Beruflich Dokumente
Kultur Dokumente
Marzo de 2011
GSyC - 2011
c 2011 GSyC Algunos derechos reservados. Este trabajo se distribuye bajo la licencia Creative Commons Attribution Share-Alike 3.0
GSyC - 2011
Convenciones empleadas
En espaol, la conjuncin disyuntiva o tiene dos signicados n o opuestos Diferencia, separacin, trminos contrapuestos o e carne o pescado, blanco o negro Equivalencia alquiler o arrendamiento, arreglar o reparar Para evitar esta ambigedad, usaremos dos siglas muy comunes en u ingls e Para indicar oposicin, versus, abreviada como vs o p.e. comprar vs alquilar Para indicar equivalencia, also known as, abreviado aka p.e. el rey aka el monarca
GSyC - 2011
Introduccin o
Introduccin o
Actualmente los ordenadores conectados a la red son omnipresentes: usuarios particulares, todo tipo de empresas, comercios, bancos, hospitales, organismos gubernamentales... Un ataque puede ser muy daino n Diversa motivacin de los atacantes o Diversin, reto personal o Vandalismo Robo de informacin buscando benecio o chantaje o Activismo pol tico Crimen organizado, terrorismo Espionaje Etc Los mayores riesgos provienen de empleados o ex-empleados
GSyC - 2011 Conceptos bsicos de seguridad a 4
Introduccin o
El resultado de un ataque puede ser Una prdida econmica directa e o Prdida de muchos otros activos, e
p.e. la imagen de la v ctima en un website defacement
Simplemente echar un vistazo causa un dao serio y compromete n un sistema Comprometer (2)Exponer o poner a riesgo a alguien o algo en una accin o o caso aventurado
GSyC - 2011
Hackers
Hackers
Hack en ingls ordinario, signica cortar en rodajas, cortar en e tajos, trocear, desbrozar... A partir de los aos 60, en informtica, se le da el signicado n a de truco: usar, congurar o programar un sistema para ser usado de forma distinta a la esperada habitualmente Hacker signica, entre otras cosas, una persona que se cuela en un ordenador o red de ordenadores. Es una palabra que no tiene una denicin universalmente aceptada o
En el lenguaje, prensa y medios generalistas, hacker suele tener connotacciones negativas En la comunidad especializada, para una persona que comete delitos se emplea el trmino cracker e
GSyC - 2011
Hackers
A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming A person capable of appreciating hack value A person who is good at programming quickly An expert at a particular program, or one who frequently does work using it or on it; as in a Unix hacker An expert or enthusiast of any kind. One might be an astronomy hacker, for example One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations. (deprecated) A malicious meddler who tries to discover sensitive information by poking around. Hence password hacker, network hacker. The correct term for this sense is cracker
3 4 5
Hackers
Segn su motivacin u o White hat hacker. Motivacin leg o tima, hacking tico. Prueba e su propio sistema o el de otro, por el que est contratado, con a autorizacin previa expl o cita
Red team: Atacantes Blue team: Defensores
Grey hat hacker. Invade un sistema sin autorizacin del o responsable, notica posteriormente que ha podido burlar la seguridad. Tal vez solicite una cantidad de dinero razonable Black hat hacker. Cracker. Delincuente. Actividades de vandalismo, fraude, robo de identidad, pirater a...
GSyC - 2011
Hackers
Segn su nivel de conocimientos, en los extremos estn u a Elite: Minor ms avanzada que es capaz de descubrir a a tcnicas nuevas e Neophyte, noob, newbie: principiante Lamer: persona que alardea de habilidades de las que carece, con falta de capacidad y de conocimiento. A pesar de tener experiencia Script kiddie: principiante que no sabe lo que hace, usa ciegamente aplicaciones desarrolladas por otros sin comprenderlas ni saber adaptarse a un m nimo cambio
GSyC - 2011
Hackers
Otros trminos relativos a personas e BOFH: bastard Operator From Hell (infame administrador del demonio). Personaje de los libros de S.Travaglia. Por extensin, administrador de sistemas autoritario o Luser (loser+user). Usuario ordinario (despectivo) Spammer: persona que env correo basura a Phreaker: usuario con conocimientos avanzados sobre las redes de telefon que puede llegar a hacer actividades a, no autorizadas
GSyC - 2011
10
Hackers
Principio de Kerckhos
Principio de Kerckhos: Los algoritmos deben ser pblicos; slo las u o claves deben ser son secretas
Rogues knew a good deal about lock-picking long before locksmiths discussed it among themselves. If a lock is not so inviolable as it has hitherto been deemed to be, surely it is to the interest of honest persons to know this fact, and the spread of the knowledge is necessary to give fair play to those who might suer by ignorance A.C.Hobbs, 1853 El sistema no debe depender del secreto y debe poder ser robado por el enemigo sin causar problemas A. Kerckhos, 1883
GSyC - 2011
11
Hackers
Security through obscurity (Seguridad mediante la oscuridad) Security by design Disear desde el principio cada elemento del sistema para ser n seguro
Conar solamente en (1) es sin duda una mala idea. En general se preere solamente (2). Aunque en ocasiones se deende (2) complementado con (1)
GSyC - 2011
12
Hackers
Una vez descubierta una vulnerabilidad, un hacker (sombrero gris o blanco) puede aplicar varias pol ticas para revelarla Full disclosure. (Divulgacin masiva) o Responsible disclosure (Revelacin responsable) o Security through obscurity (Seguridad mediante la oscuridad)
GSyC - 2011
13
Conceptos bsicos a
GSyC - 2011
14
Conceptos bsicos a
Para ISO-7498/OSI Seguridad informtica: mecanismos que minimizan la a vulnerabilidad de bienes y recursos Bien: algo de valor Vulnerabilidad: debilidad que se puede explotar para violar un sistema o la informacin que contiene. o
GSyC - 2011
15
Conceptos bsicos a
Seguridad:Soluciones tcnicas e
Nivel f sico: Proteger el cable de escuchas y si no hay cable? Nivel de enlace: Cifrar al enviar y descifrar al recibir Nivel de red: IPsec, cifrado en IPv6. Cortafuegos Nivel de transporte: Cifrado de conexiones. SSL Pero no solo hay fallos de seguridad tcnicos, sino humanos, e relativos a ingenier social a
GSyC - 2011
16
Conceptos bsicos a
Tipos de seguridad
Condencialidad/secreto Solo las personas autorizadas tienen acceso a leer (y por tanto copiar) la informacin o Integridad de los datos Solo las personas autorizadas pueden modicar datos o programas. En disco, backup, papel... Disponibilidad Los servicios deben estar disponibles de la forma prevista Es posible la integridad sin condencialidad? Es posible la condencialidad sin integridad?
