Momento I Actividad Fundamentos de Seguridad Informática
Alvarez Ordosgoitia Jhonatan David Jiménez Torres Rogger Alberto Liñan Cordero Ronal Pitta Picón Shirley Tatiana Sayeh Tang Carlos Alberto Universidad Abierta y a Distancia “UNAD”, Colombia
[email protected],
[email protected],
[email protected],
[email protected]
Resumen— En este documento se describe ataques informáticos ocurridos entre el año 1990 hasta el 2015, algunos hackers que han realizado grandes hazañas en el mundo de la seguridad informática, certificaciones en seguridad informática, información de interés sobre DMZ y UTM, la ley de delitos informáticos que rige en Colombia. Este trabajo tiene como finalidad afianzar conocimientos sobre los conceptos de seguridad informática como actividad del curso Fundamentos de Seguridad Informática. Palabras clave— DMZ, UTM, ataques informáticos, hackers, seguridad informática.
Abstract— DMZ , UTM , hacking , hackers , computer security Keywords— This document hacking occurred from 1990 to 2015 is described , some hackers who have made great achievements in the world of computer security , computer security certifications , relevant information on DMZ and UTM , the computer crimes law governed in Colombia . This work aims to strengthen knowledge of computer security concepts as activity Computer Security Fundamentals course. I. ACTIVIDADES 1. Generar una línea del tiempo donde se describa los diferentes ataques informáticos desde 1990 hasta 2015, indicando las fechas y los daños causados. 1990: Kevin Poulsen tomó el control de las llamadas de la estación de radio de los Ángeles KIIS-FM, con la finalidad de garantizar que él fuera la llamada 102 la cual ganaría un Porsche en un concurso organizado por ésta estación de radio. 1995: aparece Concept fue el primer virus de macro para MS Word. Se propagó a través de archivos adjuntos infectados, el PC se infectaba con sólo abrir el archivo adjunto. 1999: David L. Smith crea el virus Melissa afectando a los usuarios Microsoft Word y Microsoft Outlook, causando parálisis en muchas compañías. 2000: Onel de Guzmán crea el virus I Love You el cual se
propaga a través del correo electrónico. Mediante un archivo de texto adjunto a un correo con asunto I Love You, al abrir el archivo automáticamente se reenviaba el correo electrónico a todos los contactos de la libreta de direcciones. 2001: Aaron Caffrey bombardeó el sistema informático del puerto de Houston - EEUU con miles de mensajes electrónicos congelando el servicio web del puerto, el cual contenía datos vitales para el envío, empresas de amarre y las firmas encargadas de ayudar a los barcos navegar dentro y fuera del puerto. 2003: el gusano Slammer atacaba a servidores que ejecutaban la aplicación Microsoft SQL, aprovechando una vulnerabilidad del mismo, colapsando las redes corporativas y logrando una denegación de servicios. En EEUU causó alteración de vuelos, elecciones, cajeros automáticos, servicios de emergencia 911 y parálisis en el sistema de supervisión nuclear de la planta de Ohio Nuclear de Davis-Besse. 2004: Sven Jaschan crea el gusano Sasser el cual afectaba a computadoras que corren bajo plataforma Windows XP o 2000, provoca el reinicio del ordenador de forma automática, se propaga de manera automática a los ordenadores de la red. Puso en aprietos a corporaciones y empresas de gran importancia en países como Inglaterra, Taiwan, Australia y Finlandia. 2007: Storm era un caballo de troya el cual se propaga a través de un archivo adjunto en emails que tenían noticias falsas de interés, al descargar el adjunto la computadora se infectaba haciéndola parte de una botnet, por lo que comenzaba a enviar y recibir comandos a cargo de su creador. 2008: el gusano Conficker atacaba una vulnerabilidad existente en el sistema operativo Windows, al infectar un equipo se propagaba al compartir archivos y a través de unidades extraíbles. Este gusano podía deshabilitar servicios importantes del sistema y desactivar productos de seguridad. 2010: primera vez que se utilizó un gusano informático para causar daño físico a una propiedad. Este gusano recibe el nombre de Stuxnet el cual fue diseñado por expertos en seguridad en Israel y los Estados Unidos para desactivar centrifugadoras utilizadas para purificar uranio en las
instalaciones nucleares de Natanz de Irán. A. Stephen Wozniak. 2013: la cadena de tiendas estadounidense Target sufrió ataque de hackers que se robaron información de los números de tarjeta bancaria de usuarios y datos personales como el teléfono y/o la dirección de email. 2014: eBay sufrió de un ciberataque que afectó a un pequeño número de credenciales e identificaciones de acceso de los empleados. La información expuesta fueron los nombres de los usuarios, además de sus respectivas contraseñas encriptadas, cuentas de correo electrónico, dirección postal, teléfono y fecha de nacimiento. Por seguridad los usuarios de eBay debían cambiar sus contraseñas. 2015: Apple Inc es atacado con programa malicioso llamado XcodeGhost que se incrusta en cientos de aplicaciones para móviles (iPhone, iPad) legítimas de iOS App Store. Las aplicaciones infectadas incluyeron Tencent Holdings Ltd, aplicación chat móvil WeChat, car-hailing app Didi Kuaidi y una aplicación de música del portal de Internet NetEase Inc. Fig. 1. Línea del Tiempo de ataques informáticos 1990 – 2015 Apple Inc es atacado con programa malicioso llamado XcodeGhost que se incrusta en cientos de aplicaciones para móviles (iPhone, iPad) La cadena de tiendas Target sufrió donde robaron información de sus usuarios como los números de tarjeta bancaria y datos personales Conficker gusano podía deshabilitar servicios importantes del sistema y desactivar productos de seguridad del SO Windows Sven Jaschan crea el gusano Sasser el cual afectaba a computadoras que corren bajo plataforma Windows XP Aaron Caffrey bombardeó el sistema informático del puerto de Houston - EEUU con miles de mensajes electrónicos congelando el servicio web del puerto
