bin/yes > /dev/null - Colegio Oficial de Ingenieros ... · de puestos de trabajo anuales fruto de esta actividad criminal. • Pérdidas para las empresas por efecto de redes vulneradas,
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
(Todos los derechos reservados /All rights reserved)
Este documento contiene información reservada, confidencial o privilegiada, y está protegido por el secreto profesional, estando dirigido exclusivamente a los destinatariosdel mismo: COIIM – COLEGIO OFICIAL INGENIEROS INDUSTRIALES DE MADRID. Si por error ha recibido usted este documento y no es el destinatario, por favor,notifíqueselo al remitente en la dirección indicada al pie de página y no haga uso alguno de éste. En cualquier caso no se autoriza la distribución, copia o difusión de suscontenidos por ningún medio fuera del alcance. Su uso no autorizado puede estar sujeto a responsabilidades legales, gracias por su colaboración ([email protected]).
Definición 1: (fuente Instituto Español de Ciberseguridad)
“Ciberseguridad consiste en la aplicación de un proceso de análisisy gestión de los riesgos relacionados con el uso, procesamiento,almacenamiento y transmisión de información o datos y lossistemas y procesos usados basándose en los estándaresinternacionalmente aceptados”.
Definición 2: (fuenteComisiónEuropea)
“Cyber-securitycommonlyrefers to the safeguards and actions thatcan be used to protect the cyber domain, both in the civilian andmilitary fields, from those threats that are associated with or thatmay harm its interdependent networks and informationinfrastructure. Cyber-security strives to preserve the availability andintegrity of the networks and infrastructure and the confidentiality ofthe information contained therein”
del uso intensivo quese hace de las redesde comunicación, el
cada vez mayor nivelde intrusismo y otroshechos relacionadoscon la (in)seguridad
en general, laseguridad de la
información se estáconvirtiendo en una
necesidad. “
4
“ Crecimientoexponencial deciberataques a
pequeñas y medianasempresas,
consilidando 2014 como el año de la
Megabrecha. “
Situación actual en Seguridad de la Información
• El año 2014 ha sido denominado en el ámbito de la ciber-seguridad, como el año de la Megabrecha, con datos hasta ahoradesconocidos y no esperados en cuanto a pérdidas económicas ynº de ataques de actividad ciber-criminal contra medianas ygrandes empresas.
• En nuestro país, se estima que las pérdidas por este tipo deactividad ciber-criminal en 2013 ascendieron a 7.000 millones de €en el ámbito corporativo.
•Los países que se mostraron más alarmados por estosfenómenos, debido a la elevada actividad ciber-criminal que tuvolugar en 2013 en estos, son India (94%), Brasil (90%) y España(90%)..
del uso intensivo quese hace de las redesde comunicación, el
cada vez mayor nivelde intrusismo y otroshechos relacionadoscon la (in)seguridad
en general, laseguridad de la
información se estáconvirtiendo en una
necesidad. “
Situación actual en Seguridad de la Información
• Nueve de cada diez negocios se han visto afectados en los dosúltimos años por distintas amenazas contra sus activos deinformación.
• Incremento de las ciber-amenazas en número, sofisticación yobjetivos, un nuevo escenario de complejidad creciente
• Se generalizan todo tipo de amenazas, tanto de carácter técnico-virus y otro tipo de malware, software espía, ataques a redes, etc.-como organizativo -daños causados por el personal interno yexterno, consciente o insconscientemente..-
• Comunidad Hacker /Cracker reconvertida a 'mercenarios de lainformación' con un único objetivo: el espionaje industrial.
• El número de ataques telemáticos a sistemas conectados aInternet ha crecido un 2.400% en los últimos seis años, siendo lomás alarmante, que más de la mitad tuvo éxito, causandoimportantes pérdidas económicas, de imagen y reputación
• 100 mil millones de perdidas en USA, con lacorrespondiente pérdida de nada menos que medio millónde puestos de trabajo anuales fruto de esta actividadcriminal.
• Pérdidas para las empresas por efecto de redes vulneradas,pérdidas de datos, acciones judiciales, espionaje industrial,intromisión de datos o virus maliciosos y entorpecimientodeliberado del funcionamiento de la red.
