1

Ing. Karina Astudillo B.

Gerente de IT

Prevención de Fraudes

Electrónicos

Agenda

Introducción a la seguridad informática

Entorno de seguridad informática actual

Confidencialidad, Integridad y Disponibilidad de la Información

Vulnerabilidades, Amenazas y Ataques

Ataques de Ingeniería Social

Ataques directos o telefónicos

Tailgating y Dumpster Diving

Ataques haciendo uso de computadoras: mail scams y phishing, virus,

gusanos y troyanos

Mecanismos de defensa

Entorno de Seguridad y Políticas

Política de Seguridad Corporativa

Importancia de la Política de Seguridad Corporativa

Ley ecuatoriana de Comercio Electrónico

Un vistazo al estándar ISO 27001

2

INTRODUCCIÓN A LA

SEGURIDAD INFORMÁTICA

3

Entorno de seguridad informática actual Casos en Ecuador: Ataques a websites del

gobierno (defacements)

Laptop Raúl Reyes

Pornografía en Internet

Revisión de Microfilm del Banco Central

Caso Peñaranda (Discos Duros)

Estafas / Suplantación de identidad

Infracciones de Propiedad Intelectual

Clonación de Tarjetas

¡1300 denuncias de phishing en 1er trimestre del 2011!

4

Tendencias que afectan la seguridad informática

Incremento en los ataques de red

Mayor sofisticación de los ataques Aumento en la dependencia de la red Falta de personal capacitado Poca atención a los riesgos informáticos Ausencia de políticas de seguridad Popularidad de las redes inalámbricas Huecos legislativos

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 5

Amenazas actuales: más peligrosas y fáciles de usar

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 6

Terminología esencial

Amenaza – Una acción o evento que podría perjudicar la seguridad. Una amenaza es una violación potencial de la seguridad.

Vulnerabilidad – Existencia de una debilidad en el diseño o error de implementación que podría conllevar a un evento no deseado que comprometa la seguridad de la información.

Objetivo o Víctima– Un sistema, producto o empresa que ha sido identificado como sujeto de un ataque malicioso o de una auditoría de hacking ético.

Ataque – Un asalto a un sistema informático que se deriva de una amenaza inteligente. Un ataque es cualquier acción que viole la seguridad.

Explotación – Una forma definida de romper la seguridad de un sistema informático a tráves del aprovechamiento de una vulnerabilidad.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7

Terminología esencial Hacker – Persona experta en seguridad

informática.

Hacker Ético o de Sombrero Blanco – Profesional que usa sus habilidades de hacking con fines preventivos.

Cracker o Hacker de Sombrero Negro– Delincuente informático que utiliza sus conocimientos tecnológicos con fines maliciosos.

Hacker de Sombrero Gris – Individuo que usa sus habilidades de forma preventiva u ofensiva de acuerdo a sus intereses.

Hacktivismo – Hacker “por una causa”. Ej: hacking político, hacking verde.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 8

Objetivos de Seguridad

Integridad

Confidencialidad

Disponibilidad

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 9

Tipos de Vulnerabilidades

Tecnológicas

Configuración

Políticas

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 10

Tipos de Amenazas

Externas

Internas

Estructuradas

No - Estructuradas

Internet

Internal

exploitation Dial-in

exploitation

Compromise

d host

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz

Ataques a la seguridad

INTERRUPCIÓN: Este es un ataque a la disponibilidad

INTERCEPCIÓN: Ataque a la confidencialidad

MODIFICACIÓN: Ataque a la integridad

FABRICACIÓN: Ataque a la autenticidad

12

Fases del hacking

13

Obtener acceso

Mantener acceso

Borrar huellas

Reconocimiento

Ataques de reconocimiento

Los ataques de reconocimiento tienen por objetivo recolectar la mayor cantidad de información sobre la víctima, utilizando información pública disponible, ataques de ingeniería social o haciendo uso de herramientas de software especiales.

Un tipo especial de ataque de reconocimiento lo constituyen los ataques de ingeniería social.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz

Ataques de reconocimiento

15

Escaneo

Verificación de servicios disponibles en los objetivos detectados.

Detección de versión de Sistema Operativo y aplicaciones activas.

Determinación de vulnerabilidades presentes.

Ataques de acceso

En este tipo de ataque el cracker toma contacto directo con la víctima o sus sistemas.

Ejemplos de ataques de acceso:

Ataques de claves

Captura de paquetes

activa (sniffing de red)

Phishing

Explotación de

vulnerabilidades

detectadas

17

Denegación de Servicio (DoS)

En este tipo de ataque el cracker agota los recursos de un sistema o red, volviéndolo inutilizable.

