UNIVERSIDAD POLITECNICA DE MORELOS

Divisin de posgrado
Curso: Auditoria Informtica
Presentacin:
Certificacin de Sistemas
Profesores:
Sergio Mauricio Martnez Monterrubio DCC, MANI, MBA y L.I
Smauricio_alumnos@yahoo.com.mx
Lucero Frausto Martnez, Auditor ISO 20000, Auditor ISO 27001, MTIA
lucero.frausto@cfe.gob.mx

UNIVERSIDAD TECNOLGICA DEL ESTADO DE MORELOS

Certificacin de Sistemas
TCSEC (Orange Book).
ITSEC (White Book).
Common Criteria

Sergio Mauricio Martnez Monterrubio y Lucero Frausto Martnez

2
UNIVERSIDAD TECNOLGICA DEL ESTADO DE MORELOS

Criterios de evaluacin
Proveen criterios tcnicos de seguridad
de hardware y software, as como de
metodologas tcnicas de evaluacin que
den soporte a la poltica de seguridad de
un sistema, su evaluacin y su
acreditacin.

Criterios de evaluacin
Gua objetiva para evaluacin de la
seguridad de sistemas.
Gua de implementacin de conceptos de
seguridad de sistemas.
Gua para eleccin de sistemas

Formas de evaluar
Evaluacin de un producto excluyendo el
ambiente de aplicacin.
Evaluacin de un sistema y su ambiente
para determinar si el sistema satisface los
requisitos
de
seguridad
de
la
organizacin (certificacin).

Trusted Computing Base

TCB (TCSEC)

Una TCB consiste de uno o ms

componentes, que en conjunto hacen
respetar una poltica de seguridad en un
producto
o
sistema.
Puede ser implantada en Sw o Hw.

Trusted Computing Base

TCB

Incluye procesos de confianza (trusted

processes), que pueden no respetar la
poltica de seguridad, pero que son
habilitados para llevar tareas especficas
como hacer el downgrade de la clasificacin
de algn documento.

Trusted Computing BaseTCB

Componentes
No confiables

Procesos de confianza

Permetro de
seguridad

Kernel
TCB
SO de Confianza
8

Ruta de
confianza

Usuario

Trusted Computer System

Evaluation Criteria TCSEC
Documento

publicado
por
el
Departamento de Defensa de los
Estados Unidos en 1985 (DOD 5200.28STD) conocido tambin como el
Orange Book.

Trusted Computer Security Evaluation

Criteria (Orange Book)
Se

enfoca principalmente en sistemas

operativos de propsito general
(sistemas multiusuarios).
Sirve como base al TNI ( Trusted
Network Interpretation).
1985
10

Divisiones de evaluacin
Divisin C; Proteccin discrecionaria.
Dos
aspectos fundamentales son: Need
to
know (Control discrecionario) y audit
de
seguridad.
Divisin B; Proteccin mandatoria.
Divisin A; Proteccin verificada. Garanta, a
travs de verificacin formal de que la
informacin sensitiva es protegida.

11

Divisin C
Clase C1 (Proteccin discrecionaria)
Nivel ms bajo de seguridad.
Razonablemente protegido en ambiente
benigno.
Previene la lectura, modificacin y
destruccin de archivos por otro
usuario.

12

Divisin C
Sistema protegido por password.

Informalmente

probado

documentado.
TCB que satisface requisitos de
seguridad discrecionaria.
13

Divisin C
Clase C2 (Proteccin de acceso
controlado)
Control de acceso discrecionario

ms fino.
Auditora de los usuarios.
Aislamiento de recursos sensitivos.
14

Divisin B
Clase B1 (Seguridad etiquetada)
Puente entre las divisiones C y B.
Todo objeto y sujeto importantes
tienen asociada una etiqueta de
seguridad.

15

Divisin B
Todo cambio de etiqueta es

en forma estricta.
Modelo informal de poltica
seguridad multinivel.

16

controlado
de

Divisin B
Control de acceso obligatorio de sujetos

a objetos.
Control del etiquetado de la informacin
exportada.

