CERTIFICACIÓN PCSI
ÁREAS DE CONOCIMIENTO
1. FUNDAMENTOS DE SEGURIDAD DE LA INFORMACIÓN
¿Por qué es importante la seguridad? Requisitos básicos para la seguridad de la información: Confidencialidad, integridad, disponibilidad. Otros requisitos: privacidad, secrecía, anonimato, autenticidad, autorización, trazabilidad, no repudiación. Conceptos básicos en seguridad (activo, amenaza, vulnerabilidad, incidente, ataque, exploit, impacto, riesgo, control). Amenazas internas y externas. Amenazas avanzadas persistentes (APT). Las vulnerabilidades y su clasificación. Bases de datos de vulnerabilidades (CVE, Bugtraq, etc.). Introducción a la gestión de riesgos. Tres principios de la seguridad de la información. Introducción a las medidas de protección. Tipos de controles (disuasivo, preventivo, correctivo, investigativo). Ejemplo de controles. Seguridad física, técnica y administrativa. Seguridad en profundidad. Estrategia de defensa estratificada.
2. AMENAZAS, VULNERABILIDADES Y RIESGOS
Principales problemas para la información que se trasmite, procesa o almacena (interceptación, divulgación, uso no autorizado, interrupción, alteración, manipulación, fabricación). Interceptación ilegal de llamadas telefónicas. IMSI IMSI catcher. Stingray. Interceptación legal y LIMS (Lawful Interception of Telecommunication Services). Ley CALEA. Interceptación de datos mediante sniffers. Interceptación de actividades en el teclado mediante keyloggers. Divulgación de información. Wikileaks. Uso no autorizado de recursos. Robo de servicio. Alteración, manipulación y fabricación de información. Vandalización de páginas Web. Interrupción e indisponibilidad de la información. Congestión y retardo en redes y servicios. Fallas: causas y costos. Censura y bloqueo de sitios Web. Interferencia intencional en redes inalámbricas. Robo de cable. Ley de Murphy y sus corolarios. Accidentes y desastres (inundación, terremoto, incendio, calor, falla de energía eléctrica, apagón).
3. ATAQUES Y DELITOS INFORMÁTICOS
El blanco de los ataques. Modalidad de ataques (activo, pasivo). Clases de ataques (hardware, software, datos). Ataques de negación de servicio (DoS, DDoS). Programas malévolos (virus, gusano, caballo de Troya, ransomware, spyware, adware, hoax, spam, phishing, spear phishing). Botnets (Zeus, SpyEye). Hackers y crackers. Ataques de hackers. Rootkit y shellcode. Espionaje gubernamental, militar, comercial, industrial, laboral y personal. Guerra cibernética y terrorismo. Ataques a los sistemas industriales de control y supervisión (SCADA). Ciberarmas (Stuxnet, Flame). Delitos informáticos: fraude y estafa. Triángulo del fraude. Fraude bancario y falsificación de datos. Robo en telecajeros. Delitos utilizando las redes. A la caza de datos personales. Robo de identidad. Ingeniería social. Phreakers y fraude telefónico. Fraude en telefonía celular. Robo de teléfonos inteligentes, alteración del código IMEI y liberación. Piratería de software. Piratería en audio y video.
4. INSEGURIDAD EN REDES Y EN APLICACIONES WEB
El reto de las redes empresariales. Inseguridad en las redes externas (WAN) y en Internet. Ataques a DNS (Domain Name System). DNS spoofing y DNS poisoning. Inseguridad en la nube (cloud). Inseguridad en las redes internas (LAN). El peligro del hub y la ventaja del switch. Interceptación mediante puerto espejo (SPAN). Falsificación y envenenamiento de paquetes ARP. Cain y Ettercap. Inseguridad en SSL/TLS y HTTPS. Ataque a SSL mediante ARP spoofing. SSL stripping, FREAK, POODLE. Inspección del tráfico SSL. Inseguridad en IPv6. Inseguridad en redes inalámbricas y dispositivos móviles. Inseguridad en Wi-Fi. Sniffers inalámbricos. Inseguridad en Bluetooth (bluejacking, bluesnarfing, bluebugging). Interferencia y negación de servicio (DoS). Inseguridad en redes sociales. Inseguridad en aplicaciones Web. Vulnerabilidades más graves según OWASP. Desfiguración de páginas Web. Ataques a la autenticación HTTP básica, digest o basada en formularios GET/POST. Ataques hidden fields, directory traversal, session fixation. Secuestro de sesión. Ataques del lado del cliente (browsers, PDF, Flash...). Ataques por desbordamiento de buffer, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), XML External Entity (XXE), SQL Injection. Ambiente de entrenamiento en línea (Hack-a-Server, Hack.me, PentesterLab, MDSec, Altoro Mutual, Acuforum, FreeBank, Gruyere) y Live-DVD (Metasploitable, WebGoat, InsecureWebApp, DVWA, Samurai Web Testing Framework, Web Security Dojo). Inseguridad en VoIP y telefonía por Internet. Captura de tráfico de VoIP mediante sniffers. Interceptación y decodificación de tonos de discado DTMF. Otros tipos de ataques: Enumeración, inundación, negación de servicio, desconexión forzada, spam sobre telefonía IP (SPIT), phishing, fuzzing, etc.
5. GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Planificación de la seguridad. Desarrollo de un sistema de gestión de seguridad de la información (SGSI). Gestión de riesgos. Riesgo empresarial (estratégico, financiero, incumplimiento, operativo, tecnológico). Riesgos naturales y del medio-ambiente, riesgos de desastres. Estándares y normas (ISO 27005, UNE 71504). Metodologías para la gestión de riesgos (ISO 31000, MAGERIT, COBIT, COSO, NIST, OCTAVE, CORAS, CRAMM, IRAM, SOMAP, FAIR). Enfoque cualitativo y cuantitativo. Expectativa de pérdidas anualizadas (ALE) y retorno de la inversión en seguridad (ROSI). Políticas, normas y procedimientos de seguridad. Políticas generales y específicas. Ejemplos (clasificación y privacidad de la información, uso aceptable, almacenamiento y borrado seguro. Madurez de una organización en seguridad y CMMI. Estándares internacionales, metodologías, recomendaciones y buenas prácticas para la seguridad de la información: ISO ISO 27000, X.805, TCSEC, ITSEC, FIPS 140, NIST SP800, Common Criteria (ISO 15408), COBIT, PCI DSS, ITIL.
6. AUDITORÍA DE SEGURIDAD, HACKING ÉTICO Y PRUEBAS DE PENETRACIÓN
¿Qué se entiende por auditoría? Tipos de auditorías. Auditoría interna y externa. Auditoría de sistemas. Metodologías y buenas prácticas (ISACA, COSO). Auditoría de seguridad. Áreas de la auditoría de seguridad (física, lógica, administrativa). Tipo y alcance de la auditoría. Auditoría tipo black box, white box y gray box. Equipo rojo y equipo azul. Ejemplos de cuestionarios para auditoría de redes y sistemas. Metodología OSSTMM (Open Source Security Testing Methodology Manual). The OWASP Testing Framework. OWISAM (Open WIreless Security Assessment Methodology). Hacking ético. Alcance y limitaciones. Pruebas de penetración. Metodología PTES (Penetration Testing Execution Standard). Tipos de pruebas (interna/externa, a ciegas/con conocimiento). Fases de las pruebas de penetración. Recopilación de información (footprinting). Uso de competitive intelligence. Whois. Google hacking. Traceroute. Reconocimiento activo. War dialing. ICMP y ping sweep. Escaneo de puertos. Nmap. Enumeración. Identificación y evaluación de vulnerabilidades. Herramientas ((LanGuard, Nessus, OpenVAS, NeXpose, Retina, McAfee Vulnerability Manager). Ataques y escalada de privilegios. Rootkit. Shellcode. Explotando vulnerabilidades del lado del cliente. Actividades de post-penetración. Borrando los rastros. Herramientas avanzadas para auditoría y pruebas de penetración (CORE Impact, Kali Linux, Metasploit). Hacking y pruebas de penetración con Android. Auditoría de aplicaciones Web. Metodologías. Escaners de vulnerabilidades Web (Paros, Burp, ZAP, Webscarab, Nikto). Auditoría Web automatizada (Acunetix, Nessus, W3AF, VEGA, Arachni, IBM AppScan, HP WebInspect, Cenzic, MileSCAN, Netsparker, Klypex, RETINA Web, WebSecurify, Qualys).
