Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Antología Seguridad Informatica II
Antología Seguridad Informatica II
Academia de Informática y
Sistemas Computacionales
Antología
Presenta
Ing. Manuel Torres Vásquez
Tabla de Contenido
Unidad I
Implementación de la seguridad informática
Unidad II
Unidad III
Unidad IV
Unidad V
UNIDAD I
IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto
por el hombre como por la naturaleza del medio físico en que se encuentra
ubicado el centro.
- Guardia humana.
Acceso físico
Desastres naturales
Alteraciones del entorno
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el
resto de medidas de seguridad implantadas se convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegación de servicio; si apagamos una máquina que proporciona un servicio
es evidente que nadie podrá utilizarlo.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los
equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para la prevención hay soluciones para todos los gustos y de todos los precios:
Analizadores de retina,
Tarjetas inteligentes,
Videocámaras,
Vigilantes jurados, etc.
Terremotos y vibraciones
Tormentas eléctricas
Inundaciones y humedad
Incendios y humos
Hay varias cosas que se pueden hacer sin un desembolso elevado y que son
útiles para prevenir problemas causados por pequeñas vibraciones:
Otro tema distinto son las inundaciones, ya que casi cualquier medio
(máquinas, cintas, routers, etc.) que entre en contacto con el agua queda
automáticamente inutilizado, bien por el propio líquido o bien por los
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que
afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Algo que solamente el individuo conoce: por ejemplo una clave secreta
de acceso o password, una clave criptográfica, un número de
identificación personal o PIN, etc.
Algo que la persona posee: por ejemplo una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: por ejemplo
las huellas digitales o la voz.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas técnicas vale mencionar sus ventajas y desventajas.
Se destaca que en los dos primeros casos enunciados, es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que
por otro lado, los controles de autenticación biométricos serían los más
apropiados y fáciles de administrar, resultando ser también, los más costosos
por lo dificultosos de su implementación eficiente.
1.1.2.3.1 CONTRASEÑAS.
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a
un determinado objeto, dependiendo de ciertos aspectos del proceso que hace
el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o
denegando el tráfico de red de acuerdo a alguna condición.
Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe
a sus limitaciones: no se puede distinguir el destino.
Las ACL extendidas se colocan cerca del origen del tráfico, por
eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.
1.1.2.3.3 CIFRADO
Las dos técnicas más sencillas de cifrado, son la sustitución (que supone el
cambio de significado de los elementos básicos del mensaje -las letras, los
dígitos o los símbolos-) y la trasposición (que supone una reordenación de los
mismos); la gran mayoría de las cifras clásicas son combinaciones de estas
dos operaciones básicas. El descifrado es el proceso inverso que recupera el
texto plano a partir del texto cifrado y la clave.
Cifrado simétrico
Cifrado asimétrico
Por otro lado, cuando se utiliza una pareja de claves para separar los procesos
de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave
pública. Una clave, la privada, se mantiene secreta, mientras que la segunda
clave, la pública, es conocida por todos. De forma general, las claves públicas
se utilizan para cifrar y las privadas, para descifrar. El sistema posee la
propiedad de que a partir del conocimiento de la clave pública no es posible
determinar la clave privada ni descifrar el texto con ella cifrado. Los
criptosistemas de clave pública, aunque más lentos que los simétricos, resultan
adecuados para los servicios de autenticación, distribución de claves de sesión
y firmas digitales.
1.1.2.4.2 FIREWALLS
Un firewall permite proteger una red privada contra cualquier acción hostil, al
limitar su exposición a una red no confiable2 aplicando mecanismos de control
para restringir el acceso desde y hacia ella al nivel definido en la política de
seguridad. Generalmente un firewall es utilizado para hacer de intermediario
entre una red de una organización e Internet u otra red no confiable.
Estrategia de un firewall
Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de
todas las decisiones de seguridad. Concentrando las defensas en este punto,
es posible reducir la sobrecarga de seguridad del sistema interno ya que el
esfuerzo se limita a unos pocos dispositivos de toda la red (los que forman
parte del firewall).
