ataques informáticos: medidas preventivas y correctivaswpereira/docencia/segucv/ataques.pdf ·...
TRANSCRIPT
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques Informáticos:Ataques Informáticos:Medidas Preventivas y Medidas Preventivas y
CorrectivasCorrectivas
Prof. Wílmer Pereira
USB / UCAB / UCV
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Evolución en los ataques ...Evolución en los ataques ...
Primera Generación (Ataque Físico): se centraban en los componentes electrónicos .
Segunda Generación (Ataque Sintáctico): son contra la lógica operativa de las computadoras y las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los protocolos.
Tercera Generación (Ataque Semántico): colocación de información falsa en medios informativos, spam, falsificación de e-mails, estafas de ventas por Internet, alteración de bases de datos de índices estadísticos o bursátiles, etc.
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Clases de ataquesClases de ataquesNúmero de paquetes a enviar en el ataque:
Atomic: se requiere un único paquete para llevarlo a caboComposite: son necesarios múltiples paquetes
Información necesaria para llevar a cabo el ataque:Context: se requiere únicamente la cabecera del protocoloContent: es necesario también el campo de datos o payload
ContextContextPing de la MuertePing de la Muerte
Land attackLand attackWinnukeWinnuke
Escaneo de PuertosEscaneo de PuertosSYN FloodSYN Flood
TCP HijackingTCP Hijacking
ContentContentAtaque DNSAtaque DNSProxied RPCProxied RPCAtaque IISAtaque IIS
Ataques SMTPAtaques SMTPString matchesString matches
SniffingSniffing
AtomicAtomic CompositeComposite
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Pasivos:Escuchar y monitorear a escondidas
Pasivos:Escuchar y monitorear a escondidas
Difícil de detectar, sólo se puede prevenir
Activos:Suplantar identidad, Infiltrar servidoresModificar informaciónNegar servicio
Activos:Suplantar identidad, Infiltrar servidoresModificar informaciónNegar servicio
Difícil de prevenir,más se puede detectar
Tipos de AtaquesTipos de Ataques
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Intercepción Modificación
Fabricación Interrupción
E: EmisorR: ReceptorI: Intruso
R EE
EE
R
R R
I I
II
Modelos de AtaquesModelos de Ataques
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...Ataques ...
CABALLOS DE TROYA : Introducción dentro de un programa una rutina o conjunto de instrucciones, no autorizadas, desconocida de la víctima. El programa actúa de una forma diferente a como estaba previsto (por ejemplo robando e informando al cracker) o cambia el código fuente para incluir una puerta trasera.
INGENIERIA SOCIAL: Convencer a la víctima de hacer lo que en realidad no debería.
Suplantación de una autoridadAtaque al egoProfesiones anodinas (personal de limpieza, teléfono, etc)Recompensa (concurso de contraseñas :-( …)
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
FOOTPRINTING: Extraer toda la información posible del objetivo del ataque, ya sea un sistema, red o dispositivo electrónico, previo al ataque. Esto se logra revisando los grupos de noticias públicos de esa comunidad (por ejemplo, whois) o los fuentes HTML de las páginas Web (wget).
Existen otras utilidades: ping, finger (en desuso), rusers, nslookup, rcpinfo, etc. Esta es la fase previa a la preparación de un ataque o el inicio de una auditoría.
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
FINGERPRINTING: Extraer información de un sistema, identificando el
sistema operativo y las vulnerabilidades de la versión .
– FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros
como Windows NT devuelven un FIN-ACK.
– Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux
devuelven un SYN-ACK con el mismo flag activo.
– Monitorización del “Don’t fragment bit”: Algunos sistemas operativos, por defecto,
tienen el bit de no fragmentación (DF) como activo y otros no.
– TOS : Ante los mensaje “ICMP port unreachable” puede examinarse el campo TOS,
que suele ser cero pero puede variar.
– TTL : ¿Cuál es el valor de los paquetes salientes en el campo Time To Live (TTL)?
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de entrada o servicios instalados en los puertos bien conocidos. Se usa nmap.
- TCP connect scan: mediante el establecimiento de una conexión TCP completa (3 pasos).
- TCP SYN scan: se abren conexiones a medias, ya que simplemente se envía el paquete SYN inicial, determinando la existencia de un servicio si se recibe el SYN-ACK. Si no hubiere servicio se recibe un RST-ACK. En el caso de existir el servicio se devuelve un RST-ACK para no establecer conexión alguna, y no ser registrados por el sistema objetivo.
ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones IP activas.
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
SNIFFING: Intercepción pasiva del tráfico de red. Se usa wireshark corriendo sobre el puerto promiscuo del switch o en un hub. Este método lo utiliza el atacante para capturar login y passwords de usuarios, cuando viajan en claro al ingresar a sistemas de acceso remoto. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. Otro uso es para determinar relaciones entre organizaciones e individuos.
Ataques ...Ataques ...
SNOOPING : Al igual que el sniffing es obtener la información sin modificarla. Sin embargo los métodos son diferentes usan herramienta estilo troyanos (ttysnoop). Los casos más conocidos fueron : el robo de un archivo con más de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
TAMPERING O DATA DIDDLING: Modificación desautorizada a los datos, o al software instalado, incluyendo borrado de archivos. Estos ataques son particularmente serios cuando el atacante ha obtenido derechos de administrador pues pueden llevar hasta un DoS. Los atacantes pueden ser empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule la deuda de impuestos. Múltiples web sites han sido víctimas del cambio de sus home page por imágenes terroristas o humorísticas, o el reemplazo de versiones de software para download por otros con el mismo nombre pero que incorporan código malicioso como virus o troyanos(Back Oriffice o NetBus).
