FUENTES, RIESGOS Y FORMAS DE ATAQUE DE INFORMACIN

Seguridad informtica por qu?

El espectacular auge de Internet y de los servicios telemticos ha hecho que los ordenadores y las redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible en las tareas de las empresas. Las empresas, sea cual sea su tamao, disponen de equipos conectados a Internet que les ayudan en sus procesos productivos. Cualquier fallo en los mismos puede suponer una gran prdida econmica ocasionada por el parn producido, de modo que es muy importante asegurar un correcto funcionamiento de los sistemas y redes informticas. Con unas buenas polticas de seguridad, tanto fsicas como lgicas, conseguiremos que nuestros sistemas sean menos vulnerables a las distintas amenazas. Tenemos que intentar lograr un nivel de seguridad razonable y estar preparados para que, cuando se produzcan los ataques, los daos puedan ser evitados o en caso contrario haber sido lo suficientemente precavidos para realizar las copias de seguridad.

2. Objetivos de la seguridad informtica

Segn INFOSEC Glossary 2000: Seguridad Informtica son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Informacin, incluyendo hardware, software, firmware y aquella informacin que procesan, almacenan y comunican. Los principales objetivos de la seguridad informtica son: Confidencialidad: consiste en la capacidad de garantizar que la informacin, almacenada en el sistema informtico o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha informacin. Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento. Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creacin sin autorizacin. No repudio: este objetivo garantiza la participacin de las partes en una comunicacin.

Objetivos de la seguridad informtica

Para conseguir los objetivos enumerados anteriormente, se utilizan los siguientes mecanismos: Autenticacin, que permite identificar al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o a un servicio. Autorizacin, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios despus de haber superado el proceso de autenticacin. Auditora, que verifica el correcto funcionamiento de las polticas o medidas de seguridad tomadas. Encriptacin, que ayuda a ocultar la informacin transmitida por la red o almacenada en los equipos Realizacin de copias de seguridad e imgenes de respaldo. Antivirus. Cortafuegos o firewall, programa que audita y evita los intentos de conexin no deseados en ambos sentidos, desde los equipos hacia la red y viceversa. Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Utilizacin firma electrnica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. Conjunto de leyes encaminadas a la proteccin de datos personales que obligan a las empresas a asegurar su confidencialidad.
4

Que es un ataque informtico

Un ataque informtico consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informtico; a fin de obtener un beneficio, por lo general de ndole econmico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organizacin.
5

Factores de riesgo
Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnolgicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio elctrico, ataque por virus informticos, etc.

Impredecibles - Inciertos

Predecibles

Humanos: hurto, adulteracin, fraude, modificacin, revelacin, prdida, sabotaje, vandalismo, crackers, hackers, falsificacin, robo de contraseas, intrusin, alteracin, etc.
6

Quienes atacan los sistemas

Gobiernos Extranjeros. Espas industriales o polticos. Criminales. Empleados descontentos y abusos internos. Adolescentes sin nada que hacer
7

Fases de un ataque Informtico

Fase 1: Reconnaissance (Reconocimiento)

Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una persona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing. 9

Diccionario 1
Ingeniera social: La tcnica ms antigua y eficaz. Millones de usuarios que cada ao abren incautamente un archivo adjunto a un e-mail bajo la promesa de ofrecer imgenes de celebridades o xxx y que en realidad es la trampa para inocular cdigos maliciosos demuestran cmo los delincuentes se aprovechan de la curiosidad humana Dumpster diving: La bsqueda de informacin valiosa en la basura es una prctica que puede resultar riesgosa para una empresa. All van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras muchas fuentes. Sniffing: El sniffer es un software que permite capturar tramas de la red Generalmente utilizado con fines maliciosos para capturar textos de email, chats, datos personales, contraseas, etc.

Por ejemplo: Podemos darle la instruccin a un Sniffer que me capture textos cuando entre estos aparezca una palabra especfica, como por ejemplo "contrasea".
La cantidad de tramas que puede obtener un sniffer depende de la topologa de red. Para poner en funcionamiento este tipo de software, la persona debe tener algunos conocimientos sobre las estructuras de la red. 10

Fase 2: Scanning (Exploracin).

