Capitulo 7 - Amenazas Logicas

SEGURIDAD INFORMATICA EQUIPO 9
La seguridad de un sistema es tan fuerte como su punto ms dbil... La seguridad total no existe pero si la mnima Inseguridad infohack.org
La entropa es una magnitud termodinmica que cuantifica el grado de desorden de un sistema. Los protocolos de comunicacin utilizados carecen, en su mayora, de seguridad o Esta ha sido implementada, tiempo despus de su creacin, en forma de parche. Existen agujeros de seguridad en los sistemas operativos. Existen agujeros de seguridad en las aplicaciones. Existen errores en las configuraciones de los sistemas. Los usuarios carecen de informacin respecto al tema. Todo sistema es inseguro.
CAPITULO 7: AMENAZAS LOGICAS

7.1 ACCESO-USO-AUTORIZACION.
Especficamente acceso y hacer uso no es el mismo concepto desde el punto de vista de un usuario. Por ejemplo: Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. Cuando un atacante tiene acceso desautorizado est haciendo uso desautorizado del sistema. Pero, cuando un atacante hace uso desautorizado de un sistema esto implica que el acceso fue autorizado (simulacin de usuario).
7.2 DETENCION DE INTRUSOS

1996, Dan Farmer realizo un estudio sobre seguridad analizando 2.203 sistemas de sitios en internet, lo realizo empleando tcnicas sencillas y no instructivas. En los rojos suponen que el sistema est abierto a un atacante potencial, es decir, posee problemas de seguridad por ejemplo: el servicio FTP annimo mal configurado En los amarillos implican que el problema no compromete inmediatamente al sistema pero puede causarle serios daos.
TABLA DE VULNERABILIDAD. TABLA DE VULNERABILIDAD TIPO DE SITIO

BANCOS CREDITOS SITIOS FEDERALES US NEWS SEXO TOTALES GRUPO ALEATORIO
#TOTAL DE SITIOS 660 274 47 312 451 1.734 469
% TOTAL VULNERABLES 68,34 51,1 61,7 69,55 66,08 64,93 33,05
% YELLOW 32,73 30,66 23,4 30,77 40,58 33,85 15,78
%RED 35,61 20,44 38,3 38,78 25,5 31,08 17,27
7.3 INDENTIFICACION DE LAS AMENAZAS.

LAS CONSECUENCIAS DE LOS ATAQUES SE PODRIAN CLASIFICAR EN: DATA CORRUPCION: La informacin que no contena defectos pasa a tenerlos. DENIAL OS SEVICIE (DOS): Servicios que deberan estar disponibles no lo estn. LEAKAGE: Los datos llegan a nuestro destino a los que no deberan llegar.
El CERT viene desarrollando una serie de estadsticas que registran ataques informticos cada vez ms sofisticados, automticos y difciles de rastrear. Cualquier adolecente de 15 aos, sin tener conocimientos pero con una herramienta de ataque desarrollada por los Gurs, es capaz de dejar afuera de servicio a cualquier servidor de informacin de cualquier organismo en internet.
7.4 TIPOS DE ATAQUE.

Los ataques involucran poca sofisticacin tcnica, a travs de los aos se han desarrollado formas cada vez ms sofisticadas. Los insiders utilizaban sus permisos para alterar los archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando un password valida. Cabe destacar que para la utilizacin de estas tcnicas no ser necesario contar con grandes centros de cmputo. Cada uno de los ataques abajo descriptos sern dirigidos remotamente se define; ATAQUE REMOTO: un ataque iniciado contra una mquina, el atacante no tiene control fsico. Esta mquina es distinta a la usada por el atacante y ser llamada VICTIMA
7.4.1 INGENIERIA SOCIAL.

Es la manipulacin de las personas para convencerlas de que ejecuten acciones o actos. Si el atacante tiene experiencia suficiente, puede engaar fcilmente a un usuario. Esta tcnica es una de las ms usadas y efectivas a la hora de averiguar nombres de usuarios y passwords. Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones: Tener servicio tcnico propio o de confianza Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier caracterstica del sistema. Asegurarse que las personas que llaman por telfono son quien dicen ser.
SEGURIDAD INFORMATICA EQUIPO 9 7.4.2 INGENIERIA SOCIAL INVERSA.

En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios La ISI es ms difcil de llevar a cabo y por lo general se aplica cuando los usuarios estn alterando de cerca de las tcnicas de IS. Puede usarse en algunas situaciones especficas y despus de mucha preparacin e investigacin por parte del intruso: 1.- generacin de una falla en el funcionamiento normal del sistema. Generalmente esta falla es fcil de solucionar pero puede ser difcil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mnimo contacto con el sistema. 2.- comulacin a los usuarios de que la solucin es brindada por el intruso (publicidad). 3.- provisin de ayuda por parte del intruso encubierto como servicio tcnico.
7.4.3 TRASHING (CARTONEO).

