Successfully reported this slideshow.
Your SlideShare is downloading. ×

Vc4 nm73 equipo6-w7u8t6

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
INSTITUTO POLITÉCNICO NACIONAL 
UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS...
INSTITUTO POLITÉCNICO NACIONAL 
UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS...
INSTITUTO POLITÉCNICO NACIONAL 
UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS...
Advertisement
Advertisement
Advertisement
Upcoming SlideShare
Vc4 nm73 eq6-exploit
Vc4 nm73 eq6-exploit
Loading in …3
×

Check these out next

1 of 15 Ad
Advertisement

More Related Content

Similar to Vc4 nm73 equipo6-w7u8t6 (20)

Advertisement

Vc4 nm73 equipo6-w7u8t6

  1. 1. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 INTRODUCCIÓN En  el  presente  trabajo  se  detallan  los temas  relacionados con la  seguridad  informática,  temas que  son  importantes  para  mantener  la  seguridad  de  nuestros  sistemas  y  nuestras comunicaciones  con el  fin de conocer las  vulnerabilidades,  los riesgos, los  agentes  que dañan nuestros sistemas provocando pérdida, robo, modificación, etc.,  de información. Como  primer  tema  tenemos  el  tema  de  cuentas  sin  contraseñas  o  contraseñas  débiles enfocado a Windows donde  detallaremos desde  el origen del problema hasta nombrar algunas posibles soluciones o precauciones. Como  segundo  tema  tenemos  el  Sendmail  enfocado  a  Unix.empezando  desde  su  definición hasta algunos pasos o comandos de configuración. El  tercer  tema  se  habla  de  registros  de  eventos  (logging)  de  manera  general,  desde  su definición hasta mostrar algunos ejemplos. Estos  temas son  muy importantes  por  lo cual  se  detallan de una forma resumida pero al mismo tiempo  bien  explicada ya que  son  temas extensos, se detallarán terminología que no se conoce o que pueda ser objeto de duda y que se relaciona con el tema o que lo lleva implícito. INDICE: INTRODUCCIÓN CUENTAS SIN CONTRASEÑA O CONTRASEÑA DÉBIL(accounts with No passwords or Weak Passwords) EN WINDOWS Sugerencias para crear una contraseña segura Metodología para la creación de contraseñas seguras SENDMAIL REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES CONCLUSIONES: BIBLIOGRAFÍA
  2. 2. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 CUENTAS  SIN  CONTRASEÑA  O  CONTRASEÑA  DÉBIL(accounts  with  No  passwords or Weak Passwords) EN WINDOWS La  mayoría  de  las  formas  de  autenticación  de  usuario,  así  como  la  protección  de  archivos  y datos,  se  basan  en  las  contraseñas  proporcionadas  por  el  usuario.  Dado  que  el  acceso autentificado correctamente  a menudo no  se registra, o incluso cuando no se esté registrado es probable  que  despierte  sospechas,  una  contraseña  comprometida  es  una  oportunidad  para explorar un sistema desde el interior y sea prácticamente desapercibido por los usuarios. Un atacante tendría acceso completo a todos los recursos disponibles del  usuario, y sería capaz de acceder a otras cuentas e incluso tener privilegios como administrador. Sistemas operativos afectados Cualquier  sistema  operativo  o  aplicación  donde  los  usuarios  se  autentican  a  través  de  una identificación de usuario y contraseña pueden verse afectados. Por ejemplo, actualmente se descubrió  una  nueva  amenaza  se  cierne  sobre  los  sistemas operativos  Mac y Linux,  el troyano bautizado como BackDoor.Wirenet.1 ¿Por qué debemos establecer contraseñas seguras? Es habitual encontrar  equipos  Windows  con  deficiencias en  sus  mecanismos de autenticación. Esto incluye la existencia de cuentas sin contraseña (o con contraseñas ampliamente conocidas o  fácilmente  deducibles).  Por  otra  parte  es  frecuente  que  diversos  programas  (o  el  propio sistema operativo) cree nuevas cuentas de usuario con un débil mecanismo de autenticación Por  otra  parte,  a  pesar  de  que  Windows  transmite   las  contraseñas  cifradas  por  la  red, dependiendo  del  algoritmo  utilizado  es  relativamente  simple  aplicar  ataques  de  fuerza  bruta para  descifrarlos en un  plazo de  tiempo  muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo de autenticación NTLMv2. Las vulnerabilidades de contraseñas más comunes son: (a) Que las cuentas de usuario tienen contraseñas débiles o en su defecto no tienen. (b) Independientemente de la fuerza de su contraseña, los usuarios no protegen sus sistemas. (c) Que el  sistema  operativo o software crea cuentas administrativas con contraseñas débiles o inexistentes. (d)  Que  los  algoritmos  hash  de  contraseñas se  conocen  ya menudo los  hashes se almacenan de manera que sean visibles. Un  investigador  ha  descubierto  una  vulnerabilidad  en  los  sistemas  operativos  cliente  de
