Professional Documents
Culture Documents
n Acceso indebido
n Uso, negligente o no
n Divulgación
n Interrupción
n Destrucción no autorizada
Seguridad de la información
p Conceptos básicos
n Confidencialidad
p La información solo debe ser legible para personal autorizado
p Evita que exista una intercepción de esta y que pueda ser leída por
una persona no autorizada
Seguridad de la información
p Conceptos básicos
n Disponibilidad
p Garantiza el acceso
n Irrefutabilidad
p No se puede negar la autoría
n Autenticación
p Solo individuos autorizados tienen acceso a los recursos
Seguridad de la información
p Conceptos básicos
n Integridad
p Garantizar que los datos sean los que se suponen que son
y no se hayan alterados in situ o durante una transmisión
Seguridad de la información
p Objetivo:
p Obtener un factor coste/riesgo asumible
p Una máxima:
p El sistema de seguridad no puede ser más valioso
que el sistema o los datos que protege
INGENIERÍA SOCIAL
Seguridad de la información
p La mayor parte de los ataques exitosos son total
o parcialmente debidos a Ingeniería Social
Ah, también
gestiono una red. Nunca pude
¿Cómo configura pensar en
sus firewalls? una buena
contraseña.
¿Qué utiliza
usted?
Seguridad de la información
p Ingeniería social - Phishing
Phisher se Phisher utiliza la
prepara para información para
atacar suplantar a víctima
Información
Víctima sigue confidencial es
indicaciones de enviada al Phisher
phisher
Víctima compromete
información
confidencial
Seguridad de la información
p Ejemplos Ingeniería social
n correo electrónico:
n http://www.youtube.com/watch?v=Ao20tAS3x3I
n http://www.youtube.com/watch?v=wiRuBZxMLss&feature=re
lated (3 videos)
n http://www.youtube.com/watch?v=NgHYI4AUUPc
n http://www.youtube.com/watch?v=cm89EQCF5e8&feature=re
lated
Seguridad de la información
PHISHING
Seguridad de la información
p Como funciona
1. Correo electrónico masivo
2. Correo electrónico phishing
3. Sitio Web fraudulento
p Afecta principalmente
n instituciones financieras
n proveedores internet
n grandes tiendas
Seguridad de la información
p Correo
n Remitente:
n Asunto:
Aviso Importante
n Logotipo oficial
n Aviso de Phishing
n Derechos reservados
n Teléfono de contacto
Seguridad de la información
Reconocerías una
web falsa?
Seguridad de la información
Seguridad de la información
Seguridad de la información
Seguridad de la información
Seguridad de la información
p Correo donde el INE hace un sondeo sobre
satisfacción con los bancos
1. Damos la información
2. Nos redirige a la web oficial
Seguridad de la información
p 40% error incluso entre usuarios
“tecnológicamente avanzados”
www.bankofthevvest.com
www.hatmail.com
http://www.faccebook.es/
Seguridad de la información
p http://www.phishtank.com/
n Facebook: http://faccebook.c.la/
n PayPal: http://www.phishtank.com/phish_detail.php?phish_id=916961
n Bank of America: http://www.phishtank.com/phish_detail.php?phish_id=916955
n Hotmail: http://www.phishtank.com/phish_detail.php?phish_id=916948
Seguridad de la información
p Otros tipos de phishing
n Nuevas variantes:
p Vishing:con tecnología VoIp (Identificador de llamada falsificable)
p Smishing: usan SMS
p Spear phishing: el correo va al jefe (CEO)
§ Correo personalizado
§ No usan correo masivo
Seguridad de la información
p Tendencias
n A la profesionalización
p Ataques sofisticados y difíciles de detectar
p Difícil identificar interfaces falsas
p Simulación de URL
p Ataques sobre DNS
COMO PROTEGERNOS
Seguridad de la información
p ¿Cómo nos protegemos de la forma
más eficiente posible?
