Temario
INTRODUCCIÓN
Definiciones y Principios de la Seguridad Informática
CAPA 8 (EL FACTOR HUMANO)
Conceptos.
Ingeniería Social.
Contexto y Fundamentos.
Métodos: Shoulder surfing; Trashing; Escuchas cotidianas.
Técnicas avanzadas: Programación neurolingüística; Ingeniería social inversa.
Robo de identidad.
Contacto online; Contacto directo; Contacto telefónico.
Estrategias de protección.
Capacitación Empresarial y Personal Concientización,
Culturas y Procedimientos
VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS
Tipos.
Evaluación y Respuestas ante INCIDENTES. Concepto de Pentest.
Concepto de Informática Forense.
SEGURIDAD FÍSICA
Amenazas a la seguridad física.
Protección del datacenter, Ubicación interna,
Categorías Tier.
Alimentación eléctrica, equipos e infraestructura edilicia.
Detección y supresión de incendios.
Seguridad perimetral.
Puertas y ventanas, Abrir cerrojos: lockpicking,
Cerraduras electrónicas.
Sistemas de alarma. Detección de movimiento y más.
Monitoreo y vigilancia,Personal de seguridad.
AUTENTICACIÓN Y SISTEMAS BIOMÉTRICOS
Conceptos de biometría - Estándares existentes.
Las huellas dactilares Reconocimiento facial El iris y la retina.
La voz humana.
La firma.
Sistemas Multimodales. Implantes
CRIPTOGRAFÍA – FUNDAMENTOS Y APLICACIONES
Introducción e historia.
Criptografía clásica, Criptografía moderna, Sistemas
Criptográficos Simétricos (clave privada).
El viejo estándar: DES; 3DES; RC2; IDEA.
El nuevo estándar: AES.
Sistemas Criptográficos Asimétricos (clave pública)RSA; Diffie-Hellman; ElGamal; Schnorr.
Curvas elípticas.
Funciones Hash (DIGEST) MD5 y SHA. Infraestructura de clave pública Firma digital / Certificados digitales.
Gestión y distribución de Claves. Algoritmos de Intercambio de claves.
Esteganografia y Watermarks.
Cifrado de unidades con diferentes algoritmos.
Casos prácticos de cifrado de unidades, encriptación y esteganografía.
Sistemas criptográficos en Protocolos de Red SSL (Secure Socket Layer) y TLS; S-HTTP; SET(Secure Electronic Transaction), SSH (Secure Shell).
Casos prácticos.
FUNDAMENOS, HERRAMIENTAS Y DISEÑO DE REDES SEGURAS
Modelo de SEGURIDAD AAA.
Identificadores Intrínsecos y Extrínsecos. Passwords, PINs y Dispositivos.
Verificación y Servidores de Autenticación. Redes Perimetrales/DMZ, Proxys y Firewalls (clasificación). Limitaciones de los Firewalls
ACLs (Listas de Contol de Acceso) Análisis de LOGS. Sistemas de detección de intrusos (IDS/IPS) IDS dehost y de red.
Honeypots y Honeynets (FISICAS y VIRTUALES).
Implementación de honeypots virtuales para la detección de vulnerabilidades.
Herramientas y Aplicaciones de Monitoreo. Casos prácticos.
SEGURIDAD EN SISTEMAS WINDOWS
GNU y Kernel. Estructura estándar de directorios. Seguridad desde el cargador de arranque. Características de los sistemas de archivos.
El super- usuario root en Linux.
Usuarios, grupos y claves. Archivos y permisos. Gestión de procesos. Chequeos de integridad.
Ocultar huellas.
Seguridad a nivel de red. Seguridad en los servicios de red.
Listas de Control de Acceso. El comando setfacl.
Casos prácticos.
Firewalling en Linux. Implementación práctica de iptables en diversas situaciones.
Seguridad avanzada. Encriptación del disco alrealizar la instalación del sistema.
Encriptación de particiones individuales del sistema. Seguridad del kernel.
Malware en Linux.
Rootkits en Linux. Utilización del programa rkhunter
Hardening del sistema. Casos prácticos.
SEGURIDAD EN SISTEMAS GNU/LINUX
GNU y Kernel. Estructura estándar de directorios. Seguridad desde el cargador de arranque. Características de los sistemas de archivos.
El super- usuario root en Linux.
Usuarios, grupos y claves Archivos y permisos.
Gestión de procesos. Chequeos de integridad.