  3. 3. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 Microsoft  Windows  8  y  Windows  7  que  facilita la  obtención  de  la contraseña de administrador para  inicios  de  sesión  y  control  del  sistema.  El  uso   de  la función  ‘indicio  de  contraseña’ para crear  las cuentas  de usuario  puede ayudar a recordar la misma en caso de olvido pero también ayuda un atacante a obtener la misma, incluso de forma remota. Estas  sugerencias  de  contraseñas  se  almacenan  en  el registro  del  sistema  operativo y aunque están  en  un formato cifrado parece que se  pueden convertir fácilmente en un formato legible. Ha escrito  un  script  que  automatiza  el  ataque   y   lo  ha  publicado  en  Metasploit,  el  portal  para herramientas de código abierto muy popular entre los hackers. Ophcrack – Crackear contraseña de Windows Ophcrack  es  una  herramienta  para  crackear las  contraseñas  de Windows basada en las tablas Rainbow.  El  índice  de  éxito  de  acceso  a  claves  de  Ophcrack  es  del  99,9%,  para  claves  que contengan números y letras. El  funcionamiento utiliza la fuerza bruta para contraseñas simples; pero tablas Rainbow para las más  complejas.  Windows  guarda  la  contraseña  utilizando  una  función  hash  en C:WindowsSystem32configSAM. encuentra en este diccionario. ¿Que es el Mimikatz? Mimikatz  es  un  programa  desarrollado  por  Gentil  Kiwi  que  nos  permite  descifrar  las contraseñas  de  los  administradores  de  un  pc  con  Windows,  a  exportación   de  certificados marcados  como  no  exportables  o la  obtención de  hashes  de la  SAM.  También se puede  usar en  un  dominio.  En  este  momento  la  ventaja  que  presenta  esta  aplicación  es  que  no  es detectado  como  aplicación  maliciosa.  Solo  8  de  44  antivirus  la  detecta  como  aplicación maliciosa. ¿Como se usa mimikatz? ❖ Solo hacemos doble click encima del ejecutable mimikatz.exe ❖ Nos saldrá una ventana tipo ms­dos ❖ Para sacar el  nombre de  usuario usamos el  comando  system::user y para el nombre de la máquina : system::computer ¿Cómo  determinar  si  las  contraseñas  son  vulnerables?  La  única  manera  de  saber  con certeza  que  cada contraseña  individual es fuerte es probar todas ellas con las  herramientas de
  4. 4. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 crackeo utilizadas por los atacantes. Las mejores herramientas de cracking disponibles son: ❖ LC4 (l0phtcrack versión 4) ❖ John the Ripper ❖ Symantec NetRecon ¿Cómo protegerse? La mejor y más  adecuada  defensa  frente  a las debilidades de contraseñas es implementar una política sólida  que incluye instrucciones completas para generar buenos hábitos de contraseñas y comprobación proactiva de la integridad de contraseñas. Asegurarse de que las contraseñas son fuertes . Sabemos que  teniendo hardware especializado y con el tiempo suficiente, cualquier contraseña puede  ser  violada  por  la  fuerza  bruta.  Pero  hay  maneras  más  sencillas  para  saber  las contraseñas sin tales gastos. Muchas  organizaciones  instruyen  a  los  usuarios  que  cuando  generan  contraseñas  deben  de incluir combinaciones de caracteres alfanuméricos y especiales. Por ejemplo  si  un  usuarios toma  como  contraseña una  palabra ("password") y la conversión de letras a números o caracteres especiales ("pa$$w0rd"). Este  tipo  de  permutaciones  no  pueden  proteger  contra  un  ataque  de  diccionario,  pero  es menos probable que se descifre ya que se considera como una buena contraseña. Una política de contraseña segura debe dirigir a los usuarios a generar  sus contraseñas de algo más  aleatorio,  como  una  frase  o  el título  de  un  libro  o  una canción,  donde  puedan  concatenan una palabra o la sustituyan por un carácter especial. ¿Cómo Proteger contraseñas seguras? Una  vez  que  los  usuarios  siguen  las  instrucciones  específicas  para  generar  buenas contraseñas. La  mejor  manera de  asegurarse  que  las contraseñas son seguras lo que se hace es la validación de la contraseña. Las  Herramientas de Cracking deben  ejecutarse  en un modo independiente, como parte  de  la exploración rutinaria. Los usuarios cuyas contraseñas sean descifradas deben ser notificados de forma confidencial y dar seguimiento a las instrucciones sobre cómo elegir una buena contraseña. Control de Cuentas
