Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013"

Diego Rojas Crespo
hace 8 años
Vistas:

1 Seguridad Web Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

2 Lista de contenidos Seguridad de los datos Autenticación Integridad Malware Spam Denegación de servicio Ingeniería social

3 Protección del contenido digital Propiedad intelectual: texto, imágenes (fotografías, videos), audio (música) Asegurar la propiedad intelectual a través de copyrights y patentes. Significado legal vs significado técnico

audio (música) Asegurar la propiedad intelectual a

4 Técnicas criptográficas Permiten esconder la información del contenido del mensaje. Proveen autenticación, firmas digitales y verificación de la integridad del mensaje.

5 Técnicas criptográficas Existen dos enfoques fundamentales: Cifrados simétricos: tanto la clave de cifrado como la de descifrado deben permanecer secretas. Sistema de clave pública: una clave debe ser pública y otra debe mantenerse privada (es crucial que el hecho de tener una no permita determinar cual es la otra). Ambos tienen sus ventajas y sus desventajas.

Sistema de clave pública: una clave debe ser pública y otra debe mantenerse privada (es

6 Técnicas criptográficas Funciones de un sólo sentido: cifrado y descifrado son funciones inversas, calcular de una debe ser fácil el otro muy difícil.

7 Ataques Tipos de ataques: Sólo con el texto cifrado Texto plano conocido Texto plano elegido Un esquema de cifrado debería proteger al menos contra los ataques de texto plano conocidos.

8 Ataques Basándose en la frecuencia de repetición de las letras

9 Aplicaciones de la criptografía Firmas digitales: normalmente se basa en el esquema de clave pública (podría utilizarse también la criptografía simétrica) Autenticación Integridad de los datos

10 Autenticación Cómo puede un sistema conocer y verificar la identidad de los usuarios que acceden a él? Principalmente existen dos maneras: Contraseñas Tecnicas biométricas

11 Contraseñas Ventajas: Compactas Fáciles de generar Prácticamente ilimitadas Fácilmente reemplazadas Desventajas La asociación entre el dueño de la clave y la clave es artificial, antinatural No unicidad: distintos dueños pueden tener la misma clave, distintas claves pueden pertenecer al mismo dueño.

dueño de la clave y la clave es artificial, antinatural No unicidad:

12 Técnicas biométricas Ventajas: Atadas íntimamente al individuo Unicidad Desventajas: Grandes cantidades de data generadas y almacenadas Difíciles de generar Imposibles de reemplazar

13 Tipos de técnicas biométricas Huellas digitales Impresiones de manos Escáner de retina: basado en el análisis de los patrones de los vasos sanguíneos de la retina de un individuo, bastante intrusivo, requiere una corta distancia entre el ojo y el aparato de identificación Escáner de iris: similar al escáner de retina, menos intrusivo, permite una distancia mas grande entre el individuo y el aparato, se supone que identifica incluso a gemelos idénticos

distancia entre el ojo y el aparato de identificación Escáner de iris: similar al escáner de retina, menos

14 Tipos de técnicas biométricas Escáner infrarrojo Reconocimiento facial Geometría de la mano ADN Verificación de una firma Autenticación por voz Dinámica de la escritura por teclado

15 Marcas de agua digitales Utilizadas para establecer autoría sobre la propiedad intelectual Visibles o invisibles Robustas o frágiles Invariantes o variantes en el tiempo Deben permitir identificar copias únicas de objetos digitales

invisibles Robustas o frágiles Invariantes o variantes en

16 Marcas de agua digitales Tipos de ataques Operaciones geométricas Filtrado Manipulación de imágenes (inserción, remoción de pixeles) Manipulación de secuencias de cuadros

17 Malware Es el software usado para vulnerar el correcto funcionamiento de sistemas informáticos, conseguir información ajena o ganar acceso ilícito a dichos sistemas. Viruses Troyanos Gusanos Rootkits Puertas traseras Spyware Adware

información ajena o ganar acceso ilícito a dichos

18 Spam No hay una definición universal. Es relativo. El spam de uno es la bandeja de entrada de otro

19 Spam Características: Publicidad de bajo costo. Dificil de prevenir Altos costos Difícil hacer responsable a los emisores. Automatizable Mensajes enviados por numerosos medios (correo, SMS, WhatsApp, Telefono, etc) Altos costos asociados como consecuencia de los recursos consumidos (tiempo humano desperdiciado en revisar o ignorar los mensajes, ancho de banda, recursos de cómputo, etc)

Automatizable Mensajes enviados por numerosos medios (correo, SMS, WhatsApp, Telefono, etc)

20 Denegación de servicios Frecuentemente ejecutada desde locaciones distribuidas subvertidas. Instala secretamente programas de ataque en miles de máquinas. Todos estos programas lanzan un ataque coordinado al recurso de red objetivo, con el fin de imposibilitar su uso. Es difícil diferenciar un ataque DoS de la alta demanda. Los DoS accidentales son un claro ejemplo de esto.

Todos estos programas lanzan un ataque coordinado al recurso de red objetivo, con el fin de

21 Denegación de servicios Estrategias de ataque: Consumo de recursos de computo (ancho de banda, tiempo de CPU, espacio de disco, etc) Alteración de información de enrutamiento Alteración de información de estado como por ejemplo la solicitud no deseada de reinicio de conexiones TCP Alteración de componentes físicos de red Obstrucción del medio de comunicación entre cliente y servidor

22 Denegación de servicios Tipos de ataques: SYN Flood ICMP Flood Inundación a nivel de la capa de aplicación DoS no intencional

23 Denegación de servicios Medidas de defensa: Firewalls con capacidad de análisis de paquetes y mantenimiento de estados IPS (Intrusion Prevention Systems) ACL (Access Control Lists)

24 Ingeniería Social Consiste en la manipulación psicológica de los individuos con el fin de que divulguen información confidencial. El eslabón más débil en la cadena de seguridad es el factor humano. There is no patch to human stupidity

25 Ingeniería Social Pretexting: es el acto de involucrar a la víctima en un escenario ficticio elaborado de manera que sea más factible que esta divulgue información confidencial. Una mentira elaborada que normalmente incluye una investigación previa de la víctima. Phishing: obtención fraudulenta de información confidencial. Spoofing: suplantar la identidad de una empresa o de un individuo utilizando información falsa.

26 Ingeniería Social Medidas de defensa: No basta con tener hardware y software para lograr una mejor defensa. Educar y entrenar al personal sobre el correcto manejo de la información sensible es indispensable. Enseñar al personal como identificar y evitar ataques de ingeniería social en línea Correcto manejo de contraseñas (implantación de políticas de cambio y características para las contraseñas) Correcta clasificación de la información sensible (secreta, para uso interno, para uso público, etc)

27 Conclusión Soluciones de algún tipo existen para todos los problemas. Si son o no aceptables para los usuarios es otro problema en sí. Los usuarios tienen la responsabilidad de tomar medidas personales para prevenir los crímenes informáticos

Documentos relacionados

SEGURIDAD Y PROTECCION DE FICHEROS

SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD