30/7/2016

ATAQUES: CATEGORAS
1. Interrupcin

Ataque a la Disponibilidad.

Ataques Informticos

2. Intercepcin

Ataque a la Confidencialidad.

3. Modificacin

Ataque a la Integridad.

4. Fabricacin

Ataque a la Autenticidad.
2

FLUJO NORMAL DE LA INFORMACIN

INTERRUPCIN
Remitente

Remitente

Destinatario

Durante un Flujo Normal de la informacin, la

transferencia (de un archivo, regin de
memoria, cte.) se hace desde el remitente
hacia el destinatario(otro archivo, memoria,
etc.).

Destinatario

Ataque a la Disponibilidad.
Algo de "valor" en el sistema es destruido o se
vuelve no disponible.
Ejemplos: destruccin de HW, cortado de una
lnea de comunicacin, deshabilitacin de un FS
(umount).

INTERCEPCIN
Remitente

MODIFICACIN
Remitente

Destinatario

Alguien no autorizado gana acceso sobre algo de valor

Ataque a la Confidencialidad.
El "no-autorizado" puede ser una persona, una mquina
o un programa.
Ejemplos: captura de informacin en una red, o una copia
no autorizada de archivos.
5

Destinatario

Ataque a la Integridad.
Alguien (o algo) no solo gana acceso sino que
tambin modifica contenido.
Ejemplos: cambiar valores en un archivo,
alterando un programa para que se comporte
diferente, o modificando un mensaje transmitido
en una red.
6

30/7/2016

FABRICACIN
Remitente

ATAQUES: TIPOS

Destinatario

Alguien (o algo) inserta objetos falsos en el

sistema.
Ataque a la Autenticidad
Ejemplo: insercin de mensajes en una red o
insercin de registros falsos en un archivo.

1. ACTIVOS
2. PASIVOS

ATAQUES PASIVOS

Objetivo: obtener informacin transmitida.

Escuchar y monitorear de forma oculta.
Difciles de detectar pues no se altera
informacin.
nfasis en prevencin ms que en deteccin.
Dos tipos:
Liberacin de Contenidos: conversacin telefnica, e-mail o
informacin confidencial.
Anlisis de Trfico: el atacante puede mediante anlisis de la
comunicacin (patrones, long., etc.) tratar de adivinar la naturaleza
de la comunicacin. Ej: si se usa encriptacin dbil.

ATAQUES ACTIVOS

Involucra la modificacin de datos o la introduccin de

informacin falsa.

nfasis en deteccin y recuperacin

Suplantar identidad para hacerse pasar por otra.
Captura pasiva de informacin y la subsecuente
retransmisin para lograr un efecto no autorizado.
Atacante gana acceso a algo de valor y lo modifica,
retrasa o reordena
Previene o inhibe el uso normal de cierto servicio de
comunicacin.
10

Ataque informtico

En un ataque informtico se
aprovecha toda
vulnerabilidad en el software, hardware, e incluso, en
las personas que forman parte de un ambiente
informtico; a fin de obtener un beneficio, por lo
general de ndole econmico, causando un efecto
negativo en la seguridad del sistema.

La mayor parte de ataques siempre se producen desde

Internet
Se lanzan automticamente desde equipos infectados por
virus, troyanos, gusanos.
11

ATAQUES MS
CONOCIDOS
12

30/7/2016

ATAQUES: CABALLOS DE TROYA

ATAQUES: CABALLOS DE TROYA

Programa que habitualmente ejecuta una o varias

funciones deseadas por un usuario y de manera
oculta realiza acciones desconocidas, no deseadas
por ste.

Se diferencian de los virus en que estos ltimos

infectan cualquier programa del ordenador sin que
el programa anfitrin tenga nada que ver con el
virus.
Adems, al contrario de los dems virus, los
Caballos de Troya generalmente no se reproducen

14

13

CABALLOS DE TROYA: CLASIFICACIONES

Puertas traseras (Backdoors): Son del tipo ms peligroso y

difundidos, estos son utilitarios con administracin remota y
someten los equipos infectados a un control externo por
medio del Internet.
Troyanos que roban contraseas: Aquellos que se proponen a
robar contraseas, buscan los archivos del sistema que
contienen informacin privada como contraseas y nmeros
de acceso a Internet para luego enviar a una direccin de
correo.
Descargadores troyanos (Downloaders): Son aquellos que
descargan e instalan nuevos programas dainos. Seguidamente
el downloader ejecuta los nuevos programas maliciosos o los
registra para ser ejecutados de forma automtica.

ATAQUES: INGENIERA SOCIAL

Es la manipulacin de personas mediante engaos

para obtener informacin confidencial sobre un
objetivo o vctima.

Personas son el eslabn mas dbil de la seguridad.

Una defensa exitosa depende en tener buenas
polticas implementadas y educar a los empleados
para que las cumplan.
Es la forma de ataque ms difcil de combatir.

15

INGENIERA SOCIAL: Phising

16

ATAQUES: FOOTPRINTING

Uso de sitios rplica de

pginas webs legtimas,
para capturar credenciales
de usuarios ingenuos, con
el objetivo de perpetrar
estafas electrnicas.

Extraer toda la informacin posible del objetivo del

ataque, ya sea un sistema, red o dispositivo
electrnico, previo al ataque.

Su principal fuente es Internet, lo cual se puede encontrar

gran cantidad de informacin.
Se logra revisando los grupos de noticias pblicos de esa
comunidad(por ejemplo, whois) o los fuentes HTML de las
pginas Web(wget).

17

18

30/7/2016

ATAQUES: FINGERPRINTING

ATAQUES: SNIFFING

Intercepcin pasiva del trfico de red, se trata de una

tcnica por la cual se puede "escuchar" todo lo que
circula por una red. Esto que en principio es propio de
una red interna o Intranet, tambin se puede dar en la
red de redes: Internet

Extraer informacin de un sistema, identificando el

sistema operativo y las vulnerabilidades de la versin.
Recolectar informacin directamente del sistema de una
organizacin, para aprender mas sobre su configuracin y
comportamiento

19

ATAQUES: SNIFFING

Son utilizados para capturar nmeros de tarjetas de crdito

y direcciones de e-mail entrantes y salientes.
Este mtodo lo utiliza el atacante para capturar login y
passwords de usuarios, cuando viajan en claro al ingresara
sistemas de acceso remoto.
Se usa wireshark corriendo sobre el puerto promiscuo del
switch o en un hub.

20

ATAQUES: SNOOPING

Al igual que el sniffing consiste en obtener la

informacin sin modificarla. Sin embargo los mtodos
son diferentes usan herramienta estilo troyanos
(ttysnoop)
Adems de interceptar el trfico de red, el atacante
ingresa a los documentos, mensajes de e-mail y otra
informacin guardada
En la mayora de los casos un downloading de esa
informacin a su propia computadora.
21

ATAQUES: SPOOFING

22

ATAQUES: DoS

El spoofing consiste en un conjunto de tcnicas que se

utilizan para suplantar la identidad de un usuario o
servidor, generalmente con intenciones maliciosas

Ataque que se concentra en sobrepasarlos lmites de

recursos establecidos para un servicio determinado,
obteniendo como resultado la eliminacin temporal
del mismo.

En el spoofing entran en juego tres mquinas o hosts:

un atacante, un atacado, y un sistema suplantado que
tiene cierta relacin con el atacado.
Tipos de spoofing: IP Spoofing, DNS Spoofing, ARP
Spoofing, Email Spoofing.

FingerBomb: permite forzar al sistema destino aun consumo

Elevado de CPU realizando una peticin finger recursiva.
Scripts como kaput hacen uso de esta vulnerabilidad (ya
superada).
NetFlood: satura el sistema con mensajes que requieren
establecer conexin: TCP SYN Flood, Connection Flood.
23

24

30/7/2016

ATAQUES: DoS

ATAQUES: Man in the Middle

Es un tipo de ataque informtico en el que el atacante

tiene conexiones independientes con las victimas y
trasmite mensajes entre ellos, hacindoles creer que
estn hablando directamente entre s a travs de una
conexin privada, cuando en realidad toda la
conversacin es controlada por el atacante.
El atacante debe ser capaz de interceptar todos los
mensajes que van entre las dos vctimas e inyectar
nuevo
Puede tener xito solo cuando el atacante pasa
desapercibido en el envo de mensajes.

25

ATAQUES: Man in the Middle

26

ATAQUES
CONOCIDOS A
APLICACIONES WEB
27

ATAQUES: SQL INYECTION

28

ATAQUES: SQL INYECTION

Los ataques de inyeccin, ms especficamente sqli

(Structured query language injection) es una tcnica
para modificar una cadena de consulta de base de
datos mediante la inyeccin de cdigo en la consulta.

El SQLI explota una posible vulnerabilidad donde las

consultas se pueden ejecutar con los datos validados.
Una de las tcnicas de sitios web ms usadas y se
pueden utilizar para obtener acceso a las tablas de
bases de datos, incluyendo informacin del usuario y
la contrasea

29

30

30/7/2016

ATAQUES: CROSS SITE SCRIPTING

ATAQUES: CROSS SITE SCRIPTING

El atacante aprovecha un agujero de seguridad de la

aplicacin web, que permite inyectar cdigo javascript
o algn otro lenguaje script similar, evitando medidas
de control.