  5. 5. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 ● Las cuentas que no estén en uso deben ser desactivados o eliminados. ● Las  cuentas  basadas  en  servicios  o  administrativos  que  se  utilizan  deben  tener contraseñas nuevas y fuertes. ● Realizar Auditoría de las cuentas en los sistemas y crear una lista maestra. ● Desarrollar procedimientos para agregar cuentas autorizadas a la lista. ● Validar  la  lista  de   forma  regular  para  asegurarse  de  que no hay  nuevas  cuentas  se han añadido y que las cuentas no utilizadas han sido eliminadas. ● Tener procedimientos rígidos para eliminar cuentas cuando los empleados o se van. Un  ejemplo  es  Enterprise  Security  Manager  de  Symantec  (ESM)   es  una  herramienta  de supervisión  basada  en  host  que  controla  los  cambios  en  la  política,   creación  de cuentas y de contraseñas.  ESM  también  intentará  descifrar  contraseñas,  ya  que  valida  la  que  tan  seguras son las contraseñas. ESM utiliza un entorno cliente­servidor. ¿Cómo se roban las contraseñas? Para saber cómo  proteger tu contraseña  correctamente, primero debes conocer  a qué te estás enfrentando. ● Keyloggers:  programas  que  se  ejecutan  en  segundo  plano,  grabando  un  registro con todos los caracteres introducidos por el usuario. ● Contraseñas  guardadas:  Con   acceso  directo  al  equipo,  no  es  necesario  usar  un keylogger para acceder a las contraseñas almacenadas, por ejemplo, en Firefox. ● Contraseña  única:  Si utilizas una misma contraseña para varias páginas, unwebmaster malintencionado,  al  registrarse  en  su  web,  podría  obtener  tu  contraseña  para  iniciar sesión en otras páginas. ● Contraseña  previsible:  Dícese  de  aquella  contraseña  con  la  cual  no  te  has  comido demasiado la cabeza para generarla. Ejemplos: nombre de tu ciudad, etc.. ● Listas  de palabras:  Se trata de listados ­enormes­ de palabras y contraseñas comunes que se utilizan probando una a una de forma automática (ataques de diccionario). ● Fuerza bruta: Una  táctica  alternativa  a  las listas  de palabras. Consiste en probar todas la  combinaciones  posibles  de  caracteres  hasta   dar  con  la  contraseña.   Requiere máquinas potentes y mucho tiempo. ● Ingeniería social:  A  veces,  no  hace falta  ser tan  tecnológico para obtener la contraseña de  alguien.  ¿Tienes  un  post­it  pegado  en  el monitor  con la  contraseña  para  "acceder  a aquel sitio"? Métodos de ataque (Cracking) Algunos  métodos  comunes  que  los  atacantes  utilizan  para  descubrir  la  contraseña  de  las cuentas de usuario incluyen:
  6. 6. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 ● Adivinar­  El atacante intenta iniciar sesión con la cuenta del usuario adivinando posibles palabras y frases tales como nombres de sus familiares ● Ataque  de  Diccionario  en  línea­  El  atacante  utiliza  un  programa  automatizado  que incluye un archivo  de  texto de  las palabras. El programa intenta varias veces para iniciar sesión en el sistema de destino mediante una palabra diferente. ● Ataque  de Diccionario  Desconectado­ Al  igual que  el ataque de diccionario  en línea, el atacante recibe una copia del archivo donde se almacena la copia de hash. ● Ataque  de  Fuerza  Bruta­  Esta  es  una  variación  de  los  ataques  de  diccionario,  pero está  diseñado  para  determinar las  claves  que  no  pueden  incluirse  en el  archivo de texto que se utiliza en esos ataques. Envejecimiento de las contraseñas El  envejecimiento  de contraseñas es una  técnica  utilizada por  los administradores de sistemas para  defenderse  de  las  malas  contraseñas  dentro  de  la  organización.  El  envejecimiento  de contraseñas  significa  que  luego  de  un  tiempo  determinado  (usualmente  90  días) se le  pide  al usuario  que cree una nueva contraseña. La teoría detrás de esto es que si un usuario es forzado a cambiar su contraseña periódicamente, una contraseña que ha sido descifrada por un cracker sólo  le es útil  por  un  tiempo  determinado.  La  desventaja del envejecimiento de contraseñas, es que los usuarios tienden a escribir sus contraseñas. ¿Por qué se necesitan contraseñas seguras? Para  contar  con  una  buena  seguridad  en  los  sistemas  de  información,  se  requiere  el  uso  de contraseñas  seguras  para  todas  las cuentas.  Las contraseñas pueden ser el eslabón más débil de  un  sistema  de  seguridad informática.  Las  contraseñas  seguras  son  importantes porque las herramientas  de  cracking  de contraseñas siguen mejorando  y  los equipos  que se utilizan  para romper las  contraseñas  son  cada vez más poderosos. Las contraseñas de algún sistema antes tardaban semanas para romperla, ahora se puede descifrar en cuestión de horas. Sugerencias para crear una contraseña segura Una contraseña segura: ● ● ● ● ● Es por lo menos ocho caracteres de longitud. No contiene su nombre de usuario, nombre real o nombre de la empresa. No contiene una palabra completa. Es muy diferente de las contraseñas anteriores. En  Windows, una contraseña segura es una  contraseña  que  contiene caracteres  de cada una de las siguientes cinco categorías.
