-
1. ATAQUES Y MEDIDAS EN SISTEMAS PERSONALES
Seguridad fsica: Del hardware. Seguridad lgica: Del software.
Seguridad activa: Evitar daos. Seguridad pasiva: Paliar o minimizar
daos. Ataque: Materializacin de una amenaza, debido a una
vulnerabilidad.
-
1.1.2. USO DE LAS VULNERABILIDADES.
lUso de las vulnerabilidades del sistema:
Programas diseados para utilizar
determinadas vulnerabilidades del sistema.
lExploits: Programa en un lenguaje de
programacin que opera en el sistema
atacado y causarle un mal funcionamiento.
-
1.1. CLASIFICACION DE LOS ATAQUES.
lActivos: Extraen informacin. No producen
cambios.
lPasivos: Producen cambios en el sistema.
-
1.1. CLASIFICACION DE LOS ATAQUES
a)Reconocimiento del sistema. b)Aprovechamiento de
vulnerabilidades c)Interceptacin de mensajes. d)Suplantacin de
identidad I. e)Suplantacin de identidad II. f)Modificacin del
trfico y tablas de enrutamiento. g)Cross site scripting. h)Inyeccin
del cdigo SQL. i)Ataques contra usuarios y contraseas.
-
1.1.1. RECONOCIMIENTO DEL SISTEMA
lAtaque de reconocimiento del sistema: Su objetivo la obtencin
de informacin del sistema. lTcnicas:
lEscaneo de puertos. Se visualizan los puertos activos, los
servicios y las aplicaciones que se ejecutan. lHerramienta whois:
Permite conocer los datos a partir de la IP o de la URL
utilizada.
-
1.1.2. APROVECHAMIENTO DE VULNERABILIDADES
lUso de vulnerabilidades del sistema mediante programas diseados
para atacar vulnerabilidades. lExploits: Programas escritos en un
Lenguaje de programacin capaz de operar en el sistema atacado y
causar un mal funcionamiento.
-
1.1.3. INTERCEPTACIN DE MENSAJES.
lAtaque cuyo objetivo es el robo de informacin, con difcil
interceptacin.
lVulnerabilidades:
lPosibilidad de interceptacin de correo a travs de
Internet.
lLa privacidad se consigue con la encriptacin de la
informacin.
lLa posibilidad de acceso al almacenamiento de las
copias de los correos en servidores de correo.
lSoluciones:
lEncriptacin del contenido del correo con cifrado
asimtrico, usando PGP y S/MIME, pero no las
cabeceras.
-
1.1.4. SUPLANTACIN DE IDENTIDAD I
lIP Spoofing: Suplantacin de IP. Se sustituye la Ip origen de un
paquete TCP/IP por otra IP. Ejemplo: nmap lDNS Spoofing: Asigna una
direccin falsa a un nombre de dominio DNS o viceversa. Ejemplo:
Ettercap simula un ataque DNS spoofing. lSMTP Spoofing:
Falseamiento del origen del mensaje, un servidor de correo que
acepte conexiones por el Puerto 25 est expuesto a este tipo de
ataques.
-
1.1.5. SUPLANTACIN DE IDENTIDAD II
lEjemplo: Un usuario de correo descarga un correo proveniente de
un emisor no vlido o no existente. lMediante el uso de Ingeniera
social se pueden robar nombres de usuarios y contraseas. lEjemplo:
Phising. Mediante el engao se capta informacin confidencial del
usuario como datos bancarios y tarjetas de crdito. lPhising: Envo
de correo electronico con una URL parecida a la bancaria real,
donde se piden claves o numero de cuenta bancaria para una
determinada operacin.
-
1.1.6. MODIFICACIN DEL TRFICO Y TABLAS DE RUTAS
lAtaque que consiste en variar la ruta de los paquetes en la
red, interfiriendo en los protocolos y tablas de enrutamiento.
lActan sobre paquetes ICMP Redirect que usan los routers para
indicar a otros router otras rutas alternativas sin pasar por l.
lLos paquetes ICMP Redirect deben filtrarse con cuidado por ser
causas de ataques MitM (Man in the middle ataque en el que se
intercepta y moodifica lal informacin sin que sea detectado). lICMP
Redirect puede deshabilitarse en los dispositivos de red la opcin
de recepcin de estos paquetes. lHping es una herramienta para el
envo de mensajes ICMP Redirect
-
1.1.7. CROSS-SITE SCRIPTING
lAtaque tambin llamado XSS (vulnerabilidad que permite ejecutar
cdigo dentro de HTML, en general maligno) que se produce cuando se
ejecutan scripts en VBS y Javascript en paginas web. lSe produce
cuando se envan cadenas de texto entre formularios de pginas webs
dinmicas (web interactivas con operaciones sobre BBDD o foros). l
Cuando el script es malicioso pueden realizar acciones que
interfieren el funcionamiento del equipo atacado.
