INTRODUCCIN - PowerPoint PPT Presentation

1 / 18
About This Presentation
Title:

INTRODUCCIN

Description:

La soluci n para (1) y (3) pasa por t cnicas de encriptamiento y certificaci n ... Bolsa de valores: estrategias a futuro. Investigaci n (M dica, Biol gica, ... – PowerPoint PPT presentation

Number of Views:18
Avg rating:3.0/5.0
Slides: 19
Provided by: tdsp
Category:
Tags: introduccin | bolsa | la

less

Transcript and Presenter's Notes

Title: INTRODUCCIN


1
INTRODUCCIÓN
  • Thierry de Saint Pierre
  • Director
  • North Supply Chile

2
Introducción
  • Que es la seguridad ?
  • Confidencialidad
  • datos sean accesibles solamente por personas
    autorizadas.
  • Integridad
  • datos no puedan ser modificados por personas
    no-autorizadas
  • Disponibilidad
  • los servicios prestados por el Sistema estén
    disponibles en forma ininterrumpida . No debe
    haber negación de servicio.
  • Dónde
  • RED Segurizar los paquetes y mensajes en la red
  • SERVIDORES DE DATOS Segurizar los datos en los
    servidores

3
Amenazas a la seguridad
  • Vulnerabilidad es el punto dónde el sistema
    puede ser atacado.La seguridad de una cadena es
    medida por su punto más debil
  • Tipología
  • Vulnerabilidad Física (edificios, intrusión)
  • Vulnerabilidad Natural ( desastres naturales)
  • Vulnerabilidad de Hardware y Software (fallas en
    memoria, en disco en programas)
  • Vulnerabilidad del Media (diskettes, cintas)
  • Vulnerabilidad por Emanación (radiación
    electromagnética)
  • Vulnerabilidad en las Comunicacones (interceptar,
    modificar)
  • Vulnerabilidad Humana ( falla del administrador
    sistema, uso indebido de password , soborno)
  • Amenaza es un peligro posible para el sistema
    (hacker, un incendio, un disco defectuoso)
  • Las técnicas para proteger un sistema son
    llamadas contra-medidas

4
Ataques
  • Quién
  • Personal autorizado o extraños.
  • Estadísticas muestran que el 80 de los ataques
    son realizados por personas autorizadas
    (INTERNAS) que abusan de sus privilegios.
  • Atques externos son cada vez más frecuentes.
  • Cómo
  • Ataques pasivos - sólo se escucha
  • 1 - Lectura de Datos
  • 2 - Análisis de tráfico (quién habla con quién)
  • Ataques activos
  • 3 - Modificar el flujo de mensajes, los datos
  • 4 - Rechazo del servicio (Mail spam)
  • 5 - Ataque Impostor

5
Qué es práctico
  • Impedir (2) es irrelevante para aplicaciones no -
    militares. Solución Generar ruido aleatorio en
    la red.
  • Detectar (4) se hace vía administración correcta
    y regular del sistema , de las aplicaciones y de
    las comunicaciones. (Anti-virus, backups).
  • Se resuelve (5) con técnicas de control de
    acceso, identificación y autentificación.
  • La solución para (1) y (3) pasa por técnicas de
    encriptamiento y certificación de mensajes y
    datos.

6
Quién compra seguridad y porqué?
  • Históricamente El Gobierno
  • Departamentos de Defensa, de Finanzas, de
    Industria
  • Información clasificada, secreta
  • Luego Empresas con información estratégica
  • Confidencialidad
  • Bancos clientes
  • Bolsa de valores estrategias a futuro
  • Investigación (Médica, Biológica, Electrónica,
    ...)
  • Integridad Transferencia Electrónica de Fondos
  • Control de acceso a los datos, políticas de
    contingencia
  • HOY Ecommerce
  • Segurizar los datos en sitios de ecommerce
  • Autentificar clientes o partners
  • Segurizar las transacciones comerciales y pagos

7
Historia
  • ENIGMA
  • Máquina de rotores desarrollada por los alemanes
    en la segunda guerra mundial
  • Fue quebrada por los ingleses (Sr. Turing) y les
    permitió enterarse de todos los movimientos de
    los alemanes.
  • TEMPEST (1950)
  • Estándar para evitar las intercepciones de
    emanaciones electromagnéticas provocadas por los
    computadores.
  • Security controls for computer systems(1970)
  • 1er artículo de DARPA. Seguridad para Información
    clasificada.
  • MULTICS security kernel (1975)
  • 1er sistema pwd, listas de acceso de control,
    protección por anillo

