Este documento presenta conceptos básicos de seguridad aplicados a redes de ordenadores. Explica brevemente tipos de hackers, principios de seguridad como el de Kerckhoffs y conceptos como autenticación, autorización, confidencialidad e integridad. También introduce los enfoques de control de acceso basado en identidad y basado en capacidades.
1. Conceptos b´sicos de seguridad aplicada a redes
a
de ordenadores
Departamento de Sistemas Telem´ticos y Computaci´n (GSyC)
a o
http://gsyc.urjc.es
Marzo de 2011
GSyC - 2011 Conceptos b´sicos de seguridad
a 1
2. c 2011 GSyC
Algunos derechos reservados.
Este trabajo se distribuye bajo la licencia
Creative Commons Attribution Share-Alike 3.0
GSyC - 2011 Conceptos b´sicos de seguridad
a 2
3. Convenciones empleadas
En espa˜ol, la conjunci´n disyuntiva o tiene dos significados
n o
opuestos
Diferencia, separaci´n, t´rminos contrapuestos
o e
carne o pescado, blanco o negro
Equivalencia
alquiler o arrendamiento, arreglar o reparar
Para evitar esta ambig¨edad, usaremos dos siglas muy comunes en
u
ingl´s
e
Para indicar oposici´n, versus, abreviada como vs
o
p.e. comprar vs alquilar
Para indicar equivalencia, also known as, abreviado aka
p.e. el rey aka el monarca
GSyC - 2011 Conceptos b´sicos de seguridad
a 3
4. Introducci´n
o
Introducci´n
o
Actualmente los ordenadores conectados a la red son
omnipresentes: usuarios particulares, todo tipo de empresas,
comercios, bancos, hospitales, organismos gubernamentales...
Un ataque puede ser muy da˜ino
n
Diversa motivaci´n de los atacantes
o
Diversi´n, reto personal
o
Vandalismo
Robo de informaci´n buscando beneficio o chantaje
o
Activismo pol´
ıtico
Crimen organizado, terrorismo
Espionaje
Etc
Los mayores riesgos provienen de empleados o ex-empleados
GSyC - 2011 Conceptos b´sicos de seguridad
a 4
5. Introducci´n
o
El resultado de un ataque puede ser
Una p´rdida econ´mica directa
e o
P´rdida de muchos otros activos,
e
p.e. la imagen de la v´
ıctima en un website defacement
Simplemente echar un vistazo causa un da˜o serio y compromete
n
un sistema
Comprometer
(2)Exponer o poner a riesgo a alguien o algo en una acci´n o
o
caso aventurado
GSyC - 2011 Conceptos b´sicos de seguridad
a 5
6. Hackers
Hackers
Hack en ingl´s ordinario, significa cortar en rodajas, cortar en
e
tajos, trocear, desbrozar...
A partir de los a˜os 60, en inform´tica, se le da el significado
n a
de truco: usar, configurar o programar un sistema para ser
usado de forma distinta a la esperada habitualmente
Hacker significa, entre otras cosas, una persona que se cuela
en un ordenador o red de ordenadores. Es una palabra que no
tiene una definici´n universalmente aceptada
o
En el lenguaje, prensa y medios generalistas, hacker suele tener
connotacciones negativas
En la comunidad especializada, para una persona que comete
delitos se emplea el t´rmino cracker
e
GSyC - 2011 Conceptos b´sicos de seguridad
a 6
7. Hackers
hacker n.
[originally, someone who makes furniture with an axe]
1 A person who enjoys exploring the details of programmable systems and
how to stretch their capabilities, as opposed to most users, who prefer to
learn only the minimum necessary
2 One who programs enthusiastically (even obsessively) or who enjoys
programming rather than just theorizing about programming
3 A person capable of appreciating hack value
4 A person who is good at programming quickly
5 An expert at a particular program, or one who frequently does work using
it or on it; as in a Unix hacker
6 An expert or enthusiast of any kind. One might be an astronomy hacker,
for example
7 One who enjoys the intellectual challenge of creatively overcoming or
circumventing limitations.
8 (deprecated) A malicious meddler who tries to discover sensitive
information by poking around. Hence password hacker, network hacker.
The correct term for this sense is cracker
Eric S. Raymond, The jargon file v4.2.0
GSyC - 2011 Conceptos b´sicos de seguridad
a 7
8. Hackers
Clasificaci´n de los hackers
o
Seg´n su motivaci´n
u o
White hat hacker. Motivaci´n leg´
o ıtima, hacking ´tico. Prueba
e
su propio sistema o el de otro, por el que est´ contratado, con
a
autorizaci´n previa expl´
o ıcita
Red team: Atacantes
Blue team: Defensores
Grey hat hacker. Invade un sistema sin autorizaci´n del
o
responsable, notifica posteriormente que ha podido burlar la
seguridad. Tal vez solicite una cantidad de dinero razonable
Black hat hacker. Cracker. Delincuente. Actividades de
vandalismo, fraude, robo de identidad, pirater´
ıa...
GSyC - 2011 Conceptos b´sicos de seguridad
a 8
9. Hackers
Seg´n su nivel de conocimientos, en los extremos est´n
u a
Elite: Minor´ m´s avanzada que es capaz de descubrir
ıa a
t´cnicas nuevas
e
Neophyte, noob, newbie: principiante
Lamer: persona que alardea de habilidades de las que carece,
con falta de capacidad y de conocimiento. A pesar de tener
experiencia
Script kiddie: principiante que no sabe lo que hace, usa
ciegamente aplicaciones desarrolladas por otros sin
comprenderlas ni saber adaptarse a un m´ ınimo cambio
GSyC - 2011 Conceptos b´sicos de seguridad
a 9
10. Hackers
Otros t´rminos relativos a personas
e
BOFH: bastard Operator From Hell (infame administrador del
demonio). Personaje de los libros de S.Travaglia. Por
extensi´n, administrador de sistemas autoritario
o
Luser (loser+user). Usuario ordinario (despectivo)
Spammer: persona que env´ correo basura
ıa
Phreaker: usuario con conocimientos avanzados sobre las
redes de telefon´ que puede llegar a hacer actividades
ıa,
no autorizadas
GSyC - 2011 Conceptos b´sicos de seguridad
a 10
11. Hackers
Principio de Kerckhoffs
Principio de Kerckhoffs: Los algoritmos deben ser p´blicos; s´lo las
u o
claves deben ser son secretas
Rogues knew a good deal about lock-picking long before locksmiths
discussed it among themselves. If a lock is not so inviolable as it has
hitherto been deemed to be, surely it is to the interest of honest
persons to know this fact, and the spread of the knowledge is
necessary to give fair play to those who might suffer by ignorance
A.C.Hobbs, 1853
El sistema no debe depender del secreto y debe poder ser robado
por el enemigo sin causar problemas
A. Kerckhoffs, 1883
GSyC - 2011 Conceptos b´sicos de seguridad
a 11
12. Hackers
Dos principios contrapuestos
1 Security through obscurity
(Seguridad mediante la oscuridad)
2 Security by design
Dise˜ar desde el principio cada elemento del sistema para ser
n
seguro
Confiar solamente en (1) es sin duda una mala idea. En general se
prefiere solamente (2). Aunque en ocasiones se defiende (2)
complementado con (1)
GSyC - 2011 Conceptos b´sicos de seguridad
a 12
13. Hackers
Una vez descubierta una vulnerabilidad, un hacker (sombrero gris o
blanco) puede aplicar varias pol´
ıticas para revelarla
Full disclosure. (Divulgaci´n masiva)
o
Responsible disclosure (Revelaci´n responsable)
o
Security through obscurity (Seguridad mediante la oscuridad)
GSyC - 2011 Conceptos b´sicos de seguridad
a 13
14. Conceptos b´sicos
a
Seguridad de una red inform´tica
a
Es una definici´n controvertida, una definici´n operacional puede
o o
ser
Un sistema inform´tico (hardware, software, red) es seguro si
a
sus usuarios pueden confiar en que se comportar´ de la
a
manera esperada
Si espero acceder a mis datos, pero no puedo, esto es un fallo de
seguridad. Tanto si la causa es un intruso, un fallo en el software o
un incendio
La seguridad nunca es algo absoluto. Con la suficiente
(motivaci´n/tiempo/dinero/habilidad/suerte) un atacante
o
siempre podr´ comprometer un sistema
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 14
15. Conceptos b´sicos
a
Para ISO-7498/OSI
Seguridad inform´tica: mecanismos que minimizan la
a
vulnerabilidad de bienes y recursos
Bien: algo de valor
Vulnerabilidad: debilidad que se puede explotar para violar un
sistema o la informaci´n que contiene.
