II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1...
-
Upload
doroteo-marron -
Category
Documents
-
view
5 -
download
2
Transcript of II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1...
![Page 1: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/1.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
1
Aplicaciones de la Criptografía a la Seguridad Informática:
Caso PREP 2006
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
![Page 2: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/2.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
2
Agenda Propiedades de Seguridad de la Información Servicios y Mecanismos de Seguridad Criptografía
Simétrica Asimétrica Funciones Hash
Aplicaciones de la Criptografía a la Seguridad Protocolos Criptográficos Caso PREP 2006 Conclusiones
![Page 3: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/3.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
3
Información y sus estados
La información actual es digital Su manejo implica considerar estados:
Adquisición Creación Almacenamiento Proceso (transformación, análisis, etc.) Transmisión
![Page 4: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/4.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
4
Problemas en manejo de Información
Confiabilidad de las fuentes y de la información misma
Integridad (verificación) Confidencialidad Disponibilidad Control de Acceso Autenticación de las partes No repudio
![Page 5: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/5.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
5
Más Problemas
Información más valiosa que el dinero Hay que protegerla
No solo en almacenamiento y proceso También durante la transmisión
Formas almacenamiento y proceso: dispositivos digitales
Formas de transmisión: redes y sistemas distribuidos
![Page 6: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/6.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
6
Más Problemas
Expuesta a ataques de todo tipo Nada fácil crear un modelo para estudiar la
seguridad Redes heterogéneas de todos los tipos Plataformas, medios, SO’s, arquitecturas
distintas La pesadilla: Internet
Que hacer??
![Page 7: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/7.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
7
Seguridad de la Información
Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos
Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos
![Page 8: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/8.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
8
Seguridad de la Informacion
Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales
Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento
Implementar servicios de seguridad usando mecanismos útiles y eficientes
![Page 9: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/9.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
9
Servicios y Mecanismos de Seguridad
Naturaleza pública del canal no se puede cambiar
Sobre ese canal hay que saber qué se quiere: Servicios de Seguridad
Sobre ese canal hay que saber cómo se implementa (si se puede): Mecanismos de seguridad
![Page 10: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/10.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
10
Servicios y Mecanismos de Seguridad
Servicios Mecanismos Confidencialidad Cifrado Integridad Funciones Hash Autenticación Protocolos Criptográfico Control de Acceso Esquemas de CA No Repudio Firma Digital Disponibilidad No se puede !!
![Page 11: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/11.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
11
Seguridad Informática
Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad
Los 5 primeros servicios se estandarizan en el ISO 7498-2
El Triángulo de Oro de la Seguridad incluye: Confidencialidad Integridad Disponibilidad
![Page 12: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/12.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
12
Criptografía y Seguridad
4 de los 5 servicios estandarizados se implementan usando Criptografía: Confidencialidad Integridad (Verificación) Autenticación No Repudio
No se puede hablar de Seguridad sin hablar de Criptografía
![Page 13: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/13.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
13
Criptografía
Oculta la información aplicando al mensaje M (texto en claro), una transformación (algoritmo) F, usando una llave K. Produce el texto cifrado C
Fk(M) = C
![Page 14: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/14.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
14
Criptografía
Algoritmo F debe ser público
Seguridad debe basarse en: Diseño y fortaleza de F Mantener K en secreto
Algoritmo F compuesto de 2 procesos:
Cifrado: Fk(M) = C
Descifrado: F’k(C) = M
![Page 15: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/15.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
15
Criptografía
Algoritmos usan diferentes bases de diseño: Operaciones elementales
Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)
Matemáticas Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)
Fisica Cuántica Mecanica Cuántica Principio de Incertidumbre de Heinsenberg
Otras
![Page 16: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/16.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
16
Criptografía
Algoritmos pueden ser: Simétricos o de Llave Secreta
Misma llave para cifrar y descifrar
Asimétricos o de Llave PúblicaLlave que cifra es diferente a la que descifra
Funciones Hash, Resumen o CompendioNo usan llave
![Page 17: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/17.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
17
Criptografía
Algoritmos Simétricos o de Llave Secreta DES (anterior estándar mundial) 3DES AES (Nuevo estándar mundial)
Algoritmos Asimétricos o de Llave Pública RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)
Algoritmos Hash MD5 SHA-1
![Page 18: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/18.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
18
Criptografía
Algoritmos Simétricos Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de
cómputo
Aplicaciones de Criptografia Simétrica Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación
![Page 19: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/19.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
19
Criptografía
Algoritmos Asimétricos Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de
cómputo Pero...son ineficientes
Aplicaciones de Criptografia Asimétrica Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio)
![Page 20: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/20.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
20
Criptografía
Algoritmos Hash Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología
![Page 21: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/21.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
21
Aplicaciones de Criptografía
Actualmente se usan de forma híbrida Simétricos: eficientes Asimétricos: seguros computacionalmente Hash: eficientes y proporcionan huella digital Se usan asimétricos para acordar llave simétrica Acordada la llave simétrica, se usa un algoritmo
simétrico para cifrar la información Ejemplo: PGP, SSH, etc.
