Download - UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques contra sistemas de contraseñas 15. 3. ATAQUES 3.1. Ataques contra sistemas de

UT2-1

ATAQUES

Y

CONTRAMEDIDAS

PERSONALES

Seguridad y Alta Disponibilidad 1

1. INTRODUCCIÓN

1.1. El ataque informático

Fases de un ataque

◦ Descubrimiento de los sistemas que componen la red en la

que se encuentra el objetivo.

◦ Exploración de las vulnerabilidades de los sistemas de red.

◦ Explotación de vulnerabilidades detectadas.

◦ Compromiso del sistema.

◦ Ocultación o eliminación del rastro que prueba el ataque.


1. INTRODUCCIÓN

1.2. Herramientas utilizadas en un ataque

Entre las herramientas más comunes se encuentran:

◦ Escaneadores de puertos

◦ Sniffers o escuchadores en la red

◦ Exploits

◦ Backdoors o puertas traseras

◦ Rootkits

◦ Auto-rooters

◦ Craqueadores de contraseñas (Password-crakers)

◦ Generadores de malware.


2. MEDIDAS

2.1. Política de contraseñas

Práctica 1. Configuración de contraseñas seguras

◦ En Windows

Acceder a la ventana de Directivas de seguridad de cuentas,

mediante el comando gpedit o desde Panel de

control/Herramientas administrativas/Directivas deseguridad local.


2. MEDIDAS



◦ En Windows

Se recomienda configurar la política de contraseñas para que:

La longitud mínima sea de 14 caracteres

Tenga las características de complejidad requeridas.

Haya que modificarlas cada mes.

En caso de más de 3 intentos fallidos, bloquear la cuenta 15 minutos

para evitar ataques de fuerza bruta.

Para controlar por parte del administrador los accesos al sistema

podemos habilitar en Directivas locales / Directiva de auditoría /

Auditar sucesos de inicio de sesión, tanto correctos como

erróneos

Así el visor de eventos nos permitirá analizarlos.


2. MEDIDAS



◦ En Windows


2. MEDIDAS


Práctica 2. Configuración de contraseñas seguras◦ En GNU/Linux el control sobre complejidad y cifrado de

contraseñas se realiza mediante el servicio PAM (PluggableAuthentication Module)

El módulo pam_cracklib está hecho para determinar si essuficientemente fuerte una contraseña que se va a crear omodificar con el comando passwd.

Se instala con sudo apt-get install libpam-cracklib

El archivo de configuración es /etc/pam.d/common-password,el cual es leído cuando se ejecuta el comando passwd decambio de contraseña.


2. MEDIDAS



◦ En GNU/Linux En el archivo /etc/pam.d/common-password se pueden establecer

diversas opciones de contraseñas

En el ejemplo anterior "retry=3" significa que un usuario dispone de 3 intentos para introducir la password correcta.

"minlen=8" establece a 8 el mínimo número de caracteres de la clave.

"difok=3" establece en 3 el mínimo número de caracteres que pueden ser diferentes a los de la password anterior.

“sha512” establece SHA-512 como algoritmo de cifrado de contraseñas.


2. MEDIDAS



◦ En GNU/Linux

Otras opciones del archivo son "lcredit", "ucredit", "dcredit",

and "ocredit" utilizadas para establecer el mínimo número de

caracteres en minúsculas, mayúsculas, dígitos y otros

caracteres alfanuméricos, respectivamente.

Por ejemplo, se podría añadir en la línea pam_cracklib del

archivo /etc/pam.d/common-password lo siguiente:

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8

lcredit=1 ucredit=1 dcredit=1 ocredit=2


2. MEDIDAS



◦ En GNU/Linux

También se puede obligar a los usuarios a cambiar la

contraseña cada cierto tiempo. Para ello:

Se modifica el archivo /etc/login.defs

Cambiando a PASS_MAX_DAYS al valor

90 obligará a cambiar la contraseña a los

3 meses y lo avisará durante una semana

antes de la caducidad.

Alternativamente se puede ejecutar el siguiente

comando: change -m 0 -M 90 -W 7 usuario


2. MEDIDAS



◦ En GNU/Linux

Para visualizar los sucesos del sistema y otros sucesos del

sistema o logs, éstos se guardan en archivos ubicados en el

directorio /var/log, aunque muchos programas gestionan sus

propios logs y los guardan en /var/log/<programa>

Concretamente, los login en el sistema se registran en elarchivo /var/log/auth.log.


