SlideShare una empresa de Scribd logo

Seguridad sistemas informáticos agujeros

Descargar como PPTX, PDF
T
torresrjaredd

El documento discute varias amenazas a la seguridad de los sistemas informáticos, incluyendo errores en protocolos de comunicación, sistemas operativos y aplicaciones, así como software malicioso como exploits, puertas traseras, bombas lógicas, virus, gusanos y caballos de Troya que pueden dañar los sistemas. También menciona la necesidad de herramientas de seguridad para detectar vulnerabilidades y mejorar la protección de los sistemas.

Educación
1 de 15
Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación. • Existen agujeros de seguridad en los sistemas operativos. • Existen agujeros de seguridad en las aplicaciones. • Existen errores en las configuraciones de los sistemas. • Los usuarios carecen de información respecto al tema. Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático. Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.
A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado. Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos. Bajo la etiqueta de `amenazas lógicas' encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello (software malicioso, también conocido como malware) o simplemente por error (bugs o agujeros). Una excelente lectura que estudia las definiciones de algunas de estas amenazas y su implicación en el sistema Unix se presenta en [GS96]; otra buena descripción, pero a un nivel más general, se puede encontrar en
Software incorrecto Las amenazas más habituales a un sistema Unix provienen de errores cometidos de forma involuntaria por los programadores de sistemas o de aplicaciones. Una situación no contemplada a la hora de diseñar el sistema de red del kernel o un error accediendo a memoria en un fichero estudiado pueden comprometer local o remotamente a Unix (o a cualquier otro sistema operativo). A estos errores de programación se les denomina bugs, y a los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, exploit. Como hemos dicho, representan la amenaza más común contra Unix, ya que cualquiera puede conseguir un exploit y utilizarlo contra nuestra máquina sin ni siquiera saber cómo funciona y sin unos conocimientos mínimos de Unix; incluso hay exploit que dañan
seriamente la integridad de un sistema (negaciones de servicio o incluso acceso root remoto) y están preparados para ser utilizados desde MS-DOS, con lo que cualquier pirata novato (comúnmente, se les denomina Script Kiddies) puede utilizarlos contra un servidor y conseguir un control total de una máquina de varios millones de pesetas desde su PC sin saber nada del sistema atacado; incluso hay situaciones en las que se analizan los logs de estos ataques y se descubre que el pirata incluso intenta ejecutar órdenes de MS-DOS.
• Herramientas de seguridad Cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos. Herramientas como NESSUS, SAINT o SATAN pasan de ser útiles a ser peligrosas cuando las utilizan crackers que buscan información sobre las vulnerabilidades de un host o de una red completa. La conveniencia de diseñar y distribuir libremente herramientas que puedan facilitar un ataque es un tema peliagudo; incluso expertos reconocidos como Alec Muffet (autor del adivinador de contraseñas Crack) han recibido enormes críticas por diseñar determinadas herramientas de seguridad para Unix
Tras numerosos debates sobre el tema, ha quedado bastante claro que no se puede basar la seguridad de un sistema en el supuesto desconocimiento de sus problemas por parte de los atacantes: esta política, denominada Security through obscurity, se ha demostrado inservible en múltiples ocasiones. Si como administradores no utilizamos herramientas de seguridad que muestren las debilidades de nuestros sistemas (para corregirlas), tenemos que estar seguro que un atacante no va a dudar en utilizar tales herramientas (para explotar las debilidades encontradas); por tanto, hemos de agradecer a los diseñadores de tales programas el esfuerzo que han realizado (y nos han ahorrado) en pro de sistemas más seguros.