-
1.1.8. INYECCIN DE CDIGO SQL.
lAtaque por inyeccin de cdigo SQL en aplicaciones diseadas o que
emplean lenguaje SQL en su operatividad con BBDD o aplicaciones que
trabajan con BBDD. lConsiste en introducir cdigo SQL dentro del
cdigo legitimo para alterar el funcionamiento de la aplicacin.
-
1.1.9. ATAQUES CONTRA USUARIOS Y CONTRASEAS
lAtaque cuyo objetivo es descubrir claves o contraseas con las
que poder acceder a un sistema sin tener autorizacin. lTcnicas:
lFuerza bruta: lDiccionario:
lAtaque de fuerza bruta: utiliza todas las combinaciones
posibles hasta encontrar la correcta. lTecnica del diccionario:
Prueban todas las combinaciones posibles de un archivo o
diccionario. lGeneralmente se combinan ambas tecnicas, y se suelen
utilizar mucho para descubrir claves de acceso de redes
inalambricas. lEjemplo: Medusa.
-
1.2. ANATOMIA DE ATAQUES Y ANALISIS DE SOFT MALICIOSO
lFases que forman parte de un ataque informtico:
lReconocimiento: Recopila informacin sobre el usuario objeto del
ataque, usando por ejemplo, tecnicas de ingeniera social y
busquedas avanzadas en Internet. lExploracin o escaneo del sistema:
Se utilizan sniffers, escaneo de puertos o herramienta que muestre
la debilidad del sistema objetivo. Se localizan IPs o nombres DNS
de la victima, puertos abiertos o aplicaciones ms usadas. lAcceso:
Se accede al sistema mediante el crackeo, robo de contraseas,
acceso a recursos compartidos del sistema sin autorizacin o se
efecta un DoS. lMantenimiento del acceso: Se entra en el sistema y
se modifican los privilegios o se crean nuevas vulnerabilidades que
permitan un acceso posterior. Ejemplos: backdoor y troyanos.
lBorrado de huellas: Se borran los rastros que se hayan dejado en
los accesos no permitidos, se limpian en la medida de los posible,
los ficheros logs y las alarmas del sistema.
-
1.2.1. ANALISIS DE SOFTWARE MALICIOSO.
lLas herramientas se disean teniendo en cuenta los datos
extrados de los anlisis efectuados sobre el malware -cdigo
programable-. lPara analizar al malware se hacen 2 tipos de anlisis
denominados cajas de arena o sandox (siempre en entornos
aislados):
lAnlisis esttico: Se analiza el cdigo linea a linea y se
determinan si son maliciosas o no, pero sin ejecutar software lSe
analiza a bajo nivel, ya que en la mayora de los casos solo se
dispone del archivo ejecutable grandes especialistas-. lAnlisis
dinmico: Se ejecuta el malware en un entorno que simula el entorno
real y se analizan las consecuencias de su ejecucin para adoptar
distintas estrategias sobre l. lBasado en la ejecucin y
monitorizacin de procesos, conexiones establecidas y formas en la
que se comunica con otro equipo remoto usando mquinas
virtuales.
Caja de arena: Todo lo probado se aisla del exterior y el
exterior no se modifica por lo que ocurre dentro de la caja.
-
1.3. HERRAMIENTAS PREVENTIVAS. INSTALACIN Y CONFIG.
lLas herramientas preventivas se utilzian para evitar que el
malware se instale en el sistema. lTipo de herramientas
preventivas:
lInstalacin de antivirus. lConfiguracion de cortafuegos.
lEncriptacin de la informacin. lInstalacin de herramientas de
deteccin de intrusos. lUtilizacin segura de entornos
vulnerables.
Antivirus: Descargables desde Internet, algunos gratuitos y para
todas las plataformas. Ejemplo de antivirus para Linux: ClamAV
-
1.3.1. CORTAFUEGOS Y ENCRIPTACION.
lLos cortafuegos se configuran segn las necesidades de cada
usuario y limitando las aplicaciones a las mnimas necesarias para
el sistema. lLo ms seguro es tenerlo activado, pero en ocasiones
existe la necesidad de permitir que determinadas aplicaciones o
procesos se aadan a las Excepciones. lEncriptacin: Existen
herramientas gratuitas existentes en Internet.
lEn Ubuntu: Seahorse en el entorno Gnome, usado con la
herramientas GnuPG. lEn Windows:
lPara cifrar la informacin se necesita realizar 2 pasos:
lGenerar las claves. lCifrar la informacin con dichas claves.
