1. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
ACTIVIDAD INDIVIDUAL
Momento 3. CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS
Presentado por:
ANTONIO LEONEL RODRIGUEZ BUSTOS
Director:
ING. JESUS EMIRO VEGA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD
FACULTAD DE INGENIERIA DE SISTEMAS
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍAS
ESPECIALIZACION EN SEGURIDAD INFORMÁTICA
COLOMBIA 2014
2. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS Técnica Definición Objetivo del Ataque Modo Operacional Consecuencias Forma de Detección o Prevención Scanning Método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular.
Esta es una técnica de auditoría también se basan en este paradigma. Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.
Obtener información sobre el sistema víctima:
direcciones IP
nombres de host
datos de autenticación, entre otros.
Con el regalo de dinero a cambio de más dinero, el atacante ofrece extrañas recompensas, herencias de origen desconocido o premios de otros países, los cuales para ser reclamados tienen que dar una suma de dinero inferior a la que se recibirá a cambio. Por eso es importante verificar la identidad de las personas que circulan esta información a través de Internet.
Fuga de la Información de la organización y/o personal Prevenir con el uso de un cortafuegos O un firewall Enumeración
Es una técnica que tiene como objetivo obtener información sensible como:(Puertos Abiertos, Servicios que están corriendo en un determinado puerto, Sistemas operativos, Recurso, Servicio de red), Siendo unas de las primeras fases utilizadas para los distintos ataque.
Los objetivos son reconocer:
Es conocer vulnerabilidad
Nombres de usuario
Nombres de Equipo.
Recursos de Red Compartidos y Servicios
Hasta el momento el delincuente ha identificado Host vivos, Puertos Abiertos, Servicios, y Huellas de sistema operativo. El paso a seguir, se define como Enumeración, y consiste en probar los servicios ya identificados, de forma más profunda y representativa
Dentro de la Información que
Fuga de la Información de la organización y/o personal, ya que el delincuente tiene el total acceso a la red.
Mantener el equipo actualizado y personal especializado por:
Existen agujeros de seguridad en (sistemas operativos, en las aplicaciones).
3. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
podemos recolectar en el proceso
de enumeración, se encuentra:
Nombres de usuario, Nombres de
Equipo, Recursos de Red
Técnicas de Enumeración algunas de ellas son las siguientes:
• Extracción de Nombres de usuarios utilizando Windows 2003- fase 3. reconocimiento activo “Enumeración”:
2008 Server, XP.
• Extraer nombres de usuarios usando el protocolo SNMP.
• Extraer nombres de usuario usando cuentas de correo
Electrónico.
• Extraer información, usando nombres de usuario y Password por defecto.
• Fuerza bruta contra el Active Directory-LDAP
Capacitación constante a usuarios finales como y a los operadores Sniffing Un Sniffers consiste en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el filtro de verificación de direcciones y por lo tanto todos los paquetes enviados a la red llegan a esta placa (computadora donde está instalado el Sniffer).
Este tipo de ataque se da cuando el atacante tiene un programa de sniffing en la red del usuario y puede interceptar el tráfico destinado al mismo, incluido su
Obtener información sobre el sistema:
a). passwords de un recurso compartido o de acceso a una cuenta
b). para capturar números de tarjetas de crédito y direcciones de e-mails entrantes y salientes.
c). para determinar relaciones entre organizaciones e individuos.
Son instalados en una estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. Cada máquina conectada a la red (mediante una placa con una dirección única) verifica la dirección destino de los paquetes TCP. Si estas direcciones
Fuga de la Información de la organización y/o personal y ver vulnerabilidades de red de la organización Generalmente no se pueden detectar, aunque la inmensa mayoría, y debido a que están demasiado relacionados con el protocolo TCP/IP, si pueden ser detectados con algunos trucos.
