Blog de Seguridad y Privacidad en Redes Informáticas

Estándares de Seguridad

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 15:09:06 +0000

A finales de siglo XX, los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier empresario, los sistemas de Información de la Empresa.

La informática hoy esta subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticos forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

Toda organización debe estar a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en tiempo, constituye una ventaja fundamental. Donde tener información es tener poder.

Donde la información se reconoce como:

Crítica, indispensable para garantizar la continuidad operativa de la organización.

Valiosa, es un activo corporativo que tiene valor en sí mismo.

Sensitiva, debe ser conocida por las personas que necesitan los datos.

Donde identificar los riesgos de la información es de vital importancia.

La seguridad informática debe garantizar:

La Disponibilidad de los sistemas de información.

El Recupero rápido y completo de los sistemas de información.

La Integridad de la información.

La Confidencialidad de la información.

Nuestra Propuesta para aumentar la seguridad de nuestros Sistemas de Información son las siguientes:

Implementación de políticas de Seguridad Informática.

Identificación de problemas.

Desarrollo del Plan de Seguridad Informática.

Análisis de la seguridad en los equipos de computación.

Auditoría y revisión de sistemas.

Si deseas te puedes bajar la versión en pdf del articulo o de la presentación también en pdf.

Amenazas a la seguridad Informática

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 13:08:31 +0000

Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro.

Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.

Confidencialidad: La información sólo debe ser legible para los autorizados.

Disponibilidad: Debe estar disponible cuando se necesita.

No repudio: El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea comprometida.

Hay algunos términos ligados a la Seguridad Informática como lo son:

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Impacto: medir la consecuencia al materializarse una amenaza.

Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Las Amenazas más comunes a la Seguridad Informática.
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias “no informáticas” que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).Estos fenómenos pueden ser causados por:

Un Usuario: causa del mayor problema ligado a la seguridad de un Sistema Informático (por que no le importa, no se da cuenta o a propósito).

Programas Maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.

Un Intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.)

Un Siniestro: (robo, incendio, por agua). Una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.

El Personal Interno de Sistemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

De estas amenazas veremos a continuación de forma más amplia la parte de Programas Maliciosos, pero no por esto significa que las otras amenazas se les resten importancia o sean tan perjudiciales como está.

Entre los Programas Maliciosos de los que uno encuentra en la red o en el peor de los casos, de los que ya uno ha sufrido los ataques de estos tenemos: Virus, Gusanos, Caballos de Troya, Bombas Lógicas, Puertas Traseras (Backdoors) y algunas que son menos mencionadas.

Si deseas te puedes bajar la versión en pdf del articulo o de la presentación también en pdf.

Delitos Informáticos (Leyes de Panamá)

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 12:42:02 +0000

El derecho de autor: es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística, científica o didáctica, esté publicada o inédita.

En el derecho anglosajón se utiliza la noción de copyright (traducido literalmente como (derecho de copia) que comprende la parte patrimonial de los derechos de autor.

Una obra pasa al dominio público cuando los derechos patrimoniales han expirado. Esto sucede habitualmente trascurrido un plazo desde la muerte del autor.

El derecho de autor se basa en la idea de un derecho personal del autor, fundado en una forma de identidad entre el autor y su creación. El derecho moral está constituido como emanación de la persona del autor: reconoce que la obra es expresión de la persona del autor y así se le protege.

La Ley No. 15 (de 8 de agosto de 1994)
Sobre los derechos de autor y derechos conexos

La Constitución Política de la República de Panamá dispone que todo autor, artista o inventor goce de la propiedad exclusiva de su obra o invención, durante el tiempo y en la forma que establezca la Ley.

La Ley No. 15 (de 8 de agosto de 1994), por la cual se aprueba la Ley sobre el derecho de autor dispone que se inspires en el bienestar social y en el interés público, y protegen los derechos de los autores sobre sus obras literarias, didácticas, científicas o artísticas, cualquiera sea su género, forma de expresión, mérito o destino.

