Temario
INTRODUCCION
Definiciones y Principios de la Seguridad Informática.
CAPA 8 (EL FACTOR HUMANO)
Conceptos / Ingeniería Social / Contexto y Fundamentos / Métodos: Shoulder surfing; Trashing; Escuchas cotidianas / Técnicas avanzadas: Programación neurolingüística; Ingeniería social inversa / Robo de identidad / Contacto online; Contacto directo; Contacto telefónico / Estrategias de protección / Capacitación Empresarial y Personal / Concientización, Culturas y Procedimientos.
VULNERABILIDADES DE LOS SISTEMAS INFORMATICOS
Tipos / Evaluación y Respuestas ante INCIDENTES / Concepto de Pentest / Concepto de Informática Forense.
SEGURIDAD FÍSICA
Amenazas a la seguridad física / Protección del datacenter, Ubicación interna, Categorías Tier / Alimentación eléctrica, equipos e infraestructura edilicia / Detección y supresión de incendios / Seguridad perimetral / Puertas y ventanas, Abrir cerrojos: lockpicking, Cerraduras electrónicas / Sistemas de alarma / Detección de movimiento y más, Monitoreo y vigilancia, Personal de seguridad.
AUTENTICACION y SISTEMAS BIOMETRICOS
Conceptos de biometría - Estándares existentes / Las huellas dactilares / Reconocimiento facial / El iris y la retina / La voz humana / La firma / Sistemas Multimodales / Implantes.
CRIPTOGRAFÍA – Fundamentos y Aplicaciones
Introducción e historia / Criptografía clásica, Criptografía moderna / Sistemas Criptográficos Simétricos (clave privada) / El viejo estándar: DES; 3DES; RC2; IDEA / El nuevo estándar: AES / Sistemas Criptográficos Asimétricos (clave pública) / RSA; Diffie-Hellman; ElGamal; Schnorr / Curvas elípticas / Funciones Hash (DIGEST) / MD5 y SHA / Infraestructura de clave pública / Firma digital / Certificados digitales / Gestión y distribución de Claves / Algoritmos de Intercambio de claves / Esteganografia y Watermarks / Cifrado de unidades con diferentes algoritmos / Casos prácticos de cifrado de unidades, encriptación y esteganografía / Sistemas criptográficos en Protocolos de Red / SSL (Secure Socket Layer) y TLS; S-HTTP; SET (Secure Electronic Transaction), SSH (Secure Shell) / Casos prácticos.
FUNDAMENTOS, HERRAMIENTAS y DISEÑO DE REDES SEGURAS
Modelo de SEGURIDAD AAA / Identificadores Intrínsecos y Extrínsecos / Passwords, PINs y Dispositivos / Verificación y Servidores de Autenticación / Redes Perimetrales/DMZ, Proxys y Firewalls (clasificación) / Limitaciones de los Firewalls / ACLs (Listas de Contol de Acceso) / Análisis de LOGS / Sistemas de detección de intrusos (IDS/IPS) / IDS de host y de red / Honeypots y Honeynets (FISICAS y VIRTUALES) / Implementación de honeypots virtuales para la detección de vulnerabilidades / Herramientas y Aplicaciones de Monitoreo / Casos prácticos.
SEGURIDAD EN SISTEMAS WINDOWS
Generalidades de Windows - Arquitectura interna / Active Directory. Implementación de un dominio y políticas de grupo de bloqueo de aplicaciones / Protecciones incorporadas. Limitación en la autenticación por equipo y horario / Sistemas cliente, Windows Defender / Firewall de Windows. Bloqueo y apertura de puertos para diferentes programas. / Sistemas servidor, SCM (Security Compliance Manager) / Forefront TMG. Instalación de TMG 2010 / Configuración de TMG para el bloqueo de sitios web / Bloqueo de tipos de contenido como audio y video con TMG / Bloqueo por usuarios en TMG / Monitoreo de tráfico en tiempo real en TMG / Diferentes casos prácticos con creación de diversas reglas en TMG / Recomendaciones de Seguridad / Windows Debugging / Recuperación de Desastres. Herramientas de respaldo. Cobian Backup. FBackup. / La copia de seguridad en Windows 7. Creación y recuperación completa del sistema / El respaldo con Clonezilla Live en Windows 8.1 / Snapshot de máquinas virtuales / La confiabilidad de los medios de respaldo (discos duros, medios ópticos, cintas, etc.) / El caso particular de los discos ópticos M-DISC (DVD y Blu Ray): 1000 años de duración / Amenazas – Atacantes y Malware (Clasificación). / Virus. Concepto. Evolución de los objetivos en el diseño de los virus. / Testeo de efectividad de diversos antivirus freeware y comerciales del mercado / Casos prácticos.
