Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Autenticacin
Identificacin
I. Identificacin Login ID
II. Autenticacin
Que es lo que
soy ?
Que es lo que
tengo ?
Que es lo que se
?
Contraseas
Tokens autenticacin de doble facto
Autenticacin de doble factor
Opciones de autenticacin
Fortaleza Relativa
Password
Weaker Stronger
III. Autorizacin
Single
Sign On
SSO
SSO
Permite al usuario acceder a varios sistemas
con una sola instancia de identificacin, a travs
de un solo producto que hace interface con:
Aplicaciones Web
Sistemas distribuidos
Seguridad de red y acceso
remoto
Mecanismos de Autenticacin: SSO
Ventajas
Reduce la carga
administrativa
Reduce tiempo de
Mejor auditora de
accesos Ventajas acceso por nico
usuario
No es necesario el
us de muchos
usuarios/contraseas
Desventajas
No siempre
es sencillo de
implementar
Mayor costo
en cuanto a
nico punto las
de hackeo Desventajas integraciones
de los
sistemas
nico punto
de falla
Biometria
Biometria
Estudia y mide los datos de los seres
vivientes.
"bios" (vida) y "metros" (medida)
Sirve para la identificacin automtica o la
verificacin de la identidad de un sujeto,
sobre la base de sus caractersticas fsicas
o de su comportamiento.
Tipos
Asegura la
confidencialidad de
la informacin.
Elementos de la criptografia
Algoritmo
Llave
Longitud de la Llave
Principio de Kerckhoff
En 1883 Auguste
Kerckhoff enunci que
en un sistema
criptogrfico solo la
clave debe ser el
elemento secreto.
Tipos
Criptografa
simtrica
https://www.youtube.com/watch?v=
46Pwz2V-t8Q
Criptografa simtrica
Una misma llave encripta
y desencripta.
Algoritmos
DES (56 bits)
3DES 3 llaves de 56
bits
AES (128, 192, 256
bits )
IDEA
Blowfish
RC5
Salsa20
Criptografa
Asimtrica
https://www.youtube.co
m/watch?v=On1clzor4x4
Criptografa
Asimtrica
Usa 2 llaves:
Privada y
Pblica
Algoritmos
RSA (Rivest,
Shamir,
Adleman)
El Gamal
Curva Eliptica
Funciones
Hash
https://www.youtube.com/watch?v=
7TA0jkxREr8
Funciones
Hash
Algoritmo de
una sola va
Algoritmo
altamente
sensible
Algoritmos:
MD5, SHA-II,
SHA-III
Aplicaciones
Secure sockets layer (SSL/TLS)
IP security
SSH
Secure multipurpose Internet mail extensions
(S/MIME)
3D Secure
Firma Digital
Algoritmo de la Firma digital
PKI
Es el conjunto de servicios de seguridad
que posibilitan el uso y administracin de:
Page 35
PKI
Componentes PKI
Certificado
digital
Certification
Autoridad
Practice
certificadora
Statement
(CA)
(CPS)
PKI
Lista de
Autoridad
revocacin
de registro
de
(RA)
certificado
Malware
https://www.youtube.com/
watch?v=NPsjN8AvNQM
Adware
Muestra
publicidad de
distintos
productos o
servicios.
3
Troyano
Software daino
disfrazado de
software legtimo
que permite que un
extrao controle
nuestro PC.
3
Dialer
Programa que llama
a un nmero de
telfono diferente al
de la conexin para
que el usuario
pague la llamada de
larga distancia.
4
Hijacker
Hijacker
Realiza cambios en la
configuracin del
navegador para
redirigir a webs de
caractersticas
indeseables
(pornogrficas,
copias de webs
bancarias, ...)
4
Keylogger
Registra pulsaciones del teclado.
4
Spam
Correos
publicitarios que
son enviados de
forma masiva e
indiscriminada a
direcciones
electrnicas.
4
Spyware
Programa espa que
recopila informacin
sobre los hbitos del
usuario (navegacin,
programas ms
usados, ...) para luego
enviarla a travs de
Internet y que sea
utilizada con fines
comerciales.
4
Ventanas emergentes
Ventanas que aparecen constantemente en el navegador
mostrando publicidad y que dificultan la navegacin.
4
Virus
Programa que
altera el normal
funcionamiento
de la PC y
realiza cambios
en el sistema
sin autorizacin
del usuario.
4
Worms
No alteran los
archivos del
sistema,
residen en
memoria y se
duplican a s
mismos.