  7. 7. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 Categoría de caracteres Ejemplos Las letras mayúsculas A,B,C,D Letras minúsculas a,b,c Números 0,1,2,3,4,5,6,7,8,9 Símbolos  que  aparecen  en  el  teclado  (todos `~! @ # $% ^ & * () _ ­ + = {} []  |:; "'<>, /.? los  caracteres  del   teclado  no  se  definen como letras o números) y espacios Caracteres unicode €, Γ,?? Y λ ● No  utilices  en  tu   contraseña  información  personal  o  que  pueda  relacionarse contigo. ● No  utilices  palabras  (en  cualquier  idioma)  que  puedan  encontrarse  en  un diccionario ● No hagas pública tu contraseña bajo ningún concepto. ● No utilices la misma contraseña. ● Nunca  realices  actividades  bancarias  en  computadoras  públicas  como  lo  son los cafés Internet. ● No reveles tu contraseña a ninguna persona. ● Cambia de forma periódica tu contraseña. Metodología para la creación de contraseñas seguras Hay  muchos  métodos que la  gente  utiliza  para  crear  contraseñas seguras. Uno de los métodos más populares incluyen acrónimos. Por ejemplo: ● Piense  en  una  frase  memorable,  tal  como:  "Es  más   fácil  creer  que  pensar  con espíritu crítico." ● Luego, cámbielo a un acrónimo (incluyendo la puntuación). emfcqpcec. ● Añada  un  poco  de  complejidad  sustituyendo  números  y  símbolos  por  letras  en  el acrónimo. Por ejemplo, sustituya 7 por e y el símbolo arroba (@) por c:   7mf@qp@7@. ● Añada un poco más de complejidad colocando mayúscula al menos una letra ● 7Mf@qp@7@.
  8. 8. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 U8. SENDMAIL Sendmail  es el  agente  de transporte de correo  más  común  de  Internet  (en  los sistemas  UNIX). Aunque  actúa  principalmente  como  MTA,  también  puede  ser  utilizado  como  MUA  (Agente Usuario  de  Correo)  aunque  no  posee  interfaz  de  usuario.  El  propósito  principal de Sendmail, como  cualquier  otro  MTA,  es  el  de  transferir  correo  de  forma  segura  entre  hosts,  usualmente usando  el  protocolo  SMTP.  Sendmail  es  altamente configurable,  permitiendo el  control  sobre casi  cada  aspecto  del  manejo  de  correos,  incluyendo  el  protocolo  utilizado.  Muchos administradores  de  sistemas  seleccionan  Sendmail  como  su  MTA  debido  a  su  poder   y escalabilidad. Las misiones básicas de sendmail son las siguientes: ● Recogida  de  mails  provenientes  de  un  Mail  User  Agent  (MUA)  como  pueden  ser  elm, Eudora  o  pine;  o  provenientes  de   un  Mail  Transport  Agent  (MTA)  como  puede  ser  el propio sendmail. ● Elección  de  la  estrategia  de  reparto  de  los  mails,   basándose  en  la  información  de  la dirección del destinatario contenida en la cabecera: Si el mail es local en nuestro sistema, enviará el mail al programa de reparto local de mails. Si  el  mail  no  es  local,  sendmail  utilizará  el DNS  de  nuestro sistema para determinar  el host  al que debe ser  enviado el mail. Para transferir el mensaje, iniciará una sesión SMTP con  MTA de dicho host. Si  no  es  posible  mandar  el  mail  a  su  destino  (porque  la  máquina  receptora  esta desconectada,o  va muy lenta), sendmail almacenará los mails en una cola de correo, y volverá a intentar  el  envío  del  mail  un  tiempo  después.  Si  el  mail  no  puede  ser  enviado  tras  un  tiempo razonable, el mail será devuelto a su autor con un mensaje de error. ● Sendmail debe  garantizar  que  cada mensaje  llegue  correctamente a su destino, o si hay error este debe ser notificado (ningún mail debe perderse completamente). ● Reformatear  el  mail  antes  de  pasarlo  a  la  siguiente  máquina,  según  unas  reglas  de reescritura.  