Cultura y seguridad informática

S25
Diplomado redes Un pacifico
 Cultura y seguridad
• La conducta de los usuarios tienen un gran
impacto en la seguridad de las organizaciones.
• Los conceptos de conducta y cultura pueden
ayudar a diferentes segmentos de la
organización a luchar efectivamente de la
mano con la seguridad en la informacion.
• Los estudios indican que los usuarios o
empleados de una organización no se ven
como parte del esfuerzo de la organización y
varias veces tomas acciones que ignoran los
intereses de seguridad organizacional.
• Para poder administrar y mejorar la cultura de
la seguridad de la informacion se deben tomar
en cuenta 5 pasos
 5 pasos para la administracion de la
seguridad de la informacion
• Pre-evaluacion.
• Planeacion estrategica.
• Planeacion operativa
• Implementacion
• Post-evaluacion.
• Pre-evaluacion: identificar lo concientizados
que estan los empleados con la seguridad de
la informacion para analizar la politica de
seguridad actual.
• Planeacion estrategica: definir objetivos,
concientizar a los usuarios, definir blancos de
amenazas y crear grupos de usuarios para
lograrlo.
• Planeacion operativa: una buena cultura de
seguridad puede ser fundamentada basada en
comunicaciones internas, administracion de
compras, conocimiento sobre seguridad y
programas de capacitacion. Caso compra
firewall y bloqueo de paginas Internet
facebook en SPB. Los jefes de dpto llaman a
exigir el desbloqueo.
• Implementacion: las cuatro estapas anteriores
deben ser realizadas para implementar la
cultura de la seguridad. Deben estar
comprometidos con la parte directiva,
comunicaciones, miembros de la organización
y compromiso de los empleados.
 Sistemas en riesgo
• A medida que cada vez mas respaldamos toda
nuestra informacion en los sistemas de
computo, indica que el numero de sistemas se
incrementan cada dia mas y con esto los
riesgos.
• Sistemas financieros:
• Los sistemas de los entes regulatorios
financieros, instituciones financieras y bancos
son blancos visibles para los hackers y
criminales interesados en manipular mercados
y hacer ganancias ilicitas.
• Los sitios web que aceptan o guardan
números de tarjetas de crédito, cuentas de
ahorro e información bancaria, son muy
propensos a recibir varios ataques debido a
que se pueden hacer transferencias de dinero
o compras de forma fraudulenta.
• Equipo industrial
• El control computarizado se usa en varias
formas; en sistemas de telecomunicaciones,
centrales eléctricas, plantas nucleares,
válvulas de cierre de agua y gas de ciudades.
• Internet puede ser un vector potencial de
ataque para las maquinas conectadas. En
2014 se investigaron 79 casos de incidentes de
hackeo en las compañias energeticas en USA.
• Aviacion:
• La industria de la aviacion es sistema
confiables de varios sistemas complejos que
trabajan en conjunto y que pueden ser
atacados. Un simple corte de energia en un
solo aeropuerto puede causar repercusiones
globales debido a que muchos sistemas se
operan a traves de transmisiones de radio.
• Las consecuencias de un ataque existoso va
desde perdida de confidencialidad de
informacion para perdida del sistema de
integridad del control de trafico y una
eventual perdida de vidas humanas.
• Dispositivos de los usuarios:
• Computadores y portatiles son comunes blancos
para obtener contraseñas o informacion
financiera o para construir una red botnet para
atacar a otros blancos.
• Smartphones, tabletas, y otros dispositivos
moviles tienen diferentes sensores como GPS,
acelerometros, camaras, microfonos que pueden
ser vulnerados y pueden recolectar informacion
personal.
• Grandes corporaciones:
• Blancos comunes. Dirigidos a los
departamentos financieros para robar cuentas
de clientes. Casos como las cadenas Target y
Home Depot que han tenido perdidas de
informacion por ataques.
• Algunos ciberataques son ordenados por
gobiernos extranjeros (Rusia, Kajakstan) para
hacer una especie de guerra fria informatica
• Muchas personas creen que Rusia intervino en
las elecciones de 2016 de USA utilizando a
twitter y a facebook para afectar las
elecciones y enviar información no verídica a
las personas.
• Automoviles.
• Los autos ahora son mucho mas
computarizados con control de crucero, frenos
antibloqueo y demas. Ademas ya tienen
conectividad wi-fi y bluetooth para conexión
con los dispositivos de usuarios.
• Esto conlleva a riesgos de seguridad como
apertura de puertas y vulnerabilidad de los
sistemas de conduccion autonomas.
• https://www.youtube.com/watch?v=A7bq3N
MdbJ4

