Ayuda Web Seguridad Romero Gt

Ayuda: Web & SeguridadRomeroGT:

Ayuda: Web & SeguridadAyuda: Web & Seguridad

RomeroGT@ExpoNETGuatemala, 5 de marzo 2008

E. Mauricio Romero Escobarhttp://romerogt.delaermita.com/

http://romerogt.delaermita.com/


Su turno de presentarseSu turno de presentarse

● Conexión: Casa, Trabajo, Estudio, C@fe

● Uso: Email, IM, VoIP, Docs., Trabajo, Estudio

Información: Estudio, Trabajo, Hobbie, Diversion

Seguridad: Bajo, Medio, Alto, Unbreakable

mailto:C@fe


Dicen de la seguridadDicen de la seguridad

● La seguridad trasciende la tecnología.

● (ISC2)

● Un viaje (sin fin), no un destino.

● La seguridad es un estado mental

● No hay tal cosa como seguridad al 100%


Psicología de la seguridadPsicología de la seguridad

● Seguridad es al mismo tiempo un sentimiento y una realidad. Y no son lo mismo

● Psicología de la Seguridad, Bruce Schneier en Black Hat USA 2007

● Puedes estar seguro y sentirte inseguro, o puedes sentirte seguro y estar inseguro.

● Mientras la realidad puede ser medida y pronosticada, el sentimiento es la ilógica percepción natural del ser humano


Seguridad: Una decisiónSeguridad: Una decisión

● La seguridad es un trueque, un intercambio que considera:● Severidad del riesgo (vida?)● Probabilidad del riesgo (pasará?)● Magnitud del riesgo (grave?)● Mitigación y contigencia del riesgo (control?)● Evaluación del costo/beneficio (vale?)●

● El problema: realidad/objetividad vrs. sentimiento/percepción.


En la vida realEn la vida real

● Estas en peligro constante● Ignorando estadísticas,

asignamos probabilidad.● La gravedad es subjetiva.● Contratamos seguros,

usamos cinturon, dejamos con llave todo.

● Juicio personal del costo ($,libertad,eficiencia) y beneficio (seguridad?)


En la Web de hoyEn la Web de hoy

● ”Bichos informáticos”, ataques, criminales disfrazados.

● Desconocemos estadísticas, quizás nos pretendemos inmunes.

● No vemos la gravedad: robo, ineficiencia, privacidad, daños.

● Antivirus y firewall no son suficientes, confiar no es una opción.

● Creemos costosa la seguridad, vemos poco beneficio o lo desestimamos.


Vida web real de hoyVida web real de hoy

● La web como como escenario y accesorio criminal.

● Podemos ser fumadores pasivos de amenazas.

● No se trata de criminales tecnológicos.

● Es una vida con tecnología al alcance de -todos-.


Lo que esta en juegoLo que esta en juego

● Dinero● Privacidad● Información● Secretos industriales● Recursos del computador● Prestigio personal o profesional


La decisión de seguridadLa decisión de seguridad

● Costos que quizás no esten dispuestos a correr:

● Desconectarse de Internet, no comprar el nuevo smartphone, no intercambiar archivos, no hacer transacciones por Internet.

● Costos que quizás debes considerar:● Actualización de software, programas especializados de

seguridad, evaluar la seguridad de tu información, verificar seguridad de red.

● Beneficio esperados:● Información y conexión global, eficiencia en diversos aspectos,

información segura, disfrutar del Web 2.0... y contando.


Seguridad... de ser un target!Seguridad... de ser un target!


Encuesta de Opinion IIEncuesta de Opinion II

● Que ha instalado: Sistema Operativo, Aplicaciones, Plugins – Un tercero.

● Incidentes: Virus, spyware, Ataques, Perd. Inf., Falla de PC

● Que es lo último que han escuchado de Internet.


Amenazas tecnológicasAmenazas tecnológicas

● Si no aseguramos la tecnología, la seguridad será un castillo en el aire.

● Por eso debemos entender muy bien los tipos de amenazas:● Fallas● Vulnerabilidades● ”Bichos informáticos”● Ataques e intrusos

● Para cada una pueden aplicar diversos tipos de medidas, veamos en más detalle.


Fallas y vulnerabilidadesFallas y vulnerabilidades

● Falla: un disco malo, la caida de la red, PC muerto.

● Vulnerabilidad: Sistema operativo, aplicación, página web.

● No son creación humana, pueden presentarse en cualquier momento, hay mecanismos de prevención y atención.


Bichos informáticos IBichos informáticos I

● Virus: programas que usualmente hacen algun daño en sus equipos.

● Gusanos: añaden capacidad de diseminarse por si mismos via la red.

● Troyanos: programas que además buscan algún nivel de acceso a su PC.

● Protejerse de ejecutables es cosa del pasado!


Bichos informáticos IIBichos informáticos II

● Spyware: programas o archivos que llevan bitácoras de lo que hace y tiene usted en su PC

● Adware: programas supuestamente gratuitos pero que afectan rendimiento y privacidad

● Malware: programas maliciosos, ataques dirigidos.


Alta Tecnología Alta Tecnología

● Backdoors● Sniffers● Keyloggers● Remote monitor/control● Rootkits● Virtualización


Ataques e intrusosAtaques e intrusos

● Coordinados y dirigidos por personas.● Spoofing (identidad falsa): Puede darse a nivel de

correo o equipos de red que falsean información.● Phishing: Buscan hacerse pasar por

usuarios/empresas confiables. Usualen bancos.● Denegacion de servicio: Buscan provocar la

paralización de los sistemas.● Eavesdropping: ”el oreja y fisgón”● Crackers, script kiddies


Top 20 SANSTop 20 SANS

● Vulnerabilidades en navegadores, oficina, correo y reproductores multimedia.

