SEGURIDAD EN COMPUTACIÓN E INFORMÁTICA

Integrantes : Díaz Cuba, Harley Díaz Chonta, Junior García Arias, Mariano Guerrero Alfaro, Marco Gutiérrez Núñez, Alex

TEMAS: TIC

* RIESGOS* AMENAZAS* IMPACTOS* VULNERABILIDADES* PROBABILIDAD DE OCURRENCIA

RIESGOS INFORMÁTICOS

DEFINICIÓN

Es la probabilidad de que una amenaza pueden atentar contra la seguridad de nuestros recursos, nuestra información o nuestra empresa.

Se pueden identificar varios elementos que se relacionan con los riesgos.

ELEMENTOS DE LOS RIESGOS

Riesgos

GESTIÓN DE LOS RIESGOS

El objetivo principal es garantizar la supervivencia de la organización, minimizando los costos asociado a los riesgos.

Es importante contar con herramientas que garantice la correcta evaluación en los procesos informáticos contra los riesgos.

ASPECTOS QUE SIRVEN DE APOYO PARA UNA ADECUADA GESTIÓN DE RIESGOS

Evaluación de los riesgos en los procesos. Evaluación de las amenazas o causa de

los riesgos. Los controles para minimizar los riesgos. Los responsables en los Procesos. La evaluación de los elementos de los

riesgos.

LOS RIESGOS PUEDEN SE OCASIONADOS POR PARTE DE:

Personas internas y externas de la Organización.

Desastres naturales.

Servicios y trabajos no confiables e imperfectos.

PREVENCIÓN DE LOS RIESGOS

Es conocer las vulnerabilidades de la empresa y su impacto.

Para llevar una prevención se debe tomar una serie de medidas y controles en la organización.

CONTROLES

CASO PRÁCTICO La Universidad de UTPL (Universidad Técnica Particular

de Loja) que se ubica en Ecuador tomo una seria de medidas para la prevención de riesgos en su Red LAN.

Lo primero que hizo es identificar la información del usuario final:

a. Estudiantesb. Empleados.c. Usuarios Especiales (Autoridades).d. Profesores.e. Personas externas.

Clasifico los riesgo como internos y externos.

Categorizó cualitativamente los niveles de criticidad según el porcentaje de impacto de riesgos.

Evaluó los riesgos según su nivel de criticidad.

• Utilizó herramientas para la detección de riesgos.

En caso se detecte un riesgo alto, preparo una serie de medidas correctivas.

AMENAZAS

“Un ataque no es mas que la realización de una amenaza”

DEFINICIÓN

Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).

LAS CUATRO CATEGORÍAS GENERALES DE AMENAZAS SON

LAS SIGUIENTES

MODIFICACIÓN FABRICACIÓN

INTERRUPCIÓN INTERCEPCIÓN

Estos fenómenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).

Programas maliciosos: Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.

Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker)

El personal interno de Sistemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

CASO PRÁCTICOINTRUSO-CRACKER

Es cualquier persona o grupo de personas que viola la seguridad de un sistema informático; el cracker realiza la intrusión con fines de beneficio personal o para hacer daño.

“Nosotros somos Anonymous. Nosotros somos Legión. Nosotros no perdonamos.

Nosotros no olvidamos. Esperen por nosotros.”

• Finales del 2006: Atacaron la página del supremacista blanco y comentador de radio, Hal Turner, lo que terminó costándole miles de dólares en la facturación de los servicios de Internet.

• 2008: La iglesia de Scientology pidió a Youtube eliminar un vídeo de una entrevista al actor y miembro de la iglesia, Tom Cruise, que había sido publicado sin su permiso. Aunque el vídeo fue producido por la iglesia de Scientology, al parecer este no estaba hecho para la luz pública.

• 2009: Dirigido a la nación de Irán cuando supuestamente salió a relucir que el actual presidente, Mahmoud Ahmadinejad, ganó las elecciones mediante fraude. Anonymous, junto con la página de web The Pirate Bay, crearon una página en apoyo a los disidentes iraníes al gobierno de Ahmadinejad.