La única forma de prevenir estos ataques es utilizando
4. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
identificador de sesión. Es algo que ha dado mucho de que hablar a causa de Firesheep, una extensión para Firefox que permite robar las sesiones de Facebook, Twitter y otras páginas web muy conocidas en redes inalámbricas públicas. son iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras placas lo analicen.
a) Generalmente viajan sin encriptar al ingresar a sistemas de acceso remoto.
b) También son utilizados
El análisis de tráfico, por parte del administrador de la red o por parte del delincuente.
c) se analizan las tramas de un segmento de red, y se presenta al usuario sólo lo que le interesa al delincuente
cifrado HTTPS en toda la página web
Fuerza Bruta
Ataque por fuerza bruta es el método para averiguar una contraseña probando todas las combinaciones posibles hasta dar con la correcta.
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Técnica más habituales de robo de contraseñas en Internet
Para este ataque existen programas que realizan de forma automática todo el trabajo.
Debido a la popularidad de estos ataques podemos encontrarnos en multitud de sitios web los llamados captchas que lo que intentan es detectar si la personas que está intentando acceder al servicio es humana es un software informático tratando de reventar una contraseña.
Este procedimiento se hace a partir del conocimiento del algoritmo de cifrado
Los ataques por fuerza bruta, dado que utilizan el método de prueba y
Fuga de la Información de la organización y/o personal esto a razón que se tiene el acceso a la información porque se tienen las claves de acceso.
Crear políticas de uso, creación y cambio de contraseñas, ´para la organización como personal.
Recomendaciones para tener contraseñas más seguras:
Mezclar letras y números
Mezclar mayúsculas y minúsculas
Si la página web lo permite, utilizar símbolos como $, ! o ?
5. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
error, son muy costosos en tiempo computacional.
La fuerza bruta suele combinarse con un ataque de diccionario
Que la longitud mínima de la contraseña sea de 8 caracteres
Que la contraseña NO sea una palabra del diccionario
Que la contraseña NO incluya nombres propios. Spoofing Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla
Hace referencia a cualquier técnica que permita a un atacante tomar una identidad que no le corresponde. Estas técnicas de
ataque se usan de forma muy extendida en Internet a varios niveles
Ingresar a los documentos, mensajes de correo electrónico y otra información guardada, realizar una descarga (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma.
Su objetivo principal es la de suplantación de identidad generalmente con usos maliciosos o de investigación Interceptar el tráfico de red y estos se clasifican en :
a) IP spoofing (quizás el más conocido). b) ARP spoofing. c) DNS spoofing. d) Web spoofing o email spoofing.
Aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
a) Generalmente es realizado con fines de espionaje, robo de información y software. b) el caso más conocido de este tipoes: el robo de un archivo con más de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra. a) Usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC. b) para redes pequeñas es mediante tablas ARP estáticas (siempre que las IP de red sean fijas). C). se debe usar equipos de red de última tecnología o de gama alta( Los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los
6. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
paquetes suplantados no sobrepasarán el enrutador). Hijacking
Significa "secuestro" en inglés, es técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte del delincuente. El secuestro de conexiones de red, sesiones de terminal, servicios, módems entre otros
Secuestro o robo de sesiones de usuarios para lograr acceso privilegiado a una aplicación web comprometiendo la integridad y confidencialidad de la información.
el usuario ingresa a una aplicación web comercial o corporativa, el atacante encuentra un mecanismo (ataque) para averiguar el identificador de sesión y realiza el secuestro de la sesión del usuario Hijacking se clasifican en : IP hijakers. Page hijacking. Reverse domain hijacking o Domain hijacking. Session hijacking. Browser hijacking. Home Page Browser hijacking. Modem hijacking. Thread hijacking.
Robo de Datos, sustituir páginas de inicio del navegador (cabecera de la página) por la que diseño el delincuente.
Pueden ser detectados e incluso prevenidos, con la simple uso de un antivirus propietario o legal no free y el uso de protección Antispyware y Anti- Malware. Ingeniería Social
El atacante busca suplantar personas y entidades para obtener datos personales, por lo general, estos ataques se realizan mediante llamadas telefónicas, mensajes de texto o falsos funcionarios. Su objetivo no es otro que el de obtener datos importantes para después manipularlos, analizarlos y utilizarlos en contra de la persona.
