• Like
Vc4 nm73 equipo6-w7u8t6
Upcoming SlideShare
Loading in...5
×

Vc4 nm73 equipo6-w7u8t6

  • 50 views
Uploaded on

 

More in: Career
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
50
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 INTRODUCCIÓN En el presente trabajo se detallan los temas relacionados con la seguridad informática, temas que son importantes para mantener la seguridad de nuestros sistemas y nuestras comunicaciones con el fin de conocer las vulnerabilidades, los riesgos, los agentes que dañan nuestros sistemas provocando pérdida, robo, modificación, etc., de información. Como primer tema tenemos el tema de cuentas sin contraseñas o contraseñas débiles enfocado a Windows donde detallaremos desde el origen del problema hasta nombrar algunas posibles soluciones o precauciones. Como segundo tema tenemos el Sendmail enfocado a Unix.empezando desde su definición hasta algunos pasos o comandos de configuración. El tercer tema se habla de registros de eventos (logging) de manera general, desde su definición hasta mostrar algunos ejemplos. Estos temas son muy importantes por lo cual se detallan de una forma resumida pero al mismo tiempo bien explicada ya que son temas extensos, se detallarán terminología que no se conoce o que pueda ser objeto de duda y que se relaciona con el tema o que lo lleva implícito. INDICE: INTRODUCCIÓN CUENTAS SIN CONTRASEÑA O CONTRASEÑA DÉBIL(accounts with No passwords or Weak Passwords) EN WINDOWS Sugerencias para crear una contraseña segura Metodología para la creación de contraseñas seguras SENDMAIL REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES CONCLUSIONES: BIBLIOGRAFÍA
  • 2. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 CUENTAS SIN CONTRASEÑA O CONTRASEÑA DÉBIL(accounts with No passwords or Weak Passwords) EN WINDOWS La mayoría de las formas de autenticación de usuario, así como la protección de archivos y datos, se basan en las contraseñas proporcionadas por el usuario. Dado que el acceso autentificado correctamente a menudo no se registra, o incluso cuando no se esté registrado es probable que despierte sospechas, una contraseña comprometida es una oportunidad para explorar un sistema desde el interior y sea prácticamente desapercibido por los usuarios. Un atacante tendría acceso completo a todos los recursos disponibles del usuario, y sería capaz de acceder a otras cuentas e incluso tener privilegios como administrador. Sistemas operativos afectados Cualquier sistema operativo o aplicación donde los usuarios se autentican a través de una identificación de usuario y contraseña pueden verse afectados. Por ejemplo, actualmente se descubrió una nueva amenaza se cierne sobre los sistemas operativos Mac y Linux, el troyano bautizado como BackDoor.Wirenet.1 ¿Por qué debemos establecer contraseñas seguras? Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticación. Esto incluye la existencia de cuentas sin contraseña (o con contraseñas ampliamente conocidas o fácilmente deducibles). Por otra parte es frecuente que diversos programas (o el propio sistema operativo) cree nuevas cuentas de usuario con un débil mecanismo de autenticación Por otra parte, a pesar de que Windows transmite las contraseñas cifradas por la red, dependiendo del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en un plazo de tiempo muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo de autenticación NTLMv2. Las vulnerabilidades de contraseñas más comunes son: (a) Que las cuentas de usuario tienen contraseñas débiles o en su defecto no tienen. (b) Independientemente de la fuerza de su contraseña, los usuarios no protegen sus sistemas.
  • 3. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 (c) Que el sistema operativo o software crea cuentas administrativas con contraseñas débiles o inexistentes. (d) Que los algoritmos hash de contraseñas se conocen ya menudo los hashes se almacenan de manera que sean visibles. Un investigador ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema. El uso de la función „indicio de contraseña‟ para crear las cuentas de usuario puede ayudar a recordar la misma en caso de olvido pero también ayuda un atacante a obtener la misma, incluso de forma remota. Estas sugerencias de contraseñas se almacenan en el registro del sistema operativo y aunque están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible. Ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit, el portal para herramientas de código abierto muy popular entre los hackers. Ophcrack – Crackear contraseña de Windows Ophcrack es una herramienta para crackear las contraseñas de Windows basada en las tablas Rainbow. El índice de éxito de acceso a claves de Ophcrack es del 99,9%, para claves que contengan números y letras. El funcionamiento utiliza la fuerza bruta para contraseñas simples; pero tablas Rainbow para las más complejas. Windows guarda la contraseña utilizando una función hash en C:WindowsSystem32configSAM. encuentra en este diccionario. ¿Que es el Mimikatz? Mimikatz es un programa desarrollado por Gentil Kiwi que nos permite descifrar las contraseñas de los administradores de un pc con Windows, a exportación de certificados marcados como no exportables o la obtención de hashes de la SAM. También se puede usar en un dominio. En este momento la ventaja que presenta esta aplicación es que no es detectado como aplicación maliciosa. Solo 8 de 44 antivirus la detecta como aplicación maliciosa. ¿Como se usa mimikatz? ❖ Solo hacemos doble click encima del ejecutable mimikatz.exe
  • 4. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 ❖ Nos saldrá una ventana tipo ms-dos ❖ Para sacar el nombre de usuario usamos el comando system::user y para el nombre de la máquina : system::computer ¿Cómo determinar si las contraseñas son vulnerables? La única manera de saber con certeza que cada contraseña individual es fuerte es probar todas ellas con las herramientas de crackeo utilizadas por los atacantes. Las mejores herramientas de cracking disponibles son: ❖ LC4 (l0phtcrack versión 4) ❖ John the Ripper ❖ Symantec NetRecon ¿Cómo protegerse? La mejor y más adecuada defensa frente a las debilidades de contraseñas es implementar una política sólida que incluye instrucciones completas para generar buenos hábitos de contraseñas y comprobación proactiva de la integridad de contraseñas. Asegurarse de que las contraseñas son fuertes . Sabemos que teniendo hardware especializado y con el tiempo suficiente, cualquier contraseña puede ser violada por la fuerza bruta. Pero hay maneras más sencillas para saber las contraseñas sin tales gastos. Muchas organizaciones instruyen a los usuarios que cuando generan contraseñas deben de incluir combinaciones de caracteres alfanuméricos y especiales. Por ejemplo si un usuarios toma como contraseña una palabra ("password") y la conversión de letras a números o caracteres especiales ("pa$$w0rd"). Este tipo de permutaciones no pueden proteger contra un ataque de diccionario, pero es menos probable que se descifre ya que se considera como una buena contraseña. Una política de contraseña segura debe dirigir a los usuarios a generar sus contraseñas de algo más aleatorio, como una frase o el título de un libro o una canción, donde puedan concatenan una palabra o la sustituyan por un carácter especial. ¿Cómo Proteger contraseñas seguras?
  • 5. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 Una vez que los usuarios siguen las instrucciones específicas para generar buenas contraseñas. La mejor manera de asegurarse que las contraseñas son seguras lo que se hace es la validación de la contraseña. Las Herramientas de Cracking deben ejecutarse en un modo independiente, como parte de la exploración rutinaria. Los usuarios cuyas contraseñas sean descifradas deben ser notificados de forma confidencial y dar seguimiento a las instrucciones sobre cómo elegir una buena contraseña. Control de Cuentas ● Las cuentas que no estén en uso deben ser desactivados o eliminados. ● Las cuentas basadas en servicios o administrativos que se utilizan deben tener contraseñas nuevas y fuertes. ● Realizar Auditoría de las cuentas en los sistemas y crear una lista maestra. ● Desarrollar procedimientos para agregar cuentas autorizadas a la lista. ● Validar la lista de forma regular para asegurarse de que no hay nuevas cuentas se han añadido y que las cuentas no utilizadas han sido eliminadas. ● Tener procedimientos rígidos para eliminar cuentas cuando los empleados o se van. Un ejemplo es Enterprise Security Manager de Symantec (ESM) es una herramienta de supervisión basada en host que controla los cambios en la política, creación de cuentas y de contraseñas. ESM también intentará descifrar contraseñas, ya que valida la que tan seguras son las contraseñas. ESM utiliza un entorno cliente-servidor. ¿Cómo se roban las contraseñas? Para saber cómo proteger tu contraseña correctamente, primero debes conocer a qué te estás enfrentando. ● Keyloggers: programas que se ejecutan en segundo plano, grabando un registro con todos los caracteres introducidos por el usuario. ● Contraseñas guardadas: Con acceso directo al equipo, no es necesario usar un keylogger para acceder a las contraseñas almacenadas, por ejemplo, en Firefox. ● Contraseña única: Si utilizas una misma contraseña para varias páginas, unwebmaster malintencionado, al registrarse en su web, podría obtener tu contraseña para iniciar sesión en otras páginas. ● Contraseña previsible: Dícese de aquella contraseña con la cual no te has comido demasiado la cabeza para generarla. Ejemplos: nombre de tu ciudad, etc..