2010: En el mes de febrero de 2010, la Operación Titstorm atacó varias páginas del gobierno australiano dejándolo abajo por varios días. En India, varias compañías productoras de películas fueron atacados por estos ciberdelicuenentes.

2011

Las primeras organizaciones atacadas de forma sistemática fueron PayPal, Amazon, MasterCard y Visa, quienes habían decidido no tramitar ninguna donación hecha por sus usuarios si era para WikiLeaks.

Stephen Colbert, comediante de sátira política estadounidense en Comedy Central, catalogó al grupo de Anonymous como “los perros guardianes de WikiLeaks” [obviamente de una forma satírica… inclusive algunos acusan de Colbert de apoyar este grupo]. Anonymous respondió amistosamente colocando la máscara de Guy Fawkes durante una fracción de segundo sobre el rostro de Colbert en un próximo episodio. Es la primera vez que se ha registrado un ataque “hacker” en el cual se modifica el vídeo de un programa de televisión nacional.

En febrero de 2011, la firma deseguridad H BGary Federal fue contratada por el gobierno federal de los Estados Unidos para infiltrar Anonymous.

El 4 de abril de 2011, miles de usuarios del Playstation Network se toparon con que no podían ingresar a sus cuentas. Un video en Youtube por parte de Anonymous aclaró toda duda, asumiendo responsabilidad de estos ataques.

La realidad es que hoy en día estamos viendo las primeras batallas de las guerras cibernéticas. Guerras donde la inteligencia, la data y la información son las armas de destrucción masiva, y Anonymous es el primer gran ejército, independientemente si estás de acuerdo con ellos o no.

VALIDACIÓN DE ENTRADA

INYECCIÓN SQL:

UN CÓDIGO QUE SE REPETIRÁ EN MILES DE SITIOS WEB ES EL DE VALIDACIONES DE USUARIO CON SU CORRESPONDIENTE FORMULARIO DE LOGIN.ESTE SIEMPRE HA SIDO UN FOCO DE ATAQUE VULNERABLE PARA LAS APLICACIONES MAL PROTEGIDAS. YA QUE EL PROGRAMA SE SIRVE DE CAMPOS INTRODUCIDOS POR EL USUARIO PARA LOGRAR LA CONSULTA SQL FINAL QUE EXTRAERÁ LA INFORMACIÓN DEL USUARIO.

Esta sería una consulta normal y corriente donde se extraerían todos los datos del usuario y contraseña tecleado, pero que pasaría si el usuario consultante escribiese esto en los campos:

"Select * From Usuarios Where usuario='" & Request.Form("usuario") & "' And password= '" & Request.Form("password") & "';"

Usuario --> admin' Or true ''

Contraseña --> admin' Or true ''

Select * From Usuarios Where usuario='admin' Or true '' And password='admin' Or true '';

Simplemente la cadena final quedaría así:

TIC

Telefonía

E-mail

MP3 Player

Internet

Celulares

Redes Sociales

GPS

Comercio electrónico

P2P

Blogs

Laptops

Sistemas Operativos

Banda Ancha

Video Juegos

Video Conferencias

VOIP

IMPACTO EN LAS TIC

LAS TIC EN LA EDUCACIÓN…

«Una Lap-Top por niño»

TIC EN LA MEDICINA

OPERACIÓN LINDBERGH (2001)

Mujer Francesa de 68 años

Dr. Jacques Marescaux EQUIPO IRCAD/EITS ROBOT ZEUS

VIDEO CONFERENCIAS

Compras y Pagos por Internet

EJEMPLO TWITTER…

AUDIENCIA : 100 millones de usuarios

DEMOGRAFIA : Personas con edades de 20 – 30 años (económicamente activas)