18

Denegación de Servicio Distribuida (DDoS)

En este ataque el cracker infecta previamente cientos o miles de máquinas y las convierte en botnets o zombies, para atacar al unísono a un tercero.

19

ATAQUES DE INGENIERÍA

SOCIAL

20

¿Qué es la ingeniería social?

Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.

21

Debilidad humana

Las personas son el eslabón más débil de la cadena de seguridad.

Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas.

La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.

Tipos comunes de ingeniería social La ingeniería social puede

dividirse en dos tipos: basada en humanos y basada en computadores

1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada.

2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada.

23

Categorías:

Personificación

Suplantar una persona importante

Acercamiento de tercera persona

Soporte técnico

Búsqueda en la basura

“Surfing” de hombros

Basada en Humanos

24

Llamada al soporte técnico

Un hombre llama al soporte técnico

y dice que ha olvidado su clave.

En pánico agrega que si no entrega

un documento a tiempo su jefe podría

despedirlo.

La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red

corporativa.

25

Dumpster diving

Un ejecutivo bota papeles corporativos a la papelera.

El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero.

Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión.

Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 26

Tailgating o Piggybacking

Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada.

Métodos:

Haciendo de “escolta”

Pretendiendo ser parte del

grupo

Fingiendo haber perdido la

credencial o tener las

manos ocupadas 27

Dejando una “carnada”

En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima.

Ejemplos:

Pendrive o CD con

malware “olvidados” en

el baño

28

Basada en computadoras

Categorías

Adjuntos de correo electrónico

Ventanas emergentes

Sitios webs falsos o maliciosos

Correo basura (spam)

Mails falsos

Software “gratis” o pirata

29

Virus, Gusanos y Troyanos

Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada.

El gusano a diferencia del virus puede replicarse a sí mismo de forma automática.

El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque.

30

Phishing

Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas.

31

Mails falsos

El correo puede ser falsificado fácilmente.

Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail.

32

Mecanismos de defensa

Definición de una Política de Seguridad Corporativa.

Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).

Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.

Capacitación del personal de sistemas en seguridad informática.

Rediseño de la red para incorporar dispositivos y protocolos de seguridad.

Uso de tecnologías Anti-X.

Ejecución de auditorías de seguridad informática anuales.

33

Sistemas de protección Herramientas Comerciales

Antivirus / Antispam

Kaspersky

Eset

McAffee

Norton

Firewalls e IPS’s

Cisco ASA, Cisco Security

Agent

Juniper

Fortinet

Checkpoint

Sistemas de Correlación

Cisco MARS

Checkpoint Smart Event

Herramientas Open Source

Antivirus / Antispam

ClamAV

Firewalls e IPS’s

Linux IPTables

Solaris IPFilter

FWBuilder

Snort

Sistemas de Correlación

AlienVault Open Source

SIEM (OSSIM)

Hyperic

Nagios

34

Auditoría de Hacking Ético

Tipos de Hacking Ético

Externo

Interno

Computador Robado

Ingeniería Social

35

Modalidades

Black Box

Gray Box

White Box

ENTORNO DE SEGURIDAD

Y

POLÍTICAS

36

¿Qué es una Política de Seguridad?

“Una política de seguridad es una declaración formal de reglas a las cuales se deben atener las personas a las que se les brinda acceso a los activos de información y tecnología de la empresa”.

Tomado del RFC 2196, Site Security Handbook.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 37

¿Por qué crear una Política de Seguridad?

Para crear una línea base de su postura actual sobre seguridad informática

Para establecer el marco referencial para una implementación de seguridad

Para definir los comportamientos permitidos y prohibidos

Para ayudar a determinar las herramientas y procedimientos necesarios en la organización

Para comunicar consenso y definir roles

Para definir cómo se deben manejar los incidentes de seguridad

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 38

Estándar ISO 27001 (antes 17799)

Es un estándar de seguridad informática reconocido internacionalmente.

“Es un conjunto de controles que comprenden las mejores prácticas en seguridad de información”

Consta de dos partes: un código de práctica y una especificación para un sistema de administración de la seguridad de la información.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz

39

¿Por qué certificarse en ISO 27001?

“Ha sido diseñado para servir como un único punto de referencia para la identifación de un rango de controles requeridos para la mayoría de las situaciones en que se usan sistemas informáticos para la industria y el comercio.”

Facilita las negociaciones comerciales proveyendo un ambiente confiable para el intercambio de información.

