SEGURIDAD INFORMÁTICA Nombre y Apellidos: Bruno Martínez Fraga ÍNDICE 1.1 Introducción a la seguridad de la información 1.2 Arquitectura de seguridad OSI 1.2.1 Servicios de seguridad 1.2.2 Mecanismos de seguridad 1.3 Técnicas biométricas 1.4 Tipos de amenazas contra la seguridad 1.4.1 Seguridad física 1.4.2 Basadas en el medio de transmisión 1.4.3 Autenticación 1.4.4 Programación 1.4.5 Puertas falsas del sistema 1.5 Soluciones generales a las amenazas contra la seguridad 1.6 Soluciones particulares a las amenazas contra la seguridad 1.6.1 Correctivas 1.6.2 Preventivas 1.7 Análisis digital forense Introducción a la seguridad de la información El objetivo de la seguridad es evitar riesgos de todo tipo en un sistema informático. El riesgo sería una combinación del valor del producto, de las amenazas que pueda recibir y de las vulnerabilidades que este pueda tener. Los problemas de seguridad se clasifican en bajo/medio/alto, muy alto y crítico. Los primeros son los más habituales y se realizan de forma general, no suelen tener grandes consecuencias. Los críticos son los que mayor peligrosidad conllevan estos se denominan como APT (Advanced Persistent Threat)(Amenaza Persistente Avanzada) Sabiendo que la seguridad en una organización al 100% es inalcanzable, ahora veremos las medidas de protección básicas que podemos acadar para intentar reducir el riesgo. ● Medidas de protección técnicas o lógicas Protegen todo, tanto los programas como los datos.Ejemplo: - Criptografía: cifrado los textos siguiendo un algoritmo. - Sistemas operativos: Un SO seguro permite identificar autenticar y contabilizar usuarios, también controla los accesos a los recursos. ● Medidas de protección física Estas medidas no suelen ocurrir con mucha frecuencia pero cuando lo hacen son bastante más críticas que los otros tipos de amenazas. Un ejemplo de estas amenazas serían los desastres naturales. ● Medidas de protección administrativas y organizativas Estas gestionan la política de seguridad, analizan los riesgos y asignan responsabilidades. ● Ciberinteligencia Son las actividades que se llevan a cabo para analizar, prevenir, identificar y localizar los ataques o amenazas de un entorno. ● Soluciones CTI (Cybersecurity Threat Intelligence) ❖ FININT : es la recopilación de información sobre los asuntos financieros ❖ GEOINT : es inteligencia sobre la actividad humana en la tierra que proviene del estudio de imágenes e información geoespacial. ❖ HUMINT :tiene como objeto la captura de información de inteligencia. ❖ MASINT :es la obtención de información mediante la intercepción de señales. ❖ OSINT : es la inteligencia de fuentes abierta desarrollada por los principales servicios de seguridad del mundo. ❖ SIGINT : es la obtención de información mediante la intercepción de señales. ● Open Source Intelligence (OSINT) La inteligencia de fuentes abiertas, se refiere al conocimiento recopilado a partir de fuentes de acceso público. Entre estas fuentes se encuentran por ejemplo los buscadores web, que a su vez son un ejemplo de motor de búsqueda. Un ejemplo de estos sería Google. Otra fuente son los metadatos:Información del fichero que se almacena en este mismo. Consejos: 1. Usar navegadores que no controlen nuestra actividad online y/o navegar de forma anónima. 2. Usar aplicación que borren nuestro historial y paso por las redes. 3. Usar extensiones. 4. No usar wifi públicos para operaciones que conlleven el movimiento de dinero y/o revelación de nuestros datos personales. ● Principios generales de seguridad Estos son 9 y se complementan entre sí, se deben interpretar como un todo. 1) Concienciación Ser conscientes de la necesidad de contar con sistemas y redes de información seguros, y tener conocimiento de los medios para ampliar la seguridad. 2) Responsabilidad Ser responsables de la seguridad de los sistemas y redes de información. 3) Respuesta Actuar de manera adecuada y conjunta para prevenir, detectar y responder a incidentes que afecten la seguridad. 4) Ética Respetar los intereses legítimos de terceros. 5) Democracia La seguridad de los sistemas y redes de información debe ser compatible con los valores esenciales de una sociedad democrática. 6) Evaluación del riesgo Llevar a cabo evaluaciones de riesgo. 7) Diseño y realización de la seguridad. incorporación de la seguridad como un elemento esencial de los sistemas y redes de información. 8) Gestión de la Seguridad. Adopción de una visión general de la seguridad. 