punto 1 – ataques y contramedidas en sistemas personales juan luis cano
TRANSCRIPT
Tema 2 – Implantación de mecanismos de seguridad activaPunto 1 – Ataques y contramedidas
en sistemas personales
Juan Luis Cano
Un ataque es la acción de una amenaza, es decir, ocurre cuando un atacante se aprovecha de una vulnerabilidad del sistema informático para lograr violar la seguridad del sistema, por supuesto sin el consentimiento del usuario, y obtener algún beneficio a través de él.
Hay dos tipos de ataques:
Punto 1 - Ataques
En los ataques pasivos el atacante se encarga únicamente de obtener información, es decir, obtener paquetes enviados y recibidos por el usuario, contraseñas, datos personales,…
Estos ataques son complicados de detectar ya que no alteran información alguna, solo consisten en procesos o servicios que recogen información para ser enviada al atacante. Sin embargo, estas amenazas pueden ser frenadas con buenas políticas de seguridad y protección del equipo.
Ataques Pasivos
Mientras que los ataques activos implican algún tipo de modificación de los datos transmitidos, recibidos o almacenados. Estos ataques pueden dividirse en cuatro categorías:
Ataques Activos
Suplantación de identidad: En este tipo de ataques, el intruso se hace pasar por una entidad diferente. Suele venir acompañado por algún ataque activo para obtener efectos de robo o falsificación de datos.
Reactuación: En este tipo de ataques, el atacante hace repetir varias veces una acción desde el equipo o entidad atacada para producir un efecto no deseado.
Ataques activos (I)
Modificación de mensajes: Si se utiliza este tipo de ataques, una parte de un mensaje enviado es analizado, modificado y reenviado por el atacante, pudiendo producir graves errores. Estos mensajes pueden ser alterados, retardados o reordenados.
Degradación fraudulenta del servicio: En este tipo de ataques se impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Un ejemplo muy claro de este tipo es el ataque de Denegación de Servicio, que, como su nombre indican, deniegan un servicio como FTP, el servicio Web, login de un usuario, etc.
Ataques activos (II)
Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a comprender y analizar la forma en que los atacantes llevan a cabo un ataque.
Hay 5 etapas en las que se realiza un ataque informático, y son:
Punto 2 - Anatomía de ataques
La primera de todas las fases, la de reconocimiento (reconnaisance). Esta etapa involucra la obtención de información con la víctima que puede ser una persona u organización.
Fase 1 - Reconocimiento
Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social o el sniffing.
Durante la segunda etapa de los ataques denominada como Exploración (Scanning) se utiliza la información obtenida en la fase de reconocimiento para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros.
Fase 2 - Exploración
Un atacante puede utilizar varias herramientas como mapeadores y los escáneres de vulnerabilidades.
En la tercera etapa de un ataque, que se conoce como Gainning access (Obtener el acceso)se inicia el ataque a través de la explotación de las vulnerabilidades y defectos del sistema descubiertos durante las fases de reconocimiento y exploración.
Fase 3 – Obtener acceso
Algunas de las técnicas que el atacante puede utilizar son ataques de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.
Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.
Fase 4 – Mantener el acceso
En esta etapa, conocida como Maintaining Access (Mantener el acceso), los atacantes suelen recurrir a utilidades backdoors, rootkits y troyanos.
En la fase final conocida como Covering Tracks (Borrar huellas) se intentará borrar todo contenido que le relacione con el ataque tras haber logrado obtener y mantener el acceso al sistema.
Fase 5 – Borrar huellas
En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
Un Malware es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño.
Punto 3 – Análisis del malware
Este software tiene finalidades muy diversas, ya que engloba todo el software que, dado un mal uso, puede dañar gravemente al sistema informático.
La historia del malware es muy extensa, tal como los tipos de malware existente y su uso en la actualidad.
Todo empezó en 1949, cuando Von Neumann estableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura.
A partir de esa teoría se comenzaron a desarrollar los primeros virus informáticos, programas que se reproducen a sí mismos el mayor número de veces posible y aumentan su población de forma exponencial.
Historia
En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en la
Precursor de los Virus Informáticos (CoreWar)
teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es considerado el precursor de los virus informáticos.
Fue en 1972 cuando Robert Thomas Morris creó el que es considerado como el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera (creeper), atrápame si puedes”.
Para eliminarlo, se creó otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.
Creeper-Reaper, Virus y Antivirus
En 1999 surgió el gusano Happy que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.
Gusanos
En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del correo electrónico.
Gusano LoveLetter
Fue en 2005 cuando los virus tal y como eran fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots para obtener dinero. Por ello la creación de malware era un negocio muy rentable. La mejor prueba de ello son los Troyanos Bancarios.
El Gran Cambio
Otra amenaza latente relacionada con la obtención de beneficios económicos a través del malware es el spyware y adware, donde algunas empresas de software permiten al usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las actividades del usuario sin su consentimiento.
Malware como robo (Spywares)
En cuanto a las amenazas para móviles. Sin embargo, la expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del malware.
Malware en telefonía móvil
Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para plataformas móviles: Cabir.A y ComWar.A son los más conocidos, enviándose a las direcciones y números de la agenda de sus víctimas.
A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Los creadores de malware han visto en esta actividad un método de enriquecimiento y pensando en términos económicos y estableciendo el target más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado.
Sistema más afectados - Windows
El malware se ha extendido hasta nuestros días, y su creación e innovación es constante.
Algunos de estos malwares son:
Clasificación del malware
Gusanos: Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande.
Malwares replicadores (Gusanos)
Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.
El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles a través de Internet.
Malwares ladrones
Troyanos: También conocidos como caballos de Troya, son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas sin el conocimiento del usuario.
