UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques...
-
Upload
truongtuong -
Category
Documents
-
view
253 -
download
0
Transcript of UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques...
UT2-1
ATAQUES
Y
CONTRAMEDIDAS
PERSONALES
Seguridad y Alta Disponibilidad 1
1. INTRODUCCIÓN
1.1. El ataque informático
Fases de un ataque
◦ Descubrimiento de los sistemas que componen la red en la
que se encuentra el objetivo.
◦ Exploración de las vulnerabilidades de los sistemas de red.
◦ Explotación de vulnerabilidades detectadas.
◦ Compromiso del sistema.
◦ Ocultación o eliminación del rastro que prueba el ataque.
Seguridad y Alta Disponibilidad 2
1. INTRODUCCIÓN
1.2. Herramientas utilizadas en un ataque
Entre las herramientas más comunes se encuentran:
◦ Escaneadores de puertos
◦ Sniffers o escuchadores en la red
◦ Exploits
◦ Backdoors o puertas traseras
◦ Rootkits
◦ Auto-rooters
◦ Craqueadores de contraseñas (Password-crakers)
◦ Generadores de malware.
Seguridad y Alta Disponibilidad 3
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
◦ En Windows
Acceder a la ventana de Directivas de seguridad de cuentas,
mediante el comando gpedit o desde Panel de
control/Herramientas administrativas/Directivas deseguridad local.
Seguridad y Alta Disponibilidad 4
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
◦ En Windows
Se recomienda configurar la política de contraseñas para que:
La longitud mínima sea de 14 caracteres
Tenga las características de complejidad requeridas.
Haya que modificarlas cada mes.
En caso de más de 3 intentos fallidos, bloquear la cuenta 15 minutos
para evitar ataques de fuerza bruta.
Para controlar por parte del administrador los accesos al sistema
podemos habilitar en Directivas locales / Directiva de auditoría /
Auditar sucesos de inicio de sesión, tanto correctos como
erróneos
Así el visor de eventos nos permitirá analizarlos.
Seguridad y Alta Disponibilidad 5
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
◦ En Windows
Seguridad y Alta Disponibilidad 6
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras◦ En GNU/Linux el control sobre complejidad y cifrado de
contraseñas se realiza mediante el servicio PAM (PluggableAuthentication Module)
El módulo pam_cracklib está hecho para determinar si essuficientemente fuerte una contraseña que se va a crear omodificar con el comando passwd.
Se instala con sudo apt-get install libpam-cracklib
El archivo de configuración es /etc/pam.d/common-password,el cual es leído cuando se ejecuta el comando passwd decambio de contraseña.
Seguridad y Alta Disponibilidad 7
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦ En GNU/Linux En el archivo /etc/pam.d/common-password se pueden establecer
diversas opciones de contraseñas
En el ejemplo anterior "retry=3" significa que un usuario dispone de 3 intentos para introducir la password correcta.
"minlen=8" establece a 8 el mínimo número de caracteres de la clave.
"difok=3" establece en 3 el mínimo número de caracteres que pueden ser diferentes a los de la password anterior.
“sha512” establece SHA-512 como algoritmo de cifrado de contraseñas.
Seguridad y Alta Disponibilidad 8
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦ En GNU/Linux
Otras opciones del archivo son "lcredit", "ucredit", "dcredit",
and "ocredit" utilizadas para establecer el mínimo número de
caracteres en minúsculas, mayúsculas, dígitos y otros
caracteres alfanuméricos, respectivamente.
Por ejemplo, se podría añadir en la línea pam_cracklib del
archivo /etc/pam.d/common-password lo siguiente:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8
lcredit=1 ucredit=1 dcredit=1 ocredit=2
Seguridad y Alta Disponibilidad 9
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦ En GNU/Linux
También se puede obligar a los usuarios a cambiar la
contraseña cada cierto tiempo. Para ello:
Se modifica el archivo /etc/login.defs
Cambiando a PASS_MAX_DAYS al valor
90 obligará a cambiar la contraseña a los
3 meses y lo avisará durante una semana
antes de la caducidad.
Alternativamente se puede ejecutar el siguiente
comando: change -m 0 -M 90 -W 7 usuario
Seguridad y Alta Disponibilidad 10
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦ En GNU/Linux
Para visualizar los sucesos del sistema y otros sucesos del
sistema o logs, éstos se guardan en archivos ubicados en el
directorio /var/log, aunque muchos programas gestionan sus
propios logs y los guardan en /var/log/<programa>
Concretamente, los login en el sistema se registran en elarchivo /var/log/auth.log.
Seguridad y Alta Disponibilidad 11
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos
cortos
◦ Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z
◦ Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
◦ Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #
◦ Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9
Utilizaremos un pequeño script para un ataque de fuerza bruta para
descifrar algunas contraseñas.
