• Save
Amenazas a la Seguridad Informática
Upcoming SlideShare
Loading in...5
×
 

Amenazas a la Seguridad Informática

on

  • 7,018 views

 

Statistics

Views

Total Views
7,018
Views on SlideShare
7,018
Embed Views
0

Actions

Likes
6
Downloads
0
Comments
1

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Amenazas a la Seguridad Informática Amenazas a la Seguridad Informática Presentation Transcript

  • 1 GRUPO # 1“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran eldinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la genteque usa y administra los ordenadores” Kevin Mitnick AMENAZAS A LA SEGURIDAD INFORMÁTICA Presentado por: Carlos Brassfield, Ronald Rodríguez y Marcos Rojas
  • 2 Objetivos  Conocer el perfil de los intrusos y sus motivaciones.  Presentar los distintos tipos de ataques informáticos.
  • Amenaza a la Seguridad3 Informática A la hora de estudiar los distintos tipos de ataques informáticos, podríamos diferenciar en primer lugar entre los ataques activos, que producen cambios en la información y en la situación de los recursos del sistema, y los ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema. View slide
  • Clasificación de los Intrusos en las4 Redes. Hackers: El primer eslabón de una sociedad delictiva según los medios de comunicación. Dominan la programación y la electrónica para lograr comprender sistemas tan complejos como la comunicación móvil. Crackers (Blackhats): Es el siguiente eslabón y por lo tanto el primero de una familia rebelde. Es un experto fascinado por la capacidad de romper sistemas y software que se dedica únicamente a crackear sistemas. Sniffers: Son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet. Hacen uso de programas informáticos que registran la información que envían los periféricos de una red para poder monitorear la actividad de una determinad computadora , su principal función es obtener información de la red, tal como: Cuentas, passwords, IP, MAC, entre otros. Phreakers: Este grupo es bien conocido en la Red por sus conocimientos en telefonía. Un Phreaker posee conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles. En la actualidad también poseen conocimientos de tarjetas prepago, ya que la telefonía celular las emplea habitualmente. View slide
  • 5 Spammers: Aquella persona que roba o compra direcciones de correo electrónico y realiza el envío masivo de correos no solicitados a estas direcciones. También, puede realizar el envío de spam (versión electrónica del correo basura) a través de redes como internet y otras tecnologías provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios. Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”). Piratas Informáticos: Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual.
  • 6 Creadores de virus y programas dañinos Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas. Lamers (“wannabes”): “Scriptkiddies” o “Click-kiddies” Los “lamers”, también conocidos por “script kiddies” o “click kiddies” , son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.
  • 7 Amenazas del personal interno: también debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria. Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización. Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (“insiders”) como con los usuarios externos del sistema informático (“outsiders”). Ex-empleados Los ex-empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido. Intrusos remunerados: Los intrusos remunerados son expertos informáticos contratados por un tercero para la sustracción de información confidencial, llevar a cabo sabotajes informáticos contra una determinada organización.
  • Hackers, Crackers y Phreakers8 famosos La vida del El reconocido estadounidense John Draper cambió por culpa hacker de un silbato. Este viejo John hablará sobre hacker logró violar la seguridad de la su historia y empresa de Draper cómo puso telecomunicaciones AT&T basándose en la en jaque las frecuencia que producía este juguete, que venía redes de como regalo para los niños en las cajas del AT&T. cereal Captain Crunch.
  • 9 Vladimir Levin Matemático ruso, dejo Desde su computadora Transfirió los fondos a la ciencia para instalada en la empresa cuentas abiertas en dedicarse al asalto de AO Saturn, de San Finlandia, Israel y en el sistemas informáticos Petersburgo, donde Bank of América de de entidades trabajaba, Levin San Francisco, Estados financieras. Mucho más irrumpió en las cuentas Unidos. Este es un rentable. del Citibank de New documental que cuenta York su historia.