Si la red local está protegida por un firewall, solo existe acceso directo para un
conjunto seleccionado de hosts y la zona de riesgo es reducida al firewall en sí
mismo o a un conjunto seleccionado de hosts de la red interna. (ver Figura 22)
Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls
no puede proteger, como ser amenazas de puntos de acceso alternativos no
previstos (backdoors) y ataques originados en el interior de la red. El problema
de los firewalls es que limitan el acceso desde y hacia Internet, pero es un
precio que se debe pagar y es una cuestión de análisis de costo / beneficio al
desarrollar una implementación de seguridad.
Implementación
Para asegurar una red privada, se debe definir qué idea se tiene del “perímetro”
de red. En base a éstas y otras consideraciones se define una política de
seguridad y se establecen los mecanismos para aplicar la política y los
métodos que se van a emplear. Existe una variedad de mecanismos para la
implementación de firewalls que pueden incrementar en gran medida el nivel de
seguridad.
La red debe ser analizada en base a las diferentes capas del modelo de red.
Un firewall pasa a través de todas estas capas y actúa en aquellas
responsables del envió de paquetes, establecimiento y control de la conexión y
del procesamiento de las aplicaciones. Por eso, con un firewall podemos
controlar el flujo de información durante el establecimiento de sesiones,
inclusive determinando que operaciones serán o no permitidas.
* Nivel de red.
* Nivel de aplicación.
Cada uno de estos tipos tienen sus características propias, por lo que a
prioridad no se puede decir que un tipo sea mejor ni peor que el otro.
a. Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos
expresamente prohibidos.
Se prohíbe cualquier servicio excepto aquellos
expresamente permitidos. La más recomendada y utilizada
aunque algunas veces suele acarrear problemas por
usuarios descontentos que no pueden acceder a tal cual
servicio.
b. Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite
todo.
1.1.2.4.3 PROXIES
Ventajas
En general (no sólo en informática), los proxies hacen posibles varias cosas
nuevas:
Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar
equipado para hacer el trabajo real.
Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy
puede hacer caché: guardar la respuesta de una petición para darla
directamente cuando otro usuario la pida. Así no tiene que volver a
contactar con el destino, y acaba más rápido.
Filtrado. El proxy puede negarse a responder algunas peticiones si
detecta que están prohibidas.
Modificación. Como intermediario que es, un proxy puede falsificar
información, o modificarla siguiendo un algoritmo.
Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil
que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,
por ejemplo cuando hay que hacer necesariamente la identificación.
Desventajas
Funcionamiento
permisos,
fecha de acceso,
La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una
tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
Requerimientos básicos
Tipos de VPN
Este esquema se utiliza para conectar oficinas remotas con la sede central de
la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el
túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando
los servicios de su proveedor local de Internet, típicamente mediante
conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto
a punto tradicionales, sobre todo en las comunicaciones internacionales. Es
más común el siguiente punto, también llamado tecnología de túnel o tunneling.
TUNNELING
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).
Ventajas
Cuando algunas máquinas de la red interna deben ser accesibles desde una
red externa (servidores web, servidores de correo electrónico, servidores FTP),
a veces es necesario crear una nueva interfaz hacia una red separada a la que
se pueda acceder tanto desde la red interna como por vía externa sin correr el
riesgo de comprometer la seguridad de la compañía. El término "zona
desmilitarizada" o DMZ hace referencia a esta zona aislada que posee
aplicaciones disponibles para el público. La DMZ actúa como una "zona de
búfer" entre la red que necesita protección y la red hostil.
Debe observarse que es posible instalar las DMZ en forma interna para aislar la
red interna con niveles de protección variados y así evitar intrusiones internas.
•Confidencialidad
•Integridad
•Disponibilidad
Confidencialidad
Integridad
Disponibilidad
Los servicios: Son los programas que carga el propio sistema operativo
para poder funcionar, servicio de impresión, actualizaciones
automáticas, Messenger…
Escaneo de vulnerabilidades.
Se entiende por amenaza una condición del entorno del sistema de información
(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar
a que se produjese una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo).
