TASC Unidad3

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL
Rebeca Eugenia Aguilar Durn

Email: raguilar17@live.com.mx
Cel: 461 1528067
Unidad 3. Seguridad de la Informacin

y los Sistemas
Aprendizaje Esperado
Establecer las caractersticas de seguridad
que deben tener los datos y los sistemas de
informacin, mediante el anlisis de los tipos
de informacin y las polticas de acceso, y
aseguramiento de los sistemas, con la
finalidad de disear sistemas seguros y
confiables para el tratamiento de la
informacin.
Temas
1. Informacin
2. Polticas de Seguridad
3. Bases de Datos
4. Software
5. Huecos de Seguridad en el diseo y desarrollo de Software
6. Seguridad en los Centros de Cmputo
7. Herramientas de Control y seguimiento de acceso
8. Herramientas de verificacin de sistemas
9. Deteccin de intrusin
10. Autenticacin.
1.- Informacin
La informacin es un activo muy valioso que puede
hacer crecer o destruir a su organizacin.
Seguridad de la informacin significa la
proteccin de la informacin y de los accesos a
los sistemas de informacin , control de su uso,
divulgacin, alteracin, modificacin, lectura,
registro o su destruccin.
La proteccin de la
informacin debe
garantizar
Fsico: Protege la integridad de los equipos

Para dar continuidad a los servicios.
Medidas de
Seguridad se
dividen en 3:
Firewall, Respaldos, Sistema de respaldo

de energa, Restriccin de acceso.
Lgico: Protege los datos y los sistemas a

accesos no permitidos.
Antvirus, Claves de acceso, Antispayware,
Firewalls, evitar correo no deseado
Organizacional: Asigna las funciones y

responsabilidades del personal para el
manejo de la informacin, equipo, accesos.
Definicin de Polticas, concientizar a los
usuarios.
Piratera : Distribucin o reproduccin

ilegal.
Inseguridad de
La Informacin
Ataques DoS : Denegacin de servicios,

tiene como objetivo el hacer que las
computadoras no accedan a los servicios
solicitados.
Virus Informtico.
Intercepcin de datos: Es cuando
terceras
personas
ajenas
a
la
organizacin,
desean
obtener
informacin sobre finanzas, estados de
cuenta, contraseas, etc.
Sistema de Gestin de Seguridad Informtica

SGSI
Es el sistema que abarca todas las actividades
relacionadas con la direccin y control de la
seguridad de los activos de informacin.
Las actividades abarcan:
Valoracin de las amenazas.
Valoracin de situacin actual de la SI
Diseo e implementacin de controles de
seguridad.
Qu nos permite un SGSI ?

Analizar y ordenar la estructura de los sistema de
informacin.
Establecer los procedimientos de trabajo para mantener
su seguridad.
Disponer de controles para medir la eficacia de lo
establecido en el punto anterior
Normas ISO/IEC 27000

ISO/IEC 27000 - es un vocabulario
estandard para el SGSI. (en
desarrollo actualmente).
ISO/IEC 27001 - es la certificacin

para las organizaciones.
ISO/IEC 27002 - es cdigo de

buenas prcticas para la gestin de
seguridad de la informacin
ISO/IEC 27003 - son directrices

para la implementacin de un
SGSI.
ISO/IEC 27004 - son mtricas para

la gestin de seguridad de la
informacin.
ISO/IEC 27005 - trata la gestin de

riesgos en seguridad de la
informacin
ISO/IEC 27006:2007 - Requisitos

para la acreditacin de las
organizaciones
ISO/IEC 27007 - Es una gua para

auditar al SGSI.
ISO/IEC 27799:2008 - Es una gua

para implementar ISO/IEC 27002 en
la industria de la salud
ISO/IEC 27035:2011 Tcnicas

de Seguridad Gestin de
Incidentes de Seguridad:
Relacin con otras Normas
Norma
ISO/27001
ISO/IEC 27001 es una norma emitida por

la
Organizacin
Internacional
de
Normalizacin (ISO) y describe como
gestionar la seguridad de la informacin
en una empresa. La revisin mas
reciente publicada fue en 2013 y su
nombre
completo
es
ISO/IEC
27001:2013.
Esta norma ayuda a identificar los
riesgos de la informacin e implementa
los controles apropiados para ayudar a
reducir los riesgos.
Beneficios
ISO/IEC
27001:2013
Identificar riesgos e implementar

controles en el sitio para gestionarlos
o eliminarlos.
Flexibilidad para adaptar controles a
todas las reas o reas seleccionadas
de la organizacin.
Ganar la confianza de los clientes de
que sus datos estn protegidos.
Demostrar cumplimiento y ganar
estatus como proveedor preferido.
Satisfacer ms expectativas de
licitaciones
al
demostrar
cumplimiento.
Casos de xito en la
implementacin de ISO/27001
TPICOS AVANZADOS DE SEGURIDAD