Ocultar huellas. Seguridad a nivel de red. Seguridad en los servicios de red.
Listas de Control de Acceso. El comando setfacl. Casos prácticos.
Firewalling en Linux. Implementación práctica de iptables en diversas situaciones.
Seguridad avanzada. Encriptación del disco al realizarla
instalación del sistema.
Encriptación de particiones individuales del sistema. Seguridad del kernel.
Malware en Linux.
Rootkits en Linux. Utilización del programa rkhunter
Hardening del sistema. Casos prácticos.
SEGURIDAD EN VIRTUAL PRIVATE NETWORKS (VPNs)
Fundamentos y tipos de VPNs.
Protocolos y Mecanismos de VPNs Seguras. Casos prácticos.
SEGURIDAD EN TECNOLOGÍAS INALÁMBRICAS
Conceptos de redes inalámbricas.
Radio frecuencia. Clasificaciones Estándar IEEE 802.11 Dispositivos.
Características básicas de seguridad.
SSID Asociación Autenticación.
Protocolos de seguridad.
WEP WPA.
WPA2 (RSN) Métodos de ataque Ataques activos y pasivos.
Denial of service y Man in the middle.
Fake Access Points Wardriving y derivados Ataques especiales Tecnología Bluetooth Dispositivos
Debilidades en los protocolos. Ataques conocidos. Casos prácticos.
AMENAZAS EN SERVICIOS DE INTERNET: WWW Y E-MAIL
El mundo web: El servidor y el cliente.
El protocolo HTTP Encoding Autenticación web
Lenguajes y tecnologías relacionadas Debilidades en HTML; XML (eXtensible MarkupLanguage).
Debilidades en PERL; PHP; Python.
Debilidades en CGI; ASP Debilidades en ActiveX; Java
Las aplicaciones web. Defectos de diseño. El modelado de amenazas. Estándares utilizados.
RIA: Rich Internet Applications. Canonicalización.
Web Application Firewalls.
El estándar OWASP Vulnerabilidades y tipos de ataque. Recopilación de información.
Abuso de funcionalidades.
Ataques de inyección.
Denegación de servicio y fuerza bruta.
Otros ataques.
Recomendaciones de Seguridad en la web. Recomendaciones de Seguridad para el uso del e-mail. Características y problemas del uso de la web y el correo electrónico.
Medidas de Seguridad para el uso de la web y el correo electrónico PGP (Pretty Good Privacy).
Spam, Phishing. Herramientas de combate y defensa contra los mismos.
Estafas on-line. La gran mentira de "gane 8000 dólares por mes contestando encuestas" Otro tipo de estafas on- line. Casos prácticos.
INSEGURIDAD EN EL SOFTWARE
Programación segura, Código abierto y código cerrado. Herramientas de Bug Hunting Motivaciones y negocio del software Revelación versus ocultación.
Pasos a seguir.
La investigación de bugs, Reportar los bugs.
Buffer overflow y Format String Stack overflow y Heap overflow Format string e Integer overflow. Análisis de código fuente manual y automatizado. Fuzzing.
Ingeniería Inversa.
Conceptos, ejecutables y crackmes.
Casos prácticos.
AMENAZAS EN LAS BASES DE DATOS
Sistemas y modelos de bases de datos.
El lenguaje SQL y los Sistemas de gestión comunes. Características de seguridad Propiedades de una transacción Autorización y controles Integridad en bases de datos Problemas conceptuales Aggregation, Inferencia, Polyinstantiation y Concurrencia.
Tipos de ataques Internos y externos Covert channels Denegación de servicios Data diddling.
SQL Injection.
Medidas de protección para una base de datos segura. Casos prácticos.
INFORMÁTICA FORENSE
Etapas y Procesos.
Regulación jurídica general a nivel mundial. Breve reseña. Certificaciones.
PENETRATION TESTING
Introducción, Definiciones y conceptos generales Controles en Seguridad Vulnerability Assessment Ethical Hacking.
Fases de un PenTest Fase de reconocimiento Fase de escaneo.
Fase de enumeración. Fase de acceso. Fase de mantenimiento del acceso.
Casos prácticos.
ASPECTOS LEGALES DE LA SEGURIDAD INFORMÁTICA EN EL URUGUAY
Delitos Informáticos.
Protección de datos personales Control de Contenidos
Propiedad Intelectual y Piratería.
Análisis de las normas jurídicas aplicables en nuestro país.
Ejemplos de aplicación de la normativa en casos de la vida real.
