Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ayuda Web Seguridad Romero Gt

1,627 views

Published on

La seguridad es un concepto real/subjetivo, en Internet los riesgos existen, debemos protegernos pero no dejar de apvoechar.

Published in: Technology
  • Be the first to comment

Ayuda Web Seguridad Romero Gt

  1. 1. Ayuda: Web & Seguridad RomeroGT@ExpoNET Guatemala, 5 de marzo 2008 E. Mauricio Romero Escobar http://romerogt.delaermita.com/ RomeroGT: Ayuda: Web & Seguridad
  2. 2. Su turno de presentarse ● Conexión: Casa, Trabajo, Estudio, C@fe ● Uso: Email, IM, VoIP, Docs., Trabajo, Estudio Información: Estudio, Trabajo, Hobbie, Diversion Seguridad: Bajo, Medio, Alto, Unbreakable RomeroGT: Ayuda: Web & Seguridad
  3. 3. Dicen de la seguridad ● La seguridad trasciende la tecnología. ● (ISC2) ● Un viaje (sin fin), no un destino. ● La seguridad es un estado mental ● No hay tal cosa como seguridad al 100% RomeroGT: Ayuda: Web & Seguridad
  4. 4. Psicología de la seguridad ● Seguridad es al mismo tiempo un sentimiento y una realidad. Y no son lo mismo ● Psicología de la Seguridad, Bruce Schneier en Black Hat USA 2007 ● Puedes estar seguro y sentirte inseguro, o puedes sentirte seguro y estar inseguro. ● Mientras la realidad puede ser medida y pronosticada, el sentimiento es la ilógica percepción natural del ser humano RomeroGT: Ayuda: Web & Seguridad
  5. 5. Seguridad: Una decisión ● La seguridad es un trueque, un intercambio que considera: ● Severidad del riesgo (vida?) ● Probabilidad del riesgo (pasará?) ● Magnitud del riesgo (grave?) ● Mitigación y contigencia del riesgo (control?) ● Evaluación del costo/beneficio (vale?) ● ● El problema: realidad/objetividad vrs. sentimiento/percepción. RomeroGT: Ayuda: Web & Seguridad
  6. 6. En la vida real ● Estas en peligro constante ● Ignorando estadísticas, asignamos probabilidad. ● La gravedad es subjetiva. ● Contratamos seguros, usamos cinturon, dejamos con llave todo. ● Juicio personal del costo ($,libertad,eficiencia) y beneficio (seguridad?) RomeroGT: Ayuda: Web & Seguridad
  7. 7. En la Web de hoy ● ”Bichos informáticos”, ataques, criminales disfrazados. ● Desconocemos estadísticas, quizás nos pretendemos inmunes. ● No vemos la gravedad: robo, ineficiencia, privacidad, daños. ● Antivirus y firewall no son suficientes, confiar no es una opción. ● Creemos costosa la seguridad, vemos poco beneficio o lo desestimamos. RomeroGT: Ayuda: Web & Seguridad
  8. 8. Vida web real de hoy ● La web como como escenario y accesorio criminal. ● Podemos ser fumadores pasivos de amenazas. ● No se trata de criminales tecnológicos. ● Es una vida con tecnología al alcance de -todos-. RomeroGT: Ayuda: Web & Seguridad
  9. 9. Lo que esta en juego ● Dinero ● Privacidad ● Información ● Secretos industriales ● Recursos del computador ● Prestigio personal o profesional RomeroGT: Ayuda: Web & Seguridad
  10. 10. La decisión de seguridad ● Costos que quizás no esten dispuestos a correr: ● Desconectarse de Internet, no comprar el nuevo smartphone, no intercambiar archivos, no hacer transacciones por Internet. ● Costos que quizás debes considerar: ● Actualización de software, programas especializados de seguridad, evaluar la seguridad de tu información, verificar seguridad de red. ● Beneficio esperados: ● Información y conexión global, eficiencia en diversos aspectos, información segura, disfrutar del Web 2.0... y contando. RomeroGT: Ayuda: Web & Seguridad
  11. 11. Seguridad... de ser un target! RomeroGT: Ayuda: Web & Seguridad
  12. 12. Encuesta de Opinion II ● Que ha instalado: Sistema Operativo, Aplicaciones, Plugins – Un tercero. ● Incidentes: Virus, spyware, Ataques, Perd. Inf., Falla de PC ● Que es lo último que han escuchado de Internet. RomeroGT: Ayuda: Web & Seguridad