COMPUTACIONAL
2.- Polticas de Seguridad

El objetivo de las Polticas de Seguridad es
establecer las medidas de ndole tcnica y de
organizacin, necesarias para garantizar la
seguridad de las tecnologas de informacin
(equipos de cmputo, sistemas de informacin,
redes (Voz y Datos)) y personas que interactan
haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de cmputo de las
empresas.

COMPUTACIONAL
2.- Polticas de Seguridad

Las polticas definen qu hay que hacer (qu datos
y recursos deben protegerse de quin; es un
problema de administracin).
Norma ISO/27002
3.- Bases de Datos

La gran mayora de los datos sensibles del mundo estn
almacenados en sistemas gestores de bases de datos
comerciales tales como Oracle, Microsoft SQL Server entre
otros, y atacar una bases de datos es uno de los objetivos
favoritos para los criminales.
Esto puede explicar por qu los ataques externos, tales
como inyeccin de SQL, subieron 345% en 2009, Esta
tendencia es prueba adicional de que los agresores tienen
xito en hospedar pginas Web maliciosas, y de que las
vulnerabilidades y explotacin en relacin a los navegadores
Web estn conformando un beneficio importante para ellos
3.- Bases de Datos

La inyeccin SQL es posible
gracias a que
se usan
ciertos caracteres en los
campos de entrada de
informacin por medio de
los
campos de los
formularios
que
son
enviados
al
servidor
mediante POST o bien por
medio de los datos enviados
mediante GET en las urls de
las pginas web.
3.- Bases de Datos

Dentro de este tipo de ataques, nos podemos encontrar el
denominado Blind SQL Injection, traducido al espaol como
Ataque a ciegas por inyeccin de SQL, que se da cuando en una
pgina web no aparece ningn mensaje de error al ejecutar una
sentencia SQL errnea, por lo que el atacante va realizando
pruebas hasta dar con el nombre de los campos o tablas sobre los
que poder actuar.
Entre las bases de datos susceptibles a este tipo de ataques nos
encontramos MySQL, Oracle, Postgres o MS SQL.
3.- Bases de Datos

Dentro de este tipo de ataques, nos podemos encontrar el
denominado Blind SQL Injection, traducido al espaol como
Ataque a ciegas por inyeccin de SQL, que se da cuando en una
pgina web no aparece ningn mensaje de error al ejecutar una
sentencia SQL errnea, por lo que el atacante va realizando
pruebas hasta dar con el nombre de los campos o tablas sobre los
que poder actuar.
Entre las bases de datos susceptibles a este tipo de ataques nos
encontramos MySQL, Oracle, Postgres o MS SQL.
3.- Bases de Datos

Principales problemas que causan los ataques SQL Injection
Confidencialidad: De forma habitual, las bases de datos almacenan informacin
sensible, por lo que la prdida de confiabilidad es un problema muy frecuente en
aquellos sitios que son vulnerables a este tipo de ataques.
Autenticacin: Si el sistema de logueo que se utiliza para acceder a una zona
restringida de una web es dbil, por medio de este tipo de ataques se podra
acceder sin la necesidad de conocer ni el usuario ni la contrasea.
Integridad: Al igual que un ataque por inyeccin SQL permite leer informacin
relevante almacenada en la base de datos, tambin es posible realizar cambios o
incluso borrar toda informacin mediante este tipo de vulnerabilidad.
3.- Bases de Datos
3.- Bases de Datos

$sql = SELECT * FROM usuarios WHERE usuario = '$usuario' and password =
'$pass';
Donde $usuario y $pass seran las variables que contendran los valores
introducidos por el visitante en cada uno de esos campos.
Un usuario comn ante este tipo de formularios introducira datos normales
como pepe y 12345, respectivamente, por lo que la consulta a ejecutar
quedara de la siguiente forma.
$sql= SELECT * FROM usuarios WHERE usuario = 'pepe and password =
'12345';
Pero, qu ocurrira si un atacante en el campo Password agregara ' OR '1
= '1?
Es decir:
password = '12345 OR '1' = '1';
3.- Bases de Datos

