Elaboración de la estructura del ADN y ARN en papel.pdf
Unidad 6 seguridad informatica
1. Unidad 6. Vigilancia de los sistemas de información
6.1 Definición de vigilancia
Del latín vigilantia, la vigilancia es el cuidado y la supervisión de las cosas que
están a cargo de uno. La persona que debe encargarse de la vigilancia de algo
o de alguien tiene responsabilidad sobre el sujeto o la cosa en cuestión.
El servicio ordenado y dispuesto para vigilar también se conoce como
vigilancia. Puede tratarse del servicio prestado por una compañía privada (ya
sea mediante guardias o equipos tecnológicos como cámaras de video) o por
las fuerzas públicas de seguridad (la policía, la gendarmería, el ejército, etc.).
Dispositivos ligados a la vigilancia en red, a un ordenador
6.2. Anatomía de un ataque
6.2.1. Identificación de objetivos
Los incidentes de seguridad normalmente son muy complejos y su resolución
presenta muchos problemas. A continuación se muestran las siguientes fases
en la prevención, gestión y detección de incidentes:
1) Preparación y prevención. En esta fase se toman acciones para preparar
la organización antes de que ocurra un incidente. Por tanto, se deberá
empezar por tratar de analizar qué debe ser protegido y qué medidas
técnicas y organizativas tienen que implementarse. Una vez hechos los
2. diversos análisis se podrá considerar que la organización ya tiene
identificadas las situaciones que pueden provocar un incidente de
seguridad y ha seleccionado los controles necesarios para reducirlas.
Pero aun hecho dicho análisis, siempre hay situaciones que no van a
poder ser protegidas, por lo que se tendrá que elaborar un plan de
continuidad de negocio. Dicho plan está formado por un conjunto de
planes de contingencia para cada una de las situaciones que no están
controladas.
2) Detección del incidente. La detección de un incidente de seguridad es
una de las fases más importante en la securización de los sistemas. Hay
que tener en cuenta que la seguridad absoluta es muy difícil y es esta
fase la que nos sirve para clasificar y priorizar los incidentes acaecidos
en nuestra organización. La clasificación es la siguiente:
a. Accesos no autorizados: un usuario no autorizado accede al
sistema.
b. Código malicioso: ha habido una infección de programas
maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.
> Programas maliciosos <
(a) Virus: es un archivo ejecutable que desempeña acciones
(dañar archivos, reproducirse, etc.) en un ordenador sin
nuestro consentimiento.
(b) Gusano: es un código malicioso que se reproduce y extiende a
un gran número de ordenadores.
(c) Spyware: es un programa que recopila información de un
ordenador y la envía a terceras personas sin el consentimiento
del propietario.
(d) Troyano: también conocido como caballo de Troya, es un
programa que obtiene las contraseñas haciéndose pasar por
otro programa.
c. Denegación de servicio: incidente que deja sin dar servicio (dns,
web, correo electrónico, etc.) a un sistema.
d. Phishing: consiste en suplantar la identidad de una persona o
empresa para estafar. Dicha estafa se realiza mediante el uso de
ingeniería social consiguiendo que un usuario revele información
confidencial (contraseñas, cuentas bancarias, etc.). El atacante
suplanta la imagen de una empresa u organización y captura
ilícitamente la información personal que los usuarios introducen
en el sistema.
3. e. Recogida de información: un atacante obtiene información para
poder realizar otro tipo de ataque (accesos no autorizados, robo,
etc.).
f. Otros: engloba los incidentes de seguridad que no tienen cabida
en las categorías anteriores.
La detección de un incidente de seguridad se realiza a través de diversas
fuentes. A continuación se enumeran algunas de ellas:
a) Alarma de los antivirus.
b) Alarmas de los sistemas de detección de intrusión y/o prevención (IDS
y/o IPS).
c) Alarmas de sistemas de monitorización de los sistemas (zabbix, nagios,
etc.).
d) Avisos de los propios usuarios al detectar que no funcionan
correctamente los sistemas informáticos.
e) Avisos de otras organizaciones que han detectado el incidente.
f) Análisis de los registros de los sistemas.
Una vez detectado el incidente a través de cualquier vía, para poder gestionarlo
es recomendable tener al menos los siguientes datos:
• Hora y fecha en la que se ha notificado el incidente.
• Quién ha notificado el incidente.
• Clasificación del incidente (accesos no autorizados, phishing,
denegación de servicio, etc.).
• Hardware y software involucrado en el incidente (si se pueden incluir los
números de serie, es recomendable).
