Roban
datos de 40 millones de
tarjetas de crédito .. La Nación 19 de junio 2005
El número de ataques de
hackers a
sistemas conectados a
Internet en todo el mundo, ha crecido un 2.400 % en los últimos seis años. Lo más alarmante es que la mitad de estos ataques han tenido éxito.
Carnegie-Mellon University´s
Software Engineering
Las estadísticas del FBI revelan que aún la gran mayoría de los ataques no son detectados. Aún así, en EEUU el 64 % de las
empresas denunciaron haber sufrido ataques.
Efe, 2001
Los ataques procedentes de fuera de
la empresa y los que tienen el origen entre el
personal de la propia compañía están muy equilibrados: 62 % frente a 38 % respectivamente
Instituto de
Seguridad Informática de San Francisco
Algunos casos
· El Morris Worm de 1988
· El incidente Berferd de AT&T en 1991
· El robo de passwords desde los
proveedores de
servicios a fines de 1993 y
principios de 1994
· El ataque mediante
IP Spoofing al Supercomputer Center de San Diego a fines de 1994
· El robo de fondos del Citibank en 1995
Seguridad
Problemática
Explosión de la
red Internet
Falta de consideración de un entorno comercial
La seguridad no fue considerada en los aspectos del diseño
Eavesdropping
Password sniffing
Modificaciones de datos
Spoofing
Repudiation
Hackers y crackers
Hacker:
Definición inicial de los ingenieros del MIT que hacían alardes de sus conocimientos en informática.
Pirata Informático.
Cracker:
Persona que intenta de forma ilegal romper la seguridad de un
sistema por diversión o interés.
No existe uniformidad de criterios
Donde introducir ?
Nivel Físico. El wiretapping (intercepción de cables) puede ser evitado encerrando las líneas de transmisión en tubos sellados conteniendo
gas argón a alta presión. Cualquier intento de perforar los tubos liberaría el gas reduciendo la presión y disparando una alarma. Esta técnica es utilizada por algunos sistemas militares.
Donde ?
Nivel de Enlace. Los paquetes en las líneas punto a punto pueden ser codificados en el emisor y decodificados en el receptor en forma transparente a los niveles superiores de red. El problema a esta alternativa se presenta cuando un paquete tiene que atravesar múltiples routers, debido a que dicho paquete debe ser desencriptado en cada
router volviéndose vulnerable a ataques dentro del mismo. Por otra parte, esta técnica no permite proteger sesiones en forma selectiva. Sin embargo, la ventaja de la encripción de enlace (link encryption) es que la misma puede ser agregada fácilmente.
Nivel de Red.
Soluciones tales como, los firewalls permiten controlar y filtrar los paquetes entrantes y salientes de
una red a otra. Si bien los mismos resultan efectivos para proteger
redes conectadas a través de Internet, no proveen seguridad a nivel de transacciones end-to-end.
Nivel de
Transporte. Se pueden encriptar las conexiones completas, es decir, end to end (
proceso a proceso).
Nivel de Red
Nivel de Sesión
Nivel de Aplicación
TCP
HTTP
FTP
SMTP
AH
ESP
TCP
IP
HTTP
FTP
SMTP
SSL
PCT
TCP
IP
S-HTTP
DASS
TCP
IP
HTTP
FTP
Telnet
SET
Kerberos
Confidencialidad
Integridad de datos
Autenticación
No Repudiación
Autorización
Requerimientos
Definición de un Marco de Seguridad
Autenticación: Ninguna parte puede asumir en forma no autorizada la
identidad de otra parte.
Confidencialidad: Los mensajes sólo deben ser leídos por las partes especificadas en la comunicación.
Integridad de datos: Los datos enviados no pueden ser modificados durante su transmisión.
No Repudiación : Ninguna de las partes puede negar haber participado en una transacción. Por ejemplo:negar el envío de un mensaje.
Autorización: Los servicios brindados sólo pueden accedidos por usuarios autorizados
No Repudio
Este término se ha introducido en los últimos años como una característica más de los elementos que conforman la seguridad en un sistema informático.
Está asociado a la aceptación de un
protocolo de comunicación entre emisor y receptor (
cliente y
servidor) normalmente a través del intercambio de sendos certificados digitales de autenticación.
Se habla entonces de No Repudio de Origen y No Repudio de Destino, forzando a que se cumplan todas las
operaciones por ambas partes en una comunicación.
Agenda
Estadísticas- Introducción
Problemática Marco de
Trabajo
Algoritmos Criptográficos
Mecanismos de Seguridad (
Protocolos
De autenticación , Integridad de Mensajes X.509 ) .
Ejemplos ( PGP, SSL , HTTPS, IPSec)
Firewalls