Ataques
-
Upload
elbergomeztorba -
Category
Documents
-
view
21 -
download
0
Transcript of Ataques
-
5/26/2018 Ataques
1/23Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Ataques Informticos:Ataques Informticos:Medidas Preventivas yMedidas Preventivas y
CorrectivasCorrectivas
Prof. Wlmer Pereira
USB / UCAB / UCV
-
5/26/2018 Ataques
2/23Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Evolucin en los ataques ...Evolucin en los ataques ...
Primera Generacin (Ataque Fsico): se centraban en loscomponentes electrnicos .
Se!n"a Generacin (Ataque Sintctico): son contra la lica
operati#a "e las comp!ta"oras $ las re"es. Preten"en e%plotar las#!lnerabili"a"es "e los proramas& aloritmos "e cifra"o $ losprotocolos.
'ercera Generacin (Ataque Semntico): colocacin "e informacin
falsa en me"ios informati#os& sam& falsificacin "e emails& estafas"e #entas por nternet& alteracin "e bases "e "atos "e n"icesesta"sticos o b!rs*tiles& etc.
-
5/26/2018 Ataques
3/23Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Clases de ataquesClases de ataques
+,mero "e pa-!etes a en#iar en el ata-!e:Atomic: se re-!iere !n ,nico pa-!ete para lle#arlo a cabo
Composite: son necesarios m,ltiples pa-!etes
nformacin necesaria para lle#ar a cabo el ata-!e:
Conte%t: se re-!iere ,nicamente la cabecera "el protocoloContent: es necesario tambin el campo "e "atos oayload
ContextContext
Ping de la MuertePing de la MuerteLand attackLand attack
WinnukeWinnuke
Escaneo de PuertosEscaneo de PuertosSYN FloodSYN Flood
TCP HijackingTCP Hijacking
ContentContent
Ataque DNSAtaque DNSProxied RPCProxied RPC
Ataque IISAtaque IIS
Ataques SMTPAtaques SMTPString matchesString matches
SniffingSniffing
AtomicAtomic CompositeComposite
-
5/26/2018 Ataques
4/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Pasi#os:sc!c0ar $ monitorear a escon"i"as
Pasi#os:sc!c0ar $ monitorear a escon"i"as
1ifcil "e "etectar& slo se p!e"e pre#enir
Acti#os:S!plantar i"enti"a"&nfiltrar ser#i"ores2o"ificar informacin+ear ser#icio
Acti#os:S!plantar i"enti"a"&
nfiltrar ser#i"ores2o"ificar informacin+ear ser#icio
1ifcil "e pre#enir&m*s se p!e"e "etectar
!ios de Ataques!ios de Ataques
-
5/26/2018 Ataques
5/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
ntercepcin 2o"ificacin
3abricacin nterr!pcin
: misor4: 4eceptor: ntr!so
4
4
4 4
Modelos de AtaquesModelos de Ataques
-
5/26/2018 Ataques
6/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Ataques ...Ataques ...
CABALLOS DE TROYA : ntro"!ccin "entro "e !n prorama !nar!tina o con5!nto "e instr!cciones& no a!tori6a"as& "esconoci"a "ela #ctima. l prorama act,a "e !na forma "iferente a comoestaba pre#isto (por e5emplo roban"o e informan"o al crac"er) ocambia el c"io f!ente para incl!ir !na p!erta trasera.
INGENIERIA SOCIAL: Con#encer a la #ctima "e 0acer lo -!e enreali"a" no "ebera.
S!plantacin "e !na a!tori"a"Ata-!e al eoProfesiones ano"inas (personal "e limpie6a& telfono& etc)4ecompensa (conc!rso "e contrase7as :( 8)
-
5/26/2018 Ataques
7/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
FOOTPRINTING: %traer to"a la informacin posible "elob5eti#o "el ata-!e& $a sea !n sistema& re" o "ispositi#oelectrnico& pre#io al ata-!e. sto se lora re#isan"o los r!pos"e noticias p,blicos "e esa com!ni"a" (por e5emplo& whois) o
los f!entes 9'2 "e las p*inas Web (wget).
