SEGURIDAD INFORMATICA

Profesor: ISC David Lerma Ledezma, MTI

UNIDAD 2

PresentanLic. Ma. Guadalupe Morales VazquezLic. María Antonieta HernándezLic. Héctor Francisco Díaz UribeIng. Rosa Imelda García ChiIng. Omar Baltiérrez Méndez

UNIVERSIDAD INTERAMERICANA PARA EL DESARROLLOMAESTRIA EN TECNOLOGIAS DE INFORMACION

Seguridad informática• Evitar ataques de delincuentes informáticos a la

infraestructura de red, impidiendo que personas desde Internet tengan acceso libre a toda la información de su empresa y de sus clientes.• Evitar pérdidas económicas por infecciones de virus

informáticos que se transmitan aprovechando vulnerabilidades de la red.• Garantizar un adecuado manejo de políticas de seguridad.• Crear un ambiente de seguridad y confianza para los clientes

de la empresa.• Ayudar a optimizar el uso y funcionamiento de los programas

con los que cuenta su empresa para la gestión de la organización.• Facilitar el control de uso de los recursos de su empresa.• Optimizar el desempeño organizacional.• Actualización tecnológica de la empresa.• Facilitar la investigación y especialización en los procesos de

trabajo del personal de su empresa.

TEMA 2.1. Usuarios y Grupos

Un usuario es la persona que utiliza o trabaja con algún objeto o que es destinaría de algún servicio público o privado, empresarial o profesional.

Creación de Usuarios

• Código: Será el nombre de la persona (o sus iniciales), de tal forma que se pueda identificar fácilmente al usuario en los informes de Log de Transacciones.

• Nombre: Se digitan los nombres y apellidos completos del usuario que accederá al sistema.

 • Nivel de Acceso: Se describen a continuación y

deben ser asignados de la forma que se crea conveniente.

• Administrador Los usuarios con este nivel tienen control sobre

todo el sistema excepto en la creación de usuarios y asignación de permisos.

• Usuario (Normal) Tienen control restringido sobre algunas opciones

del sistema. Sin embargo se deben establecer permisos y restricciones una vez creados.

• Auxiliar (No puede reservar) Solo puede elaborar comprobantes y

crear registros nuevos en los catálogos. No puede modificar, anular, eliminar, etc.

• Invitado (Solo consulta) Solo tiene permitido el ingreso a formularios e informes sin opciones de adicionar, buscar, crear, modificar, eliminar, etc.

Habilitar/Restringir Permisos  • El usuario que tiene la clave de SUPERUSUARIO

es el responsable y encargado de crear los Usuarios que accederán al sistema.

• En el Menú Sistema Opción Usuarios y permisos, botón Permisos, se pueden otorgar permisos a los usuarios  para acceder a las diferentes herramientas que ofrece el programa.

• Por defecto, todas las opciones están habilitadas. Cuando se hace click sobre algunas de las opciones, el icono cambia de (Habilitado) a (Restringido) Estos permisos solo aplican para el usuario seleccionado en la parte superior y solo pueden ser modificados por el SUPERUSUARIO.

Grupos de usuarios

Un grupo de usuarios es una política utilizada generalmente por un sistema operativo para referirse a más de 1 usuario en su configuración y privilegios

Privilegios

• En un grupo de usuarios existen privilegios globales e individuales, primero se consideran los globales y luego se consideran los individuales, agregándole o disminuyándole privilegios basándose en los globales.

Ej:

Grupo (UsuarioA, UsuarioB)Grupo PUEDE verUsuarioA PUEDE editar

Tema 2.2. Intrusos

Sistema de detección de intrusos (IDS)

Implementación de Sistemas de Seguridad

Es una herramienta de seguridad que intenta detectar o monitorizar los

eventos ocurridos en un determinado sistema informático o red en busca de intentos de comprometer la seguridad

de dicho sistema.

1

Implementación de Sistemas de Seguridad

Características

• Busca patrones previamente definidos que impliquen cualquier tipo de

actividad sospechosa o maliciosa sobre nuestro servidor.• Aporta a nuestra seguridad una capacidad de prevención y de

alerta anticipada ante cualquier actividad sospechosa. • No está diseñado para detener un ataque como los Firewalls,

aunque sí pueden generar ciertos tipos de respuesta ante éstos.• Vigila el tráfico de nuestra red, examinan los paquetes

analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestro servidor, barrido de puertos, etc.