2. MEDIDAS


Práctica 3. Peligro de contraseñas cortas y/o alfabetos

cortos

◦ Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z

◦ Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

◦ Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #

◦ Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9

Utilizaremos un pequeño script para un ataque de fuerza bruta para

descifrar algunas contraseñas.


2. MEDIDAS


Práctica 3. Peligro de contraseñas cortas y/o alfabetos cortos#!/bin/bash

space1="a b c d e f g h i j k l m n o p q r s t u v w x y

z“


z A B C D E F G H I J K L M N O P Q R S T U V W X Y

Z“



Z : . ; , _ + < > ? = ( ) / % #“



Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9“

if [ $# -le 1 ] then

echo "Uso: " $0 SALT PASSWORD_CODED

exit

fi

for i in $space1

do

for j in $space1

do

for k in $space1

do

variable=$(openssl passwd -crypt -salt "$1"

"$i$j$k")

if [ "$variable" = $2 ] then

echo password found: $i$j$k

exit

fi

done

done

done

Por ejemplo: time ./script ok ok961FcL7R4oU

Dará como salida: tst


2. MEDIDAS


Práctica 3. Peligro de contraseñas cortas y/o alfabetos

cortos

Alfabeto Número de caracteres

Salt Hash contraseña Contraseña Tiempo

Alfabeto 1 3 wk wkQ7H8omo47m2 scl 0m51.898s

Alfabeto 2 3 Gn GnaKSDD51P6RM TNk 8m47.341s

Alfabeto 3 3 A. A.OCUGDi4L.tY ((: 25m 55s

Alfabeto 4 3 2U 2UNJzECjI8lwg 8M: 20m 9s

Alfabeto 1 5 nm nmx6e5emuiujo ramon 550m 47s

El script anterior pide como parámetros de entrada el salt y el hash de la

contraseña.

Ejemplos de ejecución del script para diferentes hash de contraseñas cortas .


Práctica 4. Peligros de distribuciones Live◦ Después de arrancar con

el DVD Live de Kali-Linuxen modo consola, vemosque estamos con elusuario root, por lo quepodemos hacer cualquiercosa.

• En particular podemos ver los discos/particiones del sistema ejecutando fdisk –l

Seguridad y Alta Disponibilidad

3. ATAQUES

3.1. Ataques contra sistemas de contraseñas

15

3. ATAQUES


Práctica 4. Peligros de distribuciones Live

◦ Tras analizar estas particiones podemos montar la particiónprimaria de Windows con un comando similar a éste:

mount –t ntfs /dev/sda2 /mnt/win(suponiendo que el subdirectorio win esté creado).

◦ Ahora podemos ver todos los ficheros de esa partición ycopiar alguno de ellos, en particular, el archivo SAM(Security Account Manager) de contraseñas ubicado enC:\Windows\System32\Config.

◦ Después de esto se puede craquear el SAM mediante laherramienta Ophcrack.


3. ATAQUES




3. ATAQUES




Ophcrack tiene múltiples opciones para desvelar contraseñas de un sistema.

Parte de la información capturada del fichero SAM.

3. ATAQUES

3.2. Explotación de una vulnerabilidad

Práctica 5. Vulnerabilidad en sistemas Windows

◦ Los sistemas Windows presentan una vulnerabilidad a travésde herramientas que pueden verse modificadas o sustituidaspor una consola de comandos.

◦ Por ejemplo, la utilidad StickyKeys (software de ayuda yaccesibilidad) se activa pulsando 5 veces seguidas la teclaSHIFT.

◦ El archivo que ejecuta es sethc.exe ubicado enC:\Windows\System32. Si renombramos sethc.exe porcmd.exe (consola de comandos), cuando pulsemos 5 veces latecla SHIFT, se nos abrirá la consola de comandos.


3. ATAQUES

3.2. Explotación de una vulnerabilidad (cont.)

Práctica 5 (cont.). Vulnerabilidad en sistemas Windows◦ Podemos realizar el renombrado de este archivo desde una

distribución con la partición Windows montada.

◦ Arrancamos nuestro sistema, por ejemplo, con la distribución LIVE

Kali-Linux.

◦ Vemos cuál es la partición primaria de Windows introduciendo en la

consola fdisk -l

◦ Montamos la partición de Windows en un directorio y ya podemos

renombrar el archivo.


5. SOTWARE MALICIOSO

Software malicioso o malware: clásicamente virus, gusanos,troyanos y todo tipos de programas para acceder a ordenadoressin autorización, y producir efectos no deseados.

En sus comienzos, la motivación principal de los creadores devirus era reconocimiento público.