  • 6. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 ● Listas de palabras: Se trata de listados -enormes- de palabras y contraseñas comunes que se utilizan probando una a una de forma automática (ataques de diccionario). ● Fuerza bruta: Una táctica alternativa a las listas de palabras. Consiste en probar todas la combinaciones posibles de caracteres hasta dar con la contraseña. Requiere máquinas potentes y mucho tiempo. ● Ingeniería social: A veces, no hace falta ser tan tecnológico para obtener la contraseña de alguien. ¿Tienes un post-it pegado en el monitor con la contraseña para "acceder a aquel sitio"? Métodos de ataque (Cracking) Algunos métodos comunes que los atacantes utilizan para descubrir la contraseña de las cuentas de usuario incluyen: ● Adivinar- El atacante intenta iniciar sesión con la cuenta del usuario adivinando posibles palabras y frases tales como nombres de sus familiares ● Ataque de Diccionario en línea- El atacante utiliza un programa automatizado que incluye un archivo de texto de las palabras. El programa intenta varias veces para iniciar sesión en el sistema de destino mediante una palabra diferente. ● Ataque de Diccionario Desconectado- Al igual que el ataque de diccionario en línea, el atacante recibe una copia del archivo donde se almacena la copia de hash. ● Ataque de Fuerza Bruta- Esta es una variación de los ataques de diccionario, pero está diseñado para determinar las claves que no pueden incluirse en el archivo de texto que se utiliza en esos ataques. Envejecimiento de las contraseñas El envejecimiento de contraseñas es una técnica utilizada por los administradores de sistemas para defenderse de las malas contraseñas dentro de la organización. El envejecimiento de contraseñas significa que luego de un tiempo determinado (usualmente 90 días) se le pide al usuario que cree una nueva contraseña. La teoría detrás de esto es que si un usuario es forzado a cambiar su contraseña periódicamente, una contraseña que ha sido descifrada por un cracker sólo le es útil por un tiempo determinado. La desventaja del envejecimiento de contraseñas, es que los usuarios tienden a escribir sus contraseñas. ¿Por qué se necesitan contraseñas seguras? Para contar con una buena seguridad en los sistemas de información, se requiere el uso de contraseñas seguras para todas las cuentas. Las contraseñas pueden ser el eslabón más débil de un sistema de seguridad informática. Las contraseñas seguras son importantes porque las herramientas de cracking de contraseñas siguen mejorando y los equipos que se
  • 7. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 utilizan para romper las contraseñas son cada vez más poderosos. Las contraseñas de algún sistema antes tardaban semanas para romperla, ahora se puede descifrar en cuestión de horas. Sugerencias para crear una contraseña segura Una contraseña segura: ● ● ● ● ● Es por lo menos ocho caracteres de longitud. No contiene su nombre de usuario, nombre real o nombre de la empresa. No contiene una palabra completa. Es muy diferente de las contraseñas anteriores. En Windows, una contraseña segura es una contraseña que contiene caracteres de cada una de las siguientes cinco categorías. Categoría de caracteres Ejemplos Las letras mayúsculas A,B,C,D Letras minúsculas a,b,c Números 0,1,2,3,4,5,6,7,8,9 Símbolos que aparecen en el teclado (todos `~! @ # $% ^ & * () _ - + = {} [] |:; "'<>, /.? los caracteres del teclado no se definen como letras o números) y espacios Caracteres unicode €, Γ,?? Y λ ● No utilices en tu contraseña información personal o que pueda relacionarse contigo. ● No utilices palabras (en cualquier idioma) que puedan encontrarse en un diccionario ● No hagas pública tu contraseña bajo ningún concepto. ● No utilices la misma contraseña.