![Page 22: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/22.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
22
Protocolos Criptográficos
Criptografía por sí sola no sirve para nada
Protocolos: hilos mágicos que conectan Seguridad con Criptografía
Todas las herramientas que proporcionan servicios de seguridad implementan protocolos Ejemplo: PGP, SSH, SET, SSL, etc.
![Page 23: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/23.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
23
PREP 2006(Problemas a resolver)
Autenticación de funcionarios que inician los procesos relacionados a captura y transmisión de resultados Cifrado Simétrico (AES) para generar un código de
autenticación (MAC) verificable Verificación de integridad y autenticidad de los
resultados a procesar Cifrado Simétrico (AES) y Funciones Hash (MD5)
para generar códigos MIC/MAC
![Page 24: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/24.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
24
PREP 2006(Problemas a Resolver)
Generación aleatoria de llaves criptográficas de 192 bits para AES Ruido rosa y pruebas estadísticas de aleatoriedad
Distribución segura de las llaves a las juntas distritales Grabado en tarjetas magnéticas y distribución por
correo seguro Almacenamiento y resguardo de las llaves
Cifrado simétrico de 256 bits y control de llaves
![Page 25: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/25.jpg)
![Page 26: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/26.jpg)
Arquitectura de los CEDATs
Procesamiento de la Procesamiento de la información en el CEDAT:información en el CEDAT: Captura actas PREPCaptura actas PREP Corrección de actasCorrección de actas
Elementos tecnológicos del Elementos tecnológicos del CEDAT:CEDAT: Dispositivos de Dispositivos de comunicacionescomunicaciones Terminales de captura remota Terminales de captura remota (TCR)(TCR)
![Page 27: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/27.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
27
Soluciones PREP 2006 (Logon Inicial, HeartBeat y Sincronización)
Firma Digital Reducida (Cripto Simétrica y Hash) AES y MD5 M contiene identificadores del Coordinador y del
Supervisor Al mensaje M se le calcula el MD5 y el resultado se cifra
con AES de 192 bits Los 192 bits son resultado de concatenar los pedazos de
64 bits previamente distribuidos de forma segura a cada funcionario en tarjetas magnéticas personalizadas.
Al resultado del cifrado se le concatena el mensaje (en claro) y se envía por la red
![Page 28: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/28.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
28
Soluciones PREP 2006 (Logon Inicial, HeartBeat y Sincronización)
Verificación de la Firma Digital Reducida El mensaje M y el mensaje cifrado C se reciben en el IFE central Se extrae M y se verifican los identificadores del Coordinador y del
Supervisor Estos se comparan con los identificadores almacenados y relacionados
con las correspondientes partes de llaves AES de esos funcionarios Se calcula el MD5 del M recibido El resultado del hash se cifra con AES de 192 bits, usando y juntando las
partes de llaves de 64 bits asociadas a los funcionarios El resultado del cifrado se compara con el texto cifrado C recibido Si es igual, se comprueba que los identificadores son los de los
funcionarios, que sólo ellos los usaron y que ni M ni C fueron modificados en su viaje
Lo anterior implementa autenticación de los funcionarios, autenticidad del mensaje y verificación de integridad de los mismos
No es firma digital en el sentido amplio (Criptografía de Llave Pública) No se requiere, por ley, cifrar M para implementar confidencialidad Por ley los datos contenidos en M deben ser públicos
![Page 29: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/29.jpg)
ESQUEMA DE FIRMA PARA MENSAJES DE LOGON INICIAL, HEARTBEAT Y SINCRONIZACIÓN.
