Leobardo hdez tec aragón

912 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
912
On SlideShare
0
From Embeds
0
Number of Embeds
118
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Leobardo hdez tec aragón

  1. 1. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 1 Seguridad Informática y Criptografía Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico, FES Aragón, UNAM
  2. 2. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 2 Agenda  Información y sus estados  Problemas de Seguridad de la Información  Servicios y Mecanismos de Seguridad  Seguridad Informática y Criptografía  Criptografía  Aplicaciones de la Criptografía a la Seguridad  Protocolos Criptográficos  Ejemplo: Seguridad en Redes  Herramientas de Seguridad  Comentarios y Conclusiones
  3. 3. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 3 Información y sus estados  La información actual es digital  Su manejo implica considerar estados:  Adquisición  Creación  Almacenamiento  Proceso (transformación, análisis, etc.)  Transmisión
  4. 4. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 4 Problemas en manejo de Información digital  Confiabilidad de las fuentes y de la información misma  Integridad (verificación)  Confidencialidad  Disponibilidad  Control de Acceso  Autenticación de las partes  No repudio
  5. 5. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 5 Más Problemas  El canal es público  Uso canales seguros nada fácil, práctico, ni barato  Las fuentes pueden no ser compatibles ni confiables  Los sistemas de análisis y toma de decisiones asumen lo contrario  Los resultados y reportes pueden ser equivocados  Las decisiones se toman a partir de esos resultados
  6. 6. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 6 Más Problemas  Información más valiosa que el dinero  Hay que protegerla  No solo en almacenamiento y proceso  También durante la transmisión  Formas almacenamiento y proceso: dispositivos digitales  Formas de transmisión: redes y sistemas distribuidos
  7. 7. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 7 Más Problemas  Expuesta a ataques de todo tipo  Nada fácil crear un modelo para estudiar la seguridad  Redes heterogéneas de todos los tipos  Plataformas, medios, SO’s, arquitecturas distintas  La pesadilla: Internet  Que hacer??
  8. 8. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 8 Seguridad de la Informacion  Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos  Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos
  9. 9. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 9 Seguridad de la Informacion  Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales  Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento  Implementar servicios de seguridad usando mecanismos útiles y eficientes
  10. 10. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 10 Servicios y Mecanismos de Seguridad  Naturaleza pública del canal no se puede cambiar  Sobre ese canal hay que saber qué se quiere:  Servicios de Seguridad  Sobre ese canal hay que saber cómo se implementa (si se puede):  Mecanismos de seguridad
  11. 11. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 11 Servicios y Mecanismos de Seguridad (ISO 7498 – 2)  Servicios Mecanismos  Confidencialidad Cifrado  Integridad Funciones Hash  Autenticación Protocolos Criptográfico  Control de Acceso Esquemas de CA  No Repudio Firma Digital  Disponibilidad No se puede !!
  12. 12. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 12 Seguridad Informática  Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad  El Triángulo de Oro de la Seguridad incluye:  Confidencialidad  Integridad  Disponibilidad
  13. 13. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 13 Seguridad Informática y Criptografía  4 de los 5 servicios estandarizados se implementan usando Criptografía:  Confidencialidad  Integridad (Verificación)  Autenticación  No Repudio  No se puede hablar de Seguridad sin hablar de Criptografía
  14. 14. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 14 Criptología  Criptología se divide en:  Criptografía  Criptoanálisis  Esteganografía  Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C Fk(M) = C
  15. 15. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 15 Criptografía  Algoritmo F debe ser público  Seguridad debe basarse en:  Diseño y fortaleza de F  Mantener K en secreto  Algoritmo F integra 2 procesos: Cifrado: Fk(M) = C Descifrado: F’k(C) = M