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 15
16. Conceptos b´sicos
a
Seguridad:Soluciones t´cnicas
e
Nivel f´
ısico: Proteger el cable de escuchas
¿y si no hay cable?
Nivel de enlace: Cifrar al enviar y descifrar al recibir
Nivel de red: IPsec, cifrado en IPv6. Cortafuegos
Nivel de transporte: Cifrado de conexiones. SSL
Pero no solo hay fallos de seguridad t´cnicos, sino humanos,
e
relativos a ingenier´ social
ıa
GSyC - 2011 Conceptos b´sicos de seguridad
a 16
17. Conceptos b´sicos
a
Tipos de seguridad
Confidencialidad/secreto
Solo las personas autorizadas tienen acceso a leer (y por tanto
copiar) la informaci´n
o
Integridad de los datos
Solo las personas autorizadas pueden modificar datos o
programas. En disco, backup, papel...
Disponibilidad
Los servicios deben estar disponibles de la forma prevista
¿Es posible la integridad sin confidencialidad?
¿Es posible la confidencialidad sin integridad?
GSyC - 2011 Conceptos b´sicos de seguridad
a 17
18. Conceptos b´sicos
a
Consistencia
El sistema debe comportarse correctamente, de la forma
esperada
Control/auditor´ıa
Posibilidad de saber qui´n ha accedido a qu´ recurso, cu´ndo
e e a
y c´mo
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 18
19. Conceptos b´sicos
a
Control de acceso
Basado en identidad vs basado en capabilities 1
No repudio
Mecanismo que impide que las entidades que participan en
una comunicaci´n nieguen haberlo hecho
o
No repudio con prueba de origen
No repudio con prueba de destino
1
El vocabulario y algunos matices no son universales, pero las ideas
fundamentales s´
ı
GSyC - 2011 Conceptos b´sicos de seguridad
a 19
20. Conceptos b´sicos
a
Control de acceso basado en identidad
Identificaci´n
o
La entidad indica su identidad
Autenticaci´n aka acreditaci´n
o o
El sistema comprueba que la identidad puede ser considerada
cierta
Autorizaci´n
o
El sistema consulta en un ACL, access control list qu´ puede
e
hacer esa entidad con ese objeto
¿Es posible un sistema con autenticaci´n pero sin mecanismo de
o
autorizaci´n?
o
¿Es posible la autorizaci´n (basada en identidad) sin un
o
mecanismo de autenticaci´n?o
GSyC - 2011 Conceptos b´sicos de seguridad
a 20
21. Conceptos b´sicos
a
Autenticaci´n
o
Tres categor´ combinables
ıas,
Sistemas basados en algo que se conoce
Sistemas basados en algo que se posee
Sistemas basados en caracter´
ıstica o acto del usuario
GSyC - 2011 Conceptos b´sicos de seguridad
a 21
22. Conceptos b´sicos
a
Para ser viable, un sistema de autenticaci´n debe
o
Ser fiable, con probabilidad muy elevada
Nunca puede haber certeza absoluta sobre la identidad. Se
establecen unas pruebas y se considera que, de superarse, se
puede proceder
Baja tasa de falsos positivos
Baja tasa de falsos negativos
Economicamente factible
Resistente a ciertos ataques
Aceptable por el usuario
GSyC - 2011 Conceptos b´sicos de seguridad
a 22
23. Conceptos b´sicos
a
Control de acceso basado en capabilities
capability: capacidad, competencia
El enfoque tradicional basado en identidad presenta algunas
debilidades, especialmente en entornos con varios dominios (varias
entidades autenticadoras)
Es necesaria una relaci´n de confianza entre los dominios, o
o
bien autenticarse en cada dominio
Es necesario propagar entre los dominios los cambios en los
usuarios y en sus permisos asignados
Complica la delegaci´n (si la delegaci´n es un requisito)
o o
Complica la revocaci´n
o
El control de acceso basado en capabilities puede resolver estos
problemas
GSyC - 2011 Conceptos b´sicos de seguridad
a 23
24. Conceptos b´sicos
a
Control de acceso basado en capabilities
Enfoque basado en tokens de autoridad, autorizan a acceder a
cierto recurso con ciertos derechos, sin atender a la identidad
Se puede a˜adir identificaci´n y autenticaci´n para facilitar la
n o o
auditor´ pero la identidad no es la base del control de acceso
ıa,
token: ficha, vale, llave
GSyC - 2011 Conceptos b´sicos de seguridad
a 24
25. Conceptos b´sicos
a
Control de acceso
Basado en identidad Basado en capabilities
GSyC - 2011 Conceptos b´sicos de seguridad
a 25
26. Conceptos b´sicos
a
Tipos de ataque
Ataques pasivos
Escuchar o monitorizar transmisiones, analizar tr´fico
a
Ataques activos
Enmascaramiento
Retransmisi´n
o
¿Qu´ tiene de malo retransmitir?
e
Modificaci´n
o
Denegaci´n de servicio, denial-of-service attack, DoS attack
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 26
27. Conceptos b´sicos
a
Sistema de reto-respuesta
M´todos basados en el intercambio de mensajes
e
Un reto es un nounce, un valor que solamente se usa una vez para
un prop´sito
o
A ---E(R)---> B
A <----R---- B
Si A env´ un reto cifrado a B y B es capaz de devolverlo en
ıa
claro (o con otro cifrado), B demuestra a A que conoce el
secreto
Pero B no revela el secreto
GSyC - 2011 Conceptos b´sicos de seguridad
a 27
28. Criptograf´
ıa
Principios criptogr´ficos
a
Criptolog´ = criptograf´ (inventar c´digos) + criptoan´lisis
ıa ıa o a
(atacarlos)
La garant´ de la integridad est´ basada en alg´n mecanismo
ıa a u
con redundancia, que evite que una modificaci´n de los
o
mismos resulte en otro mensaje v´lido.
a
Es habitual la inclusi´n de marcas de tiempo (hora l´gica vs
o o
hora f´
ısica) como defensa ante los ataques por retransmisi´n
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 28
29. Criptograf´
ıa Criptograf´ de Clave Secreta
ıa
Criptograf´ de Clave Secreta
ıa
La misma clave que cifra, descifra
Muchos algoritmos: DES (obsoleto), triple DES, AES (o
Rijndael). Oficial gobierno EEUU desde 2001), twofish, etc etc
Problemas
Haces falta muchas claves: una por cada pareja de posibles
comunicantes
¿C´mo transmitir las claves de forma segura?