GSyC - 2011
17
Conceptos bsicos a
Consistencia El sistema debe comportarse correctamente, de la forma esperada Control/auditor a Posibilidad de saber quin ha accedido a qu recurso, cundo e e a y cmo o
GSyC - 2011
18
Conceptos bsicos a
No repudio Mecanismo que impide que las entidades que participan en una comunicacin nieguen haberlo hecho o
No repudio con prueba de origen No repudio con prueba de destino
Conceptos bsicos a
Identicacin o La entidad indica su identidad Autenticacin aka acreditacin o o El sistema comprueba que la identidad puede ser considerada cierta Autorizacin o El sistema consulta en un ACL, access control list qu puede e hacer esa entidad con ese objeto Es posible un sistema con autenticacin pero sin mecanismo de o autorizacin? o Es posible la autorizacin (basada en identidad) sin un o mecanismo de autenticacin? o
GSyC - 2011
20
Conceptos bsicos a
Autenticacin o
Tres categor combinables as, Sistemas basados en algo que se conoce Sistemas basados en algo que se posee Sistemas basados en caracter stica o acto del usuario
GSyC - 2011
21
Conceptos bsicos a
Para ser viable, un sistema de autenticacin debe o Ser able, con probabilidad muy elevada Nunca puede haber certeza absoluta sobre la identidad. Se establecen unas pruebas y se considera que, de superarse, se puede proceder
Baja tasa de falsos positivos Baja tasa de falsos negativos
GSyC - 2011
22
Conceptos bsicos a
GSyC - 2011
23
Conceptos bsicos a
Control de acceso basado en capabilities Enfoque basado en tokens de autoridad, autorizan a acceder a cierto recurso con ciertos derechos, sin atender a la identidad
Se puede aadir identicacin y autenticacin para facilitar la n o o auditor pero la identidad no es la base del control de acceso a,
GSyC - 2011
24
Conceptos bsicos a
Control de acceso
Basado en identidad
Basado en capabilities
GSyC - 2011
25
Conceptos bsicos a
Tipos de ataque
GSyC - 2011
26
Conceptos bsicos a
Sistema de reto-respuesta
Mtodos basados en el intercambio de mensajes e Un reto es un nounce, un valor que solamente se usa una vez para un propsito o A A ---E(R)---> <----R---B B
Si A env un reto cifrado a B y B es capaz de devolverlo en a claro (o con otro cifrado), B demuestra a A que conoce el secreto Pero B no revela el secreto
GSyC - 2011
27
Criptograf a
Principios criptogrcos a
Criptolog = criptograf (inventar cdigos) + criptoanlisis a a o a (atacarlos) La garant de la integridad est basada en algn mecanismo a a u con redundancia, que evite que una modicacin de los o mismos resulte en otro mensaje vlido. a Es habitual la inclusin de marcas de tiempo (hora lgica vs o o hora f sica) como defensa ante los ataques por retransmisin o
GSyC - 2011
28
Criptograf a
La misma clave que cifra, descifra Muchos algoritmos: DES (obsoleto), triple DES, AES (o Rijndael). Ocial gobierno EEUU desde 2001), twosh, etc etc Problemas
Haces falta muchas claves: una por cada pareja de posibles comunicantes Cmo transmitir las claves de forma segura? o
GSyC - 2011
29
Criptograf a
GSyC - 2011
30
Criptograf a
Kerberos usa el protocolo de autenticacin Needham-Schroeder o Alice y Bob conf en un servidor, con el que comparten una an clave privada Alice se autentica con el Servidor empleando una clave privada El servidor le da a Alice un ticket cifrado con la clave privada de B, con una con clave de sesin y marca de hora, o Alice env a Bob el ticket a Alice y Bob intercambian mensajes con la clave de sesin o
GSyC - 2011
31
Criptograf a
Inconvenientes de Kerberos
El servidor es un punto unico de fallo: necesita estar continuamente disponible Requiere una sincronizacin estricta de los relojes para evitar o ataques por repeticin o
GSyC - 2011
32
Criptograf a
Aparece con el algoritmo Die-Hellman, ao 1976 n Clave de cifrado o pblica E y de descifrado o privada D u distintas (asimtricas) e D(E (P)) = P Muy dicil romper el sistema (p.e. obtener D) teniendo E . Permite intercambiar claves por canal no seguro La clave privada sirve para descifrar. Debe mantenerse en secreto La clave pblica sirve para cifrar. Puede conocerla todo el u mundo (lo importante es que se conozca la clave correcta)
GSyC - 2011
33
Criptograf a
Conociendo la clave pblica de alguien, podemos cifrar un u mensaje que solo l, con su clave privada, podr descifrar e a Los algoritmos de clave pblica son mucho ms lentos que los u a de clave secreta (100 a 1000 veces). Por eso se suelen usar slo para el intercambio de claves simtricas de sesin o e o
GSyC - 2011
34
Criptograf a
RSA
De Rivest, Shamir y Adleman, ao 1978 n Algorimo de clave pblica, muy extendido u Adems de cifrar, sirve para rmar a
GSyC - 2011
35
Criptograf a
1,2: A obtiene la clave pblica de B u 3: A enva su remite y un reto cifrados con la clave de B 4,5: B obtiene la clave pblica de A u 6: B cifra, con la clave de A: el reto de A, un reto nuevo y una clave simtrica e 7: A enva el reto de B con la clave simtrica, que se emplear en la e a sesin o
GSyC - 2011
36
Criptograf a
Funcin hash o
Funcin hash o
Tcnica bsica para garantizar integridad de un mensaje e a
hash: a mess, jumble, or muddled. to chop into small pieces; make into hash; mince. to muddle or mess up.