Según  el  tipo  de  conexión  que  poseemos con una  determinada  máquina,  o según  el  agente  de  transporte  al  que  vaya  dirigido  el  mail,  necesitaremos  cambiar  los formatos  de  las  direcciones  del  remitente  y  del  destinatario,  algunas  líneas  de  la cabecera  del  mail,  o incluso puede  que necesitemos añadir  alguna  línea a la  cabecera. Sendmail  debe  realizar  todas  estas  tareas  para  conseguir  la  máxima  compatibilidad entre usuarios distintos. ● Otra  función muy  importante de  sendmail  es  permitir el  uso de "alias" entre  los usuarios del  sistema;lo  que  nos permitirá  (entre otras funciones) crear y mantener listas de correo entre grupos. ● Ejecución  como   agente  de  usuario  (MUA).  Aunque  no  posee  interfaz  de  usuario,
  9. 9. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 sendmail también permite el envío directo de mails a través de su ejecutable. Todas  estas  características  y  muchas  otras  que  posee  el  sendmail  deben  ser  configuradas y variarán de unos  sistemas a otros. Para configurarlas hacemos uso del fichero de configuración de  sendmail.  La  revisión  y  modificación  de  este  fichero  es  bastante  complicada  y  necesita  de una serie de conocimientos previos. U8.1. Descripción Sendmail  es  el  programa  que  envía,  recibe  y  reenvía  más  correos  electrónicos  procesados sobre  Unix  y  Linux. Uso generalizado de Sendmail en Internet ha sido  históricamente un objetivo prioritario de los atacantes, dando lugar a numerosas hazañas en los últimos años. La  mayoría  de  estos  exploits  son  exitosos  sólo  en  contra  de  las  versiones  anteriores  del software. De  hecho,  Sendmail  no ha tenido  una  vulnerabilidad de gravedad  "alta"  en dos años. A  pesar  de  que  estos  problemas  mayores  están bien documentados y han sido reparados  en las  versiones más recientes, aún existen tantas  versiones obsoletas o mal configuradas aún que hoy Sendmail sigue siendo uno de los servicios más frecuentemente atacados. Los  riesgos  que  se  presentan  al  ejecutar   Sendmail  se  pueden   agrupar  en  dos  grandes categorías:  la  escalada  de  privilegios  causados  ​   desbordamientos  de  búfer  y  la por configuración  inadecuada  que  permite  que  el  equipo  sea  un relé  de  correo electrónico  desde cualquier  otra  máquina.  El primero es un  problema  en  cualquier sistema  en donde  aún  marcha las  versiones  viejas de código.  Los  últimos resultados de  usar  ya  sea  incorrecto  o  archivos de configuración  por  defecto,  y  es  un  obstáculo  principal  en  la  lucha   contra  la  proliferación  de spam. U8.2 Sistemas operativos participantes Casi  todos  los  sistemas  Unix  y  Linux  vienen  con  una  versión  de  Sendmail  instalada  y  con frecuencia activado por defecto. U8.3 Cómo determinar si sus sistemas son vulnerables Sendmail ha  tenido a lo largo de la historia muchas vulnerabilidades. No siempre es confiable la versión  de  cadena  devuelta  por  el  daemon como es esta  leída de  un  archivo de texto  sobre  el sistema que puede no estar adaptado correctamente. Averigüe  cuál  es  la última versión  (si  se construye  a  partir de  la fuente) o nivel del programa (si formaba parte  de  su sistema  operativo)  es  para  Sendmail, si no se está ejecutando, usted está probablemente vulnerable. U8.4¿Cómo protegerse contra ella?
