Vous êtes sur la page 1sur 20

Seguridad de la

Informacin
Ing. Morales Gonzales Alexander

Introduccin
Ing. Morales Gonzales Alexander

Presentacin de los
personajes
Los chicos buenos
Alice (A)
Bob (B)
Ocasionalmente podra necesitarse de un chico
bueno adicional llamado Charlie (C)
Etc.

Presentacin de los
personajes
Los chicos malos
Trudy .- el intruso (Intruder), para todos los
casos es el chico malo.
Eve.- el fisgn (eavesdropper)
Etc.

Presentacin de los
personajes
Alice, Bob, Trudy y el resto de la pandilla no

son necesariamente humanos.


Un escenario
Alice es una laptop
Bob es un servidor
Trudy es un humano

Alices online Bank (AOB)


Supongamos que Alice inicia un negocio de

banca en lnea
Cules seran las preocupaciones de seguridad

de informacin de Alice?
Si Bob fuese cliente de Alice, Cules seran sus
preocupaciones de seguridad?
Las preocupaciones de Bob son las mismas que
las de Alice?
Si vemos a AOB desde la perspectiva de Trudy,
Qu vulnerabilidades de seguridad
encontraramos?

Confidencialidad, Integridad,
Disponibilidad (CIA)
Confidencialidad (Confidentiality) tiene

como objetivo prevenir la lectura no


autorizada de informacin
Bob no desea que Trudy se entere de cuanto

dinero tiene ahorrado en su cuenta


El banco de Alice podra enfrentar problemas
legales si falla en proteger la confidencialidad
de esta informacin.

Confidencialidad, Integridad,
Disponibilidad (CIA)
Integridad (Integrity). La informacin tiene

integridad si se prohbe la escritura no


autorizada.
El banco de Alice tiene que proteger la

informacin de las cuentas para prevenir que


Trudy incremente el saldo de su cuenta o
cambie el saldo de la cuenta de Bob.

Confidencialidad, Integridad,
Disponibilidad (CIA)
Disponibilidad (Availability) La informacin tiene

disponibilidad, si es posible acceder a ella cuando


se necesite
Los ataques de Denegacin de Servicio (Denial of

Service) reducen el acceso a la informacin.


Si el AOB, no est disponible, Alice no podr hacer
dinero de las transacciones de sus clientes.
Bob no podra hacer negocios, e intentara hacerlos
en otro sitio
Si Trudy tiene una rencilla contra Alice o slo quiere
ser maliciosa intentar hacer un ataque DoS al
AOB.

Mas all de la CIA


Confidencialidad, Integridad y Disponibilidad

es slo el comienzo de la historia considere lo


siguiente
Bob a ingresado a su computadora , cmo

determina la computadora de Bob, qu el que


ha ingresado es realmente Bob y no Trudy?
Bob a ingresado a su cuenta en AOB, cmo
sabe AOB qu el que ha ingresado es realmente
Bob y no Trudy?
Ambos problemas parecen similares, pero son
totalmente diferentes.

Mas all de la CIA


La autenticacin de un sistema stand-alone

requiere que la contrasea de Bob sea


verificada. Para realizar esto de manera
segura se pueden utilizar tcnicas ingeniosas
de criptografa

Mas all de la CIA


La autenticacin en red est abierta a muchos tipos de

ataques
El mensaje enviado por la red puede ser visto por Trudy
Trudy no slo puede interceptar el mensaje, podra

modificarlo o insertar uno nuevo


Ella podra enviar mensajes antiguos para convencer a
AOB que es realmente Bob

La autenticacin es esta situacin requiere de atencin

cuidadosa a los Protocolos que son usados


La criptografa juega tambin un papel importante en
los protocolos de seguridad.

Mas all de la CIA


Una vez que Bob ha sido autenticado en el

banco de Alice, Alice debe hacer cumplir


restricciones en las acciones de Bob
Bob no puede ver los saldos de la cuenta de

Charlie
Bob no puede instalar un nuevo software de
contabilidad en el sistema.
Sam, el administrador del sistema, puede
instalar un nuevo software de contabilidad en el
sistema.

Mas all de la CIA


Hacer cumplir esas restricciones est en el

dominio de Autorizacin
Las autorizaciones ponen restricciones en las
acciones de los usuarios autenticados.
Tanto la autorizacin y la autenticacin, se
encargan juntos de controlar el acceso a los
recursos por lo que se puede agrupar a ambos
bajo la denominacin control de acceso

Mas all de la CIA


Todos los mecanismos de seguridad discutidos son

implementados en Software
Los sistemas de software modernos tienden a ser
grandes, complejos y llenos de bugs.
Estos bugs a menudo conducen a fallos de seguridad
Qu son estos fallos y cmo son explotados?
Cmo AOB puede estar seguro que su software se

comporta correctamente?
Cmo pueden los desarrolladores de AOB limitar el
nmero de fallos de seguridad en el software que
desarrollan?

Mas all de la CIA


Estos bugs son creado sin intencin, sin embargo

existe software creado para hacer el mal.


Este software malicioso, o malware incluyen
Todos los Virus conocidos
Gusanos que plagan la internet (worms)

Cmo actan estos software?


Qu puede hacer el banco de Alice para limitar el

dao?
Qu puede hacer Trudy para incrementar el
dao?

Mas all de la CIA


Bob tambin tiene preocupaciones por el

software
Bob ingresa su password en su computadora,

cmo sabe que el su password no ha sido


capturado y enviado a Trudy?
Bob ingresa a www.alicesonlinebank.com Cmo
sabe que la transaccin que observa en la
pantalla es la misma que se proces en el banco?
En general, cmo puede confiar Bob que el
software se comporta como debera, en lugar
como Trudy quiere que se comporte?

El Problema de la Gente
Los usuarios listos tienen la habilidad de destruir

los planes de seguridad mejor elaborados


Algunos ejemplos:
Bob desea comprar libros en Amazon, usa un

navegador Web con el protocolo seguro SSL, que


cuenta con tcnicas criptogrficas
Varios mecanismos de control de acceso surgen
para la transaccin, y todos estos mecanismos de
seguridad son forzados por software
Un ataque a la transaccin causa que el
navegador Web enve una advertencia a Bob.

El Problema de la Gente
Desafortunadamente, Bob, es el tpico

usuario, y l simplemente ignora la


advertencia, lo que frustra la seguridad sin
importar cun seguro sea la criptografa, que
tan bien diseado sean los protocolos y
mecanismos de acceso y cun impecable sea
el software.

El Problema de la Gente
Otro ejemplo: un tema clave, los passwords.
Los usuarios escogen passwords fciles de
recordar, pero eso hace que sean sencillos de
adivinar por Trudy.
Una solucin obvia es asignar passwords ms
robustos.
Sin embargo, es casi seguro que los passwords se
encontrarn escritos en notas post-it y publicados
en lugares prominentes, haciendo la seguridad del
sistema sea menos segura que si los usuarios elijen
sus propios passwords, relativamente dbiles.