Malwares de ejecución
Bomba lógica: Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo…
Sniffers: Este tipo de programas pueden utilizarse para averiguar información que circula a través de la red local o hacia Internet. Usados con mala intención, se pueden obtener numerosos datos de las cuentas bancarias o información imprescindible para el usuario o para la empresa.
Malwares espía/recolectores de información
Spyware: Es, como su nombre indica, un programa espía que se instala en un ordenador para recopilar información sobre las actividades realizadas por éste. Recopila la información sobre los DNS, la IP, contraseñas, etc.
Rootkit: Toma control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones creadas…
Malwares de acceso
Puerta trasera (Backdoor): Permite el acceso de forma remota a un sistema operativo, página Web o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto.
Grayware es un término abarcador aplicado a un amplio rango de programas que son instalados en la computadora de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones funcionan sin el permiso del usuario.
Grayware
Algunos de estos programas son Adware (Publicidad), Keylogger, Toolbars o Spywares.
Hay muchos métodos de infección, entre los que se incluyen el navegador de Internet, el correo, la descarga de archivos...
Métodos de infección
Internet: En general, los virus y otros programas maliciosos se colocan en unas páginas Web. Muchos de los scripts que se ejecutan automáticamente al abrir las páginas Web también pueden contener programas maliciosos.
Correo electrónico: Los emails pueden contener todo tipo de malware. Los tipos principales de malware distribuido por correo electrónico son virus y gusanos. Además, el correo electrónico es también un fuente de spam y phishing.
Métodos de infección más comunes en Internet
Vulnerabilidades de software: El explotar las vulnerabilidades de software instalado en el sistema es un buen método de propagación.
Todo tipo de unidades de almacenamiento portátiles: Discos externos, discos compactos y disquetes, unidades flash. Al conectar una unidad portátil a su equipo o iniciar algún archivo de allí, puede infectar su equipo con malware, ya sea intencionadamente o no.
Métodos de infección físicos y lógicos
Estas herramientas se encargan de analizar y eliminar los posibles malwares que pueda haber en el equipo.
Punto 4 – Herramientas paliativas
Su función es proteger al equipo de todas estas posibles amenazas. Hay muchas de estas herramientas con diferentes funciones:
Los antivirus tienen dos formas de proteger al dispositivo, mediante una protección en tiempo real (bloqueando malware o software peligroso) o detectando el malware ya introducido en la computadora.
Antivirus
Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos, claro está que su deber se expande a todo tipo de malware o ataques. Hay varias opciones de los antivirus para bloquear, eliminar o parar el efecto del virus en el dispositivo.
Escritorio: Es un software que se encuentra instalado en el pc controlado en todo momento la actividad de los ficheros en busca de amenazas. En cualquier momento se puede analizar el equipo a fondo.
Online: Es un software que a través del navegador analiza tu equipo sin necesidad de instalar nada. No suelen ser fiables.
Portables: Es un software que se encuentra normalmente en una unidad portátil y que se puede ejecutar en cualquier equipo sin necesidad de instalación solamente enchufando o introduciendo la unidad portátil
Live: Es software, normalmente instalado en un CD, sirve para analizar el equipo sin necesidad de cargar el SO evitando así que los virus puedan camuflarse en el sistema operativo.
Tipos de antivirus
Anspyware
El antispyware se encarga de buscar, detectar y eliminar spywares o espías en el sistema. Estos programas espía recopilan información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
Herramientas de bloqueo web
Estas herramientas son empleadas para bloquear webs entrantes al equipo que puedan ocasionarle cualquier daño o robo de datos. Hay muchos tipos de herramientas, y sin embargo ninguna de ellas es realmente necesaria, ya que hay varias formas de bloquear estas webs sin instalar ningún software.
Una de ellas es el fichero hosts, que se encarga de bloquear páginas webs que se le pueden asignar fácilmente modificando el fichero. Otra forma es utilizar el propio navegador, ya que prácticamente todos llevan incorporada una de estas herramientas. También los antivirus pueden tener estas herramientas incorporadas.
Fichero hosts
El control de acceso lógico permite y registra las entradas a unos determinados datos o lugares (al dispositivo propio, al sistema operativo, a la BIOS, a los datos almacenados,…) mediante diversas maneras de protección, que se incrementan dependiendo del valor dado a los datos y a la entrada de otras personas.
Algunas de las técnicas del control de acceso lógico son la encriptación, el no repudio, el control de acceso mediante VPN, contraseñas,…
Punto 5 – Herramientas preventivas
Seguridad en la BIOS
La protección con contraseñas para el BIOS (o equivalentes) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas, arranquen desde medios externos u obtengan acceso como root a través del modo monousuario..
Se le puede agregar una contraseña a la BIOS evitando el arranque desde un CD o un pendrive
Contraseñas gestor de arranque
Al asignársele una contraseña al gestor de arranque, se puede prevenir el acceso en modo monousuario de forma que no pueda entrar al modo superusuario, además previene el acceso a la consola de GRUB.
Otras herramientas de este tipo son las políticas de contraseñas, que variarán dependiendo del grado de complejidad que se quiera asegurar. Poco a poco está desapareciendo debido a la eficiencia de los certificados digitales.
Políticas de contraseñas
Control de acceso al sistema operativoPara evitar el acceso no autorizado al sistema operativo se debe de conseguir una serie de objetivos: Establecer un control de acceso adecuado a lo que se
pretenda realizar según que usuarios y grupos, asignando o quitando permisos.
Autenticar usuarios autorizados, de acuerdo con una política definida de control de acceso.
Registrar intentos exitosos y fallidos de autenticación del sistema.
Registrar el uso de privilegios especiales del sistema. Emitir alarmas cuando se violan las políticas de seguridad
del sistema. Suministrar medios adecuados para la autenticación.
Punto 2 – Seguridad en la conexión con redes
públicas