SEGURIDAD EN INTERNET

Transcripción

1 Universidad Alas Peruanas Facultad de Derecho SEGURIDAD EN INTERNET Ing. Cynthia Zúñiga Ramos

2 Una primera definición n de términos t y conceptos Aclaremos un concepto: Qué se entiende por seguridad informática? Es muy común encontrar documentos en donde la seguridad informática viene separada en dos apartados: seguridad física y seguridad lógica. La seguridad física se relaciona normalmente con temas de políticas de seguridad, normativas, planes de contingencia, la protección física de los datos, gestión de la seguridad, accesos, auditoría, leyes... En cambio la seguridad lógica está más orientada hacia la protección de la información en su mismo medio, ya sea generación, almacenamiento y transmisión, usando en este caso por lo general herramientas, técnicas y esquemas propios de la criptografía... POR LO TANTO... Como conclusión, se podría decir que no estámuy clara la delimitación entre una y la otra, en tanto en muchos casos se complementan y una no puede plantearse sin la otra. Lo que sí está aceptado por todos es que, hoy por hoy, la seguridad informática es una especialidad emergente donde convergen un alto número de disciplinas y temas muy específicos. Proyecto CriptoRed y el Desarrollo de la Seguridad Informática en Iberoamérica Campinas 2003

3 Seguridad Informática Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

4 Seguridad Informática El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática. Principios de defensa en profundidad : cifrado de datos, gestión de usuarios, configuración ribusta de equipos, segmentación de redes (VLANs), Seguridad Perimetral.

5 Seguridad Informática Existen 4 planes de actuación: técnico, humano, legal y organizativo. La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI). La información es un recurso vital en el mundo globalizado de hoy en día.

6 Seguridad Informática Se tiene una jerarquía de seguridad informática: CIA Políticas Planes Procedimientos Tareas y Operaciones Registros y Evidencias.

7 Ejemplo de seguridad CIA Seguridad Informática Política: protección del servidor Web de la organización contra accesos no autorizados. Procedimiento 1: Actualización del software del servidor Web. Tarea1: Revisión diaria de los parches publicados por el fabricante.

8 Seguridad Informática Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad. Procedimiento 2: Revisión de los registros de actividad en el servidor. Tarea1: revisión semanal de los logs del servidor para detectar anomalías.

9 Seguridad Informática Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. Inventario de soportes físicos. Destructor de Discos Duros

10 Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información. Se puede modelar el sistema como un flujo de información desde una fuente (un fichero o usuario) a un destino (otro fichero o usuario). Amenazas a la seguridad

11 Amenazas a la seguridad Interrupción Parte del sistema queda destruida o no disponible. Destrucción hardware, corte de una línea de comunicación. Intercepción Una entidad no autorizada accede a parte de la información. Pinchazo línea telefónica, copia ilícita de ficheros, intercepción vía radio comunicaciones móviles.

12 Modificación Una entidad no autorizada accede a parte de la información y modifica su contenido. Alteración de ficheros de datos, alteración de programas, modificación de mensajes trasmitidos por la red. Fabricación Una entidad no autorizada envía mensajes haciéndose pasar por un usuario legítimo. Amenazas a la seguridad

13 Interrupción: Este es un ataque en la disponibilidad. Intercepción: Este es un ataque en la confidencialidad. Modificación: Este un ataque a la integridad. Fabricación: Este es un ataque a la autenticidad.

14 Amenazas de Seguridad Ingeniería a Social Ataques pasivos Ataques activos Análisis de Riesgos Interrupción n del Servicio FPGA

15 Amenazas de Seguridad Virus informáticos Adware Gusanos Dialers Troyanos Exploit Spyware Bots Pharming

16 Amenazas de Seguridad Backdoor Bomba fork Hijacker Keystroke o Keyloggers Párasito Informático

17 Amenazas de Seguridad Phishings Pornware Rabbit Rootkit Spam Pop-Ups Bomba LógicaL Cookies (Malas) Trampas y/o Inocentadas

18 Servicios de Seguridad Confidencialidad Requiere que la información sea accesible únicamente por las entidades autorizadas (carta lacrada). Autenticación Requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa (huellas dactilares). Integridad Requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación, etc (tinta indeleble).

19 Servicios de Seguridad No repudio Requiere que ni el emisor ni el receptor del mensaje puedan negar la transmisión (correo certificado). Control de acceso Requiere que el acceso a la información sea controlado por el sistema destino (llaves y cerrojos).

