prof. juan martínez ugma “seguridad computacional” · during the weekend i found an...
TRANSCRIPT
Prof. Juan Martínez
UGMA “Seguridad Computacional”
1
2
http://www.prometric.com/CompTIA/default.htm
3
http://ruby-blue.net/e-books/450-train-signal-comptia-security-plus-training-dvd1.html
http://ebookee.org/CompTIA-Security-All-in-One-Exam-Guide-Second-Edition-Repost-
_669681.html4
http://www.prometric.com/CompTIA/default.htm
250$5
6
7
8
9
During the weekend I found an
interestingsample exploiting a possibly new
and undocumented vulnerability forWindows
XP and 2003. The exploit is a local privilege
escalationthat allows users with a restricted
account to gain a SYSTEM shell withhigher
privileges. In my tests the exploit seems to
work successfullyagainst a fully patched
Windows XP-SP2 and also Windows 2003-SP1.
Atthis time, Vista does not seem to be affected
by the problem.file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Demonstration%20of%20Windows%20XP%20Privilege%20Escalation%20Exploit%20_
%20AskStudent.htm
10http://www.askstudent.com/hacking/demonstration-of-windows-xp-privilege-
escalation-exploit/
11
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/Hack%20Msn%20_%20Programa
s%20hack.htm
file:///C:/Users/juan/Desktop/UGMA/semestr
Videoshttp://www.youtube.com/watch?v=iA5WGNS9ETU&feature=related
http://www.youtube.com/watch?v=NkeBLopcS3Y&feature=related
http://www.youtube.com/watch?v=X2UAOi1lu3Q&feature=related
http://www.youtube.com/watch?v=an2dJqvAtPQ&feature=fvwre
l
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/index-sp.php.htm
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/modules.php.htm
http://www.programas-hack.com/category/hack-msn/
http://www.wiretappro.com/index-sp.php
http://www.hack-msn.com/modules.php?name=Downloads&d_op=MostPopular12
13
http://www.taringa.net/posts/downloads/278
6704/70-programas-en-un-link-todos.html
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Messenger%20Online.%206%20alternativas%20para%20conectars
e%20al%20MSN%20Messenger.%20_%20arturogoga.htm
14
15
¡Cuidado con estas web!
http://www.livego.com/?via=MessengerFX
16
17
18
http://www.infospyware.com/
19
http://descargar.cloudantivirus.com/?utm_source=PPC&utm_medium=DISPLAY
-TRY-INFOSPYWARE&utm_campaign=CLOUDAVDWN&track=100954
http://www.nodigasni.com/blog/2008/06/spa
m-simpatico/
20
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/lotus-
domino.htm
21
http://googlesystem.blogspot.com/2007_10_01_archive.html
Adware
22
Adware
23http://www.lavasoft.com/
24
http://topspywareremoval.com/tag/spyware-adware-removal
Rootkit
Un rootkit es una herramienta o un grupo de ellas, que tiene como finalidad
esconderse a sí misma y esconder otros programas, procesos, archivos, directorios,
claves de registro, y puertos que permiten al intruso mantener el acceso a un
sistema para remotamente comandar acciones o extraer información sensible.
Existen rootkits para una amplia variedad de sistemas operativos,
comoGNU/Linux, Solaris o Microsoft Windows.
Algunas versiones españolas de programas lo han traducido como «Encubridor».