El trashing puede ser fsico o lgico, como analizar buffer de impresora y memoria, bloques de discos, etc. El trashing fsico suele ser comn en organizaciones que no disponen de alta confidencialidad.
7.4.4 ATAQUES DE MONITORIZACION.

Este tipo de ataque se realiza para observar a la vctima y su sistema, con el objetiv de obtener informacin.
7.4.4.1 SHOULDER SURFING.

El surfing explota el error de los usuarios de dejar su login y passwords anotadas cerca de la computadora cualquier intruso puede ver y memorizarlos, otra tcnica relacionada el surfing es aquella mediante la cual se ve, por encima del hombro, el usuario cuando teclea su nombre y password.
7.4.4.2 DECOY (SEUELOS)

Los decoy son programas diseados con la misma interface que otro original, se imita la solicitud de un logeo y el usuario desprevenido, el programa guardara esta informacin y dejara paso a las actividades normales del sistema.
7.4.4.3 SACANNING (BUSQUEDA)

El Scaneo, como mtodo de descubrir canales de comunicacin susceptibles de ser explotados. La idea es recorrer tantos puertos de escucha como sea posible, y guardar informacin de aquellos que sean receptivos o de utilidad. La idea bsica es simple: llamar a un nmero y si el modem devuelve un mensaje de conectado, grabar el nmero. En otro caso, la computadora cuelga el telfono y llamas al siguiente nmero. Existen diversos tipos de Scanning las tcnicas, puertos y protocolos explotados. 4 CAPITULO 7: AMENAZAS LOGICAS

7.4.4.3.1 TCP CONNECT SCANNING.
Esta es la forma bsica del Scaneo de puertos TCP. Si el puerto est escuchando, devolver una respuesta de xito. Las ventajas que tiene esta tcnica es que no necesita de privilegios especiales y su gran velocidad. Su principal desventaja es que este mtodo es fcilmente detectable por el admistrador del sistema.
7.4.4.3.2 TCP SYN Scanning

Cuando dos procesos establecen una comunicacin usan el modelo cliente/servidor. La aplicacin del Servidor escucha todo lo que ingresa por los puertos. La informacin de control de la llamada Handshke se intercambia entre el clienta y el servicio para establecer un dialogo antes de transmitir datos. El protocolo TCP de internet, sobre el que se basa la mayora de los servicios implica esta conexin entre dos mquinas. El establecimiento de dicha conexin se realiza mediante lo que se llama Three-Way Handshake ya que requiere tres segmentos: 1.- el programa cliente pide conexin al servidor envindole un segmento SYN. Este segmente le dice al (s) que C desea establecer una conexin. 2.-S (si est abierto y escuchando) al recibir este segmento SYN (activa el indicador) y enva una autentificacin ACK de manera de acuse de recibido a C. si S est cerrado enva un indicador RST. Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra negociacin a tres bandas con segmentos FIN en vez SNY.
7.4.4.3.3 TCP FIN Scanning Stealth Port Scanning

Este tipo de Scaneo est basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Este es comportamiento correcto del protocolo TCP, aunque algunos sistemas, entre los que se hallan los de Microsoft, no cumplen con este requerimiento.
7.4.4.3.4 FRAGMENTION SCANNING

Esta no es una nueva tcnica de Scaneo. En lugar de enviar paquetes completos de sondeo, los mismo se particionan en un par de fragmentos IP, sin embargo algunas implementaciones de estas tcnicas tienen problemas con la gestin de este tipo de paquetes tan pequeos.

7.4.4.4 EAVESDROPPING-PACKET SNIFFING.
Esto se realiza con packet sniffers, son programas que monitorean los paquetes que circulan por la red. Los sniffers pueden ser colocados en una estacin de trabajo conectada a la red, como a un equipo router o a un Gateway de internet. Un sniffers consistes en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el filtro de verificacin de direcciones. Existen sniffers para capturar cualquier tipo de informacin. Por ejemplo passwords de un recurso compartido, tambin son utilizados para capturar nmeros de tarjetas de crdito y direcciones de emails entrantes y salientes
7.4.4.5 SNOOPING DOWNLOADING

Los ataques de esta categora tienen el mismo objetivo que el sniffing, sin embargo los mtodos son diferentes. El snooping puede ser realizado por simple curiosidad, pero tambin es realizado con fines de espionaje y robo de informacin o software.
7.4.5 ATAQUES DE AUTENTIFICACION.