• Robo mercedes benz

• Areas gubernamentales:
• Sistemas de gobierno y militar son atacados
generalmente por activistas y potencias
extranjeras. La infraestructura como control
de semaforos, sistemas de policia, registros
personales de salud son blancos potenciales.
Tarjetas de identificacion para ingreso a
instalaciones con RFID puede ser clonados.
• Internet de las cosas.
• Internet embebido en dispositivos, lavadoras,
neveras, puertas electronicas. Los atacantes
pueden usar vulnerabilidades las conexión de
las redes para poder abrir una puerta e
ingresar al hogar o a hoteles.
• Sistemas medicos:
• Dispositivos como bombas de insulina y
equipos de diagnostico pueden ser blanco de
ataques que pueden poner en riesgo la vida
de las personas.
 Impacto de las violaciones de
seguridad
• Daños serios en el area financiero han sido
provocados por las violaciones de seguridad,
pero no existe un modelo estandar para la
estimacion del costo que se ha causado.
• En el 2003 se estima que las perdidas fueron
por $13 billones de dolares (gusanos y virus)
hasta $226 billones que cubre todas las
formas de ataque.
• La confiablidad de estos sistemas con
continuamente desafiados.

• Y lo peor es que según estudios revelaron que

el 66% del personal de seguridad no confia en
el liderazgo de la administracion para tomar
acciones como prioridad estrategica.
• No hay preocupacion de la gerencia!!
 Eugene Karspersky el mago de la
seguridad informatica
Video.
 Vulnerabilidad Kaminski
• Video DNS
 Motivación del atacante
• Las motivaciones varian dependiendo del
ataque. Algunos buscan mejorar sus
habilidades o vandalos, algunos son activistas,
otros son criminales buscando acceso
financiero. Atacantes respaldados por
gobiernos son muy recursivos.
• El nivel y detalle de precauciones dependera
del sistema a asegurar.
 Anatomía de un ataque
• Caracterizacion (footprinting)
• Exploracion (scanning)
• Enumeracion
• Obtencion de acceso
• Obtencion de privilegios administrativos
• Abuso de confianza (pilfering)
• Eliminacion de pistas
• Creacion de puertas traseras
• Negacion del servicio (Dos)
 Caracterizacion (footprinting)
• Recolectar informacion
– Informacion de la postura del objetivo con
respecto a la seguridad

