SeguridadSeguridad

¿Qué se debe cuidar?¿Qué se debe cuidar?

• Datos• Información• Datos técnicos / información técnica• Datos de prueba

Jerarquía de seguridadJerarquía de seguridad

Confidencial del

departamento

Confidencial de la empresa

Información pública

De misión crítica

FirewallsFirewalls

• Colección de componentes colocados entre dos redes, para controlar el tráfico de la red privada hacia Internet y viceversa

• Bloquea el tráfico no confiable y autoriza el aprobado

• Filtra paquetes de información• No protege de ataques de datos ejecutados

dentro de la misma red.

Control anti-virusControl anti-virus

Internet

EjemploEjemplo

Ruteador selectivo

Ruteador selectivo

Zona desmilitarizad

a Zona militarizada

¿De quién se debe cuidar?¿De quién se debe cuidar?

• Los hackers• Los crackers• Los scripters• Los keyloggers• Phishing• Cartas Nigerianas

HackersHackers

• Origen del término: Finales de los ’60• Programador con alto dominio de su profesión,

capaz de solucionar problemas a través de hacks (segmentos de código muy ingeniosos).

• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones.

• La búsqueda de conocimiento siempre fue su fuerza impulsora.

• Kevin Mitnick

CrackerCracker

• Persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.

• No necesariamente tiene el mismo nivel de conocimientos del hacker.

ScriptersScripters

• Gente con la capacidad de buscar un programa en la red y ejecutarlo.

• No hay una meta fija• Necesidad de pertenencia, aunque sea al

inframundo.• No hay preocupación por las consecuencias

reales de sus actos.• Se sienten muy “tesos”

KeyloggersKeyloggers

• Son piezas de software que se instalan en computadoras públicas y que almacenan los datos que un usuario escribe desde su teclado. Posteriormente los datos almacenados son enviados a un ladrón por Internet.

• Solución: Teclados virtuales.

PhishingPhishing

• Es un modelo de “pesca” electrónica, que se realiza vía correo electrónico. Se le comunica a los usuarios una supuesta validación de datos que está haciendo una entidad bancaria. Se le solicita al usuario visitar un sitio Web para re-ingresar los datos de logueo y estos son enviados a una base de datos de un delincuente.

Cartas nigerianasCartas nigerianas

• …I discovered an abandoned sum of$30million USD(THIRTYmillion US dollars)only , in an account that belongs to one of our foreign customers who died along with his entire family in a plane crash that took place in Kenya,East Africa,the Late DR. GEORGE BRUMLEY,a citizen of Atlanta,United States of America but naturalised in Burkinafaso,West Africa…

• http://www.cnn.com/2003/WORLD/africa/07/20/kenya.crash/index.html

• Texto original

Elementos de una transacción seguraElementos de una transacción segura

• Privacidad• Integridad• Autenticación• No repudio• Disponibilidad

PrivacidadPrivacidad

• Asurar que la información que se transmite por Internet no ha sido capturada o entregada a un tercero sin el consentimiento del remitente.

IntegridadIntegridad

• Asegurar que la información que se envía o recibe no ha sido alterada.

AutenticaciónAutenticación

• ¿Cómo se verifican las identidades del emisor de un mensaje o iniciador de una transacción y el destinatario?

No repudioNo repudio

• Probar que un mensaje o una transacción fue enviada o recibida, de manera que ninguno de los participantes en ella pueda argumentar que no la hizo.

DisponibilidadDisponibilidad

• Garantizar que la red a través de la cual se hace la transacción está operando continuamente, para que se pueda realizar la transacción.

Seguridad en InternetSeguridad en Internet

• Ha sido muy mal posicionada• Es un medio seguro si cumple con ciertos

requisitos• Es más inseguro movilizar el dinero físicamente• Quiénes son los ladrones?• Encriptación • Certificados digitales

CriptografíaCriptografía

• Es construir códigos secretos• Son las técnicas utilizadas para alterar los

símbolos de información, sin alterar el contenido, de tal forma que sólo quien conoce las técnicas utilizadas pueda acceder al contenido real.

CriptografíaCriptografía

• Se han desarrollado técnicas desde la antigüedad.

• Hoy se utilizan diferentes algoritmos para encriptar / desencriptar la información.

Procedimientos clásicos de encripciónProcedimientos clásicos de encripción

• Sustitución:– Se definen correspondencias entre las letras

del alfabeto en que está escrito el mensaje y otro conjunto que puede ser o no del mismo alfabeto. (murciélago, aurelio, etc.)

• Transposición:– “barajar” los símbolos del mensaje original,

colocándolos en un orden diferente que los hace incomprensibles.

Ejemplo de SustituciónEjemplo de Sustitución

– CUÁNDO SERÁ ESE CUANDO,– ESA DICHOSA MAÑANA– QUE NOS LLEVEN A LOS DOS– EL DESAYUNO A LA CAMA

• MURCIELAGO =12345678910– 428ND 10 S638 6S6 428ND 10,– 6S8 D54H 10S8 18Ñ8N8– Q26 N 10S 776V6N 8 7 10S D 10S– 67 D6S8Y2N 10 8 78 4818

LEET = 1337LEET = 1337

Ejemplo de transposiciónEjemplo de transposición

• La escítala lacedemonia• Dos varas idénticas, alrededor de una de

ellas se envolvía un pergamino• El mensaje se escribía a lo largo del

bastón, se retiraba la cinta y se enviaba.• El destinatario tenía la segunda vara• La cinta por sí sola, no era más que una

sucesión de símbolos del alfabeto griego, ordenados de manera ininteligible.

• Encrypting• Suppose the rod allows one to write 4 letters around it in one circle

and 5 letters down the side. Clear text: "Help me I am under attack" To encrypt one simply writes across the leather...

_______________________________________________________| | H | E | L | P | M | |__| E | I | A | M | U |_ | N | D | E | R | A | | | T | T | A | C | K | |_______________________________________________________so the cipher text becomes, "HENTEIDTLAEAPMRCMUAK" after

unwinding.

Fuente: www.answers.com/topic/scytale

Métodos criptográficosMétodos criptográficos

• Simétricos– Llave encriptado coincide con la de

descifrado– La llave tiene que permanecer secreta– Emisor y receptor se han puesto de

acuerdo previamente o existe un centro de distribución de las llaves.

Métodos criptográficosMétodos criptográficos

• Asimétrico– Llave de encriptado es diferente a la de

decriptado.– Llave encriptado es conocida por el

público, mientras que la de decriptado sólo por el usuario

Llaves públicas / privadasLlaves públicas / privadas

Fuente: Internet and the World Wide Web how to program. Deitel, Deitel y Nieto

Protocolo SeguroProtocolo Seguro

• SSL (Secure Socket Layer)– Servidores certificados– Sesiones seguras– Información encriptada al salir del cliente– El servidor desencripta la información– El cliente no se tiene que certificar– Utiliza claves para autenticarse– HTTPS://

Cómo funciona?Cómo funciona?

Hablemos de manera segura. Acá están los protocolos y criptogramas que manejo

Escojo este protocolo y criptograma. Acá va mi llave pública, un certificado digital y

un número random.

Usando tu llave pública encripté una llave simétrica aleatoria

Comunicación encriptada con la llave enviada por el cliente y una función hash

para autenticación de mensajes.

¿Cómo se identifica?¿Cómo se identifica?

• HttpS://• Candado• Verisign• Información de Sitio

seguro• “La confianza se

gana”