25
http://rationalsecurity.typepad.com/blog/blackhat/
http://www.filestube.com/r/rootkit+for+dum
mies
Rootkit
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/elhacker.NET%20-
%20Eliminar,%20Detectar%20y%20Desinstalar%20RootKits.htm
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Anti-rootkits%20-
%20Programas%20para%20Windows%20%20Softonic.htm
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Sophos%20Anti-
Rootkit%20%20detecci%C3%B3n%20y%20eliminaci%C3%B3n%20de%20rootkits.htm
26
http://www.elhacker.net/eliminar-rootkits.html
http://www.softonic.com/windows/anti-rootkits
http://esp.sophos.com/products/free-tools/sophos-anti-
rootkit.html
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/escanearpuertos.htm
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/2escaner-de-puertos.phtm.htm
file:///C:/Users/juan/Desktop/UGMA/semestr
e2/seguridad/lista-de-puertos.phtm.htm
27http://www.puertosabiertos.com/inicio.phtm
Botnets
28
http://www.dailycupoftech.com/2007/01/07/dont-be-a-
soldier-in-the-botnet-army/
hace referencia a un grupo de ordenadores infectados y
controlados remotamente gracias a robots de software,
Zommbies o bots, que se ejecutan de manera autónoma. El
artífice de la botnet puede controlar todos los
ordenadores/servidores infectados de forma remota y
normalmente lo hace a través del IRC; las nuevas versiones de
estas botnets se estan enfocando hacia entornos de control
mediante HTTP con lo que el control de estas maquinas será
muchos más simple. Teniendo a muchos ordenadores zombie a
su servicio y fuera del control de sus usuarios legítimos, pueden
usarse para enviar spam masivamente.
Botnets
29
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/En%2
0el%20interior%20de%20la%20botnet%20que%20enviaba%20el
%20spam%20Ron%20Paul.htm
http://www.spamspam.info/2007/12/09/en-el-interior-de-la-botnet-que-enviaba-el-spam-ron-paul/
Programas portables o software portable son aquellos que
pueden ser transportados y ejecutados en cualquier dispositivo
de memoria extraíble (disquette, Pendrive USB, Discos de
conexión USB, tarjeta de memoria SD o MMC etc.)
La configuración de estos programas se mantiene en el
mismo dispositivo portable, por lo que no se modifican archivos
en el PC. Lo que constituyen sin duda una ventaja, ya que por
ejemplo nos permite tener todo tipo de software en ordenadores
que no permitan instalar programas, como por ejemplo los de
una oficina…
Razones para usar programas portable:
Podemos usar nuestro sofware favorito, en cualquier PC con
entrada USB.
USB Pendrive
30
entrada USB.
Son muy simples de instalar.
Los programas portables se pueden compartir con un simple
copiar y pegar.
El software cabe en cualquier pendrive.
No modifican archivos en el PC en donde se ejecuta.
Mantienen los datos y configuración en la misma carpeta del
programa.
Es más liviano y seguro que transportar un notebook.
Hay todo tipo de programas portables útiles y además gratis.
31http://portableapps.com/
Visual Basic 6 SP6 Portable. Complete IDE to
develop a software.
32
http://portableusb.blogspot.com/2007/10/visual-basic-6-sp6-portable.html
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/No.1%20Hot%20Blog%20%2
0Portable.htm
Sophos Anti Rootkit – Portable Rootkit
Removal Tool
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/5%20Best%2
0Free%20USB%20Encryption%20Software%20%20%20Free%20Software.
htm
33http://www.pendriveapps.com/sophos-anti-rootkit-portable-rootkit-removal-tool/
Este tipo de delito forma parte de los sistemas informáticos que realizan ataques a la parte lógica del
ordenador.
Se entiendo por bomba lógica (en inglés denominado time bombs), aquel software, rutinas o
modificaciones de programas que producen modificaciones, borrados de ficheros o alteraciones del
sistema en un momento posterior a aquél en el que se introducen por su creador.
Los disparadores de estos programas puede ser varios, desde las fechas del sistemas, realizar una
determinada operación o que se introduzca un determinado código que será el que determine su
activación.
Son parecidas al Caballo de Troya, aunque lo que se pretende es dañar al sistema o datos, aunque se
pueden utilizar para ordenar pagos, realizar transferencias de fondos, etc..
Característicias principales:
El tipo de actuación es retardada.
Bomba logica
34
El tipo de actuación es retardada.
El creador es consciente en todo momento del posible daño que puede causar y del momento que éste
se puede producir.
Este ataque está determinado por una condición que determina el creador dentro del código.
El código no se replica.