Este tipo de ataque tiene como objetivo engaar al sistema de la vctima para ingresar al mismo.
7.4.5.1 SPOOFING LOOPING

Una forma comn de snooping es conseguir el nombre y password de un usuario una vez ingresado al sistema, tomar acciones en nombre de l. El intruso usualmente utiliza un sistema para obtener informacin e ingresar en otro, y luego utiliza este para entrar en otro, y as sucesivamente. Este proceso, llamado Looping tiene la finalidad de evaporar la identificacin y la ubicacin del atacante. Muchos ataques de este tipo comienzan con ingeniera social y los usuarios.
7.4.5.2 SPOOFING
Suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipos spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el web Spoofing.
7.4.5.2.1 IP SPOOFING
Con el IP spoofing, el atacante genera paquetes de internet con una discusin de red falsa en el campo Fromm, pero que es aceptada por el destinario del paquete.
7.4.5.2.2 DNS SPOOFING

Este ataque se consigue de paquetes de UDP pudindose comprometer el servidor de nombres de dominios.

7.4.5.3 WEB SPOOFING.
En la caso web spoofing el atacante crea un sitio web completo (falso) similar al que la vctima desea entrar permitindole monitorear todas las acciones de la vctima, desde sus datos hasta las passwords.
7.4.5.4 IP SPLICING HIJACKING

Un atacante consigue interceptar una sesin ya establecida. El atacante espera a que la vctima se identifique ante el sistema y tras ellos le suplanta como usuario autorizado para entender expliquemos una situacin: 1.- el cliente establece una conexin con un servidor enviando un paquete que contendr la direccin origen, destino, nmero de secuencia y un nmero de autentificacin utilizado por el servidor para reconocer el paquete siguiente en la secuencia. 2.- el servidor, luego de recibir el primer paquete contesta al cliente con paquete echo (recibido) 3.- el cliente enva un paquete ACK al servidor, sin datos, en donde lo comunica lo perfecto de la comunicacin. 4.- el atacante que ha visto, mediante un Sniffer, los paquetes que circularon por la red calcula el nmero de secuencia siguiente. 5.- hecho esto el atacante enva un paquete. El servidor al recibir los datos no detectar el cambio de origen ya que los campos que ha recibido esperando datos como si su conexin estuviera colgada y el atacante podr seguir enviando datos mediante el procedimiento descripto.
7.4.5.5 UTILIZACION DE BACKDOORS

Las puertas traseras son trozos de cdigo en un programa que permiten a quien las conoce saltarse los mtodos usuales de autentificacin para realizar ciertas tareas. Esta situacin se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente.
7.4.5.6 UTILIZAVIONDE DE EXPLOITS

Es muy frecuente ingresar a un sistema explotando agujeros, los programas para explotar estos agujeros que realizan es aprovechar la debilidad, fallo o error hallado en el sistema para ingresar al mismo Nuevos Exploits se publican cada da por lo que mantenerse informado de los mismo y de las herramientas.

7.4.5.7 OBTENCION DE PASSWORDS
Este mtodo comprende la obtencin por Fuerza Bruta de aquellas claves que Permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Muchas passwords de acceso son obtenidas fcilmente porque involucran el nombre u Otro dato familiar del usuario y, adems, esta nunca (o rara vez) se cambia. En este caso el Ataque se simplifica e involucra algn tiempo de prueba y error. Otras veces se realizan Ataques sistemticos (incluso con varias computadoras a la vez) con la ayuda de programas Especiales y diccionarios que prueban millones de posibles claves hasta encontrar la Password correcta.
7.4.5.7.1 USO DE DICCIONARIOS

Los Diccionarios son archivos con millones de palabras, las cuales pueden ser posibles Passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas De fuerza bruta. El programa encargado de probar cada una de las palabras encriptadas cada una de ellas, Mediante el algoritmo utilizado por el sistema atacado, y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden se ha encontrado la clave de acceso al sistema, mediante el usuario correspondiente a la clave hallada. La velocidad de bsqueda se supone en 100.000 passwords por segundo, aunque este nmero suele ser mucho mayor dependiendo del programa utilizado.
51 minutos 22,3 horas 24 das 21 meses 45 aos
6 horas 9 das 10,5 meses 32,6 aos 1.160 aos
2,3 dias 4 meses 17 aos 890 aos 45.840 aos
3 meses 24 aos 2.288 aos 219.601 aos 21.081.705 aos
SEGURIDAD INFORMATICA EQUIPO 9 7.4.6 DENIAL OF SEVICE (DOS)