20 Mecanismos de Seguridad Intercambio de autenticación Corrobora que una entidad, ya sea origen o destino de la información, es la deseada. Cifrado Garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados. Integridad de datos Integridad de datos Implica el cifrado de una cadena comprimida de datos a transmitir. Esto se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y el cifrado de los datos y compara el resultado obtenido con el que le llega, para verificar que no hayan sido modificados.

21 Mecanismos de Seguridad Firma digital Cifrado, con una clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía al receptor junto con los datos ordinarios. Se procesa en el receptor, para verificar su integridad. Control de acceso Sólo aquellos usuarios autorizados acceden a los recursos del sistema o a la red.

22 Mecanismos de Seguridad Tráfico de relleno Consiste en enviar tráfico redundante junto con los datos válidos para que el enemigo no sepa si se está enviando información, ni qué cantidad de datos útiles se está transfiriendo. Control de encaminamiento Permite enviar determinada información por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de integridad en una ruta determinada.

23 Mecanismos de Seguridad Cifrado Autorización Autenticación Auditoría

24 Derecho a la intimidad Mecanismos de Seguridad Elaboración de perfiles Dispositivos biométricos Uso de VPN Uso de certificados de autoridad

25 Mecanismos de Seguridad Antivirus Firewall Anti-Spyware Anti-Rootkits Parches (Service Pack) Configuraciones Trucos, Trucos y más trucos

26 Mecanismos de Seguridad Hacer copias de seguridad Habilitar las zonas de seguridad Utilizar antivirus y dos firewalls* Control para padres Utilización de sockets seguros (SSL)

27 Mecanismos de Seguridad Emplear claves difíciles de acordar. Comprobar el estado del sistema operativo. Comprobación del estado del hardware Evitar descargas de archivos. IDS Sistemas Detector de Intrusos Utilización de Proxys

28 Proceso de Construcción n de un ambiente de Red, Informática Seguro Inicio del Proceso Evaluación de Amenazas y Auditoría Análisis Estratégico Creación de Reglas y Políticas Diseño de la Plataforma de Protección Implantación de las Políticas Implantación de la Malla de Seguridad Auditoria y Revisión Continua

29 Conceptos más m s importantes relativos a la Criptografía a y a la Firma Digital. Por qué es importante mantener Secretas las Claves (privadas) de un sistema Criptográfico? Porqué es importante la longitud de las Clave Criptográficas? Es posible implementar Firma Digital con Criptografía de Clave Simétrica, y con Clave Asimétrica? Que es conceptualmente una Firma Digital? La FD de un Documento Impide que este sea alterado? Que Función Cumple una Autoridad Certificante? Es posible implementar un Sistema Seguro de FD sin Autoridad Certificante?

30 Criptografía a según n la RAE Criptografía una definición no muy afortunada... La Real Academia Española define criptografía (oculto + escritura) como: "el arte de escribir mensajes con una clave secreta o de modo enigmático". Es interesante pero resulta muy poco ajustada a los tiempos actuales.

31 Imprecisiones de esta definición Arte: la criptografía ha dejado de ser un arte: es una ciencia. Escritura de mensajes: ya no sólo se escriben mensajes; se envían o se guardan en un computador diversos tipos de documentos con distintos formatos (txt, doc, exe, gif, jpg,...). Una clave: los sistemas actuales usan una o dos claves. Clave secreta: existirán sistemas de clave secreta que usan una sola clave y sistemas de clave pública (muy importantes) que usan dos: una clave privada (secreta) y la otra pública. Representación enigmática: la representación binaria de la información podría ser enigmática para nosotros los humanos pero no para los computadores... es su lenguaje natural.

32 Una definición n más m s técnica t de criptografía Criptografía Lo que realmente es Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves. Esto da lugar a diferentes tipos de sistemas de cifra que permiten asegurar estos cuatro aspectos de la seguridad informática: la confidencialidad, la integridad, la disponibilidad y el no repudio de emisor y receptor.

33 Criptosistema M Usurpación de identidad por un intruso (I) Cualquier medio de transmisión es inseguro Medio de Transmisor C Transmisión C Receptor T MT R Cifrador Mensaje cifrado Descifrador Confidencialidad Confidencialidad e integridad Integridad M Interceptación del mensaje por un intruso (I) Estos dos principios de la seguridad informática, el de la confidencialidad y la integridad, (además de la disponibilidad y el no repudio) serán muy importantes en un sistema de intercambio de información segura a través de Internet.

