ACTIVOS Y SEGURIDAD FÍSICA INFORMÁTICA

Ing. Jorge Luis Pariasca León

Carrera Profesional de Computación e Informática

Curso: Seguridad Informática

Instituto Superior Tecnológico Público

INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO

“Víctor Raúl Haya de la Torre”

“VÍCTOR RAÚL HAYA DE LA TORRE”

2

Exposiciones grupales1. Seguridad Eléctrica.2. Sistemas biométricos (Costos para nuestro país).3. Virus informáticos (top ranking de los virus mas

famosos de los últimos años, ejemplo de virus básico).4. Servidores y Software de seguridad (Proxi, firewall, VPN)5. Delitos informáticos. (Leyes peruanas)6. Criptografía.7. Técnicas Hacker.8. Seguridad en redes.9. Firma digital.Ojo: Investigar definiciones, tipos o clases, ejemplos, costos de instalación según sea el caso, etc.

3

INTRODUCCIÓN Cuando hablamos de seguridad física nos referimos a todos

aquellos mecanismos generalmente de prevención y detección destinados a proteger físicamente cualquier recurso del sistema.

La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial.

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. la seguridad de la misma será nula si no se ha previsto como combatir un incendio por ejemplo.

4

INTRODUCCIÓN La seguridad física es un aspecto olvidado con demasiada

frecuencia a la hora de hablar de seguridad informática en general; en muchas organizaciones se suelen tomar medidas para prevenir o detectar accesos no autorizados o negaciones de servicio, pero rara vez para prevenir la acción de un atacante que intenta acceder físicamente a la sala de operaciones o al lugar donde se depositan las impresiones del sistema.

Esto motiva que en determinadas situaciones un atacante se decline por aprovechar vulnerabilidades físicas en lugar de lógicas, ya que posiblemente le sea más fácil robar una copia con una imagen completa del sistema que intentar acceder a él mediante fallos en el software.

5

PROTECCIÓN DEL HARDWARE El hardware es frecuentemente el elemento más caro de

todo sistema informático. Especialmente en universidades, centros de investigación,

institutos tecnológicos..., que suelen poseer entre sus equipos máquinas y dispositivos muy valiosos:

Servidores con una gran potencia de cálculo

Routers de última tecnología

Redes de Fibra Óptica

...

6

PROTECCIÓN DEL HARDWARE De qué nos sirve proteger los accesos por red a un

ordenador, cuando cualquier persona puede sentarse delante del mismo y modificar la información sin limitación de ninguna clase. O incluso, llevarlo a su casa para poder investigar el contenido del ordenador. Con acceso físico al ordenador, cualquier usuario malicioso puede obtener todo su contenido.

Son muchas las amenazas al hardware de una instalación informática, se presenta algunas de ellas, sus posibles efectos y algunas soluciones, no para evitar los problemas sino para minimizar sus efectos.

7

AMENAZAS

Las principales amenazas que se prevén en la seguridad física son:

Amenazas ocasionadas por el hombre. Desastres naturales, incendios accidentales

tormentas e inundaciones, etc.

Alteraciones del Entorno.

8

AMENAZAS OCASIONADAS POR EL HOMBRE La posibilidad de acceder físicamente a cualquier sistema

operativo hace inútiles casi todas las medidas de seguridad que hayamos aplicado sobre ella.

Hemos de pensar que si un atacante puede llegar con total libertad hasta una estación puede por ejemplo abrir la CPU y llevarse un disco duro sin necesidad de privilegios en el sistema, sin importar la robustez de nuestros cortafuegos, sin ni siquiera una clave de usuario, el atacante podrá seguramente modificar la información almacenada, destruirla o simplemente leerla.

9

ACCIONES HOSTILES

ROBO Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.

FRAUDECada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento o herramientas para dicho fin.

SABOTAJEEl peligro más temido en los centros de procesamiento de datos, es el sabotaje.

10

PREVENCIÓN Y DETECCIÓN Para evitar este tipo de problemas deberemos implantar

mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).

Para la prevención hay soluciones para todos los gustos y de todos los precios:

Analizadores de retina, Tarjetas inteligentes, Videocámaras, Vigilantes.

11

PREVENCIÓN Y DETECCIÓN Control de Accesos El control de acceso no sólo requiere la capacidad de

identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de Guardias Utilización de Detectores de Metales

El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.

Utilización de Sistemas Biométricos

12

DETECCIÓN

Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.

Visto esto, el nivel de seguridad física depende completamente del entorno donde se ubiquen los puntos a proteger.