Ataques pasivos
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido
o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro
categorías:
Para proteger una red inalámbrica, hay tres acciones que pueden ayudar:
Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil sea
la "trasposición" del texto. Consiste en cambiar cada letra del texto por otra
distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que
supieran que he puesto la letra siguiente del alfabeto para escribir la palabra
"antivirus" podrían entender la palabra.
1.2.4.1 APLICACIÓN
1.2.4.2 TRANSPORTE
1.2.4.3 RED
Los ataques a nivel de red siguen siendo bastante frecuentes. Aunque las pilas
TCP/IP de los distintos sistemas operativos son cada vez más robustas,
todavía son frecuentes los ataques de denegación de servicio en servidores NT
y Unix debidos al empleo de generadores de datagramas IP erróneos o
complicados de procesar.
En esta sección vamos a tratar sobre todo las medidas que creemos que se
deben establecer en las organizaciones mediante el uso de diversos protocolos
en los routers de acceso, para así evitar el acceso desde fuera a estos
servicios. Estas medidas no serán efectivas contra ataques internos, salvo que
Filtrado de paquetes
Gran parte de los ataques que se producen son debidos a la obtención de las
claves empleando un programa de sniffing en una red ethernet. En muchas
ocasiones, la separación de las redes y el empleo de switches y routers hace
falta para permitir una mayor descongestión del tráfico interno de una
organización, pero además es muy necesario para lograr una mayor seguridad
dentro de esta.
Hay que considerar además las posibilidades de gestión y consola remota que
disponen muchos hubs y switches: hay que cambiar las claves por defecto que
suelen tener estos equipos y deshabilitar la gestión remota de éstos si no se va
a hacer uso de ella (SNMP, consolas remotas, servidor de HTTP.).
1.2.4.4 ENLACE
Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo tráfico
local o unas pocas líneas de enlace muy vulnerables o críticas (como por
ejemplo circuitos satelitales).
Es el proceso de asegurar los datos en el nivel de enlace, cuando los datos son
transmitidos entre dos nodos instalados sobre el mismo enlace físico
1.2.5 MONITOREO
Los aplicativos de monitoreo del estado de red permiten, entre varias cosas:
Son muchos los motivos para preocuparnos por la seguridad de una red
inalámbrica. Por ejemplo, queremos evitar compartir nuestro ancho de banda
públicamente. A nadie con algo de experiencia se le escapa que las redes
inalámbricas utilizan un medio inseguro para sus comunicaciones y esto tiene
sus repercusiones en la seguridad. Tendremos situaciones en las que
precisamente queramos compartir públicamente el acceso a través de la red
inalámbrica, pero también tendremos que poder configurar una red inalámbrica
para limitar el acceso en función de unas credenciales. También tenemos que
tener en cuanta que las tramas circulan de forma pública y en consecuencia
cualquiera que estuviera en el espacio cubierto por la red, y con unos medios
simples, podría capturar la tramas y ver el tráfico de la red. Aunque esto pueda
sonar a película de Hollywood, está más cerca de lo que podríamos pensar.
Para resolver los problemas de seguridad que presenta una red inalámbrica
tendremos que poder, por un lado, garantizar el acceso mediante algún tipo de
credencial a la red y por otro garantizar la privacidad de las comunicaciones
aunque se hagan a través de un medio inseguro.
1.3.3 WEP
de 40 bits (cinco dígitos hexadecimales), que junto con los 24 bits del IV
obtenemos la clave de 64 bits. El vector de inicialización podría cambiar en
cada trama trasmitida. WEP usa la llave de cifrado para generar la salida de
datos que serán, los datos cifrados más 32 bits para la comprobación de la
integridad, denominada ICV (integrity check value). El valor ICV se utiliza en la
estación receptora donde se recalcula y se compara con el del emisor para
comprobar si ha habido alguna modificación y tomar una decisión, que puede
ser rechazar el paquete.
Para cifrar los datos WEP utiliza el algoritmo RC4, que básicamente consiste
en generar un flujo de bits a partir de la clave generada, que utiliza como
semilla, y realizar una operación XOR entre este flujo de bits y los datos que
tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el
mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la
inseguridad. La estación receptora utiliza este IV con la clave compartida para
descifrar la parte cifrada de la trama.
