tema 2 necesidad de la seguridad
TRANSCRIPT
Stuxnet demostró1. Existen “organizaciones” que crean programas
malignos para objetivos personalizados con fines de espionaje , sabotaje, robo,…
2. La inversión en RH y conocimiento parece muy grande para limitarla a 1 solo programa maligno.
3. Poseen los recursos para construir programas malignos muy complejos.
4. Se pueden obtener y explotar vulnerabilidades no publicadas.
5. El costo de un ”desarrollo” similar es MUY ALTO y pocos podrían pagarlo.Seguridad de redes TCP-IP. Dr. Juan Pedro
Febles
La segunda, un mayor éxito: 359 mil PCs en menos de 14 horas, 2000 PCs por minuto en el momento pico de propagación. El 44% de las PCs afectadas fueron de los E.U, 10% de Corea del Sur, 5% de China y 4% Taiwán. Por dominios: 19% .NET, 14% .COM, 2% EDU.
contra el sitio www1.whitehouse.gov. Quedaron residentes en memoria.
Afectaron Servidores con el Servicio “Internet Information Services” (IIS) de Microsoft, explotando una vulnerabilidad de las extensiones ISAPI, reportada 26 días antes. (DOS)
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Vulnerabilidades .
www.cert.org
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles
Internet
• Internet permite conectarnos a millones de hosts en el mundo pero también les permite a ellos conectarse a nosotros.
• La información que está guardada electrónicamente, y es accesible desde la red, es más vulnerable que aquella que descansa en un archivo.
• Los intrusos de la red no necesitan estar cerca de la información, ni siquiera conocer donde se encuentra, geográficamente hablando.
• Los intrusos pueden ser usuarios de nuestra red o no. Las vulnerabilidades son usadas indistintamente por usuarios internos o externos.
Internet
Actualidad
• Adopción rápida y masiva de la tecnología de redes y computadoras.
• Utilización creciente del comercio electrónico.
• Miles de vulnerabilidades en la tecnología.
• Ausencia de conocimientos sobre la seguridad de la información.
• Ausencia de herramientas legales.
55.3
44.7
0
10
20
30
40
50
60
Servidores: S. O.
WindowsOtros
MERCADO MUNDIAL DE SISTEMAS OPERATIVOS1
LA HORA DE LA GESTIÓN
Participación en Mercados globales
Competencia en bloques económicos
Preocupaciones por el Medio Ambiente
Reducción de tiempos de ciclos
y costos
Aprovechar relaciones de
negocios
Cambios estructurales del sector
Cambios tecnológicos
Economía del conocimiento e información
Clientes mas informados
Imperativos en los negocios, siglo XXIImperativos en los negocios, siglo XXI
Introducción• Empresas y organizaciones dependen de la tecnología
• Información almacenada y transmitida en formato digital
• Redes interconectadas y constante acceso a Internet
• Necesidad evidente de gestionar la Seguridad Informática
• Empresas y organizaciones dependen de la tecnología
• Información almacenada y transmitida en formato digital
• Redes interconectadas y constante acceso a Internet
Necesidad evidente de gestionar la Seguridad Informática
Gestión de la seguridad informática
• Confidencialidad + Integridad + Disponibilidad
• Estándar internacional ISO/IEC 27001
• 133 controles de seguridad– Medios técnicos, humanos y organizativos
• Tecnología + personas + procedimientos
• Administradores inexpertos
– Aplicaciones superfluas
– Software no actualizado
VULNERABILIDADES EXTRÍNSECAS
LA HORA DE LA GESTIÓN
CICLO DE EXPLOTACIÓN DE UNA VULNERABILIDAD
Atacantesexpertos
descubren lavulnerabilidd
Creación de herramientasburdas de explotación
de la vulnerabilidad
Atacantes aficionadosutilizan las herramientas
Creación de herramientasautomáticas de detecciónde la vulnerabilidad
Uso generalizado de las herramientasautomatizadas
Utilización de nuevostipos de Exploits
LA HORA DE LA GESTIÓN
Estimado cliente,
Hoy Microsoft tuvo conocimiento de la disponibilidad de código en Internet que tiene como objetivo aprovechar las vulnerabilidades publicadas en el boletín de seguridad del pasado 13 de Abril. Probablemente, usted o alguien de su compañía recibiera dicho boletín, en el que se anunciaban las actualizaciones de seguridad.