  • 10 Kevin Poulsen En 1989 fue acusado por La condena por estos Durante el caluroso mes de delitos de delitos podía suponerle Junio en 1990 en Los conspiración, fraude, escuchas pasar 37 años en la Ángeles, una emisora de telefónicas ilegales y blanqueo cárcel, pero escapó. radio proporcionó de dinero. Había estado espiando la línea de teléfono Y estuvo fugado durante 17 involuntariamente, la clave de una actriz en meses, pero la codicia pudo que puso fin a las Hollywood, planeado el robo y más que él actividades delictivas de venta de secretos militares, y Poulsen. accedido a un ordenador del propio FBI donde se almacenaba información sobre Ferdinand Marcos .
  • 11 Kavin Mitnick Como cracker, la carrera de Su bautismo como infractor Una vez dentro de las Kevin Mitnick comenzó a los de la ley fue en 1981. Junto oficinas obtuvieron la lista 16 años, cuando a dos amigos, entró de claves de seguridad, la obsesionado por las redes físicamente a las oficinas de combinación de las puertas de ordenadores rompió la COSMOS, de Pacific de acceso de varias seguridad del sistema Bell, COSMOS (Computer sucursales y manuales del administrativo de su System for Mainframe sistema COSMOS. La colegio, pero no para alterar Operations) era una base información robada tenía un sus notas; lo hizo "solo para de datos utilizada por la valor equivalente a los mirar". mayor parte de las 200.000 dólares. compañías telefónicas norteamericanas para controlar el registro de llamadas.
  • MOTIVACIONES DE LOS12 ATACANTES El FBI ha acuñado el acrónimo MICE para resumir las distintas motivaciones de los atacantes e intrusos en las redes de ordenadores: Money, Ideology, Compromise y Ego (Dinero, Ideología, Compromiso y Autorrealización personal). Consideraciones Económicas llevar a cabo operaciones fraudulentas; robo de información confidencial que posteriormente es vendida a terceros; extorsiones (si no se paga un determinado “rescate” se elimina información o se daña de forma irreparable un sistema que haya sido comprometido); intentos de manipulación de las cotizaciones de valores bursátiles Diversión algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. Ideología ataques realizados contra determinadas organizaciones, empresas y Websites gubernamentales, con un contenido claramente político. Autorrealización Búsqueda de reconocimiento Social y de un cierto estatus dentro de una comunidad de usuarios.
  • FASES DE UN ATAQUE13 INFORMÁTICO Descubrimient Los ataques oy contra redes exploración del sistema de informático. ordenadores y sistemas Explotación de las informáticos Eliminación de las pruebas que puedan vulnerabilidades revelar el ataque y el compromiso del suelen sistema: eliminación o modificación de los detectadas (para ello, se registros de actividad del equipo (“logs”); suelen utilizar constar de modificación de los programas que se herramientas encargan de monitorizar la actividad del las etapas o sistema. Muchos atacantes llegan incluso a específicamente parchear la vulnerabilidad descubierta en el construidas para tal fases que se sistema para que no pueda ser utilizada por fin, conocidas como otros intrusos. presentan a exploits”). Explotación de las vulnerabilidades continuación detectadas (para ello, se suelen utilizar herramientas específica corrupción o : compromiso del sistema: modificación de programas y ficheros del sistema para dejar instaladas determinadas puertas traseras o troyanos; creación de nuevas cuentas con privilegios administrativos que faciliten el posterior acceso del atacante al sistema afectado especialmente construidas para tal fin, conocidas como exploits”).
  • El “Triángulo de la Intrusión14 Fallos en la seguridad Oportunidad de la red y/o de los equipos Intrusión en la red o sistema Informático Conocimientos Diversión Lucro Motivo Medios técnicos Herramientas personal
  • Medios y Herramientas de disponibles (“Hacking Tools”)15 Sniffers Backdoors kits Exploits Dispositivos que Programas que capturan los paquetes Herramientas que permiten abrir y de datos que circulan buscan y explotan explotar “puertas por una vulnerabilidades traseras” en los red. conocidas. sistemas. Rootkits Auto-rooters Password crackers programas utilizados por los herramientas capaces de aplicaciones que atacantes para ocultar “puertas automatizar totalmente un traseras” en los propios ficheros ataque, realizando toda la secuencia permiten averiguar las ejecutables y servicios del de actividades para localizar un contraseñas de los sistema, que son modificados para sistema, escanear sus posibles facilitar el acceso y posterior control vulnerabilidades, explotar una usuarios del sistema del sistema. determinada vulnerabilidad y obtener comprometido. el acceso al sistema comprometido. Herramientas que facilitan Generadores de la ocultación y la Herramientas de cifrado y implantación de direcciones protocolos criptográficos virus y otros IP técnicas de programas malignos “spoofing”), dificultando de (como PGP, SSH , SSL o este modo la identificación IPSec) del atacante. Escáneres de puertos, que permiten detectar los servicios instalados en un determinado sistema informático.
