390 likes | 514 Views
MÁSTER PROFESIONAL EN TECNOLOGÍAS DE SEGURIDAD DE LA INFORMACIÓN. Bloque Gestion Conceptos de Seguridad y Amenazas Otras Amenazas. Febrero 2007. Indice. Incidencias... breve historia Ciclo de Vida de la intrusión. Scaning Intrusión Vulnerabilidades DoS, DDoS Ocultación: rootkit)
E N D
MÁSTER PROFESIONAL EN TECNOLOGÍAS DE SEGURIDAD DE LA INFORMACIÓN Bloque Gestion Conceptos de Seguridad y Amenazas Otras Amenazas Febrero 2007
Indice • Incidencias... breve historia • Ciclo de Vida de la intrusión. • Scaning • Intrusión • Vulnerabilidades • DoS, DDoS • Ocultación: rootkit) • Abuso Fraude Online
Antecedentes • 1969 - Advanced Research Projects Agency (ARPA) crea ARPANET, la red precursora de Internet. Las primeras cuatro redes de ARPANET pertenecían a la Universidad de California Los Angeles, Universidad de California Santa Barbara, la Universidad de Utah y el Instituto de Investigación Stanford • 1971 - John Draper, alias 'Cap'n Crunch' hackea sistemas de teléfono utilizando un silbato de juguete. • 1983 - Kevin Poulsen, alias 'Dark Dante' es arrestado por forzar el Arpanet. • 1983 - Se funda Internet al dividir el Arpanet en redes separadas: militares y civiles. • 1984 - Bill Landreth, conocido como 'The Cracker', es apresado por hackear sistemas de ordenadores e ingresar a los datos de ordenadores de la NASA y el Departamento de Defensa. • Noviembre de 1988 - Robert Morris crea un gusano de Internet que infecta varios miles de sistemas, destroza y provoca atascos en los ordenadores en todo el país, debido a un error de programación. Este virus ahora se conoce como el gusano Morris. • 1990 - Kevin Poulsen hackea un sistema telefónico en Los Angeles, haciéndose ganador de un Porsche 944 en un concurso radial. • 23 de marzo de 1994 - Richard Pryce, de 16 años, alias 'Datastream Cowboy', es arrestado con cargos de acceso no autorizado a ordenadores. • 1994 - Vladimir Levin, un matemático ruso, hackea el Citibank y roba $10 millones. • 1995 - Dan Farmer y Wietse Venema presentan SATAN, un escaner automático de vulnerabilidades, que se convierte en una popular herramienta de hacking. • 1995 - Kevin Mitnick sufre su último arrestro tras ser acusado de entrar en algunos de los ordenadores más "seguros" de EE.UU. Ya había sido procesado judicialmente en 81, 83 y 87 por diversos delitos electrónicos.
Antecedentes • 1996 - Tim Lloyd planta una bomba de tiempo de software en Omega Engineering, una compañía en New Jersey. Los resultados del ataque son devastadores: pérdidas de USD$12 millones y más de 80 empleados que pierden su trabajo. Lloyd es sentenciado a 41 meses en prisión. • 1998 -Dos hackers chinos, Hao Jinglong y Hao Jingwen (mellizos) son sentenciados a muerte por una corte en China por ingresar a un ordenador de un banco y robar 720.000 yuan ($87'000). • 1998 - El virus CIH es presentado. CIH es el primer virus que incluye una carga explosiva que borra la memoria FLASH BIOS, haciendo que el sistema del ordenador no pueda arrancar y echa por tierra el mito de que ‘los virus no pueden dañar el hardware’. • 2000 - Un hacker adolescente canadiense conocido como ‘Mafiaboy’ conduce un ataque DoS y hace que Yahoo, eBay, Amazon.com, CNN y unos cuantos otros sitios web se tornen inaccesibles. Es sentenciado a ocho meses en un centro de detención para jóvenes. • 2000 - The FBI arresta a dos hackers rusos, Alexi V. Ivanov y Vasiliv Groshkov. Los arrestos se llevan a cabo después de una operación compleja que incluyó el llevar a los hackers a los Estados Unidos bajo el pretexto de "mostrar sus habilidades de hacking’ • Julio de 2001 - El gusano CodeRed es lanzado, y se esparce rápidamente por todo el mundo, infectando cientos de miles de ordenadores en pocas horas. • 29 de abril de 2003 - New Scotland Yard arresta a Lynn Htun en la feria de ordenadores London's InfoSecurity Europe 2003. Se cree que Lynn Htun obtuvo acceso no autorizado a muchos importantes sistemas de ordenadores como Symantec y SecurityFocus.