9) Reevaluación Revisión y reevaluación de la seguridad y realización de las modificaciones que hagan falta. ● Organismos de estandarización Estos organismos son los que determinan la calidad y fiabilidad de los diferentes sistemas y productos para su uso comercial. Los más importantes son: - ANSI - IEC - IEEE - ITU - ISO ● Modelo OSI El modelo OSI , es un modelo de referencia los protocolos de comunicación de las redes informáticas. Este está formado por 7 capas: (Aplicación-Presentación-Sesión-Transporte-Red-Enlace de datos-Físico) Dominios de una LAN Estos se dividen en dos grupos: - Acceso al medio - Los de colisión o contienda - Los de paso de testigo (token passing) - Difusión - Multicast - Broadcast Un dominio de colisión o contienda está formado por todos aquellos equipos que pretenden transmitir, es decir por todos los equipos que tienen que luchar para poder transmitir. Los dominios de paso de testigo están formados por todos aquellos equipos que transmiten testigos. Los dominios de difusión está formado por todos aquellos equipos que escuchan las disfunciones. Dentro de estos hay dos tipos: - Multicast → 1 a varios - Broadcast → 1 a todos Los dominios se pueden romper o lo que es lo mismo segmentar. Las ventajas de la segmentación son que se mejora la seguridad y disminuye la congestión de la red, incrementa el ancho de banda y facilita encontrar los problemas de la red. ISO 7498 = ITU X.200 Capa 1 y 2 Interceptan transmisiones Capa 2 y 4 Interceptan mensajes y ataques Capa 5 Robo de contraseñas Capa 6 Rompe transmisiones Capa 7 Realiza ataques ISO 7498 = ITU X.200 Establece un conjunto de servicios y de mecanismos para proteger los datos durante la transmisión. ● Servicios de seguridad ISO7498-2 Esta es una función que garantiza la seguridad de un sistema de transmisión. a) Autenticación. Corrobora la veracidad de la fuente de una unidad de datos. Utiliza tres técnicas para realizar esta verificación : prueba por conocimiento, por posesión y por propiedad b) Control de acceso.evita el uso no autorizado de los recursos disponibles a través de un sistema de interconexión. c) Confidencialidad de datos. Proporciona protección contra la revelación de los datos en una comunicación. d) Integridad de datos. Garantiza que los datos recibidos coinciden con los datos enviados. e) No repudio.Proporciona la prueba, ante una tercera parte, de que cada una de las entidades comunicantes han participado en una comunicación. ● Mecanismos de seguridad ESPECÍFICOS Cifrado Firma digital (No repudio) Control de acceso Integridad de datos (Protección de los datos) Intercambio de autenticación(Verificación de las identidades) Relleno de tráfico (Protección contra ataques) Control de encaminamiento (Selección de rutas) Certificación GENERALES Funcionalidad de confianza Etiquetas de seguridad Detección de eventos Traza de auditoría Recuperación de seguridad ● Técnicas Biométricas La biometría es un método de reconocimiento de personas. Para poder usarlo las personas deben mediante un proceso de registro, que se divide en tres fases (Captura-Procesamiento-Inscripción), deben registrar su identidad en el sistema. Después de este proceso se realiza otro el de autenticación que captura una muestra biométrica del individuo y se compara con las plantillas ya creadas. Esta autenticación puede realizarse de dos modos diferentes: - Identificación Comparación de muestras en una base de datos de rasgos biométricos. - Verificación Identificación del usuario mediante algo que reconozca su identidad, después de esto se selecciona en una base de datos el patrón que se ha registrado previamente de este usuario y finalmente el sistema compara las dos características, biométricas la que acaba de recoger y la que ya tiene almacenada. Existen dos tipos de tecnologías biométricas que son las siguientes: ➢ Tecnologías biométricas fisiológicas ○ Huella dactilar ○ Reconocimiento facial ○ Reconocimiento de iris ○ Reconocimiento de la geometría de la mano ○ Reconocimiento de la retina ○ Reconocimiento vascular ➢ Tecnologías biométricas de comportamiento ○ Reconocimiento de firma ○ Reconocimiento del escritor ❖ Características y tipología de las Tecnologías Biométricas ○ Reconocimiento de voz ○ Reconocimiento de escritura del teclado ○ Reconocimiento de la forma de andar ❖ Beneficios del uso de tecnologías biométricas en una empresa ○ Reducción de costes de mantenimiento de los sistemas de autenticación ○ Aumento de la eficiencia ○ Control horario ❖ Vulnerabilidades del uso de tecnologías biométricas ○ Calidad baja de los dispositivos de captura. ○ Falta de conocimientos técnicos del personal ○ Falta de recursos Tipos de amenazas contra la seguridad Se clasifican en los siguientes grupos: ❖ Seguridad física ➢ Robo ➢ Dumpster diving (Bucear en la basura) ➢ Shoulder surfing (Espiar por la espalda) ➢ IDS falsos (Suplantación de identidad) ❖ Basadas en el medio de transmisión ➢ Escuchas (Escuchar lo que pasa por la red) ➢ Imitación (Explotación de una vulnerabilidad en el software) ❖ Autenticación ➢ Password Cracking (Captura,averiguación y edición de contraseñas) ❖ Programación ➢ Adware (Muestra publicidad en pantalla mientras recopila información) ➢ Bacterias (No daña ficheros, se replica hasta consumir todos los recursos de procesamiento) ➢ Botnets (Redes de ordenadores que infectan ordenadores a través de Internet) ➢ Troyanos (Programa que engaña al ordenador para dañarlo) ➢ Gusanos (Programa que se ejecuta independientemente daña el ordenador) ➢ Keyloggers (Programa que registra todas las pulsaciones de teclado de un equipo informático) ➢ Pop-ups (Ventanas emergentes que se comportan como spyware) ➢ Spam (Envío masivo de correo-e a usuarios que no lo han solicitado) ➢ Virus (Programa que infecta ficheros y ejecuta acciones dañinas) ❖ Puerta falsa del sistema ➢ Piggybacking (Añadir información sin que el emisor se dea cuenta) Soluciones generales a las amenazas contra la seguridad ❖ Sistema de detección de intrusos: Sistema que detecta y limita los accesos no autorizados en un equipo informático. Intruso: usuario no autorizado que se hace pasar por usuario legítimo. Ejemplo: hackers, crackers, script kiddies, … Intrusión: conjunto de acciones realizadas con el objetivo de lograr el acceso a un sistema. Detección de intrusos: proceso mediante el que un mecanismo denominado IDS, analiza y determina si se violan las reglas preestablecidas, pudiendo así identificar un ataque. ❖ Sistema de Prevención de intrusos(IPS):Este es un dispositivo de control que se ubica entre dos redes y busca una regla en el tráfico analizado para descartarlo. Políticas de seguridad (PSI) Los aspectos generales que se deben realizar a la hora de formular políticas de seguridad son los siguientes: - Análisis de riesgos - Saber quien puede tomar las decisiones - Exponer explícitamente las propuestas de seguridad. Etapas de desarrollo de la política de seguridad Fase de desarrollo − Creación − Revisión (Revisada por personas que no lo crearon) − Aprobación Fase de implementación − Comunicación − Cumplimiento − Excepciones (Hacer algo que no está previsto) Fase de mantenimiento − Concienciación − Monitorización − Garantía de cumplimiento − Mantenimiento Fase de eliminación − Retiro Copias de seguridad Las más comunes son: ● Copias de seguridad completas (Full Backups) Copia todos los ficheros y directorios seleccionados, borrando el bit de modificado de cada fichero que copia. Los ficheros copiados se colocan generalmente en un fichero único comprimido. ● Copias de seguridad diferenciales (Differential Backups) Sólo copia los ficheros que han cambiado desde la última copia, pero no elimina el bit de modificado de cada fichero que copia. ● Copias de seguridad incrementales (Incremental Backups) Sólo copia los ficheros que han cambiado desde la última copia, borrando el bit de modificado de cada fichero que copia. ● Delta o copias de seguridad a nivel de bloque (Delta Block-level Backups) ● Copias de seguridad espejo (copia simple) (Mirror Backup) Los ficheros replicados en general permanecen en el mismo estado en el que se encuentran en la fuente, no se comprimen. Raid ➔ Raid 0 ◆ Los datos se distribuyen entre varios discos en bloques, sin guardar información sobre la paridad. ➔ Raid 1 ◆ Los datos se copian directamente en una segunda unidad de disco duro. ➔ Raid 2 ◆ Los datos se distribuyen entre varios discos de bit en bit, utilizando corrección de error. ➔ Raid 3 ◆ Los datos se dividen entre varios discos en bytes, con un disco utilizado para almacenar la información sobre paridad. ➔ Raid 4 ◆ Los datos se dividen entre varios discos en bloques de datos, con un disco utilizado para almacenar la información sobre paridad. ➔ Raid 5 ◆ Los datos se dividen entre varios discos en bloques de datos, con la paridad distribuida por igual entre todos los discos. Existen otros tipos de raids menos comunes que de son el Raid 6, Raid 0+1, Raid 1+0, Raid 0+3, Raid 5+0. Soluciones particulares