  • 8. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 ● Nunca realices actividades bancarias en computadoras públicas como lo son los cafés Internet. ● No reveles tu contraseña a ninguna persona. ● Cambia de forma periódica tu contraseña. Metodología para la creación de contraseñas seguras Hay muchos métodos que la gente utiliza para crear contraseñas seguras. Uno de los métodos más populares incluyen acrónimos. Por ejemplo: ● Piense en una frase memorable, tal como: "Es más fácil creer que pensar con espíritu crítico." ● Luego, cámbielo a un acrónimo (incluyendo la puntuación). emfcqpcec. ● Añada un poco de complejidad sustituyendo números y símbolos por letras en el acrónimo. Por ejemplo, sustituya 7 por e y el símbolo arroba (@) por c: 7mf@qp@7@. ● Añada un poco más de complejidad colocando mayúscula al menos una letra ● 7Mf@qp@7@. U8. SENDMAIL Sendmail es el agente de transporte de correo más común de Internet (en los sistemas UNIX). Aunque actúa principalmente como MTA, también puede ser utilizado como MUA (Agente Usuario de Correo) aunque no posee interfaz de usuario. El propósito principal de Sendmail, como cualquier otro MTA, es el de transferir correo de forma segura entre hosts, usualmente usando el protocolo SMTP. Sendmail es altamente configurable, permitiendo el control sobre casi cada aspecto del manejo de correos, incluyendo el protocolo utilizado. Muchos administradores de sistemas seleccionan Sendmail como su MTA debido a su poder y escalabilidad. Las misiones básicas de sendmail son las siguientes: ● Recogida de mails provenientes de un Mail User Agent (MUA) como pueden ser elm, Eudora o pine; o provenientes de un Mail Transport Agent (MTA) como puede ser el propio sendmail. ● Elección de la estrategia de reparto de los mails, basándose en la información de la dirección del destinatario contenida en la cabecera: Si el mail es local en nuestro sistema, enviará el mail al programa de reparto local de mails.
  • 9. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 Si el mail no es local, sendmail utilizará el DNS de nuestro sistema para determinar el host al que debe ser enviado el mail. Para transferir el mensaje, iniciará una sesión SMTP con MTA de dicho host. Si no es posible mandar el mail a su destino (porque la máquina receptora esta desconectada,o va muy lenta), sendmail almacenará los mails en una cola de correo, y volverá a intentar el envío del mail un tiempo después. Si el mail no puede ser enviado tras un tiempo razonable, el mail será devuelto a su autor con un mensaje de error. ● Sendmail debe garantizar que cada mensaje llegue correctamente a su destino, o si hay error este debe ser notificado (ningún mail debe perderse completamente). ● Reformatear el mail antes de pasarlo a la siguiente máquina, según unas reglas de reescritura. Según el tipo de conexión que poseemos con una determinada máquina, o según el agente de transporte al que vaya dirigido el mail, necesitaremos cambiar los formatos de las direcciones del remitente y del destinatario, algunas líneas de la cabecera del mail, o incluso puede que necesitemos añadir alguna línea a la cabecera. Sendmail debe realizar todas estas tareas para conseguir la máxima compatibilidad entre usuarios distintos. ● Otra función muy importante de sendmail es permitir el uso de "alias" entre los usuarios del sistema;lo que nos permitirá (entre otras funciones) crear y mantener listas de correo entre grupos. ● Ejecución como agente de usuario (MUA). Aunque no posee interfaz de usuario, sendmail también permite el envío directo de mails a través de su ejecutable. Todas estas características y muchas otras que posee el sendmail deben ser configuradas y variarán de unos sistemas a otros. Para configurarlas hacemos uso del fichero de configuración de sendmail. La revisión y modificación de este fichero es bastante complicada y necesita de una serie de conocimientos previos. U8.1. Descripción Sendmail es el programa que envía, recibe y reenvía más correos electrónicos procesados sobre Unix y Linux. Uso generalizado de Sendmail en Internet ha sido históricamente un objetivo prioritario de los atacantes, dando lugar a numerosas hazañas en los últimos años. La mayoría de estos exploits son exitosos sólo en contra de las versiones anteriores del software. De hecho, Sendmail no ha tenido una vulnerabilidad de gravedad "alta" en dos años. A pesar de que estos problemas mayores están bien documentados y han sido reparados en las versiones más recientes, aún existen tantas versiones obsoletas o mal configuradas aún que hoy Sendmail sigue siendo uno de los servicios más frecuentemente atacados.