Funcin que, a partir de un bloque arbitrario de datos o (message), genera de forma determinista un valor hash, aka message digest, aka digest. Este valor hash identica de forma prcticamente un a voca al mensaje, de forma que un cambio en el mensaje, aunque sea pequeo, provoque un cambio en el valor hash n Es posible que dos mensajes distintos generen el mismo valor hash, aunque muy dif cil
koji@mazinger:~$ md5sum ubuntu-10.10-desktop-i386.iso 59d15a16ce90c8ee97fa7c211b7673a8 ubuntu-10.10-desktop-i386.iso
GSyC - 2011 Conceptos bsicos de seguridad a 37
Criptograf a
Funcin hash o
Funcin hash ideal: o Fcil de generar a Muy dif generar el mensaje a partir del hash cil Muy dif modicar el mensaje manteniendo el hash cil Muy dif encontrar dos mensajes con el mismo hash cil Ejemplos de funciones hash: MD5, SHA-1
GSyC - 2011
38
Criptograf a
Firmas digitales
Firmas digitales
Algoritmos como RSA tienen la propiedad de que tambin e puede usarse la clave privada para cifrar y la pblica para u descifrar E (D(P)) = P A partir de un mensaje, se genera un digest El cdigo se encripta con la clave privada y se transmite junto o con el mensaje El receptor
Descifra el mensaje con la clave pblica del emisor u Genera de nuevo el cdigo hash o Si el cdigo hash de la rma y del mensaje coinciden, el o mensaje solo puedo enviarlo el origen
GSyC - 2011
39
Criptograf a
Firmas digitales
Firma digital
Adems de la rma manuscrita tradicional, en Espaa (ley a n 59/2003) y muchos otros paises puede emplearse una rma digital, con el mismo valor legal Permite enviar un mensaje rmado, esto es, con autenticacin, o integridad y no repudio Requisitos Generacin fcil o a No rechazable Unica: solo su propietario puede generarlo Fcilmente vericable por propietario y receptores a Depender del mensaje y del autor Inclusin de sello de tiempo o Revocacin del certicado por el rmante o Ms o menos seguro que la rma tradicional? a
GSyC - 2011 Conceptos bsicos de seguridad a 40
Criptograf a
Firmas digitales
GSyC - 2011
41
Criptograf a
Herramientas de cifrado
Herramientas de cifrado
Los algoritmos de cifrado tal y como los denen los matemticos no suelen ser prcticos para el administrador o a a usuario nal A partir de los algoritmos (normalmente unos pocos) se desarrollan diversas implementaciones, librer aplicaciones, as, protocolos
GSyC - 2011
42
Criptograf a
Herramientas de cifrado
PGP
PGP: Pretty Good Privacy Philip Zimmermann, ao 1991 n Implementacin de RSA muy popular o Claves de al menos 128 bits Base de estndar OpenPGP RFC 1991 (ao 1996), RFC 5581 a n (Ao 2009) n En la actualidad es ms habitual emplear GPG (GNU Privacy a Guard), implementacin de OpenPGP alternativa a PGP o
Diversos front-ends: Gpg4win para Windows, Seahorse para GNOME, KGPG para KDE, Mac GPG para Mac OS, Enigform para Firefox...
Criptograf a
Herramientas de cifrado
Cifrado de particiones
En ocasiones resulta ms conveniente cifrar particiones completas a del disco duro eCryptfs Sistema de cheros cifrado, compatible con la norma POSIX. Habitual en Linux Encrypting File System Nativo en Microsoft Windows FileVault Nativo en Mac OS TrueCrypt Disponible para Windows, Linux, Mac OS. Uso sencillo, potente, muy popular. Cdigo fuente disponible con licencia o gratuita no libre Basados en AES, Triple DES o similares
GSyC - 2011 Conceptos bsicos de seguridad a 44
Criptograf a
DRM
DRM
Buena parte del trco en internet corresponde a las redes p2p y a a las descargas directas A su vez, una buena parte de este (pero no todo) se corresponde con contenidos protegidos por Copyright DRM: Digital rights management Sistema de control de acceso a contenidos digitales (msica, u v deo, juegos y libros) para evitar que sean utilizado en formas no permitidas por el distribuidor Desde el siglo XVIII se reconoce a los autores los derechos sobre su creacin intelectual. El DRM busca la proteccin de o o estos derechos Basado en criptograf a
GSyC - 2011
45
Criptograf a
DRM
La industria de contenidos dice: La copia es un delito El DRM benecia al usuario, ya que si el autor no recibe compensacin, no habr creacin o a o Miguel de Cervantes dice:
No hagas muchas pragmticas; y si las hicieres, procura que sean buenas, y, a sobre todo, que se guarden y cumplan; que las pragmticas que no se guardan, a lo mismo es que si no lo fuesen; antes dan a entender que el pr ncipe que tuvo discrecin y autoridad para hacerlas, no tuvo valor para hacer que se guardasen; o y las leyes que atemorizan y no se ejecutan, vienen a ser como la viga, rey de las ranas: que al principio las espant, y con el tiempo la menospreciaron y se o subieron sobre ella.