  • 16Cada día se descubren nuevos puntos débiles y, por lo general, sonpocos los responsables de IT que comprenden en su justa medida laimportancia que tiene la seguridad y cómo pueden abordar el graveproblema que existe detrás de vulnerabilidades que permiten a unatacante, violar la seguridad de un entorno y cometer delitos en funciónde los datos robados. TIPOS DE ATAQUES INFORMÁTICOS “Si utilizas al enemigo para derrotar al enemigo, serás poderoso en cualquier lugar a donde vayas.” Sun Tzu, El arte de la guerra.
  • Conceptos importantes17 Afortunadament e, en la Ingeniería Factor Códigos actualidad existe una gama muy Social Insiders maliciosos amplia de consiste en la herramientas de Una de las formas Son una de las obtención de más eficaces que principales amenazas seguridad lo información sensible posee un atacante de seguridad para de un usuario cercano suficientemente para romper los cualquier Organización a una sistema esquemas de y aunque parezca un eficaces que explotando ciertas seguridad, es desde el tema trivial, suele ser permiten características que interior de la motivo de importantes son propias del ser obtener un organización. pérdidas económicas. humano. adecuado nivel de seguridad ante intrusiones Es necesario acudir a la implementación de no autorizadas estrategias de defensa programas antivirus haciendo que la la única manera de internas y específicas que también permitan labor de los hacer frente a los para el control de monitorear la red junto métodos de Ingeniería posibles ataques a planes de educación atacantes se Social es la educación. ocasionados por el orientados a crear transforme en personal de la conciencia en el un camino difícil organización. personal. de recorrer.
  • Tipos de ataques 18• Liberación del• contenido del mensaje. Análisis de tráfico. Ataques producen cambios en la información y en la activos situación de los recursos del sistema Ataques • Modificación del se limitan a registrar el pasivos mensaje. uso de los recursos y/o • Denegar entrega de a acceder a la mensaje. información guardada • Retardar entrega o transmitida por el de mensajes. sistema • Enmascarar.
  • 19 Actividades de reconocimiento de sistemas Persiguen obtener información previa sobre las organizaciones y sus redes y sistemas informáticos, realizando para ello un escaneo de puertos para determinar qué servicios se encuentran activos o bien un reconocimiento de versiones de sistemas operativos y aplicaciones, por citar dos de las técnicas más conocidas.
  • Actividades de reconocimiento de20 sistemas Información sobre nombres de Dominio, páginas Web y direcciones IP. • Base de datos WHOIS • DNS Stuff • PING Información registrada en buscadores como Google. Identificación de Sistemas y Escaneo de puertos. • Técnica “TCP Connect Scanning” • Técnica “TCP SYN Scanning” • Técnica “TCP FIN Scanning”
  • Detección de Vulnerabilidades en los21 Sistemas Este tipo de ataques tratan de detectar y documentar las posibles vulnerabilidades de un sistema informático, para a continuación desarrollar alguna herramienta que permita explotarlas fácilmente (herramientas conocidas popularmente como “exploits”).
  • Historia y Evolución22 Grace Murray Hopper, trabajando con la Mark II de la universidad de incidentes Harvard descubre el 9 de 16000 15,167 septiembre de 1945 una falla debido a una polilla (bug) que se 14000 había introducido entre los contactos de una de las válvulas 12000 de la computadora. 9,859 10000 El 22 de noviembre de 1988, Robert Morris crea por error 8000 el primer "worm" o "gusano" que se propago por Internet y afecto 6000 diversas computadoras. 3,734 4000 2,800 2,412 Después de este incidente la DARPA creó el famoso CERT 2000 1,102 (Computer Emergency Response 6 252 Team) cuyo objetivo era facilitar 0 una respuesta rápida a los 1,988 1,990 1,992 1,994 1,996 1,998 1,999 2,000 problemas de seguridad que incidentes 6 252 1,102 2,412 2,800 3,734 9,859 15,16 afectaran a redes de ordenadores conectados a Internet.