• Puertas traseras Durante el desarrollo de aplicaciones grandes o de sistemas operativos es habitual entre los programadores insertar `atajos' en los sistemas habituales de autenticación del programa o del núcleo que se está diseñando. A estos atajos se les denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos: por ejemplo, los diseñadores de un software de gestión de bases de datos en el que para acceder a una tabla se necesiten cuatro claves diferentes de diez caracteres cada una pueden insertar una rutina para conseguir ese acceso mediante una única clave `especial', con el objetivo de perder menos tiempo al depurar el sistema. Algunos programadores pueden dejar estos atajos en las versiones definitivas de su software para facilitar un mantenimiento posterior, para garantizar su propio acceso, o simplemente por descuido; la cuestión es que si un atacante descubre una de estas puertas traseras (no nos importa el método que utilice para hacerlo) va a tener un acceso global a datos que no debería poder leer, lo que obviamente supone un grave peligro para la integridad de nuestro
• • Bombas lógicas Las bombas lógicas son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas; en ese punto, la función que realizan no es la original del programa, sino que generalmente se trata de una acción perjudicial. Los activadores más comunes de estas bombas lógicas pueden ser la ausencia o presencia de ciertos ficheros, la ejecución bajo un determinado UID o la llegada de una fecha concreta; cuando la bomba se activa va a poder realizar cualquier tarea que pueda realizar la persona que ejecuta el programa: si las activa el root, o el programa que contiene la bomba está estudiado a su nombre, los efectos obviamente pueden ser fatales.
• Virus Un virus es una secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas. Todo el mundo conoce los efectos de los virus en algunos sistemas operativos de sobremesa; sin embargo, en Unix los virus no suelen ser un problema de seguridad grave, ya que lo que pueda hacer un virus lo puede hacer más fácilmente cualquier otro mecanismo lógico (que será el que hay que tener en cuenta a la hora de diseñar una política de seguridad). Aunque los virus existentes para entornos Unix son más una curiosidad que una amenaza real, en sistemas sobre plataformas IBM-PC o compatibles (recordemos que hay muchos sistemas Unix que operan en estas plataformas, como Linux, FreeBSD, NetBSD, Minix, Solaris...)
ciertos virus, especialmente los de boot, pueden tener efectos nocivos, como dañar el sector de arranque; aunque se trata de daños menores comparados con los efectos de otras amenazas, hay que tenerlos en cuenta.
• Gusanos Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande. un gusano que en 1988 causó pérdidas millonarias al infectar y detener más de 6000 máquinas conectadas a la red. Hemos de pensar que un gusano puede automatizar y ejecutar en unos segundos todos los pasos que seguiría un atacante humano para acceder a nuestro sistema: mientras que una persona, por muchos conocimientos y medios que posea, tardaría como mínimo horas en controlar nuestra red completa, un gusano puede hacer eso mismo en pocos minutos: de ahí su enorme peligro y sus devastadores efectos.
• Caballos de Troya Los troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario; como el Caballo de Troya de la mitología griega, al que deben su nombre, ocultan su función real bajo la apariencia de un programa inofensivo que a primera vista funciona correctamente. En la práctica totalidad de los ataques a Unix, cuando un intruso consigue el privilegio necesario en el sistema instala troyanos para ocultar su presencia o para asegurarse la entrada en caso de ser descubierto: por ejemplo, es típico utilizar lo que se denomina un rootkit, que no es más que un conjunto de versiones troyanas de ciertas utilidades (netstat, ps, who...), para conseguir que cuando el administrador las ejecute no vea la información relativa al atacante, como sus procesos o su conexión al sistema;
otro programa que se suele suplantar es login, por ejemplo para que al recibir un cierto nombre de usuario y contraseña proporcione acceso al sistema sin necesidad de consultar
INTEGRANTES: JARED DAVID TORRES RODRIGUEZ DUVAN EDUARDO BAYONA FLOREZ ANDRES FELIPE PIÑEROS CARDONA
¡Gracias!

