Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Ataques

    Hochgeladen von

    Cristopher Alejos Ascue
    40 Ansichten23 Seiten

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    40 Ansichten23 Seiten

    Ataques

    Hochgeladen von

    Cristopher Alejos Ascue

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 23

    Ataques Informticos: Medidas Preventivas y Correctivas

    Prof. Wlmer Pereira


    USB / UCAB / UCV

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Evolucin en los ataques ...


    Primera Generacin (Ataque Fsico): se centraban en los componentes electrnicos . Segunda Generacin (Ataque Sintctico): son contra la lgica operativa de las computadoras y las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los protocolos. Tercera Generacin (Ataque Semntico): colocacin de informacin falsa en medios informativos, spam, falsificacin de e-mails, estafas de ventas por Internet, alteracin de bases de datos de ndices estadsticos o burstiles, etc.

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Clases de ataques
    Nmero de paquetes a enviar en el ataque:
    Atomic: se requiere un nico paquete para llevarlo a cabo Composite: son necesarios mltiples paquetes

    Informacin necesaria para llevar a cabo el ataque:


    Context: se requiere nicamente la cabecera del protocolo Content: es necesario tambin el campo de datos o payload
    Ping de la Muerte Land attack Winnuke Ataque DNS Proxied RPC Ataque IIS Atomic
    Universidad Simn Bolvar Prof. Wlmer Pereira

    Context

    Escaneo de Puertos SYN Flood TCP Hijacking Ataques SMTP String matches Sniffing Composite
    Universidad Catlica Andrs Bello

    Content

    Tipos de Ataques
    Escuchar Escuchary ymonitorear monitorearaaescondidas escondidas

    Pasivos :: Pasivos

    Difcil de detectar, slo se puede prevenir

    Activos :: Activos

    Suplantar Suplantaridentidad, identidad, Infiltrar Infiltrarservidores servidores Modificar Modificarinformacin informacin Negar Negarservicio servicio

    Difcil de prevenir, ms se puede detectar

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Modelos de Ataques
    E R E R

    I Intercepcin

    I Modificacin
    E: Emisor R: Receptor I: Intruso

    I Fabricacin
    Universidad Simn Bolvar Prof. Wlmer Pereira

    I Interrupcin
    Universidad Catlica Andrs Bello

    Ataques ...
    CABALLOS DE TROYA : Introduccin dentro de un programa una rutina o conjunto de instrucciones, no autorizadas, desconocida de la vctima. El programa acta de una forma diferente a como estaba previsto (por ejemplo robando e informando al cracker) o cambia el cdigo fuente para incluir una puerta trasera. INGENIERIA SOCIAL: Convencer a la vctima de hacer lo que en realidad no debera. Suplantacin de una autoridad Ataque al ego Profesiones anodinas (personal de limpieza, telfono, etc) Recompensa (concurso de contraseas :-( )

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Ataques ...
    FOOTPRINTING: Extraer toda la informacin posible del objetivo del ataque, ya sea un sistema, red o dispositivo electrnico, previo al ataque. Esto se logra revisando los grupos de noticias pblicos de esa comunidad (por ejemplo, whois) o los fuentes HTML de las pginas Web (wget). Existen otras utilidades: ping, finger (en desuso), rusers, nslookup, rcpinfo, etc. Esta es la fase previa a la preparacin de un ataque o el inicio de una auditora.

