Documente Academic
Documente Profesional
Documente Cultură
Medidas Preventivas y
Correctivas
Prof. Wlmer Pereira
USB / UCAB / UCV
Clases de ataques
Nmero de paquetes a enviar en el ataque:
Atomic: se requiere un nico paquete para llevarlo a cabo
Composite: son necesarios mltiples paquetes
Context
Content
Ping de la Muerte
Land attack
Winnuke
Escaneo de Puertos
SYN Flood
TCP Hijacking
Ataque DNS
Proxied RPC
Ataque IIS
Ataques SMTP
String matches
Sniffing
Atomic
Composite
Tipos de Ataques
Pasivos:
Activos:
Suplantar identidad,
Infiltrar servidores
Modificar informacin
Negar servicio
Difcil de prevenir,
ms se puede detectar
Modelos de Ataques
E
Intercepcin
Fabricacin
Interrupcin
E: Emisor
R: Receptor
I: Intruso
Modificacin
Ataques ...
CABALLOS DE TROYA : Introduccin dentro de un programa una
rutina o conjunto de instrucciones, no autorizadas, desconocida de
la vctima. El programa acta de una forma diferente a como estaba
previsto (por ejemplo robando e informando al cracker) o cambia el
cdigo fuente para incluir una puerta trasera.
INGENIERIA SOCIAL: Convencer a la vctima de hacer lo que en
realidad no debera.
Suplantacin de una autoridad
Ataque al ego
Profesiones anodinas (personal de limpieza, telfono, etc)
Recompensa (concurso de contraseas :-( )
Ataques ...
FOOTPRINTING: Extraer toda la informacin posible del
objetivo del ataque, ya sea un sistema, red o dispositivo
electrnico, previo al ataque. Esto se logra revisando los grupos
de noticias pblicos de esa comunidad (por ejemplo, whois) o
los fuentes HTML de las pginas Web (wget).
Existen otras utilidades: ping, finger (en desuso), rusers,
nslookup, rcpinfo, etc. Esta es la fase previa a la preparacin
de un ataque o el inicio de una auditora.
Ataques ...
FINGERPRINTING: Extraer informacin de un sistema, identificando el
sistema operativo y las vulnerabilidades de la versin .
FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros
como Windows NT devuelven un FIN-ACK.
Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux
devuelven un SYN-ACK con el mismo flag activo.
Monitorizacin del Dont fragment bit: Algunos sistemas operativos, por defecto,
tienen el bit de no fragmentacin (DF) como activo y otros no.
TOS : Ante los mensaje ICMP port unreachable puede examinarse el campo TOS,
Ataques ...
ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de
entrada o servicios instalados en los puertos bien conocidos. Se usa
nmap.
- TCP connect scan: mediante el establecimiento de una
conexin TCP completa (3 pasos).
- TCP SYN scan: se abren conexiones a medias, ya que
simplemente se enva el paquete SYN inicial, determinando
la existencia de un servicio si se recibe el SYN-ACK. Si no
hubiere servicio se recibe un RST-ACK. En el caso de existir
el servicio se devuelve un RST-ACK para no establecer
conexin alguna, y no ser registrados por el sistema objetivo.
ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones
IP activas.
Universidad Simn Bolvar
Ataques ...
SNIFFING: Intercepcin pasiva del trfico de red. Se usa wireshark
corriendo sobre el puerto promiscuo del switch o en un hub. Este
mtodo lo utiliza el atacante para capturar login y passwords de
usuarios, cuando viajan en claro al ingresar a sistemas de acceso
remoto. Tambin son utilizados para capturar nmeros de tarjetas de
crdito y direcciones de e-mail entrantes y salientes. Otro uso es para
determinar relaciones entre organizaciones e individuos.
SNOOPING : Al igual que el sniffing es obtener la informacin sin
modificarla. Sin embargo los mtodos son diferentes usan
herramienta estilo troyanos (ttysnoop). Los casos ms conocidos
fueron : el robo de un archivo con ms de 1700 nmeros de tarjetas de
crdito desde una compaa de msica mundialmente famosa, y la
difusin ilegal de reportes oficiales reservados de las Naciones
Unidas, acerca de la violacin de derechos humanos en algunos pases
europeos en estado de guerra.
