Fuentes, Riesgos y Formas de Ataque de Informacion

FUENTES, RIESGOS Y FORMAS DE ATAQUE DE

INFORMACIÓN

1

Seguridad informática ¿por qué?

El espectacular auge de Internet y de los servicios telemáticos ha hecho que los ordenadores y las redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible en las tareas de las empresas.

Las empresas, sea cual sea su tamaño, disponen de equipos conectados a Internet que les ayudan en sus procesos productivos. Cualquier fallo en los mismos puede suponer una gran pérdida económica ocasionada por el parón producido, de modo que es muy importante asegurar un correcto funcionamiento de los sistemas y redes informáticas.

Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a las distintas amenazas.

Tenemos que intentar lograr un nivel de seguridad razonable y estar preparados para que, cuando se produzcan los ataques, los daños puedan ser evitados o en caso contrario haber sido lo suficientemente precavidos para realizar las copias de seguridad.

2

2. Objetivos de la seguridad informática

Según INFOSEC Glossary 2000: «Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican».

3

Los principales objetivos de la seguridad informática son:

• Confidencialidad: consiste en la capacidad de garantizar que la información, almacenada en el sistema informático o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha información.

• Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

• Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización.

• No repudio: este objetivo garantiza la participación de las partes en una comunicación. 3

4

Objetivos de la seguridad informática

Para conseguir los objetivos enumerados anteriormente, se utilizan los siguientes mecanismos:

• Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o a un servicio.

• Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios después de haber superado el proceso de autenticación.

• Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas.

• Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en los equipos

• Realización de copias de seguridad e imágenes de respaldo.

• Antivirus.

• Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en ambos sentidos, desde los equipos hacia la red y viceversa.

• Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la red interna de una empresa y una red externa, como pueda ser Internet. • Utilización firma electrónica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. • Conjunto de leyes encaminadas a la protección de datos personales que obligan a las empresas a asegurar su confidencialidad.

4

Que es un ataque informático

• Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización.

5

TecnológicosTecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc.

AmbientalesAmbientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros.

HumanosHumanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc.

Impredecibles - Inciertos

Predecibles

Factores de riesgo

6

Quienes atacan los sistemas

• Gobiernos Extranjeros.

• Espías industriales o políticos.

• Criminales.

• Empleados descontentos y abusos internos.

• Adolescentes sin nada que hacer

7

Fases de un ataque Informático

8

Fase 1: Reconnaissance (Reconocimiento)

• Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización.

• Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.

9

Diccionario 1

• Ingeniería social: La técnica más antigua y eficaz. Millones de usuarios que cada año abren incautamente un archivo adjunto a un e-mail bajo la promesa de ofrecer imágenes de celebridades o xxx y que en realidad es la trampa para inocular códigos maliciosos demuestran cómo los delincuentes se aprovechan de la curiosidad humana

• Dumpster diving: La búsqueda de información valiosa en la “basura” es una práctica que puede resultar riesgosa para una empresa. Allí van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras muchas fuentes.

• Sniffing: El sniffer es un software que permite capturar tramas de la red Generalmente utilizado con fines maliciosos para capturar textos de email, chats, datos personales, contraseñas, etc.

Por ejemplo: Podemos darle la instrucción a un Sniffer que me capture textos cuando entre estos aparezca una palabra específica, como por ejemplo "contraseña".

La cantidad de tramas que puede obtener un sniffer depende de la topología de red. Para poner en funcionamiento este tipo de software, la persona debe tener algunos conocimientos sobre las estructuras de la red.

10

Fase 2: Scanning (Exploración).

• En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros.

• Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners y port scanners.

11

Diccionario 2

• Network Mapper”: es una fuente abierta y libre de utilidad para la exploración de la red o la auditoría de seguridad. Muchos sistemas y administradores de red también les resulta útil para tareas como el inventario de la red, la gestión de actualización de los horarios de servicio, acogida y seguimiento o el tiempo de actividad de servicios.

• Port Mappers: Los puertos son interfaces virtuales con las cuales dos ordenadores pueden compartir datos a través de una red. En algunos casos hace falta redireccionarlos. Con un PortMapper se puede redireccionar cualquier puerto a otra dirección.

• Network Scanner: analiza al detalle todos los sistemas conectados en tu misma red local entre los rangos de direcciones IP que le especifiques, mostrando la IP, la dirección MAC y la velocidad de respuesta al ping, además de controlar los puertos TCP y los servicios SNMP.

• Port Scanner: es un simple analizador de puertos que después de un análisis muestra cuáles están abiertos. Un ordenador tiene unos sesenta y cinco mil puertos virtuales. Se utilizan para recibir y enviar datos. Algunos de ellos son muy conocidos porque tiene asociados servicios muy utilizados como SSH, FTP, VNC, etc.

12

Fase 3: Gaining Access (Obtener acceso)

• En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración.

• Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (Ddos).

13

Diccionario 3

• Buffer overflow: Es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer), de forma que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programación.