Los creadores de este tipo de códigos malignos suelen ser personal interno de la empresa, que por
discrepancias con la dirección o descontento suelen programarlas para realizar el daño.
http://www.delitosinformaticos.com/delitos/bombalogica.shtml
http://chuikipro.100foros.com/sab-nov-24-2007-1147-pm-vp259.html
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Chuikipro%20%20%20%20Como%20ha
cer%20tu%20propia%20bomba%20logica!!%285%20estupidos%20pasos%29.htm
file:///C:/Users/juan/Desktop/UGMA/semestre2/seguridad/Como%20hacer%20una%20Bomba%20logica%20muy%20simple%2
0-%20Hackerss.com.htm
35
El BIOS (sigla en inglés de basic input/output system; en español "sistema básico de entrada y salida") es un código de software que localiza y reconoce todos los dispositivos necesarios para cargar el sistema operativo en la memoria RAM; es un software muy básico instalado en la placa base que permite que ésta cumpla su cometido. Proporciona la comunicación de bajo nivel, el funcionamiento y configuración del hardware del sistema que, como mínimo, maneja el teclado y proporciona una salida básica (emitiendo pitidos normalizados por el altavoz de la computadora si se producen fallos) durante el arranque. El BIOS usualmente está escrito en lenguaje ensamblador. El primer uso del término "BIOS" se dio en el sistema operativo CP/M, y describe la parte de CP/M que se ejecutaba durante el arranque y que iba unida directamente al hardware (las máquinas de CP/M usualmente tenían un simple cargador arrancable en lamemoria de sólo lectura, y nada más). La mayoría de las versiones de MS-DOS tienen un archivo llamado "IBMBIO.COM" o "IO.SYS" que es análogo al BIOS de CP/M.El BIOS es un sistema básico de entrada/salida que normalmente
36
pasa inadvertido para el usuario final de computadoras. Se encarga de encontrar el sistema operativo y cargarlo en la memoria RAM. Posee un componente de hardware y otro de software; este último brinda una interfaz generalmente de texto que permite configurar varias opciones del hardware instalado en el PC, como por ejemplo el reloj, o desde qué dispositivos de almacenamiento iniciará el sistema operativo (Microsoft Windows, GNU/Linux, Mac OS X, etc.).El BIOS gestiona al menos el teclado de la computadora, proporcionando incluso una salida bastante básica en forma de sonidos por el altavoz incorporado en la placa base cuando hay algún error, como por ejemplo un dispositivo que falla o debería ser conectado. Estos mensajes de error son utilizados por los técnicos para encontrar soluciones al momento de armar o reparar un equipo.El BIOS reside en una memoria EPROM. Es un programa tipo firmware. El BIOS es una parte esencial del hardware que es totalmente configurable y es donde se controlan los procesos del flujo de información en el bus del ordenador, entre el sistema operativo y los demás periféricos. También incluye la configuración de aspectos importantes de la máquina.
http://www.letheonline.net/bios.htm
37
38
39
http://www.forensics-intl.com/art22.html
http://www.geeky-gadgets.com/usb-squid-
seven-hub/
En seguridad informática, el término bluejacking se refiere a una técnica consistente en enviar mensajes no solicitados
entre dispositivos Bluetooth, como por ejemplo teléfonos móviles, PDAs o portátiles. La tecnología Bluetooth tiene un
alcance limitado de unos 10 metros normalmente en dispositivos pequeños (como teléfonos móviles) aunque otros aparatos
más grandes (como portátiles) con transmisores más potentes pueden alcanzar los 100 metros.
http://es.wikipedia.org/wiki/Bluejacking
http://www.youtube.com/watch?v=ZW5MUa3n1yY
http://www.youtube.com/watch?v=cwKWOdOHiWY&feature=fvwrel
40
Para bluejacking se han desarrollado muchos instrumentos. La mayor parte del desarrollo de este software sucedió desde el
año 2000 hasta 2004, donde múltiples vulnerabilidades Bluetooth se descubrieron. La mayor parte de estos instrumentos
son implementados por desarrolladores autónomos y tienen funciones muy específicas. Por un lado hay muchos
instrumentos para ayudar al bluejacking, pero por otro lado existen herramientas ocultas en los aparatos que están
disponibles para el bluesnarfing (es mucho más oscuro y peligroso que bluejacking) pero estos son secretos de fabricación
de cada aparato.