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 29
30. Criptograf´
ıa Autenticaci´n con clave secreta: Kerberos
o
Autenticaci´n con clave secreta: Kerberos
o
Kerberos: protocolo de autenticaci´n, sobre red no segura
o
Publicado por el MIT en 1993,
RFC 1510, a˜o 1993
n
RFC 4120, a˜o 2005
n
El MIT tambi´n ofrece implementaciones con licencia tipo
e
BSD.
Muy ampliamente usado: Windows, Unix, Linux, MacOS,
OpenVMS...
Criptograf´ sim´trica, basado en DES, 3DES, RC4
ıa e
Cliente/servidor, ambos autenticados
Depende de un tercero en el que cliente y servidor conf´
ıan
GSyC - 2011 Conceptos b´sicos de seguridad
a 30
31. Criptograf´
ıa Autenticaci´n con clave secreta: Kerberos
o
Kerberos usa el protocolo de autenticaci´n Needham-Schroeder
o
Alice y Bob conf´ en un servidor, con el que comparten una
ıan
clave privada
Alice se autentica con el Servidor empleando una clave privada
El servidor le da a Alice un ticket cifrado con la clave privada
de B, con una con clave de sesi´n y marca de hora,
o
Alice env´ a Bob el ticket
ıa
Alice y Bob intercambian mensajes con la clave de sesi´n
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 31
32. Criptograf´
ıa Autenticaci´n con clave secreta: Kerberos
o
Inconvenientes de Kerberos
El servidor es un punto unico de fallo: necesita estar
´
continuamente disponible
Requiere una sincronizaci´n estricta de los relojes para evitar
o
ataques por repetici´n
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 32
33. Criptograf´
ıa Criptograf´ de clave p´blica
ıa u
Criptograf´ de clave p´blica
ıa u
Aparece con el algoritmo Diffie-Hellman, a˜o 1976
n
Clave de cifrado o p´blica E y de descifrado o privada D
u
distintas (asim´tricas)
e
D(E (P)) = P
Muy dificil romper el sistema (p.e. obtener D) teniendo E .
Permite intercambiar claves por canal no seguro
La clave privada sirve para descifrar. Debe mantenerse en
secreto
La clave p´blica sirve para cifrar. Puede conocerla todo el
u
mundo (lo importante es que se conozca la clave correcta)
GSyC - 2011 Conceptos b´sicos de seguridad
a 33
34. Criptograf´
ıa Criptograf´ de clave p´blica
ıa u
Conociendo la clave p´blica de alguien, podemos cifrar un
u
mensaje que solo ´l, con su clave privada, podr´ descifrar
e a
Los algoritmos de clave p´blica son mucho m´s lentos que los
u a
de clave secreta (100 a 1000 veces). Por eso se suelen usar
s´lo para el intercambio de claves sim´tricas de sesi´n
o e o
GSyC - 2011 Conceptos b´sicos de seguridad
a 34
35. Criptograf´
ıa Criptograf´ de clave p´blica
ıa u
RSA
De Rivest, Shamir y Adleman, a˜o 1978
n
Algorimo de clave p´blica, muy extendido
u
Adem´s de cifrar, sirve para firmar
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 35
36. Criptograf´
ıa Criptograf´ de clave p´blica
ıa u
Autenticaci´n con clave p´blica
o u
1,2: A obtiene la clave p´blica de B
u
3: A env´a su remite y un reto cifrados
ı
con la clave de B
4,5: B obtiene la clave p´blica de A
u
6: B cifra, con la clave de A: el reto
de A, un reto nuevo y una clave
sim´trica
e
7: A env´a el reto de B con la clave
ı
sim´trica, que se emplear´ en la
e a
sesi´n
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 36
37. Criptograf´
ıa Funci´n hash
o
Funci´n hash
o
T´cnica b´sica para garantizar integridad de un mensaje
e a
hash:
a mess, jumble, or muddled.
to chop into small pieces; make into hash; mince.
to muddle or mess up.
Funci´n que, a partir de un bloque arbitrario de datos
o
(message), genera de forma determinista un valor hash, aka
message digest, aka digest.
Este valor hash identifica de forma pr´cticamente un´
a ıvoca al
mensaje, de forma que un cambio en el mensaje, aunque sea
peque˜o, provoque un cambio en el valor hash
n
Es posible que dos mensajes distintos generen el mismo valor
hash, aunque muy dif´ ıcil
koji@mazinger:~$ md5sum ubuntu-10.10-desktop-i386.iso
59d15a16ce90c8ee97fa7c211b7673a8 ubuntu-10.10-desktop-i386.iso
GSyC - 2011 Conceptos b´sicos de seguridad
a 37
38. Criptograf´
ıa Funci´n hash
o
Funci´n hash ideal:
o
F´cil de generar
a
Muy dif´ generar el mensaje a partir del hash
ıcil
Muy dif´ modificar el mensaje manteniendo el hash
ıcil
Muy dif´ encontrar dos mensajes con el mismo hash
ıcil
Ejemplos de funciones hash: MD5, SHA-1
GSyC - 2011 Conceptos b´sicos de seguridad
a 38
39. Criptograf´
ıa Firmas digitales
Firmas digitales
Algoritmos como RSA tienen la propiedad de que tambi´n e
puede usarse la clave privada para cifrar y la p´blica para
u
descifrar E (D(P)) = P
A partir de un mensaje, se genera un digest
El c´digo se encripta con la clave privada y se transmite junto
o
con el mensaje
El receptor
Descifra el mensaje con la clave p´blica del emisor
u
Genera de nuevo el c´digo hash
o
Si el c´digo hash de la firma y del mensaje coinciden, el
o
mensaje solo puedo enviarlo el origen
GSyC - 2011 Conceptos b´sicos de seguridad
a 39
40. Criptograf´
ıa Firmas digitales
Firma digital
Adem´s de la firma manuscrita tradicional, en Espa˜a (ley
a n
59/2003) y muchos otros paises puede emplearse una firma digital,
con el mismo valor legal
Permite enviar un mensaje firmado, esto es, con autenticaci´n,
o
integridad y no repudio
Requisitos
Generaci´n f´cil
o a
No rechazable
´
Unica: solo su propietario puede generarlo
F´cilmente verificable por propietario y receptores
a
Depender del mensaje y del autor
Inclusi´n de sello de tiempo
o
Revocaci´n del certificado por el firmante
o
¿M´s o menos seguro que la firma tradicional?
