1
El Reto en la
Seguridad
Los
sistemas de Tecnologías de la Información
cambian rápidamente
son cada vez más complejos
Y los Hackers son más sofisticados, y hacerHacking cada vez más fácil
(Gp:) El nivel de seguridad debe crecer también!
2
Hackers: más peligroso y más fácil
Complejidad de las
herramientas
Packet Forging/ Spoofing
1990
1980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
(Gp:) Complejidad de uso
High
Low
2000
DDOS
3
Seguridad
La Organización Internacional de Estándares (
ISO), como parte de su norma 7498 en la que se establece el
modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de
bienes y
recursos, donde un bien se define como algo de
valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un
sistema o la información que contiene.
Para ello, se han desarrollado
protocolos y mecanismos adecuados, para preservar la seguridad.
4
Temas legales
En muchos gobiernos el uso de información cifrada está prohibido.
Los temas de seguridad son muy peliagudos y los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente.
La polémica está levantada, pero no es objeto de la asignatura entrar en detalle en estos temas.
Por ejemplo en
Francia y EEUU no están permitidas transacciones cifradas, que el
gobierno no sea capaz de descifrar, pues pueden utilizarse para
comercio de
armas,
delincuencia, ...
5
Marco legislativo español
Real decreto-
Ley 14/1999 (17/Sept)
Orden ministerial 21/Feb/2000 aprueba el Reglamento de acreditación de prestadores de
servicios de certificación y algunos
productos de firma.
Nuevo código penal (título 10:
delitos relacionados con las nuevas tecnologías), Reglamento de Seguridad de la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los
Datos de carácter
personal), Ley Orgánica de Protección de Datos (15/1999 13 Diciembre),...
Otras
leyes sobre: DNI electrónico, Ley de Firma electrónica, Ley de Facturas Telemáticas, ...
6
Conceptos
seguridad de una red implica la seguridad de cada uno de las
computadoras de la
red
hacker: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador
cracker: no es un programado y utiliza sus ataques para sacar beneficio económico
Amenaza o ataque: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso)
7
Tipos de amenazas
Compromiso: la entidad atacante obtiene el
control de algún elemento interno de la red, por ejemplo utilizando
cuentas con password trivial o errores del sistema
Modificación: la entidad atancante modifica el contenido de algún mensaje o
texto
Suplantación: la entidad atacante se hace pasar por otra
persona
Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto
Denegación de
servicio: la entidad atacante impide que un elemento cumpla su función
8
Servicios ofrecidos por la seguridad
Autenticación: ¿es realmente quien dice ser?
Control de Acceso: ¿tiene
derechos a hacer lo que pide?
No repudio: ¿ha enviado/recibido esto realmente?
Integridad: ¿puedo asegurar que este mensaje esta intacto?
Confidencialidad: ¿lo ha interceptado alguien más?
Auditoria: ¿qué ha pasado aquí?
Alarma: ¿qué está pasando ahora?
Disponibilidad: El servicio debe estar accesible en todo momento
9
Clasificación de
problemas de seguridad
Los problemas de seguridad de las
redes pueden dividirse de forma general en cuatro áreas interrelacionadas:
1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados.
2.-La validación de identificación, encargada de determinar la
identidad de la persona/
computadora con la que se esta hablando.
3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.
4.-El no repudio, encargado de asegurar la firma de los mensajes, de igual forma que se firma en papel una petición de compra/
venta entre
empresas.
10
Criptografía y criptoanálisis
KRYPTOS= oculto GRAPHE=escrito
El criptoanálisis se encarga de descifrar los mensajes.
Los intrusos utilizan estas técnicas.
La criptografía busca métodos más
seguros de cifrado.
Criptografía clásica: cifrados por sustitución y trasposición
Criptografía moderna: cifrados en base a claves
11
Cifrado: codificación de los mensajes
El texto normal (P) se transforma (cifra) mediante una función parametrizada por una clave secreta k evitando el criptoanálisis de intrusos
C=Ek(P) es el texto cifrado (C) obtenido a partir de P, usando la clave K usando la función matemática Ek para codificar
P=Dk(C) es el descifrado de C para obtener el texto normal P
12
Cifrado y descifrado
Dk(Ek(P))=P
E y D son sólo
funciones matemáticas parametrizadas con la clave k
Estas funciones E() y D() son conocidas por el criptoanalista, pero no la clave.
1.-Esto es así, porque la cantidad de esfuerzo necesario para inventar, probar e instalar un método nuevo cada vez que el viejo es conocido siempre hace impracticable mantenerlo en secreto.
2.-Este método de cifrado con claves, permite cambiar fácilmente de método de cifrado simplemente con cambiar la clave