contra las amenazas ❏ Medidas correctivas ❏ Medidas preventivas Las Medidas Correctivas son aquellas que adoptamos una vez se produce el daño. Las Medidas Preventivas son aquellas que adoptamos para evitar que este se produzca, teniendo en cuenta que la seguridad al 100% es inalcanzable. Correctivas - Copias de seguridad - Backups (Imágenes de respaldo) - Recuperación de datos - Planificación de recuperación frente a desastres Preventivas - Tolerancia a fallos lógica Tolerancia a fallos física Archivado, HSM Sanitización Chequeo de paridad Análisis predictivo de fallos Cuentas de usuario sin privilegios Actualización del software Protección antimalware Cifrado Cortafuegos Auditoría Introducción al análisis forense El concepto de análisis forense digital hace referencia a un conjunto de procedimientos de recopilación y análisis de evidencias que se realizan con el fin de responder a un incidente relacionado con la seguridad informática. Tipos de análisis forense - Análisis forense de sistemas: tanto sistemas operativos Windows, como OSX, GNU/Linux, etc. - Análisis forense de redes. - Análisis forense de sistemas embebidos. - Análisis forense de memoria volátil. Características El procedimiento de análisis forense debe poseer las siguientes características: - Verificable Se debe poder comprobar la veracidad de las conclusiones extraídas a partir de la realización del análisis. - Reproducible Se deben poder reproducir en todo momento las pruebas realizadas durante el proceso. - Documentado Todo el proceso debe estar correctamente documentado y debe realizarse de manera comprensible y detallada. - Independiente Las conclusiones obtenidas deben ser las mismas, independientemente de la persona que realice el proceso y de la metodología utilizada. Fases El procedimiento de análisis forense consta de las siguientes fases: - Preservación Corresponde a la fase en la que se debe garantizar que no se pierdan las evidencias que deben ser recopiladas para su posterior análisis. - Adquisición Corresponde a la etapa en la que se recopilan las evidencias. - Análisis A la hora de realizar el análisis de la información recopilada se debe tener presente el tipo de incidente al que se pretende ofrecer respuesta. - Documentación Se debe realizar dicha fase de una manera muy metódica y detallada. - Presentación La fase de presentación de la información es tan importante o más que las anteriores ya que se deben hacer accesibles y comprensibles las conclusiones que se han obtenido del proceso del análisis forense. Hay que tener presente que las fases no son secuenciales sino que están entrelazadas entre sí. Por ejemplo, la fase de documentación comienza en la fase de preservación. Principios durante la recolección de evidencias •Capturar una imagen del sistema tan precisa como sea posible. •Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC .•Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo. •En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis. •Recoger la información según el orden de volatilidad (de mayor a menor). •Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera. Orden de volatilidad •Registros y contenido de la caché. •Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. •Información temporal del sistema. •Disco. •Logs del sistema. •Configuración física y topología de la red Acciones que deben evitarse - No apagar el ordenador hasta que se haya recopilado toda la información volátil - No confiar en la información proporcionada por los programas del sistema ya que pueden haberse visto comprometidos. Se debe recopilar la información mediante programas desde un medio protegido como se explicará más adelante. - No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema Consideraciones de privacidad Hay que asegurarse que toda la información recopilada durante el proceso sea tratada dentro del marco legal establecido, manteniendo la privacidad exigida. Un ejemplo de estos son los ficheros log. Consideraciones legales •Admisible: se debe cumplir las normas de la legislación vigente. •Auténtica: se debe poder probar que la evidencia corresponde al incidente en cuestión. •Completa: debe corresponder a la información completa y no a una visión parcial. •Confiable: no debe existir ninguna duda acerca de cómo se ha obtenido la evidencia y la posterior manipulación que pueda arrojar dudas sobre su autenticidad y veracidad. •Creíble: debe de ser verosímil y fácilmente comprensible por un tribunal.