20 PRIMERAS EMPRESAS QUE MEJOR USAN TWITTER

1. Coca-Cola (alimentación) @cocaCola2. Starbucks (restauración) @StArBuCkS3. Disney (entretenimiento) @DisneyPIctures4. Victoria’s Secret (moda) @victoriasSecret5. iTunes (entretenimiento) @iTunesTrailers6. Vitaminwater (alimentación) @hydrationnation7. YouTube (entretenimiento) @youtube8. Chick-fil-A (restauración) @Chickfila9. Red Bull (alimentación) @redbull10. T.G.I. Friday’s (restauración) @tgifridayscorp

11. Skittles (alimentación) @skittles12. Dunkin’ Donuts (restauración) @Dunkindonuts13. Best Buy (tiendas) @Bestbuy14. NBA (deportes) @nba15. Adidas Originals (moda) @adi_originals16. Kellogg’s Pop Tarts (alimentación) @KelloggsPopTart17. Krispy Kreme (alimentación) @hotnow18. Mountain Dew (alimentación) @mtn_Dew19. JCPenney (tiendas) @JcPenney20. Papa John’s (restauración) @Papajohns

EJEMPLO FACEBOOK…

AUDIENCIA : 500 millones de usuarios

DEMOGRAFIA : Personas con edades de 20 – 30 años (económicamente activas)

CREAR UNA PAGINA EMPRESARIAL EN FACEBOOK

1 o

2

3

4

5

6

VULNERABILIDAD

VULNERABILIDAD

Vulnerabilidad es una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro.

¿COMO EVITARLAS?

Actualice o chequee las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad.

No caer en trampas obvias como correos spam diciéndote que ganaste la lotería en un país que ni siquiera conoces

Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables

Para la mayoría de los usuarios de internet estas simples recomendaciones serán suficientes y útil.

TIPOS DE VULNERABILIDADES

DE CONFIGURACIÓN

EJEMPLO PRÁCTICO: ASIGNACION DE IP’s POR NUESTROS PROVEEDORES.-

Imaginemos que, por los motivos que fueran, un atacante quisiera atacar o husmear una serie de equipos que se encuentran en una zona física determinada (una misma calle por ejemplo).

Hoy en día, la mayoría de la gente que se conecta a internet lo hace a través de un router, que tiene una  IP dinámica.

Pero esa ip no va cambiando aleatoriamente, sino que lo hace dentro de un rango determinado. Además, ese rango suele ser compartido con otros routers que tengan contratada la misma compañía y estén en la misma zona física.

PARA SORPRESA, TENEMOS UN ROUTER QUE POR LO QUE NOS CUENTA UNA REVISIÓN A GOOGLE, ES (O ERA) INSTALADO POR ONO, Y SE APRECIA ESTAR BASTANTE ABIERTO.

Como primer paso, obtengo la IP de un equipo del barrio/calle a observar.

Usamos el nmap, y encontramos lo siguiente:

Y LO QUE ES MAS, UN ESCANEO DE VULNERABILIDADES POR PARTE DE NESSUS REVELA LO SIGUIENTE:

El router no solo tiene los puertos abiertos para una configuración externa, sino que lleva el set usuario: password por defecto (nada:admin). Definitivamente es muy vulnerable.

LUEGO, AL TENER LO NECESARIO SE ACCESA A LA INTERFAZ DEL ROUTER. NOS CENTRAREMOS EN ACCEDER POR EL PUERTO 8080 DESDE EL NAVEGADOR, DONDE NOS ENCONTRAMOS LO SIGUIENTE:

Ahora, las opciones son numerosas, como puedes imaginar. En resumen, su router ahora es nuestro.

AHORA VIENE LO REALMENTE IMPORTANTE;USAMOS EL NMAP Y ESCANEAMOS POR UN RANGO DE IP’S CERCANAS AL AMIGO:

Resultado:

“22 ROUTERS CON EL MISMO ERROR GARRAFAL DE SEGURIDAD”.

¿CUÁL ES LA RAZÓN?

Muy sencillo. Toda esta gente,  al ser de la misma zona.  Contrató su conexión a internet en la misma época (por una oferta, por una campaña comercial, etc), y por tanto tienen un equipo y configuración muy similares.En resumen:

Tenemos acceso pleno a 22 routers, aunque no a los ordenadores que hay detrás.