7. FORÉNSICA DIGITAL, LEY Y ÉTICA
Gestión de incidentes de seguridad. CSIRT/CERT. Norma ISO 27035. Prevención, detección y respuesta para fraudes informáticos, bancarios y telefónicos. Forénsica digital. Evidencia física y digital. Tipos de evidencia: Total, relevante y admisible. Ejemplos de escenario. Herramientas (EnCase, FTK, CAINE, DEFT, SIFT, HELIX, WinHex, X-Ways). Identificación forense de hablantes. Decodificación de discado DTMF (Dual-Tone Multi-Frequency). Aspectos jurídicos en la seguridad de la información. Sistemas jurídicos en el mundo. Legislación venezolana: Ley contra delitos informáticos, Ley de telecomunicaciones, Código penal, Código orgánico procesal penal (COPP). Legislación internacional: Sarbanas-Oxley, HIPAA, PCI-DSS. La propiedad intelectual y la protección del software. Digital Millennium Copyright Act (DMCA). Stop Online Piracy Act (SOPA). Aspectos éticos y morales. Deodontología y teleología. Ética e Internet. RFC 1087. Códigos de ética (IEEE, CIV, ISACA, CISSP, EC-COUNCIL, SANS). Ética en el sector bancario.
8. SEGURIDAD FÍSICA Y AMBIENTAL
Las 3 categorías de la seguridad: administrativa, técnica (lógica) y física. Niveles y anillos de seguridad. Protección física de los equipos. Protección perimetral de un sitio (guardias, casetas, barreras, cercas, iluminación, vigilancia electrónica y CCTV, detección de intrusos). Acceso vehicular y peatonal. Controles de entrada para empleados y visitantes. Acceso a locales y oficinas (llaves y cerraduras, tarjetas de identificación, RFID, NFC, biometría). Identificación por huella dactilar, iris, voz. Reconocimiento facial. Selección de un sitio seguro. Ejemplos de Data Center. Sala “cofre”. Seguridad ambiental y protección contra desastres naturales. Protección contra transitorios eléctricos y apagones. Utilización de filtros, UPS y plantas de emergencia. Protección contra incendio. Detección y extinción de incendios. Clases de incendios y agentes extintores. Rociadores. Normas NFPA y COVENIN. Sistemas de ventilación y aire acondicionado (HVAC). Requerimientos para centros de datos. Normas y estándares (NFPA, COVENIN, ANSI/TIA-942, ANSI/NECA/BICSI-002). Seguridad industrial y salud ocupacional. Radiación electromagnética y salud. El ambiente de trabajo (físico, psicológico y social). Estrés laboral. Ergonomía. Ley Orgánica de Prevención, Condiciones y Medio Ambiente de Trabajo (LOPCYMAT). Organización Internacional del Trabajo (OIT).
9. DEFENSA CONTRA FALLAS, ACCIDENTES Y DESASTRES
Gestión de fallas y FCAPS (failure, configuration, accounting, performance, security). Diferencia entre fallas, eventos, errores, problemas. Notificación de eventos. Detección y resolución de problemas. Sistema de boletín de avería (trouble ticket). Soporte al usuario y help desk. Herramientas para detectar y resolver problemas (troubleshooting). Herramientas de diagnóstico para computadores. Causas de fallas en discos duros. Predicción de fallas y SMART (Self-Monitoring, Analysis and Reporting Technology). Sistemas tolerantes a fallas. Tecnología RAID (Redundant Array of Independent Disks). Failover. Duplicación del servidor. Clustering. Prevención de pérdida de datos (DLP). Eliminación de datos de forma irrecuperable. Respaldo y restauración de datos. Recuperación de archivos borrados. Recuperación de datos en discos dañados. Plan de contingencia y recuperación ante desastres. Plan de continuidad de negocio (BCP) y análisis de impacto en el negocio (BIA). Norma ISO/IEC 24762 e ISO 22301. Plan de continuidad en el sector financiero. Alerta temprana y telecomunicaciones de emergencia. Protección de infraestructuras críticas para la seguridad nacional. Fundamentos de confiabilidad y mantenimiento. Tasa de fallas y curva de la bañera. Mantenibilidad y disponibilidad. MTTF, MTBF y MTTR. Confiabilidad de sistemas (serie, paralelo, stand-by, failover). Redundancia 1:1 y 1:N. Confiabilidad de sistemas electrónicos.