GSyC - 2011
46
Criptograf a
DRM
Criptograf relativamente vulnerable, puesto que el atacante a t picamente tambin es usuario leg e timo, y tiene acceso a un dispositivo con todas las claves. Aunque estas claves tengan cierta proteccin o Frecuentemente implementado en hardware no actualizable El usuario nal con equipos domsticos no podr copiar el e a contenido, pero equipos capaces de trabajar a bajo nivel probablemente s podrn a Cualquier material (excepto el interactivo) es vulnerable al agujero analgico o
GSyC - 2011
47
Criptograf a
DRM
Es frecuente que el DRM Resulte incmodo o Impida usos legales de los contenidos Conlleve prdida del acceso, por obsolescencia e
GSyC - 2011
48
Malware
Malware
Malware: Malicious software Software malitencionado, hostil, intrusivo, molesto. No confundir con software defectuoso Atendiendo principalmente a su forma de propagacin, se o habla de: virus, gusanos, troyanos, spyware, adware deshonesto
En el lenguaje no especializado se suele usar la palabra virus para nombrar genricamente a todo el malware e
Independientemente de su forma de propagacin, el software o malicioso puede realizar diferente actividad daina. n Esta actividad la realiza una parte de cada aplicacin o maliciosa, la carga (payload)
GSyC - 2011
49
Malware
Virus, gusanos y troyanos pueden llevar prcticamente a cualquier carga El spyware suele llevar una carga que realiza acciones similares El adware suele llevar una carga que realiza acciones similares Entre la carga ms habitual del malware: a Puertas traseras, rootkits, inclusin en Botnets, keyloggers y o fraudulent dialers Otras actividades delictivas realizadas en redes de ordenadores, realizadas fundamentalmente mediante ingenier social: a Spamming y phising
GSyC - 2011
50
Malware
Motivacin o
Las aplicaciones maliciosas se desarrollan por diferente motivacin o Diversin, prueba de una idea, vandalismo, sabotaje, benecio o econmico, extorsin, o incluso, antiguamente, ser o o bienintencionados Se conocen casos de malware probablemente escrito por desarrolladores de antivirus y por desarrolladores de aplicaciones comerciales (para desincentivar el uso de aplicaciones obtenidas ilegalmente)
GSyC - 2011
51
Malware
El malware puede tener objetivos Muy espec cos. P.e. Sabotaje de gaseoducto en Siberia en 1982 Virus Stuxnet en 2010 Muy amplios P.e. Botnet BredoLab, ao 2010 n
GSyC - 2011
52
Malware
Tipos de malware
Virus informtico a
Programa malicioso que es capaz de copiarse a s mismo en otro chero. Para transmitirse a otro ordenador, es necesario que el usuario copie el chero, mediante la red o mediante un dispositivo de almacenamiento Como todo el malware, puede llevar diversa carga Virus no residente Virus residente
GSyC - 2011
53
Malware
Tipos de malware
Un virus puede infectar Binarios Scripts o similares (p.e. autorun.inf) Sectores de arranque de discos, disquetes, pendrives... Documentos con macros: procesadores de texto, hojas de clculo a Ficheros de conguracin de pginas web, escrito por clientes o a web Cualquier otro chero, aprovechando vulnerabilidades de desbordamiento de bfer o condiciones de carrera u
GSyC - 2011
54
Malware
Tipos de malware
Gusano
Gusano informtico, iWorm a Programa malicioso capaz de replicarse a travs de la red, usando e esta activamente No necesita la intervencin del usuario para su replicacin o o No necesita vincularse a ningn programa o chero. u Suele detectarse por un aumento de consumo de recursos
GSyC - 2011
55
Malware
Tipos de malware
Troyano
Malware incluido en un programa, que realiza alguna tarea leg tima, pero adicionalmente incluye una carga maliciosa. No se propaga por s mismo Puede llevar prcticamente cualquier carga, tal vez lo ms a a frecuente en la actualidad es la instalacin de una puerta o trasera para que la v ctima forme parte de una botnet El usuario puede obtenerlos de redes p2p, sitios web poco ables, por correo, mensajer instantnea,etc a a
GSyC - 2011
56
Malware
Tipos de malware
Spyware
Tipo de malware que no se propaga por s mismo y viene incluido en una aplicacin util para el usuario (parecido en o esto a un troyano) La carga siempre es similar: captura informacin del usuario o (pginas web visitadas, aplicaciones empleadas, correos de a contactos) y la transmite a un servidor. Hecho por empresa no oculta. Supuestamente notica al usuario de su actividad, en los EULA (End user license agreement), de legalidad variable. Herramienta de marketing: si no eres el cliente, eres el producto
GSyC - 2011
57
Malware
Tipos de malware
En ocasiones se usa la palabra spyware para nombrar una cosa distinta: Carga abiertamente delectiva incluida en un virus, gusano o troyano, que roba informacin muy sensible del usuario: o nmeros de tarjeta de crdito, contraseas, cuentas bancarias, u e n etc
GSyC - 2011
58
Malware
Tipos de malware
Adware deshonesto
El adware (advertising-supported software), en s mismo, es perfectamente leg timo Pero puede llegar a ser malware, p.e. secuestrando el navegador (browser hijacking): alterando pgina de inicio, a marcadores, mostrando ventanas emergentes, etc
Benecio econmico directo para el atacante o Normalmente prohibido por los trminos del anunciante o e plataforma de publicidad (Google AdWords, Yahoo! Search Marketing, etc)
GSyC - 2011
59
Malware
Carga
La carga del software malicioso puede realizar diferentes actividades perniciosas Destruir cheros, corromper el sistema de cheros Vandalizar pginas web (defacement) a Convertir el ordenador en un zombi, desde el que
Realizar otros ataques (ocultando la identidad del atacante) Enviar spam Realizar DOS o DDOS [distributed] denial of service attack
En ocasiones el DDoS no proviene de un ataque intencionado: efecto slashdot, VIPDoS, similitud con direccin popular (p.e. o utube.com), clientes NTP mal congurados (D-Link, Netgear) En ocasiones el DDOS se realiza con el consentimento del propietario del equipo (como el ataque a Visa y Paypal en 2010 en represalia a su pol tica contra WikiLeaks)