En dispositivos modernos se ha añadido un método de seguridad que trata de solicitar un código de confirmación cuando un
dispositivo trata de conectarse a nuestro aparato, pero existen maneras de saltarse esa solicitud (o directamente introducir
codigos sencillos que vienen predeterminados en los aparatos) por lo que no es una manera definitiva de estar seguros.
Actualmente hay varios programas utilizados para esta práctica (como Bluetooth Messenger,Blueshoot, Easy Jack, etc.),
aunque el más utilizado es Mobiluck. Ahora se está empezando a utilizar BT Info, que hace muchas más cosas: apaga el
teléfono de la víctima, explora su agenda y sus sms, y hasta puede llamar y enviar mensajes.
41
http://www.imsc.res.in/~kabru/photos.html
42
http://www.livesony.com/foro/f60/herramientas-bluehacking-6023/
43
http://networkingpupil.blogspot.com/2010/10/nas_03.html
http://www.unibrain.com/products/storage/FireNAS2U.htm
44
http://comunavirtual.com/programa/8820-windows-xp-
complete-pure-2011-3264-bit.html
Un hotfix es un paquete que puede incluir varios archivos y que sirve para resolver
un bug específico dentro de una aplicación informática.
Por lo general suelen ser pequeños parches diseñados para resolver problemas de
reciente aparición, como son los agujeros de seguridad. Suelen ser instalados
automáticamente a través de un sistema de gestión de paquetes como puede
ser Windows Update para el sistema operativo Windows, YUM o APT para el
sistema operativo Linux.
hotfix
45
sistema operativo Linux.
http://comunavirtual.com/programa/8820-windows-xp-
complete-pure-2011-3264-bit.html
Service Packs
46
http://www.taringa.net/posts/downloads/3844749/Microsoft-Office-2010-gratis-
_.html
47
Pacht management
PatchLink's solution rapidly
and accurately remediates
vulnerabilities and
continuously monitors
heterogeneous environments
to ensure security and IT and
48
to ensure security and IT and
regulatory compliance.
Pacht management
49http://www.unifiednetworksolutions.com/Managed_Services.html
50
Group policies: These policies allow an
administrator to restrict user access to files
and folders, configure how many failed login
attempts will lock an account, and control user
rights.
http://kb.iu.edu/data/ajgk.html
http://www.trainsignal.co.uk/windows-server-2003-active-directory-
series-training-course.htm
Security templates
A security template contains hundreds of
possible settings that can control a single or
multiple computers. The security templates
can control areas such as user rights,
permissions, and password policies. Security
templates can be deployed centrally using
51
http://www.sans.org/reading_room/whitepapers/win2k/security-
templates-group-policy-secure-windows-servers_1175
templates can be deployed centrally using
Group Policy objects (GPOs). Finally, security
templates can be customized to include almost
any security setting on a target computer.
52
53
54
Hijacking
Hijacking significa "secuestro" en inglés y en el
ámbito informático hace referencia a toda
técnica ilegal que lleve consigo el adueñarse o
robar algo (generalmente información) por
parte de un atacante. Es por tanto un concepto
muy abierto y que puede aplicarse a varios
ámbitos, de esta manera podemos
55
ámbitos, de esta manera podemos
encontramos con el secuestro de conexiones
de red, sesiones de terminal,
servicios,modems y un largo etcétera en
cuanto a servicios informáticos se refiere.
http://www.pcstats.com/articleview.cfm?articleID=1579
http://nrupentheking.blogspot.com/2011/02/netbios-enumeration-
and-null-session.html
El tema seguridad es hoy una prioridad para aquellos que utilizan sus sistemas informáticos estando
interconectados en red y/o accediendo a la "red de redes" (internet). ¿Qué podemos hacer para que
nuestros sistemas sean un poco más difíciles de hackear? Mucho se puede hacer instalando los parches
(patches) de seguridad de Microsoft, que tapan algunos huecos dejados inadvertidamente en la
seguridad de los sistemas operativos al momento de su lanzamiento. En la mayoría de los casos la
pregunta de ¿debería tapar este hueco? Es bastante facil de responder. Pero hoy vamos a hablar de uno
que puede ser bastante peligroso, aunque debemos ser muy cuidadosos con él porque cerrarlo puede
crear problemas (hacer que deje de funcionar algo). Sin embargo es algo que todos deberían examinar.