-
1.3.2. DETECCIN DE INTRUSOS.
lLa deteccin de intrusos es tambin una medida preventiva. lLas
herramientas utilizadas para la deteccin de intrusos se denominan
IDS (Sistemas de Deteccin de Intrusos). lEl funcionamiento de estas
herramientas se basa en el anlisis del trfico de la red y la
comparacin con comportamientos estndar de los intrusos. lExisten 2
tipos de sistemas de deteccin de intrusos:
lHost IDS o HIDS: Detectan intrusiones en los hosts. lNetwork
IDS o NIDS: Detectan intrusiones en toda la red.
lLa diferencia es que los HIDS solo actan a nivel local y los
NIDS lo hacen a nivel de red, por lo que es necesario tener un
dispositivo de red configurado en modo promiscuo -mod en el que la
tarjeta de red detecta todo el trfico que circula por el segmento
de red-.
-
1.3.3. PRECAUCIONES EN ENTORNOS DE RIESGO.
lEn entornos de riesgo -Correo electrnico, redes sociales,
programas de mensajera, compras online- existen una serie de
recomendaciones: lEvitar el reenvo de mensajes masivos: Posible
causa de que las direcciones de la agenda caigan en manos de
personas que realicen un mal uso y deriven en spam y tcnicas de
ingeniera como el phising.
lPara enviar mensajes a varios usuarios, utilizar un solo
destinatario y para el resto situarlos en copia oculta, para evitar
que las direcciones de todos aparezcan en los correos.
lNo utilizar contraseas dbiles: Riesgo de que un usuario no
autorizado acceda a la cuenta y consiga inforamcin que pueda
utilziar para fines no deseados.
lUna buena contrasea con 8 caracteres y uso de letras, nmeros y
caracteres.
lPrecauciones en las compras en Internet: Comprar en lugares
donde se tenga informacin del vendedor, con datos de su direccin
fsica y tfno. Leerse las condiciones de compra y garanta. lForma de
pago: Escoger mtodos que no impliquen proporcionar datos bancarios
y si no es posible utilizar mecanismos de pago seguros.
-
1.4. HERRAMIENTAS PALIATIVAS. INSTALACIN Y CONFIG.
lEl objetivo es evitar daos producidos por el malware. Lo ms
comn es que una misma herramienta de seguridad este diseada para
prevenir y paliar. lLas copias de seguridad o backup es una buena
medida paliativa -aunque tambin se puede considerar preventiva-.
lEjemplos de herramientas:
lRsync. lAcronis True Image.
lEl almacenamiento en la red o cloud computing. Este backup se
realiza gracias a servicios prestados por empresas con CPD
accedibles desde Internet. lEjemplos de herramientas:
lDripbox. lWindows Live Mesh 2011 lSugarsync. lWindows Live
Skydrive.
lEstas aplicaciones almacenan en una carpeta del sistema Public
los archivos y permiten la accesibilidad desde cualquier lugar con
conexin a Internet.
lEntre otras funciones permite la sincronizacin de archivos a
travs de la nube.
-
1.5. ACTUALIZACIN DE SISTEMAS Y APLICACIONES.
lEs un mecanismo tanto paliativo como preventivo y permite
prevenir daos
en los sistemas informticos.
lLas vulnerabilidades son directamente proporcionales al nmero
de
aplicaciones y a los sistemas (ms sistemas y aplicaciones mas
vulner.)
lObjetivos de las actualizaciones:
lCorregir bugs o fallos.
lAadir nuevas funcionalidades.
lLas actualizaciones mejoran -en teora- la velocidad de trabajo
y la
seguridad.
lTambin se pueden seleccionar las actualizaciones que se desean
instalar,
mejorando posibles incompatibilidades con aplicaciones
instaladas o con el
hardware donde se pretende instalar la actualizacin.
-
2. SEGURIDAD EN LA CONEXIN DE REDES PBLICAS.
lEl uso de redes pblicas y la coomparticin de informacin ha sido
el origen
de la mayor parte de los problemas de seguridad.
lUna LAN sin conexin exterior, la seguridad queda circunscrita a
los
usuarios locales.
lUna LAN con conexin a Internet, implica limitar el nmero de
usuarios que pueden acceder a la LAN.
lPara trabajar con redes publicas existen mecanismos que
permiten trabajar
de forma segura.
lConexiones inalambricas cifrdas: WEP, WPA y WPA2.
lConexiones SSH.
lUtilizacin VPN.
lUso de HTTPS en la navegacin.
lUso de mecanismos de identificacin digital.
lComo todo lo que viaja por la red tiene la posibilidad de ser
interceptado, las
soluciones anteriores tienen agujeros de seguridad.
lLas redes inalambricas abiertas suponen:
lCualquier usuario puede utilizarla, sin saber sus
objetivos.
lLa interceptacin de los datos es ms fcil.