10. DEFENSA CONTRA INTRUSOS Y BARRERAS DE PROTECCIÓN
Defensa contra virus, troyanos y software malintencionado (malware). Sistemas de detección de intrusos (IDS) y sistemas de prevención de intrusos (IPS). Falsos positivos y falsos negativos. NIDS e HIDS. WIPS (Wireless intrusion prevention system). Técnicas de evasión contra IDS. Plataformas SIEM (Security Information and Event Management). OSSIM (Open Source Security Information Management). Centro de Operaciones de Seguridad (SOC). Señuelos y cebos (honeypots). Productos y soluciones (Snort, Snorby, Tripwire, OSSEC). Barreras de protección y cortafuegos (firewalls). Arquitectura y topología de firewalls. DMZ (demilitarized zone). Filtros de paquetes. Firewall de Windows. IPtables. Configuración de filtros. Firewalls comerciales y firewalls personales. Firewalls para aplicaciones Web (ModSecurity, GreenSQL, SecureSphere). Ataques y auditoría de firewalls. Servidores proxy. Squid. Proxy transparente. Proxy inverso. Proxy anónimo. TOR (The Onion Routing). FreeNet. Túneles mediante HTTP. Canales encubiertos y canales inversos. RAT (Remote Administration Tools). NetCat.
11. CRIPTOGRAFÍA Y PROTECCIÓN DE LA CONFIDENCIALIDAD
Criptología, criptografía, criptoanálisis y esteganografía. Criptografía clásica. Cifrado por sustitución y por transposición. Criptografía moderna. El algoritmo DES (Data Encryption Standard) y Triple DES. Otros algoritmos de cifrado (IDEA, SAFER, CAST, Blowfish, RC2, RC4, RC5, AES, Serpent, Twofish). Algoritmos en telefonía celular. Encriptación en discos duros y medios extraíbles. OTFE (On The Fly Encryption) con PGPdisk, TrueCrypt, EFS (Encrypted File System), BitLocker. Desarrollos futuros: Criptografía cuántica. Distribución de claves criptográficas. Uso de KDC (Key Distribution Center). Generación de números aleatorios. Criptografía de clave pública. Ataque del hombre en el medio (MiTM) Sistema DH (Diffie-Hellman). Sistema RSA (Rivest-Shamir-Adleman). Criptografía de curva elíptica (ECC). Bases matemáticas: Exponencial discreta, factorización de números primos. Aplicaciones: Distribución de la clave de sesión, firma digital, dinero digital (Bitcoin). Esteganografía e información oculta. Técnicas esteganográficas. Canales encubiertos. Huevos de Pascua. Estegomagen. Estegoanálisis. Herramientas. Marca de agua digital.
12. INTEGRIDAD Y AUTENTICIDAD DE LA INFORMACIÓN
El problema de la integridad de datos. Medios físicos de transmisión y almacenamiento. Ruido térmico. Filtros eléctricos. Relación señal a ruido S/N. Ruido impulsivo e interferencia. Fuentes de interferencia electromagnética (EMI). Cable trenzado y cable coaxial. Fibra óptica. Atenuación y distorsión en los cables. Ecualización de la línea. El problema de la diafonía. Medios de transmisión inalámbricos. Interceptación y jamming. Medios transportables (cinta magnética, pendrive, CD-ROM, DVD). Control de errores (paridad, CRC). Corrección de errores (Hamming, confirmación). Chequeo de integridad mediante hash. Árbol de hashes (Merkle tree). Funciones hash: MD5, SHA, RIPEMD, Whirpool. Uso de MAC (Message Authentication Code) y HMAC. Firma electrónica. Firma digital con RSA y DSA. Certificados digitales X.509 e infraestructura de clave pública (PKI). Autoridades de certificación. Fechado digital y sellado de tiempo. Factura electrónica.