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 40
41. Criptograf´
ıa Firmas digitales
A B
--- Mensaje, Privada_A(Digest)--->
Publica_A(Privada_A(Digest)) = Digest_recibido
Hash (Mensaje) = Digest_recalculado
Si Digest_recibido=Digest_recalculado, entonces el mensaje
lo ha enviado A
GSyC - 2011 Conceptos b´sicos de seguridad
a 41
42. Criptograf´
ıa Herramientas de cifrado
Herramientas de cifrado
Los algoritmos de cifrado tal y como los definen los
matem´ticos no suelen ser pr´cticos para el administrador o
a a
usuario final
A partir de los algoritmos (normalmente unos pocos) se
desarrollan diversas implementaciones, librer´ aplicaciones,
ıas,
protocolos
GSyC - 2011 Conceptos b´sicos de seguridad
a 42
43. Criptograf´
ıa Herramientas de cifrado
PGP
PGP: Pretty Good Privacy
Philip Zimmermann, a˜o 1991
n
Implementaci´n de RSA muy popular
o
Claves de al menos 128 bits
Base de est´ndar OpenPGP RFC 1991 (a˜o 1996), RFC 5581
a n
(A˜o 2009)
n
En la actualidad es m´s habitual emplear GPG (GNU Privacy
a
Guard), implementaci´n de OpenPGP alternativa a PGP
o
Diversos front-ends: Gpg4win para Windows, Seahorse para
GNOME, KGPG para KDE, Mac GPG para Mac OS, Enigform
para Firefox...
Habitualmente se usa para encriptar y firmar ficheros, correos,
etc
GSyC - 2011 Conceptos b´sicos de seguridad
a 43
44. Criptograf´
ıa Herramientas de cifrado
Cifrado de particiones
En ocasiones resulta m´s conveniente cifrar particiones completas
a
del disco duro
eCryptfs
Sistema de ficheros cifrado, compatible con la norma POSIX.
Habitual en Linux
Encrypting File System
Nativo en Microsoft Windows
FileVault
Nativo en Mac OS
TrueCrypt
Disponible para Windows, Linux, Mac OS. Uso sencillo,
potente, muy popular. C´digo fuente disponible con licencia
o
gratuita no libre
Basados en AES, Triple DES o similares
GSyC - 2011 Conceptos b´sicos de seguridad
a 44
45. Criptograf´
ıa DRM
DRM
Buena parte del tr´fico en internet corresponde a las redes p2p y a
a
las descargas directas
A su vez, una buena parte de este (pero no todo) se corresponde
con contenidos protegidos por Copyright
DRM: Digital rights management
Sistema de control de acceso a contenidos digitales (m´sica,
u
v´
ıdeo, juegos y libros) para evitar que sean utilizado en formas
no permitidas por el distribuidor
Desde el siglo XVIII se reconoce a los autores los derechos
sobre su creaci´n intelectual. El DRM busca la protecci´n de
o o
estos derechos
Basado en criptograf´
ıa
GSyC - 2011 Conceptos b´sicos de seguridad
a 45
46. Criptograf´
ıa DRM
La industria de contenidos dice:
La copia es un delito
El DRM beneficia al usuario, ya que si el autor no recibe
compensaci´n, no habr´ creaci´n
o a o
Miguel de Cervantes dice:
No hagas muchas pragm´ticas; y si las hicieres, procura que sean buenas, y,
a
sobre todo, que se guarden y cumplan; que las pragm´ticas que no se guardan,
a
lo mismo es que si no lo fuesen; antes dan a entender que el pr´ıncipe que tuvo
discreci´n y autoridad para hacerlas, no tuvo valor para hacer que se guardasen;
o
y las leyes que atemorizan y no se ejecutan, vienen a ser como la viga, rey de las
ranas: que al principio las espant´, y con el tiempo la menospreciaron y se
o
subieron sobre ella.
GSyC - 2011 Conceptos b´sicos de seguridad
a 46
47. Criptograf´
ıa DRM
Limitaciones del DRM
Criptograf´ relativamente vulnerable, puesto que el atacante
ıa
t´
ıpicamente tambi´n es usuario leg´
e ıtimo, y tiene acceso a un
dispositivo con todas las claves. Aunque estas claves tengan
cierta protecci´n
o
Frecuentemente implementado en hardware no actualizable
El usuario final con equipos dom´sticos no podr´ copiar el
e a
contenido, pero equipos capaces de trabajar a bajo nivel
probablemente s´ podr´n
ı a
Cualquier material (excepto el interactivo) es vulnerable al
agujero anal´gico
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 47
48. Criptograf´
ıa DRM
Inconvenientes para el usuario leg´
ıtimo
Es frecuente que el DRM
Resulte inc´modo
o
Impida usos legales de los contenidos
Conlleve p´rdida del acceso, por obsolescencia
e
GSyC - 2011 Conceptos b´sicos de seguridad
a 48
49. Malware Caracter´
ısticas del malware
Malware
Malware: Malicious software
Software malitencionado, hostil, intrusivo, molesto. No
confundir con software defectuoso
Atendiendo principalmente a su forma de propagaci´n, se
o
habla de: virus, gusanos, troyanos, spyware, adware deshonesto
En el lenguaje no especializado se suele usar la palabra virus
para nombrar gen´ricamente a todo el malware
e
Independientemente de su forma de propagaci´n, el software
o
malicioso puede realizar diferente actividad da˜ina.
n
Esta actividad la realiza una parte de cada aplicaci´n
o
maliciosa, la carga (payload)
GSyC - 2011 Conceptos b´sicos de seguridad
a 49
50. Malware Caracter´
ısticas del malware
Virus, gusanos y troyanos pueden llevar pr´cticamente
a
cualquier carga
El spyware suele llevar una carga que realiza acciones similares
El adware suele llevar una carga que realiza acciones similares
Entre la carga m´s habitual del malware:
a
Puertas traseras, rootkits, inclusi´n en Botnets, keyloggers y
o
fraudulent dialers
Otras actividades delictivas realizadas en redes de ordenadores,
realizadas fundamentalmente mediante ingenier´ social:
ıa
Spamming y phising
GSyC - 2011 Conceptos b´sicos de seguridad
a 50
51. Malware Caracter´
ısticas del malware
Motivaci´n
o
Las aplicaciones maliciosas se desarrollan por diferente motivaci´n
o
Diversi´n, prueba de una idea, vandalismo, sabotaje, beneficio
o
econ´mico, extorsi´n, o incluso, antiguamente, ser
o o
bienintencionados
Se conocen casos de malware probablemente escrito por
desarrolladores de antivirus y por desarrolladores de
aplicaciones comerciales (para desincentivar el uso de
aplicaciones obtenidas ilegalmente)
GSyC - 2011 Conceptos b´sicos de seguridad
a 51
52. Malware Caracter´
ısticas del malware
El malware puede tener objetivos
Muy espec´ıficos.
P.e. Sabotaje de gaseoducto en Siberia en 1982
Virus Stuxnet en 2010
Muy amplios
P.e. Botnet BredoLab, a˜o 2010
n
GSyC - 2011 Conceptos b´sicos de seguridad
a 52
53. Malware Tipos de malware
Virus inform´tico
a
Programa malicioso que es capaz de copiarse a s´ mismo en otro
ı
fichero.
Para transmitirse a otro ordenador, es necesario que el usuario
copie el fichero, mediante la red o mediante un dispositivo de
almacenamiento
Como todo el malware, puede llevar diversa carga
Virus no residente
Virus residente
GSyC - 2011 Conceptos b´sicos de seguridad
a 53
54. Malware Tipos de malware
Un virus puede infectar
Binarios
Scripts o similares (p.e. autorun.inf)
Sectores de arranque de discos, disquetes, pendrives...