● En los servidores web, servicios de Windows, Unix y MacOS, herramientas de respaldos, antivirus...

● Políticas de seguridad con accesos al definidos, phishing.

● Datos sin encriptar en laptops y almacenamiento

● Redes con voz sobre IP y telefonía móvil

● Ataques de Día-Cero

http://www.sans.org/top20/

http://www.sans.org/top20/


SANS recomienda ...SANS recomienda ...

● Configure todo sistema lo más seguro que pueda desde el primer día y controle cambios.

● Automatice el mantenimiento de la configuración segura (parches, firmas de antivirus, etc.)

● En empresas, emplee proxys que protejan la navegación hacia Internet.

● Clasifique su información y emplee encripción y medidas para proteger el robo.


... SANS recomienda... SANS recomienda

● Automatice las revisiones y tome medidas para lo que no cumpla con las políticas de uso.

● Segmente adecuadamente las redes con firewalls.

● Elimine vulnerabilidades de aplicaciones web evaluando conocimiento del desarrollador y a la aplicación misma.


Seguridad elementalSeguridad elemental

● Inteligencia

● Protección de calidad

● Úselo

● Revise, expiran !!!


Sistema operativoSistema operativo seguroseguro asegurado asegurado

● No existe un sistema operativo seguro. Hay diferentes niveles amenaza, riesgo, impacto.● Hasta Linux puede ser inseguro.● Hasta Windows puede ser seguro.

● Es importante:● Tener derechos de actualización.● Automatizar el proceso● Mantenerse informado

http://www.microsoft.com/latam/seguridad/

http://www.microsoft.com/latam/seguridad/


Protección contra bichosProtección contra bichos

● Un antivirus por el amor a su PC● https://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk● http://www.virustotal.com/● Uso y me han funcionado: AVG, Avast! y McAfee

● Un antispyware● http://www.safer-networking.org/es/index.html● http://www.lavasoftusa.com/

● Solución antispam● Webmail: Gmail el mejor pero otros webmail tienen.● Soluciones open source y propietarias

● LA TENDENCIA: Suites integradas de seguridad.

https://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk

http://www.virustotal.com/

http://www.safer-networking.org/es/index.html

http://www.lavasoftusa.com/


Escoja mejor sus aplicacionesEscoja mejor sus aplicaciones

● Por su seguridad: diga NO a la piratería● Evite shareware, adware, crackware, serials● Si no quiere pagar, piense opensource

● Fuentes confiables (sf.net, cdlibre.org)● Casi todo tiene ahora alternativa

● Reduzca la superficie de ataque● No le meta a su PC todo lo que encuentra● Salgase del rebaño, tendrá menos riesgo.● Integra, p. ej: VLC por varios media player


Proteja su PC del exteriorProteja su PC del exterior

● Su PC se -VE- en la web y puede que exponga servicios.

● Utilice un firewall confiable● Algunos requieren

configuración● No todos protegen de la

misma forma● Brinde el mínimo acceso

hacia su PC● Los firewalls no protejen

todo


Otras tecnologías de seguridadOtras tecnologías de seguridad

● Encripción a nivel de disco, carpetas o archivos● EFS, PGP, alternativas comerciales

● A nivel de protección de documentos● Firma digital (PKI, PGP, RSA) ● Encripción (simétrica o asimétrica)

● Proteccion de las comunicaciones● Canales seguros: Https, sftp, ssh● Redes privadas virtuales


Navegacion más seguraNavegacion más segura

● En su browser (el que quiera, yo uso Firefox)● Proteccion antiphishing y del scripting● No lo llene de plugins, incrementa su riesgo● Verifique conexiones seguras e identidad del sitio

● En la mensajería instantánea● Considere antivirus que protejen IM● Cuidado con lo que escribe y lo que recibe

● En el correo● Que su servidor tenga antivirus y antispam


Se recomienda prudenciaSe recomienda prudencia

● Habitos de navegacion en sitios confiables.● Manejo de contraseñas de sitios● Descarga de software de sitios oficiales● No de clic a todo enlace y programa que ve● Cuidado con la publicidad engañosa● Piense dos veces la información que comparte● Lea los términos de servicio y privacidad● Contenidos inapropiados o peligros.


Equipos compartidosEquipos compartidos

● El acceso físico al equipo le hace vulnerable● Si usa café Internet, triplique su precaucion● Incluso en casa, cree usuarios para cada uno● Piense en la seguridad de sus archivos● Historial, privacidad, cookies (ctrl-shift-del en FF)● Emplee listas y niveles de acceso


Issues del Web 2.0Issues del Web 2.0

● Desea ser una persona pública en Internet?● La información que publica, adivine, es Pública!● En Internet mucha actividad es rastreable● Alguna actividad es ”espiable”.● Los detalles que comparte pueden

comprometerle● Los villanos también van adelante


Futuro SANS: 10 Tendencias ...Futuro SANS: 10 Tendencias ...

● Requerimiento de encripción de portátiles● Robo de PDA/SmartPhone por tecnología e

información● Acciones de gobierno respecto a información y

su seguridad.● Ataques a agencias de gobierno y empresas

relacionadas. (EEUU)● Infección de gusanos en teléfonos celulares.


... 10 Tendencias ... 10 Tendencias

● Ataques a sistemas VoIP por debilidades● Spyware en auge desde paises en desarrollo.● Vulnerabilidades día-0● Rootkits en redes ”bots” ● Mayor control de acceso a la red


Pero viva, no se muera.Pero viva, no se muera.

● Ya me siento mejor porque ahora les compartí un poco de mi paranoia; finalmente esto de la seguridad solo es un estado mental.

● Ahora vamos a bar...

Ayuda Web Seguridad Romero Gt

Technology

Transcript of Ayuda Web Seguridad Romero Gt