GSyC - 2011
60
Malware
Backdoor
Mtodo para evitar los procedimientos de autenticacin e o ordinarios Puede instalarse en una aplicacin, en hardware, en un o compilador... Casi imposible en software libre En ocasiones lo instala el creador del sistema como un huevo de pascua, pero luego es explotado por un atacante
Simtrico: cualquiera puede explotarlo e Asimtrico: solo el creador del backdoor puede utilizarlo e
GSyC - 2011
61
Malware
Rootkit
Originalmente, conjunto de herramientas para que un atacante humano consiguiera y mantuviera privilegios de root en una mquina Unix a
Tcnicas clsicas: basadas en SUID, vulnerabilidad del PATH o e a incluso alias
Actualmente se le da un signicado ms amplio: software que a permite el acceso privilegiado al sistema, ocultandose activamente
P.e. modicando el comportamiento de ls y p (o sus equivalentes) Incluso puede luchar activamente contra la eliminacin o Un rootkit inactivo equivale a un virus, gusano o troyano
Primeros rootkit: Un atacante consigue privilegios de root en un sistema, instala un rootkit que deja una puerta trasera, y adems la oculta a
GSyC - 2011 Conceptos bsicos de seguridad a 62
Malware
Caso peculiar y muy famoso: Escndalo del rootkit XCP de Sony a BMG (ao 2005) n En ocasiones es el propio usuario quien instala un rootkit para: Evitar protecciones anti-copia Evitar el control de licencias de software Evitar ser detectados haciendo trampa en juegos online Mecanismos anti-robo
GSyC - 2011
63
Malware
Botnet
Red de ordenadores zombi. Conjunto de equipos que, sin autorizacin de su propietario, realizan actividades maliciosas o Controlados por un bot herder aka bot master La forma t pica de dar las rdenes es mediante un bot de irc o Es frecuente que el bot master alquile su red a terceros
GSyC - 2011
64
Malware
Keyloggers
Mecanismo por el que se capturan las pulsaciones sobre el teclado Pueden colocarse En el SO: ncleo, drivers de teclado u Formularios web Captura de telnet o similar Firmware Dispositivos f sicos en el teclado
GSyC - 2011
65
Malware
Tambin pueden funcionar mediante e Captura ptica o Criptoanlisis acstico a u Captura de radiacin electromagntica (de un teclado o e cableado) Pueden incluir funcionalidad adicional Captura de pantalla Captura de webcam o micrfono o
GSyC - 2011
66
Malware
Fraudulent dialer
Sin el consentimiento del usuario, hace una llamada telefnica o A nmeros de pago u Para formar botnet o similar En ocasiones, pueden tener el consentimiento del usuario, a quien engaan n En desuso cuando aparece la banda ancha
GSyC - 2011
67
Malware
Formacin de los usuarios o No ejecucin de programas de fuente dudosa o Precaucin con pendrives y similares, especialmente en el o arranque Uso de cortafuegos Uso de software antivirus (actualizado) Uso de IDS (Instrusion Detection System) Las plataformas de uso mayoritario suelen presentar mayor riesgo
GSyC - 2011
68
Malware
Honeypots
Un honeypot (seuelo) es un ordenador conectado a la red como n trampa para estudiar el comportamiento de los atacantes Honeypot para produccin, en el interior de un sistema real o Honeypot de investigacin, para conocer nuevas tcnicas o e
GSyC - 2011
69
Algunos ataques se basan no tanto en hardware y software (que tambin) sino en ingenier social: engaar a una persona e a n Obviamente, la formacin del usuario es especialmente o importante Algunos de ellos son simples timos con siglos de historia, adaptados a internet Veremos spam y phising
GSyC - 2011
70
Spam
Spam
Env indiscriminado de mensajes no solicitados o No solo en correo electrnico: tambin en mensajer o e a instantnea, grupos de news, blogs, wikis, sms, telefon IP, a a fax Originalmente, SPAM es una marca de carne de cerdo en lata. Toma el signicado actual a partir de un sketch de los Monty Python Es legal en ciertos casos, dependiendo de las legislaciones
GSyC - 2011
71
Spam
El spam puede anunciar productos o servicios reales (sean legales o ilegales), aunque en su gran mayoria se trata de estafas, cartas nigerianas, phising, etc Se estima que el volumen de spam en el correo actualmente es superior al 90 %, 95 % o incluso 97 % Los spammers obtienen las direcciones procesando masivamente pginas web (propias o ajenas), cadenas de a correo, directorios, fuerza bruta o mediante ingenier social a Los mensajes suelen ofuscar su contenido, para dicultar su deteccin por parte de los ltros o
GSyC - 2011
72
Spam
Cadenas de correo
Reenv esto a 20 amigos o tendrs 20 aos de mala suerte a a n Annimos e intemporales, para que duren o Tambin pueden estar aparentemente bienintencionados (aviso de e virus, actividad criminal) Puede ser ms o menos daino, pero es un tipo de spam. a n Debemos formar a nuestros usuarios para que no las sigan. Nunca. No es posible determinar su autenticidad Se emplean para conseguir direcciones de correo Frecuentemente incluyen bulos (hoax) Pueden incluir falsos avisos de virus
jdbgmgr.exe, virus del osito
No es cierto que Coca Cola dar un cntimo a los nios a e n pobres de Uganda por cada correo reenviado
Adems cmo podr saberlo? a o a
En las contadas ocasiones en que el hecho es cierto, la situacin puede haber cambiado, pero la cadena sigue o
GSyC - 2011 Conceptos bsicos de seguridad a 73
Spam
Queda prohibido el env de comunicaciones publicitarias o promocionales por o correo electrnico u otro medio de comunicacin electrnica equivalente que o o o previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Lo dispuesto en el apartado anterior no ser de aplicacin cuando exista una a o relacin contractual previa, siempre que el prestador hubiera obtenido de forma o l cita los datos de contacto del destinatario y los empleara para el env de o comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratacin o con el cliente.