  • 10. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 Los riesgos que se presentan al ejecutar Sendmail se pueden agrupar en dos grandes categorías: la escalada de privilegios causados por desbordamientos de búfer y la configuración inadecuada que permite que el equipo sea un relé de correo electrónico desde cualquier otra máquina. El primero es un problema en cualquier sistema en donde aún marcha las versiones viejas de código. Los últimos resultados de usar ya sea incorrecto o archivos de configuración por defecto, y es un obstáculo principal en la lucha contra la proliferación de spam. U8.2 Sistemas operativos participantes Casi todos los sistemas Unix y Linux vienen con una versión de Sendmail instalada y con frecuencia activado por defecto. U8.3 Cómo determinar si sus sistemas son vulnerables Sendmail ha tenido a lo largo de la historia muchas vulnerabilidades. No siempre es confiable la versión de cadena devuelta por el daemon como es esta leída de un archivo de texto sobre el sistema que puede no estar adaptado correctamente. Averigüe cuál es la última versión (si se construye a partir de la fuente) o nivel del programa (si formaba parte de su sistema operativo) es para Sendmail, si no se está ejecutando, usted está probablemente vulnerable. U8.4¿Cómo protegerse contra ella? Los siguientes pasos se deben tomar para proteger a Sendmail: 1. Actualiza a la versión más reciente y / o implementar parches. El código fuente se puede encontrar en http://www.sendmail.org/ . 2. Sendmail es normalmente activado por defecto en la mayoría de los sistemas Unix y Linux, incluso aquellos que no están actuando como servidores de correo o relés electrónico. No ejecute Sendmail en modo daemon (apague el interruptor "-bd") en estas máquinas.Todavía se puede enviar correo desde este sistema mediante la invocación de "sendmail-q" periódicamente para limpiar la cola de salida. 3. Si debe ejecutar sendmail en modo daemon, asegúrese de que la configuración se ha diseñado para retransmitir correo debidamente y solamente para los sistemas bajo su ámbito de competencia. FUNCIONES: ● Recibo de emails provenientes de un Mail User Agent (MUA).
  • 11. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 ● Elección de la estrategia de reparto de los mails, basándose en la información de la dirección del destinatario contenida en la cabecera. ● Sendmail debe garantizar que cada mensaje llegue correctamente a su destino, o si hay error este debe ser notificado (ningún mail debe perderse completamente). ● Reformatear el mail antes de pasarlo a la siguiente máquina, según unas reglas de reescritura. ● Permitir el uso de "alias" entre los usuarios del sistema, lo que nos permitirá (entre otras funciones) crear y mantener listas de correo entre grupos. ● Ejecución como agente de usuario (MUA). Aunque no posee interfaz de usuario, sendmail también permite el envío directo de mails a través de su ejecutable. FICHEROS DE CONFIGURACIÓN COMANDO FUNCIÓN /etc/mail/access Base de datos de accesos de sendmail /etc/mail/aliases Carpeta de alias /etc/mail/local-hostnames Listados de máquinas para las que sendmail acepta correo /etc/mail/mailer.conf Configuración del programa de correo /etc/mail/mailertable Tabla de entregas de correo /etc/mail/sendmail.cf Archivo de configuración principal de sendmail /etc/mail/virtusertable Usuarios virtuales y tablas de dominio T6: REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES
  • 12. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 El logging ha sido la fuente primaria para documentar los eventos que se conceden en los sistemas operativos. El registro de eventos basado en un modelo de computación centralizado ésta actualmente obsoleto, hoy en día las fuentes a las que recurren los investigadores forenses que tiene acceso en un sistema de computación son entre otros, los registros del sistema, los registros de auditoría, los registros de las aplicaciones, los registros de gestión de redes, la captura del tráfico de red o los datos del sistema de ficheros. Al intercambiar información entre una red local e Internet, la probabilidad de que un atacante llegue silenciosamente está siempre latente. Cada semana se descubren nuevas vulnerabilidades y existen