Seguridad en sistemas operativos

Manuel Urueña

Introducción

Universidad Internacional de La Rioja

2
Cibercrimen vs. Ciberterrorismo vs. Ciberguerra

3
“El único ordenador realmente seguro es el que está
apagado, desenchufado, encerrado en una cámara de
titanio, enterrado en un bunker rodeado de gas nervioso y
protegido por guardias bien pagados. Aún así no apostaría
mi vida en ello” - Spaf

https://en.wikipedia.org/wiki/Gene_Spafford

“Dos amigos están dando un paseo por el bosque cuando un

oso empieza a perseguirlos. Uno de ellos echa a correr y su
amigo le dice: “¿Estás loco? ¡No podemos correr más que
un oso!” El primero responde: “No necesito correr más que
el oso. Me basta con correr más que tú”.

http://blog.jeremiahgrossman.com/

4
5
6
 ¿Por qué son vulnerables nuestros sistemas?

Ataques sobre la identidad (interceptación y suplantación).

Ataques sobre la información (revelación, reenvío, manipulación y repudio de datos).
Ataques sobre los servicios (denegación del servicio y apropiación).

7
¿Cómo de expuesto estoy?

9
Cuidado con tu vecino…

https://blog.appcanary.com/2016/mirai-botnet-security-broken.html

http://www.pcworld.com/article/3135273/security/fridays-ddos-attack-came-from-100000-infected-devices.html

10
Privacidad e interceptación…

Duncan Campbell – Informe COMIT Interception Capabilities 2000 –

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//EN

• Privacidad e interceptación “legal” de telecomunicaciones:

Echelon, Carnivore (DCS1000), OSEMINTI, SITEL, “Frechelon”,
INDECT (DPI), PRISM…

Hay cosas que sabemos que sabemos.

También hay cosas desconocidas conocidas,
es decir que sabemos que hay algunas cosas
que no sabemos. Pero también hay cosas
desconocidas que desconocemos, las que no
sabemos que no sabemos.

Donald Rumsfeld, 2002.

Secretario Estadounidense de Defensa

11
The NSA ANT catalog is a 50-page classified document listing technology available to the
United States National Security Agency (NSA) Tailored Access Operations (TAO) by the
Advanced Network Technology (ANT) Division to aid in cyber surveillance. Most devices are
described as already operational and available to US nationals and members of the Five
Eyes alliance. According to Der Spiegel, which released the catalog to the public on
December 30, 2013, "The list reads like a mail-order catalog, one from which other NSA
employees can order technologies from the ANT division for tapping their targets' data.

12
CIA malware targets iPhone, Android, Smart TVs
CIA malware targets Windows, OSx, Linux, routers
CIA 'hoarded' vulnerabilities ("zero days")
Evading forensics and anti-virus

13
14
15
16
Variedad de sistemas operativos…

17
El software no es suficiente… lo siento!!!

18
Seguridad en sistemas operativos

¿Qué tenemos
que hacer para
proteger nuestros
sistemas?
Very basic 101

19
1. Defensa en profundidad
Information Security Governance &
Risk Management
Access Control
Security Architecture & Design
Physical & Environmental Security
Telecommunications & Network
Security
Cryptography
Business Continuity & Disaster
Recovery Planning
Legal, Regulations, Investigations &
Compliance
Software Development Security
Security Operations
Principales Dominios de Seguridad (CISSP)
Principios fundamentales de seguridad, frameworks, gobierno y organización
Identificación, Autenticación y Autorización. Modelos, métodos, amenazas.
Arquitectura de Seguridad, Modelos y Evaluación.
Protección de activos, Sistemas de Soporte y Seguridad Perimetral
Seguridad en capas OSI, Fundamentos de Red, Elementos de Red y
Conectividad
Métodos de cifrado, Cifrado Simétrico, Cifrado Asimétrico, Integridad y Tipos
de Ataque
Medidas preventivas, Estrategias de Recuperación, Seguros, Recuperación y
Pruebas
Privacidad, Propiedad Intelectual, Liability, Investigaciones y Ética
Ciclo de Vida, Modelos de desarrollo, Seguridad Web, Malware
Gestión de la configuración, Fuga de Información, Disponibilidad, Verificación
Técnica
20
2. Defensa en profundidad + Gestión de riesgos

Riesgo Inherente

Amenaza
Control

Riesgo Efectivo

21
3. Tener el sistema actualizado = SO +
aplicaciones (navegador, ofimática, codecs, …)

Para el resto de aplicaciones puedes comprobarlo con PSI de Secunia

4. Tener el sistema bien configurado

(con guías de bastionado)
https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic.html

22
5. Política de mínimos privilegios + control de
acceso (clave, permisos, logs, procesos…)

23
¿Qué es el Control de Acceso?

► El control de acceso es el proceso de restringir el acceso

a recursos de los sistemas de información:
• Limitar el acceso únicamente a aquellos usuarios, programas,
procesos y sistemas autorizados
• Preservar la confidencialidad e integridad de la información

► Para conseguirlo se dispone de controles diversos:

• Organizativos (Normativa de control de acceso)
• Físicos (lockpicking, biometría,…)
• Lógicos (Basados en HW y SW)

24
Seguridad física

► La seguridad física comprende los elementos del entorno físico

e infraestructura que afectan a la Confidencialidad, Integridad y
Disponibilidad (CIA) de los sistemas de información.

► Riesgos típicos asociados a la Seguridad Física:

• Revelación no autorizada de información – CONFIDENCIALIDAD
• Pérdida de control sobre los sistemas – INTEGRIDAD
• Robo físico – CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD
• Interrupciones de servicio – DISPONIBILIDAD
• Daño físico – DISPONIBILIDAD

25
https://www.youtube.com/watch?v=hngTacTVT3Y

26
Modelos de seguridad

27
6. “Robustece” el software y acceso a la red
Plug-ins Navegadores, IM...: NoScript, uBlock Origin, HTTPS Everywhere, …

28
El sistema operativo no es suficiente

https://prism-break.org/es/
► Proteger los datos/comunicaciones
► Antivirus & Cortafuegos (SW o HW) → ¿son útiles?

29
Cloud Computing

Cloud Computing permite el acceso bajo demanda a través de la red a un conjunto de recursos IT
de manera configurable (por ejemplo: redes, servidores, almacenamiento, aplicaciones, servicios)
que puede ser aprovisionado rápidamente con un esfuerzo de gestión o una interacción con el
proveedor mínimas.
Características Modelos de Servicio Modelos de
Esenciales Servicios Implantación
Autoservicio bajo Negocio
demanda Servicios Cloud Privada
XaaS

Gestión y Seguridad
Everything as a Service Información
Amplio acceso a la red
SaaS Application Cloud en
Software as a Service Services Comunidad
Pool de recursos
Application
PaaS Cloud Pública
Infrastructure
Rápida elasticidad Platform as a Service
Services
System
IaaS Cloud Híbrida
Medición de Servicio Infrastructure
Infrastructure as a Service
Services

30
www.unir.net