En todo caso, el prestador deber ofrecer al destinatario la posibilidad de oponerse al a tratamiento de sus datos con nes promocionales mediante un procedimiento sencillo gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Spam
CAPTCHA
CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart En la actualidad, cualquier blog, wiki, formulario etc donde sea sencillo escribir se llenar rpidamente de Spam, a menos que se a a proteja con algo como un CAPTCHA Texto o audio deformado de forma que solo puede ser reconocido por una persona, no por un programa Problemtico para personas con deciencia visual a El CAPTCHA es vulnerable a Mejoras en los OCR Defectos en la implementacin que permitan puentearlo o Su resolucin por verdaderos humanos o
Pagados, en paises de muy baja renta Engaados n
GSyC - 2011 Conceptos bsicos de seguridad a 75
Spam
Tcnicas anti-spam e
Son preferibles los falsos negativos antes que los falsos positivos El usuario debe evitar publicar su correo de forma capturable por los spammers
Usando imgenes a Alterando el correo de forma legible por un humano. es mejor juan.perez@empresa.QUITAESTO.com que juan.perez.QUITAESTO@empresa.com Mejor an: u juan.perez [arroba] empresa [punto] com juan.perez [at] empresa [dot] com
Spam
Filtro reto-respuesta (challenge-response spam ltering) Tcnica anti-spam que solicita al origen de correo dudoso una e conrmacin (reenv respuesta a pregunta, CAPTCHA) o o, Muy controvertida:
Si el origen del spam es falso, se molesta a un usuario leg timo Puede verse como mala educacin con el emisor o Muy problemtico con emisores no humanos, leg a timos
GSyC - 2011
77
Spam
Listas grises Los correos dudosos se retrasan unas horas Tcnica bastante ecaz e Filtros bayesianos Anlisis estadistico del contenido, basado en aprendizaje a a partir de ejemplos Tcnica bastante ecaz e
GSyC - 2011
78
Spam
Tcnicas Anti-Spam propuestas para el futuro e Autenticacin del emisor o Sistemas basados en coste
GSyC - 2011
79
Phising
Phising
Actividad delictiva consistente en capturar informacin o especialmente sensible como nombres de usuario, contraseas y n nmeros de tarjeta de crdito u e Basado fundamentalmente en ingenier social (e-mail o a mensajer instantnea) a a Suplantacin de pginas web de proveedores de correo, o a entidades nancieras etc Frecuentemente basado en la manipulacin de enlaces html o
GSyC - 2011
80
Phising
Cartas nigerianas
El timador Solicita ayuda para supuestamente sacar fondos del pais Solicita ayuda para pagar una anza (spanish prisioner, letter from Jerusalem. s. XVIII) Comunica un supuesto premio de loteria o herencia Compra un art culo subastado y falsica su pago Finje una relacin amorosa (romance scam) o Se hace pasar por una ONG y pide donativos para alguna causa Ofrece mercanc alquiler o empleo a,
Tal vez por ebay
En ocasiones la v ctima acaba secuestrada o asesinada Scamb baiting: anzuelos para timadores
GSyC - 2011 Conceptos bsicos de seguridad a 81
Phising
El timador ofrece enviar un dinero que la v ctima debe reenviar, guardando una comisin o El dinero puede ser real (para borrar el rastro de otras actividades, o emplear cuantas bancarias respetables) O puede ser dinero proveniente de cheque sin fondos o similar: gura en la cuenta, pero luego no se consolida
GSyC - 2011
82
Los ataques descritos en todo este tema pueden emplear innidad de tcnicas distintas e A t tulo ilustrativo veremos algunos ejemplos: Manipulacin de enlaces, ataques basados en SUID, ataques o por variables inseguras como PATH, IP spoong, ARP spoong, DNS spoong, mail spoong, le-sharing network spoong y desbordamiento de buer
GSyC - 2011
83
Manipulacin de enlaces o
Manipulacin de enlaces o
Un enlace en HTML est compuesto de: a URL: Uniform resource locator Pgina que abrir el navegador cuando el usuario haga clic a a p.e: http://www.urjc.es Texto del enlace p.e. Pgina web de la URJC a El uso t pico es este:
<a href="http://www.urjc.es">Pgina web de la URJC</a> a
Cualquier navegador moderno advertir al usuario de que este a enlace es peligroso, pero hay tcnicas similares, ms avanzadas e a
GSyC - 2011 Conceptos bsicos de seguridad a 84
Manipulacin de enlaces o
Otro engao n
<a href="http://www.urjc.es.jx4237.tk">Pgina de la URJC</a> a
GSyC - 2011
85
Pero en ocasiones deseamos que el proceso se ejecute con los permisos del dueo del ejecutable, no del usuario que lo invoca n Esto se consigue activando el bit SUID (set user id) chmod u+s fichero chmod u-s fichero En un listado detallado aparece una s en lugar de la x del dueo (o una S si no hab x) n a El bit SUID permite que ciertos usuarios modiquen un chero, pero no de cualquier manera sino a travs de cierto e ejecutable
-rwsr-xr-x 1 root root 29104 2008-12-08 10:14 /usr/bin/passwd -rw-r--r-- 1 root root 1495 2009-03-23 19:56 /etc/passwd
GSyC - 2011
87
El bit SUID tambin puede ser un problema de seguridad. Una e shell con el SUID activo, es un rootkit En el caso de los scripts, lo que se ejecuta no es el chero con el script, sino el intrprete e Un intrprete con bit SUID es muy peligroso, normalmente la e activacin del SUID en un script no tiene efecto o Para buscar cheros con SUID activo: find / -perm +4000 El bit SGID es anlogo, cambia el GID a chmod g+s fichero
GSyC - 2011
88
pero obtiene
bash: holamundo: orden no encontrada
GSyC - 2011
89
Problema resuelto?
koji@mazinger:~/pruebas$ ls -l total 4 -rwxr-xr-x 1 koji koji 27 2009-10-07 19:02 holamundo
GSyC - 2011
90
Problema 2 Aunque el chero est en el directorio actual (directorio punto), la a shell no lo buscar all sino donde indique la variable de entorno a , PATH, que contiene una lista de directorios, separados por el carcter dos puntos a
koji@mazinger:~/pruebas$ echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
Lo buscar en /usr/local/sbin a Si no lo encuentra, lo buscar en /usr/local/bin a Si sigue sin encontrarlo, lo buscar en /usr/local/sbin a etc Pero no lo buscar en el directorio punto a
GSyC - 2011
91
Problema 2: Solucin 1 (recomendada) o Invocar el mandato indicando expl citamente que el chero est en a el directorio punto
koji@mazinger:~/pruebas$ ./holamundo hola mundo!