  • Causas de las vulnerabilidades de23 los sistemas de información Debilidad en el diseño de los protocolos utilizados en las redes. Ejemplo: Telnet, FTP, SNMP pero también conocido como "security not my problem". Errores de programación. Configuración inadecuada de sistemas informáticos. Políticas de seguridad deficientes o inexistentes. Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática. Disponibilidad de herramientas que facilitan los ataques. Existencia de "puertas traseras" en los sistemas. Descuido de los fabricantes.
  • Tipos de vulnerabilidades24 • Routers, modems. • Sistemas operativos, servidores y bases de • Cámaras web y servidores de video. datos. • Impresoras, escáneres, faxes, fotocopiadoras. • Navegadores. • Teléfonos móviles (snarfing o bluesnarfing). • Aplicaciones de oficina (word, excel). • Agendas electrónicas. • Utilerias (winamp, wmp, flash). Vulnerabilidades Vulnerabilidades que afectan que afectan programas y equipos aplicaciones
  • Herramientas para la evaluación25 de vulnerabilidades En la Parches del sistema Seguridad en los revisión de operativo archivos equipos y servidores Servicios y se deberían Cuentas de usuarios aplicaciones instaladas analizar y evaluar los Protocolos y Control de acceso a siguientes servicios de red los recursos aspectos: Configuración de las Registro y auditoría herramientas de de eventos seguridad Test de penetración internos y externos
  • Robo de información mediante la interceptación26 de mensajes Ataques que tratan de interceptar los mensajes de correo o los documentos que se envían a través de redes de ordenadores como Internet, vulnerando de este modo la confidencialidad del sistema informático y la privacidad de sus usuarios.
  • Tipos de ataques27 Estas se dan a través de fenómenos de: Modificación Generación Interceptación Interrupción
  • Modificación del contenido y secuencia de los28 mensajes transmitidos En estos ataques, los atacantes tratan de reenviar mensajes y documentos que ya habían sido previamente transmitidos en el sistema de información, tras haberlos modificado de forma maliciosa; también se conocen como ataques de repetición (en idioma inglés, replay attacks).
  • 29 Análisis de tráfico Estos ataques persiguen observar los datos y el tipo de tráfico transmitido a través de redes informáticas, utilizando para ello herramientas como los “sniffers”. Así, se conoce como “eavesdropping” a la interceptación del tráfico que circula por una red de forma pasiva, sin modificar su contenido.
  • Análisis de tráfico30Una organización podría protegerse frente a los “sniffers” recurriendo a la utilización deredes conmutadas (“switches” en lugar de“hubs”) y de redes locales virtuales (VLAN).En redes locales que utilizan“switches”, un atacante podría llevar a cabo un ataqueconocido como “MAC flooding” para provocar un desbordamiento de las tablas dememoria de un switch (tablas denominadas CAM por los fabricantes) para conseguirque pase a funcionar como un simple “hub” y retransmita todo el tráfico que recibe através de sus puertos (al no poder “recordar” qué equipos se encuentran conectados asus distintos puertos).Por otra parte, en las redes VLAN un atacante podría aprovechar el protocolo DTP(Dynamic Trunk Protocol),utilizado para poder crear una VLAN que atraviese variosswitches, para intentar saltar de una VLAN a otra, rompiendo de este modo elaislamiento físico impuesto para separar sus distintas redes locales.
  • 31 Ataques de suplantación de la identidad La suplantación de identidad es un tipo de ataque que se realiza con la finalidad de robar información privada, como credenciales de acceso o números de tarjetas de crédito, normalmente para cometer distintos tipos de fraudes financieros. El atacante se hace pasar por una entidad de confianza, como un banco, un organismo gubernamental, un proveedor de servicios de Internet o un sitio web de renombre, e intenta engañar a los usuarios para que le faciliten su información privada.
