1 / 30

Los Peligros de la Red

Los Peligros de la Red. IRIS-CERT Departamento RedIRIS II Jornadas de Usuarios 11 DE Abril , 2005. Índice. Presentación Definiciones Peligros ¿Es real ? Soluciones. RedIRIS Inicios. Surge en 1998 para proporcionar conectividad a Universidades y centros de I+D Españoles.

Download Presentation

Los Peligros de la Red

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Los Peligros de la Red IRIS-CERT Departamento RedIRIS II Jornadas de Usuarios 11 DE Abril , 2005

  2. Índice • Presentación • Definiciones • Peligros • ¿Es real ? • Soluciones

  3. RedIRIS Inicios • Surge en 1998 para proporcionar conectividad a Universidades y centros de I+D Españoles. • Pioneros en la puesta en marcha de servicios en Internet en España: DNS, News,etc. • Conexión basada en un punto de acceso regional al que se conectan los centros. • Desde Enero de 2004 , incluida dentro del Ente Publico Empresarial Red.es

  4. IRIS-CERT Formado en 1995 para gestionar los incidentes de seguridad en redes conectadas a RedIRIS. Punto central de recogida de denuncias relativas a equipos conectados a RedIRIS Coordinación internacional con otros equipos de seguridad Actividades de concienciación y fomento de la seguridad dentro de RedIRIS. Proyectos de seguridad específicos: IRIS-PCA: Autoridad experimental de certificación PED: Sistema de Máquinas trampas de rediris Monitorización y control de tráfico

  5. ¿Qué hace IRIS-CERT? Punto centralizado de recepción de quejas sobre equipos de RedIRIS: Sobre todo quejas externas (una máquina de RedIRIS esta atacando otra red). Coordinación con los técnicos de cada centro para intentar solucionar el problema. Visión “global” de los problemas. Difusión y fomento de la seguridad con los servicios de informática

  6. Escaneos y ataques Los Sistemas Operativos emplean unos “puertos” para permitir que los ordenadores se comuniquen entre si: Acceder a páginas HTML (puerto 80) Enviar correo (puerto 25) ...... Compartir discos e impresoras... Administración remota de equipos.. Muchas veces los programas que “leen” de estos puertos presentan fallos, que hacen que ante determinados datos el comportamiento sea distinto del esperado. Estos fallos son difíciles de encontrar y de utilizar, pero se pueden “programar” Principal fuente de problemas en la actualidad

  7. Escaneos y ataques Escaneo: Comprobación por parte de un ordenador para ver si los equipos de una red tienen determinados “puertos” disponibles Así se puede ver que equipos emplean un “puerto” del que se sabe hay problema. Uso después de un programa para intentar acceder o atacar al equipo: Por parte de programas automáticos para duplicarse e “infectar” el equipo (Gusanos, bots) Por parte de atacantes “humanos” para intentar obtener datos del equipo.

  8. Ruido de Fondo La frecuencia de estos escaneos ha ido subiendo en los últimos años: 1999. Atacantes manuales, menos de 1 escaneo diario en una Universidad “grande” (65000 direcciones) 2005. Más de 30 escaneos diarios en una red pequeña (16 direcciones) 2005: Más de 2500 conexiones en un ordenador aislado (proveedor comercial) Escaneos: Generan un “ruido de fondo” de ataques no dirigidos contra nosotros en particular , que impiden ver si hay algún ataque específico. Hacen que un equipo “desprotegido” sea infectado atacado en pocos minutos.

  9. ¿Qué nos ataca por la red? Virus: Programas que “infectaban”, (modificaban otros programas) y así se propagaban. Gusanos: Programas que infectaban (atacaban) otros ordenadores y se propagaban en ellos. Estos programas no permitían un control “externo” de ellos, cumplían con la secuencia “programada”. Los “Antivirus” no suelen diferenciar entre los distintos “malwares”. A partir de 2003 empiezan a difundirse gusanos que permiten que desde el exterior se pueda controlar su ejecución: Buscar e infectar otros equipos Atacar un servicio determinado Obtener información del ordenador infectado

