UNIDAD ACADMICA DE INGENIERIA INGENIERO EN COMPUTACIN

INTERPRETACION DE LAS POLTICAS DE SEGURIDAD. VULNERABILIDAD

MATERIA:

SEGURIDAD EN REDES
ALUMNO:

MOISES MOJICA REYES

8VO SEMESTRE T.V GRUPO: B

CHILPANCINGO GRO, A 18 DE FEBRERO DEL 2013.

POLTICAS DE SEGURIDAD

MOISES MOJICA REYES

"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido ms... Ms vale dedicar recursos a la seguridad que convertirse en una estadstica."

Hoy es imposible hablar de un sistema cien por ciento seguro, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms negocios. "Si un Hacker quiere gastar cien mil dlares en equipos para descifrar una encriptacin, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar millones de dlares". La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni ms ni menos que un gran avance con respecto a unos aos atrs. Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios. "Una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema." (3)

La RFC 1244 define Poltica de Seguridad como: "una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn." (4) La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una poltica de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." (5) y debe:

Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.

Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.

Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.

(1) ARDITA, Julio Csar. Director de Cybsec S.A. Security System y ex-Hacker. Entrevista personal realizada el da 15 de enero de 2001 en instalaciones de Cybsec S.A. http://www.cybsec.com (2) FERNADEZ, Carlos M. Seguridad en sistemas informticos. Ediciones Daz de Santos S.A.. Espaa. 1988. Pgina 105.

(3) HUERTA, Antonio Villaln. Seguridad en Unix y redes. (Versin 1.2). Captulo 16Pgina 259 (4) RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991 (5) SPAFFORD, Gene. "Manual de seguridad en redes". ArCERT. Argentina. 2000.

Consideraciones para seguridad del Usuario Estas son algunos de las consideraciones que se deberan tener en cuenta para la proteccin de la informacin: 1. Quizs el usuario contempla todas las noticias de seguridad con escepticismo, piensan que los Administradores son paranoicos y se aprovechan de las contadas situaciones dadas. Quizs tengan razn, pero se debe recordar que el mundo virtual no es ms que una pequea muestra del mundo fsico, con el agregado que es el campo ideal de impunidad y anonimicidad. 2. Generalmente se considera que la propia mquina es poco importante para que un atacante la tenga en cuenta. Se debera recordar que este atacante no sabe quin est del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (o no) como cualquier otro. 3. Generalmente se sobrevalora la capacidad de un atacante. Al contrario de la creencia popular no se necesita ser un Gur para ingresar en una computadora y generalmente quienes lo hace son Script-Kiddies en busca de "diversin". De hecho un Gur siempre tendr "mejores cosas que hacer". 4. Convencerse de que TODOS los programas existentes tienen vulnerabilidades conocidas y desconocidas es muy bueno. Esta idea permite no sobrevalorar la seguridad de su sistema.. 5. La Regla de Oro que todo usuario debe tomar como obligacin (y su responsabilidad) es tomar la seguridad de su computadora en serio. Recordar que el eslabn ms dbil de una cadena equivale a la resistencia de la misma es muy bueno en este momento. Ningn usuario inocente estar contento si su nombre aparece en la lista de posibles intruso en una red, nada ms que porque alguien decidi utilizarlo para tales fines. Tampoco es bueno ser acusado de expandir un virus por el simple hecho de enviar mails sin comprobarlos anteriormente.

Los procedimientos simples mencionados pueden evitar grandes dolores de cabezas.

Seguridad a Nivel Humano

Ejemplo de una amenaza no Intencionada (Empleado) El siguiente ejemplo ilustra una posible situacin de contingencia y el procedimiento a tener en cuenta: Un empleado, no desea perder la informacin que ha guardado en su disco duro, as que la copia (el disco completo) a su carpeta particular del servidor, que resulta ser tambin el servidor principal de aplicaciones de la organizacin. No se han definido cuotas de disco para las carpetas particulares de los usuarios que hay en el servidor. El disco duro del usuario tiene 6 GB de informacin y el servidor tiene 6,5 GB de espacio libre. El servidor de aplicaciones deja de responder a las actualizaciones y peticiones porque se ha quedado sin espacio en el disco. El resultado es que se deniega a los usuarios los servicios del servidor de aplicaciones y la productividad se interrumpe. A continuacin, se explica la metodologa que se debera haber adoptado antes de que el usuario decida realizar su copia de seguridad:

Directivas: 1. Predecir Ataque/Riesgo: Negacin de servicios por abuso de recursos. 2. Amenaza: No existe. Empleado sin malas intenciones. 3. Ataque: No existe motivo ni herramienta, solo el desconocimiento por parte del usuario. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad por espacio de disco/memoria agotados. b. Determinar y minimizar vulnerabilidades: implementar cuotas de discos. c. Evaluar planes de contingencia: servidor backup. d. Capacitar el usuario. 5. Estrategia Reactiva:

a. Evaluar daos: prdida de produccin. b. Determinar su origen y repararlos: hacer espacio en el disco. c. Documentar y aprender: implementar plan de contingencia. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados. Ejemplo de un amenaza Malintencionada (Insider) Una empresa competidora ofrece a un usuario cierta suma de dinero para obtener el diseo del ltimo producto desarrollado por su empresa. Como este usuario carece de los permisos necesarios para obtener el diseo se hace pasar como un Administrador, y usando ingeniera social, consigue el nombre de usuario y password de un usuario con los permisos que l necesita. La poltica de seguridad asociada a este evento debera haber contemplado:

Directivas: 1. Predecir Ataque/Riesgo: Robo de informacin mediante el uso de ingeniera social. 2. Amenaza: Insider. 3. Ataque: Ingeniera social. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad y/o beneficios. b. Determinar y minimizar vulnerabilidades: concientizacin de los usuarios. c. Evaluar planes de contingencia. 5. Estrategia Reactiva: a. Evaluar daos: prdida de beneficios e informacin. b. Determinar su origen: revelacin de login y password por parte el usuario. c. Reparacin de daos: implementar entrenamiento de los usuarios. d. Documentar y aprender. e. Implementar plan de contingencia. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.

Personas Ajenas al Sistema - Amenaza No Intencionada

Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios: Directivas: 1. Predecir Ataque/Riesgo: Negacin de servicio del servidor de correo electrnico por gran la cantidad de mensajes enviados/recibidos. 2. Amenaza: Virus. 3. Ataque: Virus de correo electrnico. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad por negacin de servicio. b. Determinar y minimizar vulnerabilidades: actualizacin de antivirus y concientizacin de usuarios en el manejo del correo electrnico. c. Evaluar planes de contingencia: evaluar la importancia de un servidor backup. Antivirus. 5. Estrategia Reactiva: a. Evaluar daos: prdida de produccin. b. Determinar su origen: cada del servidor por overflow de mensajes. c. Reparacin de daos: implementar el servidor backup. Eliminacin del virus causante del problema. d. Documentar y aprender. e. Implementar plan de contingencia: servidor backup. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados. Personas Ajenas al Sistema - Amenaza Malintencionada (Out-Sider) Una persona ingresa al sistema de la empresa, con intenciones de recopilar informacin para su posterior venta: Directivas:

1. Predecir Ataque/Riesgo: Ingreso al sistema por vulnerabilidades en los sistemas o poltica de claves ineficiente. 2. Amenaza: Outsider recopilando informacin significativa. 3. Ataque: Ingreso al sistema. 4. Estrategia Proactiva: a. Predecir posibles daos: Robo y venta de informacin. Dao a la imgen de la empresa. b. Determinar y minimizar vulnerabilidades: actualizacin de sistemas vulnerables. Concientizacin a los usuarios en el manejo de contraseas fuertes. c. Evaluar planes de contingencia: implementacin de servidor backup para casos de dao de la informacin. Recuperacin de imagen. Evaluar formas de minimizar el dao por la informacin robada. 5. Estrategia Reactiva: a. Evaluar daos: informacin susceptible robada. b. Determinar su origen: ingreso al sistema. c. Reparacin de daos. d. Documentar y aprender. e. Implementar plan de contingencia: servidor backup. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados. Interpretacin de las Polticas de Seguridad Las polticas de seguridad son una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informticos y la informacin como activos de una organizacin, mantenindolos libres de peligros, daos o riesgos. La seguridad informtica se puede clasificar en seguridad lgica y seguridad fsica y busca con la ayuda de polticas y controles mantener la seguridad de los recursos y la informacin manejando los riesgos.

Principios de la Seguridad de la informacin INTEGRIDAD: la informacin debe ser protegida de modificaciones no autorizadas. DISPONIBILIDAD: la informacin y servicios deben estar disponibles siempre que se necesiten. CONFIDENCIALIDAD: se debe garantizar que la informacin es conocida nicamente por a quien le interese.