En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Entre las herramientas que un atacante puede emplear durante la exploracin se encuentra el network mappers, port mappers, network scanners y port scanners.
11

Diccionario 2
Network Mapper: es una fuente abierta y libre de utilidad para la exploracin de la red o la auditora de seguridad. Muchos sistemas y administradores de red tambin les resulta til para tareas como el inventario de la red, la gestin de actualizacin de los horarios de servicio, acogida y seguimiento o el tiempo de actividad de servicios. Port Mappers: Los puertos son interfaces virtuales con las cuales dos ordenadores pueden compartir datos a travs de una red. En algunos casos hace falta redireccionarlos. Con un PortMapper se puede redireccionar cualquier puerto a otra direccin. Network Scanner: analiza al detalle todos los sistemas conectados en tu misma red local entre los rangos de direcciones IP que le especifiques, mostrando la IP, la direccin MAC y la velocidad de respuesta al ping, adems de controlar los puertos TCP y los servicios SNMP. Port Scanner: es un simple analizador de puertos que despus de un anlisis muestra cules estn abiertos. Un ordenador tiene unos sesenta y cinco mil puertos virtuales. Se utilizan para recibir y enviar datos. Algunos de ellos son muy conocidos porque tiene asociados servicios muy utilizados como SSH, FTP, VNC, etc.
12

Fase 3: Gaining Access (Obtener acceso)

En esta instancia comienza a materializarse el ataque a travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin. Algunas de las tcnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (Ddos).
13

Diccionario 3
Buffer overflow: Es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un rea de memoria reservada a tal efecto (buffer), de forma que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programacin. Denegacin de servicio (DoS): es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegacin", pues hace que el servidor no d a basto a la cantidad de solicitudes. Esta tcnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo

14

Fase 4: Maintaining Access (Mantener el acceso)

Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

15

Diccionario 4
Un backdoor: es un programa que se introduce en el ordenador de manera encubierta aparentando ser inofensivo. Una vez ejecutado, establece una "puerta trasera" a travs de la cual es posible controlar el ordenador afectado. Esto permite realizar en ste acciones que comprometan la confidencialidad del usuario o dificultar su trabajo. Un RootKit: Un rootkit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema y le permite acceder en el futuro para manipular este sistema. Para completar su objetivo, un rootkit altera el flujo de ejecucin del sistema operativo o manipula un conjuntos de datos del sistema para evitar la auditoria. Un troyano o caballo de Troya: es un programa que se diferencia de los virus en que no se reproduce infectando otros ficheros. Tampoco se propaga haciendo copias de s mismo como hacen los gusanos. Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitologa. Llegan al ordenador como un programa aparentemente inofensivo, pero al ejecutarlo instala en el ordenador un segundo programa: el troyano. Los efectos de los troyanos pueden ser muy peligrosos. Permiten realizar intrusiones o ataques contra el ordenador afectado, realizando acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseas introducidas por el usuario. 16

Fase 5: Covering Tracks (Borrar huellas)

Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).

17

ROLES INVOLUCRADOS EN SEGURIDAD

18

SEGURIDAD

USUARIOS
19

Usuarios comunes
Los usuarios se acostumbran a usar la tecnologa sin saber como funciona o de los riesgos que pueden correr. Son las principales vctimas. Tambin son el punto de entrada de muchos de los problemas crnicos. El eslabn ms dbil en la cadena de seguridad.
20

2 enfoques para controlarlos

Principio del MENOR PRIVILEGIO POSIBLE:
Reducir la capacidad de accin del usuario sobre los sistemas. Objetivo: Lograr el menor dao posible en caso de incidentes.

EDUCAR AL USUARIO:
Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el nmero de incidentes
21

CREADORES DE SISTEMAS

SEGURIDAD

USUARIOS

22

Creando Software
El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga mal a que salga tarde. Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los productos de SW.
23

Propiedades de la Informacin en un Trusted System

Confidencialidad: es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.
24

Propiedades de la Informacin en un Trusted System

Integridad: es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad.

25

Propiedades de la Informacin en un Trusted System

Disponibilidad: es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizado para protegerlo, y los canales de comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad de los sistemas debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del sistema. La disponibilidad adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnolgica, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento, enlaces redundantes, etc. La gama de posibilidades depender de lo que queremos proteger y el nivel de servicio (SLA) que se quiera proporcionar.
26

Propiedades de la Informacin en un Trusted System

Autenticacin: Es la propiedad que me permite identificar el generador de la informacin. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona hacindose pasar por la otra (suplantacin de indentidad). En un sistema informtico se suele conseguir este factor con el uso de cuentas de usuario y contraseas de acceso.

27

Ataques contra el flujo de la informacin

Emisor Receptor

Atacante

FLUJO NORMAL
Los mensajes en una red se envan a partir de un emisor a uno o varios receptores El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales. 28

Emisor Atacante

Receptor

INTERRUPCION

El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Disponibilidad Ejemplos: Destruccin de una pieza de hardware, cortar los medios de comunicacin o deshabilitar los sistemas de administracin de archivos.
29

Emisor Atacante

Receptor

INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos, escalamiento de privilegios.

30

Emisor Atacante

Receptor

MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Ejemplos: Alterar la informacin que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

31

Emisor Atacante

Receptor

FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Ejemplos: Suplantacin de identidades, robo de sesiones, robo de contraseas, robo de direcciones IP, etc... Es muy difcil estar seguro de quin esta al otro lado 32 de la lnea.

