6.1 a menazas a la s eguridad granciano cabrera m. fernanda
TRANSCRIPT
6.1 AMENAZAS A LA SEGURIDAD
GRANCIANO CABRERA M. FERNANDA
UN SISTEMA SEGURO MANTIENE LO SIGUIENTE:
Confidencialidad de los datos: El acceso a los datos está restringido solamente a personal autorizado.
Integridad de los datos: Los datos no son alterados involuntariamente.
Disponibilidad de los datos: Los servicios que permiten el acceso a los datos son operacionales.
Las consecuencias de una seguridad computacional débil para los usuarios residenciales, incluye:
Exposición de información sensible:Por ejemplo, un intruso puede usar tu contraseña y el número de tu tarjeta de crédito para robarte dinero.
Pérdida de datos:Por ejemplo, los intrusos pueden borrar o corromper documentos importantes como estados financieros y propuestas de negocio.
Pérdida de la funcionalidad del sistema:Por ejemplo, los intrusos pueden ocupar tu CPU y memoria, usando programas maliciosos que deshabilitan al sistema para procesar instrucciones legítimas.
Entre las consecuencias de una débil seguridad computacional para los negocios, se encuentran:
Pérdida de tiempo y dinero dedicado a resolver problemas de seguridad:Por ejemplo, pérdida de ganancias durante una falla del sistema.
Pérdida de confianza en el sistema por parte de los clientes, lo que resulta en una pérdida de ganancias, reputación, trabajos y potencialmente de todo el negocio:Por ejemplo, si la información de una tarjeta de crédito puede ser obtenida por intrusos a través de una tienda en línea, nadie usará el sitio, y el negocio ya no será rentable.
Para entender cómo asegurar un sistema computacional, primero debes entender a los intrusos, quiénes son y cómo atacan.
Los métodos comunes de ataques discutidos en esta sección están clasificados en tres grupos:
Ataques de robo de identidad/violación de la privacidadSon los programas maliciosos de software (por ejemplo, virus, gusanos, y caballos de Troya).
Ataques de negación del servicioSon los que están orientados a los recursos del sistema.
Ataques de robo de identidad y/o violación de la privacidad: Por lo general violan la confidencialidad de los datos. Los programas maliciosos de software pueden violar la confidencialidad, integridad y disponibilidad de los datos.
6.1
.1
INTR
US
OS
: ¿Q
UIÉ
N,
PO
R
QU
É,
Y
CÓ
MO
?
El primer paso para salvaguardar tu sistema computacional y tu información es entender a tus oponentes. El perfil de los atacantes de los sistemas computacionales incluye:
Gente que "hackea" por diversión, curiosidad, orgullo personal, o sólo por el gusto de entrar en los sistemas computacionales para ver qué tan lejos puede llegar
Personal interno o externo que puede estar buscando revancha de una organización determinada.
La gente que desea obtener ganancias u otros beneficios usando datos confidenciales de un sistema determinado.
Criminales u organizaciones cuyo objetivo es corromper la seguridad de un sistema determinado.
Terroristas.
Los sistemas computacionales que son fáciles de atacar para los intrusos, son aquellos usados en puntos residenciales, comúnmente conocidos como computadoras de casa. Una vez que se comprometen las computadoras de casa, pueden ser usadas para lanzar grandes ataques contra computadoras de una organización.
Los sistemas computacionales de casa son más vulnerables a ataques por las siguientes razones:
o Los usuarios de computadoras en casa pueden estar usando módems de cable o redes inalámbricas, que pueden ser interceptados por intrusos.
o Los sistemas computacionales de casa son menos propensos a ser configurados de manera segura.
o Los usuarios de computadoras en casa son menos propensos a detectar que la seguridad de su sistema ha sido penetrada.
o El acceso a los sistemas de casa puede ser un acceso alternativo a las computadoras del lugar de trabajo.
Paso 1: Obtener información :
• Adivinar contraseñas.
• Fingir ser un administrador del sistema y preguntar información sensible.
• Leer paquetes de información sensible enviada a través de Internet o almacenada en la computadora.
• Buscar puntos vulnerables.
Paso 2: Analizar Información:
• Usar la información obtenida y buscar puntos débiles en la red que puedan ser explotados (por ejemplo: puertos abiertos, cuentas de usuario).
Paso 3: Lanzar ataque.
• Alterar, borrar o corromper datos del sistema.
• Hacer que el sistema no esté disponible, creando una cantidad excesiva de tráfico en la red (por ejemplo, un ataque de negación del servicio, que será discutido posteriormente).
• Hacer lenta la red.
• Alterar un sitio Web.
EL S
IGU
IEN
TE D
IAG
RA
MA
MU
ES
TR
A E
L
PR
OC
ES
O G
EN
ER
ALIZ
AD
O D
E A
TA
QU
ES
.