Casos de ataques: Antecedentes La débil Seguridad Informática del Gobierno: ¿Están los sistemas Públicos en Riesgo? • Fuente: Comité para asuntos gubernamentales del Senado de Estados Unidos www.senate.gov, Mayo 1998 Tras haber escuchado que la Seguridad Informática del Gobierno decía: La Débil Seguridad Informática del Gobierno: ¿Están los sistemas Públicos en Riesgo? El Comité Completo dirigió los problemas de los sistemas que hacían que los ordenadores del gobierno y los sistemas de comunicación fueran vulnerables a ataques deliberados e involuntarios. El Doctor Peter Neumann declaró que nuestra infraestructura de información subyacente está plagada de vulnerabilidades. Así, las infraestructuras críticas de nuestra nación (por ejemplo, generación, transmisión y distribución eléctrica; control de tráfico aéreo y telecomunicaciones) están en riesgo. Aunque el riesgo es ampliamente conocido, el Doctor Neumann indicó que hasta que no pasa un desastre totalmente visible, muy poca gente quiere admitir que se necesita hacer algo drástico. Tiene que pasar un accidente de la escala del de Chernobyl para incrementar adecuadamente los niveles de concienciación. Los siete miembros de L0pht remarcaron esta vulnerabilidad, y algún hacker se lo agradecerá. L0pht dijo que en cuestión de 30 minutos, podrían hacer que Internet estuviera inutilizable durante un par de días.
Casos de ataques: Antecedentes Clinton pelea contra piratas informáticos, con un hacker. Bill Clinton acordó una reunión en la Casa Blanca un martes con expertos en tecnología que incluía a un hacker llamado Mudge. La reunión trataba una avalancha de ataques la semana anterior que inutilizaba alguno de los sitios Web más populares de la nación, entre ello CNN.com, eBay, Yahoo, Amazon.com y E*Trade. La idea inicial de la reunión era controlar el problema del uso del ciberespacio por parte de los terroristas. Pero Clinton dijo que los ataques de la semana anterior subrayaban la necesidad del gobierno de priorizar la protección de Internet mismo. Clinton declaró a CNN.com el lunes en una entrevista online que: Estos ataques de denegación de servicio son obviamente muy molestos y creo que hay un modo en el que podemos promover la seguridad claramente.
Casos de ataques: Actuales • El caso de Estonia • Fuente: Helsingin Sanomat, Junio 2007
Casos de ataques: Actuales • El caso de Estonia • Los sitios Web del Gobierno estonios y de otros organismos de esta república báltica han sido víctimas de ataques de denegación de servicio desde el pasado 27 de abril, día en el que fue retirada la estatua del "Soldado de Bronce", monumento soviético de la Segunda Guerra Mundial. • En el caso de los sitios ministeriales estonios, el mayor problema vino por ataques de denegación de servicio distribuido o DDoS (Distributed Denial of Service), una ampliación del ataque DoS, que se efectúa con la instalación de varios agentes remotos en muchos ordenadores que pueden estar localizados en diferentes puntos. El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del flood o saturación de información. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores. • Un DoS no es ninguna cruzada individual dirigida desde un cibercafé. Tal incursión sería fácil rechazar filtrando o prohibiendo todo el tráfico de una dirección IP dada o de un país. Sin embargo, la defensa se hace muy complicada cuando hay decenas de miles de máquinas atacando desde distintos puntos del planeta, como es el caso
Casos de ataques: Actuales • El caso de Estonia • Las incursiones fueron realizadas por botnets, software robots, o bots (un programa informático que realiza muy diversas funciones imitando a los humanos), que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores), de tal forma que el artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC (Internet Relay Chat). • Esto no significa de ningún modo que todos los atacantes sean niños entusiastas que lo hacen desde su habitación. Uno de los agitadores más activos ha sido alguien denominado "alexbest". Él ha estado exhortando a miembros de foros a participar en un asalto masivo el pasado 9 de mayo, el Día de la Victoria en Rusia. Según algunas fuentes Estonias, se cree que el nombre de entrada al sistema “alexbest” tiene uniones con el FSB o Servicio de Seguridad Federal, la agencia de seguridad estatal de la Federación Rusa
Casos de ataques: Actuales El caso de Chile • Fuente: CNN.com, Noviembre 2007 Un hacker entró en la página Web de la presidencia de Chile y puso la bandera del vecino Perú, dejando el sitio inoperativo alrededor de 18 horas. El intruso dejó un mensaje -- Larga vida a Perú, seguido de un improperio -- además de la bandera. El director político del ministerio de exteriores chileno dijo que el incidente está siendo investigado. También ha pasado con otras páginas Web, incluyendo algunas del gobierno de los Estados Unidos, el Vaticano. Mientras Chile y Perú tienen normalmente relaciones amistosas, pero esporádicamente surgen tensiones sobre las secuelas de dos guerras del siglo XIX entre los dos países y se ha estado desarrollando una disputa sobre los límites marítimos.