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD

USUARIOS

33

Para que esperar

La mayora de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. para que esperarse?

34

Siempre tenemos algo de valor para alguien

Razones para atacar la red de una empresa:
$$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje industrial, sabotaje, Empleados descontentos, fraudes, extorsiones, (insiders). Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cmputo, etc Objetivo de oportunidad.
35

Siempre hay algo que perder

Pregunta: Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente de seguridad?
Costos econmicos (perder oportunidades de negocio). Costos de recuperacin. Costos de reparacin. Costos de tiempo. Costos legales y judiciales. Costos de imagen. Costos de confianza de clientes.
36

Qu hacer?
Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa. Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)
37

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD
HACKER CRACKER
38

USUARIOS

Cracking
Los ataques son cada vez mas complejos. Cada vez se requieren menos conocimientos para iniciar un ataque. Por qu alguien querra introducirse en mis sistemas? Por qu no? Si es tan fcil: descuidos, desconocimiento, negligencias, (factores humanos).

39

Niveles de Hackers
Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de informacin seguros, sin ser descubiertos, y tambin les da la posibilidad de difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y conozcan las debilidades de sus propios sistemas de informacin.

40

Niveles de Hackers
Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente descubren los puntos dbiles en los sistemas y pueden crear herramientas para explotarlos. Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las herramientas creadas por los de nivel 3.

41

Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo.

Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.
42

Niveles de Hackers

43

CREADORES DE SISTEMAS

GERENTES

SEGURIDAD
HACKER/CRACKER USUARIOS

ADMINISTRADORES DE T.I.

44

ADMINISTRADORES
Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) Hay actividades de seguridad que deben de realizar de manera rutinaria. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas. Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.
45

Factores tecnolgicos de riesgo

Virus informticos: Definicin

Un virus informtico es un programa (cdigo) que se replica, aadiendo una copia de s mismo a otro(s) programa(s).
Los virus informticos son particularmente dainos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la prdida total del sistema.
46

Factores tecnolgicos de riesgo

Virus informticos: Caractersticas Sus principales caractersticas son: Auto-reproduccin: Es la capacidad que tiene el programa de replicarse (hacer copias de s mismo), sin intervencin o consentimiento del usuario. Infeccin: Es la capacidad que tiene el cdigo de alojarse en otros programas, diferentes al portador original.
47

Factores tecnolgicos de riesgo

Virus informticos: Propsitos Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminndolo parcial o totalmente. Afectar el hardware: Sus instrucciones manipulan los componentes fsicos. Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida til del medio, destruir la estructura lgica para recuperacin de archivos (FAT) y otras 48 consecuencias.

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin La inmensa cantidad de virus existentes, sus diferentes propsitos, sus variados comportamientos y sus diversas consecuencias, convierten su clasificacin en un proceso complejo y polmico.

A continuacin se presentan las categoras que agrupan a la mayora de los virus conocidos. Sin embargo, es importante considerar que la aparicin diaria de virus cada vez ms sofisticados, puede llevar al surgimiento de nuevas categoras 49 en cualquier momento.

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin Virus genrico o de archivo: Se aloja como un parsito dentro de un archivo ejecutable y se replica en otros programas durante la ejecucin. Los genricos acechan al sistema esperando que se satisfaga alguna condicin (fecha del sistema o nmero de archivos en un disco). Cuando esta condicin catalizadora se presenta, el virus inicia su rutina de destruccin.
50

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin Virus mutante: En general se comporta igual que el virus genrico, pero en lugar de replicarse exactamente, genera copias modificadas de s mismo. Virus recombinables: Se unen, intercambian sus cdigos y crean nuevos virus. Virus Bounty Hunter (caza-recompensas): Estn diseados para atacar un producto antivirus particular.
51

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin Virus especficos para redes: Coleccionan contraseas de acceso a la red, para luego reproducirse y dispersar sus rutinas destructivas en todos los computadores conectados. Virus de sector de arranque: Se alojan en la seccin del disco cuyas instrucciones se cargan en memoria al inicializar el sistema. El virus alcanza la memoria antes que otros programas sean cargados e infecta cada nuevo disquete que se coloque en la unidad.
52

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin Virus de macro: Se disean para infectar las macros que acompaan a una aplicacin especfica. Una macro es un conjunto de instrucciones que ejecutan una tarea particular, activada por alguna aplicacin especfica como MS Word o MS Excel. Son virus muy fciles de programar y se dispersan rpidamente a travs de anexos a e-mail, copia de archivos usando 53 disquetes, etc.

Factores tecnolgicos de riesgo

Virus informticos: Clasificacin Virus de Internet: Se alojan en el cdigo subyacente de las pginas web. Cuando el usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema, pudiendo modificar o destruir la informacin almacenada.

Son de rpida y fcil dispersin, puesto que se alojan y viajan en un medio de acceso multitudinario: Internet.
54