  16. 16. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 16 Criptografía  Algoritmos usan diferentes bases de diseño:  Operaciones elementales  Sustituciones (César, Vigenere, Vernam, etc.)  Permutaciones  Combinación de ambas (DES, AES, etc.)  Matemáticas  Teoría de Números (RSA, ElGamal, DSS, etc.)  Problemas NP y NP Completos  Curvas Elípticas (ECC)  Fisica Cuántica  Mecanica Cuántica  Principio de Incertidumbre de Heinsenberg  Otras
  17. 17. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 17 Criptografía  Algoritmos pueden ser:  Simétricos o de Llave Secreta  Usan misma llave para cifrar y descifrar  Asimétricos o de Llave Pública  La llave que cifra es diferente a la que descifra  Funciones Hash, Resumen o Compendio  No usan llave
  18. 18. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 18 Criptografía  También pueden ser por:  Bloque  El mensaje se procesa en bloques del mismo tamaño  Flujo  El mensaje se procesa como un todo por unidad básica
  19. 19. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 19 Criptografía  Algoritmos Simétricos o de Llave Secreta  DES (anterior estándar mundial)  3DES  AES (Nuevo estándar mundial)  Algoritmos Asimétricos o de Llave Pública  RSA (Estándar de facto)  ElGamal  DSS (Digital Signature Standard)  Algoritmos Hash  MD5  SHA-1
  20. 20. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 20 Criptografía  Algoritmos Simétricos  Basan su diseño en operaciones elementales  Buscan eficiencia  Seguridad depende del tiempo y los recursos de cómputo  Aplicaciones de Criptografia Simétrica  Cifrado de información no clasificada (Confidencialidad)  Verificación de Integridad  Autenticación
  21. 21. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 21 Criptografía  Algoritmos Asimétricos  Diseño basado en problemas matemáticos  Seguros computacionalmente  Seguridad no depende de tiempo ni de recursos de cómputo  Pero...son ineficientes  Aplicaciones de Criptografia Asimétrica  Cifrado de informacion clasificada (Confidencialidad)  Acuerdo de llave simétrica  Firma Digital (Autenticación y No Repudio)
  22. 22. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 22 Criptografía  Algoritmos Hash  Diseño basado en operaciones elementales  Son eficientes  Seguridad depende del tiempo y recursos de cómputo  Proporcionan una huella digital del mensaje  Aplicaciones de Algoritmos Hash  Verificación de Integridad  Autenticación  Demostrar posesión de secretos sin revelar el secreto  Virología
  23. 23. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 23 Aplicaciones de Criptografía  Usar algoritmos criptográficos para diseñar protocolos de seguridad  Actualmente se usan de forma híbrida  Simétricos: eficientes  Asimétricos: seguros computacionalmente  Hash: eficientes y proporcionan huella digital  Se usan asimétricos para acordar llave simétrica  Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información  Ejemplo: PGP, SSH, etc.
  24. 24. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 24 Protocolos Criptográficos  Criptografía por sí sola no sirve para nada  Protocolos: hilos mágicos que conectan Seguridad con Criptografía  Toda herramienta que proporciona servicios de seguridad implementa protocolos  Ejemplo: PGP, SSH, SET, SSL, etc.
  25. 25. Ejemplo de Protocolo Criptográfico: Autenticación con Criptografía Simétrica XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 25 A Na B Ekab (Na), Nb Ekab (Nb)
  26. 26. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 26 Ejemplo: Seguridad en Redes  El canal es público  Usar canales cifrados. Ejemplo: SecureSHell  Cifrar toda información que se intercambia. Ejemplo: Pretty Good Privacy (PGP)  Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME  Monitorear la red. Ejemplo: ntop y EtheReal  Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS  Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper
  27. 27. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 27 Ejemplo: Seguridad en Redes  No se sabe la identidad del que envía o recibe  Usar esquemas de firma y certificados digitales Ejemplo: PGP  Usar protocolos fuertes de autenticación como IKE  No se sabe qué información entra y sale  Usar filtros de contenido  No se sabe de donde viene y a donde van los accesos  Usar filtros por IP, aplicación, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc.