El cdigo marcado con el color rojo sera la inyeccin SQL, y
ese simple cdigo nos podra permitir acceder a aquellos sitios
donde no se hubiesen tomado las medidas de seguridad
necesarias. La consulta en este caso quedara de la siguiente
forma.
$sql= SELECT * FROM usuarios WHERE usuario = 'pepe' and
password = '12345 OR '1'= '1'
;
3.- Bases de Datos

Este ejemplo que hemos visto es uno de los ms sencillos, pero
la inyeccin de cdigo SQL podra ser utilizada para insertar
cdigo ms complejo que pudiese hacer otras funciones como
listar datos o borrar datos.
3.- Bases de Datos

Medidas para proteger las bases de datos contra
Inyecciones SQL
1. Delimitar los valores de la consulta con comillas simples ().
Aunque el valor de la consulta sea un entero, es aconsejable
delimitarlo siempre entre comillas simples. Una instruccin SQL
del tipo:
SELECT nombre FROM usuarios WHERE id_user = $id
Ser mucho ms fcilmente inyectable que:
SELECT nombre FROM usuarios WHERE id_user = $id
3.- Bases de Datos

Inyecciones SQL
2. Verificar siempre los datos que introduce el usuario.
Es aconsejable tomar medidas de seguridad y realizar la
comprobacin de que realmente se trata del tipo de dato que
estamos esperando. Para realizar esto, los lenguajes de
programacin ofrecen funciones que realizan esta accin, como
pueden ser ctype_digit() para saber si es un nmero o
ctype_alpha () para saber si se trata de una cadena de texto en el
caso del lenguaje PHP.
3.- Bases de Datos

Inyecciones SQL
Tambin es aconsejable comprobar la longitud de los datos para
descartar posibles tcnicas de inyeccin SQL, ya que si por
ejemplo estamos esperando un nombre, una cadena
extremadamente larga puede suponer que estn intentando
atacarnos por este mtodo.
3.- Bases de Datos

Inyecciones SQL
3. Asignar mnimos privilegios al usuario que conectar con la
base de datos.
No utilizar nunca un usuario root con acceso a todas las bases de
datos ya que de esta forma estaremos dando facilidades a los
hackers para que puedan acceder a toda la informacin.
3.- Bases de Datos

Herramientas de Anlisis de Inyeccin de SQL
SQLiHelper 2.7 SQL Injection: Se trata de una aplicacin cuyo
objetivo es facilitar la extraccin de informacin procedente de bases
de datos utilizando para ello tcnicas de inyeccin SQL. Una vez
indicada la url que queremos analizar, la aplicacin realizar
peticiones inyectando cdigo SQL con el fin de comprobar si es
realmente vulnerable.
3.- Bases de Datos

Herramientas de Anlisis de Inyeccin de SQL
Pangolin: Se trata de un a herramienta de pago que ofrece ms
posibilidades que la vista en el punto anterior y que est destinada a
descubrir vulnerabilidades tanto del tipo inyeccin SQL como
inyeccin SQL ciego.
SQLMap: Se trata de una herramienta de pruebas de cdigo abierto
que automatiza el proceso de detectar y explorar los errores de
inyeccin SQL.
3.- Bases de Datos

Proteger las BD en los siguientes niveles:
Base de Datos: Asignar los permisos necesarios segn el tipo de
usuario, de manera que no violen las restricciones de autorizacin.
Sistemas Operativos: La debilidad de la seguridad del Sistema
Operativo (SO), puede servir como medio para el acceso no
autorizado a la base de datos.
Red: Dado que casi todos los sistemas de bases de datos permiten
el acceso remoto mediante terminales o redes, la seguridad en el
nivel del software de la red es tan importante como la seguridad
fsica, tanto en Internet como en las redes privadas de las empresas.
3.- Bases de Datos

Proteger las BD en los siguientes niveles:
Fsico: Los sitios que contienen sistemas informticos, deben estar
protegidos fsicamente contra la entrada de intrusos.
Humano: Los usuarios deben ser autorizados cuidadosamente para
reducir la posibilidad de que alguno de ellos d acceso a intrusos a
cambio de sobornos u otros favores.
Actividad 1:

COMPUTACIONAL
4.- Software

COMPUTACIONAL
4.- Software

COMPUTACIONAL
4.- Software

COMPUTACIONAL
4.- Software
Con el crecimiento de Internet, y otras aplicaciones sobre
redes, como el comercio electrnico, correo electrnico, etc.,
la posibilidad de ataques se ha incrementado notablemente,
como tambin lo han hecho las consecuencias negativas de
estos ataques.
En la actualidad prcticamente todo sistema debe incorporar
cuestiones de seguridad para defenderse de ataques
maliciosos. El desarrollador ya no slo debe concentrarse
nicamente en los usuarios y sus requerimientos, sino
tambin en los posibles atacantes.