6.1.3 SOFTWARE MALICIOSO
Virus
Caballo de Troya
Gusano
Prevención
Detección
Medidas de Escritorio
El software malicioso representa una parte importante de los ataques al sistema computacional [2007 Malware Report]. Billones de dólares se gastan después de los ataques, en costos de limpieza. El software malicioso puede manipular tu máquina, alterar los datos de tus medios de almacenamiento, y violar la integridad de tus datos. Algunos programas maliciosos de software pueden corromper tus archivos y esparcirlos a otras máquinas a través de la red. Datos importantes como nombres de inicio de sesión, contraseñas, información de tarjetas de crédito, estados financieros, y propuestas de negocios, pueden ser borrados, alterados, o hechos ilegibles por la máquina. Esta sección introduce tres clases comunes de programas de software malicioso: virus, caballo de Troya, y gusanos.
VIRUS
Un virus se adjunta a un archivo o un software de aplicación, y luego se replica en la computadora host, esparciendo copias de él mismo a otros archivos.
Puede corromper archivos, alterar o destruir datos, desplegar mensajes molestos, y/o interrumpir operaciones de la computadora. Cuando una computadora abre un archivo infectado, ejecuta las instrucciones del virus adjunto. Un virus no detectado se puede esconder en la computadora por días o meses, mientras se reproduce y adjunta a otros archivos. Los archivos infectados pueden ser esparcidos a otras computadoras cuando un usuario los transfiere a través de Internet o a través de medios de almacenamiento de removibles.
Los virus se clasifican de acuerdo al tipo de archivos que infectan. Algunas categorías comunes son:
Sector de arranque- compromete el sistema en el nivel más bajo. Esto provoca dificultades para iniciar el sistema de forma segura; también causa problemas recurrentes durante la operación de la computadora.
Software de aplicación- infecta archivos ejecutables (por ejemplo, archivos .exe)
Macro- infecta archivos macro y documentos que usan macros como Microsoft Excel y Microsoft Word; éste es adjuntado a un documento u hoja de trabajo, y por lo general es distribuido como un archivo adjunto en un correo electrónico. Cuando la persona abre el documento, el virus macro se copia en otros archivos macro, donde es recogido por otros documentos.
Los virus frecuentemente tienen extensiones dobles, como .txt.vbs, .mpg.exe, y .gif.scr. Los archivos adjuntos a los mensajes de correo electrónico enviados por estos virus pueden parecer archivos inofensivos de tipo: texto (.txt), película (.mpg), imagen (.gif) u otros tipos de archivo, cuando de hecho, el archivo es un guión o un ejecutable malicioso, por ejemplo, .vbs, .exe, .scr. Si estás usando el sistema operativo Microsoft Windows, debes estar consiente de que por defecto el sistema operativo esconde extensiones para los tipos conocidos de archivos.
Para hacer visibles las extensiones, puedes dar un clic en Mi PC sobre el escritorio, luego en el menú Herramientas, selecciona Opciones de Carpeta... da clic en la pestaña Ver, y des-selecciona la opción Ocultar las extensiones de archivo para tipos de archivo conocido.
CABALLO DE TROYA
Un caballo de Troya es un programa que aparenta estar desarrollando una tarea mientras está ejecutando una tarea maliciosa a escondidas. Puede llegar a tu computadora como un archivo adjunto en un correo electrónico, usualmente como un software de entretenimiento o un software aparentemente útil, para tentarte a abrirlo. Una vez que abres el archivo, el programa del caballo de Troya puede buscar tu información, robar tus nombres de acceso y copiar tus contraseñas. Algunos programas caballo de Troya pueden contener virus, gusanos, u otros programas de caballo de Troya. Los programas caballo de Troya pueden usar los privilegios de una cuenta para instalar otros programas, como por ejemplo, programas que proporcionan acceso no autorizado a la red. O pueden usar tu cuenta para atacar otros sistemas e implicar a tu sitio como la fuente de ataque.
GUSANO
Un gusano es un software malicioso que puede ejecutarse a sí mismo en una máquina remota vulnerable. Comparado con los virus, los cuales infectan archivos y se esparcen a través del traspaso de archivos infectados y mensajes de correo electrónico, los gusanos pueden penetrar sistemas computacionales más fácilmente porque no requieren que un usuario los ejecute. Los gusanos pueden desarrollar eventos "disparadores" que varían desde el despliegue de mensajes molestos hasta la destrucción de datos.
La mayoría de los gusanos viajan dentro de mensajes de correo electrónicos y paquetes TCP/IP, replicándose de una computadora a otra. Un gusano puede llegar en un correo masivo, que se envía a cada dirección de la libreta de direcciones del correo electrónico de una computadora infectada. Para encubrir sus pistas, un gusano de envío masivo puede establecer aleatoriamente la línea "De:" del mensaje, de la libreta de direcciones del correo electrónico.
