440 likes | 589 Views
Tema 2 – Implantación de mecanismos de seguridad activa. Punto 1 – Ataques y contramedidas en sistemas personales. Juan Luis Cano . Punto 1 - Ataques.
E N D
Tema 2 – Implantación de mecanismos de seguridad activa Punto 1 – Ataques y contramedidas en sistemas personales Juan Luis Cano
Punto 1 - Ataques Un ataque es la acción de una amenaza, es decir, ocurre cuando un atacante se aprovecha de una vulnerabilidad del sistema informático para lograr violar la seguridad del sistema, por supuesto sin el consentimiento del usuario, y obtener algún beneficio a través de él. Hay dos tipos de ataques:
Ataques Pasivos En los ataques pasivosel atacante se encarga únicamente de obtener información, es decir, obtener paquetes enviados y recibidos por el usuario, contraseñas, datos personales,… Estos ataques son complicados de detectar ya que no alteran información alguna, solo consisten en procesos o servicios que recogen información para ser enviada al atacante. Sin embargo, estas amenazas pueden ser frenadas con buenas políticas de seguridad y protección del equipo.
Ataques Activos Mientras que los ataques activos implican algún tipo de modificación de los datos transmitidos, recibidos o almacenados. Estos ataques pueden dividirse en cuatro categorías:
Ataques activos (I) • Suplantación de identidad: En este tipo de ataques, el intruso se hace pasar por una entidad diferente. Suele venir acompañado por algún ataque activo para obtener efectos de robo o falsificación de datos. • Reactuación: En este tipo de ataques, el atacante hace repetir varias veces una acción desde el equipo o entidad atacada para producir un efecto no deseado.
Ataques activos (II) • Modificación de mensajes: Si se utiliza este tipo de ataques, una parte de un mensaje enviado es analizado, modificado y reenviado por el atacante, pudiendo producir graves errores. Estos mensajes pueden ser alterados, retardados o reordenados. • Degradación fraudulenta del servicio: En este tipo de ataques se impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Un ejemplo muy claro de este tipo es el ataque de Denegación de Servicio, que, como su nombre indican, deniegan un servicio como FTP, el servicio Web, login de un usuario, etc.
Punto 2 - Anatomía de ataques Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a comprender y analizar la forma en que los atacantes llevan a cabo un ataque. Hay 5 etapas en las que se realiza un ataque informático, y son:
Fase 1 - Reconocimiento La primera de todas las fases, la de reconocimiento(reconnaisance). Esta etapa involucra la obtención de información con la víctima que puede ser una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social o el sniffing.
Fase 2 - Exploración Durante la segunda etapa de los ataques denominada como Exploración (Scanning) se utiliza la información obtenida en la fase de reconocimiento para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Un atacante puede utilizar varias herramientas como mapeadores y los escáneres de vulnerabilidades.
Fase 3 – Obtener acceso En la tercera etapa de un ataque, que se conoce como Gainningaccess(Obtener el acceso)se inicia el ataque a través de la explotación de las vulnerabilidades y defectos del sistema descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Denial of Service (DoS), DistributedDenial of Service (DDos), Passwordfiltering y Sessionhijacking.
Fase 4 – Mantener el acceso Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. En esta etapa, conocida como Maintaining Access (Mantener el acceso), los atacantes suelen recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5 – Borrar huellas En la fase final conocida como CoveringTracks(Borrar huellas) se intentará borrar todo contenido que le relacione con el ataque tras haber logrado obtener y mantener el acceso al sistema. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
Punto 3 – Análisis del malware Un Malware es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño. Este software tiene finalidades muy diversas, ya que engloba todo el software que, dado un mal uso, puede dañar gravemente al sistema informático.
Historia La historia del malware es muy extensa, tal como los tipos de malware existente y su uso en la actualidad. Todo empezó en 1949, cuando Von Neumannestableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. A partir de esa teoría se comenzaron a desarrollar los primeros virus informáticos, programas que se reproducen a sí mismos el mayor número de veces posible y aumentan su población de forma exponencial.
Precursor de los Virus Informáticos (CoreWar) En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y VictorVysottsky crean un juego denominado CoreWarbasado en la teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es considerado el precursor de los virus informáticos.
Creeper-Reaper, Virus y Antivirus Fue en 1972 cuando Robert Thomas Morris creó el que es considerado como el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper(segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.
Gusanos En 1999 surgió el gusano Happy que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.
Gusano LoveLetter En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I LoveYou o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del correo electrónico.
El Gran Cambio Fue en 2005 cuando los virus tal y como eran fueron dejando su lugar a gusanos y troyanos encargados de formar redes de botspara obtener dinero. Por ello la creación de malware era un negocio muy rentable. La mejor prueba de ello son los Troyanos Bancarios.
Malware como robo (Spywares) Otra amenaza latente relacionada con la obtención de beneficios económicos a través del malware es el spyware y adware, donde algunas empresas de software permiten al usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las actividades del usuario sin su consentimiento.
Malware en telefonía móvil En cuanto a las amenazas para móviles. Sin embargo, la expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del malware. Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para plataformas móviles: Cabir.A y ComWar.Ason los más conocidos, enviándose a las direcciones y números de la agenda de sus víctimas.
Sistema más afectados - Windows A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Los creadores de malware han visto en esta actividad un método de enriquecimiento y pensando en términos económicos y estableciendo el target más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado.
Clasificación del malware El malware se ha extendido hasta nuestros días, y su creación e innovación es constante. Algunos de estos malwares son:
Malwares replicadores (Gusanos) • Gusanos: Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande.
Malwares ladrones • Stealer(en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito. • El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles a través de Internet.