  10. Bot:: Inicialmente del termino “robot”, se aplicaba a trozos de código que simulaban una identidad Control de canales en IRC Simulación de jugadores en juegos multijugador. Su definiciön se generaliza a programas “sirvientes” , que realizan determinadas acciones en base comandos emitidos desde el controlador. Zombies: Maquinas comprometidas usadas en DDOS (año 2000) Se generaliza el termino botnet (red de bots) para describir las redes de equipos comprometidos controlados por un canal de IRC Bots & Zombies

  11. Construcción de bots “Unión de esfuerzos” entre escritores de Gusanos y Bots. Misma traza de ataque. Los gusanos dejan puertas abiertas que después son empleadas para ampliar las botnet Empleo de vulnerabildades existentes en código de gusanos y puertas falsas. Existencia del código fuente de estos bots , hace muy fácil la actualización y modificación de los mismos. El empleo de técnicas de compresión y encriptación en los binarios hacen difícil el uso de Antivirus como herramienta de detección de los binarios.

  12. Bots: ¿Qué pueden hacer ? Escaneo de diversas vulnerabilidades Servicios de sistemas operativos: DCOM (135/TCP), DS (445/TCP), MS-SQL (1443) Puertas traseras existentes: (Remote admin (6129/TCP), Agobot (3127/TCP). Acceso a recursos compartidos (discos e impresoras) Ataques de fuerza bruta contra claves vulnerables Permiten habilitar//desabilitar estos servicios Pueden funcionar como proxy (HTTP, socks) Pueden actualizarse y ejecutar programas Recogida de información Pulsaciones de teclado Claves de acceso a distintos servicios y licencias. Empleo para otros ataques

  13. El gran bazar Según indican diversas fuentes existe un floreciente mercado de compra de estos equipos. Intercambio de herramientas y ataques Compra/venta de equipos comprometidos (¿50$ la docena ?) . Para la difusión de SPAM Ataque a otros sistemas Falsificación de mensajes de banca electrónica. Extorsión a sitios de comercio electrónico: Denegación de servicio contra sistemas de comercio y/o juegos on-line Robo de información bancaria

  14. Phising Phising: Deformación de “fishing”: ¿ ir de pesca ? “Lanzar un “cebo” e intentar “pescar” información de usuarios incautos. Empleada sobre con usuarios de comercio y banca electrónica para intentar obtener su información de acceso Combinación de dos técnicas antiguas: Difusión masiva de mensajes no deseados (SPAM) “Ingeniería Social”, simular ser otra persona o entidad para obtener información del destinatario Muchas veces no es un problema “técnico” sino de formación

  15. Phising (II) No solamente se trata de “mensajes bancarios” Suplantación (Falsificación) de la dirección de correo de un usuario en un foro o lista de correo. Intentos de acceso a cuentas de usuarios Evolución de la Ingeniería Social: 1996: Llamadas a personal de una Universidad para “verificar” las cuentas de correo. 2003: “phising”, correos a usuarios de una una Universidad, solicitándoles la comprobación de sus datos.

  16. Palabras de acceso vulnerables Muchos sistemas de autenticación requieren el uso de identificadores (login) y claves (password) Acceso a los equipos y servidores de la Universidad Lectura de correo electrónico Acceso Servicios externos (mensajería instantánea , banca electrónica) ..... Gran parte de estos sistemas emplean cifrado: Evitan que alguien pueda “leer los datos” Mayor “carga de trabajo del ordenador para realizar la conexión considerados “seguros”...

  17. Problemas con las contraseñas Problemas: Existencia de herramientas por “fuerza bruta” para intentar obtener contraseñas. Mismo usuario y clave en diversos servicios: Listas de correo, acceso al correo. Bases de datos , servicios de subscripción ¿Quién garantiza la confidencialidad de las contraseñas? ¿Están las bases de datos protegidas ? ¿Se almacenan las claves en “claro”? Muchas veces se emplea la misma clave en diversos servicios , sin tener en cuenta los problemas.

  18. ¿Qué amenazas existen ? Nivel General: Infección y ataque por parte de Gusanos y Virus. Perdida de información confidencial: códigos y licencias de programas instalados Información bancaria Empleo del equipo como “puente” para atacar otros sistemas A Nivel específico: Muchos de estos programas están disponibles en la red, por lo que pueden ser utilizados para ataques “específicos” contra nuestro equipo.