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
IP SPOOFING: Suplantación de identidad como por ejemplo conseguir el nombre y password de un usuario legítimo. El intruso usualmente utiliza un sistema como trampolín para ingresar en otro, y así sucesivamente. Este proceso, llamado looping, tiene la finalidad de evaporar la identificación y la ubicación del atacante. Otra consecuencia del looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad puede estar siendo atacada por un insider, o por un estudiante a miles de kms de distancia, pero que ha tomado la identidad de otros. SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza autenticación
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
DoS: Ataque que se concentra en sobrepasar los límites de recursos establecidos para un servicio determinado, obteniendo como resultado la eliminación temporal del mismo.
• Finger Bomb: permite forzar al sistema destino a un consumo elevado de CPU realizando una petición finger recursiva. Scripts como kaput hacen uso de esta vulnerabilidad (ya superada).
• Net Flood: satura el sistema con mensajes que requieren establecer conexión: TCP SYN Flood, Connection Flood, SMTP Flood
DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva a un mismo objetivo visible desde distintos lugares de la red.
Ataques ...Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Fingerprinting con nslookupFingerprinting con nslookup
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Soluciones preventivasSoluciones preventivas
Reducir funcionalidades a las necesarias (hardening) y reforzar las que quedan (armoring)Instalar parches de seguridadEstar suscrito a información sobre seguridadVPN, Firewalls e IDSCERT (Computer Emergency Response Team). En Venezuela es VenCERT administrado por SUSCERTE (USA tiene 62 CERTS ...). Todos estan coordinados por FIRST (Forum of Incident Response and Security Teams) http://www.first.orgA nivel latinoamericano está también LACNIC/seguridad (Latin American and Caribbean Internet Addresses Registry)
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis
Solución Correctiva: Solución Correctiva: Informática ForenseInformática Forense
Evidencia Digital: – Correos, archivos e imágenes– Históricos y archivos de configuración– Hojas de cálculo, bases de datos, etc.Debe considerarse que puede ser duplicada, eliminada y alterada
Procedimientos: – Esterilidad para evitar contaminación– Verificación y resguardo mediante firma digital– Mantenimiento de la cadena de custodia (quien la entregó, como, …)
Herramientas: – Propietarias y código abierto (http://www.evidence.info/vendors.html)
Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen
Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas
Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas
HackingHackingIntruso Administrador InvestigadorEn general todos especialistas en informática
Actores en Informática ForenseActores en Informática Forense
Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia técnica para explorar sistemas y diagnosticar fallas.
Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de información para su beneficio personal
– Ciberterrorista – Phreakers– Script kiddies – Crackers– Desarrolladores de virus – Atacante interno
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Fases de una Auditoría o AtaqueFases de una Auditoría o AtaqueEl atacante o auditor del sistema:
Reconocimiento general:Recolección de datos por Internet (whois)Revisión del sistema atacadoEnumeración de servicios (nmap)
Vulneración del sistema:Comprometer el sistema, servicios o programasEscalar los privilegiosMantener el control (troyanos)
Eliminación y transferencia:Borrado de rastros manteniendo el controlBusqueda de otras máquinas a partir de la atacada
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Páginas de interes ...Páginas de interes ...Auditoría y hacking benéfico:
http://www.phrack.org (volumen 11, número 59: Antiforense ...)
http://www.insecuremag.com
http://www.cgisecurity.com
Herramientas forenses:
Encase: http://www.encase.com/products/ef_index.asp
Forensic toolkit: http://www.accessdata.com/products/utk
Winhex: http://www.x-ways.net/forensic/index-m.html
Sleuth Kit: http://www.sleuthkit.org (open source)
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Administrador ...Administrador ...Responsable del buen desempeño del sistema operativo,
la seguridad, la red, las aplicaciones instaladas, los programas de clientes, la base de datos ...
Los roles pueden estar separados dependiendo de la talla de la institución.
Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas.
Se requiere capacidad técnica y experiencia. No basta que funcione … debe ser de manera confiable ...
La transparencia que ofrece el modelo Web, facilita el desarrollo de aplicaciones pero es un modelo más vulnerable. La auditoría y logs son vitales para el buen funcionamiento de los sistemas
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Herramientas de prevenciónHerramientas de prevenciónRedes Privadas Virtuales (VPN)
– Cliente/Red o Red/Red– Transparentes o no Transparentes
Firewall – Tipos: Red, Aplicación o Kernel– Políticas: por defecto todo permitido o todo prohibido
Sistemas de detección de intrusos (IDS)– Máquina
• Verificador de integridad• Monitor de registros o históricos• Honey Pot
– Red• Detección de uso indebido• Detección por anomalías
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Investigador ...Investigador ...
Identificación -- Inicio de la cadena de custodio
Preservación – Integridad de la evidencia física y digital
Análisis – Revisión exhaustiva de la evidencia
Presentación – Informe lo menos técnico posible.
Certificaciones:
IACIS: Programas de certificación forense CFCE
HTCN, IISFA, ISFCE, etc ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Competencia simulación de juicioCompetencia simulación de juicio Grupo interdisciplinario de estudiantes de informática, derecho y
comunicación social
Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía,
defensa, peritos de la defensa y comunicadores sociales
Varias universidades, con sus equipos, conforman juicios simultaneos
donde se desarrolla el mismo caso
Sólo el juez será un actor externo, de hecho jueces en ejercicio o
jubilados
Cada equipo es puntuado por evaluadores externos y se suman los
puntos de los 5 equipos de cada universidad. La que obtenga mayor
puntuación es la universidad ganadora