Mensaje + FirmaFirma
Son iguales
?
AESAES
LLAVE (192 bits)
64bits+64bits+64bits
Llave2C
Llave1C
Llave1S
MD5MD5
Mensaje Recibido
IDSIDC
Base de Datos
Firma calculada
Se acepta y procesa el mensaje
Se acepta y procesa el mensaje
Se rechaza el mensaje y se envía un error
Se rechaza el mensaje y se envía un error
SINO
Digest.
CifraMD5MD5
LLAVE (192 bits)
64bits+64bits+64bits
AESAES
Firma
Digest.
Cifra
SUPERVISOR
(IDS, Llave1S, Llave2S)
COORDINADOR
(IDC, Llave1C, Llave2C)
Llave2C
Llave1C
Llave1S
Mensaje
IDS
IDC
![Page 30: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/30.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
30
Soluciones PREP 2006
Esta solución es simple, segura y eficiente Se utilizaron bibliotecas criptográficas Java
firmadas, para los algoritmos AES y MD5
AES: nuevo estándar mundial (2002)
MD5: se verificó que para el espacio de mensajes usados no presentara colisiones
![Page 31: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/31.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
31
Soluciones PREP 2006(Esquema de Firmas para Mensajes de Logon de
Operador y envío de Resultados de las Actas)
Igual a la anterior, sólo se aumenta al Operador (también con sus partes de llaves)
Después del logon del con su correspondiente autenticación, verificación de integridad y autenticidad inicia el envío de resultados
M ahora contiene el resultado de las actas electorales
![Page 32: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/32.jpg)
Mensaje + FirmaFirma
Son iguales
?
AESAES
LLAVE (192 bits)
64bits+64bits+64bits
Llave1S
Llave1C
Llave1O
MD5MD5
Mensaje Recibido
IDO
IDS
Base de Datos
Firma calculada
Se acepta y procesa el mensaje
Se acepta y procesa el mensaje
Se rechaza el mensaje y se envía un error
Se rechaza el mensaje y se envía un error
SINO
Digest.
Cifra
Mensaje
MD5MD5
LLAVE (192 bits)
64bits+64bits+64bits
AESAES
Firma
Digest.
Cifra
SUPERVISOR
(IDS, Llave1S, Llave2S)
COORDINADOR
(IDC, Llave1C, Llave2C)
Llave1S
Llave1C
Llave1O
IDS
OPERADOR
(IDO, Llave1O, Llave2O)
IDC
IDO
IDC
![Page 33: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/33.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
33
Seguridad Adicional PREP 2006
Controles basados en estándar ISO 17799 (Jun. 2005) Análisis de Riesgos Políticas de Seguridad Organización de la Seguridad de la Información Aministración de Activos Seguridad de Recursos Humanos Seguridad Física y Ambiental Comunicaciones y Operaciones Control de Acceso Adquisición, Desarrollo y Mantenimeinto de SI Admón de Incidentes en la Seguridad de la Información Admón. de la Continuidad de la Operación Cumplimiento
![Page 34: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/34.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
34
Seguridad Adicional PREP 2006
Lo anterior involucró seguridad en: Comunicaciones, Redes y Equipos Aplicaciones y Ambientes de Desarrollo Servidores y equipos centrales de cómputo Seguridad Física y del Entorno Procedimientos y Prueba del Plan de Recuperación
en caso de emergencia (BCP) Planes, Procedimientos y Pruebas en caso de
Desatre (DRP) Educación y Conciencia en Seguridad
![Page 35: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/35.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
35
Seguridad Adicional PREP 2006
En términos prácticos esto significa: Instalaciones y configuraciones seguras de hardware y
software Seguridad en el desarrollo de software Aplicación de checklist y recomendaciones Monitoreo continuo Firewalls Detectores de Intrusos (IDS’s) Políticas de Control de Acceso restrictivas y passwords fuertes Procedimientos documentados y auditables Auditoría de seguridad, externa e independiente
![Page 36: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/36.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
36
Más sobre Seguridad PREP 2006
Aplicativo desarrollado en: Java Base de Datos: Oracle Sistemas Operativos: LINUX Protocolos de Seguridad: diseño propio con algoritmos
estándares internacionales Herramientas de Seguridad: mayoría libres Equipo humano en seguridad informática:
1 Asesor (Nivel Doctorado en Seguridad) 3 Especialistas Nivel Alto (Nivel maestría o equivalente en Seg) 3 Especialistas Nivel Medio (Nivel licenciatura más
especialidad en Seg)
![Page 37: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/37.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
37
Algunas Conclusiones
El problema es complejo pero se pueden encontrar soluciones propias a problemas específicos
Basarse en estándares internacionales Trabajar en equipo Incluir Seguridad Informática y Criptografía en Planes
de Estudio de carreras afines y relacionadas Crear posgrados en Seguridad Informática Lo que ya está (y lo que viene) es la pesadilla si no se
implementa seguridad Empieza a ser exigencia legal
![Page 38: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/38.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
38
Seguridad Adicional PREP 2006
El canal es público Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper
![Page 39: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/39.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
39
Seguridad en Redes
No se sabe la identidad del que envía o recibe Usar esquemas de firma y certificados digitales
Ejemplo: PGP Usar protocolos fuertes de autenticación como IKE
No se sabe qué información entra y sale Usar filtros de contenido