Casos de ataques: Actuales • Datos anuales a Octubre de 2007: • 37 ataques con éxito a webs del Gobierno de Estados Unidos (dominios .gov). • 73 ataques contra páginas web del Gobierno de China (dominios .gov.cn). Estos datos no hacen referencia a ataques de denegación de servicio, como en el caso de Estonia, sólo recogen modificaciones de las páginas web. Fuente: www.zone-h.org
Motivaciones • Estafa, animo de lucro • Robo y venta de información • Uso de recursos ajenos con fines económicos (p.e.SPAM) • Curiosidad, afan de superación, reconocimiento • Ego/diversión • Piratería (warez) • Pornografía • Juegos $$
Ciclo de Vida de unas Intrusión • Reconocimiento • Recopilación de información • Scanning • Intrusión / ataque • Denegación de servicio • Compromiso • Limpieza, ocultación y conservación • Abuso
Reconocimiento • Recopilación de información • Whois, DNS, etc… • Web (sitio web, google…) • Scanning • Hostscan: Búsqueda de maquinas • Portscan: Búsqueda de puertos • Footprinting: Identificación de servicios en los puertos activos • Consulta de banners • Consulta de servicios • Fingerprinting: Consulta de OS
Intrusión • Acceso no autorizado a un sistema de información. • Explotando Vulnerabilidades • Desbordamiento de Búfer • Errores de configuración • Inyección • Denegación de Servicio (DoS) • Denegación de Servicio Distribuido (DDoS) • Robando Información • Ing. Social • Sniffing ¿Qué es una Intrusión? ¿Como?
Desbordamiento de Búfer • Error de programación que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria Excepción y terminación del programa. • EXPLOIT
Denegación de Servicio • Es un ataque a un sistema de maquinas o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos o al menos cause que el acceso no sea óptimo (lento): • Consumo de Ancho de banda • Sobrecarga de recursos • Vulnerabilidad (Ping de la Muerte) Tipos: • SYN Floods: intentos de conexión que consumen recursos en el servidor y limitan el número de conexiones que se pueden hacer . • LAND attack: enviar un paquete TCP/SYN con la dirección del objetivo como origen y destino a la vez. • ICMP floods o Ping flood: número elevado de paquetes ICMP echo request (ping) de tamaño considerable a la víctima, consume ancho de banda y recursos. Si el atacante tiene mas capacidad que la victima, éxito. • Smurf: el atacante dirige paquetes ICMP echo request a una dirección IP de broadcast con la dirección origen de la victima.
Smurf Ping falseando la dirección IP origen hacia broadcast Pong múltiples no solicitados
Denegación de Servicio Distribuida • Es un tipo especial de DoS que consiste en realizar un ataque conjunto y coordinado entre varios equipos. • Agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los router, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser prestados.
Ingeniería Social • Ingeniería Social. • Se emplean para dirigir la conducta de una persona u obtener información sensible • El afectado es inducido a actuar de determinada forma (proporcionarnos información, pulsar en enlaces, introducir contraseñas, visitar páginas, etc.) convencido de que está haciendo lo correcto. • Gran grado de personalización que puede llegar a alcanzar.Spam. Troyanos. Intrusiones.
Limpieza, ocultación y conservación • Una vez realizado el acceso, se realizan acciones para • conservar el control del sistema sin levantar sospechas. • Para ello: • Ocultación de actividad: se usan los rootkits • Se limpian las trazas: Wiping • Se instalan puertas traseras: Backdoors • A veces el mismo intruso parchea amablemente el sistema
RootKit • Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos • Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. • Núcleo: suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada. • Aplicación: pueden reemplazar los archivos ejecutables originales con versiones crackeadas.