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Ataques ...
    FINGERPRINTING: Extraer informacin de un sistema, identificando el sistema operativo y las vulnerabilidades de la versin .
    FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros como Windows NT devuelven un FIN-ACK. Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux devuelven un SYN-ACK con el mismo flag activo. Monitorizacin del Dont fragment bit: Algunos sistemas operativos, por defecto, tienen el bit de no fragmentacin (DF) como activo y otros no. TOS : Ante los mensaje ICMP port unreachable puede examinarse el campo TOS, que suele ser cero pero puede variar. TTL : Cul es el valor de los paquetes salientes en el campo Time To Live (TTL)?
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Ataques ...
    ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de entrada o servicios instalados en los puertos bien conocidos. Se usa nmap. - TCP connect scan: mediante el establecimiento de una conexin TCP completa (3 pasos). - TCP SYN scan: se abren conexiones a medias, ya que simplemente se enva el paquete SYN inicial, determinando la existencia de un servicio si se recibe el SYN-ACK. Si no hubiere servicio se recibe un RST-ACK. En el caso de existir el servicio se devuelve un RST-ACK para no establecer conexin alguna, y no ser registrados por el sistema objetivo. ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones IP activas.
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Ataques ...
    SNIFFING: Intercepcin pasiva del trfico de red. Se usa wireshark corriendo sobre el puerto promiscuo del switch o en un hub. Este mtodo lo utiliza el atacante para capturar login y passwords de usuarios, cuando viajan en claro al ingresar a sistemas de acceso remoto. Tambin son utilizados para capturar nmeros de tarjetas de crdito y direcciones de e-mail entrantes y salientes. Otro uso es para determinar relaciones entre organizaciones e individuos. SNOOPING : Al igual que el sniffing es obtener la informacin sin modificarla. Sin embargo los mtodos son diferentes usan herramienta estilo troyanos (ttysnoop). Los casos ms conocidos fueron : el robo de un archivo con ms de 1700 nmeros de tarjetas de crdito desde una compaa de msica mundialmente famosa, y la difusin ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violacin de derechos humanos en algunos pases europeos en estado de guerra.
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Ataques ...
    TAMPERING O DATA DIDDLING: Modificacin desautorizada a los datos, o al software instalado, incluyendo borrado de archivos. Estos ataques son particularmente serios cuando el atacante ha obtenido derechos de administrador pues pueden llevar hasta un DoS. Los atacantes pueden ser empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exmenes, o contribuyentes que pagan para que se les anule la deuda de impuestos. Mltiples web sites han sido vctimas del cambio de sus home page por imgenes terroristas o humorsticas, o el reemplazo de versiones de software para download por otros con el mismo nombre pero que incorporan cdigo malicioso como virus o troyanos(Back Oriffice o NetBus).

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Ataques ...
    IP SPOOFING: Suplantacin de identidad como por ejemplo conseguir el nombre y password de un usuario legtimo. El intruso usualmente utiliza un sistema como trampoln para ingresar en otro, y as sucesivamente. Este proceso, llamado looping, tiene la finalidad de evaporar la identificacin y la ubicacin del atacante. Otra consecuencia del looping es que una compaa o gobierno pueden suponer que estn siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad puede estar siendo atacada por un insider, o por un estudiante a miles de kms de distancia, pero que ha tomado la identidad de otros. SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza autenticacin

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Ataques ...
    DoS: Ataque que se concentra en sobrepasar los lmites de recursos establecidos para un servicio determinado, obteniendo como resultado la eliminacin temporal del mismo.
    Finger Bomb: permite forzar al sistema destino a un consumo elevado de CPU realizando una peticin finger recursiva. Scripts como kaput hacen uso de esta vulnerabilidad (ya superada). Net Flood: satura el sistema con mensajes que requieren establecer conexin: TCP SYN Flood, Connection Flood, SMTP Flood

    DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva a un mismo objetivo visible desde distintos lugares de la red.

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Fingerprinting con nslookup

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Soluciones preventivas
    Reducir funcionalidades a las necesarias ( hardening) y reforzar las que quedan (armoring) Instalar parches de seguridad Estar suscrito a informacin sobre seguridad VPN, Firewalls e IDS CERT (Computer Emergency Response Team). En Venezuela es VenCERT administrado por SUSCERTE (USA tiene 62 CERTS ...). Todos estan coordinados por FIRST (Forum of Incident Response and Security Teams) http://www.first.org A nivel latinoamericano est tambin LACNIC/seguridad ( Latin American and Caribbean Internet Addresses Registry )

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Solucin Correctiva: Informtica Forense


    Ciencia Cienciaque queapoyada apoyadaen enla laevidencia evidenciadigital, digital,procura procuradescubrir descubrireeinterpretar interpretar la lainformacin informacinpara paraesclarecer esclarecerlos loshechos hechosyyformular formularhiptesis hiptesis

    Evidencia Digital:
    Correos, archivos e imgenes Histricos y archivos de configuracin Hojas de clculo, bases de datos, etc.

