Ataques

5/26/2018 Ataques

1/23Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

Ataques Informticos:Ataques Informticos:Medidas Preventivas yMedidas Preventivas y

CorrectivasCorrectivas

Prof. Wlmer Pereira

USB / UCAB / UCV

5/26/2018 Ataques


Evolucin en los ataques ...Evolucin en los ataques ...

Primera Generacin (Ataque Fsico): se centraban en loscomponentes electrnicos .

Se!n"a Generacin (Ataque Sintctico): son contra la lica

operati#a "e las comp!ta"oras $ las re"es. Preten"en e%plotar las#!lnerabili"a"es "e los proramas& aloritmos "e cifra"o $ losprotocolos.

'ercera Generacin (Ataque Semntico): colocacin "e informacin

falsa en me"ios informati#os& sam& falsificacin "e emails& estafas"e #entas por nternet& alteracin "e bases "e "atos "e n"icesesta"sticos o b!rs*tiles& etc.

5/26/2018 Ataques


Clases de ataquesClases de ataques

+,mero "e pa-!etes a en#iar en el ata-!e:Atomic: se re-!iere !n ,nico pa-!ete para lle#arlo a cabo

Composite: son necesarios m,ltiples pa-!etes

nformacin necesaria para lle#ar a cabo el ata-!e:

Conte%t: se re-!iere ,nicamente la cabecera "el protocoloContent: es necesario tambin el campo "e "atos oayload

ContextContext

Ping de la MuertePing de la MuerteLand attackLand attack

WinnukeWinnuke

Escaneo de PuertosEscaneo de PuertosSYN FloodSYN Flood

TCP HijackingTCP Hijacking

ContentContent

Ataque DNSAtaque DNSProxied RPCProxied RPC

Ataque IISAtaque IIS

Ataques SMTPAtaques SMTPString matchesString matches

SniffingSniffing

AtomicAtomic CompositeComposite

5/26/2018 Ataques

4/23

Universidad Simn Bolvar Prof. Wlmer Pereira Universidad Catlica Andrs Bello

Pasi#os:sc!c0ar $ monitorear a escon"i"as

Pasi#os:sc!c0ar $ monitorear a escon"i"as

1ifcil "e "etectar& slo se p!e"e pre#enir

Acti#os:S!plantar i"enti"a"&nfiltrar ser#i"ores2o"ificar informacin+ear ser#icio

Acti#os:S!plantar i"enti"a"&

nfiltrar ser#i"ores2o"ificar informacin+ear ser#icio

1ifcil "e pre#enir&m*s se p!e"e "etectar

!ios de Ataques!ios de Ataques

5/26/2018 Ataques

5/23


ntercepcin 2o"ificacin

3abricacin nterr!pcin

: misor4: 4eceptor: ntr!so

4

4

4 4

Modelos de AtaquesModelos de Ataques

5/26/2018 Ataques

6/23


Ataques ...Ataques ...

CABALLOS DE TROYA : ntro"!ccin "entro "e !n prorama !nar!tina o con5!nto "e instr!cciones& no a!tori6a"as& "esconoci"a "ela #ctima. l prorama act,a "e !na forma "iferente a comoestaba pre#isto (por e5emplo roban"o e informan"o al crac"er) ocambia el c"io f!ente para incl!ir !na p!erta trasera.

INGENIERIA SOCIAL: Con#encer a la #ctima "e 0acer lo -!e enreali"a" no "ebera.

S!plantacin "e !na a!tori"a"Ata-!e al eoProfesiones ano"inas (personal "e limpie6a& telfono& etc)4ecompensa (conc!rso "e contrase7as :( 8)

5/26/2018 Ataques

7/23


FOOTPRINTING: %traer to"a la informacin posible "elob5eti#o "el ata-!e& $a sea !n sistema& re" o "ispositi#oelectrnico& pre#io al ata-!e. sto se lora re#isan"o los r!pos"e noticias p,blicos "e esa com!ni"a" (por e5emplo& whois) o

los f!entes 9'2 "e las p*inas Web (wget).