VULNERABILIDAD

MOISES MOJICA REYES

En seguridad informtica, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad,

disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de fallos en el diseo del sistema. Aunque, en un sentido ms amplio, tambin pueden ser el resultado de las propias limitaciones tecnolgicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades tericas y vulnerabilidades reales (conocidas como exploits).

Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versin. En tanto algunas otras requieren un cambio fsico en un sistema informtico.

Las vulnerabilidades se descubren muy seguido en grandes sistemas, y el hecho de que se publiquen rpidamente por todo internet (mucho antes de que exista una solucin al problema), es motivo de debate. Mientra ms conocida se haga una vulnerabilidad, ms probabilidades de que existan piratas informticos que quieren aprovecharse de ellas.

Algunas vulnerabilidades tpicas suelen ser: Desbordes de pila y otros buffers. Symlink races. Errores en la validacin de entradas como: inyeccin SQL, bug en el formato de cadenas, etc. Secuesto de sesiones. Ejecucin de cdigo remoto. XSS.

Cmo evitar vulnerabilidades? Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de cdigo maligno. Lo que s es posible es tratar de evitarlas al mximo posible, tengamos presente que las comunicaciones en la red constan de 7 capas segn el modelo OSI, y las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del ncleo de nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estn radicando en nuestra computadora sino que tambin pueden llegar a ser mediante ejecucin de cdigo mientras visitemos alguna pgina web, o cuando el atacante tiene privilegios de acceso a nivel administrativo a nuestra computadora As que se debe tener presente que para evitar las vulnerabilidades no solamente basta con tener un antivirus y ejecutarlo de manera peridica Aqu una lista de recomendaciones para tener nuestra computadora libre de virus: 1. Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad. 2. Activar Firewall. 3. Programar escaneos completos del Antivirus mensuales. 4. No caer en trampas obvias como correos spam dicindote que ganaste la lotera en un pas que ni siquiera conoces. 5. Si vas a descargar msica, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables. 6. Vacunar unidades externas. Para la mayora de los usuarios de internet estas simples recomendaciones sern suficientes y tiles

Una vulnerabilidad es una debilidad del sistema informtico que puede ser utilizada para causar un dao. Las debilidades pueden aparecer en cualquiera de los elementos de una computadora, tanto en el hardware, el sistema operativo, como en el software. Como ejemplo de vulnerabilidad podemos comentar el siguiente. En su casa hay una computadora conectada a Internet, donde adems tiene configurada una cuenta de correo electrnico a travs de la que recibe mensajes diariamente. Tambin tiene instalado un antivirus que es capaz de chequear los mensajes electrnicos, incluidos los archivos que estn adjuntos. Pero el antivirus lo instalo cuando compr el equipo hace ms de un ao y no lo ha vuelto a actualizar. En este caso su equipo es vulnerable a los virus ms recientes que puedan llegar mediante su correo electrnico, ya que el antivirus no est actualizado y no sabe que estos nuevos virus existen. Pero una cosa s que es cierta, que exista una vulnerabilidad no significa que se produzca un dao en el equipo de forma automtica. Es decir, la computadora tiene un punto flaco, pero no por eso va a fallar, lo nico que ocurre es que es posible que alguien ataque el equipo aprovechando ese punto dbil. Amenaza para la informacin Una amenaza a un sistema informtico es una circunstancia que tiene el potencial de causar un dao o una prdida. Es decir, las amenazas pueden materializarse dando lugar a un ataque en el equipo. Como ejemplos de amenaza estn los ataques por parte de personas, al igual que los desastres naturales que puedan afectar a su computadora. Tambin se pueden considerar amenazas los fallos cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto del hardware o como del software. Riesgo de la informacin El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo. Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.

El riesgo se utiliza sobre todo el anlisis de riesgos de un sistema informtico. Este riesgo permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo lmite que acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia, ste se convierte en un riesgo residual que podemos considerar como riesgo aceptable. Referencias http://www.codejobs.biz/es/blog/2012/09/07/seguridad-informatica-que-es-unavulnerabilidad-una-amenaza-y-un-riesgo http://www.alegsa.com.ar/Dic/vulnerabilidad.ph http://es.wikibooks.org/wiki/Seguridad_inform%C3%A1tica/Vulnerabilidad http://www.segu-info.com.ar/politicas/ http://www.segu-info.com.ar/politicas/polseginf.htm http://www.segu-info.com.ar/politicas/humano.htm