    Error Errorepisodio episodioCSI CSI(2005) (2005) Greg GregSander Sanderley leycorreos correos de deun uncomputador computadoren enuna una escena escenadel delcrimen crimen

    Debe considerarse que puede ser duplicada, eliminada y alterada

    Procedimientos:
    Esterilidad para evitar contaminacin Verificacin y resguardo mediante firma digital Mantenimiento de la cadena de custodia (quien la entreg, como, ) Propietarias y cdigo abierto (http://www.evidence.info/vendors.html)
    Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Herramientas:
    Universidad Simn Bolvar

    Actores en Informtica Forense


    Intruso Administrador Investigador En general todos especialistas en informtica

    Hacking

    Trmino Trminoacuado acuadoen enMIT MITalrededor alrededorde de1959 1959 Inicialmente Inicialmente acuado acuadoaadesarrolladores desarrolladoresde deaplicaciones aplicacionessofisticadas sofisticadas Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia tcnica para explorar sistemas y diagnosticar fallas. Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de informacin para su beneficio personal Ciberterrorista Script kiddies Desarrolladores de virus
    Prof. Wlmer Pereira

    Phreakers Crackers Atacante interno


    Universidad Catlica Andrs Bello

    Universidad Simn Bolvar

    Fases de una Auditora o Ataque


    El atacante o auditor del sistema: Reconocimiento general: Recoleccin de datos por Internet (whois) Revisin del sistema atacado Enumeracin de servicios (nmap) Vulneracin del sistema: Comprometer el sistema, servicios o programas Escalar los privilegios Mantener el control (troyanos) Eliminacin y transferencia: Borrado de rastros manteniendo el control Busqueda de otras mquinas a partir de la atacada

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Pginas de interes ...


    Auditora y hacking benfico: http://www.phrack.org (volumen 11, nmero 59: Antiforense ...) http://www.insecuremag.com http://www.cgisecurity.com Herramientas forenses: Encase: Forensic toolkit: Winhex: Sleuth Kit: http://www.encase.com/products/ef_index.asp http://www.accessdata.com/products/utk http://www.x-ways.net/forensic/index-m.html http://www.sleuthkit.org (open source)

    Universidad Simn Bolvar

    Prof. Wlmer Pereira

    Universidad Catlica Andrs Bello

    Administrador ...
    Responsable del buen desempeo del sistema operativo, la seguridad, la red, las aplicaciones instaladas, los programas de clientes, la base de datos ...

    Los roles pueden estar separados dependiendo de la talla de la institucin. Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas. Se requiere capacidad tcnica y experiencia. No basta que funcione debe ser de manera confiable ... La transparencia que ofrece el modelo Web, facilita el desarrollo de aplicaciones pero es un modelo ms vulnerable. La auditora y logs son vitales para el buen funcionamiento de los sistemas
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Herramientas de prevencin
    Redes Privadas Virtuales (VPN) Cliente/Red o Red/Red Transparentes o no Transparentes Firewall Tipos: Red, Aplicacin o Kernel Polticas: por defecto todo permitido o todo prohibido Sistemas de deteccin de intrusos (IDS) Mquina Verificador de integridad Monitor de registros o histricos Honey Pot Red Deteccin de uso indebido Deteccin por anomalas
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Investigador ...
    Identificacin -- Inicio de la cadena de custodio Preservacin Integridad de la evidencia fsica y digital Anlisis Revisin exhaustiva de la evidencia Presentacin Informe lo menos tcnico posible. Certificaciones: IACIS: Programas de certificacin forense CFCE HTCN, IISFA, ISFCE, etc ...
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Competencia simulacin de juicio


    Grupo interdisciplinario de estudiantes de informtica, derecho y comunicacin social Cada universidad conforma 5 equipos: fiscala, peritos de la fiscala, defensa, peritos de la defensa y comunicadores sociales Varias universidades, con sus equipos, conforman juicios simultaneos donde se desarrolla el mismo caso Slo el juez ser un actor externo, de hecho jueces en ejercicio o jubilados Cada equipo es puntuado por evaluadores externos y se suman los puntos de los 5 equipos de cada universidad. La que obtenga mayor puntuacin es la universidad ganadora
    Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

    Das könnte Ihnen auch gefallen