bin/yes > /dev/null - colegio oficial de ingenieros ... · de puestos de trabajo anuales fruto...

Cybersecurity today = ! (security)

/bin/yes > /dev/null

© INIXA – Security & Communication

(Todos los derechos reservados /All rights reserved)

Este documento contiene información reservada, confidencial o privilegiada, y está protegido por el secreto profesional, estando dirigido exclusivamente a los destinatariosdel mismo: COIIM – COLEGIO OFICIAL INGENIEROS INDUSTRIALES DE MADRID. Si por error ha recibido usted este documento y no es el destinatario, por favor,notifíqueselo al remitente en la dirección indicada al pie de página y no haga uso alguno de éste. En cualquier caso no se autoriza la distribución, copia o difusión de suscontenidos por ningún medio fuera del alcance. Su uso no autorizado puede estar sujeto a responsabilidades legales, gracias por su colaboración ([email protected]).

www.inixa.com - [email protected]

… the Present !

© 2003 INIXA – Seguridad y Comunicación ( Todos los derechos reservados /All rights reserved)

3

Ciberseguridad

Definición 1: (fuente Instituto Español de Ciberseguridad)

“Ciberseguridad consiste en la aplicación de un proceso de análisisy gestión de los riesgos relacionados con el uso, procesamiento,almacenamiento y transmisión de información o datos y lossistemas y procesos usados basándose en los estándaresinternacionalmente aceptados”.

Definición 2: (fuenteComisiónEuropea)

“Cyber-securitycommonlyrefers to the safeguards and actions thatcan be used to protect the cyber domain, both in the civilian andmilitary fields, from those threats that are associated with or thatmay harm its interdependent networks and informationinfrastructure. Cyber-security strives to preserve the availability andintegrity of the networks and infrastructure and the confidentiality ofthe information contained therein”

www.inixa.com – [email protected] Tel. 902 875 876

“ En la actualidad ycomo consecuencia

del uso intensivo quese hace de las redesde comunicación, el

cada vez mayor nivelde intrusismo y otroshechos relacionadoscon la (in)seguridad

en general, laseguridad de la

información se estáconvirtiendo en una

necesidad. “

4

“ Crecimientoexponencial deciberataques a

pequeñas y medianasempresas,

consilidando 2014 como el año de la

Megabrecha. “

Situación actual en Seguridad de la Información

• El año 2014 ha sido denominado en el ámbito de la ciber-seguridad, como el año de la Megabrecha, con datos hasta ahoradesconocidos y no esperados en cuanto a pérdidas económicas ynº de ataques de actividad ciber-criminal contra medianas ygrandes empresas.


5

“ Crecimientoexponencial deciberataques a

pequeñas y medianasempresas,

consolidando 2014como el año de la

Megabrecha. “


• En nuestro país, se estima que las pérdidas por este tipo deactividad ciber-criminal en 2013 ascendieron a 7.000 millones de €en el ámbito corporativo.

•Los países que se mostraron más alarmados por estosfenómenos, debido a la elevada actividad ciber-criminal que tuvolugar en 2013 en estos, son India (94%), Brasil (90%) y España(90%)..


6

“ En la actualidad ycomo consecuencia

del uso intensivo quese hace de las redesde comunicación, el

cada vez mayor nivelde intrusismo y otroshechos relacionadoscon la (in)seguridad

en general, laseguridad de la

información se estáconvirtiendo en una

necesidad. “


• Nueve de cada diez negocios se han visto afectados en los dosúltimos años por distintas amenazas contra sus activos deinformación.

• Incremento de las ciber-amenazas en número, sofisticación yobjetivos, un nuevo escenario de complejidad creciente

• Se generalizan todo tipo de amenazas, tanto de carácter técnico-virus y otro tipo de malware, software espía, ataques a redes, etc.-como organizativo -daños causados por el personal interno yexterno, consciente o insconscientemente..-

• Comunidad Hacker /Cracker reconvertida a 'mercenarios de lainformación' con un único objetivo: el espionaje industrial.