  • IP Spoofing32  Un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado.
  • DNS Spoofing33 Pretenden provocar un direccionamiento erróneo en los equipos afectados, debido a una traducción errónea de los nombres de dominio a direcciones IP, facilitando la redirección de los usuarios de los sistemas afectados hacia páginas Web falsas o bien la interceptación de sus mensajes de correo. Se este modo, se persigue “inyectar” información falsa en el base de datos del DNS, procedimiento conocido como “envenenamiento de la caché del servidor DNS”.
  • Cambios en el registro de nombres34 de dominio de InterNIC InterNIC, la abreviatura de Internet Network Information Center, fue el principal organismo gubernamental de internet responsable de los nombres de dominio y las Direcciones IP, las asignaciones fueron hasta el 18 de septiembre de 1998, cuando este papel fue asumido por la ICANN. La Corporación para la Asignación de Nombres y Números de Internet (ICANN) es responsable de la administración y coordinación del Sistema de nombres de dominio (DNS), a fin de garantizar que cada dirección sea única y que todos los usuarios de Internet puedan encontrar todas las direcciones válidas. Esto se logra mediante supervisión de la distribución de direcciones IP y nombres de dominio únicos. También garantiza que cada nombre de dominio se asocie a la dirección IP correcta. Un intento de acceso no autorizado o mal realizado a los registros de la ICANN puede comprometer toda la Internet.
  • SMTP Spoofing35 Consiste en suplantar la identidad con remitentes falsos de correo, de forma que se ponga en entre dicho la reputación de un remitente, e invadiendo el correo electrónico, este tipo de ataques lo suelen hacer los llamados “spammers”, que envía correos basura con falsa identidad. El protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado. El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo. Suele emplearse para el envío no deseado de publicidad o información.
  • Algunas medidas para ataques de36 suplantación de identidad:  Ten cuidado con los mensajes de correo electrónico en los que te pidan que proporciones información confidencial.  Accede al sitio desde tu navegador en vez de hacer clic en enlaces de mensajes de correo electrónico sospechosos.  Si has entrado en un sitio en el que te piden que introduzcas información confidencial, busca
  • Captura de cuentas de usuario y contraseñas37 “Snooping” Se conoce como “snooping” a la técnica que permite observar la actividad de un usuario en su ordenador para obtener determinada información de interés, como podrían ser sus contraseñas. Los programas que permiten realizar esta actividad se conocen con el nombre de “snoopers”, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos de
  • Modificaciones del tráfico y de las tablas de38 enrutamiento Los ataques de modificación del tráfico y de las tablas de enrutamiento persiguen desviar los paquetes de datos de su ruta original a través de Internet, para conseguir, por ejemplo, que atraviesen otras redes o equipos intermedios antes de llegar a su destino legítimo, para facilitar de este modo las actividades de interceptación de datos.
  • Conexión no autorizada a equipos y39 servidores Consiste en llegar a validarse en un equipo saltándose todas las reglas de seguridad, de forma que podamos tener el control como administradores del sistema. Tendremos acceso a toda la información del equipo y a su configuración.
  • Métodos para una conexión no40 autorizada Violación de sistemas de control de acceso. Utilización de puertas traseras. Utilización de “rootKits”. “Wardialing”
  • Consecuencias de las conexiones no autorizadas a41 los sistemas informáticos Las conexiones no autorizadas a los sistemas informáticos pueden acarrear graves consecuencias para la organización afectada por este tipo de ataques e incidentes.
  • Algunas consecuencias…42 Transmisión de Utilización inadecuada Acceso a información mensajes mediante un de determinados confidencial guardada servidor de correo por servicios por parte de en un servidor. parte de usuarios ajenos usuarios no autorizados. a la organización. Utilización de la Creación de nuevas Consumo del ancho de capacidad de cuentas de usuario con banda de la red de la procesamiento de los privilegios organización para otros equipos para otros fines. administrativos. fines. Modificación o Almacenamiento de destrucción de archivos contenidos ilegales en y documentos “Website vandalism”. los equipos. guardados en un servidor.
