LINEAMIENTOS PARA LA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SEGURIDAD INFORMÁTICA BASADOS EN LOS ALGORITMOS CRIPTOGRÁFICOS EN UNA RED 802.

Transcripción

1 LINEAMIENTOS PARA LA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SEGURIDAD INFORMÁTICA BASADOS EN LOS ALGORITMOS CRIPTOGRÁFICOS EN UNA RED g SEMINARIO DE LA MAESTRÍA TELEMÁTICA DIRECTOR: OSCAR MAURICIO CAICEDO ESTUDIANTE: SILER AMADOR DONADO

2 AGENDA Antecedentes Planteamiento del problema Estado del arte Hipótesis Objetivos Avances Siler Amador Donado 2

3 ANTECEDENTES Referencia: Siler Amador Donado 3

4 ANTECEDENTES Tomado de: Tomado de: Tomado de: Protected_Setup.pdf Tomado de: Siler Amador Donado 4

5 PLANTEAMIENTO DEL PROBLEMA REFERENCIA: Siler Amador Donado 5

6 PLANTEAMIENTO DEL PROBLEMA REFERENCIA: Siler Amador Donado 6

7 PLANTEAMIENTO DEL PROBLEMA Nivel de riesgo VS Tiempo Referencia: Siler Amador Donado 7

8 PLANTEAMIENTO DEL PROBLEMA ÁRBOL DEL PROBLEMA AMENAZAS Vándalos informáticos WarDriving Tools BotNets Criptoanalistas Protocolos criptográficos WiFi vulnerables Capacitación en SEGURINFO débil CAUSAS Configuración de fábrica INSEGURA Uso masivo del g PROBLEMA Certificación de nivel de riesgo en g inexistente Riesgo de seguridad informática alto EFECTOS Pérdidas económicas Robo de datos privados Robo de dinero Siler Amador Donado 8

9 PLANTEAMIENTO DEL PROBLEMA No existe una certificación que permita identificar, analizar y medir de manera integrada los riesgos de seguridad informática basados en soluciones criptográficas en una red g. Siler Amador Donado 9

10 PROYECTO ESTADO DEL ARTE ALCANCE APORTES DE MI PROPUESTA Se limita hacer más fácil la configuración del dispositivo y habilitar su seguridad. Se limita a garantizar la compatibilidad con los estándares anteriores. Mide la vulnerabilidad en términos de riesgos en la configuración de los dispositivos. Enfatiza la medición del riesgo solo en el g. Pruebas de laboratorio orientados a informar solo a los fabricantes problemas técnicos de los dispositivos. Mejoras de seguridad en los protocolos utilizados en redes g. Realiza los informes de medición de riesgo según el fabricante y los compara con pruebas realizadas. Aplica la lista de chequeo del i y lo compara con el dispositivo. Siler Amador Donado 10

11 HIPÓTESIS Es posible reducir los altos niveles de riesgos de inseguridad informática en los dispositivos que utilizan el estándar g, mediante un certificado que mida de nivel de riesgo de seguridad informática de manera integrada y que contemple los protocolos de seguridad con sus respectivos algoritmos de ciframiento (WEP/RC4, WPA/TKIP, WPA2/AES). Siler Amador Donado 11

12 OBJETIVOS General Definir los lineamientos para la Identificación y análisis de riesgos de seguridad informática en una red g basados en los algoritmos criptográficos. Específicos Establecer una base conceptual para la Identificación y análisis de riesgos de seguridad informática en una red g basados en los algoritmos criptográficos. Proponer una certificación que mida el nivel de riesgos de seguridad informática en una red g basados en los algoritmos criptográficos según las necesidades del tipo de usuario. Validar los lineamientos planteados en la certificación propuesta tomando como caso de estudio la red g. Siler Amador Donado 12

13 AVANCES DISEÑO GENERAL DE ARQUITECTURA DE CERTIFICACIÓN DE RIESGO PROCESO GENERAL PARA LA CERTIFICACIÓN DEL RIESGO OSSTMM Personas Procesos i METODOLOGIA LINEAMIENTOS OSSTMM i 802.1x Hardware Software CERTIFICACIÓN NIVEL DE RIESGO Siler Amador Donado 13

14 AVANCES DISEÑO DE REPORTE GENERAL DE RIESGO EJEMPLO Titulo: Prueba de concepto disponible para vulnerar WPA ID: Nivel de riesgo: Alto Categoria: Prueba de concepto URL: Resumen: Contraseñas WPA cortas podrian ser vulneradas y el programa para lograrlo ya existe. Siler Amador Donado 14

15 REFERENCIAS [1] GAO/AIMD United States General Accounting Office. Information Security Risk Assessment. Noviembre [2] P. Hertzog. ISECOM. Institude for SECurity and Open Methodologies. OSSTMM Version 3.0 Lite. Abril [3] S. Fluhrer, I. Mantin, y A. Shamir. Weaknesses in the Key Scheduling Algorithm of RC4, Springer Berlin / Heidelberg [4] A. Planas, Criptoanálisis WEP, No. 5, pp , Abril [5] Atsec information security, Cryptographic Algorithm Validation Testing., , [6] NIST, Security requirements for cryptographic modules, Change notices ( ). [7] S. Fluhrer, I. Mantin, y A. Shamir. Weaknesses in the Key Scheduling Algorithm of RC4, Springer Berlin / Heidelberg [8] M. Dornseif, K. Schumann, C. Klein. Factual and Legal Risks Regarding Wireless Computer Networks. p 4. Siler Amador Donado 15