GSyC - 2011
92
Problema 2: Solucin 3 o Modicamos la variable de entorno PATH para aadir al nal el n directorio punto Como queremos que el cambio sea permanente, debemos modicar la variable en un chero de conguracin , por ejemplo ~/.bashrc o
export PATH=$PATH:.
El cambio no se produce de inmediato, sino cuando se ejecute de nuevo ~/.bashrc Al invocarlo expl citamente
koji@mazinger:~/pruebas$ source ~/.bashrc
GSyC - 2011
93
Problema 2: Solucin 4 Muy peligrosa! o Modicamos la variable de entorno PATH para aadir al principio n el directorio punto export PATH=.:$PATH Supongamos que un atacante escribe un script con el nombre ls y el contenido
#!/bin/bash rm -rf $HOME
Al escribir la orden ls en un directorio que contenga este chero, se ejecutar este script, y no /bin/ls a
GSyC - 2011
94
Spoong
IP spoong
spoof: literalmente parodia, burla, broma. En este contexto, suplantacin o IP spoong: El atacante falsica la direccin IP que consta como origen de o un datagrama El paquete no podr recibir respuesta, pero no es relevante, a suele usarse para enmascarar el origen de un ataque DOS Hay telescopios de internet que realizan backscatter analysis (mirar el trco devuelvo por la v a ctima), o monitorizacin de o la actividad de gusanos, capturando trco dirigido a rangos a de direcciones inexistentes
GSyC - 2011
95
Spoong
ARP Spoong
El atacante responde a una solicitud de ARP, mintiendo. Aunque haya respuestas leg timas, la v ctima suela quedarse con las falsas porque el atacante es ms insistente (respuestas gratuitas) a Hay motivos leg timos para ARP Spoong: registro de un cliente por motivos de facturacin o servicio redundante o transparente
GSyC - 2011
96
Pharming/DNS Spoong
Pharming/DNS Spoong
Ataque contra un servidor de DNS, un nombre de dominio se resuelve en una direccin IP falsa 2 o El atacante consigue alterar el cheros hosts de los clientes
%SystemRoot%\system32\drivers\etc\hosts (MS Windows) /etc/hosts (Linux) /private/etc/hosts (MacOS)
El atacante modica
El rmware del router inalmbrico domstico que sirve DNS a e Cualquier otro servidor de DNS (DNS cache poisoning)
Existe cierta controversia por los matices entre pharming y DNS spoong, aqui los consideraremos sinnimos o
GSyC - 2011 Conceptos bsicos de seguridad a 97
Pharming/DNS Spoong
Mail spoong Falsicacin del remite de un correo. Trivial, puesto que no o hay ninguna proteccin. Si bien, en la actualidad o
Un SMTP serio no har esto a Un SMTP de otro tipo pocas veces superar los ltros a anti-spam
GSyC - 2011
98
Desbordamiento de buer
Desbordamiento de buer
Un programa escribe datos en un buer pero, por error, sigue escribiendo mas all del l a mite, sobreescribiendo posiciones de memoria contiguas Caso t pico: char *strcpy(char *dest, const char *src); Solamente es posible en algunos lenguajes de programacin o Puede pasar cualquier cosa: si se escribe fuera de la zona de memoria protegida por el SSOO, produce excepcin y n del o programa Las arquitecturas ms habituales no tienen separacin entre a o memoria para datos y para programa, con lo que el atacante puede insertar cdigo o Si el programa tiene privilegios especiales, p.e. SUID, el riesgo aumenta
GSyC - 2011 Conceptos bsicos de seguridad a 99
Desbordamiento de buer
El programador tiene que ser muy cuidadoso Comprobar siempre que el tamao de la zona de destino sea n suciente Tener en cuenta que puede recibir una cadena incorrectamente terminada
strncpy(buf, str, n); if (n > 0) buf[n - 1]= \0;
etc
GSyC - 2011
100
GSyC - 2011
101
Tangibles: Ordenadores, equipos de comunicaciones y cableado, datos, backups, libros, software comprado, etc Intangibles: Salud e integridad f sica del persona, privacidad, contraseas, n reputacin, disponibilidad o No debemos limitar los activos al mbito de la red. P.e. una a contrasea es un activo, ya est en un chero con cifrado fuerte o n e en un post it
GSyC - 2011
102
Anlisis coste-benecio a
Procedimiento comn en muchas ingenier u as Calcular el coste de la prdida de un activo e Calcular la probabilidad de una prdida e Calcular el coste de la prevencin o Decidir con todo ello las medidas a tomar
GSyC - 2011
104
Best practices
El anlisis coste-benecio puede ser de utilidad, pero en el a mbito de las TIC es de dif aplicacin a cil o De forma complementaria/alternativa se desarrollan una serie de normas prcticas, recomendaciones, (rules of thumb), a relativamente universales y consensuadas por la comunidad de especialistas en seguridad: las best practices
GSyC - 2011
105
Best practices
Seguridad f sica: todo acceso f sico al equipo de red debe estar convenientemente protegido: acceso a estancias, armarios, llaves, etc Todas las aplicaciones, SSOO y drivers deben actualizarse con regularidad Todas las contraseas deben ser de calidad n El acceso remoto debe limitarse por usuario y por direccin IP o Avisos legales en pantallas de login, constancia de que las normas han sido comunicadas y aceptadas, etc Cierta monitorizacin de la actividad de los usuarios o Timeout adecuado para el cierre de sesiones por inactividad
GSyC - 2011
106
Best practices
Deshabilitacin de todos los servicios no necesarios o Trco inalmbrico encriptado correctamente a a Uso correcto de cortafuegos Uso correcto de antivirus (especialmente a la entrada de la red) Uso de VPN para trco que circule por redes pblicas a u Uso de VLAN si es necesario segregar servicios y/o usuarios dentro de la organizacin o Control de direccin IP/MAC por parte de los switches o Uso de versiones seguras de los protocolos. Actualizacin de o rutas, DNS, etc Mecanismos de auditor funcionando correctamente a Test de intrusin, preferentemente realizado por especialista o externo