  10. 10. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 Los siguientes pasos se deben tomar para proteger a Sendmail: 1. Actualiza a la  versión más  reciente y / o implementar parches. El código fuente se  puede encontrar en http://www.sendmail.org/ . 2. Sendmail  es  normalmente  activado  por  defecto  en  la  mayoría  de  los  sistemas  Unix  y Linux,  incluso   aquellos  que  no  están  actuando  como  servidores   de  correo  o  relés electrónico. No  ejecute Sendmail en modo daemon (apague el interruptor "­bd") en estas máquinas.Todavía  se  puede  enviar  correo  desde  este  sistema  mediante  la  invocación de "sendmail­q" periódicamente para limpiar la cola de salida. 3. Si  debe  ejecutar  sendmail  en  modo  daemon,  asegúrese de  que  la configuración se ha diseñado  para  retransmitir  correo  debidamente  y  solamente  para  los  sistemas  bajo  su ámbito de competencia. FUNCIONES: ● Recibo de emails provenientes de un Mail User Agent (MUA). ● Elección  de  la  estrategia  de  reparto  de  los  mails,   basándose  en  la  información  de  la dirección del destinatario contenida en la cabecera. ● Sendmail debe  garantizar  que  cada mensaje  llegue  correctamente a su destino, o si hay error este debe ser notificado (ningún mail debe perderse completamente). ● Reformatear  el  mail  antes  de  pasarlo  a  la  siguiente  máquina,  según  unas  reglas  de reescritura. ● Permitir  el uso  de  "alias"  entre los  usuarios del sistema, lo que nos permitirá (entre otras funciones) crear y mantener listas de correo entre grupos. ● Ejecución  como   agente  de  usuario  (MUA).  Aunque  no  posee  interfaz  de  usuario, sendmail también permite el envío directo de mails a través de su ejecutable. FICHEROS DE CONFIGURACIÓN COMANDO FUNCIÓN /etc/mail/access Base de datos de accesos de sendmail /etc/mail/aliases Carpeta de alias /etc/mail/local­host­name Listados de máquinas para las que sendmail acepta correo s /etc/mail/mailer.conf Configuración del programa de correo
  11. 11. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 /etc/mail/mailertable Tabla de entregas de correo /etc/mail/sendmail.cf Archivo de configuración principal de sendmail /etc/mail/virtusertable Usuarios virtuales y tablas de dominio T6: REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES El  logging  ha  sido  la  fuente  primaria  para  documentar  los  eventos  que  se  conceden  en  los sistemas  operativos.  El registro  de eventos basado  en  un modelo de computación centralizado ésta  actualmente  obsoleto,  hoy  en día las fuentes a las que recurren los investigadores forenses que  tiene  acceso  en un sistema de computación  son  entre otros, los  registros  del sistema,  los registros  de  auditoría,  los  registros  de  las  aplicaciones,  los  registros  de  gestión  de  redes,  la captura del tráfico de red o los datos del sistema de ficheros. Al  intercambiar  información  entre  una  red  local  e  Internet,  la  probabilidad  de  que  un  atacante llegue  silenciosamente  está  siempre  latente.  Cada  semana  se  descubren  nuevas vulnerabilidades  y  existen  muy pocas  formas  de  defenderse  de los  ataques  que hagan  uso  de las mismas. Una  vez  que  se  haya  atacado,  sin  los  registros  (logs)  hay  muy  pocas  probabilidades  de  que descubra  qué   hicieron realmente los  atacantes.  Sin  esa información las  organizaciones deben elegir  entre  cargar  completamente  el  sistema  operativo  desde  el  soporte  original  y  luego esperar  que  los  respaldos  se  encuentren  en  buenas  condiciones,  o  bien  correr  y  asumir  el riesgo que representa seguir utilizando un sistema que un atacante controla. No  es  posible  detectar  un  ataque  si  no  sabe  qué  está  ocurriendo  en  la  red.  Los  registros  le proporcionan  los detalles  de lo  que  está  ocurriendo,  qué  sistemas  se  encuentran bajo ataque y qué sistemas han sido ya afectados. Los  registros  deben  ser  realizados  de  forma  regular,  sobre  todos  en  los  sistemas  clave,  y deben  ser  archivados  y  respaldados  porque  nunca  se  sabe  cuándo  se  pueden  necesitar.  La mayoría de los expertos recomiendan enviar todos los registros a una base de datos central que escriba la  información en un soporte que sólo admita una escritura, con el  fin de que el atacante no pueda sobrescribir los registros. Registro de Eventos en Windows El  registro  de  eventos  está  habilitado  automáticamente  de  forma  predeterminada  y  no  hay