Abuso Una vez ingresado en el sistema, las acciones a realizar son diversas: • Punto de partida para nuevas intrusiones • Miembro de una red de bots: • DoS, DDoS • Robo de Datos (Keyloggers) • Spam: phishing Fraude Online MAFIA
KeyLoggers • Se instalan sin conocimiento del usuario y permanecen en ejecución en el equipo afectado. • Bajo ciertas condiciones, registra todas las pulsaciones efectuadas sobre el teclado. • Pueden ser empleados para robar información sensible que se introduzca por teclado, por ejemplo: contraseñas (bancos, juegos, correo o mensajería instantánea), números de tarjeta, datos personales, etc. . FRAUDE EN INTERNET
KeyLoggers Forma de actuar: • El keylogger instalado en el equipo está programado para comprobar continuamente la dirección accedida por el navegador. • El usuario accede a la página de inicio de su banco (http://www.caja-bancoX.com) para realizar una consulta de sus movimientos.El troyano reconoce esa dirección y a partir de ese momento, registrará todas las pulsaciones que se efectúen sobre el teclado, que serán primero el ‘nombre de usuario‘ y después la ‘contraseña de acceso’. • La información capturada se envía por cualquier método al atacante (correo electrónico, IRC, etc) de modo que este sabe: el banco, el usuario y la contraseña.
El Fraude en Internet – Elementos Utilizados • Ingeniería Social. • Problemas de carácter técnico. • Recientes detecciones de fraude y urge un incremento del nivel de seguridad. • Nuevas recomendaciones de seguridad para prevención del fraude. • Cambios en la política de seguridad de la entidad. • …
El Fraude en Internet – Elementos Utilizados • El gran Problema: Utilización de Troyanos. • Encaminadas a actividades fraudulentas sofisticadas y dirigidas a usuarios específicos . • Provienen en su mayoría de mafias organizadas • Mayor complejidad de programación y diseño • Encaminados a: • Captura de datos. • Redirección de navegación. • Mayores dificultades de detección y erradicación del ataque
El Fraude en Internet – Tipos de Fraude • PHISHING. • Obtener información personal (principalmente de acceso a servicios financieros) mediante la suplantación de la apariencia o el nombre de la entidad afectada. Casi siempre se complemente con ingeniería social . • Para alcanzar al mayor número posible de víctimas e incrementar así sus posibilidades de éxito, suele difundirse a través de spam . • Los mensajes que nos incitan a visitar determinado sitio falso. • Por norma, las entidades financieras, de crédito, etc. NUNCA se dirigen al cliente solicitando sus datos de acceso o de pago por ningún medio . • Problemas de carácter técnico, detecciones de fraude, recomendaciones prevención del fraude,…
El Fraude en Internet – Tipos de Fraude • PHISHING. • Las URLs que suelen venir en estos mensajes que nos incitan a visitar determinado sitio falso. • La apariencia suele ser idéntica que al sitio suplantado • Pero…. • La URL no suele ser la de la entidad • No suele estar cifrada [https] (aunque muchos sitios fraudulentos comienzan a utilizarlo).
El Fraude en Internet – Tipos de Fraude • PHISHING. • Pasos que se suele realizar con un phishing: • Se difunde de forma masiva un mensaje (spam) en el que se informa de que los usuarios de ‘caja-bancoX’ deben confirmar sus datos de acceso a su cuenta bancaria. • El mensaje incluye un enlace a una página desde la que debe realizar la confirmación de los datos. • El usuario accede al enlace que lleva a una página ‘similar’ a la auténtica de ‘caja-bancoX’ y con toda confianza introduce en ella sus datos. • Como la página es falsa y está controlada por los estafadores, reciben los datos del usuario, teniendo libre acceso a la cuenta real del usuario estafado. • Robo del dinero (o datos) y blanqueo de los beneficios.
El Fraude en Internet – Tipos de Fraude • PHARMING. • Consiste en la redirección de la página solicitada por el usuario a otra predeterminada por el atacante con el objetivo de hacerle creer que se encuentra en la original y actúe dentro de ella con total normalidad. • Suele emplearse para redirigir a la víctima a una dirección falsa, en la que introducirá sus datos, que pasarán a estar en poder de los atacantes. • Estas redirecciones se pueden efectuar por varios métodos (alterando el fichero hosts, modificando las tablas del servidor DNS, cambiando el DNS asignado, etc.)
