Professional Documents
Culture Documents
Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho ms que el soporte que los almacena (disquete, disco compacto, ...). nica solucin: el uso de Polticas de seguridad. Seguridad fsica v/s seguridad lgica El estudio de la seguridad informtica puede plantearse desde dos enfoques: Seguridad Fsica: proteccin del sistema ante las amenazas fsicas, planes de contingencia, control de acceso fsico, polticas de backups, ... Seguridad Lgica: proteccin de la informacin en su propio medio mediante el uso de herramientas de seguridad. Causas de inseguridad La deficiencia en los equipos respectivos de soporte La inteligencia social El espionaje industrial La deficiente administracin de una red Los virus Fallos en la seguridad de programas Los vndalos informticos Intrusiones y ataques 9 Instrusiones al sistema Fsica Por sistema Remota 9 Ataques caractersticos Hardware: Agua, fuego, electricidad, polvo, cigarrillos, comida... Software: Borrados accidentales, intencionados, fallos de lneas de programa, bombas lgicas, robo, copias ilegales. Datos: Los mismos puntos dbiles que el software. 9 Formas de proteccin Firewalls VPNs Conexiones seguras (SSL) Wrappers Software de anlisis de vulnerabilidad Fingerprints para archivos Normas de asignacin de cuentas tunning Cules son los puntos dbiles de un sistema informtico? Los tres primeros puntos conforman el llamado Tringulo de Debilidades del Sistema: Hardware: Errores intermitentes, conexin suelta, desconexin de tarjetas, etc. L.I. Rosalba Cervantes Meza | Pg. 42
Software: Sustraccin de programas, modificacin, ejecucin errnea, defectos en llamadas al sistema, etc. Datos: Alteracin de contenidos, introduccin de datos falsos, manipulacin fraudulenta de datos, etc. Memoria: Introduccin de virus, mal uso de la gestin de memoria, bloqueo del sistema, etc. Usuarios: Suplantacin de identidad, acceso no autorizado, visualizacin de datos confidenciales, etc. o Es muy difcil disear un plan que contemple de forma eficiente todos estos aspectos. o Debido al Principio de Acceso ms Fcil, no se deber descuidar ninguno de los cinco elementos susceptibles de ataque del sistema informtico.
Amenazas de interrupcin Se daa, pierde o deja de funcionar un punto del sistema. Deteccin inmediata. Ejemplos: Destruccin del hardware, Borrado de programas, datos, Fallos en el sistema operativo Amenazas de interceptacin Acceso a la informacin por parte de personas no autorizadas. Uso de privilegios no adquiridos. Deteccin difcil, no deja huellas. Ejemplos: Copias ilcitas de programas, Escucha en lnea de datos L.I. Rosalba Cervantes Meza | Pg. 43
Amenazas de modificacin Acceso no autorizado que cambia el entorno para su beneficio. Deteccin difcil segn circunstancias. Ejemplos: Modificacin de bases de datos, Modificacin de elementos del HW Amenazas de generacin Creacin de nuevos objetos dentro del sistema. Deteccin difcil. Delitos de falsificacin. Ejemplos: Aadir transacciones en red,Aadir registros en base de datos
de deuda, u otras actividades similares, sin embargo, debido a que las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), en lugar de ganar, tienen mas que perder, ya sea en imagen o prestigio, no se da publicidad a este tipo de situaciones. Sabotaje Una gran parte de las empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra esta amenaza es uno de los retos ms duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa y sus motivos pueden ser de lo ms variados. Al estar ms familiarizados con las aplicaciones, los empleados saben que acciones causaran ms dao, por otra parte el downsizing ha generado grupos de personas con conocimientos sobre diversas organizaciones y con conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje ms comunes tenemos: o Destruccin de hardware o Bombas lgicas para destruccin de programas y/o datos o Ingreso errneo de datos o Exposicin de medios magnticos de almacenamiento de informacin a imanes o Introduccin de suciedad, partculas de metal o gasolina por los conductos de aire acondicionado. o Corte de las lneas de comunicaciones y/o elctricas Espionaje Se refiere a la accin de recolectar informacin propiedad de una compaa para ayudar a otra compaa. Desde que la informacin es procesada y almacenada en computadoras, la seguridad informtica puede ayudar a proteger este recurso, sin embargo es muy poco lo que puede hacer para evitar