Documentos con macros: procesadores de texto, hojas de
c´lculo
a
Ficheros de configuraci´n de p´ginas web, escrito por clientes
o a
web
Cualquier otro fichero, aprovechando vulnerabilidades de
desbordamiento de b´fer o condiciones de carrera
u
GSyC - 2011 Conceptos b´sicos de seguridad
a 54
55. Malware Tipos de malware
Gusano
Gusano inform´tico, iWorm
a
Programa malicioso capaz de replicarse a trav´s de la red, usando
e
esta activamente
No necesita la intervenci´n del usuario para su replicaci´n
o o
No necesita vincularse a ning´n programa o fichero.
u
Suele detectarse por un aumento de consumo de recursos
GSyC - 2011 Conceptos b´sicos de seguridad
a 55
56. Malware Tipos de malware
Troyano
Malware incluido en un programa, que realiza alguna tarea
leg´
ıtima, pero adicionalmente incluye una carga maliciosa.
No se propaga por s´ mismo
ı
Puede llevar pr´cticamente cualquier carga, tal vez lo m´s
a a
frecuente en la actualidad es la instalaci´n de una puerta
o
trasera para que la v´
ıctima forme parte de una botnet
El usuario puede obtenerlos de redes p2p, sitios web poco
fiables, por correo, mensajer´ instant´nea,etc
ıa a
GSyC - 2011 Conceptos b´sicos de seguridad
a 56
57. Malware Tipos de malware
Spyware
Tipo de malware que no se propaga por s´ mismo y viene
ı
incluido en una aplicaci´n util para el usuario (parecido en
o ´
esto a un troyano)
La carga siempre es similar: captura informaci´n del usuario
o
(p´ginas web visitadas, aplicaciones empleadas, correos de
a
contactos) y la transmite a un servidor.
Hecho por empresa no oculta. Supuestamente notifica al
usuario de su actividad, en los EULA (End user license
agreement), de legalidad variable.
Herramienta de marketing: si no eres el cliente, eres el
producto
GSyC - 2011 Conceptos b´sicos de seguridad
a 57
58. Malware Tipos de malware
En ocasiones se usa la palabra spyware para nombrar una cosa
distinta:
Carga abiertamente delectiva incluida en un virus, gusano o
troyano, que roba informaci´n muy sensible del usuario:
o
n´meros de tarjeta de cr´dito, contrase˜as, cuentas bancarias,
u e n
etc
GSyC - 2011 Conceptos b´sicos de seguridad
a 58
59. Malware Tipos de malware
Adware deshonesto
El adware (advertising-supported software), en s´ mismo, es
ı
perfectamente leg´
ıtimo
Pero puede llegar a ser malware, p.e. secuestrando el
navegador (browser hijacking): alterando p´gina de inicio,
a
marcadores, mostrando ventanas emergentes, etc
Beneficio econ´mico directo para el atacante
o
Normalmente prohibido por los t´rminos del anunciante o
e
plataforma de publicidad (Google AdWords, Yahoo! Search
Marketing, etc)
GSyC - 2011 Conceptos b´sicos de seguridad
a 59
60. Malware Carga del malware
Carga
La carga del software malicioso puede realizar diferentes
actividades perniciosas
Destruir ficheros, corromper el sistema de ficheros
Vandalizar p´ginas web (defacement)
a
Convertir el ordenador en un zombi, desde el que
Realizar otros ataques (ocultando la identidad del atacante)
Enviar spam
Realizar DOS o DDOS [distributed] denial of service attack
En ocasiones el DDoS no proviene de un ataque intencionado:
efecto slashdot, VIPDoS, similitud con direcci´n popular (p.e.
o
utube.com), clientes NTP mal configurados (D-Link, Netgear)
En ocasiones el DDOS se realiza con el consentimento del
propietario del equipo (como el ataque a Visa y Paypal en
2010 en represalia a su pol´
ıtica contra WikiLeaks)
GSyC - 2011 Conceptos b´sicos de seguridad
a 60
61. Malware Carga del malware
Backdoor
M´todo para evitar los procedimientos de autenticaci´n
e o
ordinarios
Puede instalarse en una aplicaci´n, en hardware, en un
o
compilador...
Casi imposible en software libre
En ocasiones lo instala el creador del sistema como un huevo
de pascua, pero luego es explotado por un atacante
Sim´trico: cualquiera puede explotarlo
e
Asim´trico: solo el creador del backdoor puede utilizarlo
e
GSyC - 2011 Conceptos b´sicos de seguridad
a 61
62. Malware Carga del malware
Rootkit
Originalmente, conjunto de herramientas para que un
atacante humano consiguiera y mantuviera privilegios de root
en una m´quina Unix
a
T´cnicas cl´sicas: basadas en SUID, vulnerabilidad del PATH o
e a
incluso alias
Actualmente se le da un significado m´s amplio: software que
a
permite el acceso privilegiado al sistema, ocultandose
activamente
P.e. modificando el comportamiento de ls y p (o sus
equivalentes)
Incluso puede luchar activamente contra la eliminaci´n
o
Un rootkit inactivo equivale a un virus, gusano o troyano
Primeros rootkit: Un atacante consigue privilegios de root en
un sistema, instala un rootkit que deja una puerta trasera, y
adem´s la oculta
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 62
63. Malware Carga del malware
Caso peculiar y muy famoso: Esc´ndalo del rootkit XCP de Sony
a
BMG (a˜o 2005)
n
En ocasiones es el propio usuario quien instala un rootkit para:
Evitar protecciones anti-copia
Evitar el control de licencias de software
Evitar ser detectados haciendo trampa en juegos online
Mecanismos anti-robo
GSyC - 2011 Conceptos b´sicos de seguridad
a 63
64. Malware Carga del malware
Botnet
Red de ordenadores zombi. Conjunto de equipos que, sin
autorizaci´n de su propietario, realizan actividades maliciosas
o
Controlados por un bot herder aka bot master
La forma t´
ıpica de dar las ´rdenes es mediante un bot de irc
o
Es frecuente que el bot master alquile su red a terceros
GSyC - 2011 Conceptos b´sicos de seguridad
a 64
65. Malware Carga del malware
Keyloggers
Mecanismo por el que se capturan las pulsaciones sobre el teclado
Pueden colocarse
En el SO: n´cleo, drivers de teclado
u
Formularios web
Captura de telnet o similar
Firmware
Dispositivos f´
ısicos en el teclado
GSyC - 2011 Conceptos b´sicos de seguridad
a 65
66. Malware Carga del malware
Tambi´n pueden funcionar mediante
e
Captura ´ptica
o
Criptoan´lisis ac´stico
a u
Captura de radiaci´n electromagn´tica (de un teclado
o e
cableado)
Pueden incluir funcionalidad adicional
Captura de pantalla
Captura de webcam o micr´fono
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 66
67. Malware Carga del malware
Fraudulent dialer
Sin el consentimiento del usuario, hace una llamada telef´nica
o
A n´meros de pago
u
Para formar botnet o similar
En ocasiones, pueden tener el consentimiento del usuario, a quien
enga˜an
n
En desuso cuando aparece la banda ancha
GSyC - 2011 Conceptos b´sicos de seguridad
a 67
68. Malware Medidas contra el malware
Medidas contra el malware
Mantener las actualizaciones de seguridad al d´
ıa
Esto no sirve para los zero-day attacks
Formaci´n de los usuarios
o
No ejecuci´n de programas de fuente dudosa
o
Precauci´n con pendrives y similares, especialmente en el
o
arranque
Uso de cortafuegos
Uso de software antivirus (actualizado)
Uso de IDS (Instrusion Detection System)
Las plataformas de uso mayoritario suelen presentar mayor riesgo
GSyC - 2011 Conceptos b´sicos de seguridad
a 68
69. Malware Medidas contra el malware
Honeypots
Un honeypot (se˜uelo) es un ordenador conectado a la red como
n
trampa para estudiar el comportamiento de los atacantes
Honeypot para producci´n, en el interior de un sistema real
o
Honeypot de investigaci´n, para conocer nuevas t´cnicas
o e
GSyC - 2011 Conceptos b´sicos de seguridad
a 69
70. Ataques basados en ingenier´ social
ıa
Ataques basados en ingenier´ social
ıa
Algunos ataques se basan no tanto en hardware y software (que
tambi´n) sino en ingenier´ social: enga˜ar a una persona
e ıa n
Obviamente, la formaci´n del usuario es especialmente
o
importante
Algunos de ellos son simples timos con siglos de historia,
adaptados a internet
Veremos spam y phising
GSyC - 2011 Conceptos b´sicos de seguridad
a 70
71. Ataques basados en ingenier´ social
ıa Spam
Spam
Env´ indiscriminado de mensajes no solicitados
ıo
No solo en correo electr´nico: tambi´n en mensajer´
o e ıa
instant´nea, grupos de news, blogs, wikis, sms, telefon´ IP,
a ıa
fax
Originalmente, SPAM es una marca de carne de cerdo en lata.