David L. Smith crea el virus Melissa afectando a los usuarios Microsoft Word y Microsoft Outlook, causando parálisis en muchas compañías
2015 2014
2013 2010
2008 2007
2004 2003 2001
eBay sufrió un ciberataque donde estuvo expuesta información de sus usuarios y empleados. Stuxnet desactivó las centrifugadoras utilizadas para purificar uranio en las instalaciones nucleares de Natanz de Irán Storm un caballo de troya el cual se propaga a través de un archivo adjunto en emails que tenían noticias falsas de interés El gusano Slammer atacaba a servidores que ejecutaban la aplicación Microsoft SQL. Causó alteración de vuelos, elecciones, cajeros , línea 911
2000
Onel de Guzmán crea el virus I Love You el cual se propaga a través del correo electrónico
1995
Aparece Concept fue el primer virus de macro para MS Word. Se propagó a través de archivos adjuntos infectados
1999
1990
Fuente: El autor
Kevin Poulsen tomó el control de las llamadas de la estación de radio de los Ángeles KIIS-FM, para ganar un Porshe.
2. Mencionar 5 hackers a nivel internacional mencionando sus logros y hazañas en el mundo de la seguridad informática Los 5 hackers más famosos del mundo son:
Hackers famoso en la década de los 70 podía hacer llamadas gratuitas para llamar larga distancia. Estudiando en la universidad creo unos dispositivos llamados cajas azules para sus amigos que podría hacer llamadas gratis en cualquier parte del mundo. Tiempo después dejo sus estudios para forma parte junto con su compañero Steve Job en la compañía Apple. B. Robert Tappan Morris. Es hijo de un científico de la agencia nacional de seguridad. Es reconocido por crear el gusano denominado Morris por su apellido. Escribió el código y lo aplico para probar que tan amplio era el internet lo que ocasiono el colapso del 10% del internet a nivel internacional y genero perdidas de millones de dólares. Fue condenado en enero de 1990 según la ley de delitos y fraude informáticos de 1986 pero se atenuó la pena al no encontrar fraude o engaño lo que le dieron 3 años de libertar condicional, 400 horas de trabajo para la comunidad y el pago de 10000 dólares. Actualmente trabaja como profesor en el MIT y en los laboratorios de inteligencia artificial. C. Kevin Mitnick. Es uno de las hackers más famosos de las últimas generaciones dando sus primero pasos en los 70. Mitnick violo la seguridad de unas de las empresas más importante a nivel internacional como son Motorola y Nokia lo que la autoridades estadounidense lo declaro como el hacker más buscado de la historia de los estados unidos. Después de una intensa búsqueda lo capturando en 1995 para condenarlo a 5 años de prisión, luego de cumplir la condena salió en libertad en el año 2000 que en ese año formo su empresa de seguridad informática para no dedicarse como hacker si no como ingeniería social. D. Jonathan James. Las acciones más importantes de james tuvieron los ataque de alto grado en grandes organizaciones. Uno de los ataque fue a la agencia del departamento de defensa de los EEUU que robo informaciones de los empleados y el otro ataque fue a la NASA que robo software evaluados a 1.7 millones de dólares. Uno de los software fue el control del medio ambiente, la temperatura y la humedad lo que la NASA paralizo sus actividades 21 días generando pérdidas de 41 millones de dolores. Fue condenado a 6 meses de prisión y después salió en libertad. E. Adrian Lamo Es origen de Boston, se le conoce como el vagabundo de los centro de computo. Su fama se debe que penetro en las redes la empresa de Microsoft, Yahoo y Bank of America, Fortune 500 con el objetivo de encontrarles las fallas de seguridad y comunicárselos también logro incluir su nombre
en la lista de expertos de New York Times y robo informaciones de los colaboradores de ese diario por lo que fue arrestado por seis meses de prisión domiciliaria 3. Mencionar 6 certificaciones enfocadas a la seguridad informática, se debe redactar: qué cualidades certifican, costo de la certificación
A. Certified Information Systems Security Professional (CISSP) Es un estándar reconocido a nivel mundial que confirma el conocimiento de un individuo en el campo de la seguridad de la información. Los certificados en CISSP son profesionales de la seguridad de la información que definen la arquitectura, el diseño, la gestión y/o los controles que garantizan la seguridad de los entornos empresariales. Fue la primera certificación en el ámbito de la seguridad de la información para cumplir con los estrictos requisitos de la norma ISO/IEC 17024. Estos son los campos de conocimiento certificados para un profesional CISSP, Common Body of Knowledge (CBK): • Sistema de Control de Acceso & Metodología • Seguridad en el Desarrollo de Sistemas y Aplicaciones • Plan de Continuidad del Negocio (BCP) & Plan de Recuperación Ante Desastres (DRP). • Criptografía • Leyes • Investigaciones y Ética • Seguridad de Operaciones • Seguridad Física Costos: El coste del examen es de: US$749. B. Certified Ethical Hacking (CEH) Es la certificación oficial de hacking ético desde una perspectiva independiente de fabricantes. El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos métodos que un Hacker. La diferencia más importante es que el Hacker Ético tiene autorización para realizar las pruebas sobre los sistemas que ataca. El objetivo final de esta certificación no es otro que el de adquirir conocimientos prácticos sobre los sistemas actuales de seguridad, con el fin de poder colaborar con empresas en reparar sus fallos de seguridad. El profesional que obtiene la certificación CEH Ethical Hacking posee habilidades y conocimientos en las siguientes áreas: • • • • • •
Footprinting and Reconnaissance Scanning Networks Enumeration System Hacking Trojans Worms
• • • • • • • • • • • • •