• Contactos para gestionar el incidente.
• Cuando ocurrió el incidente.
6.2.2. Reconocimiento inicial
En esta fase se trata de obtener la máxima información posible para determinar
qué tipo de incidente de seguridad ha ocurrido y así poder analizar el impacto
que ha tenido en la organización. La información obtenida en esta fase será
utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha
información será fruto como mínimo de:
Entrevistas con los administradores de los sistemas.
Revisión de la topología de la red y de los sistemas.
Entrevistas con el personal de la empresa que haya tenido algo que ver
con el incidente con el objetivo de contextualizarlo.
4. Revisar los logs de la detección de la intrusión.
6.2.3. Técnicas de recopilación de información y análisis forense.
La informática forense, o análisis forense digital, es la disciplina que se
encarga, como parte de la demostración objetiva de la comisión de un delito, de
la recopilación, recuperación y análisis de los datos contenidos en todo tipo de
dispositivos con capacidad para almacenar datos digitales. Esta labor es
importante en los procesos judiciales, pero también puede emplearse en el
sector privado (por ejemplo, para las comprobaciones internas de las empresas
o las investigaciones en caso de intrusión en la empresa y/o en su
infraestructura informática)
La adquisición de datos es una de las actividades más críticas en el análisis
forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e
investigación posterior no sería válido debido a que la información saldría con
impurezas, es decir, la información que creemos que es del origen no lo es
realmente.
El análisis forense se compone de tres pasos:
Identificación y preservación de los datos con el fin de crear un
duplicado forense, es decir, una copia exacta de los datos de un soporte
digital, sin modificar los datos originales.
Análisis de los datos así protegidos por medio de un software especial y
de métodos para la recopilación de pruebas. Medidas típicas son, por
ejemplo, la búsqueda de contraseñas, la recuperación de archivos
borrados, la obtención de información del registro de Windows (base de
datos de registro), etc.
Elaboración de un informe por escrito sobre las evidencias descubiertas
en el análisis y en el que se incluyan también las conclusiones extraídas
5. del estudio de los datos y de la reconstrucción de los hechos o
incidentes.
6.3. Escaneos
6.3.1. Identificación y ataques a puertos TCP/UDP.
El protocolo TCP
Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando
una máquina A envía datos a una máquina B, la máquina B es informada de la
llegada de datos, y confirma su buena recepción. Aquí interviene el control
CRC de datos que se basa en una ecuación matemática que permite verificar
la integridad de los datos transmitidos. De este modo, si los datos recibidos son
corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que
vuelvan a enviar los datos corruptos.
El protocolo UDP
UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A
envía paquetes a una maquina B, el flujo es unidireccional. La transferencia de
datos es realizada sin haber realizado previamente una conexión con la
máquina de destino (maquina B), y el destinatario recibirá los datos sin enviar
una confirmación al emisor (la maquina A). Esto es debido a que la
encapsulación de datos enviada por el protocolo UDP no permite transmitir la
información relacionada al emisor. Por ello el destinatario no conocerá al
emisor de los datos excepto su IP.
Las vulnerabilidades pretenden describir las debilidades y los métodos más
comunes que se utilizan para perpetrar ataques a la seguridad de la familia de
protocolos TCP/IP (confidencialidad, integridad y disponibilidad de la
información).
Éstos pueden provenir principalmente de dos fuentes:
2. Usuarios autentificados, al menos a parte de la red, como por ejemplo
empleados internos o colaboradores externos con acceso a sistemas
dentro de la red de la empresa. También denominados insiders.
3. Atacantes externos a la ubicación física de la organización, accediendo
remotamente. También denominados outsiders
. Las vulnerabilidades pueden clasificarse según dos criterios:
1. Número de paquetes a emplear en el ataque:
a. Atomic: se requiere un único paquete para llevarla a cabo.
b. Composite: son necesarios múltiples paquetes.
2. Información necesaria para llevar a cabo el ataque:
6. a. Context: se requiere únicamente información de la cabecera del
protocolo.
b. Content: es necesario también el campo de datos o payload
La utilización de estas técnicas se conoce con el nombre de fingerprinting, es
decir, obtención de la huella identificativa de un sistema o equipo conectado a
la red. Una técnica específica que permite extraer información de un sistema
concreto es el fingerprinting es decir, la obtención de su huella identificativa
respecto a la pila TCP/IP. El objetivo primordial suele ser obtener el sistema
operativo que se ejecuta en la máquina destino de la inspección. Esta
información junto con la versión del servicio o servidor facilitará la búsqueda de
vulnerabilidades asociadas al mismo. Gran parte de la información de la pila
TCP/IP puede obtenerse en base al intercambio entres pasos propio del
protocolo TCP/IP (TCP three-way handshake)
La probabilidad de acierto del sistema operativo remoto es muy elevada, y se
basa en la identificación de las características propias de una implementación
de la pila TCP/IP frente a otra, ya que la interpretación de los RFCs no
concuerda siempre. Para poder aplicar esta técnica con precisión es necesario
disponer de un puerto abierto (TCP y/o UDP).