Toma el significado actual a partir de un sketch de los Monty
Python
Es legal en ciertos casos, dependiendo de las legislaciones
GSyC - 2011 Conceptos b´sicos de seguridad
a 71
72. Ataques basados en ingenier´ social
ıa Spam
El spam puede anunciar productos o servicios reales (sean
legales o ilegales), aunque en su gran mayoria se trata de
estafas, cartas nigerianas, phising, etc
Se estima que el volumen de spam en el correo actualmente es
superior al 90 %, 95 % o incluso 97 %
Los spammers obtienen las direcciones procesando
masivamente p´ginas web (propias o ajenas), cadenas de
a
correo, directorios, fuerza bruta o mediante ingenier´ social
ıa
Los mensajes suelen ofuscar su contenido, para dificultar su
detecci´n por parte de los filtros
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 72
73. Ataques basados en ingenier´ social
ıa Spam
Cadenas de correo
Reenv´ esto a 20 amigos o tendr´s 20 a˜os de mala suerte
ıa a n
An´nimos e intemporales, para que duren
o
Tambi´n pueden estar aparentemente bienintencionados (aviso de
e
virus, actividad criminal)
Puede ser m´s o menos da˜ino, pero es un tipo de spam.
a n
Debemos formar a nuestros usuarios para que no las sigan.
Nunca. No es posible determinar su autenticidad
Se emplean para conseguir direcciones de correo
Frecuentemente incluyen bulos (hoax)
Pueden incluir falsos avisos de virus
jdbgmgr.exe, virus del osito
No es cierto que Coca Cola dar´ un c´ntimo a los ni˜os
a e n
pobres de Uganda por cada correo reenviado
Adem´s ¿c´mo podr´ saberlo?
a o ıa
En las contadas ocasiones en que el hecho es cierto, la
situaci´n puede haber cambiado, pero la cadena sigue
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 73
74. Ataques basados en ingenier´ social
ıa Spam
Legislaci´n espa˜ola sobre Spam
o n
Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de
Informaci´n y Comercio Electr´nico, art 21
o o
1 Queda prohibido el env´ de comunicaciones publicitarias o promocionales por
ıo
correo electr´nico u otro medio de comunicaci´n electr´nica equivalente que
o o o
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.
2 Lo dispuesto en el apartado anterior no ser´ de aplicaci´n cuando exista una
a o
relaci´n contractual previa, siempre que el prestador hubiera obtenido de forma
o
l´
ıcita los datos de contacto del destinatario y los empleara para el env´ de
ıo
comunicaciones comerciales referentes a productos o servicios de su propia
empresa que sean similares a los que inicialmente fueron objeto de contrataci´n
o
con el cliente.
En todo caso, el prestador deber´ ofrecer al destinatario la posibilidad de oponerse al
a
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
La ley estadounidense (CAN-SPAM Act, 2003) es m´s laxa
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 74
75. Ataques basados en ingenier´ social
ıa Spam
CAPTCHA
CAPTCHA: Completely Automated Public Turing test to tell
Computers and Humans Apart
En la actualidad, cualquier blog, wiki, formulario etc donde sea
sencillo escribir se llenar´ r´pidamente de Spam, a menos que se
a a
proteja con algo como un CAPTCHA
Texto o audio deformado de forma que solo puede ser reconocido
por una persona, no por un programa
Problem´tico para personas con deficiencia visual
a
El CAPTCHA es vulnerable a
Mejoras en los OCR
Defectos en la implementaci´n que permitan puentearlo
o
Su resoluci´n por verdaderos humanos
o
Pagados, en paises de muy baja renta
Enga˜ados
n
GSyC - 2011 Conceptos b´sicos de seguridad
a 75
76. Ataques basados en ingenier´ social
ıa Spam
T´cnicas anti-spam
e
Son preferibles los falsos negativos antes que los falsos
positivos
El usuario debe evitar publicar su correo de forma capturable
por los spammers
Usando im´genes
a
Alterando el correo de forma legible por un humano.
