Embed Size (px)
Citation preview
MINISTERIO DE RELACIONES EXTERIORES Y MOVILIDAD HUMANA
CURSO VIRTUAL DE SEGURIDAD DE LA
INFORMACIÓN.DIRECCIÓN DE SEGURIDAD INFORMÁTICA
UNIDAD 3: RIESGOS
Intereses de un atacante.El principal interés de un atacante es revisar y tener acceso a la circulación libre de la información de una red de datos, y controlar una máquina para poder llevar a cabo las acciones deseadas, como por ejemplo robo o modificación de información.La acción de los atacantes tuvo un cambio radical. Se pasó de ataques masivos con distintos tipos de virus o malware a ataques más dirigidos y silenciosos como son el phishing y troyanos destinados a la sustracción de información para cometer fraudes.
Antes, los ataques intentaban acceder a los sistemas, detener un servicio (o un servidor), vulnerar una página web, etc., lo que provocaba un daño importante a la organización (tanto económico como de su imagen). Pero ahora los hackers están concentrados en fraudes o cibercrímenes para obtener dinero en forma rápida y sencilla.Los atacantes (también denominados "piratas" o "hackers") pueden tener muchos motivos: La atracción hacia lo prohibido. El deseo de obtener dinero (por ejemplo, violando el sistema de un banco). La reputación (impresionar a sus amigos). El deseo de hacer daño (destruir datos, hacer que un sistema no funcione). Venganza (Empleado descontento, ex novio (a) resentido).
El proceso de los atacantes.Son muchos los caminos que un atacante utiliza para obtener acceso o Exploit sobre un sistema, algunos de los pasos básicos se muestran a continuación:
Reconocimiento Pasivo. Reconocimiento Activo (Escaneo – Scanning).
Explotando el Sistema (Exploiting). Adquiriendo Accesos a través de:
• Ataques al Sistema Operativo.• Ataques a las Aplicaciones.• Ataques por medio de pequeños programas (Scripts).• Ataques a la configuración del sistema.
Elevación de Privilegios. Denegación de Servicios (Denial of Service).
Subir programas. Descargar Datos. Conservar el Accesos usando:
Puertas Traseras (Backdoors). Caballos de Troya (Trojan Horses).
Cubriendo el Rastro.
Hackers.El primer eslabón de una sociedad " delictiva " según los medios de comunicación. Estos personajes son expertos en sistemas avanzados. En la actualidad se centran en los sistemas informáticos y de comunicaciones. Dominan la programación y la electrónica para lograr comprender sistemas tan complejos como la comunicación móvil. Su objetivo principal es comprender los sistemas y el funcionamiento de ellos. Les encanta entrar en computadores remotos, con el fin de decir aquello de "he estado aquí" o “fui yo” pero no modifican ni se llevan nada del computador atacado.
Un Hacker busca, primero el entendimiento del sistema tanto de Hardware como de Software y sobre todo descubrir el modo de codificación de las órdenes. En segundo lugar, busca el poder modificar esta información para usos propios y de investigación del funcionamiento total del sistema.El perfil del Hacker no es el típico charlatán de los computadores que vive solo y para los computadores, aunque sí es cierto que pasa largas horas trabajando en él, ya que sin trabajo no hay resultados. Los conocimientos que adquiere el Hacker son difundidos por él, para que otros sepan cómo funciona realmente la tecnología.
Otros datos erróneos sobre la descripción del Hacker, es aquella que los presenta como personas desadaptadas a la sociedad, pues hoy en día la mayoría son estudiantes de informática. El Hacker puede ser adolescente o adulto, lo único que los caracteriza a todos por igual, son las ansias de conocimientos. Este grupo es el más experto y menos ofensivo, ya que no pretenden serlo, poseen altos conocimientos de programación, lo que implica el conocimiento de la creación de Virus o Crack de un software o sistema informático.Los buenos Hackers, no son nunca descubiertos y apenas aparecen en la prensa, a menos que sean descubiertos por una penetración en un sistema con seguridad extrema.