• Denegación de servicio (DoS): es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegación", pues hace que el servidor no dé a basto a la cantidad de solicitudes. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo

14

Fase 4: Maintaining Access(Mantener el acceso)

• Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

15

Diccionario 4

• Un backdoor: es un programa que se introduce en el ordenador de manera encubierta aparentando ser inofensivo. Una vez ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Esto permite realizar en éste acciones que comprometan la confidencialidad del usuario o dificultar su trabajo.

• Un RootKit: Un rootkit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema y le permite acceder en el futuro para manipular este sistema. Para completar su objetivo, un rootkit altera el flujo de ejecución del sistema operativo o manipula un conjuntos de datos del sistema para evitar la auditoria.

• Un troyano o caballo de Troya: es un programa que se diferencia de los virus en que no se reproduce infectando otros ficheros. Tampoco se propaga haciendo copias de sí mismo como hacen los gusanos. Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología. Llegan al ordenador como un programa aparentemente inofensivo, pero al ejecutarlo instala en el ordenador un segundo programa: el troyano. Los efectos de los troyanos pueden ser muy peligrosos. Permiten realizar intrusiones o ataques contra el ordenador afectado, realizando acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario.

16

Fase 5: Covering Tracks (Borrar huellas)

• Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).

17

ROLES ROLES INVOLUCRADOS INVOLUCRADOS EN SEGURIDADEN SEGURIDAD

18

USUARIOSUSUARIOS

SEGURIDADSEGURIDAD

19

Usuarios comunes

• Los usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que pueden correr.

• Son las principales víctimas.• También son el punto de entrada de muchos

de los problemas crónicos.• “El eslabón más débil” en la cadena de

seguridad.

20

2 enfoques para controlarlos• Principio del MENOR PRIVILEGIO POSIBLE:

– Reducir la capacidad de acción del usuario sobre los sistemas.

– Objetivo: Lograr el menor daño posible en caso de incidentes.

• EDUCAR AL USUARIO:– Generar una cultura de seguridad. El usuario ayuda a

reforzar y aplicar los mecanismos de seguridad.– Objetivo: Reducir el número de incidentes

21

USUARIOS

CREADORES DE CREADORES DE SISTEMASSISTEMAS

SEGURIDADSEGURIDAD

22

Creando Software

• El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad.

• Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”.

• Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW.

23

Propiedades de la Información en un “Trusted System”

• Confidencialidad: es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

• Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

24


• Integridad: es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.

25


• Disponibilidad: es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

• En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad de los sistemas debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

• La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento, enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio (SLA) que se quiera proporcionar.

26


• Autenticación: Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de indentidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

27

Ataques contra el flujo de la información

• FLUJO NORMAL– Los mensajes en una red se envían a partir de un

emisor a uno o varios receptores– El atacante es un tercer elemento; en la realidad

existen millones de elementos atacantes, intencionales o accidentales.

Emisor Receptor

Atacante

28

INTERRUPCION• El mensaje no puede llegar a su destino, un recurso

del sistema es destruido o temporalmente inutilizado.

• Este es un ataque contra la Disponibilidad• Ejemplos: Destrucción de una pieza de hardware,

cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.

Emisor Receptor

Atacante

29

INTERCEPCIONUna persona, computadora o programa sin

autorización logra el acceso a un recurso controlado.

Es un ataque contra la Confidencialidad.Ejemplos: Escuchas electrónicos, copias ilícitas de

programas o datos, escalamiento de privilegios.

Emisor Receptor

Atacante

30

MODIFICACIONLa persona sin autorización, además de lograr el

acceso, modifica el mensaje.Este es un ataque contra la Integridad.Ejemplos: Alterar la información que se transmite

desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

Emisor Receptor

Atacante

31

FABRICACIONUna persona sin autorización inserta objetos falsos

en el sistema.Es un ataque contra la Autenticidad.Ejemplos: Suplantación de identidades, robo de

sesiones, robo de contraseñas, robo de direcciones IP, etc...

Es muy difícil estar seguro de quién esta al otro lado de la línea.

Emisor Receptor

Atacante

32

USUARIOS

CREADORES DE SISTEMAS GERENTESGERENTES

SEGURIDADSEGURIDAD

33

Para que esperar…

• La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse?

34

Siempre tenemos algo de valor para alguien

• Razones para atacar la red de una empresa:– $$$, ventaja económica, ventaja competitiva,

espionaje político, espionaje industrial, sabotaje,…– Empleados descontentos, fraudes, extorsiones,

(insiders).– Espacio de almacenamiento, ancho de banda,

servidores de correo (SPAM), poder de cómputo, etc…

– Objetivo de oportunidad.

35

Siempre hay algo que perder• Pregunta: ¿Cuánto te cuesta tener un sistema de

cómputo detenido por causa de un incidente de seguridad?– Costos económicos (perder oportunidades de negocio).– Costos de recuperación.– Costos de reparación.– Costos de tiempo.– Costos legales y judiciales.– Costos de imagen.– Costos de confianza de clientes.

36

¿Qué hacer?

• Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad.

• Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa.

• Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)

37

USUARIOS

CREADORES DE SISTEMAS

GERENTES

HACKER HACKER CRACKERCRACKER

SEGURIDADSEGURIDAD

38

Cracking

•Los ataques son cada vez mas complejos.•Cada vez se requieren menos conocimientos para iniciar un ataque.•¿Por qué alguien querría introducirse en mis sistemas?•¿Por qué no? Si es tan fácil: descuidos, desconocimiento, negligencias, (factores humanos).

39

Niveles de Hackers

• Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.

40

Niveles de Hackers

• Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.

• Nivel 2: Tienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3.

41

Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo.

• Cualquiera conectado a la red es una víctima potencial, sin importar a que se dedique, debido a que muchos atacantes sólo quieren probar que pueden hacer un hack por diversión.

42

43

Niveles de Hackers

USUARIOS

CREADORES DE SISTEMAS

GERENTES

HACKER/CRACKER

ADMINISTRADORES DE T.I.

SEGURIDADSEGURIDAD

44

ADMINISTRADORES• Son los que tienen directamente la responsabilidad de

vigilar a los otros roles. (aparte de sus sistemas)• Hay actividades de seguridad que deben de realizar de

manera rutinaria.• Obligados a capacitarse, investigar, y proponer

soluciones e implementarlas.• También tiene que ser hackers: Conocer al enemigo,

proponer soluciones inteligentes y creativas para problemas complejos.

45

Factores tecnológicos de riesgo

Virus informáticos: Definición

Un virus informático es un programaes un programa (código) que se se replicareplica, añadiendo una copia de sí mismo a otro(s)

programa(s).

Los virus informáticos son particularmente dañinos porque pasan desapercibidospasan desapercibidos hasta que los usuarios

sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.

46


Virus informáticos: Características

Sus principales características son:

Auto-reproducciónAuto-reproducción: Es la capacidad que tiene el programa de replicarse (hacer copias de sí mismohacer copias de sí mismo), sin intervención o consentimiento del usuario.

InfecciónInfección: Es la capacidad que tiene el código de alojarse en otros programasalojarse en otros programas, diferentes al portador original. 47

Afectar el softwareAfectar el software: Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminándolo parcial o totalmente.

Afectar el hardwareAfectar el hardware: Sus instrucciones manipulan los componentes físicos. Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura lógica para recuperación de archivos (FAT) y otras consecuencias.


Virus informáticos: Propósitos

48

La inmensa cantidadcantidad de virus existentes, sus diferentes propósitospropósitos, sus variados comportamientoscomportamientos y sus diversas consecuenciasconsecuencias, convierten su clasificación en un proceso complejo y polémico.

A continuación se presentan las categorías que agrupan a la mayoría de los virus conocidos. Sin embargo, es importante considerar que la aparición diaria de virusaparición diaria de virus cada vez más sofisticados, puede llevar al surgimiento de nuevas categorías en cualquier momento.


Virus informáticos: Clasificación

49

Virus genérico o de archivogenérico o de archivo: Se aloja como un parásito dentro de un archivo ejecutable y se replica en otros programas durante la ejecución.

Los genéricos acechan al sistema esperando que se satisfaga alguna condición (fecha del sistema o número de archivos en un disco). Cuando esta condición “catalizadora” se presenta, el virus inicia su rutina de destrucción.



50

Virus mutantemutante: En general se comporta igual que el virus genérico, pero en lugar de replicarse exactamente, genera copias modificadas de sí mismogenera copias modificadas de sí mismo.

Virus recombinablesrecombinables: Se unen, intercambian sus códigos y crean nuevos virus.

Virus “Bounty HunterBounty Hunter” (caza-recompensas): Están diseñados para atacar un producto antivirus particular.



51

Virus específicos para redesespecíficos para redes: Coleccionan contraseñas de acceso a la red, para luego reproducirse y dispersar sus rutinas destructivas en todos los computadores conectados.

Virus de sector de arranquede sector de arranque: Se alojan en la sección del disco cuyas instrucciones se cargan en memoria al inicializar el sistema. El virus alcanza la memoria antes que otros programas sean cargados e infecta cada nuevo disquete que se coloque en la unidad.



52

Virus de macrode macro: Se diseñan para infectar las macros que acompañan a una aplicación específica.

Una macro es un conjunto de instrucciones que ejecutan una tarea particular, activada por alguna aplicación específica como MS – Word o MS – Excel.

Son virus muy fáciles de programar y se dispersan rápidamente a través de anexos a e-mail, copia de archivos usando disquetes, etc.



53

Virus de Internetde Internet: Se alojan en el código subyacente de las páginas web. Cuando el usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema, pudiendo modificar o destruir la información almacenada.

Son de rápida y fácil dispersión, puesto que se alojan y viajan en un medio de acceso multitudinario: Internet.



54

Fuentes, Riesgos y Formas de Ataque de Informacion

Documents

Transcript of Fuentes, Riesgos y Formas de Ataque de Informacion