Los protocolos existentes actualmente fueron diseados para ser empleados en una comunidad abierta y con una relacin de confianza mutua. La realidad indica que es ms fcil desorganizar el funcionamiento de un sistema que acceder al mismo; as los ataques de Negacin de Servicio tienen como objetivo saturar los recursos de la vctima de forma tal que se inhabilita los servicios brindados por la misma. Ms all del simple hecho de bloquear los servicios del cliente, existen algunas razones importantes por las cuales este tipo de ataques pueden ser tiles a un atacante:
1. Se ha instalado un troyano y se necesita que la vctima reinicie la mquina para que surta efecto. 2. Se necesita cubrir inmediatamente sus acciones o un uso abusivo de CPU. Para ello provoca un crash del sistema, generando as la sensacin de que ha sido algo pasajero y raro. 3. El intruso cree que acta bien al dejar fuera de servicio algn sitio web que le disgusta. Este accionar es comn en sitios pornogrficos, religiosos o de abuso de menores. 4. El administrador del sistema quiere comprobar que sus instalaciones no son vulnerables a este tipo de ataques. 5. El administrador del sistema tiene un proceso que no puede matar en su servidor y, debido a este, no puede acceder al sistema. Para ello, lanza contra s mismo un ataque DOS deteniendo los servicios.
7.4.6.1 JAMMING O FLOODING

Este tipo de ataques desactivan o saturan los recursos del sistema. El atacante satura el sistema con mensajes que requieren establecer conexin. Sin embargo, en vez de proveer la direccin IP del emisor, el mensaje contiene falsas direcciones IP usando Spoofing y Looping. El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con informacin de las conexiones abiertas, no dejando lugar a las conexiones legtimas.
7.4.6.2 SYN FLOOD

El protocolo TCP se basa en una conexin en tres pasos. Pero, si el paso final no llega a establecerse, la conexin permanece en un estado denominado semi-abierto. El SYN Flood es el ms famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista under Phrack; y se basa en un saludo incompleto entre los dos hosts. El Cliente enva un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda antes de cerrar la conexin. Si se crean muchas peticiones incompletas de conexin (no se responde a ninguna), el Servidor estar inactivo mucho tiempo esperando respuesta. Esto ocasiona la lentitud en los dems servicios.

SYN Flood aprovecha la mala implementacin del protocolo TCP, funcionando de la siguiente manera: Se enva al destino, una serie de paquetes TCP con el bit SYN activado, (peticin de conexin) desde una direccin IP Spoofeada. Esta ltima debe ser inexistente para que el destino no pueda completar el saludo con el cliente. Aqu radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente de forma continua. Cuando se realiza un Ping a una mquina, esta tiene que procesarlo. Si no es un Ping, sino que son varios a la vez, la mquina se vuelve ms lenta... si lo que se recibe son miles de solicitudes, puede que el equipo deje de responder Es obligatorio que la IP origen sea inexistente, ya que sino el objetivo, lograr responderle al cliente con un SYN/ACK, y como esa IP no pidi ninguna conexin, le va a responder al objetivo con un RST, y el ataque no tendr efecto.
7.4.6.3 CONNECTION FLOOD

Si un atacante establece mil conexiones y no realiza ninguna peticin sobre ellas, monopolizar la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante slo necesita intentar nuevas conexiones, (como ocurre con el caso del SYN Flood) para mantener fuera de servicio el servidor.
7.4.6.4 NET FLOOD

La red vctima no puede hacer nada. Aunque filtre el trfico en sus sistemas, sus lneas estarn saturadas con trfico malicioso, incapacitndolas para cursar trfico til. En el caso de Net Flooding El atacante enva tantos paquetes de solicitud de conexin que las conexiones autnticas simplemente no pueden competir. En casos as el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la lnea. El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores, ya que seguramente se estarn usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea IP Spoofing, el rastreo puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su vez, vctima y el origen ltimo puede ser prcticamente imposible de determinar.
7.4.6.5 LAND ATTACK

Este ataque consiste en un Bug (error) en la implementacin de la pila TCP/IP de las plataformas Windows. El ataque consiste en mandar a algn puerto abierto de un servidor (generalmente al NetBIOS 113 o 139) un paquete, maliciosamente construido, con la direccin y puerto origen igual que la direccin y puerto destino. 10 CAPITULO 7: AMENAZAS LOGICAS

7.4.6.6 SMURF O BROADCAST STORM
Consiste en recolectar una serie de direcciones BroadCast para, a continuacin, mandar una peticin ICMP a cada una de ellas en serie, varias veces, falsificando la direccin IP de origen (mquina vctima). Este paquete maliciosamente manipulado, ser repetido en difusin (Broadcast), y cientos o miles de hosts mandarn una respuesta a la vctima cuya direccin IP figura en el paquete ICMP.
7.4.6.7 OOB, SUPERNUKE O WINNUKE

Un ataque caracterstico, y quizs el ms comn, de los equipos con Windows es el139, queden fuera de servicio, o disminuyan su rendimiento al enviarle paquetes UDP manipulados. Nuke, que hace que los equipos que escuchan por el puerto NetBIOS sobre TCP/UDP 137 a
7.4.6.8 TEARDROP I Y II NEWTEAR- BONK BOINK