Recomendados

Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónCristián Rojas, MSc., CSSLP
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Taller 4 periodo daniela herrera
Taller 4 periodo daniela herreraTaller 4 periodo daniela herrera
Taller 4 periodo daniela herreradanielaaaaaaaaa
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasYMARTE
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosveronicagj
 
Cómo podemos proteger el software
Cómo podemos proteger el softwareCómo podemos proteger el software
Cómo podemos proteger el softwareErick_Tavarez
 
Amenazas Lógicas
Amenazas LógicasAmenazas Lógicas
Amenazas LógicasTania Cuerva
 

Recomendados

Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónCristián Rojas, MSc., CSSLP
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Taller 4 periodo daniela herrera
Taller 4 periodo daniela herreraTaller 4 periodo daniela herrera
Taller 4 periodo daniela herreradanielaaaaaaaaa
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasYMARTE
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosveronicagj
 
Cómo podemos proteger el software
Cómo podemos proteger el softwareCómo podemos proteger el software
Cómo podemos proteger el softwareErick_Tavarez
 
Amenazas Lógicas
Amenazas LógicasAmenazas Lógicas
Amenazas LógicasTania Cuerva
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power pointdianamarcela33jl
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisellagissellajoiro
 
Virus
VirusVirus
VirusRicardo M. P
 
Revista informatica
Revista informaticaRevista informatica
Revista informaticasolgutierrezm
 
Hoja de vida y virus informatica
Hoja de vida y virus informaticaHoja de vida y virus informatica
Hoja de vida y virus informaticagagaga999999999
 
Practica 6
Practica 6Practica 6
Practica 6Uzziel Mendez
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
trabajo de computacion
trabajo de computaciontrabajo de computacion
trabajo de computacionandres_maigualema
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticosPablo Guadamuz
 
Tics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacionTics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacionIrene Rodriguez
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus InformaticosCamilo Ortiz
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
virus y antivirus
virus y antivirus virus y antivirus
virus y antivirus cristhian96chapa
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas YMARTE
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Evaluación final cultura ciudadana
Evaluación final cultura ciudadanaEvaluación final cultura ciudadana
Evaluación final cultura ciudadanaWillian Negrete
 
CSS3: Common problems and best practices
CSS3: Common problems and best practicesCSS3: Common problems and best practices
CSS3: Common problems and best practicesY Huynh
 
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻKhông nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻlamonica132
 
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dángĂn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dángnikole161
 
Rail sense midterm presentation
Rail sense midterm presentationRail sense midterm presentation
Rail sense midterm presentationdimbi
 
switching_score
switching_scoreswitching_score
switching_scoreLobna Elfoly
 

Más contenido relacionado

La actualidad más candente

Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power pointdianamarcela33jl
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisellagissellajoiro
 
Hoja de vida y virus informatica
Hoja de vida y virus informaticaHoja de vida y virus informatica
Hoja de vida y virus informaticagagaga999999999
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Tics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacionTics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacionIrene Rodriguez
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus InformaticosCamilo Ortiz
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas YMARTE
 

La actualidad más candente (16)

Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Virus microsoft office power point
Virus microsoft office power pointVirus microsoft office power point
Virus microsoft office power point
 
Trabajo aura y gisella
Trabajo aura y gisellaTrabajo aura y gisella
Trabajo aura y gisella
 
Virus
VirusVirus
Virus
 
Revista informatica
Revista informaticaRevista informatica
Revista informatica
 
Hoja de vida y virus informatica
Hoja de vida y virus informaticaHoja de vida y virus informatica
Hoja de vida y virus informatica
 
Practica 6
Practica 6Practica 6
Practica 6
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidades
 
trabajo de computacion
trabajo de computaciontrabajo de computacion
trabajo de computacion
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Tics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacionTics dos trabajo antivirus presentacion
Tics dos trabajo antivirus presentacion
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus Informaticos
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 
virus y antivirus
virus y antivirus virus y antivirus
virus y antivirus
 
Virus y vacunas informáticas
Virus y vacunas informáticas Virus y vacunas informáticas
Virus y vacunas informáticas
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
 

Destacado

Evaluación final cultura ciudadana
Evaluación final cultura ciudadanaEvaluación final cultura ciudadana
Evaluación final cultura ciudadanaWillian Negrete
 
CSS3: Common problems and best practices
CSS3: Common problems and best practicesCSS3: Common problems and best practices
CSS3: Common problems and best practicesY Huynh
 
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻKhông nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻlamonica132
 
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dángĂn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dángnikole161
 
Rail sense midterm presentation
Rail sense midterm presentationRail sense midterm presentation
Rail sense midterm presentationdimbi
 
Un A-Z sur les systemes rudimentaires des paquets de vacances
Un A-Z sur les systemes rudimentaires des paquets de vacances Un A-Z sur les systemes rudimentaires des paquets de vacances
Un A-Z sur les systemes rudimentaires des paquets de vacances hotelsamarrakech4778
 
