JUAN
CARLOS ESPINOSA FERNÁNDEZ
11590056
SISTEMAS
OPERATIVOS
INGENIERÍA
EN SISTEMAS COMPUTACIONALES
martes, 29 de mayo de 2012
ACTIVIDAD 1
NOTICIA SOBRE SEGURIDAD INFORMÁTICA
RESÚMEN: Esta noticia nos explica sobre una terminal
petrolera en Irán, la más grande del país. Nos dice que el ministerio de
petróleo de Irán. La Compañía Nacional de Petróleo Iraní y algunas compañías
filiales sufrieron el ataque de un “gusano cibernético”. Por fortuna fue
detectado antes de que se expandiera y pudiera afectar sus sistemas
informáticos. Su estrategia fue desconectarse de Internet para contrarrestar la
ofensiva. La terminal de la isla Jarg también fue atacada, pero continua
operando. Las consecuencias de este gusano fueron que cortó el acceso a
Internet de estas Instituciones y empresas.
Las autoridades ya han iniciado una investigación sobre lo
que pasó y aún se desconoce si esta amenaza venía del mismo país Irán o de
otro.
Gracias a estos ataques, en las ultimas 24 horas se ha
creado una unidad especial de crisis para hacer frente a los ataques, por lo
que en Irán se ha cortado el acceso a muchas paginas de Internet, algunas de
ellas son las que tienen un protocolo de entrada https.
Lo más importante a destacar es que la terminal petrolera de
Jarg es muy importante ya que ahí pasan cerca del 80% de los 2.2 millones de
barriles de petróleo que Irán exporta a diario. Las instalaciones fueron
atacadas por programas y ciberpiratas.
Esta ronda de cibrataques comenzó el domingo de acuerdo con
el reporte de Mehr.
REFLEXIÓN: Esta noticia me enseña que no se puede estar
totalmente seguro ya que podemos ser victimas de cualquier ataque informático,
no importa si tenemos una pequeña o mediana empresa, o si tenemos buena
seguridad o protección, lo importante es saber como llevar a cabo la situación
y como controlarla. En este caso, la empresa se desconectó de Internet.
ACTIVIDAD 2
POLÍTICAS Y MECANISMOS DE SEGURIDAD
Empresa: Integradores de Tecnología (Grupo Alta Vista)
Nombre del entrevistado: Edgardo Jesús Antonio Del Angel
Puesto: Supervisor de operación
|
POLPITICA
|
MECANISMO
|
DESCRIPCIÓN
|
|
AUTENTICIDAD
|
|
Los sistemas verifican la identidad de los usuarios gestionados en la
organización, así como los usuarios identifican y familiarizan con los
sistemas.
|
|
CONFIDENCIALIDAD
|
|
La información interna será disponible solamente para miembros de la
organización, especialmente para el área de administración.
|
|
DISPONIBILIDAD
|
|
Se garantiza que los recursos informáticos siempre estarán
disponibles, más aún las de mayor índole o de información crítica e
importante.
|
|
|
AUTORIZACIÓN
|
Concesión de derechos de acceso a usuarios, programas y procesos
dentro de la organización.
|
|
|
FILTROS
|
Mantener proxis, firewalls y software de antivirus en constante
actualización así como la revisión periódica cada determinado tiempo para
evitar ataques cibernéticos que dañen los sistemas de la organización.
|
|
|
ENCRIPTACIÓN O CIFRADO
|
Asegurar todos los datos e información de la organización mediante
bases de datos reguardados con los más altos estándares de seguridad en
informática.
|
ACTIVIDAD 3
DOMINIOS Y OBJETOS
|
DOMINIO/OBJETO
|
A1
|
A2
|
A3
|
COM1
|
LPT1
|
|
D1
|
Leer
|
|
Leer
|
|
|
|
D2
|
|
|
|
Leer
|
Imprimir
|
|
D3
|
|
Leer
|
Ejecutar
|
|
|
|
D4
|
Leer/Escribir
|
|
Leer/Escribir
|
|
|
a)
1.- ¿Cuántos dominios hay y cuáles son?
R= Son 4, D1, D2, D3, D4.
2.- ¿Cuántos objetos, cuáles son?
R=Son 5, A1, A2, A3, A3, COM1, LPT1.
3.- Describa que pasa cuando un proceso se
ejecuta en cada uno de los dominios especificados.
R= En el dominio 1 (D1) sólo se puede leer
el objeto A1 y el objetos A3.
En el dominio 2 (D2) se puede leer el
objeto COM1 y el objeto LPT1 se puede imprimir.
En el dominio 3 (D3) se puede leer el
objeto A2 y ejecutar el objeto A3.
En el dominio 4 (D4) se pueden leer y
escribir los objetos A1 y A3.
b)
1.- Suponga que se tienen 5 dominios: 1-5 y 7
objetos (F1…F7).