Los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT 4.0 de Microsoft es especialmente vulnerable a este ataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar el problema, muchas organizaciones no lo hacen, y las consecuencias pueden ser devastadoras.
11

7.4.6.9 E-MAIL BOMBING SPAMMING
El e-mail Bombing consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando as el mail box del destinatario. El Spamming, en cambio se refiere a enviar un email a miles de usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos.
7.4.7 ATAQUES DE MODIFICACION DAO

7.4.7.1 TAMPERING O DATA DIDDLING
Se refiere a la modificacin desautorizada de los datos o el software instalado en el sistema vctima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier informacin que puede incluso terminar en la baja total del sistema.
7.4.7.2 BORRADO DE HUELLAS

El borrado de huellas es una de las tareas ms importantes que debe realizar el intruso despus de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscar como conseguir tapar el hueco de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realiz el intruso en el sistema y por lo general son almacenadas en Logs por el sistema operativo.
7.4.7.3 ATAQUES MEDIANTE JAVA APPLETS

Java es un lenguaje de programacin interpretado, desarrollado inicialmente por la empresa SUN. Su mayor popularidad la merece por su alto grado de seguridad. Los ms usados navegadores actuales, implementan Mquinas Virtuales Java para ser capaces de ejecutar programas de Java. Las restricciones a las que somete a los Applets son de tal envergadura que es muy difcil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MVJ.
7.4.7.4 ATAQUES CON JAVA SCRIPT Y VBSCRIPT

JavaScript y VBScript son dos lenguajes usados por los diseadores de sitios Web para evitar el uso de Java. Los programas realizados son interpretados por el navegador.
12

7.4.7.5 ATAQUES MEDIANTE ACTIVEX
ActiveX es una de las tecnologas ms potentes que ha desarrollado Microsoft. Mediante ActiveX es posible reutilizar cdigo, descargar cdigo totalmente funcional de un sitio remoto, etc. Esta tecnologa es considerada la respuesta de Microsoft a Java. ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una Autoridad Certificadora expende un certificado que acompaa a los controles activos y a una firma digital del programador. Cuando un usuario descarga una pgina con un control, se le preguntar si confa en la AC que expendi el certificado y/o en el control ActiveX. Si el usuario acepta el control, ste puede pasar a ejecutarse sin ningn tipo de restricciones. Es decir, la responsabilidad de la seguridad del sistema se deja en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la accin o un perfecto novato en la materia.
7.4.7.6 VULNERABILIDADES EN LOS NAVEGADORES

Generalmente los navegadores no fallan por fallos intrnsecos, sino que fallan las tecnologas que implementan, aunque en este punto analizaremos realmente fallos intrnsecos de los navegadores, como pueden ser los Buffer Overflow. Los Buffer Overflows consisten en explotar una debilidad relacionada con los buffers que la aplicacin usa para almacenar las entradas de usuario. Los protocolo usado puede ser HTTP, pero tambin otros menos conocidos, internos de cada explorador, como el res: o el mk:. Precisamente existen fallos de seguridad del tipo Buffer Overflow en la implementacin de estos dos protocolos.
7.4.8 ERORES DE DISEO, IMPLEMENTACION Y OPERACIN

Muchos sistemas estn expuestos a agujeros de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de puertas invisibles son descubiertas cada da en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrnico y toda clase de servicios informticos disponibles.
13
SEGURIDAD INFORMATICA EQUIPO 9 7.4.9 IMPLEMENTACION DE ESTAS TECNICAS

Contrariamente a lo que se piensa, los sistemas son difciles de penetrar si estn bien Administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los Sistemas proporciona un fcil acceso, pero esto puede ser, en la mayora de los casos, Subsanado aplicando las soluciones halladas.
1. 2. 3. 4. Identificacin del problema (victima) Exploracin del sistema victima elegido Enumeracin Intrusin propiamente dicha
Cada una de las tcnicas puede ser utilizada por un intruso en un ataque. A continuacin se establece el orden de utilizacin de las mismas
7.4.10 COMO DEFENDERSE DE ESTOS ATAQUES?

La mayora de los ataques mencionados se basan en fallos de diseo inherentes a Internet y a los sistemas operativos utilizados, por lo que no son solucionables en un plazo breve de tiempo. La solucin inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. 1. Mantener las mquinas actualizadas y seguras fsicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta Que puede resultar til para un atacante, a la hora de ser empleada en un DOS Coordinado o para ocultar su verdadera direccin. 4. No permitir el trfico BroadCast desde fuera de nuestra red. De esta forma evitamos ser empleados como multiplicadores durante un ataque Smurf. 5. Filtrar el trfico IP Spoof. 6. Auditorias de seguridad y sistemas de deteccin. 7. Mantenerse informado constantemente sobre cada una de las vulnerabilidades Encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas Que brinden este servicio de informacin. 8. Por ltimo, pero quizs lo ms importante, la capacitacin continua del usuario
7.5 CREACION Y DIFUSION DE VIRUS