GSyC - 2011 Conceptos bsicos de seguridad a 107
Las contraseas son un elemento fundamental en cualquier n mecanismo de autenticacin, su calidad es de vital importancia o Es imprescindible emplear palabras clave seguras, que no aparezcan en diccionarios, evitando nombres o fechas signicativas, combinando s mbolos, y de la mayor longitud posible. No solo nuestras contraseas deben ser seguras, tambin las n e de nuestros usuarios
Se pueden probar con password crackers, p.e. John the ripper Se puede revisar su calidad cuando el usuario las est deniendo a
GSyC - 2011
108
GSyC - 2011
109
Buenas contraseas n Esto ser buenas contraseas (si no estuvieran publicadas an n aqu )
Contrase~a Nemotcnico n e ---------------------------------------------------QuReMa: Queridos Reyes Magos: 3x4doze 3x4=doce 1pt,tp1 uno para todos,todos para uno lh10knpr le hare una oferta que no podr rechazar a 19dy500n 19 dias y 500 noches waliaYS we all live in a Yellow Submarine R,cmqht? Rascay, cuando mueras que hars t? u a u
GSyC - 2011
110
Es conveniente que busquemos e inutilicemos las contraseas n dbiles de nuestros usuarios, ya que suponen un primer punto e de entrada en nuestro sistema En Unix, el root no puede leer las contraseas. Pero en otros n entornos s Y muchos usuarios emplean siempre la misma . contrasea n Ejemplo:
1
Juan Torpe usa como contrasea dgj441iU en n juan.torpe@hotmail.com Juan Torpe se registra en www.politonosdebisbalgratis.com, con su cuenta de correo y su contrasea de siempre n El administrador malicioso de este web ya conoce el nombre de Juan, su cuenta de correo y su contrasea. n
Adems, puede usar la funcin contrasea olvidada? y colarse a o n en cualquier otra cuenta de Juan
Los usuarios sin duda olvidarn en ocasiones su contrasea y a n tendremos que generarles una nueva, de forma segura Pero es muy poco profesional que nosotros como administradores olvidemos una contrasea. Debemos usar n diferentes contraseas en diferentes servicios, y guardarlas de n forma medianamente segura (gpg, lastpass, etc)
GSyC - 2011
112
Antivirus
Antivirus
Antivirus: Software que detecta e inutiliza malware, al que puede reconocer por Su rma Su comportamiento El malware aprovecha vulnerabilidades. Es poco probable que el malware comprometa un sistema Con todas las actualizaciones al dia Con un cortafuegos bien congurado Donde el usuario solamente ejecuta software de origen able Un antivirus ofrece una proteccin adicional o Puede evitar propagacin aunque no haya contagio o Puede proteger contra algunos zero-day attacks (o no)
GSyC - 2011
113
Antivirus
Los antivirus no estn exentos de inconvenientes: a Penalizacin del rendimiento o Falsos positivos Falsa sensacin de seguridad o Pol tica de precios de renovacin poco clara o
GSyC - 2011
114
Monitorizacin de usuarios o
Siempre es necesario un cierto control de la actividad de los usuarios Aspecto espinoso, son necesarias muchas consideraciones ticas, legales, psicolgicas, etc e o
Extremo laxo, monte de organo: el usuario puede realizar e cualquier actividad, visitar cualquier web, instalar cualquier aplicacin ... o Extremo autoritario, ministerio de la verdad: el usuario tiene opciones muy limitadas y nula privacidad Segn nuestros requerimientos, debemos jar la pol u tica adecuada, que normalmente estar en algn punto intermedio a u
GSyC - 2011
115
Monitorizacin de usuarios o
Tcnicamente es trivial conocer e Qu aplicaciones ejecuta un usuario e Qu servicios usa e Qu pginas web consulta e a ...
GSyC - 2011
116
Monitorizacin de usuarios o
Un mismo aspecto se puede monitorizar en distintos niveles de profundidad, debemos cumplir los requerimientos de seguridad respetando todo lo posible la privacidad del usuario No es lo mismo saber dnde llama que saber qu dice o e Origen, destino, fecha y asunto de un correo se consideran pblicos. El contenido goza de una proteccin legal muy u o especial Es diferente saber cunto ocupa su home que hacer un listado a de su home No es lo mismo ver el contenido de un chero que hacer una bsqueda ciega de una cadena en un chero u Una cosa es saber que entra en facebook (10 minutos o 2 horas) y otra, monitorizar por completo su sesin o
GSyC - 2011
117
Monitorizacin de usuarios o
GSyC - 2011
118
Monitorizacin de usuarios o
En Espaa, n si una empresa facilita medios a un empleado (correo electrnico, o telfono, etc) para que realice su trabajo y le advierte e expl citamente de que son unicamente para trabajar, y le advierte de que ser controlado a entonces la empresa puede monitorizar estas comunicaciones
Tribunal Supremo, Sala de lo Social, Sentencia de 26/09/2007 aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por sta e para su uso y al margen de los controles previstos para esa utilizacin y para garantizar la permanencia del servicio o
GSyC - 2011
119
Test de intrusin o
Test de intrusin o
GSyC - 2011
120
Referencias
Referencias
Practical UNIX and internet security S. Garnkel, G. Spanord. Ed. OReilly Data and computer communications W. Stallings. Ed. Prentice Hall Computer networking J.F. Kurose. Ed. Pearson
GSyC - 2011
121