17

Divisin B
Clase B2 (Proteccin Estructurada)
Categorizacin de la informacin.
Etiquetado a todo objeto y sujeto
Modelo
formal
de
la
poltica
de seguridad.
Control discrecionario y obligatorio.
Control en canales ocultos.

18

Divisin B
Separar elementos crticos y no

crticos en la TCB.
La TCB es respaldada por pruebas
ms rigurosas.
Los mecanismos de autentificacin
son fortalecidos.
19

Divisin B
Clase B3 (Dominios de seguridad)
Debe existir un monitor de referencia que
controle todos los accesos de los sujetos a los
objetos.
El M.R. debe ser a prueba de ataques.
El M.R. debe ser suficientemente pequeo para
analizarlo y probarlo.

20

Divisin B
Se
requiere
un
administrador
de seguridad.
Audit ms sealizacin de eventos
relevantes en seguridad.
Procedimientos
de
restablecimiento
del sistema.

21

Divisin A
Clase A1 (Proteccin verificada)
Sistema diseado con la seguridad como
elemento prioritario.
Modelo formal de la poltica
de
seguridad.
Prueba matemtica de que el modelo es
consistente con sus axiomas.

22

Divisin A
Control de distribucin de Sw y

Hw, desde el punto de

manufactura hasta
el usuario.
Tcnicas formales para
implementar
la TCB de
forma correcta.
23

Inconvenientes en el TCSEC
Toma uno o dos aos el evaluar
el
sistema operativo.
No es aplicable a microcomputadoras ni
redes locales.
Es unidimensional. No est orientado a la
integridad.
Difcil de asimilar.

24

Certificacin
Evaluacin

con respecto a los requisitos

de seguridad especificados.
Pruebas
durante la certificacin
siguiendo
procedimientos
preestablecidos.
25

 Tres elementos a ser

evaluados:

* Funcionalidad.
* Fuerza de mecanismo.
* Garanta.
26

Funcionalidad
Objetivo de un servicio de
seguridad. Indicando los
mecanismos que lo implementan y el
desempeo que va
a alcanzar.

27

Fuerza de mecanismo

Qu tan bien alcanza sus

objetivos un mecanismo.

28

Garanta
La confianza en que la
funcionalidad ser alcanzada,
incluyendo
resistencia
a
ataques.
29

CRITERIO CONFIABLE DE EVALUACION DE UN SISTEMA COMPUTACIONAL

A1
B3
B2
B1
C2
C1
SECURITY POLICY

ASSURANCE
ACCOUNTABILITY
DOCUMENTATION
new
or
enhanced
requirements
for
this
class
no aditional requiriments for this class
no requirements for this class

30

Agosto de 2009

Seguridad Computacional I, Dr. Jess Vzquez

Productos con MLS

AT&T System V/MLS
B1 (NCSC).
DEC MLS+ V3.1A
B1 (ITSEC).
CMW
(Compartmented
Mode
Workstation).
MMS
(Multilevel Mail Server). Naval
Computer
and
Telecommunications
Station.
Defense Message System.

31

Common Criteria

32

Resultado del esfuerzo en el desarrollo de

criterios para la evaluacin de seguridad de la
tecnologa de la Informacin
Se basa en criterios europeos, estadounidenses
y canadienses (ITSEC, TCSEC y CTCPEC,
respectivamente).
Los beneficios del CC vienen de su madurez
acumulada, y de los intentos por una flexibilidad
completa para la estandarizacin de evaluacin y
funcionalidad segura.

Proveedor
Presenta el ST (Security Target for the
evaluation).
En el ST se definen las funciones de
seguridad del TOE, amenazas posibles y
mecanismos utilizados.
Nivel de certeza (assurance), que se basa en
buena implementacin (correctness)
y
que sean efectivas (effectiveness).

33

Common Criteria
Proporciona gran flexibilidad en la
especificacin de productos seguros.
Se
puede seleccionar el nivel de
evaluacin entre un conjunto de siete
niveles de seguridad, del EAL1 al EAL7.

34

EAL1

35

Prueba de las funciones de seguridad mediante

una especificacin funcional y documentacin de
gua para entender el comportamiento de
seguridad.
Anlisis soportado por pruebas independientes
de las funciones de seguridad del TOE.
Este nivel incrementa de manera significativa la
confianza respecto a un sistema no evaluado.