Este es un tema del mbito informtico del cual se habla y se crean muchos mitos e historias fantsticas; La palabra virus del latn veneno. 14 CAPITULO 7: AMENAZAS LOGICAS
SEGURIDAD INFORMATICA EQUIPO 9 7.5.1 VIRUS INFORMATICOS VS VIRUS BIOLOGICOS

Antes de todo deben saber que un virus corresponde al modelo DAS: Daino, Autor replicante y Subrepticio.
Virus Informtico: Pequeo programa, invisible para el usuario, cuyo cdigo incluye
informacin suficiente para que, pueda reproducirse formando rplicas de s mismo, susceptibles de mutar, como resultado tendremos alteraciones y/o destruccin de los programas, informacin y/o hardware afectados (en forma lgica). Virus Biolgico: Fragmentos de ADN o ARN cubiertos de una capa proteica. Se reproducen solo en las clulas vivas.
Algunas analogas entre ambos son:

1) Ambos inician su actividad en forma oculta y sin conocimiento de su husped, y suelen hacerse evidentes luego de que el dao ya es demasiado alto como para corregirse. 2) Los dos contienen la informacin para su replicacin y eventual destruccin. La diferencia es que el biolgico es un cdigo gentico y el informtico es un cdigo binario. 3) Ambos organismos soportan informacin es decir, en los biolgicos el soporte lo brinda el ADN y ARN; Mientras los informticos el soporte es un medio magnticos. 4) Estos dos virus son propagados en muchas formas en algunas muy raramente. 5) Ambas entidades cumplen con el patrn de epidemiologia mdica. Estas son solo unas de las pocas analogas que podramos encontrar haciendo un anlisis ms a fondo.
7.5.2
ORIGEN
El origen del virus informtico se establece gracias a las investigaciones sobre inteligencia y vida artificial. En 1950 JOHN VON NEUMAN estableci la idea de programas autor replicables. En 1960 el laboratorio de BELL desarrollo juegos que luchaban entre s con el objetivo de lograr el mayor espacio de memoria posible, a estos juegos les llamaron Core Wars. En 1970, JOHN SHOCH Y JON HUPP elaboraron programas autor reclinables que servan para controlar la salud de las redes informticas. En los aos 80 nacen los primeros virus informticos y en 1983 se establece una definicin para los mismos. EN 1985 infectaban el MS-DOS y en 1986 ya eran destructivos.
15
SEGURIDAD INFORMATICA EQUIPO 9 7.5.3 LOS NUMEROS HABLAN

A finales de 1994 el nmero de virus, segn la Internacional Computer Security Association, rondaba en los cuatro mil y en el prximo aos esa cifra se multiplico al doble. En E.U. ms del 99% de las empresas grandes y medianas han sufrido el ataque de un virus. Se calcula, que el 40.6% de las P.C son infectadas al ao, estas infecciones han yendo subiendo por cada ao que transcurre. Segn la NCSA, si solo el 30% de todas las PCs del mundo usaran un antivirus actualizado y activo permanentemente, se terminaran las infecciones de virus. Desde el 17 al 31 de julio del 2000 el ministerio de ciencias y tecnologas de Espaa, montaron la primera campaa nacional antivirus informtico.
7.5.4 DESCRIPCION DE UN VIRUS

El virus informtico es un ataque de tipo tampering, este puede ser ingresado al sistema por un dispositivo externo (USB) o a travs de la red (Facebook). Existen muchos tipos de virus como los que infectan a los archivos ejecutables (EXE, COM, DLL, ETC), los sectores de Boot y la tabla de particin de los discos, aunque actualmente los virus suelen causar ms problemas como lo son los macro-virus y los script-virus.
7.5.4.1 TECNICAS DE PROPAGACION

Actualmente existen muchos tipos de propagacin de virus de las cuales las ms utilizadas son las siguientes:
1) Disquete y otros medios removibles: En este se corre el riesgo de que algn archivo este infectado se une el peligro de que integre un virus de sector de arranque. 2) Correo electrnico: Estos correos pueden contener archivos infectados, que al ejecutarse, contagian la computadora del usuario. 3) IRC o Chat: Este es un medio de mensajera instantnea en donde el usuario puede recibir algn documento o archivo de alguna persona annima con riesgo de que tal objeto enviado contenga virus. 4) Pginas web o transferencia de archivos va FTP: Los archivos descargados pueden contener virus que daaran la mquina. 5) Grupos de noticias: Sus mensajes o informacin pueden estar infectados, por lo tanto, contagiaran el equipo.
7.5.4.2 TIPOS DE VIRUS