Lo más habitual es utilizar IV diferentes para transmitir cada trama aunque esto
no es un requisito. El cambio del valor IV mejora la seguridad del cifrado WEP
dificultando que se pueda averiguar la contraseña capturando tramas, aunque
a pesar de todo sigue siendo inseguro.
Debilidades de WEP
Las debilidades de WEP se basan en que, por un lado, las claves permanecen
estáticas y por otro lado son insuficientes y se transmiten sin cifrar.
1.4.7 MONITOREO
El Monitoreo se basa en un sistema de seguimiento continuo de la
información relacionada al sistema jurídico político para la medición
de resultados o identificación de acciones llevadas adelante por un
determinado sector de nuestra sociedad o grupo social con el
objetivo de ser estudiado para investigaciones socio-políticas.
Unidad II
2.2.4.2 HIDS
2.2.4.3 NIDS
Unidad III
1. Integridad
2. Confidencialidad
3. Disponibilidad
Metodología
Identificar:
- Estructura física ( hardware, topología)
- Estructura lógica ( Software aplicaciones)
-
Etapas de la auditoria de redes
- Análisis de la vulnerabilidad.
- Estrategia de saneamiento.
- Plan de contención ante posibles incidentes.
- Seguimiento continúo del desempeño de sistemas.
- Análisis de la vulnerabilidad:
- Estrategia de saneamiento.
Se identifican las brechas en la red y se produce a aprovecharlas,
ya sea actualizando el software afectado, reconfigurando de una
manera mejor o removiéndolo para reemplazarlo por otro software
similar.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado
y con acceso limitado.
La seguridad física del equipo de comunicaciones sea
adecuada.
Se tomen medidas para separar las actividades de los
electricistas y de cableado de líneas telefónicas.
Las líneas de comunicación estén fuera de la vista.
Se dé un código a cada línea, en vez de una descripción física
de la misma.
Haya procedimientos de protección de los cables y las bocas
de conexión para evitar pinchazos a la red.
Existan revisiones periódicas de la red buscando pinchazos a
la misma.
El equipo de prueba de comunicaciones ha de tener unos
propósitos y funciones específicas.
Existan alternativas de respaldo de las comunicaciones.
Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la información que
aquellos preimpresos hubieran proporcionado.
Entrevistas:
Sin embargo, esta sencillez es solo aparente. Tras ella debe existir
una preparación muy elaborada y sistematizada, y que es diferente
para cada caso particular.
Tunning:
Optimización:
Checklist:
Ataques de entrada
En las pruebas de penetración, el subconjunto de entradas que
procede de fuentes que no son de confianza es el más importante.
Éstas incluyen rutas de comunicación como, por ejemplo,
protocolos de red y sockets, funcionalidades remotas expuestas
como DCOM, llamadas a procedimiento remoto (RPC, Remote
Procedure Calls) y servicios web, archivos de datos (binarios o de
texto), archivos temporales creados durante la ejecución y archivos
de control como scripts y archivos XML, todos los cuales están
sujetos a manipulaciones.
Aspectos diferentes
La otra situación a tomar en cuenta y que marca la clasificación que
aquí se adopta, tiene que ver con el tamaño de la propiedad
individual que se agrupa, y con el tipo del mercado al cual se
exporta. Ello conduce a la siguiente clasificación que será
considerada para el análisis.
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los
sistemas de información.
La auditoría de sistemas es una rama especializada de la auditoría
que promueve y aplica conceptos de auditoría en el área de
sistemas de información.
La auditoría de los sistemas de información se define como
cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar
recomendaciones a la alta gerencia para mejorar o lograr un
adecuado control interno en ambientes de tecnología informática
con el fin de lograr mayor eficiencia operacional y administrativa.
evaluación de controles
cumplimiento de la metodología.
fraudes
utilitarios.
programas utilitarios.
Diferencias:
uso de lenguajes.
Centralización.
Confiabilidad electrónica.