SEGURIDAD EN SISTEMAS GNU/LINUX
GNU y Kernel. Estructura estándar de directorios / Seguridad desde el cargador de arranque / Características de los sistemas de archivos / El super- usuario root en Linux / Usuarios, grupos y claves / Archivos y permisos / Gestión de procesos / Chequeos de integridad / Ocultar huellas / Seguridad a nivel de red / Seguridad en los servicios de red
Listas de Control de Acceso. El comando setfacl. Casos prácticos / Firewalling en Linux. Implementación práctica de iptables en diversas situaciones / Seguridad avanzada. Encriptación del disco al realizar la instalación del sistema / Encriptación de particiones individuales del sistema / Seguridad del kernel / Malware en Linux / Rootkits en Linux. Utilización del programa rkhunter / Hardening del sistema. Casos prácticos.
SEGURIDAD EN Virtual Private Networks (VPNs)
Fundamentos y tipos de VPNs / Protocolos y Mecanismos de VPNs Seguras / Casos prácticos.
SEGURIDAD EN TECNOLOGÍAS INALÁMBRICAS
Conceptos de redes inalámbricas / Radio frecuencia / Clasificaciones / Estándar IEEE 802.11 / Dispositivos / Características básicas de seguridad / SSID / Asociación / Autenticación / Protocolos de seguridad / WEP / WPA / WPA2 (RSN) Métodos de ataque Ataques activos y pasivos / Denial of service y Man in the middle / Fake Access Points / Wardriving y derivados / Ataques especiales / Tecnología Bluetooth / Dispositivos / Debilidades en los protocolos / Ataques conocidos. Casos prácticos.
AMENAZAS EN SERVICIOS de INTERNET: WWW y E-MAIL
El mundo web: El servidor y el cliente / El protocolo HTTP / Encoding / Autenticación web / Lenguajes y tecnologías relacionadas / Debilidades en HTML; XML (eXtensible Markup Language) / Debilidades en PERL; PHP; Python / Debilidades en CGI; ASP / Debilidades en ActiveX; Java / Las aplicaciones web. Defectos de diseño / El modelado de amenazas / Estándares utilizados / RIA: Rich Internet Applications / Canonicalización / Web Application Firewalls / El estándar OWASP / Vulnerabilidades y tipos de ataque / Recopilación de información / Abuso de funcionalidades / Ataques de inyección / Denegación de servicio y fuerza bruta / Otros ataques / Recomendaciones de Seguridad en la web / Recomendaciones de Seguridad para el uso del e-mail / Características y problemas del uso de la web y el correo electrónico / Medidas de Seguridad para el uso de la web y el correo electrónico / PGP (Pretty Good Privacy) / Spam, Phishing. Herramientas de combate y defensa contra los mismos. / Estafas on-line. La gran mentira de "gane 8000 dólares por mes contestando encuestas" / Otro tipos de estafas on- line / Casos prácticos.
INSEGURIDAD EN EL SOFTWARE
Programación segura, Código abierto y código cerrado / Herramientas de Bug Hunting / Motivaciones y negocio del software / Revelación versus ocultación / Pasos a seguir / La investigación de bugs, Reportar los bugs / Buffer overflow y Format String / Stack overflow y Heap overflow / Format string e Integer overflow / Análisis de código fuente manual y automatizado / Fuzzing / Ingeniería Inversa / Conceptos, ejecutables y crackmes / Casos prácticos.
AMENAZAS EN LAS BASES DE DATOS
Sistemas y modelos de bases de datos / El lenguaje SQL y los Sistemas de gestión comunes / Características de seguridad / Propiedades de una transacción / Autorización y controles / Integridad en bases de datos / Problemas conceptuales / Aggregation, Inferencia, Polyinstantiation y Concurrencia / Tipos de ataques / Internos y externos / Covert channels / Denegación de servicios / Data diddling / SQL Injection / Medidas de protección para una base de datos segura / Casos prácticos.
INFORMÁTICA FORENSE
Etapas y Procesos / Regulación jurídica general a nivel mundial. Breve reseña / Certificaciones.
PENETRATION TESTING
Introducción, Definiciones y conceptos generales / Controles en Seguridad / Vulnerability Assessment / Ethical Hacking / Fases de un PenTest / Fase de reconocimiento / Fase de escaneo / Fase de enumeración / Fase de acceso / Fase de mantenimiento del acceso / Casos prácticos.
ASPECTOS LEGALES de la SEGURIDAD INFORMÁTICA EN EL URUGUAY
Delitos Informáticos / Protección de datos personales / Control de Contenidos / Propiedad Intelectual y Piratería / Análisis de las normas jurídicas aplicables en nuestro país / Ejemplos de aplicación de la normativa en casos de la vida real.