Un virus puede causar dao lgico o fsico de la computadora infectada y nadie en su sano juicio desear ejecutarlo. Para evitar la intervencin del usuario los creadores de virus debieron inventar tcnicas de las cuales valerse para que su programa pudiera ejecutarse.
16

7.5.4.2.1 ARCHIVOS EJECUTABLES (VIRUS EXE VIR)
El virus se adosa a un archivo ejecutable y desva el flujo de ejecucin a su cdigo, para luego retornar al husped y ejecutar las acciones esperadas por el usuario. Esta accin el usuario no se percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros archivos ejecutables que sean abiertos en esa mquina.
7.5.4.2.2 VIRUS EN EL SECTOR DE ARRANQUE (VIRUS ACSO ANTERIOR A LA CARGA DEL S.O)
Se guarda la zona de booteo original en otro sector del disco (generalmente uno muy cercano o los ms altos). Luego el virus carga la antigua zona de booteo. Al arrancar un dispositivo booteable se ejecuta el virus (que obligatoriamente debe tener 512 bytes o menos) quedando residente en memoria; luego ejecuta la zona de booteo original, salvada anteriormente. Una vez ms el usuario no se percata de lo sucedido ya que la zona de booteo se ejecuta iniciando el sistema operativo (si existiera) o informando la falta del mismo.
17
7.5.4.2.3 VIRUS RESIDENTE

El objetivo de esta accin es controlar los accesos a disco realizados por el usuario y el Sistema Operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se accede, est infectado y si no lo est procede a almacenar su propio cdigo en el mismo. Este cdigo se almacenar en un archivo, tabla de particin, o en el sector de booteo, dependiendo del tipo de virus que se trate.
7.5.4.2.4 MACRO VIRUS

Estos virus infectan archivos de informacin generados por aplicaciones de oficina que cuentan con lenguajes de programacin de macros. ltimamente son los ms expandidos, ya que todos los usuarios necesitan hacer intercambio de documentos para realizar su trabajo. Su principal punto fuerte fue que terminaron con un paradigma de la seguridad informtica: los nicos archivos que pueden infectarse son los ejecutables y todas las tecnologas antivirus sucumbieron ante este nuevo ataque.
7.4.5.2.5 VIRUS DE MAIL

Su modo de actuar, al igual que los anteriores, se basa en la confianza excesiva por parte del usuario: a este le llega va mail un mensaje con un archivo comprimido, el usuario lo descomprime y al terminar esta accin, el contenido del archivo se ejecuta y comienza el dao.
18

7.5.4.2.6 VIRUS DE SABOTAJE
Son virus construidos para sabotear un sistema o entorno especfico. Requieren de conocimientos de programacin pero tambin una accin de inteligencia que provea informacin sobre el objetivo y sus sistemas.
7.5.4.2.7 HOAX, LOS VIUS FANTASMAS

El auge del correo electrnico gener la posibilidad de transmitir mensajes de alerta de seguridad. As comenzaron a circular mensajes de distinta ndole de casos inexistentes. Los objetivos de estas alertas pueden causar alarma, la prdida de tiempo, el robo de direcciones de correo y la saturacin de los servidores con las consecuentes prdidas de dinero que esto ocasiona.
7.5.4.2.8 VIRUS DE APPLETS JAVA Y CONTROLES ACTIVEX

Estas dos tecnologas han sido desarrolladas teniendo como meta principal la seguridad, la prctica demuestra que es posible programar virus sobre ellas. Este tipo de virus se copian y se ejecutan a s mismos mientras el usuario mantiene una conexin a Internet.
7.5.4.2.8 REPRODUCTORES GUSANOS

Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema husped y/o recopilar informacin relevante para enviarla a un equipo al cual su creador tiene acceso.
7.5.4.2.10 CABALLOS DE TROYA

Es un programa que aparentemente realiza una funcin til pero adems realiza una operacin que el usuario desconoce y que generalmente beneficia al autor del troyano o daa el sistema husped. Consisten en introducir dentro de un programa una rutina o conjunto de instrucciones, no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa acte de una forma diferente a como estaba previsto.
7.5.4.2.11 BOMBAS LOGICAS

Consiste en introducir un programa o rutina que en una fecha determinada o dado algn evento particular en el sistema, bien destruye y modifica la informacin o provoca la baja del sistema.
19

7.5.4.3 MODELO DE VIRUS INFORMATICO
Un virus est compuesto por su propio entorno, dentro del cual pueden distinguirse tres mdulos principales:
1. Mdulo de reproduccin: es el encargado de manejar las rutinas de parasitacin de entidades ejecutables. 2. Mdulo de ataques: es el que maneja las rutinas de dao adicional al virus. 3. Mdulo de defensa: este mdulo, tambin optativo, tiene la misin de proteger al virus.
7.5.5 TIPOS DE DAOS OCASIONADOS POR LOS VIRUS