El Fraude en Internet – Tipos de Fraude • HOAX o BULO • Mensaje de correo electrónico enviado masivamente, que intenta hacer creer al remitente algo que es falso, como alertar de virus inexistentes, noticias con información falsa, etc. • En el caso del fraude tienen como objetivo conseguir dinero a base de mensajes falsos. • Son del tipo… “salvad a Willy…”. “Van a cerrar el Messenger…” “Cuestiones terroristas”.. Etc “Salvad a Willy:Willy sigue vivo, la última fotografía que se le hizo data de una semana. Los veterinarios y especialistas en animales en extinción han confirmado que, o se actúa rápido o Willy morirá. Si Usted desea ver a Willy volviendo a surcar los mares del mundo, no dude en aportar su imprescindible ayuda, bien con mensajes de apoyo, bien mediante su aportación económica al número de cuenta que se adjunta. Pásalo a todos sus amigos”
El Fraude en Internet – Tipos de Fraude • SCAM • Consiste en captar usuarios normalmente a través de un correo, un hoax para ser más exacto, en el que se ofrece gran cantidad de beneficios económicos a cambio de no hacer nada. • Combina técnicas de phishing y pirámides de valor Suelen contener una url donde se tendrán que indicar datos personales, la cuenta bancaria donde supuestamente se ingresarán los beneficios. • Posteriormente se les indica que tienen que pagar una cantidad de dinero e incluirse dentro de una cadena. Luego lo que tienen que hacer es reenvíar el correo a miles de usuarios, ya que supuestamente según se aumente la cadena se recibe mayor beneficio.
El Fraude en Internet – Tipos de Fraude • SCAM • Actores que participan: • Estafadores: Suele utilizar chats, foros, correos electrónicos: hoax anunciado gran rentabilidad, gran cantidad de beneficios, etc que utilizan para captar a los segundos: los intermediarios • Los intermediarios o muleros: son los que remiten los correos electrónicos solicitando cuentas bancarias y sus claves: phishing • Timados: son a los que los estafadores les retira cantidades de dinero a través de las cuentas de los intermediarios quienes se quedan con un porcentaje de comisión
El Fraude en Internet – Tipos de Fraude • SCAM • Etapas: • Captación: A través de foros, correos y servicios de mensajería el estafador busca a los intermediarios. • La pesca: Los intermediarios con técnicas de phishing intenta captar a los timados • La transferencia: Las cantidades captadas a través de los phishing de los intermediarios son retiradas por los estafadores • Estimado Sr./a: Nuestra compañía se llama E'Sellers Financial Group,Inc. y tiene dos oficinas en la EEUU e Inglaterra. Con motivo de la ampliación de la compañía, nuestra agencia tiene necesidad de trabajadores en España para conducir operaciones bancarias. Para este trabajo debería tener Ud. cuenta en uno de los bancos españoles. Recibirá el dinero por cada transacción una vez terminada esta. La comisión por cada transacción será de 1100-3800 euros. Si se interesa por la propuesta de nuestra compañía, puede Ud. contactar con nuestro manager por su e-mail: sellers@km.ru o ICQ# 277705564 y conoñer todos los detalles mejor. Hasta la vista!
El Fraude en Internet – Tipos de Fraude • MULEROS • Relacionado con el SCAM. • La víctima se limita a recoger el dinero que llega a su cuenta de no sabe dónde y a transferirlo a otro lugar a no sabe quién. • Por este sencillo y rápido servicio se queda con una comisión. • Pero… el servicio es: blanqueo de dinero de la mafia. • ¿Cómo nos llega? • Correo (generalmente en inglés) procedente de desconocidos. • Indica condiciones de trabajo: Mucho dinero y poco trabajo. • No dan muchas más explicaciones y dejan algún contacto para más información: correo, teléfono, …
El Fraude en Internet – Tipos de Fraude • MULEROS • Proceso • La víctima, seducida por el tentador mensaje se pone en contacto con el remitente (estafador). • El estafador pide a la víctima su número de cuenta bancaria (no las claves, sólo el número de cuenta). • El estafador realiza ingresos en dicha cuenta y avisa de la transferencia a la víctima. • La víctima saca el dinero recibido, se queda con una pequeña comisión (5%-10%) y el resto lo envía a su ‘socio’ a través de compañías que no exigen la autenticación segura del receptor del dinero.
El Fraude en Internet – Tipos de Fraude • MULEROS • El Problema • El dinero que tan ‘gentilmente’ ingresa nuestro socio en nuestra cuenta procede, en la mayoría de los casos, del phishing. Dinero sucio, ilegal y posiblemente denunciado • Cuando sacamos ese dinero de nuestra cuenta y se lo enviamos a través de giros o transferencias al ‘jefe’, lo que estamos haciendo no es otra cosa que blanqueo de dinero.De ahí viene lo de ‘mula’ (o mulero), un animal de carga que transporta algo para otro.