Las siguientes disposiciones se observan en la Ley de derecho de autor:

Los derechos reconocidos son independientes de la propiedad del objeto material en el cual éste incorporada la obra y no están sujetos al cumplimiento de ninguna formalidad. Los beneficios de los derechos que emanan de la ley requiere una prueba de la titularidad.

Quedan también protegidos los derechos conexos.

Toda acción que tienda a reclamar los beneficios del derecho de autor tendrá efectos hacia el futuro.

El autor es el titular originario de los derechos morales y patrimoniales sobre la obra.

Se presume autor a quien aparezca como tal en la obra, mediante su nombre, firma o signo que lo identifique.

Cuando la obra se divulga en forma anónima o con seudónimo, el ejercicio de los derechos corresponden a la persona natural o jurídica que la divulgue con el consentimiento del autor, mientras éste no revele su identidad.

El objeto del derecho de autor es la obra como resultado de la creación intelectual.

Se consideran comprendidas entre las obras protegidas por la ley, especialmente las siguientes:

Las obras expresadas por escrito, incluidos los programas de ordenador,

Las conferencias, alocuciones, sermones y otras obras consistentes en palabras expresadas oralmente;

Las composiciones musicales, con o sin letra,

Las obras dramáticas y dramático musicales,

Las obras coreográficas, pantomímicas, las obras audiovisuales, cualquiera sea el soporte material o procedimiento empleado;

Las obras fotográficas y las expresadas por procedimiento análogo o la fotografía;

Las obras de bellas artes, incluidas las pinturas, dibujos, esculturas, grabados y litografías;

Las obras de arquitectura, las obras de arte aplicado, las ilustraciones, mapas, planos, bosquejos y obras relativas a la geografía, la topografía, la arquitectura o las ciencias; y,

En fin, toda producción literaria, artística, didáctica o científica susceptible de ser divulgada o publicada por cualquier medio o procedimiento.

Son también objeto de protección las traducciones, adaptaciones, transformaciones o arreglos de obras de expresiones del folclor, así como también las antologías o complicaciones de obras diversas y las bases de datos que, por la selección o disposición de las materias, constituyen creaciones personales.

El derecho patrimonial dura la vida del autor y cincuenta (50) años después del fallecimiento del autor, y se transmite por causa de muerte de acuerdo a las disposiciones del Código Civil.

En la obra en colaboración, el plazo de duración se contará desde la muerte del último coautor

La protección reconocida por la Ley no alcanza a los textos de las leyes, decretos, reglamentos oficiales, tratados públicos, decisiones judiciales y demás actos oficiales; ni a las expresiones genéricas del folclor, noticias del día, ni a los simples hechos y datos.

Derechos conexos: es un término relacionado con la ley de derechos de autor para referirse a derechos similares a los derechos de autor que no están conectados directamente con el autor de las obras en cuestión.

Si quieres seguir viendo las leyes y el resto del articulo descargalo en pdf.

Criptografía de Clave Pública

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 11:29:28 +0000

La criptografía asimétrica o criptografía de clave publica es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el fundamento de la firma electrónica.
Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear.

ALGORITMO RSA
El sistema criptográfico con clave pública RSA es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario.
Una clave es un número de gran tamaño, que una persona puede conceptualizar como un mensaje digital, como un archivo binario o como una cadena de bits o bytes.
Cuando se quiere enviar un mensaje, el emisor busca la clave pública de cifrado del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, éste se ocupa de descifrarlo usando su clave oculta.
Los mensajes enviados usando el algoritmo RSA se representan mediante números y el funcionamiento se basa en el producto de dos números primos grandes (mayores que 10100) elegidos al azar para conformar la clave de descifrado.

ALGORITMO Diffie-Hellman
El protocolo Diffie-Hellman (debido a Whitfield Diffie y Martin Hellman) permite el intercambio secreto de claves entre dos partes que no han tenido contacto previo, utilizando un canal inseguro, y de manera anónima (no autenticada).
Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión.
Siendo no autenticado, sin embargo provee las bases para varios protocolos autenticados.
Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de calcular logaritmos discretos en un campo finito.