que un empleado con autorizacin de acceso a informacin pueda entregarla o venderla. Hackers y Cdigo Maliciosos El trmino hacker, se refiere a los atacantes que se introducen en un sistema sin autorizacin y pueden ser internos o externos a la organizacin, existen diferencias entre estos atacantes, el hacker tiene por finalidad introducirse en el sistema y hacer notar que lo logr, el que adems de introducirse sin autorizacin destruye sistemas e informacin es el cracker, y los que hacen uso de sus conocimientos de hardware, software y telefona para no pagar las llamadas que hacen son los phreakers El cdigo malicioso se refiere a los virus, worms, caballos de troya, bombas lgicas y otros ejemplos de software no deseado que son introducidos en los sistemas. Virus: Segmento de cdigo que se replica adjuntando copias de s mismo a los ejecutable existentes, la nueva copia del virus se ejecuta cuando un usuario ejecuta el programa host, o cuando ciertas condiciones, especificadas como parte del virus, se presentan. Caballo de troya (Trojan Horse) : Es un programa que ejecuta una tarea deseada, pero que adicionalmente realiza funciones inesperadas e indeseadas. Worm: Es un programa que se autoreplica y no requiere un ejecutable que le sirva de host, el programa crea una copia de s mismo y la ejecuta sin intervencin del usuario, los worms comnmente usan los servicios de red para propagarse. L.I. Rosalba Cervantes Meza | Pg. 45
3er principio de la seguridad informtica Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio. Que funcionen en el momento oportuno. Que lo hagan optimizando los recursos del sistema. Que pasen desapercibidas para el usuario. Ningn sistema de control resulta efectivo hasta que es utilizado al surgir la necesidad de aplicarlo.
Identificacin y Autentificacin Se constituye en la primera lnea de defensa para la mayora de los sistemas computarizados, al prevenir el ingreso de personas no autorizadas y es la base para casi todos los controles de acceso, adems permite efectuar un seguimiento de las actividades de los usuarios. Identificacin es cuando el usuario se da a conocer en el sistema; y Autentificacin es la verificacin que realiza el sistema de la identificacin. Roles El acceso a la informacin puede ser controlado tambin, considerando la funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: Lder de proyecto, Programador, Operador, Jefe de un rea usuaria, Etc. Los derechos de acceso se agrupan de acuerdo con un rol determinado y el uso de los recursos se restringe a las personas autorizadas a asumir dicho rol, cambiar de rol implicara salir del sistema y reingresar. El uso de roles es una manera bastante efectiva de implementar el control de accesos, siempre que el proceso de definicin de roles est basado en un profundo anlisis de cmo la organizacin opera. Es importante aclarar que el uso de roles no es lo mismo que el uso compartido de cuentas. Transacciones Otra planteamiento para implementar controles de acceso en una organizacin son las transacciones, sera del modo siguiente: el computador conoce de antemano el nmero de cuenta que proporciona a un usuario el acceso a la cuenta respectiva, este acceso tiene la duracin de una transaccin, cuando esta es completada entonces la autorizacin de acceso termina, esto significa que el usuario no tiene ms oportunidad de operar. Limitaciones a los Servicios Las Limitaciones a los Servicios son controles que se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o que han sido preestablecidos por el administrador del sistema. Un ejemplo de este tipo de control es: cuando en un cajero automtico establece un lmite para la cantidad de dinero que se puede transferir de una cuenta a otra, y tambin para los retiros. Otro ejemplo podra ser cuando los usuarios de una red, tienen permitido intercambiar emails entre s, pero no tienen permitido conectarse para intercambiar emails con usuarios de redes externas. Modalidad de Acceso Adicionalmente a considerar cuando un acceso puede permitirse, se debe tener en cuenta tambin que tipo de acceso o modo de acceso se permitir. El concepto de modo de acceso es fundamental para el control respectivo, los modos de acceso que pueden ser usados son: Lectura, Escritura, Ejecucin, Borrado. Adems existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicacin: Creacin, Bsqueda. Estos criterios pueden ser usados de manera conjunta con otros, por ejemplo, una organizacin puede proporcionar a un grupo de usuarios acceso de Escritura en una aplicacin en cualquier momento dentro del horario de oficina, y acceso slo de Lectura fuera de l. L.I. Rosalba Cervantes Meza | Pg. 47