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.com
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.comTips Menjaga Kesehatan Komputer anda | FGroupIndonesia.com
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.comFgroupIndonesia
 
código de ética del administrador (Alexis Javier Agüero Cruz)
código de ética del administrador (Alexis Javier Agüero Cruz)código de ética del administrador (Alexis Javier Agüero Cruz)
código de ética del administrador (Alexis Javier Agüero Cruz)Rosa Maria Cruz Cortes
 

Destacado (13)

Evaluación final cultura ciudadana
Evaluación final cultura ciudadanaEvaluación final cultura ciudadana
Evaluación final cultura ciudadana
 
CSS3: Common problems and best practices
CSS3: Common problems and best practicesCSS3: Common problems and best practices
CSS3: Common problems and best practices
 
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻKhông nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
Không nên xem nhẹ chứng hay quên, đãng trí khi còn trẻ
 
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dángĂn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
Ăn nhiều trái cây chưa chắc đã giúp bạn giảm cân, giữ gìn vóc dáng
 
Rail sense midterm presentation
Rail sense midterm presentationRail sense midterm presentation
Rail sense midterm presentation
 
switching_score
switching_scoreswitching_score
switching_score
 
Un A-Z sur les systemes rudimentaires des paquets de vacances
Un A-Z sur les systemes rudimentaires des paquets de vacances Un A-Z sur les systemes rudimentaires des paquets de vacances
Un A-Z sur les systemes rudimentaires des paquets de vacances
 
Decision making
Decision makingDecision making
Decision making
 
Our ERP Odyssey_Hamid Group
Our ERP Odyssey_Hamid GroupOur ERP Odyssey_Hamid Group
Our ERP Odyssey_Hamid Group
 
Presentación alexis javier
Presentación alexis javier Presentación alexis javier
Presentación alexis javier
 
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.com
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.comTips Menjaga Kesehatan Komputer anda | FGroupIndonesia.com
Tips Menjaga Kesehatan Komputer anda | FGroupIndonesia.com
 
código de ética del administrador (Alexis Javier Agüero Cruz)
código de ética del administrador (Alexis Javier Agüero Cruz)código de ética del administrador (Alexis Javier Agüero Cruz)
código de ética del administrador (Alexis Javier Agüero Cruz)
 
LAPORAN KETUA AUDIT NEGARA 2012 SIRI 1 - PERSEKUTUAN
LAPORAN KETUA AUDIT NEGARA 2012 SIRI 1 - PERSEKUTUANLAPORAN KETUA AUDIT NEGARA 2012 SIRI 1 - PERSEKUTUAN
LAPORAN KETUA AUDIT NEGARA 2012 SIRI 1 - PERSEKUTUAN
 

Similar a Seguridad sistemas informáticos agujeros

Clasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasClasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasMarco Lopez
 
Conceptos importantes seguridad en la red
Conceptos importantes seguridad en la redConceptos importantes seguridad en la red
Conceptos importantes seguridad en la redpabloisma
 
Método de infección, como detectarlos, los virus mas peligrosos
Método de infección, como detectarlos, los virus mas peligrososMétodo de infección, como detectarlos, los virus mas peligrosos
Método de infección, como detectarlos, los virus mas peligrososJonny Esquivel
 
Amenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redAmenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redsena
 
Andres fajardo portable
Andres fajardo portableAndres fajardo portable
Andres fajardo portableAndres_Kun
 
Amenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redAmenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redsena
 
Amenazas , riesgos y vulnerabilidades de la red actualizada
Amenazas , riesgos y vulnerabilidades de la red actualizadaAmenazas , riesgos y vulnerabilidades de la red actualizada
Amenazas , riesgos y vulnerabilidades de la red actualizadasena
 
Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones dianabelus
 

Similar a Seguridad sistemas informáticos agujeros (20)

Clasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasClasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazas
 
Conceptos importantes seguridad en la red
Conceptos importantes seguridad en la redConceptos importantes seguridad en la red
Conceptos importantes seguridad en la red
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
SO Linux
SO LinuxSO Linux
SO Linux
 
Método de infección, como detectarlos, los virus mas peligrosos
Método de infección, como detectarlos, los virus mas peligrososMétodo de infección, como detectarlos, los virus mas peligrosos
Método de infección, como detectarlos, los virus mas peligrosos
 
Virus
VirusVirus
Virus
 
Juan pablo tecnologia 2
Juan pablo tecnologia 2Juan pablo tecnologia 2
Juan pablo tecnologia 2
 
Amenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redAmenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la red
 
Andres fajardo portable
Andres fajardo portableAndres fajardo portable
Andres fajardo portable
 
Los virus
Los virusLos virus
Los virus
 
Los virus
Los virusLos virus
Los virus
 
Los virus
Los virusLos virus
Los virus
 
Amenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la redAmenazas , riesgos y vulnerabilidades de la red
Amenazas , riesgos y vulnerabilidades de la red
 
Amenazas , riesgos y vulnerabilidades de la red actualizada
Amenazas , riesgos y vulnerabilidades de la red actualizadaAmenazas , riesgos y vulnerabilidades de la red actualizada
Amenazas , riesgos y vulnerabilidades de la red actualizada
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
 
Virus
Virus Virus
Virus
 
Tlalnepantla11
Tlalnepantla11Tlalnepantla11
Tlalnepantla11
 
Vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
VvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvVvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
 
Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones
 
Seguridad informatica basica virus
Seguridad informatica basica virusSeguridad informatica basica virus
Seguridad informatica basica virus
 

Último

Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFlor Idalia Espinoza Ortega
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtweBROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwealekzHuri
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxMapyMerma1
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024IES Vicent Andres Estelles
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 

Último (20)

Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamica
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtweBROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptx
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 

Seguridad sistemas informáticos agujeros

  • 1. Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación. • Existen agujeros de seguridad en los sistemas operativos. • Existen agujeros de seguridad en las aplicaciones. • Existen errores en las configuraciones de los sistemas. • Los usuarios carecen de información respecto al tema. Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático. Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.
  • 2. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado. Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos. Bajo la etiqueta de `amenazas lógicas' encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello (software malicioso, también conocido como malware) o simplemente por error (bugs o agujeros). Una excelente lectura que estudia las definiciones de algunas de estas amenazas y su implicación en el sistema Unix se presenta en [GS96]; otra buena descripción, pero a un nivel más general, se puede encontrar en
  • 3. Software incorrecto Las amenazas más habituales a un sistema Unix provienen de errores cometidos de forma involuntaria por los programadores de sistemas o de aplicaciones. Una situación no contemplada a la hora de diseñar el sistema de red del kernel o un error accediendo a memoria en un fichero estudiado pueden comprometer local o remotamente a Unix (o a cualquier otro sistema operativo). A estos errores de programación se les denomina bugs, y a los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, exploit. Como hemos dicho, representan la amenaza más común contra Unix, ya que cualquiera puede conseguir un exploit y utilizarlo contra nuestra máquina sin ni siquiera saber cómo funciona y sin unos conocimientos mínimos de Unix; incluso hay exploit que dañan
  • 4. seriamente la integridad de un sistema (negaciones de servicio o incluso acceso root remoto) y están preparados para ser utilizados desde MS-DOS, con lo que cualquier pirata novato (comúnmente, se les denomina Script Kiddies) puede utilizarlos contra un servidor y conseguir un control total de una máquina de varios millones de pesetas desde su PC sin saber nada del sistema atacado; incluso hay situaciones en las que se analizan los logs de estos ataques y se descubre que el pirata incluso intenta ejecutar órdenes de MS-DOS.
  • 5. • Herramientas de seguridad Cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos. Herramientas como NESSUS, SAINT o SATAN pasan de ser útiles a ser peligrosas cuando las utilizan crackers que buscan información sobre las vulnerabilidades de un host o de una red completa. La conveniencia de diseñar y distribuir libremente herramientas que puedan facilitar un ataque es un tema peliagudo; incluso expertos reconocidos como Alec Muffet (autor del adivinador de contraseñas Crack) han recibido enormes críticas por diseñar determinadas herramientas de seguridad para Unix