Los virus informticos no afectan directamente el hardware sino a travs de los programas que lo controlan; en ocasiones no contienen cdigo nocivo, o bien, nicamente causan dao al reproducirse y utilizar recursos escasos como el espacio en el disco rgido, tiempo de procesamiento, memoria, etc. En general los daos que pueden causar los virus se refieren a hacer que el sistema se detenga, borrado de archivos, comportamiento errneo de la pantalla, despliegue de mensajes, desorden en los datos del disco, aumento del tamao de los archivos ejecutables o reduccin de la memoria total.
Se pueden dividir en:

a. Dao implcito b. Dao explicito
Con respecto al modo y cantidad del dao, encontramos:

a. b. c. d. e. f. Daos triviales Daos menores Daos moderados Daos mayores Daos severos Daos ilimitados
20
SEGURIDAD INFORMATICA EQUIPO 9 7.5.6 LOS AUTORES

Los creadores de virus sostienen que persiguen un fin educacional para ilustrar las flaquezas de los sistemas a los que atacan. Pero... es necesario crear un problema para mostrar otro? La creacin de virus no es ilegal, y probablemente no debera serlo: cualquiera es dueo de crear un virus siempre y cuando lo guarde para s. Infectar a otras computadoras sin el consentimiento de sus usuarios es inaceptable, esto s es un delito y debera ser penado.
7.5.7 PROGRAMA ANTIVIRUS

Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y tambin con las pautas que ms contienen los virus. Debe tenerse en cuenta que: Un programa antivirus forma parte del sistema y por lo tanto funcionar correctamente si es adecuado y est bien configurado. No ser eficaz el 100% de los casos, no existe la proteccin total y definitiva.
Las funciones Presentes en un antivirus son: 1. DETECCION 2. IDENTIFICACION DE UN VIRUS:

a. SCANNING b. HEURISTICA
3. CHEQUEADORES DE INTEGRIDAD
7.5.7.1 MODELO DE UN ANTIVIRUS

Un antivirus puede estar constituido por dos mdulos principales y cada uno de ellos contener a otros mdulos.
Mdulo de control Mdulo de respuesta
21

7.5.7.2 UTILIZACION DE LOS ANTIVIRUS
En el caso de instalarse un antivirus en una computadora infectada, es probable que este tambin sea infectado y su funcionamiento deje de ser confiable. Por lo tanto si se sospecha de la infeccin de una computadora, nunca deben realizarse operaciones de instalacin o desinfeccin desde la misma. El procedimiento adecuado sera reiniciar el sistema y proceder a la limpieza desde un sistema limpio y seguro.
7.5.8 CONSEJOS
No basta con tener un antivirus, sino que ste hay que actualizarlo peridicamente para contemplar los nuevos virus que van apareciendo. Adems de poseer la cualidad de chequeo manual, deteccin y eliminacin, debe ser sobre todo capaz de actuar como vacuna o filtro, impidiendo la entrada de los nuevos virus que aparecen cada da.
A continuacin se muestran unos consejos para evitar el contagio de un virus:
I. II.
III. IV. V. VI. VII. VIII. IX. X. XI.
Instalar un buen antivirus para la deteccin y eliminacin de nuevos virus. Comprobar que el antivirus elegido incluye soporte tcnico, resolucin urgente de nuevos virus y servicios de alerta, bien a travs de correo electrnico, por telfono o fax. Asegurarse que el antivirus este siempre activo vigilando constantemente todas las operaciones realizadas en el sistema. Verificar, antes de abrir, cada nuevo mensaje de correo electrnico recibido. Evitar la descarga de lugares no seguros o poco fiables de internet. Rechazar archivos que no se hayan solicitado cuando de este en chats o grupos de noticias. Analizar siempre con un buen antivirus los dispositivos que entran y salen de nuestra computadora. Retirar los dispositivos de los puertos al apagar o reiniciar el ordenador. Analizar el contenido de los archivos comprimidos. Mantenerse alerta ante acciones sospechosas de posibles virus. Aadir las opciones de seguridad de las aplicaciones que se utilizan normalmente en la poltica de proteccin antivirus, ya que los programas informticos ms utilizados se convierten, precisamente por esta razn, en blanco de los autores de virus.
22

XII. XIII. XIV. Realizar copias de seguridad frecuente y peridica de la informacin ms importante. A la hora de instalar nuevos programas, el riesgo de infeccin es menor (aunque no nulo) si se trata de software legal. Elegir a los fabricantes de software, proveedores de acceso a internet y editores de publicaciones, que se impliquen en la lucha contra los virus.
23

Capitulo 7 - Amenazas Logicas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Capitulo 7 - Amenazas Logicas

Uploaded by

Copyright:

Available Formats

SEGURIDAD INFORMATICA EQUIPO 9