Origen de los problemas de Origen de los problemas de Seguridad InformáticaSeguridad Informática

Helios Mier CastilloHelios Mier Castillohmier@ieee.org

Departamento de Seguridad InformáticaDepartamento de Seguridad Informáticadesei@uag.mx

Instituto de Investigación y Desarrollo de Instituto de Investigación y Desarrollo de Ingeniería de SoftwareIngeniería de Software

Universidad Autónoma de GuadalajaraUniversidad Autónoma de Guadalajara

““Si te conoces a ti mismo y Si te conoces a ti mismo y conoces a tu enemigo, conoces a tu enemigo,

entonces no deberás temer entonces no deberás temer el resultado de mil batallas”el resultado de mil batallas”

Sun-Tzu, El Arte de la GuerraSun-Tzu, El Arte de la Guerra

““LA SEGURIDAD INFORMATICA ES UN LA SEGURIDAD INFORMATICA ES UN CAMINOCAMINO, NO UN DESTINO”, NO UN DESTINO”• Objetivo: mantener los sistemas Objetivo: mantener los sistemas

generando resultados.generando resultados.• Si los sistemas no se encuentran Si los sistemas no se encuentran

funcionando entonces su costo se funcionando entonces su costo se convierte en perdidas financieras (en el convierte en perdidas financieras (en el menos grave de los casos).menos grave de los casos).

• El resultado generado por un sistema es El resultado generado por un sistema es la la INFORMACION que ALMACENA O INFORMACION que ALMACENA O PRODUCE. PRODUCE.

La seguridad informática La seguridad informática NONO es es un problema exclusivamente de las un problema exclusivamente de las computadoras.computadoras.

Las computadoras y las redes son el Las computadoras y las redes son el principal campo de batalla.principal campo de batalla.

Se debe de proteger aquello que Se debe de proteger aquello que tenga un valor para alguien.tenga un valor para alguien.

Definiciones de seguridadDefiniciones de seguridad

Políticas, procedimientos y técnicas Políticas, procedimientos y técnicas para asegurar la para asegurar la integridad, integridad, disponibilidad y confiabilidaddisponibilidad y confiabilidad de de datos y sistemas.datos y sistemas.

Prevenir y detectarPrevenir y detectar amenazas. amenazas. ResponderResponder de una forma adecuada y de una forma adecuada y con prontitud ante un incidente.con prontitud ante un incidente.

ProtegerProteger y Mantener los sistemas y Mantener los sistemas funcionando.funcionando.

¿por qué?¿por qué?

Por $$$, Por $$$, el dueño de los sistemas el dueño de los sistemas tiene dinero INVERTIDOtiene dinero INVERTIDO en algo que en algo que le trae un beneficio o ventaja.le trae un beneficio o ventaja.

El Cracking a otros sistemas desde El Cracking a otros sistemas desde cualquier punto de vista es ilegal. cualquier punto de vista es ilegal. Estamos defendiéndonos ante el Estamos defendiéndonos ante el crimencrimen. (aunque no haya leyes). (aunque no haya leyes)

Por CALIDAD, Por CALIDAD, hay que hay que acostumbrarnos a hacer las cosas acostumbrarnos a hacer las cosas bien, bien, aunque cueste más esfuerzo.aunque cueste más esfuerzo.

¿De donde surge la seguridad?¿De donde surge la seguridad?

““Tecnológicamente, la seguridad es Tecnológicamente, la seguridad es GRATIS”GRATIS”• YA HAS PAGADO POR ELLA: Los sistemas YA HAS PAGADO POR ELLA: Los sistemas

operativos modernos contienen muchas operativos modernos contienen muchas características de seguridad. ¿Las características de seguridad. ¿Las conoces?¿Las usas?conoces?¿Las usas?