Estamos hablando de algo llamado "Null Session"; está también referido a login anónimo, y en realidad
no es un "hueco en la seguridad" (security hole), es mas bien una "característica" (no confundir con con
login anónimo a servidores FTP – eso es algo totalmente distinto).
Null Sessions o Login Anónimo
56
¿Qué es una null session? ¿Qué puede hacer?
Una null session es una conexión de login establecida sin credenciales. Si, asi es, una vasta mayoría de
sistemas NT 4, W2K, W XP y W 2003 permiten que la gente se loguee sin proveer un nombre de usuario y
una clave. Las null sessions o logins anónimos son preocupantes porque, por defecto, permiten que
cualquiera se meta en un dominio NT4 o en un Active Directory basado en W2K y obtenga acceso a cosas
como:
* la lista de usuarios de la SAM del sistema
* los saludos de las cuentas de usuario y convertir los saludos en nombres de usuarios
* la lista de maquinas del dominio
* las políticas de passwords y bloqueos de usuarios del sistema o del dominio
* el nombre NetBIOS de la máquina y el nombre del dominio al que pertenece
* la lista de grupos de la SAM
* los dominios en los que su dominio confía
Spoofing
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas
de suplantación de identidad generalmente con usos maliciosos o de
investigación.
Existen diferentes tipos dependiendo de la tecnología a la que nos refiramos,
los cuales se describirán más adelante, como el IP spoofing (quizás el más
conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing,
aunque en general se puede englobar dentro de spoofing cualquier tecnología
de red susceptible de sufrir suplantaciones de identidad.
57
de red susceptible de sufrir suplantaciones de identidad.
IP Spoofing: Suplantación de IP. Consiste básicamente en
sustituir la dirección IP origen de un paquete TCP/IP por otra
dirección IP a la cual se desea suplantar. Esto se consigue
generalmente gracias a programas destinados a ello y puede
ser usado para cualquier protocolo dentro de TCP/IP como
ICMP, UDP o TCP. Hay que tener en cuenta que las
respuestas del host que reciba los paquetes alterados irán
dirigidas a la IP falsificada. Por ejemplo si enviamos un ping
(paquete icmp "echo request") suplantado, la respuesta será
recibida por el host al que pertenece la IP legalmente. Este
tipo de spooofing unido al uso de peticiones broadcast a
diferentes redes es usado en un tipo de ataque de flood
58
diferentes redes es usado en un tipo de ataque de flood
conocido como ataque Smurf. Para poder realizar
Suplantación de IP en sesiones TCP, se debe tener en cuenta
el comportamiento de dicho protocolo con el envío de
paquetes SYN y ACK con su ISN específico y teniendo en
cuenta que el propietario real de la IP podría (si no se le
impide de alguna manera) cortar la conexión en cualquier
momento al recibir paquetes sin haberlos solicitado.
También hay que tener en cuenta que los enrutadores
actuales no admiten el envío de paquetes con IP origen no
perteneciente a una de las redes que administra (los
paquetes suplantados no sobrepasarán el enrutador).
ARP Spoofing: suplantación de identidad por
falsificación de tabla ARP. Se trata de la construcción
de tramas de solicitud y respuesta ARP modificadas
con el objetivo de falsear la tabla ARP (relación IP-
MAC) de una víctima y forzarla a que envíe los
paquetes a un host atacante en lugar de hacerlo a su
destino legítimo. Explicándolo de una manera más
sencilla: El protocolo Ethernet trabaja mediante
59
sencilla: El protocolo Ethernet trabaja mediante
direcciones MAC, no mediante direcciones IP. ARP es
el protocolo encargado de traducir direcciones IP a
direcciones MAC para que la comunicación pueda
establecerse; para ello cuando un host quiere
comunicarse con una IP emite una trama ARP-
Request a la dirección de Broadcast pidiendo la MAC
del host poseedor de la IP con la que desea
comunicarse. El ordenador con la IP solicitada
responde con un ARP-Reply indicando su MAC.
