Documente Academic
Documente Profesional
Documente Cultură
Agenda
Introduccin.
Conceptos bsicos.
Tipos de Riesgos.
Tcnicas de Seguridad.
Introduccin
Las tecnologas de informacin se han convertido en elementos
fundamentales de la operacin cotidiana de las organizaciones.
El rpido crecimiento de la tecnologa ha propiciado que cada
vez existan ms personas y dispositivos conectados a Internet.
En Mxico solo el 19% de las empresas tienen polticas de
Seguridad Informtica
Se cree que invertir en ciberseguridad no es importante, pues
no existe un retorno de inversin
Es urgente legislar sobre delitos informticos, pues se tiene un
atraso de casi 3 dcadas con respecto a otros pases.
Hace falta inculcar una cultura de prevencin.
Confidencialidad.
Integridad.
Autenticacin
Disponibilidad.
No repudio.
Seguridad Fsica.
Seguridad Lgica.
Seguridad Humana.
Tipos de Riesgos
Los tipos de riesgos se pueden clasificar en:
Vulnerabilidad.
Amenaza.
Ataque.
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por
una amenaza [1].
Posibilidad de que una amenaza se materialice sobre un activo.
Es una va de ataque potencial.
Defectos en HW o SW, Buffer overflow, consultas no
parametrizadas, Carencia de polticas y procedimientos, Falta
de formacin en seguridad por parte de los usuarios, controles
de acceso no definidos
Zero Day
Vulnerabilidad no conocida hasta el momento
Zero-day attack: explota una vulnerabilidad no conocida hasta
el momento
El ataque ocurre en el "da cero" del aviso de la vulnerabilidad
Los desarrolladores han tenido cero das para parchear la
vulnerabilidad
Amenaza (Threat)
Es una amenaza es un peligro posible que podra explotar una
vulnerabilidad.
Posible causa de un incidente no deseado, que puede resultar
en daos a un sistema u organizacin. [1]
Reverse Trojan (Server-to-Client), Time Bomb, Bots,Key
Loggers, Sniffers, Backdoors, Rootkits, Virus, Worm, Spyware,
Trojan Horses, Ramsomware, Adware, Spam, Phishing,
Hoaxes, Jokes, Botnet, Pharming.
Ataque (1/2)
Cualquier accin que comprometa la seguridad de la
informacin de una organizacin [2].
Una agresin a la seguridad del sistema, derivado de una
amenaza inteligente; es decir, un acto inteligente y deliberado
que evade los servicios de seguridad.
Ataque (2/2)
Brute Force: Fuerza Bruta.
Cache Poisoning: Envenenamiento de Cach.
DNS Poisoning: Envenenamiento de DNS.
Cross-Site Request Forgery (CSRF) o Falsificacin de peticin en sitios
cruzados.
Cross-Site Scripting (XSS) o Secuencias de comandos en sitios cruzados.
Denial of Service (DoS).
LDAP injection.
Man-in-the-middle.
Session hijacking attack.
SQL Injection: Inyeccin SQL.
Tcnicas de Seguridad
Son "todos aquellos mtodos, sistemas o formas de actuacin
definidas, que permiten detectar y corregir los diferentes
factores que intervienen en los riesgos
Criptografa
La criptografa se ocupa de las tcnicas de cifrado o codificacin
destinadas a alterar las representaciones de ciertos mensajes
con el propsito de hacerlos inintelegibles a receptores no
autorizados.
Provee un medio de seguridad para la entrega de informacin
entre un emisor y un receptor.
La informacin puede viajar sobre un canal no seguro.
Es necesario que el receptor cuente con una llave con la cual
pueda descifrar el mensaje.
Las llaves pueden ser publicas o privadas.
Tipos de Criptografa
Los mtodos criptogrficos pueden agruparse de acuerdo a las
caractersticas que comparten entre si, algunos ejemplos son:
Simtrica.
Asimtrica.
Identidad.