• LAS MEJORES HERRAMIENTAS DE LAS MEJORES HERRAMIENTAS DE SEGURIDAD SON OPEN SOURCE. SEGURIDAD SON OPEN SOURCE. (excepto los antivirus)(excepto los antivirus)

La Seguridad Informática es Fácil: La Seguridad Informática es Fácil: “Con el 20% de esfuerzo se puede “Con el 20% de esfuerzo se puede lograr el 80% de resultados”lograr el 80% de resultados”• Actividades sencillas pero constantes Actividades sencillas pero constantes

son las que evitan la mayoría de los son las que evitan la mayoría de los problemas.problemas.

• Se debe de trabajar en crear Se debe de trabajar en crear MECANISMOS de seguridad que usan las MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas TECNICAS de seguridad adecuadas según lo que se quiera proteger.según lo que se quiera proteger.

¿Dónde entra el Software Libre?¿Dónde entra el Software Libre? Esta adquiriendo muchos simpatizantes y Esta adquiriendo muchos simpatizantes y

usuarios. Se esta volviendo popular.usuarios. Se esta volviendo popular. Generalmente se encuentran en partes Generalmente se encuentran en partes

importantes de los sistemas de una importantes de los sistemas de una empresa, aunque el resto de los usuarios empresa, aunque el resto de los usuarios sigan mirando por las ventanas.sigan mirando por las ventanas.

Se descubren constantemente nuevas Se descubren constantemente nuevas vulnerabilidades y algunas de ellas son muy vulnerabilidades y algunas de ellas son muy fáciles de aprovechar.fáciles de aprovechar.

Por falta de conocimientos, podemos Por falta de conocimientos, podemos introducir vulnerabilidades donde antes no introducir vulnerabilidades donde antes no había.había.

ROLES ROLES INVOLUCRADOS INVOLUCRADOS EN SEGURIDADEN SEGURIDAD

USUARIOSUSUARIOS

SEGURIDADSEGURIDAD

Usuarios comunesUsuarios comunes Los usuarios se acostumbran a usar Los usuarios se acostumbran a usar

la tecnología sin saber como funciona la tecnología sin saber como funciona o de los riesgos que pueden correr.o de los riesgos que pueden correr.

Son las principales víctimas.Son las principales víctimas. También son el punto de entrada de También son el punto de entrada de

muchos de los problemas crónicos.muchos de los problemas crónicos. ““El eslabón más débil” en la cadena El eslabón más débil” en la cadena

de seguridad.de seguridad. Social Engineering SpecialistSocial Engineering Specialist: : Because There is no Security Because There is no Security Patch for HumansPatch for Humans

2 enfoques para controlarlos2 enfoques para controlarlos Principio del MENOR PRIVILEGIO Principio del MENOR PRIVILEGIO

POSIBLE:POSIBLE:• Reducir la capacidad de acción del Reducir la capacidad de acción del

usuario sobre los sistemas.usuario sobre los sistemas.• Objetivo: Lograr el menor daño posible en Objetivo: Lograr el menor daño posible en

caso de incidentes.caso de incidentes. EDUCAR AL USUARIO:EDUCAR AL USUARIO:

• Generar una cultura de seguridad. El Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los usuario ayuda a reforzar y aplicar los mecanismos de seguridad.mecanismos de seguridad.

• Objetivo: Reducir el número de incidentesObjetivo: Reducir el número de incidentes

USUARIOS

CREADORES CREADORES DE SISTEMASDE SISTEMAS

SEGURIDADSEGURIDAD

Creando SoftwareCreando Software El software moderno es muy complejo El software moderno es muy complejo

y tiene una alta probabilidad de y tiene una alta probabilidad de contener vulnerabilidades de contener vulnerabilidades de seguridad.seguridad.

Un mal proceso de desarrollo genera Un mal proceso de desarrollo genera software de mala calidad. software de mala calidad. “Prefieren “Prefieren que salga mal a que salga tarde”.que salga mal a que salga tarde”.

Usualmente no se enseña a incorporar Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad requisitos ni protocolos de seguridad en los productos de SW.en los productos de SW.