muy pocas formas de defenderse de los ataques que hagan uso de las mismas. Una vez que se haya atacado, sin los registros (logs) hay muy pocas probabilidades de que descubra qué hicieron realmente los atacantes. Sin esa información las organizaciones deben elegir entre cargar completamente el sistema operativo desde el soporte original y luego esperar que los respaldos se encuentren en buenas condiciones, o bien correr y asumir el riesgo que representa seguir utilizando un sistema que un atacante controla. No es posible detectar un ataque si no sabe qué está ocurriendo en la red. Los registros le proporcionan los detalles de lo que está ocurriendo, qué sistemas se encuentran bajo ataque y qué sistemas han sido ya afectados. Los registros deben ser realizados de forma regular, sobre todos en los sistemas clave, y deben ser archivados y respaldados porque nunca se sabe cuándo se pueden necesitar. La mayoría de los expertos recomiendan enviar todos los registros a una base de datos central que escriba la información en un soporte que sólo admita una escritura, con el fin de que el atacante no pueda sobrescribir los registros. Registro de Eventos en Windows El registro de eventos está habilitado automáticamente de forma predeterminada y no hay ningún mecanismo para deshabilitarlo. Los eventos registrados por WCF se pueden ver utilizando el Visor de eventos. Para iniciar esta herramienta, haga clic en Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, de nuevo doble clic en Visor de eventos. ¿Qué información aparece en los registros de eventos? (Visor de eventos) En el Visor de eventos, la información se organiza en diversos registros. Los registros de Windows incluyen: ● Eventos de aplicaciones (programas). Cada evento se clasifica como error, advertencia o información, dependiendo de su gravedad. Un error es un problema importante, como una pérdida de datos. Una advertencia es un evento que no es
  • 13. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 importante necesariamente, pero puede indicar la posibilidad de problemas en el futuro. Un evento de información describe la operación correcta de un programa, un controlador o un servicio. ● Eventos relacionados con la seguridad. Estos eventos se conocen como auditorías y se describen como correctos o con error, dependiendo del evento, como por ejemplo, si un usuario consigue iniciar una sesión en Windows correctamente. ● Eventos de configuración. Los equipos que se han configurado como controladores de dominio dispondrán de más registros aquí. ● Eventos del sistema. Los eventos del sistema los registran Windows y los servicios del sistema de Windows, y se pueden clasificar como error, advertencia o información. ● Eventos reenviados. Estos eventos se reenvían a este registro desde otros equipos. Los registros de aplicaciones y servicios pueden variar. Incluyen registros independientes para los programas que se ejecutan en el equipo, así como registros más detallados relacionados con servicios específicos de Windows. 1. Para abrir Visor de eventos, haga clic en el botón Inicio, en Panel de control, en Sistema y mantenimiento, en Herramientas administrativas y, a continuación, haga doble clic en Visor de eventos. Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación. 2. Haga clic en un registro de eventos, en el panel izquierdo. 3. Haga doble clic en un evento para ver los detalles correspondientes. Logging a registro de eventos del sistema. Cuando logeamos una aplicación como sucesos del sistema, para poder ver los logs tendremos que emplear el visor de sucesos de Windows. Para logear como sucesos del sistema, dentro del configurador, en la sección correspondiente a logging settings, es necesario crear un nuevo trace listener, para logear a un suceso del sistema, crearemos un Event Log Trace Listener. Dentro de las propiedades a establecer para este tipo listener, las más destacables son: ● Name: nombre, sirve para referenciarlo desde las categorías. ● Formatter Name: nombre del formateador a utilizar (si es que se va a utilizar un fomateador). ● Log Name: nombre del eventlog en el cual se van a escribir los eventos (por defecto Aplication). ● Machine Name: Nombre de la máquina en la cual se va a escribir el log.