Los Routers y los hosts guardan una tabla local
con la relación IP-MAC llamada "tabla ARP".
Dicha tabla ARP puede ser falseada por un
ordenador atacante que emita tramas ARP-
REPLY indicando su MAC como destino válido
para una IP específica, como por ejemplo la de
un router, de esta manera la información
dirigida al router pasaría por el ordenador
atacante quien podrá sniffar dicha información
y redirigirla si así lo desea. El protocolo ARP
60
y redirigirla si así lo desea. El protocolo ARP
trabaja a nivel de enlace de datos de OSI, por
lo que esta técnica sólo puede ser utilizada en
redes LAN o en cualquier caso en la parte de la
red que queda antes del primer Router. Una
manera de protegerse de esta técnica es
mediante tablas ARP estáticas (siempre que las
ips de red sean fijas), lo cual puede ser difícil
en redes grandes. Para convertir una tabla ARP
estática se tendría que ejecutar el comando:
arp -s [IP] [MAC]
Por ejemplo: arp -s 192.168.85.211 00-aa-00-
62-c6-09
Otras formas de protegerse incluyen el usar
programas de detección de cambios de las
tablas ARP (como Arpwatch) y el usar la
seguridad de puerto de los switches para evitar
cambios en las direcciones MAC.
61
cambios en las direcciones MAC.
DNS Spoofing: Suplantación de identidad por
nombre de dominio. Se trata del falseamiento
de una relación "Nombre de dominio-IP" ante
una consulta de resolución de nombre, es
decir, resolver con una dirección IP falsa un
cierto nombre DNS o viceversa. Esto se
consigue falseando las entradas de la relación
Nombre de dominio-IP de un servidor DNS,
62
Nombre de dominio-IP de un servidor DNS,
mediante alguna vulnerabilidad del servidor en
concreto o por su confianza hacia servidores
poco fiables. Las entradas falseadas de un
servidor DNS son susceptibles de infectar
(envenenar) el caché DNS de otro servidor
diferente (DNS Poisoning).
Web Spoofing: Suplantación de una página
web real (no confundir con phising). Enruta la
conexión de una víctima a través de una
página falsa hacia otras páginas WEB con el
objetivo de obtener información de dicha
víctima (páginas WEB vistas, información de
formularios, contraseñas etc.). La página WEB
falsa actúa a modo de proxy solicitando la
información requerida por la víctima a cada
servidor original y saltándose incluso la
protección SSL. El atacante puede modificar
cualquier información desde y hacia cualquier
63
cualquier información desde y hacia cualquier
servidor que la víctima visite. La víctima puede
abrir la página web falsa mediante cualquier
tipo de engaño, incluso abriendo un simple
LINK. El WEB SPOOFING es difícilmente
detectable, quizá la mejor medida es algún
plugin del navegador que muestre en todo
momento la IP del servidor visitado, si la IP
nunca cambia al visitar diferentes páginas WEB
significará que probablemente estemos
sufriendo este tipo de ataque.
Mail Spoofing: Suplantación en correo
electrónico de la dirección de correo
electrónico de otras personas o entidades. Esta
técnica es usada con asiduidad para el envío
de mensajes de correo electrónico hoax como
suplemento perfecto para el uso de
suplantación de identidad y para SPAM, es tan
sencilla como el uso de un servidor SMTP
64
sencilla como el uso de un servidor SMTP
configurado para tal fin. Para protegerse se
debería comprobar la IP del remitente (para
averiguar si realmente esa ip pertenece a la
entidad que indica en el mensaje) y la
dirección del servidor SMTP utilizado. Otra
técnica de protección es el uso de firmas
digitales.