Propiedades de la Información en Propiedades de la Información en un “Trusted System”un “Trusted System”

ConfidencialidadConfidencialidad: Asegurarse que la : Asegurarse que la información en un sistema de información en un sistema de cómputo y la transmitida por un medio cómputo y la transmitida por un medio de comunicación, pueda ser leída de comunicación, pueda ser leída SOLOSOLO por las personas autorizadas. por las personas autorizadas.

AutenticaciónAutenticación: Asegurarse que el : Asegurarse que el origen de un mensaje o documento origen de un mensaje o documento electrónico esta correctamente electrónico esta correctamente identificado, con la seguridad que la identificado, con la seguridad que la entidad emisora o receptora no esta entidad emisora o receptora no esta suplantada.suplantada.

IntegridadIntegridad: Asegurarse que solo el : Asegurarse que solo el personal autorizado sea capaz de personal autorizado sea capaz de modificar la información o recursos modificar la información o recursos de cómputo.de cómputo.

No repudiaciónNo repudiación: Asegurarse que ni : Asegurarse que ni el emisor o receptor de un mensaje o el emisor o receptor de un mensaje o acción sea capaz de negar lo hecho.acción sea capaz de negar lo hecho.

DisponibilidadDisponibilidad: Requiere que los : Requiere que los recursos de un sistema de cómputo recursos de un sistema de cómputo estén disponibles en el momento que estén disponibles en el momento que se necesiten.se necesiten.

Ataques contra el flujo de la Ataques contra el flujo de la informacióninformación

FLUJO NORMALFLUJO NORMAL• Los mensajes en una red se envían a partir Los mensajes en una red se envían a partir

de un emisor a uno o varios receptoresde un emisor a uno o varios receptores• El atacante es un tercer elemento; en la El atacante es un tercer elemento; en la

realidad existen millones de elementos realidad existen millones de elementos atacantes, intencionales o accidentales.atacantes, intencionales o accidentales.

Emisor Receptor

Atacante

INTERRUPCIONINTERRUPCIONEl mensaje no puede llegar a su destino, un El mensaje no puede llegar a su destino, un

recurso del sistema es destruido o recurso del sistema es destruido o temporalmente inutilizado. temporalmente inutilizado.

Este es un ataque contra la Este es un ataque contra la DisponibilidadDisponibilidadEjemplos: Destrucción de una pieza de Ejemplos: Destrucción de una pieza de

hardware, cortar los medios de comunicación hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración o deshabilitar los sistemas de administración de archivos.de archivos.

Emisor Receptor

Atacante

INTERCEPCIONINTERCEPCIONUna persona, computadora o programa sin Una persona, computadora o programa sin

autorización logra el acceso a un recurso autorización logra el acceso a un recurso controlado.controlado.

Es un ataque contra la Es un ataque contra la ConfidencialidadConfidencialidad..Ejemplos: Escuchas electrónicos, copias Ejemplos: Escuchas electrónicos, copias

ilícitas de programas o datos, escalamiento ilícitas de programas o datos, escalamiento de privilegios.de privilegios.

Emisor Receptor

Atacante

MODIFICACIONMODIFICACIONLa persona sin autorización, además de La persona sin autorización, además de

lograr el acceso, modifica el mensaje.lograr el acceso, modifica el mensaje.Este es un ataque contra la Este es un ataque contra la IntegridadIntegridad..Ejemplos: Alterar la información que se Ejemplos: Alterar la información que se

transmite desde una base de datos, modificar transmite desde una base de datos, modificar los mensajes entre programas para que se los mensajes entre programas para que se comporten diferente.comporten diferente.

Emisor Receptor

Atacante

FABRICACIONFABRICACIONUna persona sin autorización inserta objetos Una persona sin autorización inserta objetos

falsos en el sistema.falsos en el sistema.Es un ataque contra la Es un ataque contra la AutenticidadAutenticidad..Ejemplos: Suplantación de identidades, robo Ejemplos: Suplantación de identidades, robo

de sesiones, robo de contraseñas, robo de de sesiones, robo de contraseñas, robo de direcciones IP, etc...direcciones IP, etc...