  • 14. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 ● Severity Filter: indica el nivel de log que se va a registrar. Existen los siguientes niveles de log: All, Off, Critical, Error, Warning, Information, Verbose. Cuando se logea un nivel, se logea dicho nivel y todos los que sean más importantes. Por ejemplo, el nivel warning, logeará warnings, errors y critical. ● Source Name: nombre que aparecerá como origen del error. ● Trace output: son los parámetros que se han de pasar al formateador. (Por defecto se pasan todos). ● Type Name: Nombre del tipo de listener (si construimos nuestro propio Event Log Trace Listener, este campo contendrá el nombre de nuestro tipo, como aquí empleamos el tipo por defecto, este es su nombre). De esta sencilla forma, logeamos eventos, errores para ser visualizados con el visor de sucesos de windows, el principal inconveniente es que hay que ir entrando uno por uno en todos los errores para poder ver lo ocurrido, mientras que si logeamos a un fichero de texto, con un golpe de vista vemos muchos más eventos. CONCLUSIONES: Dentro de esta investigación realizada, pudimos observar que todos los sistemas operativos siempre van a presentar una o varias vulnerabilidades, en el caso del tema de equipo Registro de eventos(Logging) , consideramos que parte de la seguridad en los sistemas de información radica en que se implementen los logs, ya que al tener un registro de todas las acciones o movimientos que ocurren, es posible saber en caso de que una persona ajena ataque o se infiltre realizando cambios que perjudiquen la información confidencial, los logs sirven para presentarlos como evidencia digital ante una situación legal. También otra utilidad de los logs es para saber el estado en el que se encuentra el sistema, es decir si su funcionalidad es óptima, o si tiene problemas de vulnerabilidad, de tal manera que nos permita tomar medidas tanto preventivas como correctivas y generar soluciones . Pudimos ver que existen herramientas especializadas que son libres y comerciales para las plataformas windows y unix, que permiten generar los archivos de registro, pero también estos sistemas operativos cuentan con herramientas no tan sofisticadas, pero aun asi nos proporcionan información sobre el estado en el que se encuentran funcionando nuestro sistemas y sus aplicaciones. Dentro de lo que es las contraseñas débiles nos pudimos dar cuenta que las últimas versiones de Windows son las más vulnerables en cuanto a este tema, ya que con el algoritmo que cuenta para poder codificar las contraseñas es muy fácil de descifrar y más
  • 15. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 cuando las contraseñas del usuario son débiles, es decir, se pueden obtener con cualquier programa desarrollado porque las personas tienden a poner solo números y letras, sin símbolos especiales como son el arroba (@), signo de admiración o interrogación (?¿!¡) entre otros caracteres especiales, y cuando ponemos o activamos lo que es las “sugerencias” les estamos dando la facilidad de que consigan nuestras contraseñas a cualquier persona que tenga intención de querer actuar maliciosamente. Pero corremos más riesgo cuando nosotros no protegemos nuestras cuentas de usuarios, es decir utilizamos la misma contraseña en todas las cuentas que tenemos, o no aplicamos las normas de seguridad para las mismas, a veces nosotros como usuarios se nos hace fácil proporcionarionarla a otras personas sin saber el riesgo que esto ocasiona, a algunos usuarios este tema de las contraseñas no es de su interés y dejan pasar por alto todos los riesgos y amenazas que conlleva todo esto de la seguridad informática y algunos creen aplicando una de las normas como lo cambiarla periódicamente están exentos de peligro, pero no es así, dado que la aplicación de políticas, normas sólo nos permite vivir con el menor riesgo posible. El empleo constante de contraseñas para la protección de nuestra información, debe considerarse en la actualidad como un hábito de nuestro quehacer cotidiano, parte de nuestra cultura, teniendo en cuenta que el contacto con la computadora y las redes de comunicación es inevitable e imprescindible en muchas de las actividades que desempeñamos diariamente por tal motivo es importante educar a los usuarios acerca de los beneficios del uso de contraseñas seguras y enseñarles cómo crear contraseñas que son realmente fuertes. BIBLIOGRAFÍA Documentos electrónicos Web Site Microsoft Soporte.(2013).Cómo ver y administrar los registros de eventos en el Visor de eventos de Windows XP. Recuperado de http://support.microsoft.com/kb/308427/es.Id. de artículo: 308427. Niño, Diana Carolina y Sierra, Alejandro.(2007).Centralización de registros de eventos. Recuperado de http://pegasus.javeriana.edu.co/~regisegu/Docs/articulo.pdf.
  • 16. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN:13 DE SEPTIEMBRE DE 2013 Artículo de Revista Seifried,Kurt.(2011).Logs desde Windows y procesamiento de logs.LINUX-MAGAZINE. Recuperadodehttp://www.linux-magazine.es/issue/79/060062_InseguridadesLogsdeWindowsLM79.pdf. NOTICIAS DE INFORMATICA Y COMPUTACION (2012) http://deredes.net/ophcrackcrackear-contrasena-de-windows/ MANUAL ELECTRÓNICO Berkeley(1998).UNIX System Manager's http://www.sendmail.org/~ca/email/man/sendmail.html Manual. Recuperado de