  • Introducción en el sistema de “malware” (código43 malicioso) Se trata de un código malicioso o dañino susceptibles de causar daños en las redes informáticas. Es importante destacar la gran facilidad y velocidad de propagación mediante el correo electrónico.
  • VULNERABILIDAD FISICA VULNERABILIDAD NATURAL promueve EMPRESA VULNERABILIDAD DE HARDWARE tipos VULNERABILIDAD DE SOFTWARE VULNERABILIDAD DE ALMACENAMIENTO compone PROCESO DE LA VULNERABILIDAD DE COMUNICACION ACTIVO COMUNICACION VULNERABILIDAD HUMANA presenta tipos VULNERABILIDAD genera INFORMACION AMENAZA ataca elimina EQUIPOS RIESGO PERSONAS enfrenta MEDIDAS DE SEGURIDAD controla PLAN DE CONTINGENCIA acciones tipos implementa PREVENTIVA ANALISIS DE RIESGOS PERCEPTIVA POLITICAS DE SEGURIDAD CORRECTIVA ESPECIFICACIONES DE SEGURIDAD ADMINISTRACION DE SEGURIDADRESUMEN44
  • 45VIRUS
  • ¿Qué es un virus?46 Un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite. Los virus pueden dañar el software, el hardware y los archivos. Virus Código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa host y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información.
  • ¿Qué es un gusano?47 Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.
  • ¿Qué es un troyano?48 Un troyano o caballo de Troya es un programa que se diferencia de los virus en que no se reproduce infectando otros ficheros. Tampoco se propaga haciendo copias de sí mismo como hacen los gusanos. Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología. Llegan al ordenador como un programa aparentemente inofensivo, pero al ejecutarlo instala en el ordenador un segundo programa: el troyano. Los efectos de los troyanos pueden ser muy peligrosos. Permiten realizar intrusiones o ataques contra el ordenador afectado, realizando acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Troyano Programa informático que parece ser útil pero que realmente provoca daños.
  • Ataques de “Cross-site scripting”49 XSS Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.
  • Las vulnerabilidades XSS han existido desde los primeros días de50 la Web
  • ATAQUES POR INYECCION DE51 CODIGO SQL El ataque por inyección de código SQL se produce Se conoce como Inyección cuando no se filtra de forma SQL, indistintamente, al adecuada la información tipo de vulnerabilidad, al enviada por el usuario. Un método de infiltración, al usuario malicioso podría hecho de incrustar código incluir y ejecutar textos que SQL intruso y a la porción representen nuevas de código incrustado. sentencias SQL que el servidor no debería aceptar.
  • Ejemplo de Inyección de código de52 SQL SELECT * FROM usuarios Si en el servidor se va a se podría producir un ataque WHERE username = " + ejecutar una sentencia SQL si el usuario especifica lo username + "AND del tipo: siguiente: password=" + password +"; password: ya que entonces la tabla usuarios seria borrada de la username: ; drop table base de datos, denegando el users ; acceso a todos los demás usuarios (ataque de denegación de servicio).
  • Ejemplos de ataques53 • Obtención de la base de datos completa usando sentencias SELECT • Modificación o inserción de datos usando INSERT o UPDATE • Borrado de la base de datos usando DELETE • Ejecución de comandos del sistema operativo usando EXEC master.dbo.xp_cmdshell por ejemplo, el valor de pass sería pass=hack EXEC master.dbo.xp_cmdshellcmd.exe dir c:-- • Apagado remoto del servidor pass=hack EXEC master.dbo.xp_cmdshellcmd.exe shutdown- -
  • ¿Qué Bases de datos son54 susceptibles a Inyección SQL? • Se ejecuta con privilegios de root por defecto • Volcado a ficheros con INTO OUTFILE MySQL • La ejecución de sentencias múltiples es POCO PROBABLE, pocos módulos lo permiten Oracle y • La ejecución de sentencias múltiples NO está permitida • Anidamiento de consultas SELECT y uso de UNION posible DB2 • Uso de procedimientos invocables desde la inyección • La ejecución de sentencias múltiples SI está permitida • Anidamiento de consultas SELECT y uso de UNION posible Postgres • Uso de procedimientos invocables desde la inyección • Uso de COPY posible como súper usuario • La ejecución de sentencias múltiples SI está permitida • Anidamiento de consultas SELECT y uso de UNION posible MS SQL • Uso de procedimientos invocables desde la inyección (mención especial de xp_cmdshell )
  • FRAUDES, ENGAÑOS Y55 EXTORSIONES Los fraudes y estafas financieros a través de Internet se han hecho muy frecuentes en estos últimos años. Se utiliza el término de “phishing” para referirse al tipo de ataques que tratan de obtener los números de cuenta y las claves de acceso a servicios bancarios, para realizar con ellos operaciones fraudulentas que perjudiquen a los legítimos propietarios. Generalmente, se utilizan páginas Web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar.
