Documente Academic
Documente Profesional
Documente Cultură
Anatoma de los ataques informticos y medidas tcnicas preventivas 1- Introduccin 2- Anatoma de un ataque 3- Principales vulnerabilidades
1- Introduccin
Introduccin
Cualquiera puede ser objetivo de un ataque No solo son susceptibles los PC, tambin mviles, PDAs, etc. Internet es un territorio hostil Los atacantes tienen intereses econmicos
Qu es seguridad?
La seguridad absoluta es indemostrable. Se habla de fiabilidad Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability):
Confidencialidad: Slo pueden acceder a los recursos de un sistema los agentes autorizados Integridad: Los recursos del sistema slo pueden ser modificados por los agentes autorizados Disponibilidad: Los recursos del sistema tienen que estar a disposicin de los agentes autorizados (contrario: denegacin de servicio) Y msAutenticacin y autorizacin
Anatoma de ataques informticos Gabriel Daz Orueta 7
Qu queremos proteger?
Los recursos del sistema
Hardware Software Datos
Anlisis de amenazas Evaluacin de (posibles) prdidas y su probabilidad Definicin de una poltica de seguridad Implementacin de la poltica: mecanismos de seguridad
De prevencin: durante el funcionamiento normal del sistema De deteccin: mientras se produce un intento de ataque De recuperacin: tras un ataque, para retornar a un funcionamiento correcto: Anlisis forense
12
Vulnerabilidad
La vulnerabilidad de una organizacin depende de: El grado de publicidad de la organizacin El coste de los ataques La exposicin de la organizacin a los ataques externos La exposicin de la organizacin ante ataques internos, o ante la facilitacin de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: Motivacin: Qu ventaja o provecho se puede sacar por obtener o destruir informacin? Confianza: En qu medida se puede contar con los usuarios?
13
Amenazas
Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un dao a una organizacin mediante la exposicin, modificacin o destruccin de informacin, o mediante la denegacin de servicios crticos Los malos van a tratar de actuar sobre mi sistema? Puede ocurrir que elementos no deseados accedan (leyendo o modificando) informacin importante para mi organizacin? Puede ocurrir que la reputacin de mi organizacin se vea comprometida?
14
Tipos de amenazas
Fallo de componentes (hardware o software). Ej. cada del cortafuegos, fallos de un protocolo Exposicin de la informacin: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... Utilizacin de la informacin para usos no previstos. Puede venir del exterior o del interior Borrado o modificacin de la informacin. Puede conllevar prdidas de integridad o confidencialidad Penetracin: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegacin de servicios... Suplantacin: Intentos de confundirse con un usuario legtimo para sustraer servicios, informacin, o para iniciar transacciones que comprometan a la organizacin
15
17
18
19
Contramedidas
Identificacin y Autenticacin (I&A). Procedimiento por el que se reconocen y verifican identidades vlidas de usuarios y procesos. Tres tipos:
Esttica (username/password) Robusta (claves de un solo uso, firmas electrnicas) Continua (firmas electrnicas aplicadas a todo el contenido de la sesin)
Control de la adquisicin y actualizacin del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias Cifrado. Proporciona confidencialidad, autenticidad e integridad Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc
Anatoma de ataques informticos Gabriel Daz Orueta 20
Contramedidas
Gestin de incidentes. Deteccin de ataques, histricos, control de integridad, etc Acciones administrativas. Identificacin de responsables de seguridad, poltica de sanciones, polticas de privacidad, definicin de buenas prcticas de uso, etc Formacin. Informacin a los usuarios de las amenazas y cmo prevenirlas, polticas de la empresa frente a fallos de seguridad, etc
21
2- Anatoma de un ataque
CPU
22
Clasificacin
Segn el origen:
Externo. Realizados desde el exterior del sistema Interno. Realizados desde el interior del sistema
Segn la complejidad:
No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los ms peligrosos
23
Anatoma de un ataque
Borrando las huellas
Bsqueda
Acceso
Rastreo
Obtencin de privilegios
Puertas traseras
Enumeracin
Pilfering
Denegacin de servicio
24
Tcnicas
Bsquedas en informacin pblica (Google: nombre -> URL) Interfaz Web a whois ARIN, RIPE whois DNS zone transfer (nslookup) Reconocimiento de redes (traceroute)
25
Ejemplo de bsqueda
Nombre empresa
Web
Dominio
sobre el dominio
26
Transferencia de zona
Un servidor de nombres primario (secundario) transfiere toda su base de datos a un servidor secundario
Definicin de zona
