You are on page 1of 1

Principios básicos de un sistema o red: A. Integridad.

Propiedad de un sistema o una red de transmitir información y que dichos datos sean los mismos en el emisor y el receptor. Es decir, todo lo que se envía se recibe exactamente igual. Alice y Bob, sí Alice le manda un "hola" a Bob y Bob recibe un "ola" hay un problema de seguridad. B. Confidencialidad. Privacidad, la información solamente es vista por la persona que la hace o tiene permiso para acceder a ella. Se guarda con contraseñas, controles biométricos, etc. Ósea, que el canal de información esté encriptado. Alice manda un "hola" en el canal viaja un dato completamente distinto y al llegar a Bob el dato llega desencriptado, "hola". C. Disponibilidad. Mis datos están disponibles 24/7 los 365 días del año. Tipos de Ataques: -Ataque activo: altera la información. -Ataque pasivo: es un sniffer, no altera los datos, sólo los observa. Seguridad informática: Son los procedimientos, dispositivos y herramientas que se encargan de asegurar la integridad, privacidad y disponibilidad de la información con el objetivo de reducir las posibles amenazas. Seguridad activa: Conjunto de medidas que se utilizan para detectar y tratar de corregir alguna anomalía en el sistema. El sistema que provee la seguridad activa debe estar en actualización constante. (antivirus, anti-spyware) Seguridad pasiva: Conjunto de medidas usadas para detectar una anomalía en el sistema. //intenta prevenir y detecta pero sólo informa del ataque no realiza ninguna acción, el ejemplo más claro es firewall. Ej. snort. Seguridad lógica: Mecanismos de software que se utilizan para proteger un sistema informático y la información que contiene. //Todo software que me sirva para prevenir. Captchas, contraseñas, certificados de seguridad. Seguridad Física: Mecanismos físicos (similares a los lógicos) para proteger un sistema informático y la información que contiene. Amenaza: Todo aquello ya sea físico o lógico que pueda provocar una pérdida de información, privacidad o un fallo en los equipos. Ataque: Intenta evitar las medidas de seguridad de una red o de un sistema. Los ataques pueden ser activos (alteran datos almacenados) o pasivos (que se limitan a leer datos confidenciales). Confiabilidad en la información. Principio básico de la seguridad, se puede ver desde dos puntos de vista: 1. Similar a la confidencialidad, ya que en todo momento se salvaguarda la información de personas ajenas. 2. Probabilidad de no fallas, cercana o aproximada al 100% que a su vez depende del comportamiento de los componentes individuales del sistema. Aviso de Privacidad: Busca que el usuario de un sistema, red o servicio conozcan que sus datos se van a utilizar para cierta actividad. Debe ser sencillo, fácil de comprender y debe incluir información clara sobre cómo serán tratados los datos personales por una persona, empresa u organización. Ingeniería Social: Ataque basado en engañar al usuario, orientadas a explotar debilidades del factor humano. su objetivo es obtener información sensible y/o confidencial. Se da mucho en correo electrónico, redes sociales, etc. Factor insiders: Estudios demuestran que la mayoría de las violaciones a la seguridad son cometidas por personas de una organización. Cualquier integrante puede convertirse en un empleado disgustado y robar o causar daños. Malware Todo software malicioso que tiene el objetivo de dañar y/o alterar el sistema. En los últimos años el término no se refiere a un programa. Ejemplos de los códigos maliciosos más comunes: Virus, Spyware, Troyano, Rootkit, SPAM, Backdoor: dejado por le programador, Gusano, xploits, Phishing, Keylogger. Etapas típicas de un ataque: 1. Planificación y selección de objetivo. 2. Obtención de información. Footprinting, Scan(Nessus) 3. Búsqueda de vulnerabilidades. Dumpster diving, Lock picking, Keylogger, Shoulder surfing, Piggybacking. 4. Explotación de vulnerabilidades. xploits. 5. Mantener control o limpieza de rastros. 6. Realizar el ataque. XSS, SQL Injection, DoS La criptografía es la ciencia encargada de diseñar funciones o dispositivos, capaces de transformar mensajes legibles a mensajes cifrados de tal forma que esta transformación (cifrar) y su inversa (descifrar) sólo pueden ser factibles con el conocimiento de una o más llaves. El criptoanálisis es la ciencia que estudia los métodos que se utilizan para, a partir de uno o varios mensajes cifrados, recuperar los mensajes en claro en ausencia de la (s) llave (s) y/o encontrar la (s) llave (S) con las que fueron cifrados dichos mensajes. Escítala. El sistema consistía en una cinta que se enrollaba en un bastón sobre el cual se escribía el mensaje en forma longitudinal. El cifrado del César aplica un desplazamiento constante de tres caracteres al texto en claro, de forma que el alfabeto de cifrado es el mismo que el alfabeto del texto en claro, pero desplazado 3 espacios hacia la derecha módulo n, con n el número de letras del mismo. Word shift cipher. En este cifrado se elige una llave o frase como clave. Posteriormente se agrega el valor numérico a cada letra de acuerdo el orden de aparición de dicha letra en el mensaje. Pigpen Cipher en el cual todas las letras se asignan a una posición de una cuadricula.