%isten otras !tili"a"es: ping& finger(en "es!so)& rusers&nslookup& rcpinfo& etc. sta es la fase pre#ia a la preparacin"e !n ata-!e o el inicio "e !na a!"itora.
Ataques ...Ataques ...
-
5/26/2018 Ataques
8/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
FINGERPRINTING: %traer informacin "e !n sistema& i"entifican"o el
sistema operati#o $ las #!lnerabili"a"es "e la #ersin .
FI# ro$e: Al en#iarse !n pa-!ete 3+ !nos sistemas remotos no respon"en& otros
como Win"o;s +' "e#!el#en !n 3+ACC2P port !nreac0able? p!e"e e%aminarse el campo '@S&
-!e s!ele ser cero pero p!e"e #ariar.
!!-: C!*l es el #alor "e los pa-!etes salientes en el campo !ime !o -ive !!-/
Ataques ...Ataques ...
-
5/26/2018 Ataques
9/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
ESCANEO DE PUERTOS (Port Surfing):B!scar p!ntos "eentra"a o ser#icios instala"os en los p!ertos bien conoci"os. Se!sa nmap.
0 !CP connect scan: me"iante el establecimiento "e !nacone%in 'CP completa ( pasos).
!CP S1# scan: se abren cone%iones a me"ias& $a -!e simplemente se en#a el pa-!ete S=+ inicial& "eterminan"o la e%istencia "e !n ser#icio si se recibe el S=+AC
-
5/26/2018 Ataques
10/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
SNIFFING: ntercepcin pasi#a "el tr*fico "e re". Se !sa wiresharkcorrien"o sobre el p!erto promisc!o "el s;itc0 o en !n 0!b. stemto"o lo !tili6a el atacante para capt!rar loin $ pass;or"s "e!s!arios& c!an"o #ia5an en claro al inresar a sistemas "e accesoremoto. 'ambin son !tili6a"os para capt!rar n,meros "e tar5etas "e
cr"ito $ "irecciones "e email entrantes $ salientes. @tro !so es para"eterminar relaciones entre orani6aciones e in"i#i"!os.
Ataques ...Ataques ...
SNOOPING: Al i!al -!e el sniffin&es obtener la informacin sinmo"ificarla. Sin embaro los mto"os son "iferentes !san0erramienta estilo tro$anos (ttysnoop). os casos m*s conoci"os
f!eron : el robo "e !n arc0i#o con m*s "e DEFF n,meros "e tar5etas "ecr"ito "es"e !na compa7a "e m,sica m!n"ialmente famosa& $ la"if!sin ileal "e reportes oficiales reser#a"os "e las +acionesUni"as& acerca "e la #iolacin "e "erec0os 0!manos en al!nospases e!ropeos en esta"o "e !erra.
-
5/26/2018 Ataques
11/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
TAMPERING O DATA DIDDLING: 2o"ificacin "esa!tori6a"a alos "atos& o al soft;are instala"o& incl!$en"o borra"o "e arc0i#os.stos ata-!es son partic!larmente serios c!an"o el atacante 0aobteni"o "erec0os "e a"ministra"or p!es p!e"en lle#ar 0asta !n1oS. os atacantes p!e"en ser emplea"os (o e%ternos) bancarios
-!e crean falsas c!entas para "eri#ar fon"os "e otras c!entas&est!"iantes -!e mo"ifican calificaciones "e e%*menes& ocontrib!$entes -!e paan para -!e se les an!le la "e!"a "eimp!estos. 2,ltiples ;eb sites 0an si"o #ctimas "el cambio "es!s 2ome a&epor im*enes terroristas o 0!morsticas& o elreempla6o "e #ersiones "e soft;are para do3nloadpor otros con elmismo nombre pero -!e incorporan c"io malicioso como #ir!so tro$anos(Back Orifficeo NetBus).
Ataques ...Ataques ...