• El número de ataques telemáticos a sistemas conectados aInternet ha crecido un 2.400% en los últimos seis años, siendo lomás alarmante, que más de la mitad tuvo éxito, causandoimportantes pérdidas económicas, de imagen y reputación


www.inixa.com - [email protected] de la Información, Criptografía y Certificación Digital


“Las numerosas

comunidades Hacker

/Cracker, cuyos

miembros se están

reconvirtiendo en

auténticos 'mercenarios

de la información' con el

objetivo del espionaje

industrial y obtención

de beneficios

económicos “www.inixa.com – [email protected] Tel. 902 875 876

• 100 mil millones de perdidas en USA, con lacorrespondiente pérdida de nada menos que medio millónde puestos de trabajo anuales fruto de esta actividadcriminal.

• Pérdidas para las empresas por efecto de redes vulneradas,pérdidas de datos, acciones judiciales, espionaje industrial,intromisión de datos o virus maliciosos y entorpecimientodeliberado del funcionamiento de la red.

• Catástrofes naturales -World Trade Center, Ed. Windsorf, etc-.Más de la mitad de las organizaciones que operaban en el WorldTrade Center cesaron su actividad por no estar en posesión de unPlan de Continuidad del negocio -Plan de Contigencia-.

• Las empresas que no recuperan plenamente su activad TI en unplazo máximo de 10 días tras una incidencia de seguridad grave,se ven obligadas a cesar su actividad (Gartner group.)

En una sociedad cada vez mas digitalizada (e-Sociedad),debemos proteger uno de nuestros activos de mayorvalor, sino el que mas, nuestra información, debiendogarantizar la:

• - Confidencialidad

• - Integridad

• - Disponibilidad

Seguridad = Confianza, ausencia de miedo o dudaSecurity = Confidence, no doubt or fear

“ La seguridad de

la información

pasa por

garantizar su

Confidencialidad,

Integridad,

Disponibilidad y

Autenticidad. “

Debemos estar preparados para defendernos contralos riesgos actuales de la información electrónica, y nosólo responder ante una intrusión, es una cuestión queva mas allá de los virus.

- Personas y accesos

- Normativa y aspectos legales

- Auditabilidad y monitorización

Seguridad de la Información, Criptografía y Certificación Digital ©

www.inixa.com – [email protected] ‘Tel. 902 875 876

El riesgo es un asuntocrítico que debe evaluarsecon minuciosidad y rigorpara cada uno de losactivos de información devalor de la organización.

Analizadas las distintasamenazas existentes sobreel activo, y el nivel devulnerabilidad de éste, seestablecen una serie decontramedidas para reducirel nivel de riesgo a mínimostolerables por laorganización -Riesgoresidual-

2.1 Gestión del riesgo : “Percepción del riesgo”

• Los activos de información de valor tienen riesgos asociados a las

vulnerabilidades que sufren y número de amenazas. El riesgo no se

elimina, se gestiona.

RIESGO = VALOR DEL ACTIVO * VULNERABILIDADES * AMENAZAS

“ El riesgo no

se elimina, se

gestiona “ Seguridad de la Información, Criptografía y Certificación Digital ©



Algunos ataques recientes

“Las numerosas

comunidades Hacker

/Cracker, cuyos

miembros se están

reconvirtiendo en

auténticos 'mercenarios

de la información' con el

objetivo del espionaje

industrial y obtención

de beneficios

económicos “www.inixa.com – [email protected] Tel. 902 875 876

ELPAIS.com > Tecnología

FRAUDES La lista de contraseñas de correos electrónicos pirateadas crece tras filtrarse cuentas deHotmail. Ahora se descubren listados de otros servicios como Gmail . La lista globalasciende a 35 millones de contraseñas.EFE - San Francisco - 06/10/2009

Aviones espía norteamericanos, pirateados con unprograma que cuesta 26 dólaresSkyGrabber es un 'software' ruso que graba señales captadas de satélites …..un programa ruso que cuesta 26 dólares, y se puede adquirir por Internet, les ha bastado a susenemigos en Afganistán o Irak para piratear la señal de satélite que envían y recoger una copia de losdatos que suministran. El ejercito se enteró cuando encontró imágenes en portátiles del enemigo.

http://www.elpais.com/

http://www.elpais.com/tecnologia/



“Igual que cuidamos

nuestra identidad física,

debemos cuidar nuestra

identidad digital, a

pesar de no tener la

misma percepción del

riesgo: debemos tenerla

!