2.- Elaborar la matriz de acceso
considerando: la intersección de dominios impares y objetos pares tendrá
permiso de lectura y escritura.
3.- La intersección de dominios pares y
objetos impares será de ejecución.
4.- La intersección de dominios y objetos
iguales será de lectura.
5.- Suponga que el proceso x se ejecuta en
el dominio 5, ¿qué puede realizar?
6.- Suponga que el proceso y se ejecuta en
el dominio 2, ¿qué puede realiar?
|
Dominio/objeto
|
F1
|
F2
|
F3
|
F4
|
F5
|
F6
|
F7
|
|
D1
|
Lectura
|
Lectura/Escritura
|
|
Lectura/Escritura
|
|
Lectura/Escritura
|
|
|
D2
|
Ejecución
|
Lectura
|
Ejecución
|
|
Ejecución
|
|
Ejecución
|
|
D3
|
|
Lectura/Escritura
|
Lectura
|
Lectura/Escritura
|
|
Lectura/Escritura
|
|
|
D4
|
Ejecución
|
|
Ejecución
|
Lectura
|
Ejecución
|
|
Ejecución
|
|
D5
|
|
Lectura/Escritura
|
|
Lectura/Escritura
|
Lectura
|
Lectura/Escritura
|
|
5.- R=El dominio 5 sólo puede realizar en el
objeto F2 operaciones de lectura y escritura, en el objeto F4 operaciones de
lectura y escritura así como en el objeto F6 y en el objeto F5 sólo de lectura.
6.-R=Puede ejecutar el objeto F1, F3, F5 Y F7
y sólo leer el objeto F2.
ACTIVIDAD 4
Exposición
POLITICAS DE SEGURIDAD
•
Las
políticas son una serie de instrucciones documentadas que indican la forma en
que se llevan a cabo determinados procesos dentro de una organización, también
describen cómo se debe tratar un determinado problema o situación.
OBJETIVO:
Es la de
implantar una serie de leyes, normas, estándares y prácticas que garanticen la
seguridad, confidencialidad y disponibilidad de la información, y a su vez
puedan ser entendidas y ejecutadas
por todos aquellos miembros de la organización a las que van dirigidos.
•
La
confidencialidad es la
propiedad de la información, por la que se garantiza que está accesible
únicamente a personal autorizado a acceder a dicha información.
•
La
integridad la
información del sistema ha de estar disponible tal y como se almacenó por un
agente autorizado
•
Disponibilidad es asegurar que los datos sean
utilizables cuando estos sean necesitados para las tareas habituales de la
organización.
COMPONENTES DE UNA
POLITICA DE SEGURIDAD
•
Criterios
de privacidad: que
definan razonablemente el alcance de las actividades de monitoreo (revisión)
registro de actividades y acceso a recursos de la red.
•
Niveles
de responsabilidad: que
definan las misiones y las funciones de los usuarios o de la gerencia en las
revisiones de auditorias, donde se determine las acciones a seguir y las
notificaciones pertinentes en el caso de detección de intromisiones no
deseadas.
•
Pautas
de autenticación, que
definan los mecanismos a utilizar para la identificación y validación de los
usuarios.
•
Pautas
sobre el reporte de violaciones: que indiquen las acciones a tomar para cada una de las violaciones
detectadas a cuestiones de privacidad, confidencialidad, etc., ya sean de
fuentes internas o externas.
Importancia
La necesidad
surge porqué existe un fallo o deficiencia en la seguridad de información, la
cual pone en riesgo nuestra información y seguridad a la hora de proteger
nuestros datos, que implican significantes sumas de dinero y tiempo invertido.
El costo de
implementar medidas de seguridad total no es muy barato, pero el motivo de
tener un sistema de seguridad muy alto, nos permitiría hacer más negocios sin
el riesgo de que nos hackeen nuestra información.
Por eso algunas
empresas deben decidir: “perder” dinero o perder datos. En sí no es pérdida de dinero, sino debemos tomarla
como una inversión de nuestra empresa. En esta forma, las políticas de
seguridad deberían verse como
herramientas organizacionales para concientizar a cada miembro de la empresa.
PRÁCTICA 14
PASSWORD CRACKING
(Robo de contraseñas)
Objetivo: generar un hash SHA-1 para utilizar
herramientas que permitan crackearlo.
Material:
*Una computadora.
*Software proporcionado por el profesor.
1.-Abra el navegador Firefox. En el menú File-Open
File, abra el archivo fire_encrypter-3.0-fx-xpi
e instálelo.