No se sabe de donde viene y a donde van los accesos Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
![Page 40: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/40.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
40
Seguridad en Redes
No se sabe si lo que se recibe es lo que se envió Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
No se sabe por donde me están atacando y que debilidades tiene mi red Usar analizadores de vulnerabilidades. Ejemplo: Nessus
![Page 41: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/41.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
41
Seguridad en Redes
Ya sé por donde, pero no se qué hacer para proteger mi red Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes
Ya estamos hartos del SPAM Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.
![Page 42: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/42.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
42
Seguridad en Redes
Ya no soportamos al proveedor de antivirus Usar un antivirus libre y realizar sus propias
actualizaciones La instalación de software es incontrolable
Prohibir instalar cualquier software y nombrar único responsable autorizado para ello
Políticas de seguridad No sé cómo empezar
Empiece a estudiar Visite los sitios especializados
![Page 43: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/43.jpg)
Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org
Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html
PGP: http://www.pgp.com/downloads/index.html
![Page 44: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/44.jpg)
PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/products-services/security-services/pki/index.html
OpenCA: http://www.openca.org/
Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
![Page 45: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/45.jpg)
IDS (Intrusion Detection System)Snort: http://www.snort.org
Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php
Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
Firewallshttp://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
![Page 46: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/46.jpg)
Monitores de RedNtop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/
![Page 47: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/47.jpg)
Analizadores de VulnerabilidadesNessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php
Passwords Crackers
John de Ripper http://www.openwall.com/john/
![Page 48: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/48.jpg)
ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html
ISO/IEC 27001
http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter
Sarbanes Oxley http://www.s-ox.com/
![Page 49: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/49.jpg)
ANTIVIRUS
AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html
CLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
![Page 50: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/50.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
50
Recursos de Seguridad
www.nsa.govwww.nist.govwww.cert.orgwww.securityfocus.orgwww.packetstorm.orgwww.sans.org
![Page 51: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/51.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
51
Comentarios y Conclusiones
Hay que empezar a preocuparse y ocuparse del problema
Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo Biblioteca de Alejandría 11 Sept. 2001
A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global
![Page 52: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/52.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
52
Comentarios y Conclusiones
Estándares Globales ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799
Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva
Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares
![Page 53: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/53.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
53
Comentarios y Conclusiones
La seguridad puede verse ahora en 3 niveles de responsabilidad Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios
Todos los niveles deben tener conciencia del problema
Todo gobierno actual se siente obligado a seguir las tendencias globales Muchos no están preparados (México) Están empezando a prepararse
![Page 54: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/54.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
54
Comentarios y Conclusiones
Tampoco las empresas están preparadas Empiezan a darse cuenta
No es el mejor camino el que se sigue ahora para resolver el problema: Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y
arribismo) Hay que trabajar en educación en Seguridad
Universidades
![Page 55: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/55.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
55
Seguridad y TI en la UNAM
Diplomado en Seguridad Informática http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/
Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/
![Page 56: II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006 1 Aplicaciones de la Criptografía a la Seguridad Informática: Caso.](https://reader033.fdocument.pub/reader033/viewer/2022061301/54d9b67e4979598c398b49ca/html5/thumbnails/56.jpg)
II Congreso Nacional de Informática y Ciencias de la Computación, Mazatlán, Nov. 2006
56
Gracias ..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
[email protected]. 01 55 56231070