1
El Reto en la Seguridad
Los sistemas de Tecnologías de la Información…
… cambian rápidamente
… son cada vez más complejos
Y los “Hackers” son más sofisticados, y hacer“Hacking” cada vez más fácil
(Gp:) El nivel de seguridad debe crecer también!
2
Hackers: más peligroso y más fácil
Complejidad de las herramientas
Packet Forging/ Spoofing
1990
1980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
(Gp:) Complejidad de uso
High
Low
2000
DDOS
3
Seguridad
La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene.
Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.
4
Temas legales
En muchos gobiernos el uso de información cifrada está prohibido.
Los temas de seguridad son muy peliagudos y los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente.
La polémica está levantada, pero no es objeto de la asignatura entrar en detalle en estos temas.
Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia, …
5
Marco legislativo español
Real decreto-Ley 14/1999 (17/Sept)
Orden ministerial 21/Feb/2000 aprueba el Reglamento de acreditación de prestadores de servicios de certificación y algunos productos de firma.
Nuevo código penal (título 10: delitos relacionados con las nuevas tecnologías), Reglamento de Seguridad de la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal), Ley Orgánica de Protección de Datos (15/1999 13 Diciembre),…
Otras leyes sobre: DNI electrónico, Ley de Firma electrónica, Ley de Facturas Telemáticas, …
6
Conceptos
“seguridad de una red” implica la seguridad de cada uno de las computadoras de la red
“hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador
“cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico
“Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso)
7
Tipos de amenazas
Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con password trivial o errores del sistema
Modificación: la entidad atancante modifica el contenido de algún mensaje o texto
Suplantación: la entidad atacante se hace pasar por otra persona
Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto
Denegación de servicio: la entidad atacante impide que un elemento cumpla su función
8
Servicios ofrecidos por la “seguridad”
Autenticación: ¿es realmente quien dice ser?
Control de Acceso: ¿tiene derechos a hacer lo que pide?
No repudio: ¿ha enviado/recibido esto realmente?
Integridad: ¿puedo asegurar que este mensaje esta intacto?
Confidencialidad: ¿lo ha interceptado alguien más?
Auditoria: ¿qué ha pasado aquí?
Alarma: ¿qué está pasando ahora?
Disponibilidad: El servicio debe estar accesible en todo momento
9
Clasificación de problemas de seguridad
Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:
1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados.
2.-La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando.
3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.
4.-El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.
10
Criptografía y criptoanálisis
KRYPTOS= oculto GRAPHE=escrito
El criptoanálisis se encarga de descifrar los mensajes.
Los intrusos utilizan estas técnicas.
La criptografía busca métodos más seguros de cifrado.
Criptografía clásica: cifrados por sustitución y trasposición
Criptografía moderna: cifrados en base a claves
11
Cifrado: codificación de los mensajes
El texto normal (P) se transforma (cifra) mediante una función parametrizada por una clave secreta k evitando el criptoanálisis de intrusos
C=Ek(P) es el texto cifrado (C) obtenido a partir de P, usando la clave K usando la función matemática Ek para codificar
P=Dk(C) es el descifrado de C para obtener el texto normal P
12
Cifrado y descifrado
Dk(Ek(P))=P
E y D son sólo funciones matemáticas parametrizadas con la clave k
Estas funciones E() y D() son conocidas por el criptoanalista, pero no la clave.
1.-Esto es así, porque la cantidad de esfuerzo necesario para inventar, probar e instalar un método nuevo cada vez que el viejo es conocido siempre hace impracticable mantenerlo en secreto.
2.-Este método de cifrado con claves, permite cambiar fácilmente de método de cifrado simplemente con cambiar la clave
Página siguiente  |