Ataques
Datos restringidos automatizados
DoS
Infracciones
accidentales Errores de conexión
de la seguridad
Denegación de
Virus, servicio (DoS)
caballos de Troya
y gusanos
Seguridad de la información
p Estrategias de seguridad
Cultura de seguridad
Navegación segura
Política de passwords
Copias de seguridad
Seguridad de la información
FIRMA Y CIFRADO
DE CORREO
Seguridad de la información
p Cifrar: Alterar el contenido para que sólo los destinatarios puedan
entenderlo
p Como lo hacemos
p Clave pública:
§ La conocen sólo los destinatarios
§ Permite a la gente verificar nuestra firma y crear mensajes cifrados para nosotros.
§ Para enviar correos cifrados
p Clave privada:
§ Sólo la conoce el emisor
§ Permite firmar y descifrar correo
§ Para enviar correos firmados
p Instalamos PGP
n En el administrador de claves
n Instalamos PGP
AMENAZAS EN LA RED
Seguridad de la información
p Existen 4 tipos de amenazas en la red:
p Ataques externos
n Hackers, Crackers, Lammers, Script-Kiddies
n Motivaciones:
p Ranking, reto personal
p Robo de datos
p Pruebas (pen test), etc.
Seguridad de la información
p Origen de las amenazas
EN LA WEB
Seguridad de la información
p Servidores y platatormas web
n Ataques internos
p Suplantación de identidad
p Sniffing (Incluso administradores pueden hacer sniffing.
Sugerencia: CIFRAR)
p Robo de información. (Ej: para la competencia)
p Virus, Troyanos, Gusanos
p Espionaje: Trashing, Shoulder Surfing, Spyware, etc
p Keylogging - Keycatching
p KeyCatcher
Seguridad de la información
p Trashing (basureo)
n Alfombrilla ratónà
Seguridad de la información
p Servidores y platatormas web
n Ataques externos
p Ataques contra servicios WEB
§ Cross Site Scripting (XSS)
§ SQL Injection
§ Exploits: aprovecha una vulnerabilidad de SO, Sw y Hw
p Robo de Identidad
p Denegación de Servicio (DoS)
p SPAM
p VIRUS
p Phishing: ingeniería social, url mal escritas, webs
simuladas
p Troyanos: software malicioso bajo una apariencia
inofensiva
Seguridad de la información
Código de foto.php.
<? $migalleta = $_REQUEST[galleta];
$file=fopen("cookies.txt", "a");
fput($file, "$migalleta\n");
fclose($file); ?>
La variable que contiene las cookies galleta del usuario será almacenada
en un documento de texto llamado cookies.txt alojado en el servidor del
atacante
Seguridad de la información
p Defensa Cross Site Scripting (XSS)
n Url
p Evitar llamadas a servidores externos
p Evitar parámetros susceptibles (sql, datos privados…)
n En formularios:
p Limitar la longitud de los campos de entrada MaxLength
p Validar los campos (expresiones regulares)
n Cookies
p Evitar almacenar datos susceptibles
§ Nombre usuario y contraseña
§ Tarjetas, cuentas bancarias …
p Encriptar todas las cookies de nuestro sitio
n Usar SSL (Secure Socket Layer)
p No es 100% seguro contra XSS pero ayuda
Seguridad de la información
SQL INJECTION
Seguridad de la información
p SQL Injection
La cadena
n resultado sería
SELECT * FROM users WHERE user='a' or true and pass='a' or true
Otron ejemplo
SELECT * FROM users WHERE user = ‘root' AND password='' OR ''='
Seguridad de la información
p SQL Injection
n Mas peligroso
p Se pueden concatenar sentencias de modificación,
insertado y borrado de datos o de tablas
n Solución:
p No usar usuario root para acceso a las BBDD
p Validar el contenido y longitud de los campos
p Usar procedimientos almacenados
p Evitar es que, al formar la cadena SQL, ésta tenga un
"sentido" distinto al esperado = Eliminar comillas