Esta técnica es usada por personas especializadas como: investigadores privados, criminales, o delincuentes informáticos.
Obtener o comprometer información sensible/ o confidencial acerca de una organización o Sus sistemas de
Computación.
En archivos adjuntos de e-mails,
publicitarios por ejemplo:
a).fotos íntimas de personajes
Famosos.
B).Software gratis que ejecuta
Código malicioso.
c). Manejo psicológico de o manipulación de las as personas cara a cara para tener acceso a los
Sistemas informáticos.
d). Conocimiento de la víctima, introducción de contraseñas habituales, lógicas típicas o por
Fuga de la
Información de la organización
y/o personal
La mejor herramienta para esto tipo de ataque es:
el sentido común.
la lógica
la malicia
la educación
la información
el buen uso de las políticas de Seguridad de la organización.
7. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
conocimiento de su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima? Jamming
Satura los recursos del sistema de la víctima dejándolo sin memoria , sin espacio libre en el disco duro
Técnica de perturbación mediante radiación deliberada o la reflexión de la energía electromagnética para el fin de perturbar el uso enemigo de los dispositivos o sistemas electrónicos Este tipo de ataques desactivan o saturan los recursos del sistema
Dejar fuera de servicio a una pequeña fracción de los usuarios del sistema.
Consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla. Aquí el atacante satura el sistema con mensajes que requieren establecer conexión El mensaje contiene falsas direcciones IP usando Spoofing y Looping. El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos
Saturación del sistema o de la red.
Suspensión, bajas o bloqueos temporales del servicio por ataques que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por el "ping de la muerte" (una versión- trampa del comando ping).
La eliminación de las vulnerabilidades conocidas en los comportamientos del protocolo y la configuración del host, filtrar el tráfico, la detección de ataques.
La mejor herramienta para esto tipo de ataque es:
actualizar el antivirus
el sentido común.
la lógica
la malicia
la educación
la información
la capacitación
el buen uso de las políticas de Seguridad de la organización. SYNFlooding
Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP.
Este ataque es la continuación del TCP SYN Scanning el protocolo TCP se basa en una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto". El Syn Flood es el más
Colocar el servidor lento, saturar el sistema y liberar "huecos" para nuevas conexiones
El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará inactivo mucho
El Servidor estará inactivo mucho tiempo esperando respuesta ocasionando la lentitud en los demás servicios. En los sistemas Windows se debe Activar la protección anti Syn Flood, y en los sistemas Linux se debe activar las syn cookies
8. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista Phrack. Se basa en un "saludo" incompleto entre los dos hosts.
tiempo esperando respuesta. Esto ocasiona la lentitud en los demás servicios. Borrado de Huellas
Una vez que el atacante logró obtener y
Mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
El borrado de huellas intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir "tapar el hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante.
Las huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo Tras realizar un acceso no deseado a un equipo con Windows y tras garantizarnos próximos acceso a dicho sistema, la idea es dejar el mínimo rastro posible. Esta es una de las tareas más importantes en la post- explotación, la ocultación. Windows guarda una especie de log's o registros del sistema para poder saber qué es lo que está pasando, así que una de las formas más sencillas de poder ocultar el acceso, es lógicamente borrarlos. metasploit en meterpreter trae consigo un par de componentes que ayudan a realizar esta tarea. El primero es el uso del modo incógnito, que lo que hace es intentar ocultar todo lo posible todas aquellas tareas que se hagan en el sistema, así como la presencia de un "no deseado" en el mismo.
Perdida de información del intruso Prevenir con el uso de un cortafuegos O un firewall y el antivirus . Tamppering
Tampering o Data Diddling Implica el intento de forzar el funcionamiento de
Alterar o borrar cualquier información que puede incluso
Modificación desautorizada de los datos o el software instalado en el
Son innumerables los casos de este tipo:
Para la detección de estos ataques se debe usar todas
9. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
algún mecanismo de seguridad mediante la falsificación o la alteración de la información. Estas técnicas son utilizadas para modificar ficheros de registro de acceso, modificar la información real o alterarla en su tránsito desde el emisor al receptor de la misma.
terminar en la baja total del sistema.