  12. 12. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 ningún  mecanismo  para  deshabilitarlo.  Los  eventos  registrados  por  WCF  se  pueden  ver utilizando  el  Visor   de  eventos.  Para  iniciar  esta  herramienta,  haga  clic  en  Inicio  y  en  Panel  de control,  haga  doble  clic  en  Herramientas  administrativas y,  a  continuación,  de  nuevo doble  clic en Visor de eventos. ¿Qué información aparece en los registros de eventos? (Visor de eventos) En  el  Visor  de  eventos,  la  información  se  organiza  en  diversos  registros.  Los  registros   de Windows incluyen: ● Eventos  de  aplicaciones  (programas).  Cada  evento  se  clasifica  como  error, advertencia  o  información,  dependiendo  de  su  gravedad.  Un  error  es  un  problema importante,  como  una  pérdida  de  datos.  Una  advertencia  es  un  evento  que  no  es importante necesariamente, pero puede  indicar la  posibilidad de problemas en el futuro. Un  evento  de  información  describe la operación correcta de un programa,  un controlador o un servicio. ● Eventos  relacionados  con  la seguridad. Estos eventos se conocen como auditorías y se describen  como  correctos  o  con error,  dependiendo del evento, como por ejemplo, si un usuario consigue iniciar una sesión en Windows  correctamente. ● Eventos  de  configuración.  Los  equipos  que  se  han  configurado como  controladores de dominio dispondrán de más registros aquí. ● Eventos  del  sistema.  Los  eventos del sistema los registran Windows y los servicios del sistema de Windows, y se pueden clasificar como error, advertencia o información. ● Eventos reenviados. Estos eventos se reenvían a este registro desde otros equipos. Los registros  de  aplicaciones  y  servicios  pueden variar.  Incluyen registros independientes para los  programas  que  se  ejecutan  en  el  equipo,  así  como  registros más detallados relacionados con servicios específicos de Windows. 1.  Para  abrir  Visor  de  eventos,  haga  clic  en  el  botón  Inicio,  en  Panel  de  control,  en Sistema  y  mantenimiento,  en  Herramientas  administrativas y,  a  continuación,  haga doble  clic  en  Visor  de  eventos.​   se le  solicita  una  contraseña  de  administrador o  Si una confirmación, escriba la contraseña o proporcione la confirmación. 2.    Haga clic en un registro de eventos, en el panel izquierdo. 3.    Haga doble clic en un evento para ver los detalles correspondientes. Logging a registro de eventos del sistema. Cuando  logeamos  una  aplicación  como  sucesos  del  sistema,  para  poder  ver  los  logs tendremos que emplear el visor de sucesos de Windows. Para logear  como  sucesos  del  sistema,  dentro  del configurador,  en la sección correspondiente a  logging   settings,  es  necesario  crear  un  nuevo  trace  listener,  para  logear  a  un  suceso  del sistema, crearemos un Event Log Trace Listener.
  13. 13. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 Dentro de las propiedades a establecer para este tipo listener, las más destacables son: ● Name: nombre, sirve para referenciarlo desde las categorías. ● Formatter  Name:  nombre  del  formateador  a  utilizar  (si  es  que  se  va  a  utilizar  un fomateador). ● Log  Name:  nombre  del  eventlog  en  el  cual  se  van  a   escribir  los eventos (por  defecto Aplication). ●  Machine Name: Nombre de la máquina en la cual se va a escribir el log. ● Severity  Filter: indica  el nivel de log que se va  a registrar. Existen los siguientes  niveles de log: All, Off, Critical, Error, Warning, Information, Verbose. Cuando  se  logea  un  nivel,  se  logea  dicho  nivel  y  todos los  que sean  más importantes. Por ejemplo, el nivel warning, logeará warnings, errors y critical. ● Source Name: nombre que aparecerá como origen del error. ● Trace output: son los  parámetros  que se han de pasar al  formateador. (Por defecto se pasan todos). ● Type  Name:  Nombre  del   tipo  de  listener  (si  construimos  nuestro  propio  Event  Log Trace Listener,  este  campo contendrá el nombre de nuestro tipo, como aquí empleamos el tipo por defecto, este es su nombre). De  esta  sencilla  forma,  logeamos  eventos,  errores  para  ser  visualizados  con  el  visor  de sucesos de  windows, el principal inconveniente es que hay que ir entrando uno por uno en todos los  errores  para  poder  ver  lo  ocurrido,  mientras  que  si logeamos  a un fichero de  texto, con  un golpe de vista vemos muchos más eventos. CONCLUSIONES: Dentro  de  esta  investigación  realizada,  pudimos  observar  que  todos  los  sistemas  operativos siempre van a presentar  una o varias vulnerabilidades, en el caso del tema  de equipo Registro de eventos(Logging)  , consideramos  que parte de la seguridad en los