TECNICAS UTILIZADAS:
Sniffers: que se encargan de capturar e interpretar tramas y datagramas
mediante aplicaciones en entornos de red basados en difusión. Un
sniffer no es más que un sencillo programa que intercepta toda la
información que pase por la interfaz de red a la que esté asociado. Una
vez capturada, se podrá almacenar para su análisis posterior.
Sniffing: consiste en que sin necesidad de acceso a ningún sistema de la
red, un atacante podrá obtener información sobre cuentas de usuario,
claves de acceso o incluso mensajes de correo electrónico en el que se
envían estas claves. La forma más habitual de realizar técnicas de
sniffing en una red, probablemente porque está al alcance de todo el
mundo, es la que podríamos denominar sniffing software, utilizando las
aplicaciones que ya mencionadas.
Niffing: también se conocen como técnicas de eavesdropping y técnicas
de snooping. La primera, eavesdropping, es una variante del sniffing,
caracterizada por realizar la adquisición o intercepción del tráfico que
circula por la red de forma pasiva, es decir, sin modificar el contenido de
la información. Por otra parte, las técnicas de snooping se caracterizan
por el almacenamiento de la información capturada en el ordenador del
atacante, mediante una conexión remota establecida durante toda la
7. sesión de captura. En este caso, tampoco se modifica la información
incluida en la transmisión.
COMO SE PUEDEN EVITAR LOS ATAQUES:
Una solución para evitar esta técnica consiste en la segmentación de la red y
de los equipos mediante el uso de conmutadores (switch). Al segmentar la red
y los equipos, el único tráfico que tendrían que ver las máquinas sería el que
les pertenece, puesto que el conmutador se encarga de encaminar hacia el
equipo únicamente aquellos paquetes destinados a su dirección MAC.
6.3.2. Identificación y ataques a servicios
Un ataque de "Denegación de servicio" impide el uso legítimo de los usuarios al
usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas
tienen algo en común: utilizan la familia de protocolos TCP/IP para conseguir
su propósito.
Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente
consisten en:
Consumo de recursos computacionales, tales como ancho de banda,
espacio de disco, o tiempo de procesador.
Alteración de información de configuración, tales como información de
rutas de encaminamiento.
Alteración de información de estado, tales como interrupción de
sesiones TCP (TCP reset).
Interrupción de componentes físicos de red.
Obstrucción de medios de comunicación entre usuarios de un servicio y
la víctima, de manera que ya no puedan comunicarse adecuadamente.
6.4. Identificación de vulnerabilidades
6.4.1. Técnicas manuales
6.4.2. Técnicas automáticas
Conocer las diferentes etapas que conforman un ataque informático brinda la
ventaja de aprender a pensar como los atacantes y a jamás subestimar su
mentalidad. Desde la perspectiva del profesional de seguridad, se debe
aprovechar esas habilidades para comprender y analizar la forma en que los
atacantes llevan a cabo un ataque.
8. La siguiente imagen muestra las cinco etapas por las cuales suele pasar un
ataque informático al momento de ser ejecutado:
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la
obtención de información (Information Gathering) con respecto a una potencial
víctima que puede ser una persona u organización.
Por lo general, durante esta fase se recurre a diferentes recursos de Internet
como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de
las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster
Diving, el sniffing.
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la
información obtenida en la fase 1 para sondear el blanco y tratar de obtener
información sobre el sistema víctima como direcciones IP, nombres de host,
datos de autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante la exploración
se encuentra el network mappers, port mappers, network scanners, port
scanners, y vulnerability scanners.
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a
materializarse el ataque a través de la explotación de las vulnerabilidades y
defectos del sistema (Flaw exploitation) descubiertos durante las fases de
reconocimiento y exploración.
9. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer
Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante
ha conseguido acceder al sistema, buscará implantar herramientas que le
permitan volver a acceder en el futuro desde cualquier lugar donde tenga
acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y
troyanos.
