Unidad 6. Vigilancia de los sistemas de información

6.1 Definición de vigilancia

Del latín vigilantia, la vigilancia es el cuidado y la supervisión de las cosas que están a cargo de uno. La persona que debe encargarse de la vigilancia de algo o de alguien tiene responsabilidad sobre el sujeto o la cosa en cuestión.

El servicio ordenado y dispuesto para vigilar también se conoce como vigilancia. Puede tratarse del servicio prestado por una compañía privada (ya sea mediante guardias o equipos tecnológicos como cámaras de video) o por las fuerzas públicas de seguridad (la policía, la gendarmería, el ejército, etc.).

Dispositivos ligados a la vigilancia en red, a un ordenador

6.2. Anatomía de un ataque

6.2.1. Identificación de objetivos

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:

1) Preparación y prevención. En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis se podrá considerar que la organización ya tiene

identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas. Pero aun hecho dicho análisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendrá que elaborar un plan de continuidad de negocio. Dicho plan está formado por un conjunto de planes de contingencia para cada una de las situaciones que no están controladas.

2) Detección del incidente. La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización. La clasificación es la siguiente:

a. Accesos no autorizados: un usuario no autorizado accede al sistema.

b. Código malicioso: ha habido una infección de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.

> Programas maliciosos <(a) Virus: es un archivo ejecutable que desempeña acciones

(dañar archivos, reproducirse, etc.) en un ordenador sin nuestro consentimiento.

(b) Gusano: es un código malicioso que se reproduce y extiende a un gran número de ordenadores.

(c) Spyware: es un programa que recopila información de un ordenador y la envía a terceras personas sin el consentimiento del propietario.

(d) Troyano: también conocido como caballo de Troya, es un programa que obtiene las contraseñas haciéndose pasar por otro programa.

c. Denegación de servicio: incidente que deja sin dar servicio (dns, web, correo electrónico, etc.) a un sistema.

d. Phishing: consiste en suplantar la identidad de una persona o empresa para estafar. Dicha estafa se realiza mediante el uso de ingeniería social consiguiendo que un usuario revele información confidencial (contraseñas, cuentas bancarias, etc.). El atacante suplanta la imagen de una empresa u organización y captura ilícitamente la información personal que los usuarios introducen en el sistema.

e. Recogida de información: un atacante obtiene información para poder realizar otro tipo de ataque (accesos no autorizados, robo, etc.).

f. Otros: engloba los incidentes de seguridad que no tienen cabida en las categorías anteriores.

La detección de un incidente de seguridad se realiza a través de diversas fuentes. A continuación se enumeran algunas de ellas:

a) Alarma de los antivirus.b) Alarmas de los sistemas de detección de intrusión y/o prevención (IDS

y/o IPS).c) Alarmas de sistemas de monitorización de los sistemas (zabbix, nagios,

etc.).d) Avisos de los propios usuarios al detectar que no funcionan

correctamente los sistemas informáticos.e) Avisos de otras organizaciones que han detectado el incidente.f) Análisis de los registros de los sistemas.

Una vez detectado el incidente a través de cualquier vía, para poder gestionarlo es recomendable tener al menos los siguientes datos:

• Hora y fecha en la que se ha notificado el incidente.• Quién ha notificado el incidente.• Clasificación del incidente (accesos no autorizados, phishing,

denegación de servicio, etc.).• Hardware y software involucrado en el incidente (si se pueden incluir los

números de serie, es recomendable).• Contactos para gestionar el incidente.• Cuando ocurrió el incidente.

6.2.2. Reconocimiento inicial

En esta fase se trata de obtener la máxima información posible para determinar qué tipo de incidente de seguridad ha ocurrido y así poder analizar el impacto que ha tenido en la organización. La información obtenida en esta fase será utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha información será fruto como mínimo de:

Entrevistas con los administradores de los sistemas. Revisión de la topología de la red y de los sistemas. Entrevistas con el personal de la empresa que haya tenido algo que ver

con el incidente con el objetivo de contextualizarlo. Revisar los logs de la detección de la intrusión.

6.2.3. Técnicas de recopilación de información y análisis forense.

La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales. Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado (por ejemplo, para las comprobaciones internas de las empresas o las investigaciones en caso de intrusión en la empresa y/o en su infraestructura informática)

La adquisición de datos es una de las actividades más críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación posterior no sería válido debido a que la información saldría con impurezas, es decir, la información que creemos que es del origen no lo es realmente.

