Seguridad de Sistemas Informáticos
Este curso de 60 horas reales tiene como objetivo introducir a los alumnos a los conceptos modernos de seguridad aplicados a los sistemas informáticos. Se centra fundamentalmente en las técnicas aplicadas al aumento de seguridad, y en menor medida a los aspectos legales y sociales que rodean a esta disciplina extremadamente joven y en constante evolución. Está orientado a estudiantes, investigadores y profesionales de la disciplina informática.
Introducir a los estudiantes a los conceptos modernos de seguridad aplicados a los sistemas informáticos. En primer lugar a las técnicas aplicadas al aumento de seguridad, y en menor medida a los aspectos legales y sociales que rodean a esta disciplina extremadamente joven y en constante evolución.
Clases teórico prácticas con frecuencia semanal.
Definición de seguridad. Principios de seguridad: integridad, confidencialidad, disponibilidad, irrefutabilidad. Seguridad por oscuridad y exposición. Seguridad Paranoica. Falsa Seguridad. Definición de conceptos empleados en seguridad: vulnerabiliad, riesgo, ataque, impacto. Seguridad precavida, reactiva y proactiva. Ingeniería Social. Técnicas para incrementar la seguridad: criptología, criptografía, criptoanálisis, esteganografía.
Definición de criptología, criptografía, criptoanálisis y esteganografía. Conceptos utilizados en criptología: criptosistema, criptograma, mensaje en claro, clave, codificación y decodificación, cifrado y descifrado.
Historia de la criptografía: utilización en la Edad Media, Segunda Guerra Mundial, Guerra Fría, Actualidad. Cifrados clásicos: sustitución y transposición. El cifrado de César, sustitución monoalfabética y polialfabética. Sustitución homofónica. Cifrado de Vigenère. La máquina Enigma.
Criptografía simétrica de una y dos vías. Base matemática de la criptografía simétrica. Algoritmos criptográficos de una vía: Secure Hash Algorythm (SHA), Message Digest Algorithm 5 (MD5). Algoritmos criptográficos de dos vías: Data Encryption Standard (DES), Triple DES (TDES), Advanced Encryption Standard (AES). Criptografía asimétrica. Fundamentos. Utilización para autenticar, cifrar, firmar y garantizar irrefutabilidad. Base matemática de la criptografía asimétrica. Algoritmos: RSA, Digital Signature Algorithm (DSA), Criptografía de Curva Elíptica (ECC), Algoritmos Cuánticos BB84 y E91.
Técnicas de criptoanálisis. Análisis de la frecuencia. Indice de coincidencia. Criptoanálisis lineal, diferencial, integral, de módulo n, estadístico, XSL. Ataques criptoanalíticos: deslizamiento, birthday, man-in-the-middle, meet-in-the-middle, fuerza bruta, clave relacionada.
PGP/GPG. Historia. Modelo de redes de confianza. Utilización práctica. Estándar X-509. Autoridades Certificantes. Infraestructura de Claves Públicas (PKI). OpenSSL. Generación de Certificados. Protección de Contraseñas. Estándar SASL. Implementaciones de SASL.
Análisis y descripción de las amenazas actuales. Definición de términos: Malware, Spyware, Virus, Gusano, Troyano, SPAM. Vulnerabilidades: saturación de memoria, ejecución de código arbitrario, escalamiento de privilegios, cross-site scripting, inyección de código SQL, liberación de información (disclosure). Herramientas de defensa y ataque: capturadores de paquetes, escaneadores de puertos, rootkits, escaneadores de vulnerabilidades. Ataques contra sistemas y redes o usuarios de los mismos: SCAM, BlueJack, Phishing, ataques de negación de servicio (DoS), DoS distribuidos (DDoS), espionaje de redes inalámbricas. Ataques dirigidos. Fraudes. Vandalismo Informático. Terrorismo Informático. Términos con que se definen actores de la Seguridad Informática: Hacker y sus acepciones, Cracker, Script Kiddie.
Introducción a las políticas de Seguridad. Función de las políticas de seguridad en una organización. Creación de políticas de seguridad. Norma ISO / IEC 27002 (ex 17799). Ley Orgánica de Protección de Datos de Caracter Personal (España). Organismos Oficiales de Seguridad CERT / ARCERT.