$TTL 86400 @ IN 42 3H 15M 1W 1D ) IN IN IN IN IN IN IN IN IN IN IN IN IN IN IN IN SOA dominio_ejemplo.org. postmaster.dominio_ejemplo.org. ( ; serial ; refresh ; retry ; expiry ; minimum ns1.dominio_ejemplo.org. ns2.dominio_ejemplo.org. 10 mx1.dominio_ejemplo.org. 20 mx2.dominio_ejemplo.org. "dominio_ejemplo.org" "Intel Pentium IV" "Fedora Core"
nombre
@ ns1 ns2 mx1 mx2 www www2 webmail smtp redirect
@ @ @ @ @ @
Primario
Secundario
IP
215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 215.127.55.12 215.127.55.12 Anatoma de ataques dominio_ejemplo.no-ip.info
Transferencia de zona
informticos 27 Se pueden conseguir las IPs activas en el dominio Gabriel Daz Orueta
Tcnicas
Ping sweep (fping, nmap) Consultas ICMP (icmpquery) TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) Deteccin del sistema operativo (nmap, queso) Herramientas de descubrimiento automtico (Chaos)
Anatoma de ataques informticos Gabriel Daz Orueta 29
Ejemplo de rastreo
fping
Una vez que sabemos las IPs o los nombres podemos saber si estn activas
30
Tcnicas
Listados de cuentas (finger) Listados de ficheros compartidos (showmount, enumeracin NetBIOS) Identificacin de aplicaciones (banners, rpcinfo, rpcdump, etc.) NT Resource Kit
Contramedidas
Las del rastreo Control del Software Formacin de los usuarios
Anatoma de ataques informticos Gabriel Daz Orueta
32
Ejemplo
www.inforg.uned.es nslookup 156.35.131.170
telnet 156.35.131.170 80
HTTP/1.1 400 Bad Request Date: Mon, 04 Feb 2008 11:15:13 GMT Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 mod_ssl/2.2.3 OpenSSL/0.9.8c Content-Length: 360 Connection: close Content-Type: text/html; charset=iso-8859-1
Sabemos que el servicio Web est activo, Que el servidor Web es Apache Que el SO es Debian
33
Tcnicas
Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) Forzado de recursos compartidos Obtencin del fichero de passwords Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) Ingeniera social
Anatoma de ataques informticos Gabriel Daz Orueta 34
Tcnicas
Vulnerabilidades conocidas Desbordamiento de buffers, errores en el formato de cadenas, ataques de validacin de entradas Capturadores de teclado Las del acceso
Contramedidas
Las del acceso
Anatoma de ataques informticos Gabriel Daz Orueta 36
Tcnicas
Evaluacin del nivel de confianza (rhosts, secretos LSA) Bsqueda de passwords en claro (bases de datos, servicios Web)
Contramedidas
Las del acceso Herramientas de monitorizacin de red Actuaciones en el nivel de arquitectura
Anatoma de ataques informticos Gabriel Daz Orueta 37
Tcnicas
Limpieza de logs Ocultacin de herramientas Troyanos y puertas traseras
Contramedidas
Gestin de histricos y monitorizacin, a nivel de red y a nivel de host. Control del SW instalado
Anatoma de ataques informticos Gabriel Daz Orueta 38
Tcnicas
Cuentas de usuario ficticias, robadas o inactivas Trabajos batch Ficheros de arranque infectados, libreras o ncleos modificados Servicios de control remoto y caballos de Troya (Back Orifice) Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) Ocultacin del trfico de red y ocultacin de procesos
Anatoma de ataques informticos Gabriel Daz Orueta 39
40
Tcnicas
Inundacin de SYNs Tcnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idnticos
Contramedidas
Configuracin cuidadosa de los cortafuegos y routers
Anatoma de ataques informticos Gabriel Daz Orueta 41
Mquina objetivo
Mquina origen
43
44
46
3- Principales vulnerabilidades
48
Usuario Remoto
Servidor 7 Servidor 10 LAN DMZ DMZ interna Control de acceso al router inadecuado: ACLs mal configuradas en el router pueden 13 permitir la fuga de informacin a travs de Estacin 12 paquetes ICMP, IP 8 NetBIOS, y facilitar el Trabajo 5 o Router Router acceso no autorizado a servicios dentro de la Cortafuegos frontera Interno zona desmilitarizada. 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estacin Usuario Servidor 9 Remota Trabajo Remoto 3
Anatoma de ataques informticos Gabriel Daz Orueta 50
4 1: Servidor
Internet
4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 2: Router Interno Servidor 10 Estacin 12 Trabajo 5
13 Internet
Usuario Remoto
14 LAN Los Servidor puntos de acceso remoto no seguros y no interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras ms sencillas de acceder a una red 11 corporativa. Los usuarios remotos se suelen Oficina Estacin Servidor conectar a Internet con pocas protecciones, 9 Remota Trabajo exponiendo al ataque informacin sensible
Anatoma de ataques informticos Gabriel Daz Orueta 51
3:
Servidor Servidor 7 La informacin disponible puede proporcionar LAN DMZ DMZ informacin sobre el sistema operativo, interna versiones de las aplicaciones, usuarios, 13 grupos, recursos compartidos, informacin DNS (transferencias de zonas), y servicios 8 Router Router abiertos como SNMP, finger, SMTP, telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1