Sistema de detección de intrusos (IDS)

1

• Se define como un evento que atente contra la Confidencialidad, Integridad y disponibilidad de la información y los recursos tecnológicos.

• Tipos de incidentes de Seguridad Informática que se pueden presentar – Los incidentes de Seguridad Informática

se han clasificado en 5 categorías a saber:

INCIDENTES DE SEGURIDAD INFORMATICA

Esta categoría comprende todo tipo de ingreso y operación no autorizado a los sistemas. Son parte de esta categoría:

• Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos.

• Robo de información • Borrado de información • Alteración de la información • Intentos recurrentes y no recurrentes de acceso

no autorizado • Abuso y/o Mal uso de los servicios informáticos

internos o externos que requieren autenticación

1. Acceso No Autorizado:

Esta categoría comprende la introducción de códigos maliciosos en la infraestructura tecnológica de la Entidad. Son parte de esta categoría:

• Virus informáticos • Troyanos • Gusanos informáticos

2. Código Malicioso:

Esta categoría incluye los eventos que ocasionan pérdida de un servicio en particular. Los síntomas para detectar un incidente de esta categoría son:

• Tiempos de respuesta muy bajos sin razones aparentes.

• Servicio(s) interno(s) inaccesibles sin razones aparentes

• Servicio(s) Externo(s) inaccesibles sin razones aparentes

3. Denegación del servicio:

Agrupa los eventos que buscan obtener información de la infraestructura tecnológica de la Entidad. Comprende:

• Sniffers (software utilizado para capturar información o paquetes que viaja por la red)

• Detección de Vulnerabilidades

4. Escaneos, pruebas o intentos de obtención de información de la red o de un servidor en particular:

Son los eventos que atentan contra los recursos tecnológicos por el mal uso. Comprende:

• Mal uso y/o Abuso de servicios informáticos internos o externos

• Violación de las normas de acceso a Internet • Mal uso y/o Abuso del correo electrónico de la

Entidad • Violación de las Políticas, Normas y

Procedimientos de Seguridad Informática reglamentadas mediante resolución No. 4912 de Diciembre 26 de 2000

5. Mal uso de los recursos tecnológicos:

• La computación forense una perspectiva de tres roles: el intruso, el administrador y el investigador.

• Para realizar investigaciones sobre delitos informáticos "se utilizan las técnicas de cómputo forense, con el objetivo de preservar y analizar adecuadamente la evidencia digital que está también ligado a los aspectos legales que deben considerarse para presentar adecuadamente los resultados de la investigación de la evidencia digital".

Computación Forense

Tras las huellas de la información

• Al igual que en la serie de televisión SCI -Investigadores en la Escena del Crimen - los peritos de computación forense trabajan con las técnicas más modernas para recuperar información que permita tener evidencias sobre quién, cómo, cuándo y dónde se cometió un ilícito.La investigación forense en computación es la aplicación de métodos y técnicas para obtener, analizar y preservar, evidencia digital susceptible de ser eliminada o sufrir alteraciones. Esto permite reunir pruebas para adelantar una acción penal.

La computación forense es tan importante en el mundo informático hoy en día como lo es cualquier persona, aún más por la cantidad de incidentes que se pueden estar presentando dados: el posible anonimato que brinda Internet, la configuración insegura de determinados sistemas de información o las fallas inherentes a su funcionamiento” afirma Oscar Eduardo Ruíz, consultor en seguridad de Internet Solutions.

• Desafortunadamente, muchos de los delitos informáticos no son denunciados por las empresas por miedo a ver afectada su reputación, poca confianza en las entidades de control o sencillamente por el desconocimiento de la existencia de unidades de control con grupos especializados.

• Es importante para una empresa poder identificar las amenazas a las que está expuesta y adoptar las medidas pertinentes. La computación forense no sólo permite reconstruir el proceso de un ilícito, también permite hacer auditorías de sistemas detallados y una limpieza segura de los equipos.

Usos de la computación forense

• En cuanto a los procesos ilícitos, no hay crimen perfecto. Una persona pudo haber navegado, entrado por ejemplo a un sitio indebido, borrado el caché, haber hecho lo que en el nivel de conocimiento técnico puede ser haber borrado la evidencia, pero generalmente las personas no tienen conocimiento que ese no es un borrado físico sino es un borrado lógico. Dependiendo del valor de la información que se quiera recuperar y del tipo de caso se puede llegar a recuperaciones de tipo lógico e incluso de tipo físico

• Todos los Líderes Funcionales, Administradores de Seguridad de los Sistemas de Información y/o Aplicativos.

