Ataques Informticos:

Medidas Preventivas y
Correctivas
Prof. Wlmer Pereira
USB / UCAB / UCV

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Evolucin en los ataques ...

Primera Generacin (Ataque Fsico): se centraban en los
componentes electrnicos .
Segunda Generacin (Ataque Sintctico): son contra la lgica
operativa de las computadoras y las redes. Pretenden explotar las
vulnerabilidades de los programas, algoritmos de cifrado y los
protocolos.
Tercera Generacin (Ataque Semntico): colocacin de informacin
falsa en medios informativos, spam, falsificacin de e-mails, estafas
de ventas por Internet, alteracin de bases de datos de ndices
estadsticos o burstiles, etc.

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Clases de ataques
Nmero de paquetes a enviar en el ataque:
Atomic: se requiere un nico paquete para llevarlo a cabo
Composite: son necesarios mltiples paquetes

Informacin necesaria para llevar a cabo el ataque:

Context: se requiere nicamente la cabecera del protocolo
Content: es necesario tambin el campo de datos o payload

Context

Content

Universidad Simn Bolvar

Ping de la Muerte
Land attack
Winnuke

Escaneo de Puertos
SYN Flood
TCP Hijacking

Ataque DNS
Proxied RPC
Ataque IIS

Ataques SMTP
String matches
Sniffing

Atomic

Composite

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Tipos de Ataques
Pasivos:

Escuchar y monitorear a escondidas

Difcil de detectar, slo se puede prevenir

Activos:

Suplantar identidad,
Infiltrar servidores
Modificar informacin
Negar servicio

Universidad Simn Bolvar

Difcil de prevenir,
ms se puede detectar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Modelos de Ataques
E

Intercepcin

Fabricacin

Interrupcin

Universidad Simn Bolvar

E: Emisor
R: Receptor
I: Intruso

Modificacin

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
CABALLOS DE TROYA : Introduccin dentro de un programa una
rutina o conjunto de instrucciones, no autorizadas, desconocida de
la vctima. El programa acta de una forma diferente a como estaba
previsto (por ejemplo robando e informando al cracker) o cambia el
cdigo fuente para incluir una puerta trasera.
INGENIERIA SOCIAL: Convencer a la vctima de hacer lo que en
realidad no debera.
Suplantacin de una autoridad
Ataque al ego
Profesiones anodinas (personal de limpieza, telfono, etc)
Recompensa (concurso de contraseas :-( )

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
FOOTPRINTING: Extraer toda la informacin posible del
objetivo del ataque, ya sea un sistema, red o dispositivo
electrnico, previo al ataque. Esto se logra revisando los grupos
de noticias pblicos de esa comunidad (por ejemplo, whois) o
los fuentes HTML de las pginas Web (wget).
Existen otras utilidades: ping, finger (en desuso), rusers,
nslookup, rcpinfo, etc. Esta es la fase previa a la preparacin
de un ataque o el inicio de una auditora.

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
FINGERPRINTING: Extraer informacin de un sistema, identificando el
sistema operativo y las vulnerabilidades de la versin .
FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros
como Windows NT devuelven un FIN-ACK.
Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux
devuelven un SYN-ACK con el mismo flag activo.

Monitorizacin del Dont fragment bit: Algunos sistemas operativos, por defecto,
tienen el bit de no fragmentacin (DF) como activo y otros no.
TOS : Ante los mensaje ICMP port unreachable puede examinarse el campo TOS,

que suele ser cero pero puede variar.