47
Botnet
Envia SPAM
Envia Malware
Aloja Phishing
Ataque DDOS
Aloja Warez
Rootkits
Se disfrazan como software del Sistema.
Ramsomware
Secuestro de datos
APTs
Un grupo o
organizacin
que opera una
campaa de
robo de
propiedad
intelectual
usando
malware
Motivacin
QIF
T uickT
are F ime
needed
(Uncom
toand athisdecom
pressed)
see picture.
pressor
Cmo hacen dinero?
Eugene Karspersky
https://www.youtube.com/watch?v=
Ak3qp4qRAiY
Malware en
mviles
Malware en Moviles
https://www.youtube.com/watch?
v=9n8OZyo4nG0
57
Explosin de Malware
58
Fuente: Blue Coat Systems 2014 Mobile Malware report
Ejemplo de infeccin
Explosin de Malware
59
Fuente: Blue Coat Systems 2014 Mobile Malware report
Anatomia de un mvil hackeado
Malware en Aplicaciones legtimas
6
Malware
Defensa en profundidad
Polticas de seguridad
Proteccin en el permetro
Proteccin en los servidores
Proteccin en los desktops
Mnimo privilegio posible
Mnimo punto de exposicin
Fuentes de informacin
ASC - Anti-Spyware Coalition
APWG - Anti-Phishing WG
AVAR - Association of Anti-virus
Asia Researchers
AVIEN - Anti-virus Information
Exchange Network
EICAR - European Institute for
Computer Antivirus Research
CERT - Computer Emergency
Response Team
ICSA LABS
ISC2
SANS
SIG Security - Swedish Information
Processing Societys Special
Interest Group Security
Virus Bulletin
Conferences
Gestin de Seguridad de la Informacin
Profesor: Mgtr. Gonzalo Martin Valdivia Benites
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS, CRISC(t)
Kevin Mitnick.
Ingenieria social
Las personas son el eslabon ms debil en la
cadena de la seguridad
El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas
Cmo nos atacan?
Todo objetivo se vale de una estrategia para
lograrlo.
Cmo nos atacan?
Preparar un ataque a un sistema informtico: versin, bug,
etc.
https://www.youtube.com/watch?v=lLpFIRARKqo
Spear Phishing
emails dirigidos exclusivamente a un blanco
DCOM
BBDD
WebServer
Browser WebService
WebServer
BBDD
RPC
1. Sql Injection
2. Broken Authentication and session management
3. XSS Scripting
4. Insecure data Objects references
5. Security misconfiguration
6. Sensitive Data Exposure
7. Missing function Level Access Control
8. Cross Site Request Forgery
9. Components with know vulnerabilities
10. Unvalidated redirects and forwards
Inyeccin SQL
https://www.youtube.com/watch?v
=LSySUX8n-PQ
Cross Site
Scripting XSS
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch
?v=_Z9RQSnf8-g
Vulnerabilidades Capa 8
Vulnerabilidades
Falta de conocimiento de estandares (OWASP,
SD3, SAMM, ISO )
Administradores/Desarrolladores no formados en
Seguridad
El Hacking tico es reactivo
Administradores predecibles
http://www.misitio.com/administracion
http://www.misitio.com/privado
http://www.misitio.com/gestion
http://www.misitio.com/basedatos
Estadsticas pblicas
Webalyzer / Google Analytics
Medidas Tcnicas:
Robots.txt
Captcha / Re-Captcha
Se debe implementar
despus de un numero
determinado de intentos
fallidos (x ejm 5).
https://www.youtube.com/
watch?v=xiod1PLPfHs
Fuente: Seguridad en Aplicaciones Web Chema Alonso
Robots.txt
Mtodo consultivo para
evitar que ciertos bots que
analizan los sitios Web u
otros robots que investigan
todo o una parte del acceso
de un sitio Web, agreguen
informacin innecesaria a
los resultados de bsqueda
(por ejm en Google).
https://www.youtube.com/watc
h?v=xiod1PLPfHs
http://www.viruslist.com/sp/analysis?pubid=20727
1280
http://www.kaspersky.com/about/news/virus/2015/Kaspersky-Lab-discovers-Podec-
first-Trojan-to-trick-CAPTCHA-into-thinking-its-human
Vulnerabilidades CAPTCHA
http://www.viruslist.com/sp/analysis?pubid=2072712
80
Fuente: Imperva Application Defense Center.