-
2.1. IDENTIFICACIN DIGITAL.
lLa identificacin digital asegura la autentificacin, la
confidencialidad y la integridad
de las comunicaciones en Internet.
lLa identificacin digital es una representacin legal de la
identidad y se puede
conseguir con varios mtodos:
Contraseas:
Tarjetas de identificacin:
Sistemas biomtricos:
Certificados digitales:
lCada mtodo empleado utiliza rasgos diferentes:
Las contraseas utilizan una conjunto de caracteres.
Las tarjetas de identificacin utilizan chips para guardar la
informacin.
Los sistemas biomtricos utilizan rasgos fsicos de cada
usuario.
Los certificados digitales usan informacin de los usuarios para
generar un
software que los identifique.
lEn las redes publicas, el uso de identificacin digital es
fundamental para asegurar la
identidad tanto del emisor como del receptor de la
transaccin.
lLa identificacin digital debe crearse y asociarse al usuario
que se desea representar.
-
2.2. FIRMA ELECTRNICA Y CERTIFICADO DIGITAL.
lSe utilizan para verificar que cada una de las partes
intervinientes e una
comunicacin son quienes dicen ser.
lFirma digital: Secuencia de caracteres -firma personal- que
identifica a una persona
fsica o jurdica.
lDiferencias:
Una firma digital utiliza criptografa de clave pblica o
asimtrica. Se pueden
almacenar en soportes hardware y software.
Firma electrnica: firma digital que se ah almacenado en un
soporte
hardware.
lPara generar una firma digital se utiliza una funcin hash que
actua sobre los datos a
firmar y una clave privada de cifrado
lCertificado digital: Archivo que contiene los datos del
propietario, su clave publica y
la firma digital de una autoridad con competencias para expedir
dicho certificado
(FNMT) que es responsable de verificar que los datos
corresponden al propietario del
certificado.
lUn certificado digital realiza funciones similares -en las
comunicaciones en Internet-
similares a las de un documento oficial de identificacin como el
DNI o el pasaporte.
lEl certificado digital se usa para verificar la identidad del
firmante y su clave publica.
-
2.3. PUBLICIDAD Y CORREO NO DESEADO.
lEl correo no deseado o spam se refiere a la publicidad enviada
a destinatarios que no
lo desean y cuys direcciones de correo se han obtenido de
Internet.
lEl spam perjudica de diferentes formas:
Utiliza servidores de correo SMTP para su proceso.
Consume recursos de CPU.
Utiliza espacio en disco de servidor y de los destinatarios.
Disminuye el ancho de banda de la red.
Aumenta la posibilidad de infeccin con virus y troyanos.
lLos spammers -responsables del spam- necesitan de direcciones
de correo para el
envo de mensajes. Tecnicas usadas:
Generar direcciones de correo de un determinado dominio de
forma
aleatoria.
Comprar bases de datos de usuarios.
Acceder a listas de correo de usuarios.
Empleo de tecnicas de ingenieria social.
lLos spammers utilizan varios metodos para el envo:
Envios directos desde servidores alquilados.
Retransmisiones a travs de servidores accesibles desde el
exterior.
Uso de redes zombies.
-
3. ELABORACION DE UN MANUAL DE SEGURIDAD Y PLANES DE
CONTINGENCIA
Elaboracin de un manual de seguridad: establecer los estndares
de seguridad que deben ser seguidos, suministrar un conjunto de
normas que determinen como se debe actuar para evitar problemas,
mientras los planes de contingencia, tienen como objetivo recuperar
a la organizacin de los desastres sufridos. Elaborado tomando como
base la filosofa de la organizacin donde se pretenda implantar, as
como el grado de conocimientos de los profesionales que la
integran. Pasos para elaborar un manual de seguridad:
Formar un equipo integrado por personas de diferentes
departamentos. Elaborar el documento. Publicar de manera oficial el
manual.
El equipo que elabora el manual debe estar formado por personas
de distinto perfil. Formado el equipo se elabora el documento.