Virus Sniffers Denial of Service Attacks Social Engineering Session Hijacking Hacking Web Servers Wireless Networks Web Spplications SQL Injection Crytography Penetration Testing Evading IDS Firewall and Honeypots
Costos: Para obtener la certificación CEH Ethical Hacking el candidato debe tomar un examen que tiene un costo de US$500.00. C. CISM (Certified Information Security Manager) Esta es una certificación expedida por ISACA (www.isaca.org) y es un programa de certificación desarrollado para gerentes de la seguridad de la información o personas que tengan responsabilidades asociadas con la administración de la seguridad de la Información en una organización. Es una certificación orientada a los profesionales que realicen tareas de Administración, diseño, revisión y/o evaluación de un sistema de seguridad empresarial. Esta certificación pretende demostrar que el profesional posee los conocimientos y experiencia necesaria en la administración de sistemas de seguridad de la información y consultoría, por lo cual exige que se tenga como mínimo 3 años de experiencia en administración de seguridad de la información y 2 años en otras actividades de seguridad. El examen se basa en las mejores prácticas desarrolladas por y para administradores de la seguridad de la información. El examen mide y evalúa las siguientes áreas de conocimiento: Information Security Governance (21%) Risk Management (21%) Information Security Program(me) Management (21%) Information Security Management (24%) Response Management (13%) Para mantener la certificación hay que demostrar entrenamiento continuo anualmente. Costo: El examen tiene un costo de US$625 y US$750 para obtener la certificación. D. CISA (Certified Information Systems Auditor) Es uno de los programa de certificación de más trayectoria y reconocimiento a nivel mundial, desde 1978 el programa representado por ISACA® (Information Systems Audit and
Control Association® - www.isaca.org), ha sido mundialmente aceptado como un estándar de reconocimiento para los profesionales en auditoría de sistemas, control y seguridad. Las áreas de conocimiento que se certifican mediante CISA son:
Management, Planning, and Organization of IS (11%) Technical Infrastructure and Operational Practices (13%) Protection of Information Assets (25%) Disaster Recovery and Business Continuity (10%) Business Application System Development, Acquisition, Implementation, and maintenance (16%) Business Process Evaluation and Risk Management (15%) The IS Audit Process (10%)
Para obtener la certificación el profesional debe aprobar un riguroso examen que evalúa las áreas de conocimiento anteriormente expuestas, además se debe demostrar un mínimo de 5 años de experiencia profesional en auditoría de sistemas de información, control o experiencia en seguridad de la información. Poseer la designación CISA demuestra el nivel de competencia y constituye la pauta para medir la preparación, los conocimientos y experiencia en auditoría, control, aseguramiento y seguridad de SI. Costos: El examen tiene un costo de US$625 y US$675 para obtener la certificación. E. Certified Wireless Security Professional (CWSP) La certificación CWSP asegura que se tienen las capacidades para proteger las redes empresariales Wi-Fi de los hackers, sin importar qué modelos o marcas se implanten en la organización. Las principales áreas temáticas cubiertas por CWSP: • • • • • • • • •
WLAN Discovery Techniques Intrusion and Attack Techniques 802.11 Protocol Analysis Wireless Intrusion Prevention Systems (WIPS) Implementation Layer 2 and 3 VPNs used over 802.11 networks Enterprise/SMB/SOHO/Public-Network Security design models Managed Endpoint Security Systems802.11 Authentication and Key Management Protocols Enterprise/SMB/SOHO/Public-Network Security Solution Implmentation Building Robust Security Networks from the ground
• • • • • • •
up Fast BSS Transition (aka. Fast/Secure Roaming) Techniques Thorough coverage of all 802.1X/EAP types used in WLANs Wireless LAN Management Systems (WNMS) Authentication Infrastructure Design Models Using Secure Applications 802.11 Design Architectures Implementing a Thorough Wireless Security Policy
Costos: El examen para obtener la certificación CWSP tiene un costo de US$255. F. CompTIA Security + CompTIA Security + es una certificación internacional de un proveedor neutral que demuestra la competencia en la seguridad de red, el cumplimiento y seguridad operativa, amenazas y vulnerabilidades, aplicaciones, seguridad del host y los datos, control de acceso y gestión de la identidad y de la criptografía. La certificación Security+ está reconocida por el U.S Department of Defend como requisito válido para la certificación Information Assurance (IA). El profesional que obtiene la certificación CompTIA Security+ posee habilidades y conocimientos en las siguientes áreas: • • • • • • •
Cryptography Identity Management Security Systems Organizational Systems Security Risk Identification and Mitigation Network Access Control Security Infrastructure
Costos: El examen que es necesario aprobar para obtener la certificación Security+ es el #SYO-401. Este examen tiene un costo es de US$293.00. 4. Redactar la conceptualización de qué es una DMZ, sus componentes, cómo se organiza una DMZ? El estudiante deberá generar un gráfico para describir la DMZ. Arquitectura DMZ Cuando algunas máquinas de la red interna deben ser accesibles desde una red externa (servidores web, servidores de correo electrónico, servidores FTP), a veces es necesario crear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la red interna como por vía externa sin correr el riesgo de comprometer la seguridad de la compañía. El término "zona desmilitarizada" o DMZ hace referencia a esta zona aislada que posee aplicaciones disponibles para el público. La DMZ actúa como una "zona de búfer" entre la red que necesita protección y la red hostil.
Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan como un puesto de avanzada en la red de la compañía. Por lo general, la política de seguridad para la DMZ es la siguiente:
El tráfico de la red externa a la DMZ está autorizado El tráfico de la red externa a la red interna está prohibido El tráfico de la red interna a la DMZ está autorizado El tráfico de la red interna a la red externa está autorizado El tráfico de la DMZ a la red interna está prohibido El tráfico de la DMZ a la red externa está denegado
De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compañía. Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con niveles de protección variados y así evitar intrusiones internas. [25]
muchas características por las cuales sería un fuerte candidato, este Router puede tener un costo aproximado de unos US$852 nuevo, unos $2.460.000 colombianos según Amazon. Firewall o Cortafuegos. Este dispositivo puede ser tipo Hardware o Software. Mediante este dispositivo se permitirá el paso de la información que viene de Internet hacia la Intranet y el bloqueo de intrusos o de código malicioso que quiera irrumpir en la Intranet o el Servidor DMZ, en este caso se recomienda el Firewall Cisco PIX 515E, el cual posee versátil diseño de una sola unidad de rack además soporta hasta seis interfaces Ethernet 10/100 Fast, por lo que es una excelente opción para las empresas que requieren una solución de seguridad flexible y rentable con "zona desmilitarizada" de apoyo. También ofrece hasta 188 Mbps de rendimiento de firewall con la capacidad de manejar más de 130.000 sesiones simultáneas. Ciertos modelos 515E PIX incluyen servicios de alta disponibilidad, así como hardware integrado VPN aceleración que ofrece hasta 140 Mbps de Triple Data Encryption Standard rendimiento (3DES) VPN y 140 Mbps de Advanced Encryption Standard-256 (AES) de VPN. [8]
Fig. 2 Arquitectura de una DMZ
El costo aproximado de este dispositivo es de US$4288 en Amazon en estado nuevo, lo que sería un aproximado de $12.380.000 colombianos. El dispositivo puede ser configurado usando el Software PIX, para establecer los niveles de seguridad que en este caso son inside DMZ y outside. También hay que tener en cuenta la versión más recomendada y borrar la configuración inicial que trae el dispositivo.
Fuente: El autor
5. Determinar cuáles son los elementos informáticos más importantes en una organización que cuenta con una Intranet y que el acceso se proyecta a través de un DMZ, indique los elementos Hardware y software que se deben configurar para generar una seguridad adecuada en la organización, marcas de equipos, aproximación de costos por equipo; Los elementos informáticos más importantes que tiene una empresa que cuenta con una Intranet en donde el acceso se proyecta a través de una DMZ son los siguientes:
Firewall o Cortafuegos Router Servidor(es) Terminales
Es necesario configurar el Router (Asignar la IP correspondiente), para este caso se recomienda un Router Cisco de la serie 3600, puede ser un 3640, el cual tiene
Servidores Para este dispositivo se puede recomendar un equipo DELL, HP o cualquier otro que tenga las características recomendadas, como pueden ser: Buena ventilación, gran capacidad de almacenamiento al igual que memoria RAM se recomienda de unos 3Gb en adelante, un procesador de gran capacidad puede ser un Xeon (Intel) o un Opteron (AMD). Los precios pueden variar porque lo pueden armar a sus gusto o comprarlo ya listo. Pero con unas buenas características puede costar de $2.000.000 en adelante. Para la configuración de este dispositivo se debe establecer la IP que va manejar en la Red. 6. Escribir en 2 páginas un informe gerencial que debe plasmarse como anexo en el artículo IEEE, donde solicite al director de una organización X la asignación de presupuesto para implementar seguridad informática en la empresa, la solicitud debe ser justificada en base a los posibles ataques que se puedan presentar, describir los elementos hardware y software con los que cuenta la organización en el momento de realizar el informe, y presentar los beneficios que pueden recibir al implementar este proyecto de seguridad informática. Ver anexo.