Certificados.
Esteganografa
A lo largo de la historia, la humanidad a tenido la necesidad de
enviar informacin, la cual puede llegar a atravesar territorio
hostil que podra impedir que llegara a su destino, por lo cual se
utilizaron mtodos muy ingeniosos para hacerla pasar
desapercibida, de entre estos mtodos se destaca la
esteganografa.
Tcnicas Digitales
Enmascaramiento y Filtrado
Algoritmos y Transformaciones
Insercin en el Bit Menos Significativo (LSB)
Marca de Agua
Una Marca de agua digital es una marca o etiqueta que se inserta a los archivos
digitales, que puede ser detectada o extrada posteriormente para poder aseverar algo
acerca de los datos [6].
Al insertar una marca de agua se deben cuidar la calidad del archivo husped y la
robustez, pero mientras uno aumenta el otro tiende a disminuir [7].
El marcado de agua digital (Watermarking, WM) tienen como funcin el dejar un sello
que sea indeleble e inseparable del medio a proteger, salvo para aquellos que posean
las llaves para ello.
Actores Involucrados
Dueo de la informacin: Es aquel que posee los derechos
sobre el contenido de la informacin.
Usuario del contenido: Es el que usa y se beneficia con el
contenido de los archivos digitales.
Atacante: Aquel que hace uso del contenido sin atenerse a las
condiciones impuestas por los autores.
Distribuidor: Acta como intermediario entre los dueos y los
usuarios y puede ser parteo no del proceso.
Clasificacin
Robustas
Semi-fragiles
Visibles
Propsito
Perceptibilidad
Invisibles
Frgiles
Marca
de Agua
A Ciegas
Dominio
Extraccin
Espacial
Llave
No Ciegas
Transformadas
Secreta
Semi - Privadas
Publica
Por su proposito
Propsito
Robustas
Frgiles
Semi-fragiles
Por su perceptibilidad
Perceptibilidad
Invisibles
Visibles
Por su dominio
Dominio
Espacial
Transformadas
Por su extraccin
Extraccin
A Ciegas
No Ciegas
Semi - Privadas
Por su llave
Llave
Secreta
Publica
Lnea de Investigacin
Marcas de agua digital en imgenes anaglifo.
Las imgenes anaglifo son imgenes de dos dimensiones capaces de
provocar un efecto tridimensional.
Se componen de dos capas de color, movidas una respecto a la otra
para producir el efecto de profundidad.
Visin Estereoscpica
Anaglifo
Estndar JPEG
Es un estndar ISO (91) cuyo origen proviene del grupo JPEG (Joint Photographic
Expert Group).
Codifica imgenes de tono-continuo
Se definen una serie de parmetros que permiten codificar las imgenes para
obtener una gran variedad de calidades de compresin.
Es un sistema de codificacin simtrico.
Imagen
original (RGB)
Espacio de Color
YCbCr
Codificacin fuente
Sub-Muestreo
de los
cromas
(4:4:4, 4:2:2, 4:1:1, 4:2:0)
Bloques
8x8
DCT
Cuantizar
Tabla
Codificacin entrpica
Recorrido
Zig Zag
Huffman
Imagen
codificada
Tabla
31
Codificacin JPEG
Se Convierte la imagen a formato YCbCr utilizando una reduccin de color (subsampling)
Se divide la imagen en bloques de 8x8 elementos.
Se Transforma un dominio espacial al dominio de la frecuencia.
Las componentes frecuenciales ms altas son susceptibles de ser eliminadas
(percepcin visual)
Se aplica esta transformada a cada bloque de 8x8 obteniendo la matriz de
coeficientes DCT asociada.
Coeficiente
DCT
espacial
Transformada
DCT
Fx
Fy
32
DCT
33
Cuantificacin (quantization)
Se eliminan los coeficientes menos representativos de la DCT (transformacin
con prdidas).
Cada coeficiente de la matriz 8x8 es dividido por un valor almacenado en una
tabla (quantization table).