Sabemos que están en la misma zona y tienen contratada la misma compañía.

ACCEDEMOS POR EL NAVEGADOR Y REVISAMOS LA TABLA DHCP. ESTO NOS PERMITE, ENTRE OTRAS COSAS, VER LOS NOMBRES DE LOS EQUIPOS QUE ESTÁN O HAN ESTADO CONECTADOS EN LA RED INTERNA DEL ROUTER.HE AQUÍ ALGUNAS DE LAS PIEZAS DE INFORMACIÓN QUE SE PUEDEN ENCONTRAR:

Como se puede apreciar, esto nos permite identificar nombres de los usuarios, deducir donde estamos accediendo  (esa segunda captura, por ejemplo, parece una tienda), y muchas cosas más.

En uno de los casos, la PC llevaba el nombre de la empresa a la que pertenecía, con lo que desde google se puede rastrear su dirección y datos.

RESUMEN

Con esto queda demostrado el uso que se le puede dar a la relación  rangos ip - cercanía física, y la gran vulnerabilidad a la que puede estar sometida.

Este ataque podría dar más de sí, podría, por ejemplo: Tumbar el router y dejar a la victima sin conexión. Escanear remotamente las redes wifi de la zona, lo cual

puede ser útil para situar donde esta nuestra red exactamente.

Eliminar la protección WEP/WAP de la red inalámbrica, para poder acercarnos con el portátil y entrar en la LAN sin necesidad de crackearla (y una vez en la LAN, los demás equipos conectados caerían mucho más fácilmente).

PROBABILIDAD DE OCURRENCIA

Las medidas de seguridad tienen como objetivo principal preservar la integridad de las personas y de los bienes.

Dice que la probabilidad de ocurrencia de un evento es el grado de creencia por parte de un individuo de que un evento ocurra, basado en toda la evidencia a su disposición. 

Seguridad Reactiva: que se activa una vez ocurrido el evento no deseado, tiene como objetivo estructurar la organización para minimizar las consecuencias de lo ocurrido y permitir enfrentar el presente y futuro de la mejor forma.

Seguridad Preventiva: que reduce la probabilidad de ocurrencia de eventos no deseados y reduce las consecuencias en caso de llegar a ocurrir dicho evento, que puede ocurrir a pesar de las medidas preventivas.

LAS AUTORIDADES ESTADOUNIDENSES HAN ANUNCIADO EL QUE PUEDE SER EL MAYOR CASO DE ROBO INFORMÁTICO DE DATOS BANCARIOS LLEVADO EN ESE PAÍS.

Más de 130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de 28 años de Miami y dos compinches rusos.

RECOMENDACIONES

Espacio físico adecuado, recursos tecnológicos actualizados y suficientes.

La organización debe contar con herramientas que ayuden a la correcta evaluación de los riesgos en los.

Procesos informáticos y por medio de procedimientos de control se puede evaluar el desempeño de las TIC.

Una recomendación es que todas las empresas u personas deberían tener las herramientas necesarias ya sean preventivas o reactivas para poder evitar el menor daño posible a su información o sistema

La mayoría de estos incidentes, sino todos, podrían haberse evitado si las empresas y las instituciones implicadas hubiesen aplicado procedimientos de administración de datos más rigurosos.

CONCLUSIONES El conocimiento lleva al poder comprender los peligros existentes

en nuestro mundo moderno y globalizado. Este constituye el primer paso para mantener la seguridad de nuestra identidad, nuestras posesiones y nuestras finanzas.

Las reputaciones empresariales son tan sólidas como los procesos, las precauciones y las soluciones de protección implementadas para proteger los datos de la empresa y de los clientes.

Las empresas tienen que hacer frente al coste creciente que supone garantizar el cumplimiento de sus políticas de datos.

El impacto que produce la amenaza en la organización no depende de las características de la vulnerabilidad, sino del grado de criticidad de la parte del sistema informático en que puede llegar a actuar.

GRACIAS