PREVENCIÓN
La manera más efectiva de prevenir ataques de código malicioso, es evitar abrir mensajes de correo electrónico o archivos adjuntos inesperados. Debes tener precaución y usar solamente medios autorizados para cargar datos y software. No debes correr programas ejecutables, a menos de que confíes en la fuente y confirmes si te envió un archivo. También evita enviar programas de una fuente desconocida a otras personas.
Además, debes ser precavido al ejecutar contenido como applets de Java, JavaScript, o controles de Active X, de páginas Web. Para reducir la susceptibilidad de a los gusanos, puedes configurar tu navegador para deshabilitar la ejecución automática de contenido de páginas Web.
También puedes deshabilitar las macros en cualquier producto que contenga un lenguaje macro. Por ejemplo, para deshabilitar la ejecución de una macro en Microsoft Word, da clic en Herramientas, selecciona Macro, y luego selecciona Seguridad. Escoge un nivel de seguridad de Alto a Medio. "Alto" ignora el código macro y "Medio" te permite que habilites o deshabilites el código macro.
La vulnerabilidad de la seguridad, como la relacionada con el sistema operativo, se discute en las listas de correo. Las compañías de software, como Microsoft, lanzan paquetes de servicio o parches que pueden ser instalados para arreglar los agujeros de seguridad, pero si estas actualizaciones no están instaladas a tiempo, tu sistema operativo permanece vulnerable a los ataques. También es importante estar conciente de los programas que surgen de virus, gusanos y caballos de Troya. Puedes consultar el calendario de virus de McAfee para conocer los últimos virus reportados.
DETECCIÓN
Algunos síntomas de la infección maliciosa del código en tu sistema computacional incluyen:
Cambios inesperados en el tamaño de los archivos, o sellos de fecha/hora.
Inicio o ejecución lenta debido a que el virus está agotando los recursos de la computadora.
Fallas del sistema inesperadas o frecuentes . Poca memoria en disco. Comportamiento anormal de las aplicaciones.
MEDIDAS DE ESCRITORIO
Cuando sospeches que se ha introducido un virus a tu sistema:
1. Trata de detener el virus.
2. Trata de identificar el virus.
3. Trata de recuperar datos y archivos corruptos.
4. Una vez que hayas determinado la fuente de infección, alerta a otras personas acerca del virus.
Existen varias herramientas como detectores antivirus que te pueden ayudar a buscar virus conocidos. También puedes usar monitores antivirus para informarte acerca del comportamiento de aplicaciones relacionadas con los virus.
Puedes encontrar más información acerca de código malicioso en el sitio Web de CERT.
ATAQUES DE NEGACIÓN DEL SERVICIO
En un ataque DoS, el objetivo del atacante es acabar con los recursos del sistema, como la conectividad de red y el ancho de banda, para prevenir que el tráfico legítimo sea transmitido y procesado. Este ataque está caracterizado por lo siguiente:
Interrupción de la conectividad de red y los servicios de Internet. Interrupción de los servicios a sistema(s) específico(s) o persona(s). Consumo de otros recursos de un sistema computacional.
CONECTIVIDAD DE RED
Para bloquear la conectividad de red de una máquina objetivo, un intruso puede iniciar una conexión medio abierta a la máquina. La máquina objetivo inicia el proceso de conexión y espera que la conexión falsa del intruso se complete. Mientras está esperando, está bloqueando otras conexiones permitidas. Este ataque puede incluso ser lanzado sobre una conexión de un módem telefónico contra un sistema de red de alta velocidad.
Un ejemplo de este tipo de ataque es el ataque de inundación SYN.
ANCHO DE BANDA DE LA RED
Un ataque común sobre el ancho de banda de la red de un sistema objetivo, es generar una cantidad excesiva de tráfico sobre esa red. Este ataque es conocido también como inundación de la red. Un ejemplo de un ataque al ancho de banda de la red es el ataque de Pitufos (Smurf). El ataque de Pitufos es lanzado usando el comando Ping. (Puedes hacerlo desde la consola de Comandos, tecleando "ping [dirección IP o nombre del host]". La máquina responde enviando el mensaje eco de regreso hacia a ti.
En un ataque de Pitufos, el intruso envía comandos ping repetidamente, usando la dirección de la víctima como la dirección de regreso. Cuando el comando Ping es transmitido a múltiples hosts en la red local del sistema objetivo, todas las máquinas que reciben la petición de Ping, responderán al inocente, suplantado sistema objetivo. Esto causa que la red del sistema objetivo se inunde con respuestas de ping. Si existen suficientes paquetes inundando la red, el host suplantado no estará disponible para recibir o distinguir tráfico legítimo. El host no está disponible.
EL S
IGU
IEN
TE D
IAG
RA
MA
MU
ES
TR
A U
N
ATA
QU
E D
E P
ITU
FO
S (S
MU
RF).