Pero a más relevancia más reconocimiento obtenía su creador.Las acciones a realizar por el virus debían ser visibles por elusuario y suficientemente dañinas.

Actualmente: el malware es un negocio muy lucrativo. Loscreadores de virus han pasado a tener una motivacióneconómica.


5. SOTWARE MALICIOSO

¿Cómo obtener un beneficio económico?:

◦ Robar información sensible: datos personales, credenciales,mail, banca online, etc.

◦ Al crear una red de ordenadores infectados, red zombi o botnet,el atacante puede manipularlos todos simultáneamente y venderservicios a entidades que puedan realizar acciones poco legítimascomo el envío de spam, mensajes de phishing, acceder a cuentasbancarias, realizar DoS, etc.

◦ Vender falsas soluciones de seguridad (rogueware).

◦ Cifrar el contenido de ficheros y solicitar el rescate mediante unacuantía económica para recuperar la información, como hacen loscriptovirus.


5. SOFTWARE MALICIOSO

Actualmente, el mercado negro de la creación de malwaregenera casi 6.000 millones de euros

◦ Desde unos pocos euros es posible conseguir números detarjetas de crédito

◦ Por 1.000€ se puede comprar el kit más básico y por 9.000€es posible realizar un phising bancario a alto nivel.

Hoy día cualquiera se puede descargar un kit para creartroyanos y empezar a ganar dinero inmediatamente desdesu propia casa.


5. SOFTWARE MALICIOSO5.1. Métodos de infección

◦ ¿Cómo llega al ordenador el malware y cómo prevenirlos?Prevenir la infección resulta relativamente fácil,conociéndolas:

Explotando una vulnerabilidad: desarrolladores de malwareaprovechan vulnerabilidades de versiones de sistema operativo oprograma para tomar el control. Solución actualizar versionesperiódicamente.

Ingeniería social: técnicas de abuso de confianza. Hacer que elusuario realice determinada acción, fraudulenta o busca unbeneficio económico.

Por un archivo malicioso: forma habitual: archivos adjuntos enspam, ejecución de aplicaciones web, archivos de descargas P2P,generadores de claves y cracks de software pirata, etc.


5. SOFTWARE MALICIOSO5.1. Métodos de infección (cont.)

Dispositivos extraíbles: gusanos que dejan copias en dispositivosextraíbles con ejecución automática cuando el dispositivo seconecta a un ordenador, pueda ejecutarse e infectar el nuevoequipo, y a nuevos dispositivos.

Cookies maliciosas: pequeños ficheros de texto en carpetastemporales del navegador que al visitar páginas web almacenaninformación y monitorizan y registran las actividades del usuario enInternet con fines maliciosos.


5. SOFTWARE MALICIOSO5.2. Protección y desinfección

◦ Recomendaciones de seguridad: Mantenerse informado sobre las novedades y alertas de seguridad.

Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y enordenadores de confianza y seguros.

Mantener actualizado el equipo, sistema operativo y aplicaciones.

Hacer copias de seguridad con cierta frecuencia y guardarlas en lugar ysoporte seguro.

Utilizar software legal que suele ofrecer mayor garantía y soporte.

Utilizar contraseñas fuertes en todos los servicios.

Crear diferentes usuarios en el sistema, cada uno de ellos con lospermisos mínimos necesarios para poder realizar las accionespermitidas.

Utilizar herramientas de seguridad antimalware actualizadasperiódicamente. Ojo con el rogueware. Analizar con varias herramientas,contraste antimalware.

Realizar periódicamente escaneo de puertos, test de velocidad y de lasconexiones de red para analizar si las aplicaciones que las emplean sonautorizadas.



Práctica 6. Keylogger


Revealer Keylogger es un software de recuperación de

pulsaciones de teclado que se ejecuta al inicio y se encuentra

oculto, pudiendo enviar remotamente por FTP o mail, el archivo

que registra, en el que se encontrarán tras un periodo de

tiempo credenciales de usuario de correo electrónico, banca

online o redes sociales.


Práctica 6. Keylogger


Cuando está en marcha

vemos los procesos que

ha ejecutado el usuario y

comandos y/o textos

introducidos.

Se ve en texto claro

hasta las contraseñas

introducidas.

Recomendación: la manera de prevenir estos ataques es realizar

escaneos antimalware con una o varias herramientas fiables y

actualizadas, controlar los accesos físicos y limitar los privilegios de las

cuentas de usuario para evitar instalaciones no deseadas.

