Negocios Electrnicos

2010 II
Computacin e Informtica
Sesion 10
SEGURIDAD EN
INTERNET
Versin 1.0
Negocios Electrnicos
Docente :
Ing. Myriam Quiroz Berrio
Msc. Gestin Tecnologa Informacin
Especialista Ebusiness
Email:
myrquib@gmail.com
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos
Hacker
Hacker es el termino utilizado para referirse a un
experto en varias o alguna rama tcnica relacionada
con la informtica: programacin, redes de
computadoras, sistemas operativos, hardware de
red/voz, etc. Se suele llamar hackeo y hackear a las
obras propias de un hacker.

Versin 1.0
Negocios Electrnicos
Cracker
Carding
Trashing
Phreaking/foning freak+phone+free
Espionaje virtual.
carnivoro FBI/ echelon Unin internal de
EspionajeUSA; Reino, Canad, Australia, New Zelanda.
Analiza red, detiene comunicaciones, nivel peligro
dlitos: porno,espia,armas,fraude,terror
Ataque a sitios islmicos
Conceptos Conceptos
Versin 1.0
Negocios Electrnicos
TIPOS DE ATAQUE
Software Daninos
Software Espias
Virus
Gusanos
Caballos de troya
(malware)
Cookies
Adware
Monitores del Sistema
Caballos de troya
Versin 1.0
Negocios Electrnicos
Correo Basura (spamming)
Actan sobre el protocolo SMTP modificando la cuenta de
origen de los mensajes.
Buscan y hacen uso de sistemas vulnerables (mail realys y
servidores Proxy abiertos) y utilizan cada vez ms las redes
de ordenadores infectados(botnets)
Versin 1.0
Negocios Electrnicos
FRAUDES EN INTERNET
Phising:
Ataque de ingeniera social a travs de correo electrnico o
mensajera instantnea caracterizado por intentos
fraudulentos de adquisicin de informacin sensible mediante
suplantacin.
Versin 1.0
Negocios Electrnicos
FRAUDES EN INTERNET
Pharming:
Es la explotacin de una vulnerabilidad en servidores DNS
que permite a un Hacker usurpar un nombre de dominio y
redirigir todo el trfico web legtimo a otra ubicacin.
Versin 1.0
Negocios Electrnicos
Crimen telemtico Organizado
(zombies y Botnets)
Las mquinas "zombie" son computadoras comprometidas
por algn tipo de malware al servicio de terceras personas
para ejecutar actividades hostiles con el total
desconocimiento del usuario del equipo
Botnet es un trmino utilizado para una coleccin de robots
(software) autnomos que pueden ser controlados
remotamente por diversos medios (IRC / P2P) con
propsitos maliciosos
Versin 1.0
Negocios Electrnicos
Utilizacin de bonnets par generar
spam
1. Infeccin de potenciales objetivos
mediante virus
2. El equipo comprometido se
registra en un servidor IRC u otro
soporte de comunicaciones
3. Un spammer accede al bonet
4. El spammer remite
instrucciones a travs del servidor
IRC a los equipos infectado
5. Los zombies generan correo
basura
Versin 1.0
Negocios Electrnicos
Ataque Combinado
La tendencia actual es la actuacin de malware en conjuncin
con una estrategia deliberada para controlar el mayor nmero de
equipos posible
El ataque lo inicia un troyano que puede llegar como adjunto a un
correo electrnico.
El usuario decide abrir el mensaje de correo permitiendo al
troyano descargar otros componentes del ataque.
Tras este primer troyano llega otro encargado de desactivar
posibles antivirus, otros programas de seguridad y bloquea el
acceso a webs de seguridad.
Por ltimo, llega el ltimo programa que completa el ataque y que
convierte al sistema vctima en un autntico zombie controlable
a distancia.
SOLUCION
Versin 1.0
Negocios Electrnicos
QUE SE PUEDE HACER?
Formacin y Concienciacin / Procedimientos de seguridad
Seguridad Fsica / Personal / Documental
Seguridad Criptolgica (CRIPTOSEC)
Seguridad de las Transmisiones (TRANSEC)
Seguridad de las Emanaciones (EMSEC)
Seguridad de Ordenadores (COMPUSEC)
- Seguridad soportes informacin
- Identificacin / Autenticacin
- Seguridad contra SW daino
Internet
Correo (spam, virus, phising, dialers,)
Seguridad de Redes (NETSEC)
- Seguridad Perimetral / Wireless / Bluetooth
Inspecciones de Seguridad
Gestin de Incidentes de Seguridad
Versin 1.0
Negocios Electrnicos
Productos certificados
Versin 1.0
Negocios Electrnicos
Seguridad de ordenadores
Versin 1.0
Negocios Electrnicos
Seguridad Perimetral
Versin 1.0
Negocios Electrnicos
Seguridad en Wireless
SEGURIDAD EN EL COMERCIO
ELECTRONICO
Versin 1.0
Negocios Electrnicos
MEDIOS DE PAGO
Cajeros virtuales
Versin 1.0
Negocios Electrnicos
MEDIOS DE PAGO
Monedero electronico o tarjeta inteligente
Versin 1.0
Negocios Electrnicos
Medios de pago
SSL
SET
BANCA VIRTUAL
Versin 1.0
Negocios Electrnicos
Ideal ambas partes conocidas
Temor: Robo del #TC
SSL conexin segura PC(T) Vs PC (C)
Encriptacin
No enviar el #TC Sin SSL, ni por correo
Como saber si hay SSL?
Servidor Seguro
Candado (pago)
https
SSL (SECURE SOCKET LAYER)
Versin 1.0
Negocios Electrnicos

