CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION. Mario Caycedo

Transcripción

1 CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION Mario Caycedo

2 HACKERS

3 HACKERS Programadores de código libre Aficionados y entusiastas de computación casera Personas que rompen la seguridad de las empresas

4 HACKERS Seguridad Phreakers: Phone + Freak Ingeniería Social: Kevin Mitnick Seguridad Black Hat o Crackers White Hat Crackers Script Kiddies

5 Metodos De Hacking I Security exploit: Tomar ventaja de una falla conocida de una aplicación. Por ejemplo C$ Vulnerability scanner, port scanner: Programa que busca direcciones IP en una red y para cada IP encontrada busca puertos abiertos Packet sniffer: Capturar el trafico de una red para tratar de obtener información privilegiada Spoofing attack: Una persona o programa se hace pasar por otro para obtener información privilegiada

6 Metodos De Hacking II Rootkit: Un programa que toma control del computador y se oculta del legitimo usuario. El famoso Fiasco del Rootkit de Sony Social engineering: Convencer a otras personas de revelar información privilegiada bajo engaño Trojan horse: Un programa que presume de hacer algo pero en realidad hace otra cosa. Por ejemplo las barras de herramientas Tool Bars Virus: Programas auto-replicantes que se distribuyen copiándose a si mismos dentro de documentos y programas

7 Metodos De Hacking III Worms: Se comporta similar a los virus pero se distribuye por medio de las redes (locales y externas). El objetivo es instalar puertas traseras para crear redes de zombies, enviar Spam o participar en ataques de denegación de servicio ( DOS attacks ). Por ejemplo el SQL slammer worm (2003) Web defacing: Ganar acceso a una pagina Web para cambiar el contenido y hacer mofa de la incompetencia de los administradores. SQL Injection: Ejecutar código SQL en páginas web para ganar acceso a la base de datos subyacente del sitio

8 Confidencialidad Garantizar que la información es accesible solo a aquellos autorizados a tener acceso (ISO) La promesa de confidencialidad construye la confianza en que se basa el comercio electrónico La confidencialidad se basa en la promesa de un manejo seguro de la información

9 Manejo seguro de la información La Criptografía es usada para garantizar la confidencialidad de la información Un ataque de fuerza bruta contra AES128 requiere intentos 340,282,366,920,938,000,000,000,000,000,000,000,000

10 Comercio electrónico - inicios Casos fallidos o la burbuja de las punto com (dot com bubble) (moda, US$188 millones) etoys

11 Comercio electronico Casos de exito Itunes Paypal EL futuro Micro-pagos

12 Comercio electrónico en Colombia Bancos Cine Colombia y Cinemark

13 Estrategias de seguridad para un sitio Web Ambiente Intranet Internet Autenticación Autenticación consolidada (Directorio activo) Login y Password Captcha Teclados en pantalla de confirmación

14 Estrategias de seguridad para un sitio Web II Tipo de contenido Institucional Académico Aplicaciones de oficina Redes sociales (facebook, myspace, orkut) Comercio electrónico (encripción)

15 Consideraciones de arquitectura para sitios Web Sistema operacional servidor Windows Linux Unix Servidor WEB Internet Information Server (IIS) Apache

16 Consideraciones de arquitectura para sitios Web II Lenguajes de programación HTML: presentación VBScript: interacción con el usuario JavaScript : interacción con el usuario ASP: scripting en el lado del servidor ASP.NET : scripting en el lado del servidor PHP : scripting en el lado del servidor XML: almacenmiento no estructurado de datos Flash: multimedia y presentación AJAX: HTML + Javascript SQL:consulta de datos

17 Consideraciones de arquitectura para sitios Web III Base de datos MySQL Postgres SQL Server (2000, 2005, express) Oracle Acceso a base de datos Sentencias SQL Procedimientos

18 Consideraciones de arquitectura para sitios Web IV Navegador de los usuarios (Browser) Archie, Gopher: Obsoletos Netscape navigator Mozilla Firefox Internet explorer (3, 4, 5, 6, 7) Opera Safari (Mac) Ambiente del usuario Computadores de escritorio PDAs: Agendas digitales Smartphones (Teléfonos celulares)