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró
obtener y mantener el acceso al sistema, intentará borrar todas las huellas que
fue dejando durante la intrusión para evitar ser detectado por el profesional de
seguridad o los administradores de la red. En consecuencia, buscará eliminar
los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos
(IDS).
Contraseñas
Otro de los factores comúnmente explotados por los atacantes son las
contraseñas. Si bien en la actualidad existen sistemas de autenticación
complejos, las contraseñas siguen, y seguirán, siendo una de las medidas de
protección más utilizadas en cualquier tipo de sistema informático.
En consecuencia, constituyen uno de los blancos más buscados por atacantes
informáticos porque conforman el componente principal utilizado en procesos
de autenticación simple (usuario/contraseña) donde cada usuario posee un
identificador (nombre de usuario) y una contraseña asociada a ese identificador
que, en conjunto, permiten identificarse frente al sistema.
En este tipo de proceso, llamado de factor simple, la seguridad del esquema de
autenticación radica inevitablemente en la fortaleza de la contraseña y en
mantenerla en completo secreto, siendo potencialmente vulnerable a técnicas
de Ingeniería Social cuando los propietarios de la contraseña no poseen un
adecuado nivel de capacitación que permita prevenir este tipo de ataques.
Si el entorno informático se basa únicamente en la protección mediante
sistemas de autenticación simple, la posibilidad de ser víctimas de ataques de
cracking o intrusiones no autorizadas se potencia. Sumado esto a que existen
herramientas automatizadas diseñadas para “romper” las contraseñas a través
de diferentes técnicas como ataques por fuerza bruta, por diccionarios o
híbridos en un plazo sumamente corto, el problema se multiplica aún más.
10. Sobre la base de lo anteriormente explicado, se puede suponer que la solución
ante este problema es la creación de contraseñas mucho más largas (lo cual
no significa que sean robustas). Sin embargo, esta estrategia sigue siendo
poco efectiva, simplemente, porque el personal no se encuentra preparado
para recordar largas cadenas de caracteres y terminan escribiéndolas en
lugares visibles o sitios accesibles por cualquier otra persona, incluso, ante
personas que no pertenecen a determinada área de acceso restringido.
Si bien es cierto que una contraseña que supere los diez caracteres y que las
personas puedan recordar, es mucho más efectiva que una contraseña de
cuatro caracteres, aun así, existen otros problemas que suelen ser
aprovechados por los atacantes. A continuación se expone algunos de ellos:
• La utilización de la misma contraseña en varias cuentas y otros
servicios.
• Acceder a recursos que necesitan autenticación desde lugares públicos
donde los atacantes pueden haber implantado programas o dispositivos
físicos como keyloggers que capturen la información.
• Utilización de protocolos de comunicación inseguros que transmiten la
información en texto claro como el correo electrónico, navegación web,
chat, etcétera.
• Técnicas como surveillance (videoconferencia) o shoulder surfing (mirar
por detrás del hombro), entre otras tantas, que permiten evadir los
controles de seguridad.
Como contramedida destinada a fortalecer este aspecto de la seguridad, es
posible implementar mecanismos de autenticación más robustos como
“autenticación fuerte de doble factor”, donde no sólo se necesita contar con
algo que se conoce (la contraseña) sino que también es necesario contar con
algo que se tiene, como por ejemplo una llave electrónica USB o una tarjeta
que almacene certificados digitales para que a través de ellos se pueda validar
o no el acceso de los usuarios a los recursos de la organización.
6.5. Actividades de infiltración
6.5.1. Sistema operativo
6.5.2. Aplicaciones
6.5.3. Bases de datos
Evolución en los ataques:
Primera Generación (Ataque Físico): se centraban en los componentes
electrónicos.
11. Segunda Generación (Ataque Sintáctico): son contra la lógica operativa de las
computadoras y las redes. Pretenden explotar las vulnerabilidades de los
programas, algoritmos de cifrado y los protocolos.
Tercera Generación (Ataque Semántico): colocación de información falsa en
medios informativos, spam, falsificación de e-mails, estafas de ventas por
Internet, alteración de bases de datos de índices estadísticos o bursátiles, etc.
Herramientas de prevención.
• Redes Privadas Virtuales (VPN)
– Cliente/Red o Red/Red
– Transparentes o no Transparentes
• Firewall
– Tipos: Red, Aplicación o Kernel
– Políticas: por defecto todo permitido o todo prohibido
• Sistemas de detección de intrusos (IDS)
– Máquina
• Verificador de integridad
• Monitor de registros o históricos
• Honey Pot
– Red
• Detección de uso indebido
• Detección por anomalías