Seguridad De TI

El primer “bug” o fallo informático

➪ Tuvo lugar el 9 de septiembre de 1.945 en el laboratorio de

cálculo Howard Aiken de la Universidad de Harvard

✎ Grace Murray Hopper vio una polilla (bug) en los contactos de una valvula de la pc

Primer incidente en Internet: gusano de Morris (1988)

➪ Creación de organismos especializados: CERT/CC

(Computer Emergency Response Team – Coordination

Center

Vulnerabilidades de los Sistemas

Origen de los problemas:

• Debilidad en el diseño de los protocolos

✎ No prevén situaciones anómalas o un mal comportamiento de

una de las partes que trate de confundir a la otra (ataques DoS)

✎ Se intercambia la información en texto claro

• Errores de programación

✎ Fallos en el diseño o en la codificación de los programas

✎ Comportamiento incorrecto frente a entradas no validadas

• Configuración inadecuada de los sistemas informáticos

✎ Las opciones por defecto suelen ser poco seguras

✎ Deficiente documentación sobre la configuración del sistema

• Configuración inadecuada de los sistemas informáticos

✎ Modems con una configuración insegura que facilitan el acceso

no autorizado de usuarios externos (técnicas de “War dialing”)

Un MODEM (Modulador/Demodulador) permite establecer

conexiones directas a un equipo a través de líneas telefónicas

(analógicas o digitales), mediante el protocolo PPP (o SLIP)

Configuración inadecuada de los sistemas informáticos

✎ Contar con excesivas relaciones de confianza entre redes y

servidores, que facilitan el acceso a servidores sin requerir de

autenticación:

Política de Seguridad deficiente o inexistente

• Política de contraseñas poco robusta

• --Deficiente control de los intentos de acceso al

• sistema

• Instalación de programas poco fiables

• Información sensible que se guarda sin encriptar en el sistema.

• Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática

• Disponibilidad de herramientas que facilitan los ataques

Limitación gubernamental al tamaño de las claves criptográficas y a la utilización de este tipo de tecnologías

✎ Situación agravada a raíz de los atentados del 11-S de 2001

-Los grupos terroristas y el crimen organizado emplean sistemas criptográficos en sus comunicaciones ✎ Los productos criptográficos se consideran tecnología de doble uso.

España la nueva Ley General de Telecomunicaciones (Ley 32/2003, de 3

de noviembre), en su artículo 36, reserva al Estado la potestad de “imponer la obligación de facilitar a un Órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos

Puertas traseras en los sistemas (‘backdoors’)

✎ Servicios que se utilizan durante las fases de desarrollo y que por error se mantienen en la versión final distribuida a los cliente

VI Informe sobre Seguridad en Internet publicado por la empresa Symantec durante el primer trimestre de 2004 se habían descubierto cada

semana una media de 48 nuevas vulnerabilidades, de las que en un 96 % de los casos podrían tener consecuencias

Ejemplos de vulnerabilidades que afectan a equipos

Routers y cable-modems

✎ Permiten acceder a los equipos y redes conectadas o facilitan ataques del

tipo DoS

Cámaras Web y servidores de vídeo

✎ Control remoto de la cámara por parte de un usuario malicioso,

lanzamiento de un ataque de denegación de servicio (DoS), etc.

Vulnerabilidades en otros equipos conectados a una

red: impresoras, escáneres, faxes, fotocopiadoras...

Problemas: Sustracción de información reservada, denegación del servicio (ataque DoS, Denial of Service)

Recomendaciones:

– Desactivar los servicios innecesarios

– Mantener el firmware actualizado mediante la instalación de los parches

desarrollados por los fabricantes

– Limitar el acceso a la contraseña que permite acceder al equipo

Teléfonos móviles

✎ El fenómeno conocido como “snarfing” o “bluesnarfing” (‘hacking’ de teléfonos

móviles) se está convirtiendo en un problema cada vez más serio. El software para

acceder a la información contenida en teléfonos con tecnología Bluetooth está

disponible en numerosos Websites de Internet

Bluetooth es una tecnología de comunicaciones inalámbricas de corto alcance (para

distancias de unos 10 metros).

Agendas electrónicas (PDA’s)

✎ Problemas con el acceso mediante el puerto de infrarrojos o la tecnología

Bluetooth

Sistemas operativos, servidores y bases de datos

✎ Multitud de fallos y vulnerabilidades descubiertas en los sistemas operativos Windows de Microsoft, en las distintas versiones de Linux, en MacOS, etc.

✎ Vulnerabilidades en gestores de bases de datos como Oracle o SQL

Navegadores

✎ Multitud de problemas que afectan a los navegadores más populares: Internet

Explorer de Microsoft, Netscape, Opera, etc., y que podrían tener graves

consecuencias para los usuarios: ejecución de código arbitrario, sustracción de

determinados ficheros del ordenador, mostrar URLs falsas en la barra de

direcciones, etc.

Aplicaciones ofimáticas como Word o Excel

✎ Agujeros de seguridad que permiten acceder a

...