Dependencia externa.
Políticas de Passwords :
El Administrador puede forzar a los usuarios a cumplir ciertas reglas
en la configuración de sus cuentas.
Algunas de las medidas más utilizadas son:
*Auditoría de impresoras:
Registro de sucesos de aplicaciones.
Registro de sucesos de seguridad.
Registro de sucesos del sistema
*Seguridad en Red
Tipo de protocolos:
o NetBEUI
o TCP/IP
*Cortafuegos
Tipo y características del cortafuego.
•
Debe establecerse procedimientos para verificar que el nivel de
acceso concedido es apropiado para el propósito de negocio y que
sea consistente con la directriz de control de acceso.
Habilitación de la auditoría
Deshabilitación de la auditoría
Para deshabilitar la auditoría en el sistema, dé los siguientes pasos:
1. Detenga la auditoría del sistema con el siguiente comando:
#audsys -f
4. Defina el indicador AUDITING en 0 en el archivo
/etc/rc.config.d/auditing para evitar que el sistema de auditoría
comience cuando se reinicie el sistema.
5. (Opcional) Para detener el demonio audomon, escriba:
# kill `ps -e | awk '$NFS~ /audomon/ {print $1}'`
8. Utilice este paso sólo si desea reconfigurar el demonio
audomon. Para reconfigurar y reiniciar el demonio audomon,
dé el paso 6 y el paso 7 según se describe en la
Sección .
# audisp archivo_auditoría
4. Para obtener detalles sobre cómo utilizar el comando audisp,
consulte la sección «Consulta de los archivos de registro de
auditoría».
5. Defina los argumentos de supervisión del archivo de registro
de auditoría en el archivo /etc/rc.config.d/auditing. Defina los
mismos valores utilizados en el paso 2.
6. (Opcional) Detenga la auditoría del sistema con el siguiente
comando:
#audsys –f
9. (Opcional) Defina el indicador AUDIT en 0 en el archivo
/etc/rc.config.d/auditing para que no se inicie el sistema de
auditoría en el próximo reinicio del sistema.
Registro de auditoría.
Monitoreo en bitácoras
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los
sistemas de información. La auditoría de sistemas es una rama
especializada de la auditoría que promueve y aplica conceptos de
auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como
cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar
recomendaciones a la alta gerencia para mejorar o lograr un
adecuado control interno en ambientes de tecnología informática
con el fin de lograr mayor eficiencia operacional y administrativa.
Recuperación de desastres.
El objetivo de esta revisión es analizar y evaluar las políticas y
procedimientos relacionados a la planificación de contingencia para
asegurar la capacidad del ente para responder eficazmente ante
desastres y otras situaciones de emergencia. Para conseguirlo, el
equipo de auditoría realiza lo siguiente:
a) Revisión del plan de contingencia
Primero es necesario obtener una copia del plan o manual de
recuperación de desastre y hacer lo siguiente: Realizar un muestreo
de las copias distribuidas del manual y verificar que están
actualizadas. Evaluar la eficacia de los procedimientos
documentados para iniciar el esfuerzo de recuperación de desastre,
planteándose preguntas como las siguientes:
1) ¿Identifica el plan los puntos de reunión del comité de
administración de desastre o del equipo de
administración de emergencia para que se reúnan y
decidan si debe iniciarse la recuperación de desastre?
2) ¿Son adecuados los procedimientos documentados para
una recuperación exitosa?
3) ¿Trata el plan de desastres de diverso grado?
Revisar la identificación y el soporte planificado de las aplicaciones
críticas, incluyendo sistemas basados en Pc o desarrollados por
usuarios finales para esto:
Análisis descriptivo
La sección de la introducción
Sección de resultados
Interpretación
La segunda etapa es determinar el significado de los resultados y
cuán significativos son en su contexto especifico.
Las razones que motivan ciertas prácticas de higiene y la influencia
de los factores socioculturales sobre ellas pueden analizarse con el
aporte de las múltiples perspectivas del equipo de estudio.
Tomando como base los resultados, también pueden explorarse
temas más amplios que vinculen las prácticas de higiene con la
salud.