• Catástrofes naturales -World Trade Center, Ed. Windsorf, etc-.Más de la mitad de las organizaciones que operaban en el WorldTrade Center cesaron su actividad por no estar en posesión de unPlan de Continuidad del negocio -Plan de Contigencia-.
• Las empresas que no recuperan plenamente su activad TI en unplazo máximo de 10 días tras una incidencia de seguridad grave,se ven obligadas a cesar su actividad (Gartner group.)
En una sociedad cada vez mas digitalizada (e-Sociedad),debemos proteger uno de nuestros activos de mayorvalor, sino el que mas, nuestra información, debiendogarantizar la:
• - Confidencialidad
• - Integridad
• - Disponibilidad
Seguridad = Confianza, ausencia de miedo o dudaSecurity = Confidence, no doubt or fear
“ La seguridad de
la información
pasa por
garantizar su
Confidencialidad,
Integridad,
Disponibilidad y
Autenticidad. “
Debemos estar preparados para defendernos contralos riesgos actuales de la información electrónica, y nosólo responder ante una intrusión, es una cuestión queva mas allá de los virus.
El riesgo es un asuntocrítico que debe evaluarsecon minuciosidad y rigorpara cada uno de losactivos de información devalor de la organización.
Analizadas las distintasamenazas existentes sobreel activo, y el nivel devulnerabilidad de éste, seestablecen una serie decontramedidas para reducirel nivel de riesgo a mínimostolerables por laorganización -Riesgoresidual-
2.1 Gestión del riesgo : “Percepción del riesgo”
• Los activos de información de valor tienen riesgos asociados a las
vulnerabilidades que sufren y número de amenazas. El riesgo no se
elimina, se gestiona.
RIESGO = VALOR DEL ACTIVO * VULNERABILIDADES * AMENAZAS
FRAUDES La lista de contraseñas de correos electrónicos pirateadas crece tras filtrarse cuentas deHotmail. Ahora se descubren listados de otros servicios como Gmail . La lista globalasciende a 35 millones de contraseñas.EFE - San Francisco - 06/10/2009
Aviones espía norteamericanos, pirateados con unprograma que cuesta 26 dólaresSkyGrabber es un 'software' ruso que graba señales captadas de satélites …..un programa ruso que cuesta 26 dólares, y se puede adquirir por Internet, les ha bastado a susenemigos en Afganistán o Irak para piratear la señal de satélite que envían y recoger una copia de losdatos que suministran. El ejercito se enteró cuando encontró imágenes en portátiles del enemigo.
FRAUDES La lista de contraseñas de correos electrónicos pirateadas desvela que muchas de las 20contraseñas más usadas, de las 10.000 primeras cuentas de correo hackeadas, sonnombres y expresiones en español -como 'tequiero', 'Alejandra' o 'Alberto‘-. Lacontraseña más larga tiene 30 caracteres -lafaroleratropezoooooooooooooo-.
Además, sólo el 6% de estos usuarios tenía contraseñas alfanúmericas,
FE - San Francisco - 06/10/2009
ELPAIS.com > Tecnología
REPORTAJE: LA GUERRA DE LOS CIBERESPÍAS - FE: EL País - 2010
España, blanco de más de cuarenta ciberataquesEspaña sufrió más de 40 ataques informáticos "graves" en 2009. Instituciones clave fueronel objetivo de 'troyanos' diseñados al efecto. El Centro Nacional de Inteligencia (CNI) esuno de los organismos 'tocados'
Unos 50.000 códigos de acceso se venden desde 3 a 20 euros .
En varios sitios chinos se ofrecen cuentas pirateadas de la tienda de Apple iTunes. Elinternauta, pagando entre tres y 20 euros, puede obtener el acceso a los códigos de unacuenta ajena. Desde ella, el comprador puede adquirir canciones de iTunes con cargo ala cuenta bancaria del titular a quien se ha robado el código.EL PAÍS - Barcelona - 06/01/2011
Ataque en Facebook logra introducir troyano apetición del usuario. Madrid - 08/01/2011
La propia naturaleza del Cloud, hace que sea difícil podergarantizar la trazabilidad adecuada de todos los flujos deinformación corporativa, haciendo esta mas vulnerable por elmayor número de exposiciones que sufre (canales eintercambiadores de información, etc.).