Su propósito general es Generar fraude.
sistema víctima (incluyendo borrado de archivos).
Alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.
Otras forma de operación es reemplazar versiones de software por otros con el mismo nombre pero que incorporan código malicioso (virus, troyanos, etc.). La utilización de programas troyanos y difusión de virus está dentro de esta categoría, y se profundizará sobre el tema en otra sección el presente capítulo.
empleados bancarios (o externos) que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda impositiva
Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes (o manifiestos) terroristas o humorísticos, como el ataque de The Mentor, ya visto, a la NASA; o la reciente modificación del Web Site del CERT (mayo de 2001)
las herramientas disponibles:
a) Antivirus (actualizado)
b) Copias de seguridad
c) Firewalls (Cortafuegos):
d) Zona desmilitarizada o DMZ
e) d)Proxi
f) Control de Acceso:
sentido común al momento de abrir y contestar correo s electrónicos
WEBGRAFIA
http://colombiadigital.net/actualidad/articulos-informativos/item/4801-tipos-de-ataque-y-como-prevenirlos.html
http://www.uv.es/~montanan/redes/trabajos/DNS_Spoofing.pdf
10. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
http://ataquebd.blogspot.com/
http://www.neoteo.com/10-metodos-para-hackear-cuentas-de-usuario/
http://www.scoop.it/t/basesdedatos
http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/
http://www.segu-info.com.ar/ataques/ataques_modificacion.html
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
http://seguridad-informatica-6851.wikispaces.com/Unidad+4.-+Seguridad+en+Redes+de+Computadora
http://www.zonavirus.com/articulos/que-es-el-spoofing.asp
http://www.mexicoglobal.net/informatica/hijacking.asp
http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/
http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidas-enumeracion-del-objetivo-i
http://www.dsteamseguridad.com/archivos/barcamp/BARCAMP2.pdf
http://www.segu-info.com.ar/ataques/ataques.htm
http://highsec.es/2014/03/fuerza-bruta-contra-aplicaciones-web-usando-hydra/
http://www.taringa.net/posts/info/17633551/Ataque-contra-redes-de-satelites---Casos-reales.html
http://www2.udec.cl/~crmendoz/10.htm
http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10941/El%20hacking%20y%20tecnicas%20de%20contra-ataques%20seguridad.pdf?sequence=1
http://www.vilecha.com/Seguridad/tipatak.asp
http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html
11. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
http://foro.elhacker.net/hacking_avanzado/guia_de_post_explotacion_borrado_de_huellas_digitales-t405677.0.html http://es.wikipedia.org/wiki/Hijacking http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica) http://www.segu-info.com.ar/ataques/ataques_dos.htm http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html http://www.segu-info.com.ar/ataques/ataques_modificacion.htm http://www.el-palomo.com/wp-content/uploads/2012/05/Session%20Hijacking%20-LATAM%20TOUR%20PERU%202012-Bv1.3.pdf http://books.google.com.co/books?id=z80EBAAAQBAJ&pg=PA217&lpg=PA217&dq=objetivo+del+hijacking&source=bl&ots=s6h4DLFTzW&sig=0lAEoStqe0-Pp1a-KX6t-zmeZn4&hl=es- 419&sa=X&ei=dkFVVOn-O4OegwSSo4SwCg&ved=0CCcQ6AEwAg#v=onepage&q=objetivo%20del%20hijacking&f=false http://spybot.com.es/articulos/que-es-y-como-funciona-el-hijacking http://elblogdeangelucho.com/elblogdeangelucho/blog/2012/10/07/ingenieria-social-el-hacking-humano/ http://www.todoecommerce.com/uploads/2/4/4/6/2446682/clase_seguridad_informatica_modo_de_compatibilidad.pdf