Si quieres ver todo el documento te invitamos a descargar el archivo completo en pdf y tambien la presentación en pdf.

Criptografía de Clave Privada

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 10:08:29 +0000

La criptografía (del griego κρύπτω krypto, «oculto», y γράφω graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.

Con más precisión, cuando se habla de esta área de conocimiento como ciencia, se debería hablar de criptología, que a su vez engloba tanto las técnicas de cifrado, es decir, la criptografía propiamente dicha, como sus técnicas complementarias, entre las cuales se incluye el criptoanálisis, que estudia métodos empleados para romper textos cifrados con objeto de recuperar la información original en ausencia de las claves.

ALGORITMO DES
Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un método para cifrar información, escogido como FIPS en los Estados Unidos en 1976, y cuyo uso se ha propagado ampliamente por todo el mundo. El algoritmo fue controvertido al principio, con algunos elementos de diseño clasificados, una longitud de clave relativamente corta, y las continuas sospechas sobre la existencia de alguna puerta trasera para la National Security Agency (NSA). Posteriormente DES fue sometido a un intenso análisis académico y motivó el concepto moderno del cifrado por bloques y su criptoanálisis.

Hoy en día, DES se considera inseguro para muchas aplicaciones. Esto se debe principalmente a que el tamaño de clave de 56 bits es corto; las claves de DES se han roto en menos de 24 horas. Existen también resultados analíticos que demuestran debilidades teóricas en su cifrado, aunque son inviables en la práctica. Se cree que el algoritmo es seguro en la práctica en su variante de Triple DES, aunque existan ataques teóricos.

Desde hace algunos años, el algoritmo ha sido sustituido por el nuevo AES (Advanced Encryption Standard).

En algunas ocasiones, DES es denominado también DEA (Data Encryption Algorithm).

ALGORITMO AES
Advanced Encryption Standard (AES), también conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. Se espera que sea usado en el mundo entero y analizado exhaustivamente, como fue el caso de su predecesor, el Data Encryption Standard (DES). El AES fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años. Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.

Te invitamos a que veas el documento completo en pdf e igualmente ver la presentación también en pdf.

Firma Digital

91R-231 UTP La Chorrera — Tue, 01 Dec 2009 14:32:09 +0000

CONCEPTO

Es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. Esto no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este sí puede ser visualizado por otras personas.

La firma digital permite soportar el no repudio, característica esencial en entornos de comercio electrónico, ya que la verificación de la firma garantiza que ésta sólo puede haber sido generada por el poseedor de la clave privada; o sea, su usuario legítimo.

¿EN DONDE PODEMOS APLICAR LA FIRMA DIGITAL?

La firma digital se puede aplicar en las siguientes situaciones:

Correos Electrónicos.

Contratos electrónicos.

Aplicaciones Electrónicas.

Transacciones que se realicen, por ejemplo usando Banca en Línea.

CONCEPTOS RELACIONADOS CON LA FIRMA DIGITAL

Firma electrónica: Conjunto de datos adjunto o lógicamente asociado a un mensaje, documento electrónico o archivo digital, cuya finalidad sea comprobar su integridad y permitir la identificación del autor.

PKI (Public Key Infrastructure – Clave de Infraestructura Pública): La firma digital es desarrollada a partir de una infraestructura de clave pública y privada otorgándole seguridad a la identificación.

Encriptación de la información: Es ocultarla, protegerla para que no sea leída a no ser que se conozca la clave. La firma digital utiliza la tecnología de criptografía asimétrica.

Smart card = tarjeta chip inteligente: Es una tarjeta micro procesada que tiene mucha capacidad de memoria y seguridad.

Función hash: Es una operación aplicada al documento enviado que permite obtener un resumen de los datos originales.

Certificado digital: Es un fichero digital intransferible y no modificable, otorgado por una Autoridad de Certificación, que permite a las partes tener confianza, seguridad y validez legal en las transacciones en Internet.