%isten otras !tili"a"es: ping& finger(en "es!so)& rusers&nslookup& rcpinfo& etc. sta es la fase pre#ia a la preparacin"e !n ata-!e o el inicio "e !na a!"itora.


5/26/2018 Ataques

8/23


FINGERPRINTING: %traer informacin "e !n sistema& i"entifican"o el

sistema operati#o $ las #!lnerabili"a"es "e la #ersin .

FI# ro$e: Al en#iarse !n pa-!ete 3+ !nos sistemas remotos no respon"en& otros

como Win"o;s +' "e#!el#en !n 3+ACC2P port !nreac0able? p!e"e e%aminarse el campo '@S&

-!e s!ele ser cero pero p!e"e #ariar.

!!-: C!*l es el #alor "e los pa-!etes salientes en el campo !ime !o -ive !!-/


5/26/2018 Ataques

9/23


ESCANEO DE PUERTOS (Port Surfing):B!scar p!ntos "eentra"a o ser#icios instala"os en los p!ertos bien conoci"os. Se!sa nmap.

0 !CP connect scan: me"iante el establecimiento "e !nacone%in 'CP completa ( pasos).

!CP S1# scan: se abren cone%iones a me"ias& $a -!e simplemente se en#a el pa-!ete S=+ inicial& "eterminan"o la e%istencia "e !n ser#icio si se recibe el S=+AC

5/26/2018 Ataques

10/23


SNIFFING: ntercepcin pasi#a "el tr*fico "e re". Se !sa wiresharkcorrien"o sobre el p!erto promisc!o "el s;itc0 o en !n 0!b. stemto"o lo !tili6a el atacante para capt!rar loin $ pass;or"s "e!s!arios& c!an"o #ia5an en claro al inresar a sistemas "e accesoremoto. 'ambin son !tili6a"os para capt!rar n,meros "e tar5etas "e

cr"ito $ "irecciones "e email entrantes $ salientes. @tro !so es para"eterminar relaciones entre orani6aciones e in"i#i"!os.


SNOOPING: Al i!al -!e el sniffin&es obtener la informacin sinmo"ificarla. Sin embaro los mto"os son "iferentes !san0erramienta estilo tro$anos (ttysnoop). os casos m*s conoci"os

f!eron : el robo "e !n arc0i#o con m*s "e DEFF n,meros "e tar5etas "ecr"ito "es"e !na compa7a "e m,sica m!n"ialmente famosa& $ la"if!sin ileal "e reportes oficiales reser#a"os "e las +acionesUni"as& acerca "e la #iolacin "e "erec0os 0!manos en al!nospases e!ropeos en esta"o "e !erra.

5/26/2018 Ataques

11/23


TAMPERING O DATA DIDDLING: 2o"ificacin "esa!tori6a"a alos "atos& o al soft;are instala"o& incl!$en"o borra"o "e arc0i#os.stos ata-!es son partic!larmente serios c!an"o el atacante 0aobteni"o "erec0os "e a"ministra"or p!es p!e"en lle#ar 0asta !n1oS. os atacantes p!e"en ser emplea"os (o e%ternos) bancarios

-!e crean falsas c!entas para "eri#ar fon"os "e otras c!entas&est!"iantes -!e mo"ifican calificaciones "e e%*menes& ocontrib!$entes -!e paan para -!e se les an!le la "e!"a "eimp!estos. 2,ltiples ;eb sites 0an si"o #ctimas "el cambio "es!s 2ome a&epor im*enes terroristas o 0!morsticas& o elreempla6o "e #ersiones "e soft;are para do3nloadpor otros con elmismo nombre pero -!e incorporan c"io malicioso como #ir!so tro$anos(Back Orifficeo NetBus).