5. SOFTWARE MALICIOSO5.3. Clasificación del software antimalware

Antivirus: diseñado para detectar, bloquear y eliminar códigosmaliciosos. Hay versiones de pago y gratuitas. Se pueden probarproductos de forma gratuita pero en muchas ocasiones para poderdesinfectar es necesario comprar sus licencias. Variantes: Antivirus de escritorio. Ej: Windows: Malwarebytes. GNU/Linux: ClamAV

Antivirus en línea: cada vez más utilizados. Ej: Panda Cloud

Análisis de ficheros en línea. Ej: Hispasec.

Antivirus portable: no requieren instalación.

Antivirus Live: arrancable y ejecutable USB, CD o DVD. Ej:AVG

Entre otras herramientas específicas destacamos: Antispyware: herramientas de escritorio y en línea, que analizan nuestras

conexiones de red, en busca de conexiones no autorizadas.

Herramientas de bloqueo web.


5. SOFTWARE MALICIOSO5.4. La mejor herramienta antimalware

¿ Qué herramienta se ajusta mejor ?.

Empresas desarrolladoras antimalware: estudios en suspropias web.

La tasa de detección varía de mes a mes, debido al grannúmero de malware que se crea.

Ningún antivirus es perfecto (no existe el 100% de detección).

En ocasiones las herramientas antimalware no suponensolución: detectan pero no corrigen el problema.


5. SOFTWARE MALICIOSO5.4. La mejor herramienta antimalware

Estudios con más validez empresas o laboratorios independientes:

AV Comparatives (http://www.av-comparatives.org). AV-Test.org (http://www.av-test.org). ICSA Labs (http://www.icsalabs.com). Virus Bulletin (http://www.virusbtn.com). West Coast Labs (http://westcoastlabs.org).

En estos casos es más efectivo un control a fondo de los procesosde arranque, y uso de las conexiones de red establecidas.


5. SOFTWARE MALICIOSO5.5. Otras herramientas de protección

Windows:

msconfig (control de procesos de arranque automático en inicio).

Suite de herramientas de control de procesos: Sysinternals.

Herramientas de control a fondo del sistema: empresa TrendMicro herramienta HiJackThis.

Comando netstat: control de conexiones de red.




Práctica 7. Antimalware

Una de las herramientas másutilizadas por su grado deactualización de base de datosde malware y su eficacia esMalwarebytes para Windows.

Es de pago, aunque tiene unaversión gratuita temporal que sepuede obtener desde:http://www.malwarebytes.org/

http://www.malwarebytes.org/




El programa Cain y Abel es

considerado como malware por esta

herramienta. ¿ Por qué ?



Práctica 8. Antivirus en GNU/Linux

El mayor número de archivos alojados en servidores de red se encuentra ensistemas GNU/Linux, por lo que también es cada mayor el número de elementosmalware que entran en estos sistemas. Así que debemos conocer herramientas que permitan realizar un análisisexhaustivo y de calidad bajo esta plataforma.

La herramienta que utilizamos en esta práctica es el antivirus ClamAv, junto asu versión gráfica Clamtk.

Se instalan mediante los siguientes comandos:

sudo apt-get install clamav clamtk

El primer paso será actualizar la base de datos de la herramienta de formaonline, mediante el comando:

sudo freshclam




Una vez realizada la actualización de la base de datos de virus,podemos escanear el directorio deseado.

Ejemplo: sudo clamscan -r -i /home

Escaneará de forma recursiva (-r) el directorio /home y mostrarátan sólo los archivos infectados (-i)

• Si queremos ejecutar la versión gráfica: sudo clamtk

Si estamos utilizando una distribución LIVE

podríamos, incluso, montar una partición de

Windows y escanearla con este antivirus.



Práctica 9. Análisis antimalware LIVE

Como ejemplo, vamos a emplear para rescatar archivos y analizar elmalware de un sistema, la herramienta AVG Rescue CD.

Es un conjunto independiente de herramientas que se puede iniciar desde unCD o un disco flash. Ambas formas constituyen un sistema autónomo con elsistema operativo GNU/Linux y AVG preinstalados.

Descargamos el archivo comprimido de lapágina web de Avg. Lo descomprimimos en una carpetacualquiera. A continuación ejecutamos el archivosetup.exe y le indicamos la unidad flash dondeinstalaremos AVG Rescue CD y que hará quedicha unidad sea arrancable.

Download - UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques contra sistemas de contraseñas 15. 3. ATAQUES 3.1. Ataques contra sistemas de

Top Related