es mejor
juan.perez@empresa.QUITAESTO.com
que
juan.perez.QUITAESTO@empresa.com
Mejor a´n:
u
juan.perez [arroba] empresa [punto] com
juan.perez [at] empresa [dot] com
El usuario nunca debe responder al spam, ni para solicitar la
baja
GSyC - 2011 Conceptos b´sicos de seguridad
a 76
77. Ataques basados en ingenier´ social
ıa Spam
Filtro reto-respuesta (challenge-response spam filtering)
T´cnica anti-spam que solicita al origen de correo dudoso una
e
confirmaci´n (reenv´ respuesta a pregunta, CAPTCHA)
o ıo,
Muy controvertida:
Si el origen del spam es falso, se molesta a un usuario leg´
ıtimo
Puede verse como mala educaci´n con el emisor
o
Muy problem´tico con emisores no humanos, leg´
a ıtimos
GSyC - 2011 Conceptos b´sicos de seguridad
a 77
78. Ataques basados en ingenier´ social
ıa Spam
DNSBL (DNS-based Blackhole)
Lista negra de posibles spammers
Muy problem´tico
a
La direcci´n IP incluida puede ser din´mica
o a
La direcci´n IP incluida puede ser la de un administrador algo
o
descuidado, v´ıctima de un Open Relay
Listas grises
Los correos dudosos se retrasan unas horas
T´cnica bastante eficaz
e
Filtros bayesianos
An´lisis estadistico del contenido, basado en aprendizaje a
a
partir de ejemplos
T´cnica bastante eficaz
e
GSyC - 2011 Conceptos b´sicos de seguridad
a 78
79. Ataques basados en ingenier´ social
ıa Spam
T´cnicas Anti-Spam propuestas para el futuro
e
Autenticaci´n del emisor
o
Sistemas basados en coste
GSyC - 2011 Conceptos b´sicos de seguridad
a 79
80. Ataques basados en ingenier´ social
ıa Phising
Phising
Actividad delictiva consistente en capturar informaci´n
o
especialmente sensible como nombres de usuario, contrase˜as y
n
n´meros de tarjeta de cr´dito
u e
Basado fundamentalmente en ingenier´ social (e-mail o
ıa
mensajer´ instant´nea)
ıa a
Suplantaci´n de p´ginas web de proveedores de correo,
o a
entidades financieras etc
Frecuentemente basado en la manipulaci´n de enlaces html
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 80
81. Ataques basados en ingenier´ social
ıa Phising
Cartas nigerianas
El timador
Solicita ayuda para supuestamente sacar fondos del pais
Solicita ayuda para pagar una fianza (spanish prisioner, letter
from Jerusalem. s. XVIII)
Comunica un supuesto premio de loteria o herencia
Compra un art´
ıculo subastado y falsifica su pago
Finje una relaci´n amorosa (romance scam)
o
Se hace pasar por una ONG y pide donativos para alguna
causa
Ofrece mercanc´ alquiler o empleo
ıa,
Tal vez por ebay
En ocasiones la v´
ıctima acaba secuestrada o asesinada
Scamb baiting: anzuelos para timadores
GSyC - 2011 Conceptos b´sicos de seguridad
a 81
82. Ataques basados en ingenier´ social
ıa Phising
El timador ofrece enviar un dinero que la v´
ıctima debe reenviar,
guardando una comisi´no
El dinero puede ser real (para borrar el rastro de otras
actividades, o emplear cuantas bancarias respetables)
O puede ser dinero proveniente de cheque sin fondos o similar:
figura en la cuenta, pero luego no se consolida
GSyC - 2011 Conceptos b´sicos de seguridad
a 82
83. Algunas t´cnicas de ataque
e
Algunas t´cnicas empleadas en los ataques
e
Los ataques descritos en todo este tema pueden emplear infinidad
de t´cnicas distintas
e
A t´
ıtulo ilustrativo veremos algunos ejemplos:
Manipulaci´n de enlaces, ataques basados en SUID, ataques
o
por variables inseguras como PATH, IP spoofing, ARP
spoofing, DNS spoofing, mail spoofing, file-sharing network
spoofing y desbordamiento de buffer
GSyC - 2011 Conceptos b´sicos de seguridad
a 83
84. Algunas t´cnicas de ataque
e Manipulaci´n de enlaces
o
Manipulaci´n de enlaces
o
Un enlace en HTML est´ compuesto de:
a
URL: Uniform resource locator
P´gina que abrir´ el navegador cuando el usuario haga clic
a a
p.e: http://www.urjc.es
Texto del enlace
p.e. P´gina web de la URJC
a
El uso t´
ıpico es este:
<a href="http://www.urjc.es">P´gina web de la URJC</a>
a
Pero un atacante podr´ usarlo as´
ıa ı
<a href="http://www.soymuymalo.com">http://www.urjc.es</a>
Cualquier navegador moderno advertir´ al usuario de que este
a
enlace es peligroso, pero hay t´cnicas similares, m´s avanzadas
e a
GSyC - 2011 Conceptos b´sicos de seguridad
a 84
85. Algunas t´cnicas de ataque
e Manipulaci´n de enlaces
o
Otro enga˜o
n
<a href="http://www.urjc.es.jx4237.tk">P´gina de la URJC</a>
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 85
86. Algunas t´cnicas de ataque
e Ataques basados en SUID
Ataques basados en SUID
Una manera tradicional de instalar un rootkit en Unix est´ basada
a
en la activaci´n del SUID
o
Sea un fichero perteneciente a un usuario
-rwxr-xr-x 1 koji koji 50 2009-03-24 12:06 holamundo
Si lo ejecuta un usuario distinto
invitado@mazinger:~$ ./holamundo
El proceso pertenece al usuario que lo ejecuta, no al due˜o del
n
fichero
koji@mazinger:~$ ps -ef |grep holamundo
invitado 2307 2260 22 12:16 pts/0 00:00:00 holamundo
koji 2309 2291 0 12:16 pts/1 00:00:00 grep holamundo
Este comportamiento es el normal y es lo deseable habitualmente
GSyC - 2011 Conceptos b´sicos de seguridad
a 86
87. Algunas t´cnicas de ataque
e Ataques basados en SUID
Pero en ocasiones deseamos que el proceso se ejecute con los
permisos del due˜o del ejecutable, no del usuario que lo invoca
n
Esto se consigue activando el bit SUID (set user id)
chmod u+s fichero
chmod u-s fichero
En un listado detallado aparece una s en lugar de la x del
due˜o (o una S si no hab´ x)
n ıa
El bit SUID permite que ciertos usuarios modifiquen un
fichero, pero no de cualquier manera sino a trav´s de cierto
e
ejecutable
-rwsr-xr-x 1 root root 29104 2008-12-08 10:14 /usr/bin/passwd
-rw-r--r-- 1 root root 1495 2009-03-23 19:56 /etc/passwd
GSyC - 2011 Conceptos b´sicos de seguridad
a 87
88. Algunas t´cnicas de ataque
e Ataques basados en SUID
El bit SUID tambi´n puede ser un problema de seguridad. Una
e
shell con el SUID activo, es un rootkit
En el caso de los scripts, lo que se ejecuta no es el fichero con
el script, sino el int´rprete
e
Un int´rprete con bit SUID es muy peligroso, normalmente la
e
activaci´n del SUID en un script no tiene efecto
o
Para buscar ficheros con SUID activo:
find / -perm +4000
El bit SGID es an´logo, cambia el GID
a
chmod g+s fichero
GSyC - 2011 Conceptos b´sicos de seguridad
a 88
89. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Ataques por PATH inseguro
Un usuario principiante ejecuta
koji@mazinger:~/pruebas$ ls -l
total 4
-rw-r--r-- 1 koji koji 27 2009-10-07 19:02 holamundo
Intenta invocar el mandato holamundo escribiendo
koji@mazinger:~/pruebas$ holamundo
pero obtiene
bash: holamundo: orden no encontrada
GSyC - 2011 Conceptos b´sicos de seguridad
a 89
90. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Problema 1
El fichero no ten´ permisos de ejecuci´n
ıa o
Problema 1: Soluci´n
o
koji@mazinger:~/pruebas$ chmod ugo+x holamundo
¿Problema resuelto?
koji@mazinger:~/pruebas$ ls -l
total 4
-rwxr-xr-x 1 koji koji 27 2009-10-07 19:02 holamundo
No ha bastado. El usuario vuelve a ejecutar
koji@mazinger:~/pruebas$ holamundo
pero vuelve a obtener
bash: holamundo: orden no encontrada
GSyC - 2011 Conceptos b´sicos de seguridad
a 90
91. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Problema 2
Aunque el fichero est´ en el directorio actual (directorio punto), la
a
shell no lo buscar´ all´ sino donde indique la variable de entorno
a ı,
PATH, que contiene una lista de directorios, separados por el
car´cter dos puntos
a
koji@mazinger:~/pruebas$ echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
Lo buscar´ en /usr/local/sbin
a
Si no lo encuentra, lo buscar´ en /usr/local/bin
a
Si sigue sin encontrarlo, lo buscar´ en /usr/local/sbin
a
etc
Pero no lo buscar´ en el directorio punto
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 91
92. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Problema 2: Soluci´n 1 (recomendada)
o
Invocar el mandato indicando expl´
ıcitamente que el fichero est´ en
a
el directorio punto
koji@mazinger:~/pruebas$ ./holamundo
¡hola mundo!