  • FRAUDES, ENGAÑOS Y56 EXTORSIONES En mayo de 2005 se informaba de varios casos de “crackers” que habían conseguido “secuestrar” archivos o páginas Web de otros usuarios, solicitando un rescate para proceder a su “liberación”. Para ello, los atacantes codificaban los documentos afectados para impedir que su propietario los pudiera abrir, solicitando a continuación una suma de dinero en concepto de “rescate” para devolver al usuario el acceso a sus archivos. De hecho, los casos de chantaje y extorsión on-line se están extendiendo en países como Estados Unidos. En muchos de estos casos, los chantajistas aseguran tener información confidencial sobre la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero.
  • Caso: Amanda Benavides57  “Pilas porque puede aparecer muerta”. Inicialmente lo tomó como una broma más de un contacto. Lo que le llamó la atención es que nunca ha aceptado a ese contacto para recibir información suya.  Luego de varias semanas, ella y varios de sus contactos recibieron un fotomontaje en el que aparecía cubierta de sangre y se repetían las mismas palabras intimidatorias.  Amanda borró el contacto del cual le hacían llegar las amenazas; pero no pasó mucho tiempo para darse cuenta de que habían secuestrado su cuenta de correo electrónico y habían iniciado una campaña de desprestigio en su contra.  Posteriormente, el autor de las amenazas y el secuestro del correo electrónico, por la misma vía le exigió el pago de una suma de dinero para frenar los ataques a sus correos. Aún las autoridades siguen la pista del delincuente informático, que ya habría contactado a otras víctimas para intimidarlas y buscar el pago de extorsiones a través de la red social.
  • Denegación del servicio Distribuidos58 - DoS Los ataques de Denegación de Servicio (DoS) tienen la finalidad de provocar que un servicio o recurso sea inaccesible para los usuarios legítimos. Este tipo de ataques puede provocar: Parada de todos los servicios de una máquina La máquina sólo puede dar determinados servicios La máquina no puede dar servicio a determinados usuarios
  • Ejemplos de ataques DoS59 Consumo • Smurf Attack de ancho • ICMP Ping Flood de banda: • Fraggle Attack Ataques a la • SYN Flood conectivid Attacks ad
  • Ataques DoS contra aplicaciones60 WEB Los ataques DoS contra aplicaciones web se pueden llevar a cabo de diferentes maneras: Cuelgue de la • Inyección de código sql para llamar comandos del sistema que paren la aplicación o los servicios. aplicación Modificación y destrucción de datos • ➔ CPU Consumo de • ➔ Ancho de Banda recursos • ➔ Memoria • ➔ Espacio en Disco
  • 61 CONCLUSIÓN  La actualización constante sobre las vulnerabilidades es la que nos prepara para los ataques informáticos que se dan a cada momento y debemos estar preparados y cubiertos con los sistemas de seguridad necesarios para poder hacerle frente a dichos ataques.  Conocer y entender el funcionamiento de cada uno de los tipos de posibles ataques informáticos es fundamental para un Oficial de seguridad, ya que de dicha forma tendrá los detalles necesarios para establecer las medidas de seguridad mas apropiadas en cada nivel, además de poder realizar actividades preventivas para disminuir incidentes. No es menos importante acotar que las medidas que se tomen permitirán, en dado caso, poder obtener los rastros necesarios cuando suceda un incidente.
  • Gracias por la atención!!62 comentarios ? ¿ Preguntas o