TEMA 1

INTRODUCCIÓN

Definición de seguridad informática. No es fácil de definir. Se citarán 4 objetivos.

1) confidencialidad: Se trata  de que la información tenga un carácter privado y que no pueda ser vista por terceros.

* restringir el acceso a la información (mediante software, password) mediante seguridad física ( policía en la puerta).

* criptografía, Permite esconder la información y luego más tarde enseñarle. Cifrado de información.

Ejemplo: Francia tiene prohibida la criptografía.

2) integridad: mantener la información en buen estado. Esto implica que le informática no sea modificada por quien no debe y que además la información no esté "hecho un asco" (borrado de ficheros. Es necesario controlar los accesos al sistema informático (imagen de Aznar con cuernos en la Moncloa.)

3)disponibilidad: Cuando necesite acceder a un dato, pueda hacerlo. Esta puede verse atacada intencionadamente.

www.segurityfocus. com

Web actualizada en cuanto a amenazas al sistema. Todo va relacionado con la disponibilidad. Hacer colgar el sistema cuando se ejecute cierto comando...

La disponibilidad es un tema complicado cuando nos referimos a un sistema abierto. No es un problema de acceso indebido, sino  de no poder acceder a esos datos porque no estén disponibles.

A veces la disponibilidad es un problema de diseño. (poner dibujos en vez de números). ejemplo: En matrícula de tres años, se colgó el sistema. Solución limitar el número de usuarios simultáneos al sistema.

4) autenticidad: Establecer con seguridad el origen de la información. La autenticidad no es decir "probablemente me estén tomando el pelo". La autenticidad es decir "probablemente no me estén tomando el pelo".

* El sentido común es un factor muy importante.

*Firma digital, técnicas de autentificación.

TÉCNICAS DE AUTENTIFICACIÓN

-password (autentificación )

-retinas ( está en evolución )

-huellas dactilares.

-firma digital, nos permite guardar la información autentificada.

Ojo, fotocopiar una firma, no sirve porque  es fotocopia, se nota.En cambio hacer  una copia de una firma digital, es exactamente igual que la firma del documento original.

-No Repudio. Un paso más en la autenticidad. La persona que lo haya hecho no puede negar que el ha sido el autor del acto. No es fácil, ya que no hay testigos temporales de las cosas.

Antes de diseñar un sistema informático, habrá que realizar un estudio de la seguridad de ese sistema. Es necesaria una política de seguridad, por escrito  con normas.

ejemplo: política de seguridad de la Uji -- esconder, LUBASA graba todas las conversaciones de teléfono de los empleados, no es ilegal si se advierte antes.

•  Periódicamente AUDITORIA, revisar la política de  seguridad.
• Primer  paso análisis de riesgos y análisis de valor de los activos.

Valor del Sistema Cr (coste real del equipo).

Coste de las medidas de seguridad. Cs (coste de seguridad).

Coste de saltarse las medidas de seguridad Ca (coste de atacar).

                    Ca > Cr >Cs

                    Cr > Ca >Cs

                    Cr > Cs >Ca

-Vulnerabilidad  ( punto débil)

Cualquier punto o aspecto del sistema que puede dañar la seguridad del mismo, tanto si es un fallo como un ataque al sistema.

-Amenaza. La persona, el programa (VIRUS),   suceso natural.

-Contramedida. Técnicas de protección contra amenazas.

* Las vulnerabilidades las podemos clasificar en:

• Físicas: soporte material entorno del sistema. Ejemplo polvo, humedad,...
• Hardware y software
• Comunicaciones, los equipos están conectados entre sistemas. Si aumenta el perímetro del sistema aumenta la amenaza (conexión internet)
• Humana, la mayor  vulnerabilidad y la más controlable, una persona que administra el sistema, confianza, usuarios pueden causar daños, involuntarios  o intencionados

*Las amenazas  las podemos clasificar en: (basadas en el efecto)

• Intercepción, acceder a lugares del sistema los cuales no esta autorizado.
• Modificación, acceder y modificar datos del sistema.
• Interrupción, del funcionamiento del sistema. ejemplo:  Unix, generar procesos... y saturar el sistema.
• Generación,  introducir datos, códigos en programas, datos en bases de datos.
• Naturales o físicas, caer café sobre el teclado.
• Involuntarias.
• Voluntarias o intencionadas, hacer daño a conciencia.

*Las contramedidas se organizan mediante un sistema de capas encadenadas y  las podemos clasificar en:

• Físicas, impedir acceso directo al sistema.
• Lógicas, controlar acceso a los recursos, criptografía, cortafuegos,...
• Administrativas, planes de formación a los usuarios, administradores.
• Legales, disuasorias o de actuación a posteriori.

1. Principio del menor privilegio.

Cualquier objeto o sujeto debe tener solo los privilegios de uso que sean estrictamente necesarios. Los mínimos. ejemplo: llaves maestras y submaestras.

2. Otro Principio.

La seguridad no se obtiene a través de la oscuridad. Cuando quiero proteger algo lo escondo.

3. Principio del eslabón más débil.

Puedes tener muchas medidas de seguridad, pero si hay una que no es muy buena, por ahí se va a romper todo.

4. Defensa en profundidad.

Cuantas más barreras pongamos mejor. Una detrás de la otra, si una falla tendré la siguiente.

5. Existencia de seguridad en caso de fallo.

El sistema quedará protegido aunque falle.

6. Principio de la participación universal.

La seguridad de un sistema debe ser responsabilidad de todas las personas que estén allí implicadas. ejemplo: si encuentro un fallo en anubis, lo uso para fastidiar o se lo digo al administrador.