad Vs Seguridad
Chapas y candados
El conocimiento es público
Para abrir se requiere
una llave
un cerrajero
una segueta
un cepillo de dientes eléctrico y dos agujas
http://www.metacafe.com/watch/811061/picklock_with_toothbrush/
Catedral y bazaar
Libertad Vs Seguridad
Miles de ojos detectando vulnerabilidades

Miles de desarrolladores corrigiendo problemas
Libertad Vs. Seguridad
Implementar Seguridad Libre
Actualización permanente
Buenas políticas
Ventana de exposición
Políticas relacionadas con
la prevención y la protección
Políticas
Copias de respaldo
Frecuencia
Ubicación
Redundancia
Acuerdos de confidencialidad
Normatividad y mecanismos de control
Copyright
Plan de Auditorías
Servidores y Estaciones de trabajo
Lista de chequeo
Frecuencia
Reporte
EJEMPLO
"junior tu papa" ¿Es segura?
http://wsp.presidencia.gov.co/Normativa/Decretos/2011/Documents/Diciembre/26/dec491226122011.pdf
Violación de las Políticas, Normas y Procedimientos de Seguridad Informática reglamentadas mediante resolución No. 4912 de Diciembre 26 de 2000
Backdoors
http://www.fabio.com.ar/2806
¿Considera ud a Micro$oft como
un delincuente informático?
Easter Eggs
Huevos de Páscua
http://www.eltiempo.com/tecnosfera/novedades-tecnologia/historia-de-una-mujer-que-fue-hackeada-66604
http://www.eltiempo.com/mundo/eeuu-y-canada/julian-assange-dice-que-cia-perdio-control-de-su-arsenal-cibernetico-66006
Libertad Vs. Seguridad
Mitos seguridad libre
No hay virus para Linux porque se utiliza muy poco
Linux es invulnerable y no existen virus
Pero sistemas altamente apetecidos por los "crackers" son protegidos con Linux.
Linux tiene baja vulnerabilidad a Virus.
Si han existido, muy pocos, y mitigados rápidamente.
Existe "otro tipo" de malware que si ataca a Linux.
Cada servicio prestado agrega vulnerabilidades adicionales..
Un Linux mal administado es más nocivo que "otro" bien administrado
FUD
Full transcript