Ubicacin y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto al horario, el uso de parmetros como horario de oficina o da de semana son comunes cuando se implementan este tipo de controles, que permiten limitar el acceso de los usuarios a determinadas horas. Control de Acceso Interno Los controles de acceso interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con los recursos del sistema. Se detallarn cinco mtodos de control de acceso interno:
Palabras Clave (Passwords)
Las palabras clave o passwords, estn comnmente asociadas con la autentificacin del usuario, pero tambin son usadas para proteger datos, aplicaciones e incluso PCs. Por ejemplo, una aplicacin de contabilidad puede solicitar al usuario un password, en caso de que aquel desee acceder a cierta informacin financiera. Los controles implementados a travs de la utilizacin de palabras clave resultan de muy bajo costo e incluyen una gran variedad de aplicaciones. La informacin encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La criptologa es un tema cuya amplitud ser tratada en un subcaptulo aparte. Estas listas se refieren a un registro de: o Usuarios (incluye grupos de usuarios, computadoras, procesos), a quienes se les ha proporcionado autorizacin para usar un recurso del sistema. o Los tipos de acceso que han sido proporcionados. Hay una gran flexibilidad para el manejo de estas listas, pueden definir tambin a que usuario o grupos de usuarios se les niega especficamente el acceso a un recurso. Se pueden implementar Listas de Control de Accesos Elementales y Avanzadas.
Encriptacin
Comnmente utilizados en conjunto con listas de control de accesos, estos lmites restringen a los usuarios a funciones especficas. Pueden ser de tres tipos: Mens Vistas sobre la Base de Datos Lmites fsicos sobre la interfase de usuario. Los lmites sobre la interfase de usuario pueden proporcionar una forma de control de acceso muy parecida a la forma en que la organizacin opera, es decir, el Administrador del Sistema restringe al usuario a ciertos comandos, generalmente a travs de un men. Las vistas sobre la Base de datos, limitan el acceso de los usuarios a los datos contenidos en la BD, de tal forma que los usuarios dispongan slo de aquellos que puedan requerir para cumplir con sus funciones en la organizacin. L.I. Rosalba Cervantes Meza | Pg. 48
Las Etiquetas de Seguridad son denominaciones que se dan a los recursos (puede ser un archivo), las etiquetas pueden utilizarse para varios propsitos, por ejemplo: control de accesos, especificacin de pruebas de proteccin, etc. En muchas implementaciones, una vez que la denominacin ha sido hecha, ya no puede ser cambiada, excepto, quizs, bajo cuidadosas condiciones de control, que estn sujetas a auditora. Las etiquetas de seguridad son una forma muy efectiva de control de acceso, pero a veces resultan inflexibles y pueden ser costosas de administrar, y estos factores pueden desanimar en su uso.
Control de Acceso Externo Los controles de acceso externo son una proteccin contra la interaccin de nuestro sistema con los sistemas, servicios y gente externa a la organizacin.
Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto determinado del computador host y pueden estar fsicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un mdem. Los dispositivos de control de puertos actan de manera previa e independiente de las funciones de control de acceso propias del computador y comnmente son usados en comunicaciones seriales. Los firewalls permiten bloquear o filtrar el acceso entre 2 redes, generalmente una privada y otra externa (por ejemplo Internet), entendiendo como red privada una separada de otras. Las puertas de seguridad permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisin de atacantes o virus a los sistemas de la organizacin, adicionalmente a estos beneficios los firewalls reducen la carga del sistema en procesos de seguridad y facilitan la centralizacin de servicios. La autenticacin basada en Host, proporciona el acceso segn la identificacin del Host en el que se origina el requerimiento de acceso, en lugar de hacerlo segn la identificacin del usuario solicitante.