7. Qué es una UTM? Comente el por qué sería importante aplicar una UTM a una organización, qué problema podría tener el aplicar una UTM? Cómo mitigaría el impacto negativo que trae consigo la UTM? La sigla UTM proviene de las siglas en ingles Unified Threat Management, en español Gestión Unificada de Amenazas. Básicamente es un Firewall de red que engloba muchas funcionalidades y servicios dentro de una misma máquina de protección. Algunos de estos servicios y funcionalidades son:
Función de un firewall de inspección de paquetes Función de VPN (para hacer túneles o redes privadas) Antispam (para evitar los correos no deseados o spam) Antiphishing (evitar el robo de información) Antispyware Filtrado de contenidos (para el bloqueo de sitios no permitidos mediante categorías) Antivirus de perímetro (evitar la infección de virus informáticos en computadoras clientes y servidores) Detección/Prevención de Intrusos (IDS/IPS) Las UTP inspeccionan cada paquete de información que circula en internet, ya sea que vaya o venga dentro de una red interna o externa. La filosofía de un Unified Threat Management, es procesar y analizar todo el contenido antes de que entre a la red corporativa. En el ámbito empresarial, la aplicación de una UTM permitiría un mayor control, manejo y administración de la seguridad de la información a través de una sola consola, evitando la duplicación de labores que se da al tener varios sistemas independientes. El problema más visible al aplicar una UTM es la posibilidad que se presente un fallo y un cuello de botella, es decir, como posee un único punto de defensa, en caso de que este falle, la organización queda desprotegida totalmente. Para amortiguar este problema, se puede complementar el dispositivo UTM con un segundo perímetro basado en software o hardware 8. Nombrar y describir por lo menos dos normas que contribuyan a establecer procesos de seguridad en una organización. ISO 27001: Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2. ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública,
pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO/IEC 27003: Es la guía de implementación de SGSI (Un sistema de gestión de la seguridad de la información) e información acerca del uso del modelo PDCA (Plan-DoCheck-Act) y de los requerimientos de sus diferentes fases. Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado. ISO-27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI –. El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
La norma ISO 27002 es una guía para el desarrollo de normas de seguridad de la organización y las prácticas eficaces de gestión de la seguridad y para ayudar a construir la confianza en las actividades interinstitucionales. La norma ISO 27005 proporciona directrices para la gestión de riesgos de seguridad de la información en una organización, apoyando específicamente los requisitos de un sistema de gestión de seguridad de la información. La norma ISO 27005 es aplicable a todo tipo de organización. No proporciona o recomienda una metodología específica, su aplicación dependerá de una serie de factores, tales como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o tal vez el sector comercial de la industria 9. URL del vídeo publicado en Youtube sobre las temáticas de: virus informático, gusano, bomba lógica, troyano. Jhonatan Alvarez https://www.youtube.com/watch?v=5kUd1S92EC8 Rogger Jimenez:
https://youtu.be/2a3kEfmxS8I Ronal Liñan https://www.youtube.com/watch?v=hSnjD_r6Z7k&rel=0 Shirley Pitta: https://www.youtube.com/watch?v=DafiJuVJi6g Carlos Sayeh No se encontro aporte. 10. ¿Qué es hardware malicioso? ¿Para qué sirve? Mencione por lo menos tres tipos de hardware malicioso usado para irrumpir la seguridad de un sistema informático, anexe imágenes y defina costos del hardware mencionado
Wi-Fi. Con este fin poder introducir los datos de configuración básicos, como el identificador de red (SSID) y la contraseña (analógicamente como para cada dispositivo WLAN). Una vez conectado el Punto de Acceso, el keylogger empezará a mandar informes por E-mail con los datos interceptados del teclado a cualquier dirección seleccionada. Costo: Aprox. KeyGrabber USB USD $ 55.99 Costo: Aprox. KeyGrabber Wifi USD $ 144.99 Fig. 4 KeyGrabber Nano:
¿Qué es un hardware malicioso? Es una modificación malintencionada de los circuitos de un circuito integrado. ¿Para qué sirve? En general sirve para eludir o desactivar la seguridad de un sistema, puede filtrar información confidencial; también puede deshabilitar, trastornar o destruir todo el chip o los componentes de un equipo. Tipos de hardware malicioso para irrumpir en un sistema informático: Usb Rubber Ducky: Este dispositivo es un teclado programado con forma de USB que nada más con conectarse comienza a escribir en el equipo de forma automatizada, para lanzar programas y herramientas que bien pueden estar en el equipo víctima o cargados en la memoria Micro SD que lleva incluida. En cuestión de segundos tendría acceso a información que se podría subir automáticamente a un servidor FTP u otro sitio. Costo: Aprox. USD $ 42.99 Fig. 3 Usb Rubber Ducky:
Fuente: Jhonathan Alvarez