Problema 2: Soluci´n 2
o
Indicar el trayecto absoluto del mandato
koji@mazinger:~/pruebas$ /home/koji/pruebas/holamundo
¡hola mundo!
GSyC - 2011 Conceptos b´sicos de seguridad
a 92
93. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Problema 2: Soluci´n 3
o
Modificamos la variable de entorno PATH para a˜adir al final el
n
directorio punto
Como queremos que el cambio sea permanente, debemos modificar
la variable en un fichero de configuraci´n , por ejemplo ~/.bashrc
o
export PATH=$PATH:.
El cambio no se produce de inmediato, sino cuando se ejecute de
nuevo ~/.bashrc
Al invocarlo expl´
ıcitamente
koji@mazinger:~/pruebas$ source ~/.bashrc
Al abrir una nueva terminal
GSyC - 2011 Conceptos b´sicos de seguridad
a 93
94. Algunas t´cnicas de ataque
e Ataques por PATH inseguro
Problema 2: Soluci´n 4 ¡Muy peligrosa!
o
Modificamos la variable de entorno PATH para a˜adir al principio
n
el directorio punto
export PATH=.:$PATH
Supongamos que un atacante escribe un script con el nombre ls y
el contenido
#!/bin/bash
rm -rf $HOME
Al escribir la orden ls en un directorio que contenga este fichero,
se ejecutar´ este script, y no /bin/ls
ıa
GSyC - 2011 Conceptos b´sicos de seguridad
a 94
95. Algunas t´cnicas de ataque
e Spoofing
IP spoofing
spoof: literalmente parodia, burla, broma. En este contexto,
suplantaci´n
o
IP spoofing:
El atacante falsifica la direcci´n IP que consta como origen de
o
un datagrama
El paquete no podr´ recibir respuesta, pero no es relevante,
a
suele usarse para enmascarar el origen de un ataque DOS
Hay telescopios de internet que realizan backscatter analysis
(mirar el tr´fico devuelvo por la v´
a ıctima), o monitorizaci´n de
o
la actividad de gusanos, capturando tr´fico dirigido a rangos
a
de direcciones inexistentes
GSyC - 2011 Conceptos b´sicos de seguridad
a 95
96. Algunas t´cnicas de ataque
e Spoofing
ARP Spoofing
El atacante responde a una solicitud de ARP, mintiendo. Aunque
haya respuestas leg´
ıtimas, la v´
ıctima suela quedarse con las falsas
porque el atacante es m´s insistente (respuestas gratuitas)
a
Hay motivos leg´ıtimos para ARP Spoofing: registro de un
cliente por motivos de facturaci´n o servicio redundante
o
transparente
GSyC - 2011 Conceptos b´sicos de seguridad
a 96
97. Algunas t´cnicas de ataque
e Pharming/DNS Spoofing
Pharming/DNS Spoofing
Ataque contra un servidor de DNS, un nombre de dominio se
resuelve en una direcci´n IP falsa 2
o
El atacante consigue alterar el ficheros hosts de los clientes
%SystemRoot%system32driversetchosts (MS Windows)
/etc/hosts (Linux)
/private/etc/hosts (MacOS)
El atacante modifica
El firmware del router inal´mbrico dom´stico que sirve DNS
a e
Cualquier otro servidor de DNS (DNS cache poisoning)
2
Existe cierta controversia por los matices entre pharming y DNS spoofing,
aqui los consideraremos sin´nimos
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 97
98. Algunas t´cnicas de ataque
e Pharming/DNS Spoofing
Otros tipos de Spoofing
Mail spoofing
Falsificaci´n del remite de un correo. Trivial, puesto que no
o
hay ninguna protecci´n. Si bien, en la actualidad
o
Un SMTP serio no har´ esto
a
Un SMTP de otro tipo pocas veces superar´ los filtros
a
anti-spam
File-sharing network spoofing
Falsificaci´n de servidores en redes p2p
o
GSyC - 2011 Conceptos b´sicos de seguridad
a 98
99. Algunas t´cnicas de ataque
e Desbordamiento de buffer
Desbordamiento de buffer
Un programa escribe datos en un buffer pero, por error, sigue
escribiendo mas all´ del l´
a ımite, sobreescribiendo posiciones de
memoria contiguas
Caso t´ıpico:
char *strcpy(char *dest, const char *src);
Solamente es posible en algunos lenguajes de programaci´n
o
Puede pasar cualquier cosa: si se escribe fuera de la zona de
memoria protegida por el SSOO, produce excepci´n y fin del
o
programa
Las arquitecturas m´s habituales no tienen separaci´n entre
a o
memoria para datos y para programa, con lo que el atacante
puede insertar c´digo
o
Si el programa tiene privilegios especiales, p.e. SUID, el riesgo
aumenta
GSyC - 2011 Conceptos b´sicos de seguridad
a 99
100. Algunas t´cnicas de ataque
e Desbordamiento de buffer
El programador tiene que ser muy cuidadoso
Comprobar siempre que el tama˜o de la zona de destino sea
n
suficiente
Tener en cuenta que puede recibir una cadena
incorrectamente terminada
strncpy(buf, str, n);
if (n > 0)
buf[n - 1]= ’0’;
etc
GSyC - 2011 Conceptos b´sicos de seguridad
a 100
101. Gesti´n del riesgo
o
Gesti´n del riesgo
o
Preguntas clave para mejorar la seguridad de nuestro sistema
¿Qu´ intento proteger y cu´nto vale para mi?
e a
¿Qu´ necesito para protegerlo?
e
¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?
Es necesario el apoyo de la direcci´n de la
o
empresa/organismo, en autoridad y recursos
Para ello es necesario
Identificaci´n de los activos (assets) y de su valor
o
Indentificaci´n de las amenazas
o
C´lculo de los riesgos
a
Mediante an´lisis coste-beneficio
a
Mediante best practices (pr´cticas recomendables)
a
GSyC - 2011 Conceptos b´sicos de seguridad
a 101
102. Gesti´n del riesgo
o
Indentificaci´n de los activos
o
Tangibles:
Ordenadores, equipos de comunicaciones y cableado, datos,
backups, libros, software comprado, etc
Intangibles:
Salud e integridad f´
ısica del persona, privacidad, contrase˜as,
n
reputaci´n, disponibilidad
o
No debemos limitar los activos al ´mbito de la red. P.e. una
a
contrase˜a es un activo, ya est´ en un fichero con cifrado fuerte o
n e
en un post it
GSyC - 2011 Conceptos b´sicos de seguridad
a 102