4.6 CRIPTOGRAFIA
El cifrado o encriptado es el proceso de transformacin del texto original en texto cifrado o criptograma, este proceso es llamado encriptacin. El contenido de informacin del texto cifrado es igual al del texto original pero slo es inteligible para las personas autorizadas. El proceso de transformacin del criptograma en el texto original se llama desencriptado o descifrado. El trmino Criptografa consta de los vocablos griegos Cryto : secreto y grafos : escritura. La criptografa es la rama del conocimiento que se encarga de la escritura secreta, L.I. Rosalba Cervantes Meza | Pg. 49
tambin se puede definir como la ciencia y arte de escribir para que sea indescifrable el contenido del texto original para el que no posea la clave. El Criptoanlisis es la ciencia que estudia los mtodos para descubrir la clave, a partir de textos cifrados, o de insercin de textos cifrados falsos, vlidos para el receptor. La Criptologa es el conocimiento que engloba la criptografa y el criptoanlisis y se define como la ciencia de la creacin y ruptura de cifrados y cdigos. Cifrado Simtrico La criptografa convencional es tambin llamada de clave secreta o privada, o sistema de cifrado simtrico. Su caracterstica fundamental es que la misma clave que se utiliza para encriptar se usa tambin para desencriptar. Cifrado Asimtrico Ideado por los matemticos Whitfiel Diffie y Martin Hellman (DH) con el informtico Ralph Merkle a mediados de los 70, estos algoritmos han demostrado su seguridad en comunicaciones inseguras como Internet; su principal caracterstica es que no se basa en una nica clave sino en un par de ellas: una conocida o Pblica y otra Privada, y busca resolver el problema de distribucin de claves planteado en los criptosistemas simtricos. Este tipo de cifrado utiliza una pareja de claves, una de ellas para el cifrado y la otra para descifrado, en muchos casos estas claves son intercambiables y la condicin es que el conocimiento de la clave pblica no permita calcular la clave privada. Firma Digital En los sistemas computacionales de la actualidad se almacena y procesa un nmero creciente de informacin basada en documentos en papel, disponer de estos documentos electrnicamente permite un procesamiento y transmisin rpidos que ayudan a mejorar la eficiencia en general. Sin embargo, la aceptacin de estos documentos en papel ha sido tradicionalmente determinada por la firma escrita que contienen, por lo tanto es necesario refrendar estos documentos en su forma electrnica con un instrumento que tenga el mismo peso legal y aceptacin que la firma escrita. El instrumento en mencin es la Firma Digital, que es un mecanismo criptogrfico con una funcin similar a la de la firma escrita, y tiene dos tiene dos propsitos: 9 Validar: el contenido de un mensaje electrnico y se puede utilizar posteriormente para comprobar que un emisor envi de hecho ese mensaje. 9 Probar: que no se ha falsificado un mensaje durante su envo.
Se considera que no existe una definicin formal y universal de delito informtico pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fcil dar un concepto sobre delitos informticos, en razn de que su misma denominacin alude a una situacin muy especial, ya que para hablar de "delitos" en el sentido de acciones tpicas, es decir tipificadas o contempladas en textos jurdicos penales, se requiere que la expresin "delitos informticos" est consignada en los cdigos penales, lo cual en nuestro pas, al igual que en otros muchos no han sido objeto de tipificacin an." Tipos de Delitos Informticos La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informticos:
x x x x x x x x x x
"Fraude en el campo de la informtica. Falsificacin en materia informtica. Sabotaje informtico y daos a datos computarizados o programas informticos. Acceso no autorizado. Intercepcin sin autorizacin. Reproduccin no autorizada de un programa informtico protegido. Espionaje informtico. Uso no autorizado de una computadora. Trfico de claves informticas obtenidas por medio ilcito. Distribucin de virus o programas delictivos."