ARP Poisoning
65
Spoofing Spoofing, en términos
de seguridad de redes hace referencia al uso
de técnicas de suplantación de identidad
generalmente con usos maliciosos o de
investigación.
Existen diferentes tipos dependiendo de
la tecnología a la que nos refiramos, los cuales
se describirán más adelante, como
el IP spoofing (quizás el más conocido), ARP
spoofing, DNS spoofing, Web spoofing o e-mail
spoofing, aunque en general se puede
66
spoofing, aunque en general se puede
englobar dentro de spoofing cualquier
tecnología de red susceptible de sufrir
suplantaciones de identidad.
http://consultasguru.blogspot.com/2009/11/c
omo-usar-ip-spoofing-facil-gratis.html
http://www.windowsecurity.com/articles/Emai
l-Spoofing.html
Ataque Man-in-the-middle
En criptografía, un ataque man-in-the-middle o
JANUS (MitM o intermediario, en español) es un ataque en
el que el enemigo adquiere la capacidad de leer, insertar y
modificar a voluntad, los mensajes entre dos partes sin que
ninguna de ellas conozca que el enlace entre ellos ha sido
violado. El atacante debe ser capaz de observar e
interceptar mensajes entre las dos víctimas. El ataque MitM
es particularmente significativo en el protocolo original de
intercambio de claves de Diffie-Hellman, cuando éste se
emplea sin autenticación.
http://casidiablo.net/man-in-the-middle/
67
Ataque Man-in-the-middle
68
http://gregsowell.com/?p=1133
Ataque Man-in-the-middle
69
DNS cache poisoningDNS cache poisoning / DNS Poisoning /
Pharming es una situación creada de manera
maliciosa o no deseada que provee datos de
un Servidor de Nombres de Dominio (DNS) que
no se origina de fuentes autoritativas DNS.
Esto puede pasar debido a diseño inapropiado
de software, falta de configuración de
nombres de servidores y escenarios
maliciosamente diseñados que explotan la
arquitectura tradicionalmente abierta de un
sistema DNS. Una vez que un servidor DNS ha
70
sistema DNS. Una vez que un servidor DNS ha
recibido aquellos datos no autentificados y los
almacena temporalmente para futuros
incrementos de desempeño, es considerado
envenenado, extendiendo el efecto de la
situación a los clientes del servidor.
DNS cache poisoning
71
DNS cache poisoning
72
http://nirlog.com/2006/03/28/dns-
amplification-attack/
DNS cache poisoning
73
http://blog.trendmicro.com/targeted-
attack-in-mexico-dns-poisoning-via-
modems/
ARP Poisoning o ARP Poison Routing
El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una
técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en
hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área
local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de
Servicio).
El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la
Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección
74
Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección
IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada
(gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente
enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre
reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o
modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un
ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección
MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.
El ataque de ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante
ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o
bien la máquina del atacante está conectada directamente a la LAN Ethernet.
http://blog.buttewifi.com/tag/arp-poisoning/
75
http://blog.buttewifi.com/tag/arp-poisoning/
76
DMZ - Demilitarized Zone
In a DMZ configuration, most computers on
the LAN run behind a firewall connected to a
public network like the Internet. One or more
computers also run outside the firewall, in the
DMZ. Those computers on the outside
intercept traffic and broker requests for the
rest of the LAN, adding an extra layer of
protection for computers behind the firewall.
77
protection for computers behind the firewall.
Traditional DMZs allow computers behind the
firewall to initiate requests outbound to the
DMZ. Computers in the DMZ in turn respond,
forward or re-issue requests out to the
Internet or other public network, as proxy
servers do. (Many DMZ implementations, in
fact, simply utilize a proxy server or servers as
the computers within the DMZ.) The LAN
firewall, though, prevents computers in the
DMZ from initiating inbound requests.
http://compnetworking.about.com/cs/
networksecurity/g/bldef_dmz.htm
DMZ - Demilitarized Zone
78
http://www.cybernetra.com/featurdes.htm
79
80
81
Implicit deny indicates that unless something
(such as traffic on a network) is explicitly
allowed, it is denied. It isn’t used to deny all
traffic, but instead used to deny all traffic that
isn’t explicitly granted or allowed.