13

DETECCIÓN

Es importante concienciar a todos de su papel en la política de seguridad del entorno.

Si por ejemplo un usuario autorizado detecta presencia de alguien de quien sospecha que no tiene autorización para estar en una determinada estancia debe avisar inmediatamente al administrador o al responsable de los equipos, que a su vez puede avisar al servicio de seguridad si es necesario.

14

Personas: Ataques potenciales

Ingeniería Social Manipulación de las personas para

que voluntariamente realicen actos que normalmente no harían. No siempre es tan perjudicial: vendedor.

Es el método de ataque mas sencillo, menos peligroso para el atacante y uno de los más efectivos.

15

Personas: Ataques potenciales Ingeniería Social (Cont.) Ej.: mail From: <root@sistema.com> To: user <us3r@sistema.com> Subject: cambio de clave Hola, Para realizar una serie de pruebas orientadas a conseguir un óptimo funcionamiento del sistema, es necesario que cambie su clave mediante el comando ‘passwd’. Hasta que reciba un nuevo aviso (aproximadamente en dos días), por favor, asigne ‘chauchauadios’ como su contraseña.

Ruego disculpe las molestias. Saludos, El Administrador

16

Personas: Ataques potenciales Ingeniería Social (Cont.) Otro ejemplo, esta vez sin abusar de la buena fe. Engaño al administrador: [Admin] Buenos días, aquí sistemas, en que puedo

ayudarlo? [Atacante] Hola, soy Juan Pérez y llamaba porque no consigo

recordar mi password en la maquina cs.uns.edu.pe [Admin] Un momento, me puede dar su nombre de usuario (login). [Atacante] Si, por supuesto, cositorico. [Admin] OK, ya le cambie el password. Le asigne “zapaton2014”.

Por favor cambielo cuanto antes. [Atacante] Listo, en un ratito lo cambio. Muchas gracias! [Admin] De nada, saludos!

17

18

19

20

21

22

Personas: Ataques potenciales Shoulder Surfing Nuevamente ingenuidad de los usuarios (plus

seguridad física). Consiste en “espiar” físicamente a los usuarios para

obtener sus passwords. Ej.: Post-it™ en monitor o password escrito en el

teclado, programas viejos que no ocultan tecleo de password, o el atacante puede mirar como el otro teclea.

Masquerading Suplantar la identidad de otro usuario. Puede ser

electrónicamente o en persona (ataque no solo a la seguridad física sino también a la seguridad del personal).

No es común en entornos normales ya que en general “nos conocemos todos”.

Variante: piggybacking. “Pegarse” a un usuario autorizado. Ej: Ocean’s Eleven.

23

Personas: Ataques potenciales Scavenging (Basureo) Técnica relacionada (también) con los usuarios y

la seguridad física. Consiste en obtener información que se

encuentra en los alrededores del sistema. Puede ser físico (tacho de basura, impresiones) o lógico (buffer de impresora, o clusters de disco recién borrados).

No es un ataque habitual (en entornos “normales”) pero no es difícil de hacer – siempre hay gente descuidada o no muy afín a la seguridad (educación!).

Solución (papelera): Trituradora de Papel. Solución (almacenamientos: cintas, discos, etc.):

borrado real + daño físico.

24

Soluciones Los problemas relacionados con la gente son mucho más

complejos que los relacionados con la seguridad lógica. Generalmente la gente no está bien formada en seguridad:

están en la suya, no en seguridad. El administrador debe lograr que la gente aprenda.

Los administradores SI deben saber sobre seguridad! “Cadena que se rompe si falla uno de sus eslabones”: no

importa si uso criptografía si un atacante puede conseguir un login/passwd llamando a una secretaria.

Mayor problema: usuarios externos que pueden comprometer la seguridad del sistema. Ej.: personal de seguridad, limpieza.

Y si hay problemas con la gente de la organización? Asegurar una buena política de seguridad!

25

Soluciones El 80% de los ataques son causados por el personal interno.

Qué significa? que la mayor amenaza viene de la gente que trabaja/trabajó en el sistema.

Un ataque realizado por alguien “cercano” (va al punto) es mucho peor!

Por qué alguien querría atacar a su propia organización? (y arriesgarse a perder el trabajo o ir a la cárcel?). “Todos tenemos un precio” y mil motivos más.

Defensa contra los atacantes internos Verificar CV antes de contratar a alguien, o investigar pasado. De todas formas alguien puede cambiar de “actitud”.