Criptografía clásica. Es un medio para ocultar un mensaje, donde las letras del mensaje son sustituidas o traspuestas por otras letras, pares de letras y algunas veces por muchas letras. M.La criptografía simétrica o de llave secreta es aquella que utiliza algún método matemático llamado sistema de cifrado para cifrar y descifrar un mensaje utilizando únicamente una llave secreta. M.La criptografía asimétrica En este método no existe simetría, ya que de un lado de la figura se cifra o descifra con una llave pública y en el otro lado con un una privada. Esteganografía se trata de ocultar mensajes dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal. Certificado Es un documento digital expedido por una autoridad de confianza que contiene los datos que identifican al dueño del certificado, su llave pública, fecha de expedición, fecha de caducidad, los datos de la autoridad de confianza y finalmente todo está firmado por la misma autoridad. SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. TLS es una evolución del protocolo SSL, es un protocolo mediante el cual se establece una conexión segura por medio de un canal cifrado entre el cliente y servidor. Firma Digital: Se relaciona de manera única con el firmante, se elabora con base a sus datos: iris, RFC, retina, huella digital, nombre. Permite garantizar la identidad de un documento. 2. ¿para que sirven los siguientes comandos? Explique a detalle a. Openssl speed blowfish Hace una evaluación comparativa del ordenador al hacer una encriptación en blowfish 3. ¿qué es lo que muestra el comando “prime”? Muestra si un número es primo o no 4. ¿para qué sirve el comando “passwd”? Genera un password fuerte mediante una semilla ya sea cambiante o fija. 5. Suponga que en /home/ se cuenta con un archivo uaa.txt a. ¿cómo realizaría el resumen del archivo a través de MD5? openssl dgst -md5 /home/uaa.txt b. ¿cómo realizaría el resumen del archivo a través de SHA? openssl dgst ‐sha /home/uaa.txt 6. Generar una llave basda en el algoritmo AES simétrico de longitud 128. Almacenarla en el archivo encriptador en la ruta /home/ OpenSSL> enc -aes128 -in entrada.txt -out salidaAes.txt 7. Mediante el algoritmo DES encriptar un archivo llamado decimo.txt (poner texto en dicho archivo), especificar la contraseña: uaa y obtener un archivo de salida llamado: decimoEncriptado.txt. Lo anterior en la ruta /home/ OpenSSL> enc -des -in decimo.txt -pass pass:uaa -out decimoEncriptado.txt a. De ser posible, ¿cuál sería la forma de desencriptar y obtener el contenido del archivo decimoEncriptado.txt? OpenSSL> enc -d -des -in decimoEncriptado.txt -pass pass:uaa -out salida.txt 8. Generar una llave con el algoritmo asimétrico RSA de 1024 bits. Generar la llave en el archivo isc.key en /home/ OpenSSL> genrsa -out isc.key 1024 9. Especificar el comando con el cual firmaría digitalmente un archivo llamado seguridad.txt a través de una llave almacenada en el archivo secreto.key. Obtener un archivo con la firma digital en formato binario. OpenSSL> dgst -c -sign secreto.key -out firmado.sig \ seguridad.txt a. ¿cómo realizaría la verificación del archivo firmado anteriormente? OpenSSL> dgst -c -verify publica.key -signature firmado.sig \ seguridad.txt 10. Realice una llave pública (public1.key) a través de una llave privada (private.key) y utilice como contraseña: 1q2w3e$ OpenSSL> genrsa -out private.key 1024 OpenSSL> rsa -in private.key -pubout -out public.key