“



FRAUDES La lista de contraseñas de correos electrónicos pirateadas desvela que muchas de las 20contraseñas más usadas, de las 10.000 primeras cuentas de correo hackeadas, sonnombres y expresiones en español -como 'tequiero', 'Alejandra' o 'Alberto‘-. Lacontraseña más larga tiene 30 caracteres -lafaroleratropezoooooooooooooo-.

Además, sólo el 6% de estos usuarios tenía contraseñas alfanúmericas,

FE - San Francisco - 06/10/2009


REPORTAJE: LA GUERRA DE LOS CIBERESPÍAS - FE: EL País - 2010

España, blanco de más de cuarenta ciberataquesEspaña sufrió más de 40 ataques informáticos "graves" en 2009. Instituciones clave fueronel objetivo de 'troyanos' diseñados al efecto. El Centro Nacional de Inteligencia (CNI) esuno de los organismos 'tocados'














!

“



Pirateo masivo de cuentas de iTunes desde China

Unos 50.000 códigos de acceso se venden desde 3 a 20 euros .

En varios sitios chinos se ofrecen cuentas pirateadas de la tienda de Apple iTunes. Elinternauta, pagando entre tres y 20 euros, puede obtener el acceso a los códigos de unacuenta ajena. Desde ella, el comprador puede adquirir canciones de iTunes con cargo ala cuenta bancaria del titular a quien se ha robado el código.EL PAÍS - Barcelona - 06/01/2011

Ataque en Facebook logra introducir troyano apetición del usuario. Madrid - 08/01/2011













!

“


… the Attacks !



“ Las cuatro

principales amenazas

contra la información

consisten en provocar

una Intercepción,

Modificación,

Suplantación o

Interrupción durante

el tránsito de la

información por

medios electrónicos “

Intercepción (amenaza a la confidencialidad)

Modificación (amenaza a la integridad)

Fabricación o Suplantación (amenaza a laautenticidad)

Interrupción (amenaza a la disponibilidad)

Tipos de ataques a la informaciónInformation attack types




Fabricación o suplantación (Ataque a laautenticidad)False manufacture (Authenticity attack)

Problema :: El intruso falsifica la información.

“ La suplantación no

autorizada de una

fuente e información

es un ataque ala

autenticidad de la

información, cuya

solución pasa por la

criptografía “



Modificación (Ataque a la integridad)Modification (Integrity attack)

Problema :: El intruso modifica la información.

“ La modificación no

autorizada de la

información es un

ataque a la

integridad de la

información, cuya


criptografía “



Interrupción (Ataque a la disponibilidad)Interruption (Disponibility attack)

Problema :: El intruso destruye la información o la

inutiliza. (DOS, DDOS).

“ La interrupción de

un flujo de

información no

autorizada es un

ataque ala

disponibilidad de la

información, cuya


alta disponibilidad

(redundancia) “Seguridad de la Información, Criptografía y Certificación Digital ©



… the Cloud !



www.inixa.com – [email protected] Tel. 902 875 876 27

Cryptographers’ view of the Cloud

Trojans

viruses

evil-mindedcloud providers

faultysoftware

faultyhardware

A Cloud



Auditors’ view of the Cloud


… the Risk !


Categorizing Risk : 1º, Fugas de información.



La propia naturaleza del Cloud, hace que sea difícil podergarantizar la trazabilidad adecuada de todos los flujos deinformación corporativa, haciendo esta mas vulnerable por elmayor número de exposiciones que sufre (canales eintercambiadores de información, etc.).

Del mismo modo, no podemos asegurar en muchos casos elciclo de vida de los datos de nuestros servicios, y la cadena deconfianza es más extendida.

¿ Que ocurre cuando dejan de ser consumidos, en aspectosde destrucción de información ?

¿ Que ocurre con posibles registros intermedios utilizados porlos distintos proveedores involucrados en nuestra arquitectura(copias residuales, temporales, etc.) ?

Categorizing Risk : 2º, Tecnología compartida.



La compartición de hardware y software, concepto inherente al Cloud,“virtualización”, modifica la arquitectura de seguridad tradicional yabre nuevas vias de ataque. Es un blanco muy atractivo, la explotaciónde una vulnerabilidad en el software utilizado para la ”virtualización”puede permitir acceso a datos de múltiples compañías tras un únicoataque (ej. al hyper-visor).