5/26/2018 Ataques

12/23


IP SPOOFING: S!plantacin "e i"enti"a" como por e5emploconse!ir el nombre $ pass;or" "e !n !s!ario letimo. l intr!so!s!almente !tili6a !n sistema como trampoln para inresar en otro&$ as s!cesi#amente. ste proceso& llama"o looin&& tiene la finali"a""e e#aporar la i"entificacin $ la !bicacin "el atacante. @traconsec!encia "el looin&es -!e !na compa7a o obierno p!e"ens!poner -!e est*n sien"o ataca"os por !n competi"or o !na aencia"e obierno e%tran5era& c!an"o en reali"a" p!e"e estar sien"oataca"a por !n insider& o por !n est!"iante a miles "e ms "e"istancia& pero -!e 0a toma"o la i"enti"a" "e otros.

SMTP SPOOFING Y SPAMMING: el p!erto 'CP HI no reali6aa!tenticacin


5/26/2018 Ataques

13/23


DoS: Ata-!e -!e se concentra en sobrepasar los lmites "e rec!rsosestableci"os para !n ser#icio "etermina"o& obtenien"o comores!lta"o la eliminacin temporal "el mismo.

Fin&er %om$: permite for6ar al sistema "estino a !n cons!mo

ele#a"o "e CPU reali6an"o !na peticin finer rec!rsi#a. Scriptscomo "aut 0acen !so "e esta #!lnerabili"a" ($a s!pera"a).

#et Flood: sat!ra el sistema con mensa5es -!e re-!ierenestablecer cone%in: TCP SYN Flood, ConnectionFlood, STP Flood

DDoS: DISTRIBUTED DoS: 4eali6ar ata-!es 1oS en forma masi#aa !n mismo ob5eti#o #isible "es"e "istintos l!ares "e la re".


5/26/2018 Ataques

14/23


Fin&errintin& con nsloo"uFin&errintin& con nsloo"u

5/26/2018 Ataques

15/23


Soluciones reventivasSoluciones reventivas

4e"!cir f!ncionali"a"es a las necesarias (2ardenin&) $ refor6ar las-!e -!e"an (armorin&)

nstalar parc0es "e se!ri"a"

star s!scrito a informacin sobre se!ri"a"

VP+& 3ire;alls e 1S

C4' (Comuter Emer&ency 4esonse !eam). n Vene6!ela esVenC4' a"ministra"o por SUSC4' (USA tiene JH C4'S ...).'o"os estan coor"ina"os por 34S' (Forum of Incident 4esonse andSecurity !eams) 0ttp://;;;.first.or

A ni#el latinoamericano est* tambin AC+C/se!ri"a" (-atinAmerican and Cari$$ean Internet Addresses 4e&istry)

5/26/2018 Ataques

16/23


Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar

la informacin para esclarecer los hechos y formular hiptesis

Ciencia que apoyada en la evidencia digital, procura descubrir e interpretarla informacin para esclarecer los hechos y formular hiptesis

Solucin Correctiva:Solucin Correctiva:Informtica ForenseInformtica Forense

Evidencia Digital: Correos, archivos e imgenes !istricos y archivos de configuracin !o"as de clculo, bases de datos, etc.

Debe considerarse que puede ser duplicada, eliminada y alterada

Procedimientos: #sterilidad para evitar contaminacin

$erificacin y resguardo mediante firma digital %antenimiento de la cadena de custodia &quien la entreg, como, '(

Herramientas: Propietarias y cdigo abierto &http!""www#e$idence#info"$endors#html (

Error episodio CSI (2005)

Greg Sander ley correos

de un computador en unaescena del crimen

Error episodio CSI (2005)

Greg Sander ley correos

de un computador en una

escena del crimen

5/26/2018 Ataques

17/23


)*rmino acu+ado en %) alrededor de -/ ' nicialmente

acu+ado a desarrolladores de aplicaciones sofisticadas

)*rmino acu+ado en %) alrededor de -/ ' nicialmente

acu+ado a desarrolladores de aplicaciones sofisticadas

5ac"in&5ac"in&

ntruso 0dministrador nvestigador

#n general todos especialistas en informtica

Actores en Informtica ForenseActores en Informtica Forense

Hackersde sombrero blanco: Personas cuyo motivo es aumentarsu e1perticia t*cnica para e1plorar sistemas y diagnosticar fallas.