Prestador de Servicios de Certificación ( PSC ): Entidad que expide certificados digitales, puede ser una Autoridad de Certificación o Autoridad Certificadora ( CA ), o expedirlos a nombre de ésta.

Verificación electrónica de la identidad del titular: Se realiza al ser leída una tarjeta que contiene una firma digital.

Casos reales de violación de Criptografía

91R-231 UTP La Chorrera — Mon, 30 Nov 2009 20:36:26 +0000

Aunque los cifrados modernos como el AES están considerados irrompibles, todavía siguen adoptándose malos diseños, y en las décadas recientes ha habido varias roturas criptoanalíticas notables. Ejemplos famosos de diseños criptográficos que se han roto incluyen al DES, el primer esquema de cifrado Wi-Fi, WEP, el sistema Content Scramble System utilizado para cifrar y controlar el uso de los DVD, y los cifrados A5/1 y A5/2 utilizados en los teléfonos móviles GSM. Además, no se ha demostrado que alguna de las ideas matemáticas que subyacen a la criptografía de clave pública sean «irrompibles», y por tanto es posible que algún descubrimiento futuro haga inseguros todos los sitemas que dependen de ella. Aunque poca gente prevé un descubrimiento así, el tamaño de clave recomendado sigue aumentando, al aumentar y hacerse más barata la potencia de cálculo para romper códigos.

TJX a pagar $9.75 millones para investigaciones de violación de datos

Fuente: SearchSecurity.com

TJX Companies, Inc., que ha sido sometido a un aluvión de demandas judiciales como consecuencia de una violación masiva de los datos de sus sistemas, acordó pagar US$9.75 millones, solucionando una demanda presentada por los Procuradores Generales de 41 estados.

La empresa matriz de las tiendas T.J. Maxx y Marshall, publicó en enero de 2007 que sus sistemas habían sido hackeados, exponiendo por lo menos 45.7 millones de tarjetas de crédito y débito a un posible fraude. Bajo los términos del acuerdo, la compañía pagará $2.5 millones de dólares para crear un fondo de seguridad de datos para los estados y una suma de $5.5 y $1.75 millones de dólares para cubrir los gastos relacionados con las investigaciones del estado.

Además, TJX dijo que acordó certificar que el sistema informático de TJX cumple con requisitos detallados de seguridad de datos especificados por los Estados Unidos, y fomentan el desarrollo de nuevas tecnologías para hacer frente a vulnerabilidades sistémicas en el sistema de tarjetas de pago de EEUU.

“En virtud de este acuerdo, TJX y los Procuradores Generales se han puesto de acuerdo para asumir papeles de liderazgo en la exploración de nuevas tecnologías y enfoques para buscarle solución a los problemas sistémicos de la industria de tarjetas de pago de los EEUU que continúan afectando a empresas e instituciones, y que hacen de los consumidores en los Estados Unidos en todo el mundo los objetivos para el aumento de la delincuencia cibernética”, dijo en un comunicado Jeffrey Naylor, director financiero y administrativo de TJX.

Naylor reiteró la postura de TJX a lo largo del incidente que la empresa no violó ninguna ley de protección al consumidor o de seguridad de datos. “La decisión de entrar en este acuerdo refleja el deseo de TJX de concentrarse en su negocio principal, sin distracciones, y de promover medidas de ciber-seguridad que beneficiarán a todos los consumidores”, dijo la compañía.

Según los investigadores, a lo largo de un período de 18 meses, hackers se aprovecharon de un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada de un programa sniffer para vigilar y capturar los datos transaccionales de TJX. Investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad anticuado. El Wi-Fi Protected Access (WPA) sustituye a la norma original de seguridad WEP. Además, es compatible con el último estándar, IEEE 802.11i, también conocido como WPA2.

Once acusaciones fueron anunciadas por el Fiscal de los Estados Unidos en el 2008. Hasta la fecha, dos de los acusados se han declarado culpables y otros dos se declararon culpables de cargos relacionados.