8
Historia Algoritmos
  • Algoritmo simétrico (1977)
  • DES Data Encription Standard
  • Horst Feistel / Algoritmo Lucifer / S- Boxes
  • Criptoanálisis / Ataque diferencial -gt NSA
    introduce cambios en el diseño de S- box
  • NSA reduce las llaves de 128 bits a 56 bits
  • Algoritmos asimétricos (1976)
  • Whitfield Diffie Marty Hellman
  • Encriptar con una llave pública y desencriptar
    con una llave secreta
  • (atentaba contra un principio sacrosanto que las
    llaves debían ser secretas)
  • Posibilidad con el mismo principio de firmas
    digitales
  • Algoritmo de Diffie Hellman para intercambio de
    llaves.

9
Historia RSA
  • RSA Rivest, Shamir Adleman (1977)
  • Primer algoritmo asimétrico basado en la
    dificultad de factorizar en números primos.
  • NSA considero este algoritmo como estrategico e
    intento por todos los medios de dtener su
    publicación y uso.
  • Muchos años despues se descubrió que la agencia
    de inteligencia inglesa había descubierto años
    antes (1969) los algoritmos de enciptación con
    llaves no secretas. Muy similares a RSA.
  • PGP
  • Phil Zimmerman
  • Distribuye por Internet una versión de
    encriptación que utiliza Algoritmo RSA.

10
Historia NSA
  • NSA National Security Agency
  • No Such Agency
  • Key escrow
  • 1999 libera los algoritmos de encriptación con
    llaves gt 40 bits
  • NCSC National Comp. Secur. Center (1981)
  • TCSEC Trusted Computer System Evaluation
    Criteria o Orange Book (1983)

11
Historia
  • Leyes
  • Crimen computacional Ley Computer Fraud Abuse
    Act (1986).
  • Protección de información sensible Computer
    Security Act (1988).
  • Ley sobre Privacidad, confiabilidad y seguridad
    de información privada en europa (1980).
  • Estándar Europeo
  • ITSEC (1990) agrupa criterios de Alemania, GB,
    Francia.

12
Chile
  • Proyecto de Ley de Firma Digital
  • Empresas
  • Consultoría
  • Proveedores
  • Antivirus
  • Brigada de Investigaciones

13
Organismos
  • CERT www.cert.org
  • SANS www.sans.org
  • www.incidents.org

14
Seis puntos de Seguridad
  • Control de acceso al Sistema
  • Identificación, autentificación
  • Control de acceso a los recursos y datos
  • Autorización
  • Integridad de datos y mensajes
  • Certificación, firma, no-repudiación
  • Confidencialidad de datos y mensajes
  • Encriptamiento
  • Administración de Sistemas y de la Seguridad
  • Auditoría, control
  • Disponibilidad
  • Prestación de servicio ininterrumpido

15
Que objetos segurizar
  • Comunicaciones (Internet)
  • Servidores
  • Aplicaciones
  • Archivos
  • Bases de Datos
  • Usuarios

16
Dónde y Cómo atacar ?
- Anonimato del usario - Uso de Recursos no
autorizados - Propagación de virus -
Indisponibilidad de Servicios
- Acceso a Bases de Datos no autorizadas
- Simular, repetir o alterar los mensajes
- Escucha de la línea
- Herramientas para descubrir vulnerabilidades
- Conocimiento del password - Ataque Impostor -
Ataque fuerza bruta - Ingeniería social
17
Cómo evitar estos ataques ?
- Detección de las anomalías - Auditoría -
Administración - Autorización - Autentificación
Encriptamiento de los datos
Tránsito de Aleas (nunca de llaves de
encriptamiento)
- certificados digitales - paswords dinámicas -
smartcards
18
Una Arquitectura de Seguridad
  • Debe contemplar
  • Topología de Red
  • Servidores de Datos
  • Usuarios internos
  • Transacciones
  • Clientes externos
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "INTRODUCCIN" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!