Es muy difícil estar seguro de quién esta Es muy difícil estar seguro de quién esta al otro lado de la línea.al otro lado de la línea.

Emisor Receptor

Atacante

USUARIOS

CREADORES DE SISTEMAS GERENTESGERENTES

SEGURIDADSEGURIDAD

Para que esperar…Para que esperar…

““Si gastas más dinero en café que en Si gastas más dinero en café que en Seguridad Informática, entonces vas Seguridad Informática, entonces vas a ser hackeado, es más, mereces ser a ser hackeado, es más, mereces ser hackeado”hackeado”

• Richard “digital armageddon” Clark, USA DoD Richard “digital armageddon” Clark, USA DoD

La mayoría de las empresas La mayoría de las empresas incorporan medidas de seguridad incorporan medidas de seguridad hasta que han tenido graves hasta que han tenido graves problemas. ¿para que esperarse?problemas. ¿para que esperarse?

Siempre tenemos algo de valor Siempre tenemos algo de valor para alguienpara alguien

Razones para atacar la red de una Razones para atacar la red de una empresa:empresa:• $$$, ventaja económica, ventaja $$$, ventaja económica, ventaja

competitiva, espionaje político, competitiva, espionaje político, espionaje industrial, sabotaje,…espionaje industrial, sabotaje,…

• Empleados descontentos, fraudes, Empleados descontentos, fraudes, extorsiones, (insiders).extorsiones, (insiders).

• Espacio de almacenamiento, ancho de Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), banda, servidores de correo (SPAM), poder de cómputo, etc…poder de cómputo, etc…

• Objetivo de oportunidad.Objetivo de oportunidad.

Siempre hay algo que perderSiempre hay algo que perder

Pregunta: Pregunta: ¿Cuánto te cuesta tener un ¿Cuánto te cuesta tener un sistema de cómputo detenido por sistema de cómputo detenido por causa de un incidente de seguridad?causa de un incidente de seguridad?• Costos económicos (perder oportunidades de Costos económicos (perder oportunidades de

negocio).negocio).• Costos de recuperación.Costos de recuperación.• Costos de reparación.Costos de reparación.• Costos de tiempo.Costos de tiempo.• Costos legales y judiciales.Costos legales y judiciales.• Costos de imagen.Costos de imagen.• Costos de confianza de clientes.Costos de confianza de clientes.• Perdidas humanas Perdidas humanas (cuando sea el caso).(cuando sea el caso).

¿Qué hacer?¿Qué hacer?

Los altos niveles de la empresa Los altos niveles de la empresa tienen que apoyar y patrocinar las tienen que apoyar y patrocinar las iniciativas de seguridad.iniciativas de seguridad.

Las políticas y mecanismos de Las políticas y mecanismos de seguridad deben de seguridad deben de exigirseexigirse para para toda la empresa.toda la empresa.

Con su apoyo se puede pasar Con su apoyo se puede pasar fácilmente a enfrentar los problemas fácilmente a enfrentar los problemas de manera proactiva (en lugar de de manera proactiva (en lugar de reactiva como se hace normalmente)reactiva como se hace normalmente)

USUARIOS

CREADORES DE SISTEMAS

GERENTES

HACKER HACKER CRACKERCRACKER

SEGURIDADSEGURIDAD

CrackingCracking

Cool as usual – Todo está bienCool as usual – Todo está bien Los ataques son cada vez mas complejos.Los ataques son cada vez mas complejos. Cada vez se requieren menos Cada vez se requieren menos

conocimientos para iniciar un ataque.conocimientos para iniciar un ataque. México es un paraíso para el cracking.México es un paraíso para el cracking. ¿Por qué alguien querría introducirse en mis ¿Por qué alguien querría introducirse en mis

sistemas?sistemas? ¿Por qué no? Si es tan fácil: descuidos, ¿Por qué no? Si es tan fácil: descuidos,

desconocimiento, negligencias, (factores desconocimiento, negligencias, (factores humanos).humanos).