COMPUTACIONAL
4.- Software
Seguridad en el Anlisis de Requerimientos: Tipo de
informacin que se transmitir o procesar (ejemplo
informacin pblica o confidencial, datos personales,
datos financieros, contraseas, etc.)
Seguridad en Ingeniera
de Software
Seguridad en Diseo: Diseo de autorizacin ( Definir

roles, permisos y privilegios de la aplicacin), diseo de
autenticacin (formas en que se autenticarn los
usuarios).
Seguridad en la Codificacin: Estas vulnerabilidades
son las que estn presentes en OWASP Top 10
(vulnerabilidad de inyeccin, Cross site scripting, errores
de manejo de sesiones, etc.)

COMPUTACIONAL
4.- Software
A1 Injection: Corresponde a las inyeccin de cdigo,
siendo las inyecciones SQL una de las ms comunes.
A2 Broken Authentication and Session Management
(anteriormente A3): Corresponde al mal manejo de las
sesiones en aquellas aplicaciones que utilizan
autenticacin.
A3 Cross-Site Scripting (XSS) (anteriormente A2):
Ocurre cuando existe validacin pobre de la
informacin ingresada por el atacante.

COMPUTACIONAL
4.- Software
A4 Insecure Direct Object References: Puede derivar
en un acceso no autorizado a informacin crtica debido
a errores en el diseo o desarrollo.
A5 Security Misconfiguration (anteriormente A6):
Corresponde a configuraciones no adecuadas que
pueden impactar en la seguridad de la propia
aplicacin.

COMPUTACIONAL
4.- Software
A6 Sensitive Data Exposure: Se refiere a la proteccin
incorrecta de datos crticos tales como, por ejemplo,
nmeros de tarjetas de crdito, contraseas, entre
otros.
A7 Missing Function Level Access Control:
Corresponde a la falta de controles desde el servidor,
permitiendo a un posible atacante acceder a funciones
a las que no debera.
A8
Cross-Site
Request
Forgery
(CSRF)
(anteriormente A5): Permite a un atacante generar
peticiones sobre una aplicacin vulnerable a partir de la
sesin de la vctima.

COMPUTACIONAL
4.- Software
A9
Using
Known
Vulnerable
Components
(anteriormente formaba parte de A6): Corresponde a
la explotacin de libreras, frameworks y otros
componentes vulnerables por parte de un atacante con
el fin de obtener acceso o combinar con otros ataques.
A10 Unvalidated Redirects and Forwards: Los
atacantes aprovechan el uso de redirecciones de sitios
web a otros sitios utilizando informacin no confiable
(untrusted) para redirigir a las vctimas a sitios de
phising o que contienen malware.

COMPUTACIONAL
4.- Software

COMPUTACIONAL
5.- Huecos de Seguridad en

diseo y desarrollo de software

COMPUTACIONAL
6.- Seguridad en los Centros de

Cmputo
El objetivo de tener Centros de Cmputo seguros,
es:
Reducir los riesgos potenciales de modificacin
destruccin o revelacin de datos y programas, o
destruccin del equipo, que resultan del acceso no
autorizado a equipo, archivos y programas.
Asegurar que se restrinja el acceso al HW, datos,
archivos y a los programas de utileras en funcin
de la responsabilidad y nivel de autoridad del
empleado.

COMPUTACIONAL

Cmputo
Asegurar que estn documentados los planes de
contingencia, tales como el plan de respaldo, el
plan de recuperacin y el plan d emergencia. Para
permitir que la organizacin continu operando.

COMPUTACIONAL
Actividad No. 2
Seguridad fsica en Centros de Cmputo
Seguridad Lgica en Centros de Cmputo

COMPUTACIONAL

Cmputo
Seguridad en Centros
De Cmputo
Seguridad Fsica
Seguridad Lgica

COMPUTACIONAL

Password
Cmputo
Cdigo de acceso
Controles de Acceso
Seguridad Fsica
Controles de Condiciones
Ambientales
Desastres naturales y
Ataques intencionados
Cdigo ptico
Banda magntica
Huella digital
Reconocimiento de voz
Video vigilancia
Aires acondicionados en site.
Pisos falsos y techos falsos
para el paso del cableado.
Puertas de seguridad.
Acceso controlado en site.
Respaldos de informacin
Candados en CPUs

COMPUTACIONAL

Cmputo
Asignacin de privilegios de acceso a usuarios.
Implementacin de Antivirus, AntiSpam, AntiSpyware.
Seguridad Lgica
Escaneo de accesos no deseados.