TTL : Cul es el valor de los paquetes salientes en el campo Time To Live (TTL)?
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de
entrada o servicios instalados en los puertos bien conocidos. Se usa
nmap.
- TCP connect scan: mediante el establecimiento de una
conexin TCP completa (3 pasos).
- TCP SYN scan: se abren conexiones a medias, ya que
simplemente se enva el paquete SYN inicial, determinando
la existencia de un servicio si se recibe el SYN-ACK. Si no
hubiere servicio se recibe un RST-ACK. En el caso de existir
el servicio se devuelve un RST-ACK para no establecer
conexin alguna, y no ser registrados por el sistema objetivo.
ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones
IP activas.
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
SNIFFING: Intercepcin pasiva del trfico de red. Se usa wireshark
corriendo sobre el puerto promiscuo del switch o en un hub. Este
mtodo lo utiliza el atacante para capturar login y passwords de
usuarios, cuando viajan en claro al ingresar a sistemas de acceso
remoto. Tambin son utilizados para capturar nmeros de tarjetas de
crdito y direcciones de e-mail entrantes y salientes. Otro uso es para
determinar relaciones entre organizaciones e individuos.
SNOOPING : Al igual que el sniffing es obtener la informacin sin
modificarla. Sin embargo los mtodos son diferentes usan
herramienta estilo troyanos (ttysnoop). Los casos ms conocidos
fueron : el robo de un archivo con ms de 1700 nmeros de tarjetas de
crdito desde una compaa de msica mundialmente famosa, y la
difusin ilegal de reportes oficiales reservados de las Naciones
Unidas, acerca de la violacin de derechos humanos en algunos pases
europeos en estado de guerra.
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
TAMPERING O DATA DIDDLING: Modificacin desautorizada a
los datos, o al software instalado, incluyendo borrado de archivos.
Estos ataques son particularmente serios cuando el atacante ha
obtenido derechos de administrador pues pueden llevar hasta un
DoS. Los atacantes pueden ser empleados (o externos) bancarios
que crean falsas cuentas para derivar fondos de otras cuentas,
estudiantes que modifican calificaciones de exmenes, o
contribuyentes que pagan para que se les anule la deuda de
impuestos. Mltiples web sites han sido vctimas del cambio de
sus home page por imgenes terroristas o humorsticas, o el
reemplazo de versiones de software para download por otros con el
mismo nombre pero que incorporan cdigo malicioso como virus
o troyanos(Back Oriffice o NetBus).

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
IP SPOOFING: Suplantacin de identidad como por ejemplo
conseguir el nombre y password de un usuario legtimo. El intruso
usualmente utiliza un sistema como trampoln para ingresar en otro,
y as sucesivamente. Este proceso, llamado looping, tiene la finalidad
de evaporar la identificacin y la ubicacin del atacante. Otra
consecuencia del looping es que una compaa o gobierno pueden
suponer que estn siendo atacados por un competidor o una agencia
de gobierno extranjera, cuando en realidad puede estar siendo
atacada por un insider, o por un estudiante a miles de kms de
distancia, pero que ha tomado la identidad de otros.
SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza
autenticacin

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Ataques ...
DoS: Ataque que se concentra en sobrepasar los lmites de recursos
establecidos para un servicio determinado, obteniendo como
resultado la eliminacin temporal del mismo.
Finger Bomb: permite forzar al sistema destino a un consumo
elevado de CPU realizando una peticin finger recursiva. Scripts
como kaput hacen uso de esta vulnerabilidad (ya superada).
Net Flood: satura el sistema con mensajes que requieren
establecer conexin: TCP SYN Flood, Connection
Flood, SMTP Flood

DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva

a un mismo objetivo visible desde distintos lugares de la red.

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Fingerprinting con nslookup

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Soluciones preventivas
Instalar parches de seguridad
Estar suscrito a informacin sobre seguridad
HERRAMIENTAS: Redes Privadas Virtuales (VPN), Firewalls ,
Sistemas de Deteccin de Intrusos (IDS)

CERT (Computer Emergency Response Team). En Venezuela es

VenCERT administrado por SUSCERTE (USA tiene 62 CERTS ...).
Todos estn coordinados por FIRST (Forum of Incident Response and
Security Teams) http://www.first.org
Tambin est el Centro Nacional de Informtica Forense (CENIF)
coordinado por SUSCERTE (http://www.suscerte.gob.ve/)

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Solucin Correctiva:
Informtica Forense
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar
la informacin para esclarecer los hechos y formular hiptesis

Evidencia Digital:

Correos, archivos e imgenes

Histricos y archivos de configuracin
Hojas de clculo, bases de datos, etc.