Hackersde sombrero negro: 2on la peor faceta del sentido de los

!ac"ers. 2on delincuente que se apropian de informacin para subeneficio personal

Ciberterrorista #!rea"ers Script "iddies Crac"ers 3esarrolladores de virus 0tacante interno

5/26/2018 Ataques

18/23


Fases de una Auditora o AtaqueFases de una Auditora o Ataque

#l atacante o auditor del sistema4

5econocimiento general45ecoleccin de datos por nternet &whois(5evisin del sistema atacado#numeracin de servicios &nmap(

$ulneracin del sistema4Comprometer el sistema, servicios o programas#scalar los privilegios%antener el control &troyanos(

#liminacin y transferencia46orrado de rastros manteniendo el control6usqueda de otras mquinas a partir de la atacada

5/26/2018 Ataques

19/23


P&inas de interes ...P&inas de interes ...

0uditora y !ac"ingben*fico4

http477888.phrac9.org &volumen --, n:mero /4 0ntiforense ...(

http477888.insecuremag.com

http477888.cgisecurity.com

!erramientas forenses4

#ncase4 http477888.encase.com7products7ef;inde1.asp

it4 http477888.sleuth9it.org&open source(
http://www.sleuthkit.org/http://www.sleuthkit.org/

5/26/2018 Ataques

20/23


Administrador ...Administrador ...

5esponsable del buen desempe+o del sistema operativo,

la seguridad, la red, las aplicaciones instaladas,

los programas de clientes, la base de datos ...

?os roles pueden estar separados dependiendo de la talla de

la institucin.

%uchas veces el rol del administrador de seguridad se contrapone

a las funcionalidades operativas.

2e requiere capacidad t*cnica y e1periencia. @o basta que

funcione ' debe ser de manera confiable ...

?a transparencia que ofrece el modelo Web, facilita el desarrollo

de aplicaciones pero es un modelo ms vulnerable.

?a auditora y logs son vitales para el buen funcionamiento de los

sistemas

5/26/2018 Ataques

21/23


5erramientas de revencin5erramientas de revencin

5edes Privadas $irtuales &$P@( Cliente75ed o 5ed75ed )ransparentes o no )ransparentes

ernel

Polticas4 por defecto todo permitido o todo prohibido

2istemas de deteccin de intrusos &32( %quina

$erificador de integridad

%onitor de registros o histricos !oney Pot

5ed 3eteccin de uso indebido 3eteccin por anomalas

5/26/2018 Ataques

22/23


Investi&ador ...Investi&ador ...

"entificacin nicio "e la ca"ena "e c!sto"io

Preser#acin K nteri"a" "e la e#i"encia fsica $ "iital

An*lisis K 4e#isin e%0a!sti#a "e la e#i"encia

Presentacin K nforme lo menos tcnico posible.

Certificaciones:

ACS: Proramas "e certificacin forense C3C

9'C+& S3A& S3C& etc ...

5/26/2018 Ataques

23/23


Cometencia simulacin de 6uicioCometencia simulacin de 6uicio

Gr!po inter"isciplinario "e est!"iantes "e inform*tica& "erec0o $

com!nicacin social

Ca"a !ni#ersi"a" conforma I e-!ipos: fiscala& peritos "e la fiscala&

"efensa& peritos "e la "efensa $ com!nica"ores sociales

Varias !ni#ersi"a"es& con s!s e-!ipos& conforman 5!icios sim!ltaneos

"on"e se "esarrolla el mismo caso

Slo el 5!e6 ser* !n actor e%terno& "e 0ec0o 5!eces en e5ercicio o

5!bila"os

Ca"a e-!ipo es p!nt!a"o por e#al!a"ores e%ternos $ se s!man los

p!ntos "e los I e-!ipos "e ca"a !ni#ersi"a". a -!e obtena ma$or

p!nt!acin es la !ni#ersi"a" ana"ora

Ataques

Documents

Transcript of Ataques