Upload
prof2007
View
694
Download
2
Embed Size (px)
Citation preview
2Seguridad
ActivosActivos
recursos que emplea recursos que emplea una organizacion una organizacion para desarrollar su para desarrollar su actividad.actividad.
3Seguridad
ActivosActivos
Recursos físicos Información almacenada Información en tránsito Imagen y reputación publica y profesional
8Seguridad
Nos conectamos a una red de usuarios desconocidos
Parte de nuestros sistemas (donde disponemos de datos críticos) estarán al alcance de cualquiera
Un acceso no controlado propiciaría una intrusión con efectos nefastos
El no contemplar la seguridad puede provocar el incumplimiento de la Ley
LSSI
LOPD
...
La respuesta es SÍ...La respuesta es SÍ...
10Seguridad
Sustrajo 10 millones de dólares de cuentas corporativas de Citibank
Realizó 40 transferencias ilegales a través del Sistema de Administración del Banco
En 1995 fue arrestado por la Interpol
VLADIMIR LEVINVLADIMIR LEVIN
Autor del “Troyano” Back Orifice
Este Troyano permite controlar máquinas infectadas de forma remota
SIR DYSTICSIR DYSTIC
Phreaker declarado, se dedicaba a atacar centralitas telefónicas
Se dedicaba a vender “Boxes” a estudiantes
JOHN DRAPERJOHN DRAPER
11Seguridad
ALGUNOS EJEMPLOSALGUNOS EJEMPLOS
El chat de Terra, las cuentas de Codetel y revista Dígame, atacados por hackers
Agosto 2001. Fuente: IBLNews
Los nombres de acceso de 100.000 usuarios de Terra circulan en Internet
Marzo 2001. Fuente:Delitosinformáticos.com
Los troyanos aprovechan la vulnerabilidad ADSL La brecha de seguridad descubierta el mes pasado permite tomar control de los equipos con módem ADSL desde el exterior, exponiendo toda la red local a la que esté conectada el Pc. Febrero 2002. Fuente: Virusprot.com
Un grupo de hackers accede a datos de ciudadanos en la web de la Generalitat
Octubre 2002. Fuente: Noticiasinformáticas.com
13Seguridad
El Cibercrimen creció casi un 10% en el segundo trimestre de 2001 en Europa
1/3 de las emp. españolas fue atacada desde el exterior a sus sistemas inform.
1/6 fueron atacadas entre 2 y 5 veces
Menos de la mitad de las Emp. Españolas cuentan con un plan de contingencia
El aumento de los ataques (tanto externos como internos) es exponencial
Existe una sensibilización bastante baja al respecto
A nivel nacional hay una carencia palpable de Expertos en Seguridad Telemática
ConclusionesConclusiones
Datos año 2001. Fuente EDSDatos año 2001. Fuente EDS
ALGUNAS CIFRASALGUNAS CIFRAS
14Seguridad
CONSECUENCIAS Robos de InformaciónRobos de Información
FraudesFraudes Daños TécnicosDaños Técnicos
Daños de ImagenDaños de Imagen
Colapso de ServicioColapso de Servicio
Distribución de VirusDistribución de Virus
PERDIDAS ECONÓMICASPERDIDAS ECONÓMICAS
DESCONFIANZADESCONFIANZA
ACCIONES LEGALESACCIONES LEGALES
¡ PELIGRO PARA LA EMPRESA!¡ PELIGRO PARA LA EMPRESA!
Control de Máquinas y ServiciosControl de Máquinas y Servicios Incumplimiento de LOPDIncumplimiento de LOPD
15Seguridad
RESPUESTA:RESPUESTA:
Se debe de realizar una labor de prevención a varios niveles:
Integración de solucionesMás o menos complejas
Política de mantenimiento de las soluciones
Análisis y RevisionesInternas y Externas
Documentación y puesta en marcha de Políticas y Procedimientos
...dependerá de la línea de negocio en que se mueva la empresa y de lo que suponga para la misma su arquitectura informática
...dependerá de la línea de negocio en que se mueva la empresa y de lo que suponga para la misma su arquitectura informática
17Seguridad
¿QUÉ LES MOTIVA?
CuriosidadCuriosidad
Promoción Promoción
ReivindicaciónReivindicación
-Abundantes Herramientas de fácil localización -Google: “herramientas” + “hacking”
-Coste Reducido
-Vacío Legal
-Publicidad para demostrar cualidades
-Avisan de los problemas localizados
-No son ataques dañinos
-Móviles políticos, ideológicos, etc.
-Ataques dañinos
-Instituciones públicas o entidades ampliamente conocidas
18Seguridad
EXPLOTACIÓN DE VULNERABILIDAD
VULNERABILIDADES EXISTENTES
ANÁLISIS SERVICIOS Y SISTEMAS
OBTENCIÓN DE INF. PÚBLICA
¿CÓMO ACTUAN?
LOCALIZACIÓN DEL OBJETIVO
Accesos de diversa profundidad
- Estudio de Objetivos vulnerables, llamativos, que supongan un reto.
- Quienes son, a qué se dedican, información publicada de sistemas.
- Búsqueda de Servicios activos, análisis de código Web, etc.
- Localización de vulnerabilidades para Sistemas y Servicios analizados
- Prueba de la consecuencia de la vulnerabilidad
DMZ (zona desmilitarizada)
LAN
Saltos entre REDES