sistemas de información radica  en  que  se  implementen  los  logs,  ya  que  al  tener  un  registro  de  todas  las  acciones  o movimientos  que   ocurren,  es  posible  saber  en  caso  de  que  una  persona  ajena  ataque   o  se infiltre  realizando   cambios  que  perjudiquen  la  información  confidencial,   los  logs  sirven  para presentarlos  como  evidencia digital ante una  situación legal. También  otra utilidad  de  los logs es  para  saber  el  estado  en  el  que  se  encuentra  el  sistema,  es  decir  si  su   funcionalidad  es óptima,  o  si tiene problemas  de  vulnerabilidad,  de  tal  manera  que  nos permita tomar medidas tanto  preventivas  como  correctivas  y  generar  soluciones  .  Pudimos  ver  que  existen herramientas  especializadas  que son libres y comerciales para las plataformas windows y unix,
  14. 14. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 que permiten generar los archivos de registro, pero también estos sistemas operativos cuentan con  herramientas  no  tan  sofisticadas,  pero  aun  asi  nos  proporcionan  información  sobre  el estado en el que se encuentran funcionando nuestro sistemas y sus aplicaciones. Dentro  de lo  que es las contraseñas débiles  nos pudimos dar cuenta que las últimas versiones de  Windows  son   las  más  vulnerables  en  cuanto  a  este  tema,  ya  que  con  el  algoritmo  que cuenta  para  poder  codificar  las  contraseñas  es  muy  fácil  de  descifrar  y  más  cuando  las contraseñas  del   usuario  son  débiles,  es  decir,  se  pueden  obtener   con  cualquier  programa desarrollado  porque  las  personas  tienden  a  poner  solo  números  y  letras,  sin  símbolos especiales  como  son  el  arroba  (@),  signo  de  admiración  o  interrogación  (?¿!¡)  entre  otros caracteres especiales, y cuando ponemos o activamos lo que es las “sugerencias” les estamos dando  la  facilidad  de  que  consigan  nuestras  contraseñas  a  cualquier  persona  que  tenga intención de querer actuar maliciosamente. Pero  corremos  más riesgo  cuando nosotros  no  protegemos  nuestras cuentas de usuarios, es decir  utilizamos  la  misma  contraseña  en  todas  las  cuentas  que  tenemos,  o  no  aplicamos  las normas  de  seguridad  para  las  mismas,  a  veces  nosotros   como  usuarios  se  nos  hace   fácil proporcionarionarla a otras personas sin saber el riesgo que esto ocasiona, a algunos usuarios este  tema  de  las  contraseñas  no  es  de  su  interés  y  dejan  pasar  por  alto  todos los  riesgos y amenazas que  conlleva todo esto de la seguridad informática y algunos creen aplicando una de las  normas como  lo  cambiarla periódicamente  están  exentos  de  peligro, pero no  es  así,  dado que la aplicación de políticas, normas sólo nos permite vivir con el menor riesgo posible. El  empleo  constante  de  contraseñas  para  la  protección  de  nuestra   información,  debe considerarse en  la actualidad como un hábito  de  nuestro  quehacer  cotidiano, parte de nuestra cultura,  teniendo en cuenta que el contacto con la computadora y las redes de comunicación es inevitable e  imprescindible en muchas de las actividades que desempeñamos diariamente por tal motivo  es importante  educar a los usuarios acerca de los beneficios del uso de contraseñas seguras y enseñarles cómo crear contraseñas que son realmente fuertes. BIBLIOGRAFÍA Documentos electrónicos Web Site Microsoft  Soporte.(2013).Cómo  ver  y  administrar  los  registros  de  eventos  en  el  Visor  de eventos  de  Windows  XP.  Recuperado  de   http://support.microsoft.com/kb/308427/es.Id.  de artículo: 308427.
  15. 15. INSTITUTO POLITÉCNICO NACIONAL  UNIDAD PROFESIONAL INTERDISCIPLINARIA  DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES:    Apolinar Crisóstomo Jessica                Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe TEMAS:  W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail,  T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIÓN: 13 DE SEPTIEMBRE DE 2013 Niño,  Diana  Carolina  y  Sierra,  Alejandro.(2007).Centralización  de  registros  de  eventos. Recuperado de http://pegasus.javeriana.edu.co/~regisegu/Docs/articulo.pdf. Artículo de Revista Seifried,Kurt.(2011).Logs  desde  Windows  y  procesamiento  de  logs.LINUX­MAGAZINE. Recuperadodehttp://www.linux­magazine.es/issue/79/060­062_InseguridadesLogsdeWindowsL M79.pdf. NOTICIAS  DE  INFORMATICA  Y  COMPUTACION  http://deredes.net/ophcrack­crackear­contrasena­de­windows/ (2012) MANUAL ELECTRÓNICO Berkeley(1998).UNIX  System   Manager's  http://www.sendmail.org/~ca/email/man/sendmail.html Manual.  Recuperado  de

×