Implicit deny
Practice Question Implicit Deny
Which one of the following describes the
principle of implicit deny?
82
principle of implicit deny?
A. Denying all traffic between networks
B. Denying all traffic unless it is specifically
granted access.
C. Granting all traffic to network unless it is
explicitly granted.
D. Granting all traffic unless it is explicitly
denied.
http://sy0201.blogspot.com/2009/11/practice-
question-implicit-deny.html
Principle of least privilege
in information security, computer science, and
other fields, the principle of least privilege,
also known as the principle of minimal
privilege or just least privilege, requires that in
a particularabstraction layer of a computing
environment, every module (such as a process,
a user or a program on the basis of the layer
we are considering) must be able to access
only such information andresources that are
necessary for its legitimate purpose.[
In other words, this means giving a user only
83
In other words, this means giving a user only
those privileges which are absolutely essential
to do his/her work. For example, a backup user
does not need to install software, hence the
backup user has rights only to run backup and
backup-related applications. Any other
privileges like installing software etc. are
blocked. The principle applies also to
a single home PC user where they always do
work in a normal user account, and opens
their admin account (password protected with
greater access) only when the situation
absolutely demands it.
http://en.wikipedia.org/wiki/Pr
inciple_of_least_privilege
http://www.zdnet.com/blog/security/r
eport-64-of-all-microsoft-
vulnerabilities-for-2009-mitigated-by-
least-privilege-accounts/5964
Security Separation of Duties
Separation of duty, as it relates to security, has
two primary objectives. The first is the
prevention of conflict of interest, the
appearance of conflict of interest, wrongful
acts, fraud, abuse and errors. The second is the
84
acts, fraud, abuse and errors. The second is the
detection of control failures that include
security breaches, information theft, and
circumvention of security controls.
Security Separation of Duties
Security controls are measures taken to
safeguard an information system from attacks
against the confidentiality, integrity, and
availability of computer systems, networks and
the data they use. In addition, the security
controls are selected and applied based on a
risk assessment of the information system.
85
risk assessment of the information system.
These controls restrict the amount of power /
influence held by any one individual. Proper
separation of duties, of course, is designed to
ensure that individuals don't have conflicting
responsibilities or is responsible for reporting
on themselves or their superior.
Security Separation of Duties
There is an easy test for Separation of Duties.
First ask if any one person alter or destroy your
financial data without being detected. For the
second test ask is any one person can steal or
exfiltrate sensitive information. The final test
asks if any one person has influence over
controls design, implementation and reporting
86
controls design, implementation and reporting
of the effectiveness of the controls. If the
answer to any of these questions is YES, then
you need to take a hard look at the separation
of duties.
http://www.computerworld.com/s/article/911
3647/The_key_to_data_security_Separation_o
f_duties
A job design technique in which employees are
moved between two or more jobs in a planned
manner. Theobjective is to expose the
employees to differentexperiences and wider
variety of skills to enhance job satisfaction and
to cross-train them.
Job rotation
87
88
Orange Book Summary
Introduction
89
Introduction
This document is a summary of the US
Department of Defense Trusted Computer
System Evaluation Criteria, known as the
Orange Book. Although originally written for
military systems, the security classifications are
now broadly used within the computer
industry,
http://www.dynamoo.com/orange/summary.h
tm
90http://www.printeradmin.com/printer-control.htm
IPv4 posibilita 4.294.967.296 (232) direcciones
de red diferentes, un número inadecuado para
dar una dirección a cada persona del planeta, y
mucho menos a cada vehículo, teléfono, PDA,
etcétera. En cambio, IPv6 admite
340.282.366.920.938.463.463.374.607.431.76
8.211.456 (2128 o 340 sextillones de
direcciones) —cerca de 6,7 × 1017 (670
mil billones) de direcciones por
cada milímetrocuadrado de la superficie de La
Tierra.
91
http://es.wikipedia.org/wiki/IPv6