Seguridad y Alta Disponibilidad 12
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos cortos#!/bin/bash
space1="a b c d e f g h i j k l m n o p q r s t u v w x y
z“
space2="a b c d e f g h i j k l m n o p q r s t u v w x y
z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Z“
space3="a b c d e f g h i j k l m n o p q r s t u v w x y
z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Z : . ; , _ + < > ? = ( ) / % #“
space4="a b c d e f g h i j k l m n o p q r s t u v w x y
z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9“
if [ $# -le 1 ] then
echo "Uso: " $0 SALT PASSWORD_CODED
exit
fi
for i in $space1
do
for j in $space1
do
for k in $space1
do
variable=$(openssl passwd -crypt -salt "$1"
"$i$j$k")
if [ "$variable" = $2 ] then
echo password found: $i$j$k
exit
fi
done
done
done
Por ejemplo: time ./script ok ok961FcL7R4oU
Dará como salida: tst
Seguridad y Alta Disponibilidad 13
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos
cortos
Alfabeto Número de caracteres
Salt Hash contraseña Contraseña Tiempo
Alfabeto 1 3 wk wkQ7H8omo47m2 scl 0m51.898s
Alfabeto 2 3 Gn GnaKSDD51P6RM TNk 8m47.341s
Alfabeto 3 3 A. A.OCUGDi4L.tY ((: 25m 55s
Alfabeto 4 3 2U 2UNJzECjI8lwg 8M: 20m 9s
Alfabeto 1 5 nm nmx6e5emuiujo ramon 550m 47s
El script anterior pide como parámetros de entrada el salt y el hash de la
contraseña.
Ejemplos de ejecución del script para diferentes hash de contraseñas cortas .
Seguridad y Alta Disponibilidad 14
Práctica 4. Peligros de distribuciones Live◦ Después de arrancar con
el DVD Live de Kali-Linuxen modo consola, vemosque estamos con elusuario root, por lo quepodemos hacer cualquiercosa.
• En particular podemos ver los discos/particiones del sistema ejecutando fdisk –l
Seguridad y Alta Disponibilidad
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
15
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
Práctica 4. Peligros de distribuciones Live
◦ Tras analizar estas particiones podemos montar la particiónprimaria de Windows con un comando similar a éste:
mount –t ntfs /dev/sda2 /mnt/win(suponiendo que el subdirectorio win esté creado).
◦ Ahora podemos ver todos los ficheros de esa partición ycopiar alguno de ellos, en particular, el archivo SAM(Security Account Manager) de contraseñas ubicado enC:\Windows\System32\Config.
◦ Después de esto se puede craquear el SAM mediante laherramienta Ophcrack.
Seguridad y Alta Disponibilidad 16
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
Práctica 4. Peligros de distribuciones Live
Seguridad y Alta Disponibilidad 17
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
Práctica 4. Peligros de distribuciones Live
Seguridad y Alta Disponibilidad 18
Ophcrack tiene múltiples opciones para desvelar contraseñas de un sistema.
Parte de la información capturada del fichero SAM.
3. ATAQUES
3.2. Explotación de una vulnerabilidad
Práctica 5. Vulnerabilidad en sistemas Windows
◦ Los sistemas Windows presentan una vulnerabilidad a travésde herramientas que pueden verse modificadas o sustituidaspor una consola de comandos.
◦ Por ejemplo, la utilidad StickyKeys (software de ayuda yaccesibilidad) se activa pulsando 5 veces seguidas la teclaSHIFT.
◦ El archivo que ejecuta es sethc.exe ubicado enC:\Windows\System32. Si renombramos sethc.exe porcmd.exe (consola de comandos), cuando pulsemos 5 veces latecla SHIFT, se nos abrirá la consola de comandos.
Seguridad y Alta Disponibilidad 19
3. ATAQUES
3.2. Explotación de una vulnerabilidad (cont.)
Práctica 5 (cont.). Vulnerabilidad en sistemas Windows◦ Podemos realizar el renombrado de este archivo desde una
distribución con la partición Windows montada.
◦ Arrancamos nuestro sistema, por ejemplo, con la distribución LIVE
Kali-Linux.
◦ Vemos cuál es la partición primaria de Windows introduciendo en la
consola fdisk -l
◦ Montamos la partición de Windows en un directorio y ya podemos
renombrar el archivo.
Seguridad y Alta Disponibilidad 20
5. SOTWARE MALICIOSO
Software malicioso o malware: clásicamente virus, gusanos,troyanos y todo tipos de programas para acceder a ordenadoressin autorización, y producir efectos no deseados.
En sus comienzos, la motivación principal de los creadores devirus era reconocimiento público.
Pero a más relevancia más reconocimiento obtenía su creador.Las acciones a realizar por el virus debían ser visibles por elusuario y suficientemente dañinas.