-
5/26/2018 Ataques
12/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
IP SPOOFING: S!plantacin "e i"enti"a" como por e5emploconse!ir el nombre $ pass;or" "e !n !s!ario letimo. l intr!so!s!almente !tili6a !n sistema como trampoln para inresar en otro&$ as s!cesi#amente. ste proceso& llama"o looin&& tiene la finali"a""e e#aporar la i"entificacin $ la !bicacin "el atacante. @traconsec!encia "el looin&es -!e !na compa7a o obierno p!e"ens!poner -!e est*n sien"o ataca"os por !n competi"or o !na aencia"e obierno e%tran5era& c!an"o en reali"a" p!e"e estar sien"oataca"a por !n insider& o por !n est!"iante a miles "e ms "e"istancia& pero -!e 0a toma"o la i"enti"a" "e otros.
SMTP SPOOFING Y SPAMMING: el p!erto 'CP HI no reali6aa!tenticacin
Ataques ...Ataques ...
-
5/26/2018 Ataques
13/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
DoS: Ata-!e -!e se concentra en sobrepasar los lmites "e rec!rsosestableci"os para !n ser#icio "etermina"o& obtenien"o comores!lta"o la eliminacin temporal "el mismo.
Fin&er %om$: permite for6ar al sistema "estino a !n cons!mo
ele#a"o "e CPU reali6an"o !na peticin finer rec!rsi#a. Scriptscomo "aut 0acen !so "e esta #!lnerabili"a" ($a s!pera"a).
#et Flood: sat!ra el sistema con mensa5es -!e re-!ierenestablecer cone%in: TCP SYN Flood, ConnectionFlood, STP Flood
DDoS: DISTRIBUTED DoS: 4eali6ar ata-!es 1oS en forma masi#aa !n mismo ob5eti#o #isible "es"e "istintos l!ares "e la re".
Ataques ...Ataques ...
-
5/26/2018 Ataques
14/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Fin&errintin& con nsloo"uFin&errintin& con nsloo"u
-
5/26/2018 Ataques
15/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Soluciones reventivasSoluciones reventivas
4e"!cir f!ncionali"a"es a las necesarias (2ardenin&) $ refor6ar las-!e -!e"an (armorin&)
nstalar parc0es "e se!ri"a"
star s!scrito a informacin sobre se!ri"a"
VP+& 3ire;alls e 1S
C4' (Comuter Emer&ency 4esonse !eam). n Vene6!ela esVenC4' a"ministra"o por SUSC4' (USA tiene JH C4'S ...).'o"os estan coor"ina"os por 34S' (Forum of Incident 4esonse andSecurity !eams) 0ttp://;;;.first.or
A ni#el latinoamericano est* tambin AC+C/se!ri"a" (-atinAmerican and Cari$$ean Internet Addresses 4e&istry)
-
5/26/2018 Ataques
16/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar
la informacin para esclarecer los hechos y formular hiptesis
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretarla informacin para esclarecer los hechos y formular hiptesis
Solucin Correctiva:Solucin Correctiva:Informtica ForenseInformtica Forense
Evidencia Digital: Correos, archivos e imgenes !istricos y archivos de configuracin !o"as de clculo, bases de datos, etc.
Debe considerarse que puede ser duplicada, eliminada y alterada
Procedimientos: #sterilidad para evitar contaminacin
$erificacin y resguardo mediante firma digital %antenimiento de la cadena de custodia &quien la entreg, como, '(
Herramientas: Propietarias y cdigo abierto &http!""www#e$idence#info"$endors#html (
Error episodio CSI (2005)
Greg Sander ley correos
de un computador en unaescena del crimen
Error episodio CSI (2005)
Greg Sander ley correos
de un computador en una
escena del crimen
-
5/26/2018 Ataques
17/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
)*rmino acu+ado en %) alrededor de -/ ' nicialmente
acu+ado a desarrolladores de aplicaciones sofisticadas
)*rmino acu+ado en %) alrededor de -/ ' nicialmente
acu+ado a desarrolladores de aplicaciones sofisticadas
5ac"in&5ac"in&
ntruso 0dministrador nvestigador
#n general todos especialistas en informtica
Actores en Informtica ForenseActores en Informtica Forense
Hackersde sombrero blanco: Personas cuyo motivo es aumentarsu e1perticia t*cnica para e1plorar sistemas y diagnosticar fallas.