KeyGrabber PS/2: Con hasta 2 Gigabytes de memoria USB interna. Este keylogger por hardware ofrece un menú de texto con numerosas opciones de análisis de los datos registrados. Además, incluimos el Acelerador de Descarga USB para conseguir una descarga super rápida de los datos registrados. El keylogger es completamente transparente para el funcionamiento del ordenador, no requiere ningún software ni controladores. Trabaja con distribuciones nacionales de teclado Costo: Aprox. 8MB USD $ 35.99 Costo: Aprox. 2GB USD $ 44.99 Fig. 5 KeyGrabber PS/2:
Fuente: Jhonathan Alvarez
KeyGrabber Nano: Posee todas las funciones de un keylogger estándar, con ultra-mini caja y 16 megabytes de memoria incorporada. Simplemente conecta el keylogger entre el teclado y el ordenador. Para ver los datos grabados, pasa el keylogger al modo Pendrive, y el keylogger aparecerá como disco extraíble y contendrá el archivo de log. KeyGrabber Nano Wi-Fi posee también incorporado transceiver WLAN y pila integrada TCP/IP, lo que significa que se puede conectar al Internet a través del Punto de Acceso
los delitos informáticos que ocurren con mayor frecuencia en el País. Ellos destacan los siguientes delitos: Fuente: Jhonathan Alvarez
11. Mencione los aspectos generales de la ley 1273 de 2009 delitos informáticos en Colombia, cuáles son los delitos más comunes en Colombia? La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar incurrir en alguno de estos tipos penales. Se destacan a los que ellos llamaron informáticos y otras infracciones, tales como:
atentados
• Acceso abusivo a un sistema informático • Obstaculización ilegítima de sistema informático o red de telecomunicación • Interceptación de datos informáticos • Daño informático • Uso de software malicioso • Violación de datos personales • Suplantación de sitios web para capturar datos personales • Hurto por medios informáticos y semejantes • Transferencia no consentida de activos Lo anterior, teniendo en cuenta los perjuicios patrimoniales a los que se pueden enfrentar los empleadores debido al uso inadecuado de la información por parte de sus trabajadores y demás contratistas. Pero más allá de ese importante factor, con la promulgación de esta ley se obtiene una herramienta importante para denunciar los hechos delictivos a los que se pueda ver afectado, un cambio importante si se tiene en cuenta que anteriormente las empresas no denunciaban dichos hechos no sólo para evitar daños en su reputación sino por no tener herramientas especiales.
• Claves Programáticas Espías: Más conocidas como troyanos, o software espías, utilizadas para sustraer información en forma remota y física, preferiblemente aquella que le permita al delincuente validarse en el sistema bancario, suplantando a la víctima. • Estafas A Través De Subastas En Línea: Estas se presentan en el servicio de venta de productos, generalmente ilícitos, en línea o en la red; se pueden encontrar celulares hurtados, software de aplicaciones ilegales, además puede ser una vía de estafa ya que se suelen incumplir reglas de envió y de calidad de los productos solicitados. • Divulgación Indebida De Contenidos: Estas son conductas originadas en el anonimato ofrecido en la internet y el acceso público sin control desde ciber cafés; entre ellas se encuentran el envió de correos electrónicos anónimos, con fines injuriosos o calumnias, amenazas y extorsiones. • Pornografía Infantil En Internet: A través de foros, chats, comunidades virtuales, transferencias de archivos, entre otras modalidades, los delincuentes comercializan material pornográfico que involucra menores de edad. • Violación A Los Derechos De Autor: Utilizando reproductores en serie, los delincuentes realizan múltiples copias de obras musicales, videogramas y software. • Piratería En Internet: Implica la utilización de internet para vender o distribuir programas informáticos protegidos por las leyes de la propiedad intelectual. Aquí encontramos la utilización de tecnología par a par, correo electrónicos; grupos de noticias, chat por relay de internet, orden postal o sitios de subastas, protocolos de transferencia de archivos, etc. II. REFERENCIAS [1]
The Last Hacker : He Called Himself Dark Dante. His Compulsion Led Him to Secret Files and, Eventually, the Bar of Justice, disponible en: http://articles.latimes.com/1993-09-12/magazine/tm-34163_1_kevinpoulsen
[2]
MySpace Predator Caught by Code, disponible http://archive.wired.com/science/discoveries/news/2006/10/71948? currentPage=all
[3]
Kevin Mitnick, el ‘cóndor’ que hackeaba por diversión, fue detenido por última vez hace 17 años, disponible en: http://www.enter.co/otros/kevinmitnick-el-condor-que-hackeaba-por-diversion/
[4]
Mitnick Arrested, disponible en: http://www.wired.com/2012/02/feb-151995-mitnick-arrested/
[5]
Profile Gary McKinnon, disponible en: http://www.bbc.com/news/uk19946902
[6]
Hacker Gary McKinnon turns into a search expert, disponible en: http://www.bbc.com/news/technology-28524909
[7]
Hackear El robo de $ 10 millones de la Citibank Revelado, disponible en: http://articles.latimes.com/1995-08-19/business/fi-36656_1_citibanksystem
Delitos Informáticos Más Comunes En Colombia Según el Ministerio de Defensa Nacional en la página de la Policía Nacional de Colombia, se muestran identificados
en:
[8]
[9]
