Sesion07 Presentacion
Seguridad
Factor
determinante del
desarrollo del e-business y en
especial del e-commerce.
Soluciones técnicas como
imperativo
Soluciones organizativas y
culturales complementarias
Legislación
Modelo de tipos de ataques
(Tanenbaum)
El intruso
pasivo
simplemente
escucha
INTRUSO
CANAL
El intruso
activo
puede
alterar
mensajes
Ataques en lasorganizaciones
(Watchguard)
85% de las empresas detectan ataques a
su seguridad desde el exterior
64% reporta pérdidas financieras
significativas
70% dice que su conexión a Internet fue
su punto de ataque
90% reporta vandalismo a su Web
13% reportó violación de información de
sus clientes
Ataques en las organizaciones
(Watchguard)
1 Minuto de Hacking es igual a 1
Hora de limpieza
Enel año 2000 se perdieron US$378
millones mientras que en el año
2002 se perdieron US$1,6 trillones
de dólares por los ataques
informáticos
El Cibercrímen en Internet crecerá
1000% en el año 2006
Tipos de Ciberterroristas
Script Kiddie
Lamer/Bogus
Wannabe/Newbie
Hacker
Samurai
Sneaker
Warez
Cracker
Phreaker
Proceso de Hacking
Paso 1: El Hacker busca en la Web un servidorvulnerable.
Paso 2: El servidor es bombardeado con información y se
reemplaza un login (cuenta de usuario) sobre la máquina
explotada. Con la cuenta hackeada se envía información IP al
Hacker cuando el servidor está en servicio.
Paso 3: Con esta información, el hacker, puede crear una
cuenta de usuario con privilegios especiales para futuros
usos.
Paso 4: El Hacker, instala un programa CGI, queretornará las
claves de las bases de datos de la empresa.
Paso 5: El Hacker, altera el sitio Web de la empresa
incluyendo un mensaje al administrador del sistema.
Paso 6: Va a los archivos de registro del servidor y borra toda
evidencia de la actividad.
Paso 7: Busca y espía por otro servidor vulnerable y se
autopropaga a otros sistemas
Dimensiones
Empresa
¿Puede
¿Puedecualquiercualquierempleado
empleado
copiar
copiarlalabase
basede
dedatos
datosde
de
clientes?
clientes?
Cliente
¿Cómo
¿Cómosé
séqué
quélas
laspáginas
páginasde
deInternet
Internetque
queestoy
estoy
visitando
corresponden
realmente
a
la
empresa?
visitando corresponden realmente a la empresa?
¿Cómo
¿Cómosé
séqué
quélas
laspáginas
páginasde
deInternet
Internetque
queestoy
estoy
visitando
son
una
empresa
real
y
no
una
páginavisitando son una empresa real y no una página
desde
desdelalaque
querealicen
realicenun
unfraude?
fraude?
Si
Siintroduzco
introduzcomis
misdatos
datosde
devisa,
visa,¿puede
¿puedealgún
algúnotra
otra
persona
personadesde
desdelalared
redacceder
accederaaellos
ellosmientras
mientras
“viajan”
“viajan”hasta
hastaeleldestino?
destino?
La
Laempresa
empresaque
quetiene
tienemis
misdatos,
datos,¿qué¿quépuede
puedehacer
hacer
con
conellos?
ellos?
Hackers
¿Puede
¿Puedeacceder
accederalguna
alguna
persona
externa
a
persona externa alala
empresa
empresayyentrar
entraren
enmi
mi
sistema
sistemade
deinformación
información
interno?
interno?
¿Cómo debe ser un medio de
pago?
Confidencial
Integro
Auténtico
Disponibilidad
No repudio
FACIL DE USAR
Seguridad interna
PROCEDENCIA ATAQUESNO
AUTORIZADOS
Empleados
autorizados
Empleados no autorizados
Antiguos empleados
Hackers y terroristas informáticos
principio
básico de seguridad dice
Empresas de la competencia
58%
24%
13%
13%
que
3%
Un
no hay sistema invulnerable, pero se puede
hacer uno tan seguro que el costo de violarlo
sea mayor que el valor de su contenido
Criptografía
Concepto de encriptación
Clientehacker
Mario Arias
Av. Universitat 1
4900 0001 2221 3331
Caduca 12/02
Empresa
SEX
Fuente: Dr. Mario Arias O. Universidad Rovira i Virgili. España.
Concepto de encriptación
bM1acb2rdi3oeA4rei5afs6Agv7.h
Uan1ibv2ecr3sdi4tea5tf 61g
7h489a010b 20c030d14 f242
a213331Ca1b2g3d4f5g6da
u1cba2 g13
d24/e052g6
Empresa
Desencripta
Encripta
Mario Arias
Av. Universitat 1
4900 0001 2221 3331
Caduca 12/02...
Regístrate para leer el documento completo.