Malwares de ejecución • Troyanos: También conocidos como caballos de Troya, son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas sin el conocimiento del usuario. • Bomba lógica: Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo…
Malwares espía/recolectores de información • Spyware: Es, como su nombre indica, un programa espía que se instala en un ordenador para recopilar información sobre las actividades realizadas por éste. Recopila la información sobre los DNS, la IP, contraseñas, etc. • Sniffers: Este tipo de programas pueden utilizarse para averiguar información que circula a través de la red local o hacia Internet. Usados con mala intención, se pueden obtener numerosos datos de las cuentas bancarias o información imprescindible para el usuario o para la empresa.
Malwares de acceso • Puerta trasera (Backdoor): Permite el acceso de forma remota a un sistema operativo, página Web o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto. • Rootkit: Toma control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones creadas…
Grayware • Graywarees un término abarcador aplicado a un amplio rango de programas que son instalados en la computadora de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones funcionan sin el permiso del usuario. • Algunos de estos programas son Adware (Publicidad), Keylogger, Toolbars o Spywares.
Métodos de infección Hay muchos métodos de infección, entre los que se incluyen el navegador de Internet, el correo, la descarga de archivos...
Métodos de infección más comunes en Internet • Internet: En general, los virus y otros programas maliciosos se colocan en unas páginas Web. Muchos de los scripts que se ejecutan automáticamente al abrir las páginas Web también pueden contener programas maliciosos. • Correo electrónico: Los emails pueden contener todo tipo de malware. Los tipos principales de malware distribuido por correo electrónico son virus y gusanos. Además, el correo electrónico es también un fuente de spam y phishing.
Métodos de infección físicos y lógicos • Vulnerabilidades de software: El explotar las vulnerabilidades de software instalado en el sistema es un buen método de propagación. • Todo tipo de unidades de almacenamiento portátiles: Discos externos, discos compactos y disquetes, unidades flash. Al conectar una unidad portátil a su equipo o iniciar algún archivo de allí, puede infectar su equipo con malware, ya sea intencionadamente o no.
Punto 4 – Herramientas paliativas Estas herramientas se encargan de analizar y eliminar los posibles malwares que pueda haber en el equipo. Su función es proteger al equipo de todas estas posibles amenazas. Hay muchas de estas herramientas con diferentes funciones:
Antivirus Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos, claro está que su deber se expande a todo tipo de malware o ataques. Hay varias opciones de los antivirus para bloquear, eliminar o parar el efecto del virus en el dispositivo. Los antivirus tienen dos formas de proteger al dispositivo, mediante una protección en tiempo real (bloqueando malware o software peligroso) o detectando el malware ya introducido en la computadora.
Tipos de antivirus • Escritorio:Es un software que se encuentra instalado en el pc controlado en todo momento la actividad de los ficheros en busca de amenazas. En cualquier momento se puede analizar el equipo a fondo. • Online: Es un software que a través del navegador analiza tu equipo sin necesidad de instalar nada. No suelen ser fiables. • Portables:Es un software que se encuentra normalmente en una unidad portátil y que se puede ejecutar en cualquier equipo sin necesidad de instalación solamente enchufando o introduciendo la unidad portátil • Live: Es software, normalmente instalado en un CD, sirve para analizar el equipo sin necesidad de cargar el SO evitando así que los virus puedan camuflarse en el sistema operativo.
Anspyware El antispyware se encarga de buscar, detectar y eliminar spywares o espías en el sistema. Estos programas espía recopilan información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
Herramientas de bloqueo web Estas herramientas son empleadas para bloquear webs entrantes al equipo que puedan ocasionarle cualquier daño o robo de datos. Hay muchos tipos de herramientas, y sin embargo ninguna de ellas es realmente necesaria, ya que hay varias formas de bloquear estas webs sin instalar ningún software.
Fichero hosts Una de ellas es el fichero hosts, que se encarga de bloquear páginas webs que se le pueden asignar fácilmente modificando el fichero. Otra forma es utilizar el propio navegador, ya que prácticamente todos llevan incorporada una de estas herramientas. También los antivirus pueden tener estas herramientas incorporadas.
Punto 5 – Herramientas preventivas El control de acceso lógico permite y registra las entradas a unos determinados datos o lugares (al dispositivo propio, al sistema operativo, a la BIOS, a los datos almacenados,…) mediante diversas maneras de protección, que se incrementan dependiendo del valor dado a los datos y a la entrada de otras personas. Algunas de las técnicas del control de acceso lógico son la encriptación, el no repudio, el control de acceso mediante VPN, contraseñas,…
Seguridad en la BIOS La protección con contraseñas para el BIOS (o equivalentes) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas, arranquen desde medios externos u obtengan acceso como root a través del modo monousuario.. Se le puede agregar una contraseña a la BIOS evitando el arranque desde un CD o un pendrive
Contraseñas gestor de arranque Al asignársele una contraseña al gestor de arranque, se puede prevenir el acceso en modo monousuario de forma que no pueda entrar al modo superusuario, además previene el acceso a la consola de GRUB.
Políticas de contraseñas Otras herramientas de este tipo son las políticas de contraseñas, que variarán dependiendo del grado de complejidad que se quiera asegurar. Poco a poco está desapareciendo debido a la eficiencia de los certificados digitales.
Control de acceso al sistema operativo • Para evitar el acceso no autorizado al sistema operativo se debe de conseguir una serie de objetivos: • Establecer un control de acceso adecuado a lo que se pretenda realizar según que usuarios y grupos, asignando o quitando permisos. • Autenticar usuarios autorizados, de acuerdo con una política definida de control de acceso. • Registrar intentos exitosos y fallidos de autenticación del sistema. • Registrar el uso de privilegios especiales del sistema. • Emitir alarmas cuando se violan las políticas de seguridad del sistema. • Suministrar medios adecuados para la autenticación.