Servidor Acceso Remoto
Internet
14 11 11 Oficina Remota
Anatoma de ataques informticos Gabriel Daz Orueta
Usuario Remoto
4: 3 Servidor Servidor 7 Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden ser interna fcilmente atacados. 8 Router frontera 1
Servidor Acceso Remoto
13 Internet
Cortafuegos
Usuario Remoto
Oficina Remota
Anatoma de ataques informticos Gabriel Daz Orueta
4 3 Servidor DMZ Servidor 10 LAN interna La utilizacin de palabras clave dbiles, fciles de adivinar o la reutilizacin de Estacin clave palabras 12 en las 8 estaciones de trabajo puede compromeTrabajo Router ter los Cortafuegos servidores. Interno 14
Servidor Acceso Remoto
Servidor 5: DMZ
Usuario Remoto
11 11 Oficina Remota
Usuario Remoto
LAN Otra vulnerabilidad muy comn son las interna 11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Estacin Servidor 9 Remota Trabajo
55
4 3 Servidor DMZ
7: Servidor Servidor Servidores de Internet en la zona desmilitari- 10 LAN DMZ zada mal configurados, sobre todo el interna cdigo CGI o ASP, o servidores FTP annimo con directorios accesibles en escritura Estacin 12 8 para todo el mundo. SQL injection Trabajo 5 Router Cortafuegos Interno 14
Servidor Acceso Remoto
Usuario Remoto
11 11 Oficina Remota
Estacin 12 Trabajo 5 Router Router Cortafuegos de acceso (ACL) mal configuradas Unas listas frontera Interno en el cortafuegos o en el router pueden per1 14 mitir el acceso desde el exterior, bien directaLAN mente, o bien una vez que la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estacin Usuario Servidor 9 Remota Trabajo Remoto
Anatoma de ataques informticos Gabriel Daz Orueta 57
13
Internet
4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 9: Router Interno Servidor 10 Estacin 12 Trabajo 5
13 Internet
Usuario Remoto
14 Software obsoleto, LAN no se le han instaal que interna lado los parches recomendados por el fa11 6 bricante, vulnerable, o con las configuraciones 11 por defecto, especialmente los servidores Oficina Estacin Servidor WWW. Remota Trabajo
58
4 3 Servidor DMZ
10: Servidor 7 Servidor Controles de accesoLAN ficheros o a los a los DMZ interna directorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos Estacin 12 exportados con NFS en Unix. 8 Trabajo 5 Router Cortafuegos Interno 14 LAN interna 6 9 Servidor Estacin Trabajo
59
Usuario Remoto
11 11 Oficina Remota
4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 11: Router Interno Servidor 10 Estacin 12 Trabajo 5
13 Internet
Usuario Remoto
14 Las relaciones de confianza excesivas en dominios NT o entradas en LAN .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas 2 Sensibles (pilfering). Oficina Estacin Servidor 9 Remota Trabajo
Anatoma de ataques informticos Gabriel Daz Orueta 60
Los servicios sin control de acceso de Estacin 8 usuarios, como X Windows permiten a los Trabajo 5 atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno 14 LAN interna 6 9 Servidor Estacin Trabajo
61
Usuario Remoto
11 Oficina Remota
11
4 Servidor 10 LAN interna La gestin inadecuada de histricos, la falta de una monitorizacin adecuada o la falta Estacin 12 8 de servicios de deteccin de intrusiones tanto Trabajo 5 Router Router en el nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estacin Usuario Servidor 9 Remota Trabajo Remoto
Anatoma de ataques informticos Gabriel Daz Orueta 62
Servidor DMZ
Internet
Usuario Remoto
La falta de polticas de seguridad aceptadas LAN por todos y bien definidas y publicadas, as interna como de los procedimientos, normas y guas 11 de actuacin relacionadas. 6 11 Oficina Remota 9 Servidor Estacin Trabajo
63
Alguna pregunta?
64
Bibliografa
Seguridad en las comunicaciones y en la informacin. Gabriel Daz, Francisco Mur, Elio Sancristbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educacin a Distancia. 2004 Fundamentos de Seguridad de Redes. Aplicaciones y Estndares. William Stallings. Prentice Hall. 2004 Seguridad en Redes y Sistemas Informticos. Jos M. Huidobro Moya, David Roldn Martnez. Paraninfo. 2005 Diseo de seguridad en redes. Merike Kaeo. Cisco Press. 2003 Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 Tecnologas biomtricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigenza Pizarro. RAMA. 2005 Seguridad en Internet. Denis Dornoy. PC Cuadernos bsicos. 2003
65
Bibliografa
Firewalls Linux. Gua Avanzada. Robert L. Ziegler. Prentice Hall. 2001 Inside Network Perimeter Security. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003 Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003 Internet Forensics. Robert Jones. OReilly. 2005 Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W. Rose. Addison-Wesley. 2006 File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005 Forensics Discovery. Dan Farmer, Wietse Venema. AddisonWesley. 2004
66