Hackersde sombrero negro: 2on la peor faceta del sentido de los
!ac"ers. 2on delincuente que se apropian de informacin para subeneficio personal
Ciberterrorista #!rea"ers Script "iddies Crac"ers 3esarrolladores de virus 0tacante interno
-
5/26/2018 Ataques
18/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Fases de una Auditora o AtaqueFases de una Auditora o Ataque
#l atacante o auditor del sistema4
5econocimiento general45ecoleccin de datos por nternet &whois(5evisin del sistema atacado#numeracin de servicios &nmap(
$ulneracin del sistema4Comprometer el sistema, servicios o programas#scalar los privilegios%antener el control &troyanos(
#liminacin y transferencia46orrado de rastros manteniendo el control6usqueda de otras mquinas a partir de la atacada
-
5/26/2018 Ataques
19/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
P&inas de interes ...P&inas de interes ...
0uditora y !ac"ingben*fico4
http477888.phrac9.org &volumen --, n:mero /4 0ntiforense ...(
http477888.insecuremag.com
http477888.cgisecurity.com
!erramientas forenses4
#ncase4 http477888.encase.com7products7ef;inde1.asp
it4 http477888.sleuth9it.org&open source(
http://www.sleuthkit.org/http://www.sleuthkit.org/ -
5/26/2018 Ataques
20/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Administrador ...Administrador ...
5esponsable del buen desempe+o del sistema operativo,
la seguridad, la red, las aplicaciones instaladas,
los programas de clientes, la base de datos ...
?os roles pueden estar separados dependiendo de la talla de
la institucin.
%uchas veces el rol del administrador de seguridad se contrapone
a las funcionalidades operativas.
2e requiere capacidad t*cnica y e1periencia. @o basta que
funcione ' debe ser de manera confiable ...
?a transparencia que ofrece el modelo Web, facilita el desarrollo
de aplicaciones pero es un modelo ms vulnerable.
?a auditora y logs son vitales para el buen funcionamiento de los
sistemas
-
5/26/2018 Ataques
21/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
5erramientas de revencin5erramientas de revencin
5edes Privadas $irtuales &$P@( Cliente75ed o 5ed75ed )ransparentes o no )ransparentes
ernel
Polticas4 por defecto todo permitido o todo prohibido
2istemas de deteccin de intrusos &32( %quina
$erificador de integridad
%onitor de registros o histricos !oney Pot
5ed 3eteccin de uso indebido 3eteccin por anomalas
-
5/26/2018 Ataques
22/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Investi&ador ...Investi&ador ...
"entificacin nicio "e la ca"ena "e c!sto"io
Preser#acin K nteri"a" "e la e#i"encia fsica $ "iital
An*lisis K 4e#isin e%0a!sti#a "e la e#i"encia
Presentacin K nforme lo menos tcnico posible.
Certificaciones:
ACS: Proramas "e certificacin forense C3C
9'C+& S3A& S3C& etc ...
-
5/26/2018 Ataques
23/23
Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello
Cometencia simulacin de 6uicioCometencia simulacin de 6uicio
Gr!po inter"isciplinario "e est!"iantes "e inform*tica& "erec0o $
com!nicacin social
Ca"a !ni#ersi"a" conforma I e-!ipos: fiscala& peritos "e la fiscala&
"efensa& peritos "e la "efensa $ com!nica"ores sociales
Varias !ni#ersi"a"es& con s!s e-!ipos& conforman 5!icios sim!ltaneos
"on"e se "esarrolla el mismo caso
Slo el 5!e6 ser* !n actor e%terno& "e 0ec0o 5!eces en e5ercicio o
5!bila"os
Ca"a e-!ipo es p!nt!a"o por e#al!a"ores e%ternos $ se s!man los
p!ntos "e los I e-!ipos "e ca"a !ni#ersi"a". a -!e obtena ma$or
p!nt!acin es la !ni#ersi"a" ana"ora