El análisis forense se compone de tres pasos:

Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.

Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.

Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

6.3. Escaneos

6.3.1. Identificación y ataques a puertos TCP/UDP.

El protocolo TCP

Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando una máquina A envía datos a una máquina B, la máquina B es informada de la llegada de datos, y confirma su buena recepción. Aquí interviene el control CRC de datos que se basa en una ecuación matemática que permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos corruptos.

El protocolo UDP

UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A envía paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado previamente una conexión con la máquina de destino (maquina B), y el destinatario recibirá los datos sin enviar una confirmación al emisor (la maquina A). Esto es debido a que la encapsulación de datos enviada por el protocolo UDP no permite transmitir la información relacionada al emisor. Por ello el destinatario no conocerá al emisor de los datos excepto su IP.

Las vulnerabilidades pretenden describir las debilidades y los métodos más comunes que se utilizan para perpetrar ataques a la seguridad de la familia de protocolos TCP/IP (confidencialidad, integridad y disponibilidad de la información).

Éstos pueden provenir principalmente de dos fuentes:

2. Usuarios autentificados, al menos a parte de la red, como por ejemplo empleados internos o colaboradores externos con acceso a sistemas dentro de la red de la empresa. También denominados insiders.

3. Atacantes externos a la ubicación física de la organización, accediendo remotamente. También denominados outsiders

. Las vulnerabilidades pueden clasificarse según dos criterios:

1. Número de paquetes a emplear en el ataque:a. Atomic: se requiere un único paquete para llevarla a cabo.b. Composite: son necesarios múltiples paquetes.

2. Información necesaria para llevar a cabo el ataque:a. Context: se requiere únicamente información de la cabecera del

protocolo.b. Content: es necesario también el campo de datos o payload

La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red. Una técnica específica que permite extraer información de un sistema concreto es el fingerprinting es decir, la obtención de su huella identificativa respecto a la pila TCP/IP. El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la máquina destino de la inspección. Esta información junto con la versión del servicio o servidor facilitará la búsqueda de vulnerabilidades asociadas al mismo. Gran parte de la información de la pila TCP/IP puede obtenerse en base al intercambio entres pasos propio del protocolo TCP/IP (TCP three-way handshake)

La probabilidad de acierto del sistema operativo remoto es muy elevada, y se basa en la identificación de las características propias de una implementación de la pila TCP/IP frente a otra, ya que la interpretación de los RFCs no concuerda siempre. Para poder aplicar esta técnica con precisión es necesario disponer de un puerto abierto (TCP y/o UDP).

TECNICAS UTILIZADAS:

Sniffers: que se encargan de capturar e interpretar tramas y datagramas mediante aplicaciones en entornos de red basados en difusión. Un sniffer no es más que un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podrá almacenar para su análisis posterior.

Sniffing: consiste en que sin necesidad de acceso a ningún sistema de la red, un atacante podrá obtener información sobre cuentas de usuario, claves de acceso o incluso mensajes de correo electrónico en el que se envían estas claves. La forma más habitual de realizar técnicas de sniffing en una red, probablemente porque está al alcance de todo el mundo, es la que podríamos denominar sniffing software, utilizando las aplicaciones que ya mencionadas.

Niffing: también se conocen como técnicas de eavesdropping y técnicas de snooping. La primera, eavesdropping, es una variante del sniffing, caracterizada por realizar la adquisición o intercepción del tráfico que circula por la red de forma pasiva, es decir, sin modificar el contenido de la información. Por otra parte, las técnicas de snooping se caracterizan por el almacenamiento de la información capturada en el ordenador del atacante, mediante una conexión remota establecida durante toda la sesión de captura. En este caso, tampoco se modifica la información incluida en la transmisión.

COMO SE PUEDEN EVITAR LOS ATAQUES:

Una solución para evitar esta técnica consiste en la segmentación de la red y de los equipos mediante el uso de conmutadores (switch). Al segmentar la red y los equipos, el único tráfico que tendrían que ver las máquinas sería el que les pertenece, puesto que el conmutador se encarga de encaminar hacia el equipo únicamente aquellos paquetes destinados a su dirección MAC.

6.3.2. Identificación y ataques a servicios

Un ataque de "Denegación de servicio" impide el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan la familia de protocolos TCP/IP para conseguir su propósito.

Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en:

Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador.

Alteración de información de configuración, tales como información de rutas de encaminamiento.

Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset).

Interrupción de componentes físicos de red.

Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.

6.4. Identificación de vulnerabilidades

6.4.1. Técnicas manuales

6.4.2. Técnicas automáticas

Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informático al momento de ser ejecutado:

Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización.

Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.

Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros.

Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.

Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración.

Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).

Contraseñas

Otro de los factores comúnmente explotados por los atacantes son las contraseñas. Si bien en la actualidad existen sistemas de autenticación complejos, las contraseñas siguen, y seguirán, siendo una de las medidas de protección más utilizadas en cualquier tipo de sistema informático.

En consecuencia, constituyen uno de los blancos más buscados por atacantes informáticos porque conforman el componente principal utilizado en procesos de autenticación simple (usuario/contraseña) donde cada usuario posee un identificador (nombre de usuario) y una contraseña asociada a ese identificador que, en conjunto, permiten identificarse frente al sistema.

En este tipo de proceso, llamado de factor simple, la seguridad del esquema de autenticación radica inevitablemente en la fortaleza de la contraseña y en mantenerla en completo secreto, siendo potencialmente vulnerable a técnicas de Ingeniería Social cuando los propietarios de la contraseña no poseen un adecuado nivel de capacitación que permita prevenir este tipo de ataques.

Si el entorno informático se basa únicamente en la protección mediante sistemas de autenticación simple, la posibilidad de ser víctimas de ataques de cracking o intrusiones no autorizadas se potencia. Sumado esto a que existen herramientas automatizadas diseñadas para “romper” las contraseñas a través de diferentes técnicas como ataques por fuerza bruta, por diccionarios o híbridos en un plazo sumamente corto, el problema se multiplica aún más.

Sobre la base de lo anteriormente explicado, se puede suponer que la solución ante este problema es la creación de contraseñas mucho más largas (lo cual no significa que sean robustas). Sin embargo, esta estrategia sigue siendo poco efectiva, simplemente, porque el personal no se encuentra preparado para recordar largas cadenas de caracteres y terminan escribiéndolas en

lugares visibles o sitios accesibles por cualquier otra persona, incluso, ante personas que no pertenecen a determinada área de acceso restringido.

Si bien es cierto que una contraseña que supere los diez caracteres y que las personas puedan recordar, es mucho más efectiva que una contraseña de cuatro caracteres, aun así, existen otros problemas que suelen ser aprovechados por los atacantes. A continuación se expone algunos de ellos:

• La utilización de la misma contraseña en varias cuentas y otros servicios.

• Acceder a recursos que necesitan autenticación desde lugares públicos donde los atacantes pueden haber implantado programas o dispositivos físicos como keyloggers que capturen la información.

• Utilización de protocolos de comunicación inseguros que transmiten la información en texto claro como el correo electrónico, navegación web, chat, etcétera.

• Técnicas como surveillance (videoconferencia) o shoulder surfing (mirar por detrás del hombro), entre otras tantas, que permiten evadir los controles de seguridad.

Como contramedida destinada a fortalecer este aspecto de la seguridad, es posible implementar mecanismos de autenticación más robustos como “autenticación fuerte de doble factor”, donde no sólo se necesita contar con algo que se conoce (la contraseña) sino que también es necesario contar con algo que se tiene, como por ejemplo una llave electrónica USB o una tarjeta que almacene certificados digitales para que a través de ellos se pueda validar o no el acceso de los usuarios a los recursos de la organización.

6.5. Actividades de infiltración

6.5.1. Sistema operativo

6.5.2. Aplicaciones

6.5.3. Bases de datos

Evolución en los ataques:

Primera Generación (Ataque Físico): se centraban en los componentes electrónicos.

Segunda Generación (Ataque Sintáctico): son contra la lógica operativa de las computadoras y las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los protocolos.

Tercera Generación (Ataque Semántico): colocación de información falsa en medios informativos, spam, falsificación de e-mails, estafas de ventas por Internet, alteración de bases de datos de índices estadísticos o bursátiles, etc.

Herramientas de prevención.

• Redes Privadas Virtuales (VPN)– Cliente/Red o Red/Red– Transparentes o no Transparentes

• Firewall – Tipos: Red, Aplicación o Kernel– Políticas: por defecto todo permitido o todo prohibido

• Sistemas de detección de intrusos (IDS)– Máquina

• Verificador de integridad• Monitor de registros o históricos• Honey Pot

– Red• Detección de uso indebido• Detección por anomalías