A continuación se presentan algunas de las preguntas que deben
ser respondidas por el equipo de estudio al interpretar los
resultados del estudio:
•¿Qué significan los resultados?
•¿Cómo surgieron los resultados?
•¿Cuáles son las posibles explicaciones de los resultados'?
•¿Se ha respondido a todos los por qué ? ¿Algunos requieren
investigación adicional?
Idealmente, la interpretación de los resultados debe reflejar los
comentarios y sugerencias hechas por la población durante las
sesiones de retroalimentación sobre el uso de métodos y
herramientas analíticos y de investigación que se han descrito en
los capítulos 5 y 6. Esto ayudará a minimizar los prejuicios que
pudieran influir en la interpretación de los resultados y asegurará
que se tome en cuenta el contexto de la información.
Juicio
El análisis descriptivo y la interpretación de los resultados, en último
término, permiten evaluar los resultados como positivos, negativos o
ambos y determinar sus razones.
Recomendaciones
La cuarta etapa es formular algunas recomendaciones para la
acción basadas en el análisis, interpretación y juicio de los
resultados del estudio. La sección de Recomendaciones de un
informe generalmente debe seguir a la discusión y conclusiones y
debe abordar las siguiente preguntas.
Confiabilidad de la información
Delitos informáticos
Los ataques virtuales y delitos informáticos al igual que los delitos
comunes y corrientes del mundo real, son analizados por unidades
o laboratorios de computación forense en todo el planeta, los cuales
buscan encontrar a los culpables y condenarlos.
En América Latina países como México, Colombia, Chile, Argentina,
Cuba, Venezuela, Brasil, Ecuador, El Salvador, Perú, Guatemala,
Panamá, Paraguay, Perú, República Dominicana y Uruguay,
cuentan con equipos de respuesta de seguridad en cómputo, los
cuales se encargan de la investigación de los casos de cybercrime
que se hayan reportado. Cabe aclarar que algunas empresas no
denuncian sus casos pues temen perder credibilidad, o sufrir
consecuencias de tipo económico u otras similares, como explica el
mayor Fredy Bautista, jefe del grupo de delitos informáticos de la
Dijín, (Dirección de Policía Judicial de Colombia).
Para poner un ejemplo, en lo que va corrido del 2007, en Colombia
las empresas han perdido 6.6 billones de pesos a raíz de delitos
informáticos. De las cuentas de personas naturales se han
sustraído 311 mil millones de pesos, y los casos reportados,
respecto al 2006, se han incrementado en un 71%. .
Dispositivos a analizar
Apagar el dispositivo
Mantenerlo encendido pero aislado de la red
acceso, creación y borrado).
Para comenzar ordene los archivos por sus fechas MAC, esta
primera comprobación, aunque simple, es muy interesante pues la
mayoría de los archivos tendrán la fecha de instala-ción del sistema
operativo, por lo que un sistema que se instaló hace meses y que
fue com-prometido recientemente presentará en los ficheros
nuevos, inodos y fechas MAC muy distin-tas a las de los ficheros
más antiguos.
F.I.R.E. Linux
Se trata de otro CD de arranque que ofrece un entorno para
respuestas a incidentes y análisis forense, compuesto por una
distribución Linux a la que se le han añadido una serie de utilidades
de seguridad, junto con un interfaz gráfico que hace realmente fácil
su uso.
La sección de la introducción
Sección de resultados
Interpretación
Juicio
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis
pormenorizado del tráfico de red, el cual al entrar al analizador es
comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino
que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El
detector de intrusos es incapaz de detener los ataques por sí solo,
excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el
poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de
penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de
ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC
y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico
que puede ser resultado de un ataque o intento del mismo.
3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos
en la Seguridad Informática.
Unidad IV
Con mayor o menor rapidez todas las ramas del saber humano se
rinden ante los progresos tecnológicos, y comienzan a utilizar los
sistemas de Información para ejecutar tareas que en otros tiempos
realizaban manualmente.