  13. 13. Amenazas tecnológicas ● Si no aseguramos la tecnología, la seguridad será un castillo en el aire. ● Por eso debemos entender muy bien los tipos de amenazas: ● Fallas ● Vulnerabilidades ● ”Bichos informáticos” ● Ataques e intrusos ● Para cada una pueden aplicar diversos tipos de medidas, veamos en más detalle. RomeroGT: Ayuda: Web & Seguridad
  14. 14. Fallas y vulnerabilidades ● Falla: un disco malo, la caida de la red, PC muerto. ● Vulnerabilidad: Sistema operativo, aplicación, página web. ● No son creación humana, pueden presentarse en cualquier momento, hay mecanismos de prevención y atención. RomeroGT: Ayuda: Web & Seguridad
  15. 15. Bichos informáticos I ● Virus: programas que usualmente hacen algun daño en sus equipos. ● Gusanos: añaden capacidad de diseminarse por si mismos via la red. ● Troyanos: programas que además buscan algún nivel de acceso a su PC. ● Protejerse de ejecutables es cosa del pasado! RomeroGT: Ayuda: Web & Seguridad
  16. 16. Bichos informáticos II ● Spyware: programas o archivos que llevan bitácoras de lo que hace y tiene usted en su PC ● Adware: programas supuestamente gratuitos pero que afectan rendimiento y privacidad ● Malware: programas maliciosos, ataques dirigidos. RomeroGT: Ayuda: Web & Seguridad
  17. 17. Alta Tecnología ● Backdoors ● Sniffers ● Keyloggers ● Remote monitor/control ● Rootkits ● Virtualización RomeroGT: Ayuda: Web & Seguridad
  18. 18. Ataques e intrusos ● Coordinados y dirigidos por personas. ● Spoofing (identidad falsa): Puede darse a nivel de correo o equipos de red que falsean información. ● Phishing: Buscan hacerse pasar por usuarios/empresas confiables. Usualen bancos. ● Denegacion de servicio: Buscan provocar la paralización de los sistemas. ● Eavesdropping: ”el oreja y fisgón” ● Crackers, script kiddies RomeroGT: Ayuda: Web & Seguridad
  19. 19. Top 20 SANS ● Vulnerabilidades en navegadores, oficina, correo y reproductores multimedia. ● En los servidores web, servicios de Windows, Unix y MacOS, herramientas de respaldos, antivirus... ● Políticas de seguridad con accesos al definidos, phishing. ● Datos sin encriptar en laptops y almacenamiento ● Redes con voz sobre IP y telefonía móvil ● Ataques de Día-Cero http://www.sans.org/top20/ RomeroGT: Ayuda: Web & Seguridad
  20. 20. SANS recomienda ... ● Configure todo sistema lo más seguro que pueda desde el primer día y controle cambios. ● Automatice el mantenimiento de la configuración segura (parches, firmas de antivirus, etc.) ● En empresas, emplee proxys que protejan la navegación hacia Internet. ● Clasifique su información y emplee encripción y medidas para proteger el robo. RomeroGT: Ayuda: Web & Seguridad
  21. 21. ... SANS recomienda ● Automatice las revisiones y tome medidas para lo que no cumpla con las políticas de uso. ● Segmente adecuadamente las redes con firewalls. ● Elimine vulnerabilidades de aplicaciones web evaluando conocimiento del desarrollador y a la aplicación misma. RomeroGT: Ayuda: Web & Seguridad
  22. 22. Seguridad elemental ● Inteligencia ● Protección de calidad ● Úselo ● Revise, expiran !!! RomeroGT: Ayuda: Web & Seguridad
  23. 23. Sistema operativo seguro asegurado ● No existe un sistema operativo seguro. Hay diferentes niveles amenaza, riesgo, impacto. ● Hasta Linux puede ser inseguro. ● Hasta Windows puede ser seguro. http://www.microsoft.com/latam/seguridad/ ● Es importante: ● Tener derechos de actualización. ● Automatizar el proceso ● Mantenerse informado RomeroGT: Ayuda: Web & Seguridad