  • 6. Tras numerosos debates sobre el tema, ha quedado bastante claro que no se puede basar la seguridad de un sistema en el supuesto desconocimiento de sus problemas por parte de los atacantes: esta política, denominada Security through obscurity, se ha demostrado inservible en múltiples ocasiones. Si como administradores no utilizamos herramientas de seguridad que muestren las debilidades de nuestros sistemas (para corregirlas), tenemos que estar seguro que un atacante no va a dudar en utilizar tales herramientas (para explotar las debilidades encontradas); por tanto, hemos de agradecer a los diseñadores de tales programas el esfuerzo que han realizado (y nos han ahorrado) en pro de sistemas más seguros.
  • 7. • Puertas traseras Durante el desarrollo de aplicaciones grandes o de sistemas operativos es habitual entre los programadores insertar `atajos' en los sistemas habituales de autenticación del programa o del núcleo que se está diseñando. A estos atajos se les denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos: por ejemplo, los diseñadores de un software de gestión de bases de datos en el que para acceder a una tabla se necesiten cuatro claves diferentes de diez caracteres cada una pueden insertar una rutina para conseguir ese acceso mediante una única clave `especial', con el objetivo de perder menos tiempo al depurar el sistema. Algunos programadores pueden dejar estos atajos en las versiones definitivas de su software para facilitar un mantenimiento posterior, para garantizar su propio acceso, o simplemente por descuido; la cuestión es que si un atacante descubre una de estas puertas traseras (no nos importa el método que utilice para hacerlo) va a tener un acceso global a datos que no debería poder leer, lo que obviamente supone un grave peligro para la integridad de nuestro
  • 8. • • Bombas lógicas Las bombas lógicas son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas; en ese punto, la función que realizan no es la original del programa, sino que generalmente se trata de una acción perjudicial. Los activadores más comunes de estas bombas lógicas pueden ser la ausencia o presencia de ciertos ficheros, la ejecución bajo un determinado UID o la llegada de una fecha concreta; cuando la bomba se activa va a poder realizar cualquier tarea que pueda realizar la persona que ejecuta el programa: si las activa el root, o el programa que contiene la bomba está estudiado a su nombre, los efectos obviamente pueden ser fatales.
  • 9. • Virus Un virus es una secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas. Todo el mundo conoce los efectos de los virus en algunos sistemas operativos de sobremesa; sin embargo, en Unix los virus no suelen ser un problema de seguridad grave, ya que lo que pueda hacer un virus lo puede hacer más fácilmente cualquier otro mecanismo lógico (que será el que hay que tener en cuenta a la hora de diseñar una política de seguridad). Aunque los virus existentes para entornos Unix son más una curiosidad que una amenaza real, en sistemas sobre plataformas IBM-PC o compatibles (recordemos que hay muchos sistemas Unix que operan en estas plataformas, como Linux, FreeBSD, NetBSD, Minix, Solaris...)
  • 10. ciertos virus, especialmente los de boot, pueden tener efectos nocivos, como dañar el sector de arranque; aunque se trata de daños menores comparados con los efectos de otras amenazas, hay que tenerlos en cuenta.
  • 11. • Gusanos Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande. un gusano que en 1988 causó pérdidas millonarias al infectar y detener más de 6000 máquinas conectadas a la red. Hemos de pensar que un gusano puede automatizar y ejecutar en unos segundos todos los pasos que seguiría un atacante humano para acceder a nuestro sistema: mientras que una persona, por muchos conocimientos y medios que posea, tardaría como mínimo horas en controlar nuestra red completa, un gusano puede hacer eso mismo en pocos minutos: de ahí su enorme peligro y sus devastadores efectos.
  • 12. • Caballos de Troya Los troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario; como el Caballo de Troya de la mitología griega, al que deben su nombre, ocultan su función real bajo la apariencia de un programa inofensivo que a primera vista funciona correctamente. En la práctica totalidad de los ataques a Unix, cuando un intruso consigue el privilegio necesario en el sistema instala troyanos para ocultar su presencia o para asegurarse la entrada en caso de ser descubierto: por ejemplo, es típico utilizar lo que se denomina un rootkit, que no es más que un conjunto de versiones troyanas de ciertas utilidades (netstat, ps, who...), para conseguir que cuando el administrador las ejecute no vea la información relativa al atacante, como sus procesos o su conexión al sistema;
  • 13. otro programa que se suele suplantar es login, por ejemplo para que al recibir un cierto nombre de usuario y contraseña proporcione acceso al sistema sin necesidad de consultar
  • 14. INTEGRANTES: JARED DAVID TORRES RODRIGUEZ DUVAN EDUARDO BAYONA FLOREZ ANDRES FELIPE PIÑEROS CARDONA