Unidad V
Así como optar por sistemas operativos que han sido configurados
para redes como UNIX. También se deben mantener las mejores
prácticas de seguridad, algunas muy sencillas como no compartir el
password.
El interés por la cultura de la seguridad cibernética ha hecho que
surjan organismos encargados de asegurar servicios de prevención
de riesgos y asistencia a los tratamientos de incidencias como el
Computer Emergency Response Team Coordination Center, un
centro de alertas y reacción frente a los ataques informáticos,
destinados a las empresas y administradores, pero generalmente
estas informaciones son accesibles a todo el mundo.
Además, ya se pueden encontrar en la Red, sitios destinados a
proporcionar información sobre la seguridad cibernética. Uno de
ellos, es BlogAntivirus, un espacio de información sobre Seguridad
Informática, en el cual se abordan temas como Virus, Troyanos,
Espías, Spam, Pishing, y de todas las herramientas que pueden
ayudar a evitar estos ataques: antivirus, antiespias, cortafuegos,
antispam.
Sin duda, la seguridad informática es un tema complejo que
requiere de estrategias que alerten y garanticen la protección de la
información contenida en los ordenadores, así como de soluciones
eficaces que satisfagan los problemas informáticos actuales y
prevean los futuros.
5.3.1 SPAM
Spammer
Es aquel que usa direcciones de destinatarios desconocidos para el
envío de mensajes no solicitados en gran número. Hay tres tipos de
spammers:
Hay que tener presente que los autores del SPAM cuentan con
herramientas muy sofisticadas para recolectar direcciones E-mail
válidas, entre ellas podemos citar los programas webspiders que
permiten rastrear páginas web, news y otros recursos de Internet.
Por lo tanto:
5.3.2 MALWARE
Malware (también llamado badware, software malicioso o software
malintencionado) es un software que tiene como objetivo infiltrarse
en el sistema y dañar la computadora sin el conocimiento de su
dueño, con finalidades muy diversas, ya que en esta categoría
encontramos desde un troyano a un spyware.
Programa maligno. Cualquier programa creado con intenciones de
molestar, dañar o sacar provecho en las computadoras infectadas.
En general, es fácil determinar si un programa es (o contiene) un
malware: sus actividades son ocultas y no son anunciadas al
usuario. Pero existen casos en que la distinción no es clara,
provocando hasta demandas por parte de los desarrolladores de
estos programas a los antivirus y antiespías que los detectan como
malignos.
Esta expresión es un término general muy utilizado por
profesionales de la computación para definir una variedad de
software o programas de códigos hostiles e intrusivos. Muchos
usuarios de computadores no están aún familiarizados con este
término y otros incluso nunca lo han utilizado.
Sin embargo la expresión "virus informático" es más utilizada en el
lenguaje cotidiano y a menudo en los medios de comunicación para
describir todos los tipos de malware.
Se debe considerar que el ataque a la vulnerabilidad por malware,
puede ser a una aplicación, una computadora, un sistema operativo
o una red.
Existen varios factores que hacen a un sistema más vulnerable:
Bugs
La mayoría de los sistemas contienen bugs (errores) que pueden
ser aprovechados por el malware. Los ejemplos típicos son los
desbordamiento de búfer (buffer overflow), en los cuales la
estructura diseñada para almacenar datos en un área determinada
de la memoria permite que sea ocupada por más datos de la que le
caben, sobre escribiendo áreas anexas. Esto puede ser utilizado
por el malware para forzar al sistema a ejecutar su código.
Clasificación
Métodos de protección
5.3.4 METASPLOITS
5.3.5 OTROS
Las tendencias de ataque de los códigos maliciosos se
concentraron fundamentalmente en las redes sociales y plataformas
2.0 como Twitter y Slideshare.
Gusano Koobface: se expandió a través de la red social
microblogging utilizando una técnica de ingeniería social
relacionada con los videos de los usuarios. Además el sitio recibió
ataques de denegación de servicios posiblemente asociado a la
proliferación del gusano Koobface.
Presentaciones Slideshare: para propagar malware a través de la
creación de falsas diapositivas que contenían enlaces maliciosos.