Error episodio CSI (2005)

Greg Sander ley correos
de un computador en una
escena del crimen

Procedimientos:

Esterilidad para evitar contaminacin

Verificacin y resguardo de la evidencia mediante firma digital
Estructurar y mantener la cadena de custodia
Reportes: tcnico y judicial

Herramientas:

Propietarias y cdigo abierto

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Cadena de Custodia
Estructurar ordenadamente la evidencia para que est libre de contaminacin,
hasta que llegue al fiscal, quien eventualmente la llevar al juicio
La tcnica clave es la firma digital

Fases:
Recoleccin de evidencia
Conservacin de la pruebas
Transporte adecuado

Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Actores en Informtica Forense

Intruso

Administrador

Investigador

En general todos especialistas en informtica

Hacking
Trmino acuado en MIT alrededor de 1959 Inicialmente
acuado a desarrolladores de aplicaciones sofisticadas
Hackers de sombrero blanco vs Hackers de sombrero negro

Ciberterrorista
Script kiddies
Desarrolladores de virus

Universidad Simn Bolvar

Prof. Wlmer Pereira

Phreakers
Crackers
Atacante interno

Universidad Catlica Andrs Bello

Fases de una Auditora o Ataque

El auditor del sistema:
Reconocimiento general:
Recoleccin de datos por Internet (whois)
Enumeracin de servicios (nmap)
Bsqueda de vulnerabilidades conocidas
Vulneracin del sistema:
Comprometer el sistema, servicios o programas
Escalar los privilegios
Intentar: substraer informacin, negar servicios
suplantar identidades
Eliminacin y transferencia:
Borrado de rastros y verificar si se reporta
Bsqueda de otras mquinas a partir de la atacada
Entregar un informe con las recomendaciones
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Pginas de interes ...

Publicaciones en auditora y hacking benfico:
http://www.phrack.org
http://www.insecuremag.com
http://www.cgisecurity.com
Herramientas forenses:
Encase:
Forensic toolkit:
Winhex y X-Ways:
SANS DFIR:
CAINE:
Sleuth Kit:

Universidad Simn Bolvar

http://www.encase.com/
http://www.accessdata.com/solutions/digital-forensic
http://www.x-ways.net
http://digital-forensic.sans.org
http://www.caine-live.net
http://www.sleuthkit.org/

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Administrador ...
Responsable del buen desempeo del sistema operativo,
la seguridad, la red, las aplicaciones instaladas,
los programas de clientes, la base de datos ...

Los roles pueden estar separados dependiendo de la talla de

la institucin.
Muchas veces el rol del administrador de seguridad se contrapone
a las funcionalidades operativas.
Se requiere capacidad tcnica y experiencia. No basta que
funcione debe ser de manera confiable ...
La transparencia que ofrece el modelo Web, facilita el desarrollo
de aplicaciones pero es un modelo ms vulnerable.
La auditora y logs son vitales para el buen funcionamiento de los
sistemas
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Herramientas de prevencin
Redes Privadas Virtuales (VPN)
Cliente/Red o Red/Red
Transparentes o no Transparentes
Firewall
Tipos: Red, Aplicacin o Kernel
Polticas: por defecto todo permitido o todo prohibido

Sistemas de deteccin de intrusos (IDS)

Mquina
Verificador de integridad
Monitor de registros o histricos
Honey Pot
Red
Deteccin de uso indebido
Deteccin por anomalas
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Investigador ...
Identificacin -- Inicio de la cadena de custodio
Preservacin Integridad de la evidencia fsica y digital

Anlisis Revisin exhaustiva de la evidencia

Presentacin Informe lo menos tcnico posible.
Certificaciones:
IACIS: Programas de certificacin forense CFCE
HTCN, IISFA, ISFCE, etc ...
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello

Competencia simulacin de juicio

Grupo interdisciplinario de estudiantes de informtica, derecho y
comunicacin social
Cada universidad conforma 5 equipos: fiscala, peritos de la fiscala,
defensa, peritos de la defensa y comunicadores sociales
Varias universidades, con sus equipos, conforman juicios simultaneos
donde se desarrolla el mismo caso
Slo el juez ser un actor externo, de hecho jueces en ejercicio o
jubilados
Cada equipo es puntuado por evaluadores externos y se suman los
puntos de los 5 equipos de cada universidad. La que obtenga mayor
puntuacin es la universidad ganadora
Universidad Simn Bolvar

Prof. Wlmer Pereira

Universidad Catlica Andrs Bello