SEGURIDAD INFORMÁTICA

República Bolivariana de Venezuela.

Ministerio del Poder Popular para la Educación Universitaria.

Universidad Territorial Deltaica “Francisco Tamayo”.

Tucupita, Estado Delta Amacuro.

TSU:

Armando Bonilla C.I:24.580.471.

PROFESOR:

Ing. Andrés Gomes.

SEGURIDAD INFORMÁTICA

Al abordar el tema de Seguridad Informática, se debe tener muy en claro que no existe una seguridad en términos absolutos. Sólo se pueden reducir las oportunidades de que un sistema sea comprometido o minimizar la duración y daños provocados a raíz de un ataque.

Al tratar el asunto, se está considerando que se encuentran en riesgo tres elementos:

a) Los datos: información guardada en las computadoras. Ellos tienen tres características a proteger:

• Confidencialidad

• Integridad

• Disponibilidad

b) Los recursos: el equipamiento en sí mismo.

c) La reputación.

Una de las actividades iniciales es el Análisis de riesgos, para lo cual, se debe realizar un modelado de amenazas. Se trata de una actividad de carácter recurrente.

Un riesgo es una combinación de activos, vulnerabilidades y atacantes.

Elementos

• Lo que se quiere proteger: los activos

• Objetivos de seguridad: niveles y tipos de protección que requiere cada activo.

 Confidencialidad de los datos: se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

 Integridad de datos y sistemas: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

 Disponibilidad del sistema/red: se garantiza que las personas usuarias autorizadas tengan acceso a la información y recursos relacionados con la misma toda vez que se requiera.

• Amenazas

• Motivos: financieros, políticos, personales/sicológicos.

 Bauer propone utilizar por ejemplo:

• Análisis simple de riesgos: cuando se han identificado los activos, vulnerabilidades y algunos posibles atacantes, se deberá correlacionarlos y cuantificarlos. Una forma sencilla es calcular las Expectativas de Pérdidas Anualizadas (ALEs, Annualized Los Expectancies), donde para cada vulnerabilidad asociada a sus activos se debe estimar:

 Su Expectativa de Pérdida Individual (SLE, Single Loss Expectancy) donde se estima el coste de sustituir o recuperar ése activo.

 El Ratio Anual de Ocurrencias esperadas (ARO, Annual Rate of Occurrence)

Luego se multiplican esto ratios para obtener las Expectativas de Pérdidas Anualizadas de esa vulnerabilidad (ALE) es decir, para cada vulnerabilidad se calcula: SLE x ARO = ALE (coste/año).

Se estima luego las Ocurrencias Anuales Esperadas (EAO, Expected Annual Occurrence) que se expresan en número o fracción de incidentes por año.Este valor se multiplica con el obtenido anteriormente de donde se obtendrá, para el incidente considerado, el coste por año.

En este tipo de análisis será de gran utilidad añadir ALEs asociados a una misma vulnerabilidad. Si bien este método involucra un elemento de subjetividad es muy útil para enumerar, cuantificar y valorar riesgos como así también, para focalizar los gastos de seguridad informática y preparar los presupuestos correspondientes.

• Árboles de ataque: desarrollados por Bruce Schneier. Se trata de una representación visual formal y metódica sobre la seguridad de los sistemas basados en las variantes de los ataques (los ataques posibles contra un determinado objetivo). Se representan mediante estructuras de árboles donde se denomina nodos raíz a la meta (el objetivo a atacar) y las diferentes maneras de lograr dicha meta se denominan nodos hojas. Una vez diseñado, se añaden los costes al árbol para estimar las pérdidas que podrían suponer los diferentes ataques.

Hay que tener en consideración que los ataques pueden ser direccionados a:

 Servidores.

 Red.

 Aplicaciones web.

Estrategias generales para minimizar los ataques:

 Observar el principio del menor privilegio.

 Defensa a fondo o en profundidad.

 Redundancia: utilizar más de un mecanismo de seguridad.

 Punto de choque.

 Eslabón más débil.

 Postura de falla segura.

 Definición y uso de políticas y procedimientos.

 Mantenerse informado/actualizado.

SERVIDORES

Ataques a servidores

• Servidores Web: Utilización de vulnerabilidades conocidas que posibilitan ejecutar código arbitrario, acceso no autorizado a archivos o denegación de servicio (DoS).

• Servicios de administración remota: Telnet, SSH, Microsoft Terminal Server.

• Servicios de administración de contenidos: FTP, SSH/SCP, etc.

• Servidores de Nombres: ataque al servidor, modificación de zonas, cache poisoning, etc.

• Servidor de correo electrónico: intercepción de datos confidenciales; spam; propagación de virus, apropiación del servidor de correo para lanzar otros tipos de ataque, etc.

• Servidor de bases de datos: problemas tales como compromiso del servidor (por ej. por desbordamientos de búfer); robo de datos; corrupción de datos o pérdida, denegación de servicio (DoS), etc.

• Navegadores: fallas que permiten ejecutar código arbitrario en el cliente, controlando parcial o totalmente el equipo: Cross site scripting, manipulación de cookies, robo de código fuente, etc.

Como protegerse

Utilización de buenas prácticas:

 Fortalecimiento (hardening) o aseguramiento de las instalaciones del sistema operativo.

 Deshabilitación de servicios y cuentas no utilizados.

 Administración remota segura.

 Cifrado del tráfico.

 Utilizar sistemas de búsqueda automática de vulnerabilidades: por ej. NESSUS.

 Actualizaciones del sistema operativo y aplicaciones (parches).

 Utilización de herramientas que buscan y detectan problemas de seguridad; detectan intrusos y controlan cambios.

 Análisis periódico de logs.

RED

Como protegerse

 Uso de arquitectura de redes seguras: buen diseño de perímetros

...