Escaneo de vulnerabilidad de seguridad en general
7.- Herramientas de control y

seguimiento de accesos.
8.- Herramientas de verificacin de

sistemas.
Google libera herramienta de uso interno.
Permite detectar vulnerabilidades en las aplicaciones

web.
Es compatible con Linux, Mac y Windows y puede ser
descargada desde el sitio de Google.
Su finalidad es detectar agujeros de seguridad en
aplicaciones web.

sistemas.
Nikto2:
Es de cdigo abierto.
Permite llevar a cabo pruebas
exhaustivas de los servidores
web para varios artculos.
Los plugins se actualizan con
frecuencia y se puede actualizar
de forma automtica.

sistemas.
Lder mundial en escneres
activos de vulnerabilidad.
Con
alta
velocidad
de
descubrimiento, la auditora de
configuracin, el perfil activo, el
descubrimiento de los datos
sensibles y anlisis de la
vulnerabilidad de su seguridad.
Se pueden distribuir a lo largo de
toda una empresa, dentro y a
travs de redes separadas
fsicamente.

sistemas.
Nmap Nmap una herramienta para administrar redes que permite hallar los
agujeros de seguridad presentes en una red y detectar los dispositivos conectados
a sta.
Puede utilizarse tambin para analizar el rendimiento de la red, evaluando los
tiempos de respuesta de las mquinas haciendo ping; escanear los puertos de los
equipos conectados a un red determinada y comprobar si se encuentran abiertos,
averiguar los servicios disponibles en stas mquinas o evadir la actividad de sus
cortafuegos.
Por tanto aunque Nmap es una herramienta pensada para mejorar la seguridad de
una red, sus caractersticas tambin permiten utilizarla para aprovecharse de
vulnerabilidades en estas, por lo que es un programa utilizado en el mundo del
hacking

sistemas.
Actividad No. 3
Describir el funcionamiento de una
herramienta
para
verificacin
de
sistemas
(mostrar
pantallas,
funcionamiento prinicpal, descripcin de
algunas opciones).
9.- Deteccin de intrusin.
10.- Autenticacin.
Actividad 3 de la Plataforma
Elegir un sistema operativo (SO)
Con base a ese SO describir lo siguiente:
1. Definicin de Roles (usuario, grupo, propietario, etc.)
2. Procedimiento para creacin de usuarios y roles
Herramientas o interfaces
Mtodo(s) de proteccin de contraseas
3. Control de polticas de usuario, permisos y restricciones
A nivel de sistema operativo
A nivel de aplicaciones
A nivel de red
Elabora un cuadro comparativo sobre tipos de ataques comunes conocidos a
nivel de usuario y de red.
Finalmente, concluye argumentando la importancia de disear un esquema de
usuarios y roles adecuado para cualquier sistema.
Actividad 3 de la Plataforma
Contenido del trabajo a entregar:
Portada (incluya el logo de IEU)

ndice de Temas
Introduccin
Desarrollo|
Conclusiones

TASC Unidad3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TASC Unidad3

Enviado por

Direitos autorais:

Formatos disponíveis

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Unidad 3. Seguridad de la Informacin

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Fsico: Protege la integridad de los equipos

Firewall, Respaldos, Sistema de respaldo

Lgico: Protege los datos y los sistemas a

Organizacional: Asigna las funciones y

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Piratera : Distribucin o reproduccin

Ataques DoS : Denegacin de servicios,

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Sistema de Gestin de Seguridad Informtica

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Qu nos permite un SGSI ?

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Normas ISO/IEC 27000

ISO/IEC 27001 - es la certificacin

ISO/IEC 27002 - es cdigo de

ISO/IEC 27003 - son directrices

ISO/IEC 27004 - son mtricas para

ISO/IEC 27005 - trata la gestin de

ISO/IEC 27006:2007 - Requisitos

ISO/IEC 27007 - Es una gua para

ISO/IEC 27799:2008 - Es una gua

ISO/IEC 27035:2011 Tcnicas

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Relacin con otras Normas

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

ISO/IEC 27001 es una norma emitida por

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

Identificar riesgos e implementar

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD

2.- Polticas de Seguridad

TPICOS AVANZADOS DE SEGURIDAD

2.- Polticas de Seguridad

Rebeca Eugenia Aguilar Durn

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

3.- Bases de Datos

TPICOS AVANZADOS DE SEGURIDAD COMPUTACIONAL

3.- Bases de Datos