En otras palabras, un Hacker es una persona que tiene el conocimiento, habilidad y deseo de explorar completamente un sistema informático. El mero hecho de conseguir el acceso (adivinando la clave de acceso) no es suficiente para conseguir la denominación. Debe haber un deseo de liderar, explotar y usar el sistema después de haber accedido a él. Esta distinción parece lógica, ya que no todos los intrusos mantienen el interés una vez que han logrado acceder al sistema. En el submundo informático, las claves de acceso y las cuentas suelen intercambiarse y ponerse a disposición de la comunidad Internet. Por tanto, el hecho de conseguir el acceso puede considerarse como la parte "fácil", por lo que aquellos que utilizan y exploran los sistemas son los que tienen un mayor prestigio.
Crackers.Cracker es aquel experto fascinado por su capacidad de romper sistemas y Software y que se dedica única y exclusivamente a Crackear sistemas. Un Crack es el proceso o la llave necesaria para legalizar un software sin límites de tiempo y sin pagar por ello un centavo.Para los grandes fabricantes de sistemas y los medios de comunicación este grupo es el más peligroso de todos, ya que siempre encuentran el modo de romper una protección. Pero el problema no radica ahí, si no en que esta rotura es difundida normalmente a través de la Red para conocimientos de otros, en esto comparten la idea y la filosofía de los Hackers.
Crack es sinónimo de rotura y por lo tanto cubre buena parte de la programación de Software y Hardware. Así es fácil comprender que un Cracker debe conocer perfectamente las dos caras de la tecnología, esto es la parte de programación y parte de electrónica.El Cracker diseña y fabrica programas de guerra y hardware para violar el software y las comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos. Muchos Crackers "cuelgan" páginas Web por diversión o envían a la red su última creación de virus polimórfico.
Diferencias entre hacker y cracker.Hacker Cracker
Experto en Informática Expertos en InformáticaProfesionista Programadores con experiencia en
Explotación de Sistemas y Aplicaciones
Con Valores Acciones CriminalesComparte sus Conocimientos Daña los SistemasCrea software gratuito Robo de Información con fines de
Lucro
Crea fixes a brechas Crea Virus, Spyware, Malware, etc.Crea antivirus Viola las leyesAyuda a la comunidad de Seguridad Informática
Busca solo su beneficio personal
Gestión de riesgos.El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.Clasificación y Flujo de Información.Identificar tipo de datos e información y clasificarlos.
Confidencial (acceso restringido: personal interno autorizado).Privado (acceso restringido: personal interno).Sensitivo (acceso controlado: personal interno, público externo con permiso).Público.
Análisis de flujo de información.Observar cuáles instancias manejan que informaciónIdentificar grupos externos que dependen o están interesados en la información.Determinar si se deben efectuar cambios en el manejo de la información.
La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información internos y externos, para saber quiénes tienen acceso a qué información y datos.Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.
Clasificación de Riesgo.El objetivo de la clasificación de riesgo es determinar hasta qué grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad económica de una institución, sino también del entorno donde nos ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay otra solución que aceptarlos.
Implementar medidas para la reducción de los riesgos significa realizar inversiones, en general económicas. El reto en definir las medidas de protección, entonces está en encontrar un buen equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo económico que tenemos que hacer para la implementación y el manejo de estas.De igual manera como debemos evitar la escasez de protección, porque nos deja en peligro que pueda causar daño, el exceso de medidas y procesos de protección, pueden fácilmente paralizar los procesos operativos e impedir el cumplimiento de nuestra misión.
Entonces el estado que buscamos es, que los esfuerzos económicos que realizamos y los procesos operativos, para mantener las medidas de protección, son suficientes, ajustados y optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades) que enfrentamos.El caso extremo respecto al exceso de medidas sería, cuando las inversiones para ellas, superen el valor del recurso que pretenden proteger.
Riesgos Restantes.Con Riesgo restante se entiende dos circunstancias, por un lado son estas amenazas y peligros que, aunque tenemos implementados medidas para evitar o mitigar sus daños, siempre nos pueden afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos protegernos de cierto modo contra los impactos de un terremoto común, sin embargo cuando ocurre con una fuerza superior o antes no conocido, el impacto general será mucho más grande y muy probablemente afectará también a nosotros.
La otra situación es cuando aceptamos conscientemente los posibles impactos y sus consecuencias, después de haber realizado el análisis de riesgo y la definición de las medidas de protección. Las razones para tomar esta decisión pueden ser varias, sea que evitar los daños no está dentro de nuestra posibilidad y voluntad económica o porque no entendemos que no tenemos suficiente poder sobre el entorno.