Como cliente, nos ponemos nuevamente en contacto con usted para asegurarnos de que cuenta con la información y con los recursos necesarios para afrontar cualquier incidencia de seguridad que pudiera surgir. Si usted todavía está evaluando estas actualizaciones, le recomendamos que acelere dicho proceso de análisis y las instale demanera inmediata. (23 de Abril de 2004)
ACTUALIZACIÓN DEL SOFTWARE
LA HORA DE LA GESTIÓN
• Administradores inexpertos
– Software no actualizado
– Aplicaciones superfluas
• Carencia de formación
– Autenticaciones deficientes
VULNERABILIDADES EXTRÍNSECAS
LA HORA DE LA GESTIÓN
• CERT (Computer Emergency Response Team) (www.cert.org)
• ISC (Internet Systems Consortium )
• Kriptolis (www.kriptopolis.com)
• Hispasec (www.hispasec.com)
Estadísticas
Usuarios en la red
North America 212,625,000 222,882,250 234,422,143 244,682,327 256,154,022
Central/South America 25,603,581 32,653,405 43,793,278 59,450,160 80,780,979
Europe 163,532,970 195,513,220 224,840,203 240,579,018 257,419,549
Middle East/Africa 9,235,050 10,707,998 11,571,220 12,535,406 13,616,264
Asia/Pacific 151,284,715 203,625,480 238,007,338 273,034,857 313,433,527
Total Worldwide 562,281,316 665,382,353 752,634,182 830,281,767 921,404,341
2002 2003 2004 2005 2006
Fuente: Internet Software Consortium (http://www.isoc.org/)
Vulnerabilidades Reportadas
Total de vulnerabilidades reportadas (1995-2003): 12,946
1995-1999
Year 1995 1996 1997 1998 1999
Vulnerabilities 171 345 311 262 417
2000-2003
Year 2000 2001 2002 2003
Vulnerabilities 1,090 2,437 4,129 3,784
Incidentes reportados al CERT/CC1988-1989
Year 1988 1989
Incidents 6 132
1990-1999
Year 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999
Incidents 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
2000-2003
Year 2000 2001 2002 2003
Incidents 21,756 52,658 82,094 137,529
Total incidents reported (1988-2003): 319,992
Incidencias y Vulnerabilidades (CERT)
0
20000
40000
60000
80000
10000019
88
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Años
Incidencias Vulnerabilidades
Seguridad de la informaciónSeguridad de la información
La confidencialidad requiere que la información sea accesible únicamente por las entidades, sistemas o personas autorizadas.
La información puede ser modificada por intrusos. En este caso se está en presencia de una violación de la integridad de la información.
Pudiera suceder que la información sea borrada o quede inaccesible para sus usuarios. Entonces ocurre un problema de disponibilidad.
Control de usuariosControl de usuarios
• La autenticación se encarga de probar que cada usuario es quien dice ser.
• Los sistemas se hacen mucho más seguros si esa autenticación no puede ser refutada después. Esto se conoce como no repudio de la identidad.
Control de usuariosControl de usuarios
• La autorización consiste en el acto de determinar qué derechos tiene un usuario o proceso para llevar a cabo una tarea dentro de un sistema.
• La contabilidad se basa en el registro de todas las actividades que ocurren en el sistema.
Riesgos
• Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente o emisor, como por ejemplo un fichero o una región de la memoria principal, a un destino, como por ejemplo otro fichero o un usuario.
Tipos de ataquesTipos de ataques
• Ataques pasivos: el atacante no altera la comunicación, únicamente la escucha o monitorea, para obtener la información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico.
Tipos de ataquesTipos de ataques
• Ataques activos: Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos.
Atacantes
Formacióndel atacante
Alta
Baja
1980 1985 1990 1995 1998
Ruptura de contraseñas triviales
“password cracking”
Vulnerabilidades conocidas
Desactivación de logs
Puertas traseras
Secuestrode sesiones
sniffers
Spoofing
Scaners automáticos
Denegación de servicio
Ataques a serv. web Herramientas
Sofisticacióndel ataque
Sofisticación ataque vs. conocimientos del atacante
LA HORA DE LA GESTIÓN
INGENIERÍA SOCIAL
Estimado cliente de BBVA,
Le comunicamos que próximamente, usted no se podrá subscribir en Banca Online. BBVAnet es el servicio de banca a distancia que le ofrece BBVA, disponer de este servicio le permitirá consultar su saldo, productos y realizar las transacciones bancarias mas habituales desde su ordenador, en cualquier momento, con toda la seguridad que BBVAnet le ofrece, a través de Internet.Si usted desea tener la oportunidad de poder registrarse en BBVAnet, por favor acceda al sitio que se muestra a continuación.
http://w3.grupobbvanet.com/
LA HORA DE LA GESTIÓN
INGENIERÍA SOCIAL1
Si usted decide registrarse en nuestra banca online BBVAnet, se le contactara telefónicamente después de 24/48 horas confirmándole su subscripción y le llegara una carta por correo con la información correspondiente para que pueda acceder a su banca online en BBVAnet.
© BBVAnet 2000-2003 All rights reserved © Banco Bilbao Vizcaya Argentaria S.A. 2000-2003 All rights reserved
LA HORA DE LA GESTIÓN