• Los Jefes de Oficina, Directores de Área y Jefes de Grupo responsables de la Información almacenada por los Sistemas de Información.

• Director de Informática. • Jefe Grupo Sistemas de Información y Jefe Grupo

Seguridad Informática. • Líderes Técnicos de los Sistemas de Información

y/o Aplicativos y Administrador de la Base de Datos

Quienes son los Usuarios responsables de las actividades de este procedimiento?

• El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense, sus usos y objetivos adquiere cada vez mayor trascendencia.

¿Qué es la informática forense o Forensic?

• La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

• - ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

• - ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

• - ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

• - ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.

• - ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

• Sleuth Kit -Forensics Kit, Py-Flag - Forensics Browser, Autopsy - Forensics Browser for Sleuth Kit, dcfldd - DD Imaging Tool command line tool and also works with AIR, foremost - Data Carver command line tool, Air - Forensics Imaging GUI, md5deep - MD5 Hashing Program, netcat - Command Line, cryptcat - Command Line, NTFS-Tools, qtparted - GUI Partitioning Tool, regviewer - Windows Registry, Viewer, X-Ways WinTrace, X-Ways WinHex, X-Ways Forensics, R-Studio Emergency (Bootable Recovery media Maker), R-Studio Network Edtion, R-Studio RS Agent, Net resident, Faces 3 Full, Encase 4.20, Snort, Helix, entre otras.

Herramientas de Informática Forense

• Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

• El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Sistema de detección de intrusos

• El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

• Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Funcionamiento

• Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

• Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Existen tres tipos de sistemas de detección de intrusos:

• HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

Tipos de IDS

• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

• DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN).

• En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante.

Sistemas pasivos y sistemas reactivos

• Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

• En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.

Implementación

Tema 2.3. Código Malicioso• Troyanos

– Un troyano es un programa malicioso que se oculta en el interior de otro de apariencia inocente. Cuando este último es ejecutado, el Troyano realiza la acción y se oculta en la computadora del incauto que lo ha ejecutado: desde la simple auto-replicación y por tanto, su propia supervivencia, hasta el envío de información contenida en nuestra propia computadora a su creador.

Tema 2.3. Código Malicioso• Gusanos

– Otro tipo de código malicioso son los gusanos. Primos hermanos de los virus, su principal misión es reproducirse y extenderse al mayor número de computadoras posibles.

– Internet y el correo electrónico han supuesto el verdadero auge de este tipo de código malicioso, que pueden infectar miles de computadoras en cuestión de horas.

Tema 2.3. Código Malicioso

• Cookies– Son archivos de texto con información

acerca de la navegación efectuada por el usuario en Internet e información confidencial del mismo que pueden ser obtenidos por atacantes.

Tema 2.3. Código Malicioso

• Keyloggers. – Es una aplicación destinada a registrar

todas las teclas que un usuario teclea en su computadora; algunos de ellos además registran otro tipo de información útil para un atacante, como imágenes de pantalla.

Tema 2.3. Código Malicioso

• Spyware. – Aplicaciones que recogen y envían

información sobre las páginas web que más frecuentemente visita un usuario, tiempo de conexión, datos relativos al equipo en el que se encuentran instalados (sistema operativo, tipo de procesador, memoria, etc.) e, incluso, hay algunos diseñados para informar de si el software que utiliza el equipo es original o no.

Tema 2.3. Código Malicioso

– El número de nuevos enlaces con código malicioso descubiertos en la Web ha

aumentado en un 508% durante la primera mitad de 2009, según datos del último informe sobre seguridad que elabora periódicamente el equipo de

investigación y desarrollo de IBM.

Tema 2.4. EspionajeSe engloban las conductas dirigidas a obtener datos, en forma ilegítima, de

un sistema de información. Es común el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apodera miento es el mismo programa de computación (software) que suele tener un importante valor económico.

Infracción de los derechos de autor: La interpretación de los conceptos de copia, distribución, cesión y comunicación pública de los programas de ordenador utilizando la red provoca diferencias de criterio a nivel jurisprudencial.

Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos en los países que tienen acceso a Internet. El sistema de protección más habitual es el contractual: el propietario del sistema permite que los usuarios hagan «downloads» de los ficheros contenidos en el sistema, pero prohibe el replicado de la base de datos o la copia masiva de información.