Directa: Este tipo de XSS consiste en insertar cdigo

HTML peligroso en sitios que lo permitan; incluyendo
as etiquetas como <script> o <iframe>.
Indirecta: Este tipo de XSS consiste en modificar
valores que la aplicacin web utiliza para pasar
variables entre dos pginas.

32

31

FASES O ETAPAS DE UN ATAQUE INFORMTICO

HACKING TICO
33

HACKING TICO

Esta lnea de negocio es un mtodo de evaluacin del

estado de la seguridad de una red o un servidor, y
consiste en realizar pruebas de intrusin, donde el
analista busca ganar acceso al sistema, escalar
privilegios, probar el ingreso real al sistema, y
posteriormente borrar los rastros de la intrusin.

Basado en las fases o etapas de un ataque informtico.

Profesionales de la seguridad aplican sus conocimientos de
hacking con fines defensivos (y legales).
Se debe garantizar absoluta reserva y confidencialidad de la
informacin obtenida.

34

PERFIL DE UN HACKER TICO

Experto en algn campo de la informtica.

Conocimientos profundos de diversas plataformas

(Windows, Unix, Linux).
Conocimientos de redes

Conocimientos de hardware y software.

35

36

30/7/2016

TIPO DE HACKING ETICO

Black-box.-Simula los mtodos de ataque de un

ciberdelincuente con sus mismos recursos. Slo se dispone del
nombre de la empresa. Proporciona al cliente una evaluacin
real del riesgo de sus sistemas.
White-box.- Permite una revisin total del sistema. Para ello,
se dispone de toda la informacin sobre la infraestructura para
evaluar la seguridad, incluyendo cdigo fuente de aplicaciones,
archivos de configuracin, planos de red, etc. ).
Gray-box.- Combina test de caja negra y caja blanca. Hace
pruebas con mtodos similares a los de caja negra, simulando
ataques reales. Sin embargo, en el test de caja gris se dispone
de parte de la informacin tcnica del sistema.

EXPLOIT

Programa o cdigo que se aprovecha de un agujero de

seguridad (vulnerabilidad) en una aplicacin o sistema,
de forma que un atacante podra usarla en su
beneficio.
Conocidos: son aquellos de los que se tiene constancia y
podemos tomar medidas para evitar ver nuestros sistemas
afectados.
Desconocidos o 0 days: Estos se utilizan sobre vulnerabilidades
que an no han sido reportadas al pblico general y, por tanto,
suponen una grave amenaza.

37

38

FASE 1: RECONOCIMIENTO

FASE 1: RECONOCIMIENTO

Es la fase donde el individuo o atacante necesita y

busca recaudar informacin que le sirva de ayuda para
poder llevar la operacin. La fase de reconocimiento
puede conseguirse de dos maneras, conocidas como
pasivo y activo.

Pasivo: El reconocimiento pasivo implica la adquisicin de

informacin, sin la interaccin directa con el objetivo
Activo: El reconocimiento activo implica la adquisicin de
informacin, con la interaccin directa con el objetivo.

Quin es la empresa?
Cul es la pgina de internet
Donde est localizada la empresa
A que se dedica la empresa
Cual es el IP externo de los servidores de la empresa
Quien es el proveedor del rango de ip externos
Cuales son los empleados de la empresa
Cuales son los nmeros telefnicos.
La pagina de internet esta en su localidad o lugar externo
Cual es la ruta de IP hacia los servidores web
Cuales son las cuentas de emails de la empresa
Que aparece en google
40

39

FASE 1:RECONOCIMIENTO

RECONOCIMIENTO PASIVO
Generalmente esto se realiza buscando en Internet o buscando a
travs de los buscadores informacin sobre una persona o sobre
alguna compaa.
Ingeniera social
DumpsterDiving (Buscar en la basura usando Google dorks)
Buscar en la base de datos de (whois)
Buscar pas y ciudad dnde residen los servidores.(Google Earth)
Buscar nombres de dominios y correos.
Buscar informacin de contacto(redes sociales)
Buscar toda la informacin que se pueda extraer de los
DNS(Domain Name Server)
Metadatos
41

FASE 1: RECONOCIMIENTO
RECONOCIMIENTO ACTIVO
Recolectar todo tipo de informacin directamente del objetivo a
travs de:

Port Scanning
Usar herramientas de software para escaneo de red.
Descubrir rango de direcciones IP.
Identificar Sistemas Operativos
Identificar Nombre de equipos.
Identificar cuentas de usuarios.
Buscar dnde estn localizados los routers.