40

Legislación - Ecuador

Código de Procedimiento Penal (CPP)

Código de Procedimiento Civil (CPC)

1

Ley Orgánica de Transparencia y Acceso a la Información Pública

2

Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos

3 Ley de Propiedad Intelectual

4 Ley Especial de Telecomunicaciones

5

Constitución de la República (Habeas Data)

41

Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002

Ver el reglamento en http://www.corpece.org.ec

Ley de Comercio Electrónico

42

Conceptos introducidos por la ley

Mensajes de Datos

Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros.

Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados.

Principio de Equivalencia Funcional

Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2)

43

Conceptos introducidos por la ley

Mensajes de Datos como medio de prueba

El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.

Firma Electrónica

No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente.

44

Penalización

Delito de fraude informático

Alteración funcionamiento de

programa informático

Delito de falsificación electrónica

Modificación del mensaje de datos

Delito de daño informático

Destrucción de programas o

mensajes

Conceptos introducidos por la ley

45

Infracciones Informáticas (CPP)

INFRACCIONES INFORMATICAS REPRESION MULTAS

Delitos contra la información protegida (CPP Art. 202)

1. Violentando claves o sistemas

2. Seg. nacional o secretos comerciales o industriales

3. Divulgación o utilización fraudulenta

4. Divulgación o utilización fraudulenta por custodios

5. Obtención y uso no autorizados

6 m. - 1 año

3 años

3 a 6 años

9 años

2 m. - 2 años

$500 a $1000

$1.000 - $1500

$2.000 - $10.000

$2.000 - $10.000

$1.000 - $2.000

Destrucción maliciosa de documentos (CCP Art. 262) 6 años ---

Falsificación electrónica (CPP Art. 353) 6 años ---

Daños informáticos (CPP Art. 415)

1. Daño dolosamente

2. Serv. público o vinculado con la defensa nacional

3. No delito mayor

6 m. - 3 años

5 años

8 m. - 4 años

$60 – $150

$200 - $600

$200 - $600

Apropiación ilícita (CPP Art. 553)

1. Uso fraudulento

2. Uso de medios (claves, tarjetas magnéticas, etc.)

6 m. - 5 años

5 años

$500 - $1000

$1.000 - $2.000

Estafa (CPP Art. 563) 5 años $500 - 1.000

46

Técnicas de Investigación Forense

Informática Forense: Ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional

Auditoría Forense:- Técnica utilizada generalmente para la prevención y detección de fraudes de una manera especializada. Proceso estructurado donde intervienen contadores, auditores, abogados, investigadores, informáticos entre otros.

47

Informática Forense

Documentación y Resultados Informe Técnico Informe Pericial

Análisis de Evidencias Reconstrucción Respuestas

Preservación de evidencias Almacenamiento Etiquetado

Cadena de Custodia

Recopilación de Evidencias Recuperar la Operación Técnicas de Investigación

Identificación del incidente Identificación de los procesos

48

Perito – Aspecto Legal

Perito: Experto en una materia, capaz de aportar al juez conocimientos que no posee, con el fin se servir de lentes de aumento para la justicia con el fin de aclarar el asunto litigioso en revisión.

Perito informático: perito especializado en el área de las tecnologías de la información que de acuerdo con el tema requerido puede ser seleccionado según su competencia y experiencia para una labor de análisis

49

Perito ante un caso judicial

Peritos CPP y CPC

Organismo de Acreditación de Peritos

Procedimientos de acreditación

Pérdida de acreditación

Implicaciones legales

Peritaje

Designación Posesión Ejecución Resultados

50

Perfil del Consultor Forense

Profesional con experiencia comprobada en seguridad informática

Conocimiento sobre leyes relacionadas en el país o trabajo conjunto con buffete acreditado

Certificación Internacional en Computer Forensics

Herramientas de Software

CAINE, Helix, Encase Forensics

51

Iniciativas Internas y Externas

Internas

Departamento de Criminalística de la Policía Nacional

Creación de la Unidad de Delitos Informáticos del Ministerio Público

Cuerpo Colegiado de Peritos

Externas

Recomendaciones de la OEA

Mercosur

52

Retos futuros Marco Legal

Leyes

Infraestructura y tecnología

Formación profesional

Rama del derecho

Rama informática

Limitaciones tecnológicas

Laboratorios

Técnicas

Otras

Comunicaciones 53

¿Preguntas?

Mayor información

Website: http://www.elixircorp.biz

Blog: http://www.SeguridadInformaticaFacil.com

Facebook: www.facebook.com/elixircorp

Twitter: www.twitter.com/elixircorp

Google+: http://google.com/+SeguridadInformaticaFacil

¡Gracias por su tiempo!

Karina.Astudillo@elixircorp.biz

Twitter: KAstudilloB

Facebook: Kastudi