Clasificación según Actividades Delictivas Graves

Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional.

La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en anónimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. De hecho, se han detectado mensajes con instrucciones para la fabricación de material explosivo.

Narcotráfico: Transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero y para la coordinación de entregas y recogidas.

Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en contacto con los cárteles.

Espionaje:

Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico del servicio secreto de los Estados Unidos, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera.

Entre los casos más famosos podemos citar el acceso al sistema informático del Pentágono y la divulgación a través de Internet de los mensajes remitidos por el servicio secreto norteamericano durante la crisis nuclear en Corea del Norte en 1994, respecto a campos de pruebas de misiles.

Aunque no parece que en este caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez más la vulnerabilidad de los sistemas de seguridad gubernamentales.

Espionaje industrial:• También se han dado casos de accesos

no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.

• Otros delitos: – Las mismas ventajas que encuentran en la

Internet los narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.

Tema 2.5 Piratería

52

¿Qué es la piratería?- Es una práctica ilegal

que consiste en la

duplicación, distribución o

uso indebido y no

autorizado de software

informático; también la

copia de obras literarias,

musicales, audiovisuales,

efectuadas sin respetar

los correspondientes

derechos de autor para su

posterior venta.

53

Tipos de piratería

• Softlifting• Ilimitado acceso de

clientes• Uso comercial de

software no comercial• Desarrollo de cracks o

“puentes” para saltar los códigos de protección

• Falsificación de software

• Piratería en Internet

54

¿Qué son las redes P2P?•Es una red común diferente para cada programa para comunicar entre sí las computadoras de sus usuarios, quienes comparten ciertos directorios donde se encuentran los archivos a intercambiar.

55

Métodos de piratería informática• Programas

shareware• Parches

– Cracks• Números de serie• Los hackers• Los métodos de

grabación múltiple

56

Piratería en los medios de entretenimiento

• Piratería musical• Piratería de la televisión digital

– Canal + fue la primera, ahora el fenómeno se está extendiendo en Digital + y en las televisiones por cable (R, entre otras).

• Piratería de los videojuegos y de películas

57

Consecuencias económicas.

• A quiénes afecta...– A los

consumidores– A los

desarrolladores de software y empresas discográficas

– A los vendedores y distribuidores

– A los autores y artistas

– Y a la sociedad

58

La piratería informática es un gran problema, las cifras indican que

el sector pierde casi ¡¡29.000 millones de dólares anuales!!

59

Mercado Legitimo Vs Piratería

60

Alternativas para combatir la piratería.

• Bajar los precios de las copias originales de software, discos de música, videojuegos, etc.

• Añadir nuevos cánones a los productos originales.

• Leyes más severas contra los piratas.• Vinculación identificativa entre el poseedor

del registro del software para evitar que lo distribuya de forma altruista.

• Limitación por parte de los mp3 a que sólo reproduzca música legal.

61

Movimientos antipiratería• BSA (Business Sotfware Alliance)

– Se trata de la organización más importante porque grandes empresas del sector de la informática (como Microsoft, Adobe o Symantec) la forman.

– Realizan diversos esfuerzos para frenar el crecimiento de la piratería poniendo en marcha programas educativos e inicativas de políticas públicas.

62

Continuación…

• CAAST (Canadian Alliance Against Software Theft). Facilita información a los disversos grupos y empresas sobre la piratería y sus implicaciones.

• FAST (Federation Against Software Theft). Fue la primera organización para los derechos de la propiedad intelectual.

• SIIA (Software & Information Industry Association). Protege la propiedad intelectual de sus miembros. Es una empresa con gran influencia porque trabaja con las principales productoras y distribuidoras del mundo.

63

Microsoft y la piratería

• Pese a lo que pueda parecer, la compañía de Bill Gates no es la principal perjudicada por la piratería.

• La distribución de copias ilegales del sistema operativo Windows entre particulares ayuda a estandarizarlo.

64

Perspectivas de futuro y balance final

• La piratería es una práctica globalizada y muy extendida, pero ilegal.

• El software libre puede convertirse en una alternativa al software de pago, de manera gratuita, evitando así el crecimiento de la piratería del último.

• El futuro de la piratería está en Internet; la copia y distribución de CD-ROM’s piratas será cada vez minoritaria.