42

30/7/2016

FASE 2: ESCANEO

Se realiza un anlisis de toda la informacin que

recolecto en la Fase de Reconocimiento
para
identificar vulnerabilidades especficas y los puntos
donde puede penetrar como: detalles del sistema
operativo, los host accesibles o algn puerto abierto.

Su principal herramienta es la enumeracin que consiste en

probar los servicios identificados de forma ms profunda y
representativa.
Escneres de puertos para conocer los servicios activos
Escneres del vulnerabilidades

FASE 2: ESCANEO
TCNICAS DE ENUMERACIN
Existen muchas tcnicas relacionadas con la enumeracin, algunas
de ellas son las siguientes:
Extraccin de Nombres de usuarios utilizando Windows 2003,
2008 Server, XP.
Extraer nombres de usuarios usando el protocolo SNMP.
Extraer nombres de usuario usando cuentas de correo
electrnico.
Extraer informacin, usando nombres de usuario y Password
por defecto.
Fuerza bruta contra el Active Directory-LDAP
44

43

FASE 2: ESCANEO

ESCANEADORES DE VULNERABILIDAD
Entre los ms utilizados son:

OpenVas
Retina CS Community
Microsoft Baseline Security Analyzer (MBSA)
NeXpose Community Edition
SecureCheq
Qualys FreeScan
Grabber
Wapiti
WebScarab
Nessus
Core Impact Pro
Retina

FASE 3: OBTENER ACCESO

Esta es una de las fases ms importantes para un
hacker porque es la fase de penetracin al sistema
informtico, en esta fase un hacker explota las
vulnerabilidades que encontr en la fase 2.

Gratis
Gratis
Gratis
Gratis
Gratis
Gratis
Gratis
Gratis
Gratis
Pago
Pago
Pago
45

46

FASE 3: OBTENER ACCESO

FASE 3: OBTENER ACCESO

FACTORES INCIDEN EN EL ACCESO

En esta tercera fase los factores que ayudarn a un hacker a tener
una penetracin con xito a un sistema informtico depender de:

DESDE DONDE PODRA ACCEDER?

La explotacin puede ocurrir localmente, offline( sin estar
conectado, sobre la red de rea local), o sobre el Internet y puede
incluir tcnicas como:

Cmo es la arquitectura del sistema informtico y de cmo est

configurado el sistema.
Nivel de destrezas, conjunto de habilidades y conocimientos
sobre seguridad informtica de los profesionales que instalen y
configuren un sistema informtico.
Nivel de destrezas, conjunto de habilidades y conocimientos
sobre seguridad informtica y redes que tenga un hacker y el
nivel de acceso que obtuvo al principio de la penetracin.
47

Buffer overflows: Es el desbordamiento de la memoria

temporal.
Denial-of-service: Es el nivel de peticiones y denegacin de
servicio.
Sesin hijacking: Es el secuestro de sesin
Password cracking: Es romper o adivinar claves usando varios
mtodos como: diccionary atack y brute forc atack
48

30/7/2016

FASE 4: MANTENER EL ACCESO

Una vez que el atacante ha conseguido acceder al

sistema, buscar implantar herramientas que le
permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet.

Se utiliza herramientas tales como:

Backdoors
Rootkits, Tunneling, Keyloggers.
Troyanos.
Shell o Shell Inversa
Cuentas de altos privilegios como cuentas de Administrador o
de System.

FASE 4: MANTENER EL ACCESO

QUE PUEDE HACER UN HACKER?
Utiliza recursos del sistema vulnerable para escanear y
explotar vulnerabilidades de otros sistemas.
Puede tener la habilidad de subir o bajar archivos del
sistema, alterar el funcionamiento de las aplicaciones y
modificar cualquier tipo de archivos.
Utiliza herramientas llamados Sniffers para capturar
todo el trafico de la red, incluyendo sesiones de Telnet
y FTP (File Transfer Protocol).
50

49

FASE 5: LIMPIAR HUELLAS

Una vez que el atacante logr obtener y mantener el

acceso al sistema, intentar borrar todas las huellas
que fue dejando durante la intrusin para evitar ser
detectado
Principales motivos:
Tener acceso posteriormente
Ocupar recursos de otros sistemas.
No recibir acciones legales por sus actividades.

51

FASE 5: LIMPIAR HUELLAS

Tcnicas para ocultar huellas.

Alteracin de los Log Files (Archivos donde se almacenan todos
los eventos ocurridos en un sistema informtico y permite
obtener informacin detallada sobre los hbitos de los
usuarios).
Eliminar todos los registros del sistema que indiquen que el
hacker tuvo acceso al sistema.
Eliminar todas las cuentas de usuario que se creo y se utilizo
para la intrusin al sistema.
Eliminar los archivos de el IDS (Sistema de Detencin de
Intrusos).
52