2.-
Instalación del pass.exe
3.- Generación de una contraseña
encriptada en SHA-1
a) Seleccionamos la herramienta Fire Encrypter:
b) En el campo Text Hash introducimos
hackme:
4.- Cracking de
SHA-1
En el cmd ejecutamos el comando
pass.exe, con la siguiente sintaxis: pass(SHA-1)abcdefg……..xyz,
Después de un tiempo nos genero la
contraseña hackme.
Repetimos los pasos 3 y 4 pero ahora en
el campo text to hash escribimos nuestro nombre.
Volvimos a
ejecutar el comando pass.exe y después de esperar un tiempo nos dio la
contraseña que era nuestro nombre.
5.- Prueba 3 herramientas adicionales en
Fire Encrypter.
Herramienta Password: En ella escogimos Alpha Numeric y la
cantidad de caracteres y nos genero un password: gh467i5.
Herramienta AES: En ella escribíamos el password y nos
generaba un Ciphertext.
Herramienta Morse: Escribiamos un mensaje en el campo
plaintext y en resultado nos generaba un código.
6.-
Conteste las siguientes preguntas.
a) ¿Describa
brevemente la herramienta pass.exe?
Nos ayuda esta herramienta al descifrado de
contraseñas y a recuperar contraseñas que se nos hayan olvidado.
b) Que
utilidad les darías en tu práctica profesional
Es de mucha utilidad ya que nos ayudaría a la
seguridad de nuestros datos mediante la creación de contraseñas.
c) Explica la
sintaxis que utilizaste para recuperar la contraseña con esta herramienta.
Generamos el SHA-1 en el Fire Encrypter.
Ingresamos al símbolo del sistema ahí escribimos:
pass.exe 94745df…..abcdefghi……xyz y nos genero la
contraseña.
d) Porque es
necesario poner en la sintaxis una serie de caracteres de prueba.
Porque es mas fácil encontrar la contraseña, ya que
por medio de ellos se identifican los caracteres utilizados en el SHA-1.
e) Selecciona
otros caracteres, que pasa, se obtiene el mismo resultado, porque.
No se obtiene el mismo resultado, nos muestra que la
contraseña no fue encontrada. Porque los caracteres de prueba que utilizamos
fueron números y la contraseña que queríamos encontrar era con caracteres no
numéricos.
f) Que
utilidad le darías en tu vida profesional.
Para crear
contraseñas y tener nuestra información segura de cualquier amenaza externa.
Reflexión:
En la práctica aprendimos a crear contraseñas y a
descifrarlas por medio de la herramienta pass.exe.
Es importante ya que nos ayuda a tener
segura nuestra información y a recuperar contraseñas que olvidemos.
ACTIVIDAD 6
ENCRIPTACIÓN
CÓDIGO BACON:
Para codificar un mensaje, cada letra de
texto plano es remplazada por un grupo de 5 letras “A” y “B”. El remplazo se
hace de acuerdo con el alfabeto del código Bacon.
a AAAAA
g AABBA n
ABBAA t BAABA
b AAAAB
h AABBB o
ABBAB u-v BAABB
c
AAABA i-j ABAAA
p ABBBA w
BABAA
d
AAABB k ABAAB
q ABBBB x
BABAB
e AABAA l
ABABA r BAAAA
y BABBA
f AABAB
m ABABB s
BAAAB z BABBB
MENSAJE PLANO: “Las estadísticas son
hermosas.”
MENSAJE CODIFICADO:
ABABA AAAAA BAAAB AABAA BAAAB BAABA AAAAA
AAABB ABAAA BAAAB BAABA ABAAA AAABA AAAAA BAAAB
ABBAB ABBAA AABBB AABAA BAAAA ABABB ABBAB BAAAB AAAAA BAAAB.
CÓDIGO POLYBYUS SQUARE:
Las letras del alfabeto están dispuestas como
un bloque, en una matriz de 5x5. Cada letra se representa por sus coordenadas
de la cuadricula.
|
1
|
2
|
3
|
4
|
5
|
|
|
1
|
A
|
B
|
C
|
D
|
E
|
|
2
|
F
|
G
|
H
|
I/J
|
K
|
|
3
|
L
|
M
|
N
|
O
|
P
|
|
4
|
Q
|
R
|
S
|
T
|
U
|
|
5
|
V
|
W
|
X
|
Y
|
Z
|
MENSAJE PLANO: “Las estadísticas son
hermosas.”
MENSAJE CODIFICADO:
31 11 43 15 43 44 11 14 24 43 44 24 13 11
43 43 34 33 23 15 42 32 34 43 11 43
CIFRADO VIGÉNERE:
Es un cifrado basado en diferentes series de
caracteres o letras del cifrado Cesar formando estos caracteres una tabla que
se usa como tabla.
Mensaje plano: Juan Carlos Espinosa
Clave: Sistemas
Mensaje encriptado: BC5G GMSDGA WMTUOGKI
Suscribirse a:
Comentarios (Atom)