Actualmente: el malware es un negocio muy lucrativo. Loscreadores de virus han pasado a tener una motivacióneconómica.
Seguridad y Alta Disponibilidad 21
5. SOTWARE MALICIOSO
¿Cómo obtener un beneficio económico?:
◦ Robar información sensible: datos personales, credenciales,mail, banca online, etc.
◦ Al crear una red de ordenadores infectados, red zombi o botnet,el atacante puede manipularlos todos simultáneamente y venderservicios a entidades que puedan realizar acciones poco legítimascomo el envío de spam, mensajes de phishing, acceder a cuentasbancarias, realizar DoS, etc.
◦ Vender falsas soluciones de seguridad (rogueware).
◦ Cifrar el contenido de ficheros y solicitar el rescate mediante unacuantía económica para recuperar la información, como hacen loscriptovirus.
Seguridad y Alta Disponibilidad 22
5. SOFTWARE MALICIOSO
Actualmente, el mercado negro de la creación de malwaregenera casi 6.000 millones de euros
◦ Desde unos pocos euros es posible conseguir números detarjetas de crédito
◦ Por 1.000€ se puede comprar el kit más básico y por 9.000€es posible realizar un phising bancario a alto nivel.
Hoy día cualquiera se puede descargar un kit para creartroyanos y empezar a ganar dinero inmediatamente desdesu propia casa.
Seguridad y Alta Disponibilidad 23
5. SOFTWARE MALICIOSO5.1. Métodos de infección
◦ ¿Cómo llega al ordenador el malware y cómo prevenirlos?Prevenir la infección resulta relativamente fácil,conociéndolas:
Explotando una vulnerabilidad: desarrolladores de malwareaprovechan vulnerabilidades de versiones de sistema operativo oprograma para tomar el control. Solución actualizar versionesperiódicamente.
Ingeniería social: técnicas de abuso de confianza. Hacer que elusuario realice determinada acción, fraudulenta o busca unbeneficio económico.
Por un archivo malicioso: forma habitual: archivos adjuntos enspam, ejecución de aplicaciones web, archivos de descargas P2P,generadores de claves y cracks de software pirata, etc.
Seguridad y Alta Disponibilidad 24
5. SOFTWARE MALICIOSO5.1. Métodos de infección (cont.)
Dispositivos extraíbles: gusanos que dejan copias en dispositivosextraíbles con ejecución automática cuando el dispositivo seconecta a un ordenador, pueda ejecutarse e infectar el nuevoequipo, y a nuevos dispositivos.
Cookies maliciosas: pequeños ficheros de texto en carpetastemporales del navegador que al visitar páginas web almacenaninformación y monitorizan y registran las actividades del usuario enInternet con fines maliciosos.
Seguridad y Alta Disponibilidad 25
5. SOFTWARE MALICIOSO5.2. Protección y desinfección
◦ Recomendaciones de seguridad: Mantenerse informado sobre las novedades y alertas de seguridad.
Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y enordenadores de confianza y seguros.
Mantener actualizado el equipo, sistema operativo y aplicaciones.
Hacer copias de seguridad con cierta frecuencia y guardarlas en lugar ysoporte seguro.
Utilizar software legal que suele ofrecer mayor garantía y soporte.
Utilizar contraseñas fuertes en todos los servicios.
Crear diferentes usuarios en el sistema, cada uno de ellos con lospermisos mínimos necesarios para poder realizar las accionespermitidas.
Utilizar herramientas de seguridad antimalware actualizadasperiódicamente. Ojo con el rogueware. Analizar con varias herramientas,contraste antimalware.
Realizar periódicamente escaneo de puertos, test de velocidad y de lasconexiones de red para analizar si las aplicaciones que las emplean sonautorizadas.
Seguridad y Alta Disponibilidad 26
5. SOFTWARE MALICIOSO5.2. Protección y desinfección
Práctica 6. Keylogger
Seguridad y Alta Disponibilidad 27
Revealer Keylogger es un software de recuperación de
pulsaciones de teclado que se ejecuta al inicio y se encuentra
oculto, pudiendo enviar remotamente por FTP o mail, el archivo
que registra, en el que se encontrarán tras un periodo de
tiempo credenciales de usuario de correo electrónico, banca
online o redes sociales.
5. SOFTWARE MALICIOSO5.2. Protección y desinfección
Práctica 6. Keylogger
Seguridad y Alta Disponibilidad 28
Cuando está en marcha
vemos los procesos que
ha ejecutado el usuario y
comandos y/o textos
introducidos.
Se ve en texto claro
hasta las contraseñas
introducidas.
Recomendación: la manera de prevenir estos ataques es realizar
escaneos antimalware con una o varias herramientas fiables y
actualizadas, controlar los accesos físicos y limitar los privilegios de las
cuentas de usuario para evitar instalaciones no deseadas.