EAL2

36

Adems de lo previsto por el nivel anterior,

requiere un diseo de alto nivel del sistema.
Debe haber evidencia de las pruebas del
proveedor basadas en la especificacin funcional.
Se prueban los resultados del proveedor de
manera selectiva, la rigurosidad del anlisis de
las funciones y evidencia de que se buscaron
vulnerabilidades obvias.
Lista de configuracin del TOE.
Evidencia de procedimientos de entrega seguros.

EAL3
Debe haber evidencia de las pruebas del
proveedor basadas en el diseo de alto
nivel
Uso de controles en el ambiente de
desarrollo
Administracin de la configuracin del
TOE.

37

EAL4

38

Diseo de bajo nivel del TOE y un subconjunto

de la implementacin para entender el
comportamiento de seguridad
Modelo informal de la poltica de seguridad del
TOE
Demostracin de resistencia a ataques de bajo
potencial
Automatizacin de la administracin de
configuracin del TOE

39

EAL5

40

La implementacin completa para comprender

el comportamiento de seguridad
Modelo formal de la poltica de seguridad del
TOE
Presentacin semiformal de la especificacin
funcional y el diseo de alto nivel, y una
demostracin
semiformal
de
la
correspondencia entre ellos.
Diseo modular del TOE

EAL5
Debe haber evidencia de las pruebas del
proveedor basadas en el diseo de bajo
nivel
Demostracin de resistencia a ataques de
moderado potencial
Comprobacin del anlisis de canales
ocultos provisto por el proveedor

41

EAL6

42

Presentacin estructurada de la implementacin

para comprender el comportamiento de
seguridad
Presentacin semiformal del diseo de bajo nivel
Diseo modular y en capas del TOE
Demostracin de resistencia a ataques de alto
potencial
Validacin del anlisis sistemtico de canales
ocultos provisto por el proveedor

EAL7
Presentacin formal de la especificacin
funcional del diseo de alto nivel y una
presentacin semiformal del diseo de
bajo nivel
Demostracin formal y semiformal de la
correspondencia entre ellos
Confirmacin completa de los resultados
del proveedor

43

Tempest

44

Across the darkened street, a windowless van

is parked. Inside, an antenna is pointed out
through a fiberglass panel. It's aimed at an
office window on the third floor. As the CEO
works on a word processing document,
outlining his strategy for a hostile take-over of
a competitor, he never knows what appears
on his monitor is being captured, displayed,
and recorded in the van below.

Tempest

TEMPEST

(Transient Electromagnetic Pulse

Emanation Standard)

45

Tempest

46

Se estima que la industria

TEMPEST
sobrepasa el billn de dlares al ao en
negocios.

Esto nos hace pensar que existe una

verdadera amenaza a combatir.

En EU se cree que las Emanaciones

Comprometedoras (CE) son un un gran
atractivo para los gobiernos extranjeros.

http://www.electromax.com/
47

Covert Channels
Canal alterno por el que se puede filtrar
informacin sin pasar por los controles
impuestos por un monitor de referencia.
Su peligrosidad va en funcin del ancho de
banda con que cuenten para sustraer
informacin confidencial.
En un sistema puede haber cientos o miles
de estos canales.

48

Covert Channels
Lectura en recursos compartidos
Nombres de archivos largos

Esteganografa

49

Actividad
Investigar y reportar por equipo
las razones por las que Linux alcanz el
nivel EAL2, otorgado de acuerdo al
Common Criteria.
(entregar viernes 5 Enero 2012)
50

ITIL v3 Certificaciones Actuales - By Ismael

Ramirez IT Service www.itservice.ms
http://www.youtube.com/watch?v=V9FJIFpugrk
CompTIA Security+ SY0-301: 5.2 - Trusted OS
http://www.youtube.com/watch?v=bsRQ0jSFKKI

UNIVERSIDAD TECNOLGICA DEL ESTADO DE MORELOS

51

Preguntas?...

52
UNIVERSIDAD TECNOLGICA DEL ESTADO DE MORELOS

Sergio Mauricio Martnez Monterrubio y Lucero Frausto Martnez