El estndar sugiere dos tablas una para la componente Y y otra para las
componentes Cb y Cr.
Estas tablas se pueden escalar con otro parmetro Q que nos permitir ajustar
el ndice de compresin requerido.
150
88
21
4
1
0
0
0
70
56
34
6
0
1
0
0
38
22
12
3
5
0
0
0
16
9
4
7
0
0
0
0
4
2
0
0
2
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
0
0
0
Coeficientes DCT
0
0
0
0
0
0
0
0
Tabla de
cuantificacin
1
1
2
4
8
16
32
64
1
1
2
4
8
16
32
64
2
2
2
4
8
16
32
64
4
4
4
4
8
16
32
64
8
8
8
8
8
16
32
64
16
16
16
16
16
16
32
64
32
32
32
32
32
32
32
64
64
64
64
64
64
64
64
64
150
88
10
1
0
0
0
0
70
56
17
1
0
0
0
0
19
11
6
1
0
0
0
0
4
8
1
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Coeficientes DCT
cuantificados
34
Codificacin Huffman
Se hace un barrido zig-zag con el fin de agrupar todos los componentes nulos.
150
88
10
1
0
0
0
0
70
56
17
1
0
0
0
0
19
11
6
1
0
0
0
0
4
8
1
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
150-70-19-4-0-0-0-0-88-56-11-8-0-0-0-0-10-17-6-1-0-0-0-0-1-1-1-2
150-70-88-10-56-19-4-11-17-1-0-1-6-8-0-0-0-1-1-0-0-0-0-0-0-0-0-0
35
Decodificacin
Quantizacion
Inversa
Zig-zag
Ordenamiento
Decodificador
Huffman
DCT
Inversa
110001110011100010..
36
QIM
Cuando se habla de Quantization Index Modulation (QIM), se refiere a insertar
informacin modulando una secuencia de ndices con la marca de agua y despus
cuantificando la seal husped con el cuantificador o secuencia de cuantificadores
asociados al ndice de la marca de agua [4].
x
Codificador
S= (x , m)
Canal
yS
Decodificador
n=y-s
37
Diagrama a Bloques
INSERCIN
Anaglifo
Huesped
RGB a YCbCr
RGB
a
YCbCr
Convierte a
Binario
Bloque 8x8
1,2.3,,n
DCT
24 Coeficientes de
Luminancia
Marca de Agua
QIM-DM
Insercin
IDCT
YCbCr
a
RGB
Compresin
JPEG
EXTRACCIN
Anaglifo
Marcado
RGB
a
YCbCr
Bloque 8x8
1,2.3,,n
DCT
24 Coeficientes de
Luminancia
Se arma la
Marca de Agua
QIM-DM
Extraccin
YCbCr
a
RGB
Recupera valor
Resultados (1/3)
Resultados (2/3)
Resultados (3/3)
Referencias
1.
ISO/IEC 27000:2009, Information technology -- Security techniques -- Information security management systems -- Overview and
vocabulary
2.
3.
Shirey, R. (2000). Internet Security Glossary. IETF RFC 2828. Disponible en: http://www.ietf.org/rfc/rfc2828.txt
F. Johnson and S. Jajodia, "Exploring steganography: Seeing the unseen", IEEE Computer Mag., vol. 31, no.2, pp. 2634, 1998.
6. Christine I. Podilchuk, Edward J. Delp, Digital Watermarking: Algorithms and Applications July 2001
7.
M.L. Miller, I.J. Cox, M. G. Linnartz, T. Kalker, "Areview of watermarking principles and practives". 1999
Datos de Contacto
Ing. David Octavio Muoz Ramrez
Instituto Politcnico Nacional
Seccin de Estudios de Posgrado e Investigacin
Maestra en Ingeniera en Seguridad y Tecnologas
de la Informacin
ESIME Unidad Culhuacan
dmunozr1302@alumno.ipn.mx