5. SOFTWARE MALICIOSO5.3. Clasificación del software antimalware
Antivirus: diseñado para detectar, bloquear y eliminar códigosmaliciosos. Hay versiones de pago y gratuitas. Se pueden probarproductos de forma gratuita pero en muchas ocasiones para poderdesinfectar es necesario comprar sus licencias. Variantes: Antivirus de escritorio. Ej: Windows: Malwarebytes. GNU/Linux: ClamAV
Antivirus en línea: cada vez más utilizados. Ej: Panda Cloud
Análisis de ficheros en línea. Ej: Hispasec.
Antivirus portable: no requieren instalación.
Antivirus Live: arrancable y ejecutable USB, CD o DVD. Ej:AVG
Entre otras herramientas específicas destacamos: Antispyware: herramientas de escritorio y en línea, que analizan nuestras
conexiones de red, en busca de conexiones no autorizadas.
Herramientas de bloqueo web.
Seguridad y Alta Disponibilidad 29
5. SOFTWARE MALICIOSO5.4. La mejor herramienta antimalware
¿ Qué herramienta se ajusta mejor ?.
Empresas desarrolladoras antimalware: estudios en suspropias web.
La tasa de detección varía de mes a mes, debido al grannúmero de malware que se crea.
Ningún antivirus es perfecto (no existe el 100% de detección).
En ocasiones las herramientas antimalware no suponensolución: detectan pero no corrigen el problema.
Seguridad y Alta Disponibilidad 30
5. SOFTWARE MALICIOSO5.4. La mejor herramienta antimalware
Estudios con más validez empresas o laboratorios independientes:
AV Comparatives (http://www.av-comparatives.org). AV-Test.org (http://www.av-test.org). ICSA Labs (http://www.icsalabs.com). Virus Bulletin (http://www.virusbtn.com). West Coast Labs (http://westcoastlabs.org).
En estos casos es más efectivo un control a fondo de los procesosde arranque, y uso de las conexiones de red establecidas.
Seguridad y Alta Disponibilidad 31
5. SOFTWARE MALICIOSO5.5. Otras herramientas de protección
Windows:
msconfig (control de procesos de arranque automático en inicio).
Suite de herramientas de control de procesos: Sysinternals.
Herramientas de control a fondo del sistema: empresa TrendMicro herramienta HiJackThis.
Comando netstat: control de conexiones de red.
Seguridad y Alta Disponibilidad 32
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 33
Práctica 7. Antimalware
Una de las herramientas másutilizadas por su grado deactualización de base de datosde malware y su eficacia esMalwarebytes para Windows.
Es de pago, aunque tiene unaversión gratuita temporal que sepuede obtener desde:http://www.malwarebytes.org/
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 34
Práctica 7. Antimalware
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 35
Práctica 7. Antimalware
El programa Cain y Abel es
considerado como malware por esta
herramienta. ¿ Por qué ?
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 36
Práctica 8. Antivirus en GNU/Linux
El mayor número de archivos alojados en servidores de red se encuentra ensistemas GNU/Linux, por lo que también es cada mayor el número de elementosmalware que entran en estos sistemas. Así que debemos conocer herramientas que permitan realizar un análisisexhaustivo y de calidad bajo esta plataforma.
La herramienta que utilizamos en esta práctica es el antivirus ClamAv, junto asu versión gráfica Clamtk.
Se instalan mediante los siguientes comandos:
sudo apt-get install clamav clamtk
El primer paso será actualizar la base de datos de la herramienta de formaonline, mediante el comando:
sudo freshclam
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 37
Práctica 8. Antivirus en GNU/Linux
Una vez realizada la actualización de la base de datos de virus,podemos escanear el directorio deseado.
Ejemplo: sudo clamscan -r -i /home
Escaneará de forma recursiva (-r) el directorio /home y mostrarátan sólo los archivos infectados (-i)
• Si queremos ejecutar la versión gráfica: sudo clamtk
Si estamos utilizando una distribución LIVE
podríamos, incluso, montar una partición de
Windows y escanearla con este antivirus.
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 38
Práctica 8. Antivirus en GNU/Linux
5. SOFTWARE MALICIOSO
Seguridad y Alta Disponibilidad 39
Práctica 9. Análisis antimalware LIVE
Como ejemplo, vamos a emplear para rescatar archivos y analizar elmalware de un sistema, la herramienta AVG Rescue CD.
Es un conjunto independiente de herramientas que se puede iniciar desde unCD o un disco flash. Ambas formas constituyen un sistema autónomo con elsistema operativo GNU/Linux y AVG preinstalados.
Descargamos el archivo comprimido de lapágina web de Avg. Lo descomprimimos en una carpetacualquiera. A continuación ejecutamos el archivosetup.exe y le indicamos la unidad flash dondeinstalaremos AVG Rescue CD y que hará quedicha unidad sea arrancable.