Plantea nuevos escenarios de riesgo, posibles conflictos de interés siusuarios en competición comparten recursos, potenciales ataques porun usuario que elige una ubicación próxima al objetivo y realizaataques al canal, aprovechando una ”mala aleatoriedad” del servidor enla nube, etc.

O negocios legítimos que pueden compartir sanciones a un co-usuario.

.Spamhaus bloqueó un gran rango de direcciones de IP de EC2 por subversión por spammers.

.Redada del FBI en CPD con cliente alojado sospechoso de cyber-delincuencia (Texas 2009), causa disrupciones para muchos negocios legítimos.

.Clientes legítimos de Megaupload, perdieron acceso a su información de un día para otro tras su cierre forzado por el FBI debido a supuestas infracciones dederechos de autor (19 Enero 2012).

Categorizing Risk : 3º, Usuarios internos



Cloud computing eleva el nivel de riesgo del concepto: interiorde la organización, a nuevos niveles, superiores y críticos enmuchos casos.

El concepto de interno cambia significativamente, tanto porel elevado numero de agentes (proveedores y personal, mal-intencionado o no) que puede contar con acceso a nuestrainformación, como por lo difuso de las barreras entre interno yexterno

¿ Obligamos, podemos obligar con eficacia, a nuestrosproveedores Cloud respecto a que sus empleados operen, almenos, bajo las mismas políticas de seguridad que losnuestros ?

“ La intercepción no

autorizada de la

información es un

ataque ala

confidencialidad de

la información, cuya


criptografía “

Intercepción (Ataque a la confidencialidad)Interception (Confidenciality attack)

Problema :: El intruso obtiene acceso no autorizado a la

información.




… so cryptography !


Criptología



Criptología: criptografía y criptoanálisis, históricamente, junto a la esteganografía, principales ciencias para proteger secretos. En laactualidad, simétrica (AES, …) y asimétrica (clave pública y claveprivada, con RSA estándar de facto (PKI -Public Key Infraestructures-).

¿Es seguro RSA? Seguimiento continuo.

¿En qué se basa su fortaleza?

Problema de “factorización”

¿Factores de 15?3 x 5

¿Factores de 391?17 x 23

....


Ataques ‘antiguos’ a SHA-1 (before Cloud) SHA-1 attacks


“ A mayor capacidad

computacional, mayor

riesgo en ataques con

éxito a las técnicas de

criptografía actuales, la

solución….

++ Investigación

criptográfica. “

• En Febrero del 2005 “The research team of XiaoyunWang, Yiqun Lisa Yin, y Hongbo Yu (ShandongUniversity: China) encontró un ataque real contraSHA-1 (collision type).

• Se lograron encontrar colisiones al hash en la versionactual de SHA-1 en un tiempo computacional de 269 operations (un ataque de fuerza bruta requeriría 280.).

• En Agosto del mismo año, se logró reducir lacomplejidad necesaria para encontrar una colisión enSHA-1 a 263 operaciones.

• En términos de seguridad práctica, el mayor problemade estos ataques ha sido que se sembró la semilla detécnicas a utilizar para la construcción de ataquesmas complejos y eficientes que los utilizados hastaentonces (paradoja del cumpleaños VS fuerza bruta).



“It has to be remembered that SHA-1, although it is being phased out, still forms part of several widely-deployed security applications, including Secure Sockets Layer, Transport Layer Security and S/MIME protocols to mention but a few “

Actualmente, Cloud Computing: Gracias, es perfecto (cyber-criminals) !

Y mas… sinceramente, gracias (cyber-criminals) !




FHE Cryptography : Full Homomorphic Encryption !

(Very thanks : “Craig “)


FHE: Full Homomorphic Encryption [ Craig: Autor de la tesis que retoma de forma eficiente FHE ]



La criptografía homomórfica, bajo unesquema de cifrado completo (FHE),garantizaría el cifrado continuo de nuestrainformación en la nube, ….

“… sin necesidad de descifrar para realizaroperaciones sobre la información y acceder aesta ! ”

42

“El 70% deproblemas de

seguridad tienenorigen en el interiorde la organización,

debidos tanto aempleados desleales,

como a erroreshumanos,

intencionados o no

intencionados. “

¿ Anécdota o realidad ?

Seguridad de la Información, Criptografía y Certificación Digital

bin/yes > /dev/null - colegio oficial de ingenieros ... · de puestos de trabajo anuales fruto...

Documents