Melissa Virus Suspect Caught, disponible en: http://partners.nytimes.com/library/tech/99/04/biztech/articles/03melissa.ht ml Certificaciones CISA, CISM, CGEIT y CRISC, disponible en: http://www.isaca.org/Certification/Documents/2015-ISACA-ExamCandidate-Information-Guide_exp_Spa_1114.pdf
http://blog.capacityacademy.com/2014/11/04/las-4-mejores-certificaciones-deseguridad-ti-para-2015/ [28] CISSP: Certified Information System Security Professional, disponible en: http://blog.capacityacademy.com/2014/11/04/las-4-mejores-certificaciones-deseguridad-ti-para-2015/ [29] CISA: Certified Information Systems Auditor, http://www.isaca.org.ar/?id=certificacion_cisa
disponible
[10] CEH Exam, disponible en: http://www.eccouncil.org/Certification/examinformation/ceh-exam-312-50
[30] CRISC, disponible en: http://www.isaca.org/chapters7/Madrid/Certification/Pages/Page4.aspx
[11] CISSP® - Certified Information Systems Security Professional, disponible en: https://www.isc2.org/cissp/default.aspx
[31] Firewall Cisco PIX 515E, disponible https://translate.google.com/translate?hl=es419&sl=en&u=http://www.cisco.com/c/en/us/products/security/pix-515esecurity-appliance/&prev=search
[12] SSCP® - Systems Security Certified Practitioner, disponible en: https://www.isc2.org/sscp/default.aspx [13] ¿Qué es la gestión unificada de amenazas (UTM)?, disponible en: http://latam.kaspersky.com/mx/internet-security-center/definitions/utm [14] ISO/IEC 27002 , disponible en: http://www.iso27000.es/iso27002.html [15]
ISO 27005, disponible en: http://www.27000.org/iso27005.htm
[16]
ISO 27001, disponible en: http://www.27000.org/iso27001.htm
[17] Timeline: Critical infrastructure attacks increase steadily in past decade, disponible en: http://www.computerworld.com/article/2493205/security0/timeline-critical-infrastructure-attacks-increase-steadily-in-past-decade.html [18] Los 10 virus más famosos de la historia, disponible en: http://www.enter.co/chips-bits/seguridad/los-10-virus-mas-famosos-de-lahistoria-disi-2010/ [19] Apple cleaning up iOS App Store after first major attack, disponible en: http://www.reuters.com/article/2015/09/21/us-apple-china-malwareidUSKCN0RK0ZB20150921 [20] Así fueron los mayores ataques informáticos de la historia, disponible en: http://es.gizmodo.com/los10-mayores-ataquesinformaticos-de-lahistoria-1580249145 [21] Hardware attacks, backdoors and electronic component qualification, disponible en: http://resources.infosecinstitute.com/hardware-attacks-backdoors-andelectronic-component-qualification/ [22] Investigadores de seguridad crean troyanos de hardware indetectables, disponible en: http://www.pcworld.com.mx/Articulos/30230.htm [23] Ley 1273 de 2009, disponible en: http://www.mintic.gov.co/portal/604/w3article-3705.html [24] En Colombia las cifras de delitos informáticos van en aumento, disponible en: http://www.elpais.com.co/elpais/judicial/noticias/colombia-cifrasdelitos-informaticos-van-aumento [25] Arquitectura DMZ, disponible en: http://es.ccm.net/contents/589-dmzzona-desmilitarizada [26] Certificación CompTIA Security+, disponible en: http://blog.capacityacademy.com/2014/11/04/las-4-mejores-certificaciones-deseguridad-ti-para-2015/ [27] CEH: Certified Ethical Hacking, disponible en:
en:
en:
[32] Qué es la gestión unificada de amenazas (UTM)?, disponible en: http://latam.kaspersky.com/mx/internet-security-center/definitions/utm [33] Normas ISO sobre gestión de seguridad de la información, disponible en: http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_ iso_sobre_gestin_de_seguridad_de_la_informacin.html [34] Normas ISO sobre gestión de seguridad de la información, disponible en: http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_ iso_sobre_gestin_de_seguridad_de_la_informacin.html [35] Normas ISO sobre gestión de seguridad de la información, disponible en: http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_ iso_sobre_gestin_de_seguridad_de_la_informacin.html [36] Troyano Hardware, disponible en: https://es.wikipedia.org/wiki/Troyano_Hardware [37] Cisco CCNA Security, disponible en: http://blog.capacityacademy.com/2014/11/04/las-4-mejores-certificaciones-deseguridad-ti-para-2015/
III. BIOGRAFÍA Jhonatan David Alvarez Ordosgoitia nacido en Chinú (Córdoba) el 09 de Octubre de 1992. Realizó estudios universitarios en la Universidad Nacional Abierta y a Distancia “UNAD”, bajo el programa de Ingeniería de Sistemas en el CCAV de Corozal (Sucre); terminó su periodo académico en el mes de Junio del 2015 Ronal Liñan Cordero nació en Colombia – Cesar, Valledupar el 31 de Julio de 1986. Se graduó en la Universidad Popular del Cesar, en ingeniería de Sistemas, y estudia en la Universidad Nacional Abierta y A Distancia UNAD, especialización en Seguridad Informática. Su experiencia laboral está enfocada en ingeniería de sistemas, docencia y programador de aplicaciones informática, actualmente trabaja independiente en la programación de aplicaciones informática, donde ha ampliado sus conocimientos en el ámbito profesional y personal. Rogger Alberto Jiménez Torres nació en Colombia – Valledupar, el 17 de Marzo de 1989. Se graduó de la Universidad Popular del Cesar “UPC”, en Ingeniería de Sistemas, y actualmente estudia su especialización en Seguridad Informática en la Universidad Nacional Abierta y a Distancia “UNAD”. Su experiencia profesional está enfocada a la programación web y desarrollo de videojuegos.