Versin 1.0
Negocios Electrnicos
Sin validacin
Comprador Tienda Banco
#TC Autorizacin
Comprador Tienda Banco
Mensaje Pago

Versin 1.0
Negocios Electrnicos
Competencia Visa Mastercard Lider
96 Visa + Mastercard +Microsoft + Netscape+ IBM
estndar comercio desarrollo =seguridad para
consumidores, ventas y servicios
Costoso y Complejo. Pero la inseguridad...
La tienda no lee los datos
Seguridad en ambos sentidos

Versin 1.0
Negocios Electrnicos
VERISIGN es una entidad certificadora de
Internet con amplio reconocimiento y autoridad
internacional, la cual define la existencia de una
organizacin, la seguridad y genuinidad de un
sitio en internet y garantiza que ningn otro sitio
web pueda suplantar la identidad de un servidor.
Versin 1.0
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos
Fuente: Jaime Caro, Director de Interfaz.Com Ltda.
Versin 1.0
Negocios Electrnicos
El sistema propuesto por Visa y MasterCard para
pagos va Internet.
Versin 1.0
Negocios Electrnicos
Ataques comunes
Conexin al cable
Imitacin
Negacin de un servicio
Contestacin de mensajes en trnsito
Suposicin de passwords
Suposicin de claves
Virus
Versin 1.0
Negocios Electrnicos
Protocolos de seguridad
CDPD Cellular Digital Packet Data
DNSSEC Domain Name System Security
Extensions
DOCSIS Data Over Cable Service Interface
Specification
IEEE 802.11
IPSec IP Security Protocol
Versin 1.0
Negocios Electrnicos
Protocolo de Seguridad
PPTP Point to Point Tunneling Protocol
SET Secure Electronic Transactions
S-MIME Secure MIME
SSH Secure Shell
SSL& TLS Secure Sockets Layer & Transport Layer
Security
Versin 1.0
Negocios Electrnicos
Esquemas de Seguridad (TCP-IP)
Versin 1.0
Negocios Electrnicos
Arquitectura IPSec
IPSec tiene tres componentes principales:
Authentication header (AH)
Encapsulating Security Payload (ESP)
Internet Key Exchange (IKE)
Interoperabilidad.
Independiente de algoritmos criptogrficos actuales.
Soporta tanto IPv4 como IPv6.
Es un componente obligatorio en IPv6.
Versin 1.0
Negocios Electrnicos
IPSec - Concepto
Asociaciones de seguridad, el concepto de Security
Association es una simple conexin lgica entre dos sistemas
IPSec.
Encapsulacin, es una tcnica comn usada en redes
conmutadas de paquetes, en donde una trama se transforma
en una nueva
Versin 1.0
Negocios Electrnicos
IPSec vs SSL
Asegura paquetes de bajo nvel creando redes seguras sobre
canales inseguros.
SSL opera en la capa de transporte y no necesita estar en la
misma red segura.
SSL asegura dos aplicaciones a travs de una red pblica.
IPSec asegura una red completa.
Versin 1.0
Negocios Electrnicos
Aplicaciones
IPSec es usado cuando es necesaria la comunicacin segura
sobre redes inseguras.
Hardware y software para VPN.
Hardware y software para acceso remoto
Firewalls.
Versin 1.0
Negocios Electrnicos
ARQUITECTURA
Versin 1.0
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos
Versin 1.0
Negocios Electrnicos