13. AUTENTICACIÓN DE PERSONAS Y CONTROL DE ACCESO
Modelo de un sistema de autenticación y control de acceso. ¿Qué se entiende por autenticación de personas? Credenciales para la autenticación. Identidad digital. Credenciales contextuales. Autenticación robusta. Autenticación HTTP básica. Autenticación digest. Autenticación mediante formularios GET/POST. Otros sistemas de autenticación: CHAP (Challenge Handshake Protocol); EAP (Extensible Autentication Protocol); OAuth (Open Authorization); FIDO (Fast IDentity Online) Alliance. Autenticación basada en lo que la persona sabe, posee o es. Contraseñas estáticas y contraseñas dinámicas (OTP). Sistema de dos o más factores y desafío-respuesta. Autenticación en la banca electrónica. Autenticación en Internet mediante CAPTCHA. Dispositivos de autenticación: tarjeta, RFID, ficha (token), biometría. Certificado digital. Transacciones bancarias. Normativa de SUDEBAN. ¿Cómo se guardan las contraseñas en el sistema? Contraseñas en Windows. Hash LM y NTLM. El archivo SAM (Security Accounting Manager). Contraseñas en Unix/Linux. Uso de salt. El archivo /etc/shadow. Hash moderno: PBKDF2. Recomendaciones para contraseñas seguras. Generadores de contraseñas. Gestión de contraseñas.¿Cómo saltarse la contraseña de Windows? Autologon. Recuperación de contraseñas olvidadas en Windows y Linux. Recuperación de contraseñas para documentos de Office y PDF. Ataques a contraseñas (offline/online). Técnicas de diccionario y de fuerza bruta. Uso de tablas Rainbow. Pass-the-Hash. Ingeniería social y phishing. Autenticación, autorización y accounting (AAA). RADIUS, TACACS, DIAMETER. Sistema de autenticación Kerberos. Gestión de identidad en las empresas (Identity Management). Registro único mediante SSO (Single Sign On). OpenID. Modelos de control de acceso. El principio del mínimo privilegio. Control de acceso discrecional (DAC) y mandatorio (MAC). Control de acceso basado en roles (RBAC). Modelos Bell-LaPadula, Biba, Clark-Wilson. Control de acceso en Windows y Unix/Linux. Control de ejecución para el software. Uso de CPUID.
14. SEGURIDAD EN REDES Y EN INTERNET
¿Existen redes realmente seguras? SIPRnet, NIPRnet y Tor. Seguridad mediante LAN virtual (VLAN). Seguridad para la nube (Cloud). Seguridad en DNS (Domain Name System).Uso de la criptografía en las comunicaciones. Cifrado en el modelo de capas OSI. Seguridad mediante LAN virtual (VLAN). Protocolos de seguridad en las capas altas (SSL/TLS, HTTPS). Seguridad en compras por Internet. Seguridad en aplicaciones bancarias, cajeros automáticos y puntos de venta. Seguridad en redes sociales (Facebook, Twitter). Seguridad en mensajería instantánea (Skype, WhatsUp, Telegram, LINE, Signal, Cryptocat, Blackberry). Seguridad en correo electrónico (S/MIME, PGP). Seguridad en dispositivos móviles y smart phones. Seguridad en aplicaciones Web. Web application firewalls (WAF). Seguridad en acceso remoto. Herramientas de remoto (VNC, TeamViewer, LogMeIn, Escritorio Remoto de Windows). Túneles mediante Redes Privadas Virtuales (VPN). VPN mediante proxies, Hamachi, PPTP. VPN mediante SSL, OpenVPN, SSH. VPN mediante IPSec en Windows. Soluciones open source para VPN con IPSec: StrongSwan y OpenSwan.
15. SEGURIDAD EN COMUNICACIONES INALÁMBRICAS
El problema de la seguridad en redes inalámbricas. Autenticación y asociación en WLAN. Autenticación abierta (OSA) y por clave compartida (SKA). Control de acceso básico mediante SSID y filtros MAC. Encriptación mediante WEP (Wired Equivalent Privacy). Gestión de claves compartidas. Problemas y limitaciones de WEP. Ataques a WEP y Aircrack. Nuevos mecanismos de seguridad. WPA (Wi-Fi Protected Access). TKIP (Temporal Key Integrity Protocol). Autenticación robusta mediante EAP (Extensible Authentication Protocol) con clave compartida (EAP-PSK). Instalación y configuración fácil mediante WPS (Wi-Fi Protected Setup). Autenticación avanzada con servidor RADIUS y 802.1X. Seguridad moderna con WPA2/802.11i y AES (Advanced Encryption Standard). Seguridad adicional con túneles VPN (Virtual Private Network). WIMP (Wireless Intrusion Prevention System). Auditoría de redes inalámbricas. Seguridad en Bluetooth. Autenticación y encriptación. Seguridad a nivel del servicio y nivel del enlace. Emparejamiento. Visibilidad y descubrimiento.