Universidad Simn Bolvar
Ataques ...
TAMPERING O DATA DIDDLING: Modificacin desautorizada a
los datos, o al software instalado, incluyendo borrado de archivos.
Estos ataques son particularmente serios cuando el atacante ha
obtenido derechos de administrador pues pueden llevar hasta un
DoS. Los atacantes pueden ser empleados (o externos) bancarios
que crean falsas cuentas para derivar fondos de otras cuentas,
estudiantes que modifican calificaciones de exmenes, o
contribuyentes que pagan para que se les anule la deuda de
impuestos. Mltiples web sites han sido vctimas del cambio de
sus home page por imgenes terroristas o humorsticas, o el
reemplazo de versiones de software para download por otros con el
mismo nombre pero que incorporan cdigo malicioso como virus
o troyanos(Back Oriffice o NetBus).
Ataques ...
IP SPOOFING: Suplantacin de identidad como por ejemplo
conseguir el nombre y password de un usuario legtimo. El intruso
usualmente utiliza un sistema como trampoln para ingresar en otro,
y as sucesivamente. Este proceso, llamado looping, tiene la finalidad
de evaporar la identificacin y la ubicacin del atacante. Otra
consecuencia del looping es que una compaa o gobierno pueden
suponer que estn siendo atacados por un competidor o una agencia
de gobierno extranjera, cuando en realidad puede estar siendo
atacada por un insider, o por un estudiante a miles de kms de
distancia, pero que ha tomado la identidad de otros.
SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza
autenticacin
Ataques ...
DoS: Ataque que se concentra en sobrepasar los lmites de recursos
establecidos para un servicio determinado, obteniendo como
resultado la eliminacin temporal del mismo.
Finger Bomb: permite forzar al sistema destino a un consumo
elevado de CPU realizando una peticin finger recursiva. Scripts
como kaput hacen uso de esta vulnerabilidad (ya superada).
Net Flood: satura el sistema con mensajes que requieren
establecer conexin: TCP SYN Flood, Connection
Flood, SMTP Flood
Soluciones preventivas
Instalar parches de seguridad
Estar suscrito a informacin sobre seguridad
HERRAMIENTAS: Redes Privadas Virtuales (VPN), Firewalls ,
Sistemas de Deteccin de Intrusos (IDS)
Solucin Correctiva:
Informtica Forense
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar
la informacin para esclarecer los hechos y formular hiptesis
Evidencia Digital:
Procedimientos:
Herramientas:
Cadena de Custodia
Estructurar ordenadamente la evidencia para que est libre de contaminacin,
hasta que llegue al fiscal, quien eventualmente la llevar al juicio
La tcnica clave es la firma digital
Fases:
Recoleccin de evidencia
Conservacin de la pruebas
Transporte adecuado
Administrador
Investigador
Hacking
Trmino acuado en MIT alrededor de 1959 Inicialmente
acuado a desarrolladores de aplicaciones sofisticadas
Hackers de sombrero blanco vs Hackers de sombrero negro
Ciberterrorista
Script kiddies
Desarrolladores de virus
Phreakers
Crackers
Atacante interno
http://www.encase.com/
http://www.accessdata.com/solutions/digital-forensic
http://www.x-ways.net
http://digital-forensic.sans.org
http://www.caine-live.net
http://www.sleuthkit.org/
Administrador ...
Responsable del buen desempeo del sistema operativo,
la seguridad, la red, las aplicaciones instaladas,
los programas de clientes, la base de datos ...
Herramientas de prevencin
Redes Privadas Virtuales (VPN)
Cliente/Red o Red/Red
Transparentes o no Transparentes
Firewall
Tipos: Red, Aplicacin o Kernel
Polticas: por defecto todo permitido o todo prohibido
Investigador ...
Identificacin -- Inicio de la cadena de custodio
Preservacin Integridad de la evidencia fsica y digital