Del mismo modo, no podemos asegurar en muchos casos elciclo de vida de los datos de nuestros servicios, y la cadena deconfianza es más extendida.
¿ Que ocurre cuando dejan de ser consumidos, en aspectosde destrucción de información ?
¿ Que ocurre con posibles registros intermedios utilizados porlos distintos proveedores involucrados en nuestra arquitectura(copias residuales, temporales, etc.) ?
La compartición de hardware y software, concepto inherente al Cloud,“virtualización”, modifica la arquitectura de seguridad tradicional yabre nuevas vias de ataque. Es un blanco muy atractivo, la explotaciónde una vulnerabilidad en el software utilizado para la ”virtualización”puede permitir acceso a datos de múltiples compañías tras un únicoataque (ej. al hyper-visor).
Plantea nuevos escenarios de riesgo, posibles conflictos de interés siusuarios en competición comparten recursos, potenciales ataques porun usuario que elige una ubicación próxima al objetivo y realizaataques al canal, aprovechando una ”mala aleatoriedad” del servidor enla nube, etc.
O negocios legítimos que pueden compartir sanciones a un co-usuario.
.Spamhaus bloqueó un gran rango de direcciones de IP de EC2 por subversión por spammers.
.Redada del FBI en CPD con cliente alojado sospechoso de cyber-delincuencia (Texas 2009), causa disrupciones para muchos negocios legítimos.
.Clientes legítimos de Megaupload, perdieron acceso a su información de un día para otro tras su cierre forzado por el FBI debido a supuestas infracciones dederechos de autor (19 Enero 2012).
Cloud computing eleva el nivel de riesgo del concepto: interiorde la organización, a nuevos niveles, superiores y críticos enmuchos casos.
El concepto de interno cambia significativamente, tanto porel elevado numero de agentes (proveedores y personal, mal-intencionado o no) que puede contar con acceso a nuestrainformación, como por lo difuso de las barreras entre interno yexterno
¿ Obligamos, podemos obligar con eficacia, a nuestrosproveedores Cloud respecto a que sus empleados operen, almenos, bajo las mismas políticas de seguridad que losnuestros ?
“ La intercepción no
autorizada de la
información es un
ataque ala
confidencialidad de
la información, cuya
solución pasa por la
criptografía “
Intercepción (Ataque a la confidencialidad)Interception (Confidenciality attack)
Problema :: El intruso obtiene acceso no autorizado a la
Criptología: criptografía y criptoanálisis, históricamente, junto a la esteganografía, principales ciencias para proteger secretos. En laactualidad, simétrica (AES, …) y asimétrica (clave pública y claveprivada, con RSA estándar de facto (PKI -Public Key Infraestructures-).
¿Es seguro RSA? Seguimiento continuo.
¿En qué se basa su fortaleza?
Problema de “factorización”
¿Factores de 15?3 x 5
¿Factores de 391?17 x 23
....
www.inixa.com - [email protected] de la Información, Criptografía y Certificación Digital
Ataques ‘antiguos’ a SHA-1 (before Cloud) SHA-1 attacks
• En Febrero del 2005 “The research team of XiaoyunWang, Yiqun Lisa Yin, y Hongbo Yu (ShandongUniversity: China) encontró un ataque real contraSHA-1 (collision type).
• Se lograron encontrar colisiones al hash en la versionactual de SHA-1 en un tiempo computacional de 269 operations (un ataque de fuerza bruta requeriría 280.).
• En Agosto del mismo año, se logró reducir lacomplejidad necesaria para encontrar una colisión enSHA-1 a 263 operaciones.
• En términos de seguridad práctica, el mayor problemade estos ataques ha sido que se sembró la semilla detécnicas a utilizar para la construcción de ataquesmas complejos y eficientes que los utilizados hastaentonces (paradoja del cumpleaños VS fuerza bruta).
“It has to be remembered that SHA-1, although it is being phased out, still forms part of several widely-deployed security applications, including Secure Sockets Layer, Transport Layer Security and S/MIME protocols to mention but a few “
Actualmente, Cloud Computing: Gracias, es perfecto (cyber-criminals) !