26

Soluciones Para minimizar los daños que pueda causar un atacante podemos

seguir estos principios:• Necesidad de saber (Need to know) o mínimo privilegio: Que el usuario sepa solo lo que necesita para su trabajo (ni +, ni -).• Conocimiento parcial (Dual Control) Que dos personas sepan el password de root.• Rotación de funciones Problema con el anterior: complicidad. Rotar a las personas

(diferentes responsabilidades): que todos puedan vigilar a todos.• Separación de funciones No es bueno que una sola persona tenga acceso total a la

seguridad. Que hacer cuando un usuario se va? Cancelar acceso urgente!

27

DESASTRES NATURALES

Los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.

28

INCENDIOS

A los ordenadores no les sienta nada bien el fuego, por lo cual, el lugar donde estén situados físicamente tenga detectores de humo para que en caso de incendio, además de avisar arranque un sistema de extinción de incendios.

29

INUNDACIONES Esta es una de las

causas de mayores desastres en centros de cómputos.

Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.

30

TORMENTAS ELÉCTRICAS

Las tormentas eléctricas y los aparatos eléctricos, generan subidas súbitas de tensión infinitamente superiores a las que pueda generar un problema en la red eléctrica.

Campo magnético. Predecibles.

31

TERREMOTOS

Los terremotos son el desastre natural con alta probabilidad en la mayoría de organismos ubicados en el Perú, simplemente por su localización geográfica.

32

ALTERACIONES DEL ENTORNO En nuestro entorno de trabajo hay factores que pueden

sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar.

SEÑALES DE RADAR ELECTRICIDAD RUIDO ELÉCTRICO TEMPERATURAS EXTREMAS HUMO POLVO EXPLOSIONES INSECTOS

33

ALTERACIONES DEL ENTORNO Electricidad El problema más común en los entornos de trabajo

son: cortes, picos, cortocircuitos, etc. Los equipos traen fusibles pero muchas veces eso no

es suficiente. Soluciones: puesta a tierra, estabilizadores de

tensión, UPS’s, generadores. Corriente estática: muy poca corriente y mucho

voltaje. Protección: spray antiestático, ionizadores, etc. Pero en general con el sentido común alcanza.

34

ALTERACIONES DEL ENTORNO Ruido eléctrico Es la incidencia de la corriente de otras máquinas

sobre la nuestra. Ej.: motores grandes, multitud de máquinas, incluso celulares y equipos de radio.

Se transmite por el espacio o por líneas eléctricas. Solución barata: alejar el HW… otra: instalar filtros.

35

ALTERACIONES DEL ENTORNO Incendios y humo Relacionado con electricidad (cortocircuito). Solución: matafuegos, detectores en cielorrasos,

educación. No solo son peligrosos el fuego y el calor, también lo

es el humo, el cual daña principalmente discos. ¿Humo cigarrillos?

36

ALTERACIONES DEL ENTORNO Temperaturas extremas Operación normal: entre 10 y 25ºC.

Soluciones:• Acondicionadores de aire (no solo para los equipos,

también “ayuda” a los usuarios).• Correcta ventilación en equipos.• “Correcta” ubicación del HW dentro del gabinete.

37

PROTECCION DE LOS DATOS

Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.

Es necesario proteger los datos, tanto los almacenados como los transmitidos. Se aplica lo anterior (proteger HW implica proteger SW) más aspectos específicos. El atacante trata de obtener la info almacenada en el medio físico.

38

COPIAS DE SEGURIDAD

No se trata sobre políticas de backup sino sobre la protección física de la info almacenada en los backups.

Error 1: almacenar los backups en el mismo lugar físico que el sistema.

Error 2: etiquetado de cintas/CDs con demasiada info. Pro: se encuentran todos los archivos muy fácil y rápido. Contra: el atacante también puede encontrar todo! Adiós firewalls, etc.

Solución: codificar etiquetas, encriptar backups, controlar acceso a backups.

39

COPIAS DE SEGURIDAD La info a proteger también puede estar en listados de

impresoras, documentación de una máquina, etc. Es difícil proteger impresiones pues se compromete la

privacidad. Solución: ubicar impresoras, faxes, plotters, etc. en

lugares restringidos. Más problemas: el atacante puede obtener

información “útil” a partir de facturas, manuales (versión S.O.), agendas, etc.

Cuidado con el Recycle Bin!!! Mejor es la Trituradora de Papel.

40

Actividad de Aprendizaje N° 02

Formar grupos de trabajo y responder

1. Analizar la seguridad física del instituto1. Ambientes2. Control de Accesos3. Instalaciones eléctricas4. Distribución de hardware5. Medidas de seguridad ante imprevistos