• Resultado: perfil o caracterizacion completa

de la presencia del objetivo en Internet
– Bloques de direcciones IP
– Acceso remoto
– Intranet /extranet
 Informacion a obtener
• Internet
– Nombre del dominio
– Bloques de red
– Direcciones IP de equipos alcanzables desde
Internet
– Servicios TCP/UDP
– Arquitectura de los sistemas
– Mecanismos de control de acceso, ACL’s
 Informacion a obtener
• Internet
– Sistemas de deteccion de Intrusos IDS (que
tienen?)
– Intranet
Protocolos de red en uso
Nombres internos de dominio
Todo el resto de Internet aplica!!!
 Información a obtener
• Acceso remoto
– Números telefónicos
– Tipo de sistema remoto
– Mecanismos de autenticación
– VPN’s y protocolos relacionados (IPSec, PPTP)
• Extranet
– Origen y destino de conexiones
– Tipo de conexión
– Mecanismos de control de acceso
 Por que es necesario el footprinting?
• Es necesario para asegurarse de identificar
todos los aspectos anteriores.
• Si no se hace en forma metódica, puede faltar
información clave
• Uno de los pasos mas difíciles, pero mas
importantes.
 Como hacerlo?
• Determinar el alcance
– Toda la organización?
– Solo parte de la red?
• Sitios donde buscar
– Pagina web
• Copiarla y leerla fuera de linea (wget)
– Prensa
– Motores de busqueda
 Como hacerlo?
• Sitios donde buscar
– Bases de datos publicas
• Verisign
• ARIN
• Whois
– DNS
• Topologia y puntos de acceso
– Traceroute ( se acuerdan)
 Exploracion (scanning)
• Equivalente a “tocar puertas”
• Verificar cuales sistemas
– Estan activos
– Son alcanzables desde la internet

• Barrido de pings
• Escaneo de puertos
– Si el sitio bloquea ICMP
 Exploracion (scanning)
• Verificar en cada sistema
– Que servicios estan corriendo
– Que puertos estan escuchando
• Escaneo de puertos
– TCP connect
– TCP SYN
• Deteccion del sistema operativo
– Fingerprinting de la pila TCP/IP
 Enumeración
• Identificar cuentas validas de usuario
• Identificar recursos compartidos con pobre
protección
• Tres frentes de ataque se abren
– Recursos de red, recursos compartidos /shares
– Usuarios y grupos
– Aplicaciones y “banners”
Enumeracion en windows NT/2000
• NET USE
• NETSTAT
 Enumeracion en UNIX
• showmount
• finger
• rwho
 Banners
• Identifican
– Software que esta escuchando
– Versión
– Información acerca de la compañía
– Deben restringirse tanto como sea
posible!!!!!!!!!!!!!!!!!!!!!!!!!!
 Obtencion de acceso
• En este punto, el hacker ya tiene suficiente
informacion para intentar acceder al sistema
– Sniffing de passwords
– Robo del archivo de passwords
– Buffer overflow (overrun)
– Archivos compartidos por fuerza bruta.
 Obtencion de privilegios
administrativos
• Una vez que el atacante ha logrado acceso a
nivel de usuario, tratara de obtener el control
total del sistema
– Cracking de passwords
– Exploits
• Uso de debilidades del SO / Aplicaciones
Video hacking NSA agent tomado de la
pelicula BlackHat
• https://www.youtube.com/watch?v=7HWfwL
BqSQ4
 Abuso de confianza (Pilfering)
• Identificar mecanismos para obtener accesos
a sistemas que “confian” en el sistema
atacado inicialmente
– Comandos “r” de Linux
– SSH
 Eliminacion de pistas
• Una vez que se obtiene acceso total al
recurso, se debe ocultar este hecho a los
administradores legitimos.
– Borrado o limpieza de logs (jodidos!!!)
– Esconder herramientas (doble mente jodidos)
• Rootkits
• Caballos troyanos
 Creacion de puertas traseras
• Permiten al atacante acceder al sistema en
ocasiones posteriores, con mayor facilidad
– Creacion de cuentas privilegiadas escondidas.
– Ejecucion de trabajos en backgroung
– Cambio o infeccion de los archivos de arranque.
 Creacion de puertas traseras
• Instalacion de servicios de control remoto
• Instalacion de programas de monitoreo
• Reemplazo de aplicaciones o modulos del
kernel por caballos de troya.
 Negacion del servicio
• DoS
• Si el atacante no logra acceder al sistema
puede intentar sacarlo de servicio como
ultimo recurso.
– Inundacion SYN
– Tecnicas ICMP
 Conclusion
• Hay que estar siempre atentos!!
• Importancia aplicar los parches mas recientes
a los sistemas.
• Passwords seguros.
• Hay que conocer al enemigo y pensar como el.
• Si uno no lo hace, el hacker lo hara!