Delincuente y Victima 1. Sujeto Activo Se llama as a las personas que cometen los delitos informticos. Son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos. 2. Sujeto Pasivo Este, la vctima del delito, es el ente sobre el cual recae la conducta de accin u omisin que realiza el sujeto activo. Las vctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de informacin, generalmente conectados a otros. Delitos informticos Fraude mediante el uso de la computadora y la manipulacin de la informacin que stas contienenArtculo 231 del Cdigo Penal para el D.F. Se impondrn las penas previstas en el artc ulo anterior, a quien para obtener algn beneficio para s o para un tercero, por cualquier medio accese, entre o se introduzca a los sistemas o programas de informtica del sistema financiero e indebidamente realice L.I. Rosalba Cervantes Meza | Pg. 51
operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la Institucin... Acceso no autorizado a sistemas o servicios y destruccin de programas o datos.Cdigo Penal Federal, artculos 211 bis 1 a 211 bis 7
Reproduccin no autorizada de programas informticos.Regulada en la Ley Federal del Derecho de Autor, artculo 11 que establece el reconocimiento del Estado al creador de obras literarias o artsticas, entre las que estn los programas de cmputo. La reproduccin queda protegida a favor del autor y se prohibe la fabricacin o uso de sistemas o productos destinados a eliminr la proteccin de los programas.El Cdigo Penal Federal tipifica y sanciona esta conducta con 2 a 10 aos de prisin y de 2000 a 20000 das de multa. Uso no autorizado de programas y de datos.La Ley Federal del Derecho de Autor, en sus artculos 107 al 110, protege como compilaciones a las bases de datos legibles por medio de mquinas que por razones de disposicin de su contenido constituyan obras intelectuales, otorgndole a su organizador el uso exclusivo por cinco aos; asimismo, exceptuando las investigaciones de autoridades, la informacin privada de las personas contenida en bases de datos no podr ser divulgada, transmitida ni reproducida salvo con el consentimiento de la persona de que se trate. Intervencin de correo electrnico.El artculo 167 fr.VI del Cdigo Penal Federal sanciona con uno a cinco aos de prisin y 100 a 10000 das de multa al que dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones almbricas, inalmbricas o de fibra ptica, sean telegrficas, telefnicas o satelitales, por medio de las cuales se transmitan seales de audio, de video o de datos. Aqu tipificara el interceptar un correo antes de que llegue a su destinatario, pero no el abrir el buzn o los correos una vez recibidos. L.I. Rosalba Cervantes Meza | Pg. 52
copia incremental inversa. Una copia diferencial puede sustituir a otra copia diferencial ms antigua sobre la misma copia total. Proteccin continua de datos Este modelo toma un paso ms lejos y en vez de realizar copias de seguridad peridicas, el sistema inmediatamente registra cada cambio en el sistema anfitrin. A pesar del modelo de almacn de datos o del medio de almacenamiento utilizado en una copia de seguridad, el sistema necesita encontrar un nivel entre accesibilidad, seguridad y coste. En lnea Almacenamiento en lnea es tpicamente el ms accesible de los tipos de almacenamiento de datos. Un buen ejemplo seria un largo vector de discos. Este tipo de almacenamiento es muy conveniente y rpido, pero es relativamente ms caro y es tpicamente localizado en cercana proximidad al sistema que ha sido copiado. Esta proximidad es un problema en un caso de desastre. Adicionalmente, almacenamiento en lnea es vulnerable de ser borrado o sobre-escrito, incluso por accidente, o causado por un virus en el sistema. Cerca de lnea Almacenamiento cercano en lnea es tpicamente menos caro y ms accesible que el almacenamiento en lnea, pero todava prctica para la copia de seguridad. Un buen ejemplo seria una biblioteca de cintas. Un dispositivo mecnico est involucrado en mover unidades de almacenamiento desde el almacn donde estn hasta un lector donde ledos o escritos. Fuera de lnea Un almacenamiento fuera de lnea es similar al cercano en lnea, exceptuando en que requiere de una persona interaccionando para hacer los medios de almacenamiento disponibles. Esto puede ser tan simple como almacenar las cintas de copia de seguridad en un armario de ficheros. Cmara fuera del lugar Para proteger contra desastres u otro tipo de problemas en el lugar, mucha gente elige mandar los medios de copia de seguridad a una cmara fuera del lugar de trabajo. La cmara puede ser tan simple como la oficina en casa del administrador del sistema o sofisticados como un bnker insensible, con alta seguridad y con temperatura controlada que tiene equipos para almacenar copias de seguridad. Centro de recuperacin de datos En el momento de un desastre, la informacin de una copia de seguridad puede no ser suficiente para restaurar un sistema. Hay sistemas del ordenador en los que los datos pueden ser restaurados y por ello redes adecuadas son necesarias tambin. Algunas organizaciones tienen sus propios centros de recuperacin que estn equipados para estos casos. Otras organizaciones hacen contratos con otras agencias de recuperacin de datos.