  19. Actualización periódica

  20. Actualización de los equipos Gran parte de los problemas de seguridad se pueden evitar si el equipo esta actualizado. La actuación del equipo se puede configurar para que se realice de forma automática, avisando al usuario cuando tenga que tomar alguna acción. Los gusanos y virus suelen emplear problemas que se han hecho públicos meses antes. Cuando se reinstala la un equipo se deben volver a actualizar. Esta es la segunda medida más eficaz para evitar el ataque a un equipo.(tener el equipo desconectado es la más eficaz)

  21. Cortafuegos Evitan que determinado tráfico de red pueda llegar a nuestro equipo. Impiden que nos pueden atacar. Pueden ser: Corporativos , protegen toda nuestra red. Personales: Programas que protegen nuestro equipo. En la mayoría de las instituciones afiliadas a RedIRIS suele haber cortafuegos corporativos: Evitan ataques generales No protegen de ataques desde el interior

  22. Cortafuegos (II) Cortafuegos personales en Instituciones afiliadas. Suelen ser un programa instalado en el equipo Evitan el tráfico entre el equipo y el exterior. Permiten realizar excepciones ¿Cómo compartir un disco / impresora solo a determinados equipos ? Cortafuegos personales en proveedores de Internet Los proveedores de Internet no suelen poner a sus usuarios tras un cortafuegos. Mayor numero de ataques Dificultad para detectar el problema Gran parte de los sistemas operativos disponen de un cortafuegos mínimo por defecto

  23. Antivirus • Son el producto de seguridad más conocido: • Analizan los ficheros del ordenador . • Comparan cada fichero con una serie de “patrones” de virus conocidos • Requieren una actualización periodíca de los virus. ¿Por qué fallan los antivirus ?

  24. Antivirus No analizán el comportamiento de los programas. comparan cada fichero con unos muestras de programas malignos conocidos. Requieren una “muestra” conocida del programa para crear el patrón. No son eficaces ante amenazas nuevas. No son eficaces ante ataques directos ¿Qué pasa con los virus “caseros”? Multitud de variaciones de programas (bots) , que dificultan la detección Algunas herramientas empleadas en los ataques tienen un uso “legal”.

  25. Phising y falsificaciones Se pueden evitar teniendo cuidado: Conociendo el comportamiento “normal” de los sistemas con los que nos comunicamos: Los servicios de informática no suelen llamar a los usuarios para cambiar las claves. Los bancos no se suelen comunicar por correo electrónico. La forma de estos correos va evolucionando y adaptándose a las alertas. Las falsificaciones suelen ser correos personales. Las páginas WWW de los correos no suelen estar “firmadas digitalmente”.

  26. Evitar el phising

  27. Criptografía

  28. Palabras de acceso No emplear la misma palabra de acceso siempre: Ejemplo Diferenciar entre: Servicios internos (acceso al ordenador, correo corporativo) Servicios externos (Mensajería instantánea, correo en ISP) Servicios de alerta gratuitos, listas de correo. Elegir una clave “sin sentido” Primera letra de cada palabra de una frase Añadir dígitos o códigos que indiquen el servicio ¿ (hnmplcor), para el correo ? (Hoy No Me Puedo Levantar)

  29. Conclusiones El acceso a una red implica que desde esta red se puede “acceder” a nosotros. Las causas más frecuentes por las que los ataques tienen éxito: Equipos no actualizados. Configuraciones inseguras de acceso. Cada vez será más frecuente los ataques contra usuarios finales: Genéricos, obtención de información económica , principalmente. Específicos: Intento de obtención de información.

  30. Referencias Centro de alerta antivirus , http://alerta-antivirus.red.es/ proporciona información sobre virus y gusanos detectados en el correo-e , así como un directorio de herramientas gratuitas. Virus Total, http://www.virustotal.com , permite comprobar en diversos antivirus si un fichero es detectado como Virus IRIS-CERT, http://www.rediris.es/cert , información de seguridad para la comunidad RedIRIS.

More Related