“Este fue una herida auto infligida, y TJX ha hecho mucho trabajo desde entonces, pero está claro que la violación fue el resultado de procesos deficientes y de negligencia”, dijo Jon Oltsik, analista senior, Enterprise Strategy Group.

Aunque TJX se ha convertido en la muestra de lo que podría suceder cuando una compañía sufre una violación masiva, Oltsik dijo que es probable que haga falta una violación de propiedad intelectual u otros datos que pongan a una empresa fuera de negocio, antes de todas las empresas tomen en serio la seguridad de los datos. Desde entonces, ha habido otras violaciones masivas. El Heartland Payment Systems Inc. se encuentra en medio de una investigación de violación de datos que afecta a millones de titulares de tarjetas y los investigadores de supermercados Hannaford descubrieron que los programas maliciosos habían saqueado 4.2 millones de números de tarjetas de crédito y débito de los sistemas de la tienda.

“La diferencia entre TJX y cualquier otra empresa no es más que la suerte del sorteo. Tenían zonas donde no se cumplía con el DSS de PCI, pero la mayoría de las empresas si cumplen, si las ves lo suficientemente de cerca”, dijo Ed Moyle, cofundador de consultoría de seguridad de IT Security Curve. “Algunos de estos entornos son bastante complejos, especialmente las compañías con muchos puntos de venta.”

Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupan de la seguridad de los datos de clientes de tarjetas de pago. Sin embargo, Oltsik dijo que no queda claro qué tanto es el fraude en el proceso de auditoría, ya que hay relativamente poca supervisión por entidades fuera de la industria de transacciones de pago.

“PCI es un buen comienzo, pero hay mucho margen para abusos y fraudes”, dijo Oltsik.

Los legisladores se han envuelto con docenas de estados pasando normas para la notificación de violación de datos, y con dos estados, Massachusetts y Nevada, enfocándose en la seguridad de los datos y las normas de encriptación. El gobierno federal ha abordado el problema por industria, empujando a la industria de la salud con fuertes normas HIPAA y abordando los problemas en la industria financiera. Por el contrario, la Unión Europea ha abordado la cuestión con un enfoque en la privacidad.

En diciembre de 2007, TJX concluyó una demanda de decenas de bancos, acordando pagar US$40.9 millones para cubrir los gastos relacionados a la violación masiva de los datos. Los grupos de banca alegaron en una demanda que la violación comprometió 94 millones de cuentas, muchas más que las 45.7 millones anunciadas por TJX.

La empresa también concluyó varias demandas colectivas hechas por los clientes que afirmaron que fueron víctimas de la violación. La empresa aceptó ofrecer a los clientes afectados tres años de servicios de monitoreo de crédito y seguro contra robo de identidad.

Puedes bajar si gustas el archivo con todo el contenido de noticias en pdf y una presentación de las mismas en pdf.

HoneyPots y HoneyNets

91R-231 UTP La Chorrera — Mon, 30 Nov 2009 19:37:16 +0000

Con el aumento de los anchos de banda disponibles y el abaratamiento de los accesos a la red hemos podido observar una evolución de las técnicas de ataques existentes en la actualidad.
Anteriormente los ataques se basaban en razonamientos simples, dada una máquina/dominio/servicio conocido (por ejemplo el de correo personal gratuito de Hotmail → www.hotmail.com), bastaba con obtener su dirección IP (vía consulta DNS por ejemplo) y proceder con cualquiera de los ataques anteriormente descritos.
Este procedimiento que consideraremos “standard” circunscribía los destinatarios de ataques informáticos a grandes empresas, organismos oficiales y universidades. Sin embargo, la mejora de la conectividad nos permite ahora realizar combinaciones de ataques que hasta hace unos pocos años eran imposibles.
La realización de un análisis completo (scan o probe) de toda una clase A, B o C deja de ser una utopía para convertirse en una simple cuestión de días o incluso horas.

A continuación veremos en este post cuales son las herramientas que nos ayudan a conocer a nuestro enemigo, los HoneyPots y los HoneyNets.

HoneyPots
Se denomina Honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.