  24. 24. Protección contra bichos ● Un antivirus por el amor a su PC ● https://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkk ● http://www.virustotal.com/ ● Uso y me han funcionado: AVG, Avast! y McAfee ● Un antispyware ● http://www.safer-networking.org/es/index.html ● http://www.lavasoftusa.com/ ● Solución antispam ● Webmail: Gmail el mejor pero otros webmail tienen. ● Soluciones open source y propietarias ● LA TENDENCIA: Suites integradas de seguridad. RomeroGT: Ayuda: Web & Seguridad
  25. 25. Escoja mejor sus aplicaciones ● Por su seguridad: diga NO a la piratería ● Evite shareware, adware, crackware, serials ● Si no quiere pagar, piense opensource ● Fuentes confiables (sf.net, cdlibre.org) ● Casi todo tiene ahora alternativa ● Reduzca la superficie de ataque ● No le meta a su PC todo lo que encuentra ● Salgase del rebaño, tendrá menos riesgo. ● Integra, p. ej: VLC por varios media player RomeroGT: Ayuda: Web & Seguridad
  26. 26. Proteja su PC del exterior ● Su PC se -VE- en la web y puede que exponga servicios. ● Utilice un firewall confiable ● Algunos requieren configuración ● No todos protegen de la misma forma ● Brinde el mínimo acceso hacia su PC ● Los firewalls no protejen todo RomeroGT: Ayuda: Web & Seguridad
  27. 27. Otras tecnologías de seguridad ● Encripción a nivel de disco, carpetas o archivos ● EFS, PGP, alternativas comerciales ● A nivel de protección de documentos ● Firma digital (PKI, PGP, RSA) ● Encripción (simétrica o asimétrica) ● Proteccion de las comunicaciones ● Canales seguros: Https, sftp, ssh ● Redes privadas virtuales RomeroGT: Ayuda: Web & Seguridad
  28. 28. Navegacion más segura ● En su browser (el que quiera, yo uso Firefox) ● Proteccion antiphishing y del scripting ● No lo llene de plugins, incrementa su riesgo ● Verifique conexiones seguras e identidad del sitio ● En la mensajería instantánea ● Considere antivirus que protejen IM ● Cuidado con lo que escribe y lo que recibe ● En el correo ● Que su servidor tenga antivirus y antispam RomeroGT: Ayuda: Web & Seguridad
  29. 29. Se recomienda prudencia ● Habitos de navegacion en sitios confiables. ● Manejo de contraseñas de sitios ● Descarga de software de sitios oficiales ● No de clic a todo enlace y programa que ve ● Cuidado con la publicidad engañosa ● Piense dos veces la información que comparte ● Lea los términos de servicio y privacidad ● Contenidos inapropiados o peligros. RomeroGT: Ayuda: Web & Seguridad
  30. 30. Equipos compartidos ● El acceso físico al equipo le hace vulnerable ● Si usa café Internet, triplique su precaucion ● Incluso en casa, cree usuarios para cada uno ● Piense en la seguridad de sus archivos ● Historial, privacidad, cookies (ctrl-shift-del en FF) ● Emplee listas y niveles de acceso RomeroGT: Ayuda: Web & Seguridad
  31. 31. Issues del Web 2.0 ● Desea ser una persona pública en Internet? ● La información que publica, adivine, es Pública! ● En Internet mucha actividad es rastreable ● Alguna actividad es ”espiable”. ● Los detalles que comparte pueden comprometerle ● Los villanos también van adelante RomeroGT: Ayuda: Web & Seguridad
  32. 32. Futuro SANS: 10 Tendencias ... ● Requerimiento de encripción de portátiles ● Robo de PDA/SmartPhone por tecnología e información ● Acciones de gobierno respecto a información y su seguridad. ● Ataques a agencias de gobierno y empresas relacionadas. (EEUU) ● Infección de gusanos en teléfonos celulares. RomeroGT: Ayuda: Web & Seguridad
  33. 33. ... 10 Tendencias ● Ataques a sistemas VoIP por debilidades ● Spyware en auge desde paises en desarrollo. ● Vulnerabilidades día-0 ● Rootkits en redes ”bots” ● Mayor control de acceso a la red RomeroGT: Ayuda: Web & Seguridad
  34. 34. Pero viva, no se muera. ● Ya me siento mejor porque ahora les compartí un poco de mi paranoia; finalmente esto de la seguridad solo es un estado mental. ● Ahora vamos a bar... RomeroGT: Ayuda: Web & Seguridad

×