Errores en implementacin
Instalaciones default
Implementacin nula de auditoria a BBDD
Contraseas de administracin inseguras
Roles no definidos del DBA
Instalacin en Sistema Operativo inseguro
Remocin de herramientas innecesarias
Falta de Actualizacin
No aplicacin de parches a motor de BBDD
Enfoque (si lo hay) en parches al Sistema
Operativo
Caso mas representativo: Gusano SQL
slammer
Fuga de Datos
Acceso de informacin por el DBA
Acceso de informacin por los Analistas y
Programadores
Contraseas de administracin inseguras
Falta de cambio de contraseas
Falta de encriptacin de datos sensibles
Copia de datos de ambientes de Produccin
a ambientes de Soporte, Test y Desarrollo.
Robo de backups
Backups no autorizados
Backups no encriptados
Acceso a repositorios del Backup
Almacenamiento del Backup de la Base de
Datos
Traslado de los backups
Abuso
Acceso a datos sensibles por parte del DBA
Acceso de datos sensible por parte de los
analistas y programadores
Falta de auditoria a
Pases a produccin sin control
Falta de segregacin
Bloqueo de accesos para evitar fraudes
Super usuarios
Usuarios de la aplicacin
Enmascaramiento on the fly
Inconsistencia de BBDD
Falta de integridad referencial
Inconsistencia de datos
Necesidad de ingreso a BBDD para tareas
de soporte y correccin.
Fuente-, Chris Smith
Cyber breaches
Worlds Biggest Data Breaches
http://www.informationisbeautiful.net/visualizations/worlds-biggest-
data-breaches-hacks/
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
Hackactivismo
Anonymous
Defacing al MEF
Lulszec Asbanc
Lulzsec Mininter
LulzSec Mininter
LulzSec Ataque a FFAA Chile
Celebgate
El caso NSA
El caso Snowden
Mayor filtracin de la historia
Revel los abusos del
espionaje de la NSA
Objetivo de la NSA: Collect It
All
Programas:
PRISM
SIGINT
MUSCULAR
BULLRUN
OLYMPIA
El caso Snowden
Mayor filtracin de la historia
Espionaje a todos
Objetivo de la NSA: Collect It
All
Programas:
PRISM
SIGINT
MUSCULAR
BULLRUN
OLYMPIA
Operacin PRISM Acceso a los datos de las empresas
Facebook, Microsoft, Yahoo, Google, Skype, Apple
Skype
Five Eyes Alliance
USA - NSA
UK - GCHQ
Canada
Australia
New Zealand
Warner bros.
Tecnologas de Seguridad
Analistas de la industria TI
http://www.gartner.com/technology/research http://www.forrester.com/marketing/policies/forrester-
/methodologies/research_mq.jsp wave-methodology.html
I. Personas
Identity and
Access
Governance
(IAG)
Ciclo de Vida de la Identidad Digital
Nuevos Empleados entran en
la Empresa
Propagacin
Cuentas &
Polticas
Revocacin Mantenimiento/Gestin
Empleados dejan Cambios y Soporte a
la Empresa Usuarios
Aprovisionamiento de usuarios
Proceso automatizado para establecer y mantener los permisos de
acceso en los diferentes recursos de la organizacin basado en
polticas del negocio y la identidad.
X
Contratacin CRM
Rol
X
AS/400
X
Aplicacin
In-House
Deloitte 159
Cuadrante mgico Gartner IAG
II. Datos
Prevencin
de Prdida
de
Informacin
DLP
Data Loss Prevention
Cuadrante mgico Gartner DLP
Proteccin de BBDD
Proteccin de BBDD
Robo de credenciales
Identificacin de
aplicaciones, no de
puertos.
Vinculacin de la
aplicacin al usuario, no a
la IP.
Cuadrante mgico Gartner Firewall
Intrusion
Prevention
System
IPS
Inspecciona el trfico de red que ha pasado
a travs de los dispositivos de seguridad
como firewalls, Secure Web gateways y
Secure Email Gateways.
WAN
Antispam
Optimization
Evolution of Firewall Security Endpoint
Antivirus/ Data Loss
Protection/
Antispyware Prevention
NAC
Web
VPN
Filtering
App
Firewall IPS
Control
Wireless SSL
LAN Inspection
IPv6,
Vulnerability VoIP
Dynamic
Mgmt
Routing
212
Cuadrante mgico Gartner UTM
V. Infraestructura
Endpoints
Endpoint Protection Platforms
Antimalware
Antispyware
Firewall Personal
HIPS
Control de dispositivos y puertos
Encriptacion disco y archivo
DLP de endpoint
Evaluacin de vulnerabilidades
Mobile Device Management
Cuadrante magico EPP
Antimalware de Nueva Generacin
Antimalware de Nueva Generacin