HoneyNet
Los Honeynet son un tipo especial de Honeypots de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales.
Este tipo de honeypots se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el modus-operandi de los intrusos.
El Honeynet, que es un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques.

Descargate todo el documento en pdf y su presentación también en pdf.

Las Redes Privadas Virtuales (VPN’s)

91R-231 UTP La Chorrera — Mon, 30 Nov 2009 17:51:18 +0000

La Red Privada Virtual o VPN, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Medios
Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación:

Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.

Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash.

Confidencialidad: Dado que los datos viajan a través de un medio tan hostil como Internet, dichos datos son susceptibles de intercepción, por lo que resulta fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).

No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.

Requerimientos básicos

Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.

Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leídos por el emisor y receptor.

Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.

Tipos de VPN

VPN de acceso remoto
Es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.

VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales.

TUNNELING
Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que dichos datos. Este tipo de técnica requiere de forma imprescindible tener una cuenta de acceso seguro en la máquina con la que se quiere comunicar los datos.

VPN interna VLAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas

Ventajas de usar VPN’s

Integridad, confidencialidad y seguridad de datos.

Las VPN reducen los costos y son sencillas de usar.

Facilita la comunicación entre dos usuarios en lugares distantes.

Tipos de conexión

Conexión de acceso remoto
Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y éste se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente.

Conexión VPN router a router
Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y también sirve para la intranet.

Conexión VPN firewall a firewall
Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentica ante el que responde y éste a su vez se autentica ante el llamante.

Si deseas te puedes bajar la versión en pdf del articulo o de la presentación también en pdf.

Sistema de Prevención de Intrusos (IPS)

91R-231 UTP La Chorrera — Mon, 30 Nov 2009 15:01:56 +0000

¿QUÉ SON?

Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.

¿COMO FUNCIONAN?

Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.

HERRAMIENTAS DE PREVENCION

Antivirus
Entre las que podemos mencionar tenemos los programas antivirus y los cortafuegos o firewall. Existen en el mercado actualmente productos antivirus y cortafuegos de distintos fabricantes, y los mismos pueden ser de pago (con una suscripción que va de 1 año en delante de soporte y actualizaciones), y los gratuitos para uso no comercial que están clasificados como shareware.

Entre los antivirus que podemos mencionar, tenemos el Kaspersky Antivirus y NOD32 que son los que se llevan los galardones en pruebas de escaneo y detección de virus en los medios. Seguidos ya, sin ningún orden importante,
por los antivirus Avira, AVG, Panda, Mcaffee, Norton Antivirus, Trend Micro, etc.

El objetivo principal de cualquier antivirus actual es prevenir y detectar la mayor cantidad de amenazas informáticas que puedan afectar una computadora, aunque el mejor antivirus sin duda es uno mismo (usando el sentido común).

Herramientas Cortafuegos:

ZONE ALARM:
Cuenta con protecciones a varios niveles, siendo eficaz contra amenazas entrantes y salientes. Es capaz de detener incluso determinados virus que se cuelan por correo electrónico.

COMODO PERSONAL FIREWALL:
Controla al detalle las aplicaciones que tienen acceso a Internet, crea reglas determinadas para algunas de ellas, monitoriza el tráfico de tu conexión en tiempo real para detectar posibles cuellos de botella.

El programa te mostrará alertas de todos los intentos de conexión establecidos
con tu máquina (tanto de entrada como de salida), lo que te permitirá vigilar todas las aplicaciones y detectar usos fraudulentos o no esperados de la red.

OUTPOST FIREWALL

Filtra virus, gusanos y troyanos manteniéndolos fuera del correo electrónico.

Impide la acción de troyanos que pretendan infectar nuestros equipos y enviar información personal hacia personas no autorizadas.

Bloquea ataques efectuados por hackers y crackers.

Impide el acceso a sitios de Internet ilegales o inapropiados.

Aumenta la velocidad de conexión al eliminar publicidad, cookies y otro tipo de molestias de internet.

Si gustas puedes descargar la versión pdf del articulo y de la presentación.