-
3.1. PLAN DE CONTINGENCIAS.
Plan de contingencias est diseado para recuperar el
funcionamiento normal del sistema, una vez que se ha producido una
incidencia de la que el sistema se debe recuperar, deber contemplar
al menos: Un anlisis de riesgos del sistema. Un estudio de las
protecciones actuales. Un plan de recuperacin antes, durante y
despus del desastre. El anlisis de riesgos debe responder a:
Estudio de las protecciones actuales, se deben enumerar cules
son y verificar que funcionan. Plan de recuperacin efectivo:
establecer el origen del fallo y dao ocasionado.
El plan de recuperacin se puede definir segn la fase del
desastre: Plan de respaldo. Anterior. Plan de emergencia. Plan de
recuperacin.
-
3.1. PAUTAS Y PRCTICAS SEGURAS.
Un sistema informatico es seguro se se utiliza de manera segura.
Medidas a seguir para mantener un sistema seguro:
Mantener actualizado el sistema operativo y las aplicaciones.
Descargar software desde sitios de confianza, especialmente
actualizaciones de los SO. Analizar los sistemas de forma peridica
para mantenerlos libres de software malicioso. Usar contraseas.
Usar certificados digitales. Comunicar las incidencias. Realizar
copias de seguridad.
Creencias: Un software de seguridad no es 100% efectivo. Equipos
que se consideran no importantes. Creer que los ataques solo lo
sufren organizaciones importantes.
Un software diseado, soluciona un problema que se ha producido
pero puede pero puede ser inocuo para un problema futuro.
-
4. SEGURIDAD EN LA RED CORPORATIVA.
Red corporativa: red que comunica lugares geogrficamente
distantes y que facilita el acceso remoto de usuarios, siendo todos
los elementos comunicados propiedad de una organizacin o persona.
Para la comunicacin distante se deben emplear lneas pblicas por lo
que las comunicaciones debern utilizar mecanismos seguros como las
VPN. VPN: Red Privada Virtual creada por software sobre lineas de
comunicaciones. Las tecnologas empleadas pueden ser diversas y se
deben combinar para cubrir toda el rea municipal.
-
4.1. MONITORIZACIN DEL TRAFICO EN REDES.
El objetivo de la monitorizacin del trfico en las redes es
detectar problemas en su funcionamiento para poder solucionarlos en
la mayor brevedad posible. Las aplicaciones disponibles, tambin
denominadas sniffers, para realizar estas funciones son varias,
muchas son gratuitas y de cdigo abierto.
Wireshark. Etherape. WinDump. Fing. AthTek NetWalk. Network
Traffic Monitor Experts.
El uso de todas las herramientas de monitorizacin muestra
demasiada informacin porque obtiene todas las tramas que circulan
en el medio de transmisin, para poder extraer solamente la
informacin buscada se debe recurrir al uso de filtros, que pueden
ser:
Filtros de captura. Filtros de visualizacin.
Los filtros de captura hacen que se muestren solamente los
paquetes que cumplan con las condiciones establecidas y los de
visualizacin seleccionan la informacin deseada despus de un anlisis
efectuado. Lo ms til es capturar todo el trfico y despus utilizar
filtros de visualizacin para analizar solamente lo de inters.
-
4.1. Algunos filtros de wireshark
Capturar todos los paquetes con origen y destino en 192.168.1.1:
host 192.168.1.1 Capturar todos los paquetes con puerto origen y
destino 21: port 21 Capturar todos los paquetes con puerto origen
21: src port 21 Capturar todos los paquetes con origen en
192.168.1.1: src host 192.168.1.1 Capturar todos los paquetes con
destino en 192.168.1.254: dst host 192.168.1.254 Capturar todos los
paquetes con origen y destino en www.infoalisal.com: host
www.infoalisal.com
-
4.2. SEGURIDAD EN LOS PROTOCOLOS PARA COMUNICACIONES
INALAMBRICAS.
Las comunicaciones inalmbricas, sobre todo las que utilizan
radiofrecuencia, tienen su principal vulnerabilidad en el hecho de
que cualquier nodo de la red puede recibir informacin de otro nodo
que est a su alcance. Un punto de acceso inalmbrico mal configurado
es un agujero de seguridad para la red corporativa, puesto que
cualquiera que consiga entrar en su radio de cobertura, podr
aprovecharse de todas sus vulnerabilidades, el peligro puede estar
hasta en un visitante ocasional con un telfono de ltima generacin.
Para mejorar la seguridad de las redes inalmbricas se pueden seguir
las siguientes pautas:
Configurar en la medida de lo posible las ondas utilizadas en la
transmisin. Utilizar mecanismos de autenticacin red-cliente. Cifrar
la informacin transmitida.