Pitta Shirley, nació en Valledupar - Colombia, el 8 de octubre de 1985. Se graduó como ingeniera de sistemas en la Universidad Popular del Cesar. IV.
V. Su experiencia profesional es en el sector público en la Alcaldía de Valledupar, Alcaldía de La Paz, Alcaldía de la Jagua y en el sector privado en Pct. Ltda. Sus áreas de interés incluyen, la programación y la administración de base de datos.
Carlos Sayeh Tang, nació en Magangué (Bolívar) el 09 de Noviembre de 1985. Realizó estudios universitarios en la Universidad Nacional Abierta y a Distancia “UNAD”, bajo el programa de Ingeniería de Sistemas en el CCAV de Corozal (Sucre); se graduó como Tecnólogo en Sistemas en año 2008, retomó sus estudios terminó su periodo académico en el año 2014, y actualmente está Realizando estudios en el postgrado de Seguridad Informática en la misma Universidad.
ANEXO PROPUESTA PARA LA ASIGNACION DE PRESUPUESTO A LA IMPLEMENTACION DE SISTEMAS DE SEGURIDAD INFORMATICA CONCEPTOS BÁSICOS Tecnologías de la información y comunicaciones: Conjunto de recursos necesarios para manipular la información tales como las redes, los computadores y los servicios como email, banca online etc. Informática: Conjunto de conocimientos técnicos para el tratamiento automático de la información a través de computadoras. Seguridad informática: Área de la informática enfocada en la protección de la estructura tecnológica y computacional. Activos de información: Es toda la información que la compañía considera importante y de alto valor para la misma y que está contenida en un activo informático como un servidor. Firewall: Es un software o hardware que comprueba la información procedente de una red externa o de internet, permitiendo o restringiendo el acceso.
IDENTIFICACION DE LAS NECESIDADES Conociendo que todos nuestros procesos tanto los misionales como los administrativos y financieros, se sustentan en plataformas informáticas y están basados en la implementación de las tecnologías de la información y comunicaciones (TICs) y que por tal razón estas son fundamentales para garantizar la continuidad de los servicios de nuestra empresa. Se hace necesario que la gerencia considere la asignación de presupuesto para asegurar la infraestructura tecnológica y los activos de información de la compañía. Es importante que la gerencia conozca los hallazgos que nos llevan a sugerir esta inversión y que consideren esta propuesta por los beneficios que trae consigo la implementación de mecanismos para la seguridad informática, por lo que a continuación detallaremos algunos riesgos a los que se expone la compañía si no se implementan las mejoras en la seguridad que proponemos. Hoy en día los ataques a la infraestructura tecnológica son muy comunes y cada vez más catastróficos para la continuidad de los procesos. Actualmente contamos con una red interna muy poco protegida, por lo que cualquier persona con conocimientos mínimos y con la disposición de hacer daño puede lograrlo fácilmente. Por ejemplo, nuestra red se encuentra vulnerable a robos o fuga de información debido a la falta de dispositivos de detección de intrusos y firewall en hardware que fortalezcan la infraestructura tecnológica de la compañía. Además, no estamos exentos a daño en el disco duro del servidor de aplicaciones o un virus informático que no permita el acceso a los diferentes programas que se usan a diario en el desarrollo de nuestras actividades, generando de esta manera pérdidas económicas muy grandes, ya que por la falta de los servicios informáticos no se pueden realizar las actividades misionales, generando insatisfacción por parte de los clientes debido a la calidad deficiente del servicio. A la vez se perdería información vital para la compañía como información contable, información de clientes, proveedores, cartera, entre otros.
Actualmente la compañía cuenta con un servidor de base de datos que funciona también como servidor de aplicaciones y un servidor proxy para controlar y restringir los accesos, en este último se configuro un firewall en software para añadir protección adicional. El servidor de aplicaciones tiene instalado el sistema operativo window 2008 server y un motor de base de datos sql server 2008. El servidor proxy cuenta con sistema operativo Linux (CentOS 6) en el que se configuró el firewall. Se propone realizar las siguientes inversiones para fortalecer la infraestructura tecnológica y la seguridad informática de la compañía. INVERSION Sistematización (redes, software, hardware y otros) Asistencia técnica (consultorías y asesorías) Fortalecer capacidades del talento humano Total
$ 15.000.000 $ 5.000.000 $ 2.000.000 $22.000.000
BENEFICIOS AL IMPLEMENTAR LA PROPUESTA Con la implementación de esta propuesta se mantendrá la integridad y disponibilidad de las operaciones de servicio ante sus clientes, reduciendo pérdidas económicas por la parálisis de los servicios informáticos. Por consiguiente, al tomar acciones preventivas que eviten la indisponibilidad de los sistemas también estará beneficiando a los clientes por generar satisfacción en la calidad de los servicios prestados.