34 Tipos de criptosistemas Clasificación n de los criptosistemas Según el tratamiento del mensaje se dividen en: Cifrado en bloque (DES, IDEA, RSA) bits Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit Según el tipo de claves se dividen en: Cifrado con clave secreta Cifrado con clave pública Sistemas simétricos Sistemas asimétricos

35 Criptosistemas simétricos y asimétricos Criptosistemas simétricos: Existirá una única clave (secreta) que deben compartir emisor y receptor. Con la misma clave se cifra y se descifra por lo que la seguridad reside sólo en mantener dicha clave en secreto. Criptosistemas asimétricos: Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de un cuerpo finito. Lo que se cifra en emisión con una clave, se descifra en recepción con la clave inversa. La seguridad del sistema reside en la dificultad computacional de descubrir la clave privada a partir de la pública. Para ello, usan funciones matemáticas de un solo sentido con trampa.

36 Criptosistemas simétricos Cifrado con criptosistemas de clave secreta Medio de k Transmisión k M C C M E K MT D K Texto Texto Base protegida Criptograma protegida Base C no permitido Integridad Intruso M no permitido Confidencialidad La confidencialidad y la integridad se lograrán si se protegen las claves en el cifrado y en el descifrado. Es decir, se obtienen simultáneamente si se protege la clave secreta. DES, DES, TDES, IDEA, CAST, RIJNDAEL

37 Cifrado con clave pública del receptor Intercambio de claves RSA Clave pública del usuario B Criptosistemas asimétricos (parte 1) Medio de Transmisión Clave privada del usuario B M Usuario A E B MT D B M C C Usuario B Criptograma protegida M no permitido Observe que se cifra con la clave pública del destinatario. Intruso Las cifras E B y D B (claves) son inversas dentro de un cuerpo Confidencialidad Un sistema similar es el intercambio de clave de Diffie y Hellman (DH)

38 Cifrado con clave privada del emisor Firma digital RSA M Usuario A Clave privada del usuario A D A Medio de Transmisión D A MT E A M protegida C no permitido Integridad Se firma sobre un hash H(M) del mensaje, por ejemplo MD5 o SHA-1 Criptosistemas asimétricos (parte 2) C Criptograma Intruso C Las cifras D A y E A (claves) son inversas dentro de un cuerpo Firmas: RSA y DSS Clave pública del usuario A Usuario B Observe que se cifra con la clave privada del emisor. La firma DSS está basada en el algoritmo de cifra de El Gamal

39 k privada de A Tipos de cifra con sistemas asimétricos Criptosistemas de clave pública k pública de B M D E B E M A D B C A Usuario A Usuario B Confidencialidad k privada de B k pública de A Firma digital Integridad Información cifrada Autenticación del usuario A; integridad de M La confidencialidad y la integridad se obtienen por separado

40 Qué usar, cifra simétrica o asimétrica? Los sistemas de clave pública son muy lentos pero tienen firma digital. Los sistemas de clave secreta son muy rápidos pero no tienen firma digital. Qué hacer? Cifrado de la información: Sistemas de clave secreta Firma e intercambio de clave de sesión: Sistemas de clave pública

41 Sistema híbrido h de cifra y firma k privada de A k secreta k secreta k pública de A M D A k k E A M C Usuario A k Usuario B k Firma digital sobre H(M) Cifrado asimétrico Cifrado simétrico Intercambio clave de sesión k usando E B (k) en emisión y D B (k) en recepción Autenticación del usuario e integridad Fin del Tema 1

42 Firewalls Qué es un firewall? Es un programa que se ocupa de filtrar el tráfico siguiendo una serie de reglas establecidas. Internet

43 Transacciones Seguras en Internet Algunos escenarios

44 Interacción n típica t B2C Escenario 1: Chanchis entra a hacer una transacción en Paso 1. Quién soy? Usuario: chanchis Clave: chan00 Internet

45 Interacción n típica t B2C Paso 2. Qué quiero hacer? Cuenta: Operación: Traspaso Cant: 10,000 Cta.destino: Internet

46 Riesgo #1 : Espionaje Internet Ajá!! Chanchis está enviando dinero a Pancho L. Maloso(a) espiando

47 Riesgo #2: Suplantación Usuario: chanchis Clave: chan99 Clave inválida Clave: chan00 O.K Internet

48 Riesgo #3: Alteración Internet Cambia la cuenta destino a la (la de Chente)

49 Riesgo #4: Repudio Quién yo? Yo Yo no no hice NINGÚN traspaso... Y menos por Internet