Quienes atacan los sistemasQuienes atacan los sistemas Gobiernos Extranjeros.Gobiernos Extranjeros. Espías industriales o Espías industriales o

políticos.políticos. Criminales.Criminales. Empleados Empleados

descontentos y abusos descontentos y abusos internos.internos.

Adolescentes sin nada Adolescentes sin nada que hacerque hacer

Niveles de HackersNiveles de Hackers

Nivel 3: (ELITE) Expertos en varias áreas Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que usualmente de la informática, son los que usualmente descubren los puntos débiles en los descubren los puntos débiles en los sistemas y pueden crear herramientas sistemas y pueden crear herramientas para explotarlos.para explotarlos.

Nivel 2: Tienen un conocimiento avanzado Nivel 2: Tienen un conocimiento avanzado de la informática y pueden obtener las de la informática y pueden obtener las herramientas creadas por los de nivel 3, herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de pero pueden darle usos más preciso de acuerdo a los intereses propios o de un acuerdo a los intereses propios o de un grupo.grupo.

Nivel 1 o Script Kiddies: Obtienen las Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de herramientas creadas por los de nivel 3, pero las ejecutan contra nivel 3, pero las ejecutan contra una víctima muchas veces sin saber una víctima muchas veces sin saber lo que están haciendo.lo que están haciendo.

Son los que con más frecuencia Son los que con más frecuencia realizan ataques serios.realizan ataques serios.

Cualquiera conectado a la red es una Cualquiera conectado a la red es una víctima potencial, sin importar a que víctima potencial, sin importar a que se dedique, debido a que muchos se dedique, debido a que muchos atacantes sólo quieren probar que atacantes sólo quieren probar que pueden hacer un hack por diversiónpueden hacer un hack por diversión..

USUARIOS

CREADORES DE SISTEMAS

GERENTES

HACKER/CRACKER

ADMINISTRADORES DE T.I.

SEGURIDADSEGURIDAD

ADMINISTRADORESADMINISTRADORES

Son los que tienen directamente la Son los que tienen directamente la responsabilidad de vigilar a los otros roles. responsabilidad de vigilar a los otros roles. (aparte de sus sistemas)(aparte de sus sistemas)

Hay actividades de seguridad que deben de Hay actividades de seguridad que deben de realizar de manera rutinaria.realizar de manera rutinaria.

Obligados a capacitarse, investigar, y Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.proponer soluciones e implementarlas.

También tiene que ser hackers: Conocer al También tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y enemigo, proponer soluciones inteligentes y creativas para problemas complejos.creativas para problemas complejos.

Puntos Débiles en los SistemasPuntos Débiles en los SistemasComunicaciones

Almacenamiento de datos

Sistema Operativo

Servicios Públicos

Aplicación

Usuarios

Servicios Internos

Palabras FinalesPalabras Finales

El Boom del S.L. ofrece la El Boom del S.L. ofrece la oportunidad de que las cosas se oportunidad de que las cosas se hagan bien desde el principio.hagan bien desde el principio.

La educación de seguridad tiene que La educación de seguridad tiene que ir a la par del cambio hacia el S.L.ir a la par del cambio hacia el S.L.

Si esto no se realiza, en el futuro nos Si esto no se realiza, en el futuro nos estaremos quejando de S.L. de la estaremos quejando de S.L. de la misma forma que…misma forma que…

PREGUNTAS Y RESPUESTASPREGUNTAS Y RESPUESTAS

Helios Mier CastilloHelios Mier Castillohmier@ieee.org

Departamento de Seguridad InformáticaDepartamento de Seguridad Informáticadesei@uag.mx

Instituto de Investigación y Desarrollo de Ingeniería de SoftwareInstituto de Investigación y Desarrollo de Ingeniería de Software

Universidad Autónoma de GuadalajaraUniversidad Autónoma de Guadalajara