  28. 28. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 28 Ejemplo: Seguridad en Redes  No se sabe si lo que se recibe es lo que se envió  Usar esquemas para verificar integridad. Ejemplo: PGP  Usar protocolos que implementen códigos MIC/MAC usando funciones hash o cifrado simétrico  No se sabe si la red y sus recursos se están utilizando como y para lo que se debe  Implantar politicas de uso (ISO 17799 y 27001)  Monitoreo y autoataque (ntop, Ethereal, John the Ripper)  No se sabe por donde me están atacando y que debilidades tiene mi red  Usar analizadores de vulnerabilidades. Ejemplo: Nessus
  29. 29.  Aplicaciones Criptográficas SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org  Correo Electrónico Seguro S/MIME: http://www.ietf.org/html.charters/smime-charter.html PGP: http://www.pgp.com/downloads/index.html 29XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  30. 30.  PKI (Public Key Infrastucture) Verisign: http://www.verisign.com/products- services/security-services/pki/index.html OpenCA: http://www.openca.org/  Autoridades Certificadoras Verisign: http://www.verisign.com/ Entrust: http://www.entrust.com/ 30XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  31. 31.  IDS (Intrusion Detection System) Snort: http://www.snort.org Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_prot ection/index.php Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.ht ml  Firewalls http://www.checkpoint.com/ http://www.cisco.com/en/US/products/hw/vpndevc/index.html http://www.watchguard.com/ http://europe.nokia.com/nokia/0,,76737,00.html 31XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  32. 32.  Monitores de Red Ntop (Network Top) http://www.ntop.org Nagios http://www.nagios.org  Sniffers TCPDump http://www.tcpdump.org/ Ethereal http://www.ethereal.com Windump http://www.winpcap.org/windump/ Etthercap http://ettercap.sourceforge.net/ 32XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  33. 33.  Analizadores de Vulnerabilidades Nessus http://www.nessus.org LANGUARD http://www.gfi.com/languard/ Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_prote ction/vulnerability_assessment/scanner_internet.php  Passwords Crackers John de Ripper http://www.openwall.com/john/ 33XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  34. 34.  ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods- services/popstds/informationsecurity.html  ISO/IEC 27001 http://www.bsi- global.com/News/Releases/2005/November/ n4368cedc60947.xalter  Sarbanes Oxley http://www.s-ox.com/ 34XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  35. 35.  ANTIVIRUS AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html CLAM WIN (libre) http://www.clamwin.com/ SYMANTEC http://www.symantec.com/index.htm MCAFFE http://www.mcafee.com/es/ PANDA http://www.pandasoftware.com AVG http://www.grisoft.com/doc/1 35XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010
  36. 36. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 36 Recursos de Seguridad  www.nsa.gov  www.nist.gov  www.cert.org  www.securityfocus.org  www.packetstorm.org  www.sans.org
  37. 37. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 37 Comentarios y Conclusiones  Hay que empezar a preocuparse y ocuparse del problema  Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo  Biblioteca de Alejandría  11 Sept. 2001  A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI  Replanteamiento total: Land Home Security  Seguridad Nacional  Estandarización global
  38. 38. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 38 Comentarios y Conclusiones  Estándares Globales  ISO 17799-2005 y 27001  Ley Sarbanes Oxley (SOX)  Ley Federal de Protección de Datos PPP  Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva  Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares
  39. 39. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 39 Comentarios y Conclusiones  La seguridad puede verse ahora en 3 niveles de responsabilidad  Directores y cuadros ejecutivos  Niveles técnicos y operativos  Usuarios  Todos los niveles deben tener conciencia del problema  Todo gobierno actual se siente obligado a seguir las tendencias globales  Muchos no están preparados (México)  Están empezando a prepararse
  40. 40. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 40 Comentarios y Conclusiones  Tampoco las empresas están preparadas  Empiezan a darse cuenta  No es el mejor camino el que se sigue ahora para resolver el problema:  Consultoría externa (cara y escasa): dependencia  Productos ¨milagro¨ generales (no resuelven nada)  Soluciones sobre la marcha (improvisación y arribismo)  Hay que trabajar en educación en Seguridad  Universidades
  41. 41. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 41 Seguridad y TI en la UNAM  Diplomado en Seguridad Informática  http://siberiano.aragon.unam.mx/  Diplomado en Tecnologías de Información  http://siberiano.aragon.unam.mx/dti/  Laboratorio de Seguridad Informática, CTA  http://leopardo.aragon.unam.mx/labsec/
  42. 42. XIV Simposium Internacional de Informática Administrativa, UAEM, Oct. 2010 42 Gracias .............. Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM leo@servidor.unam.mx Tel. (55) 56231070

×