Unidad 6. Vigilancia de los sistemas de informacin 6.

1 Definicin de vigilancia Del latn vigilantia, la vigilancia es el cuidado y la supervisin de las cosas que estn a cargo de uno. La persona que debe encargarse de la vigilancia de algo o de alguien tiene responsabilidad sobre el sujeto o la cosa en cuestin. El servicio ordenado y dispuesto para vigilar tambin se conoce como vigilancia. Puede tratarse del servicio prestado por una compaa privada (ya sea mediante guardias o equipos tecnolgicos como cmaras de video) o por las fuerzas pblicas de seguridad (la polica, la gendarmera, el ejrcito, etc.).

Dispositivos ligados a la vigilancia en red, a un ordenador

6.2. Anatoma de un ataque 6.2.1. Identificacin de objetivos Los incidentes de seguridad normalmente son muy complejos y su resolucin presenta muchos problemas. A continuacin se muestran las siguientes fases en la prevencin, gestin y deteccin de incidentes: 1) Preparacin y prevencin. En esta fase se toman acciones para preparar la organizacin antes de que ocurra un incidente. Por tanto, se deber empezar por tratar de analizar qu debe ser protegido y qu medidas tcnicas y organizativas tienen que implementarse. Una vez hechos los

diversos anlisis se podr considerar que la organizacin ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas. Pero aun hecho dicho anlisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendr que elaborar un plan de continuidad de negocio. Dicho plan est formado por un conjunto de planes de contingencia para cada una de las situaciones que no estn controladas. 2) Deteccin del incidente. La deteccin de un incidente de seguridad es una de las fases ms importante en la securizacin de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difcil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organizacin. La clasificacin es la siguiente: a. Accesos no autorizados: un usuario no autorizado accede al sistema. b. Cdigo malicioso: ha habido una infeccin de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema. > Programas maliciosos < (a) Virus: es un archivo ejecutable que desempea acciones (daar archivos, reproducirse, etc.) en un ordenador sin nuestro consentimiento. (b) Gusano: es un cdigo malicioso que se reproduce y extiende a un gran nmero de ordenadores. (c) Spyware: es un programa que recopila informacin de un ordenador y la enva a terceras personas sin el consentimiento del propietario. (d) Troyano: tambin conocido como caballo de Troya, es un programa que obtiene las contraseas hacindose pasar por otro programa. c. Denegacin de servicio: incidente que deja sin dar servicio (dns, web, correo electrnico, etc.) a un sistema. d. Phishing: consiste en suplantar la identidad de una persona o empresa para estafar. Dicha estafa se realiza mediante el uso de ingeniera social consiguiendo que un usuario revele informacin confidencial (contraseas, cuentas bancarias, etc.). El atacante suplanta la imagen de una empresa u organizacin y captura ilcitamente la informacin personal que los usuarios introducen en el sistema.

e. Recogida de informacin: un atacante obtiene informacin para poder realizar otro tipo de ataque (accesos no autorizados, robo, etc.). f. Otros: engloba los incidentes de seguridad que no tienen cabida en las categoras anteriores.

La deteccin de un incidente de seguridad se realiza a travs de diversas fuentes. A continuacin se enumeran algunas de ellas: a) Alarma de los antivirus. b) Alarmas de los sistemas de deteccin de intrusin y/o prevencin (IDS y/o IPS). c) Alarmas de sistemas de monitorizacin de los sistemas (zabbix, nagios, etc.). d) Avisos de los propios usuarios al detectar que no funcionan correctamente los sistemas informticos. e) Avisos de otras organizaciones que han detectado el incidente. f) Anlisis de los registros de los sistemas. Una vez detectado el incidente a travs de cualquier va, para poder gestionarlo es recomendable tener al menos los siguientes datos: Hora y fecha en la que se ha notificado el incidente. Quin ha notificado el incidente. Clasificacin del incidente (accesos no autorizados, phishing, denegacin de servicio, etc.). Hardware y software involucrado en el incidente (si se pueden incluir los nmeros de serie, es recomendable). Contactos para gestionar el incidente. Cuando ocurri el incidente.

6.2.2. Reconocimiento inicial En esta fase se trata de obtener la mxima informacin posible para determinar qu tipo de incidente de seguridad ha ocurrido y as poder analizar el impacto que ha tenido en la organizacin. La informacin obtenida en esta fase ser utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha informacin ser fruto como mnimo de: Entrevistas con los administradores de los sistemas. Revisin de la topologa de la red y de los sistemas. Entrevistas con el personal de la empresa que haya tenido algo que ver con el incidente con el objetivo de contextualizarlo.

 Revisar los logs de la deteccin de la intrusin. 6.2.3. Tcnicas de recopilacin de informacin y anlisis forense. La informtica forense, o anlisis forense digital, es la disciplina que se encarga, como parte de la demostracin objetiva de la comisin de un delito, de la recopilacin, recuperacin y anlisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales. Esta labor es importante en los procesos judiciales, pero tambin puede emplearse en el sector privado (por ejemplo, para las comprobaciones internas de las empresas o las investigaciones en caso de intrusin en la empresa y/o en su infraestructura informtica)

La adquisicin de datos es una de las actividades ms crticas en el anlisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el anlisis e investigacin posterior no sera vlido debido a que la informacin saldra con impurezas, es decir, la informacin que creemos que es del origen no lo es realmente. El anlisis forense se compone de tres pasos:

Identificacin y preservacin de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales. Anlisis de los datos as protegidos por medio de un software especial y de mtodos para la recopilacin de pruebas. Medidas tpicas son, por ejemplo, la bsqueda de contraseas, la recuperacin de archivos borrados, la obtencin de informacin del registro de Windows (base de datos de registro), etc. Elaboracin de un informe por escrito sobre las evidencias descubiertas en el anlisis y en el que se incluyan tambin las conclusiones extradas

del estudio de los datos y de la reconstruccin de los hechos o incidentes. 6.3. Escaneos 6.3.1. Identificacin y ataques a puertos TCP/UDP. El protocolo TCP Contrariamente a UDP, el protocolo TCP est orientado a conexin. Cuando una mquina A enva datos a una mquina B, la mquina B es informada de la llegada de datos, y confirma su buena recepcin. Aqu interviene el control CRC de datos que se basa en una ecuacin matemtica que permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos corruptos. El protocolo UDP UDP es un protocolo no orientado a conexin. Es decir cuando una maquina A enva paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado previamente una conexin con la mquina de destino (maquina B), y el destinatario recibir los datos sin enviar una confirmacin al emisor (la maquina A). Esto es debido a que la encapsulacin de datos enviada por el protocolo UDP no permite transmitir la informacin relacionada al emisor. Por ello el destinatario no conocer al emisor de los datos excepto su IP. Las vulnerabilidades pretenden describir las debilidades y los mtodos ms comunes que se utilizan para perpetrar ataques a la seguridad de la familia de protocolos TCP/IP (confidencialidad, integridad y disponibilidad de la informacin). stos pueden provenir principalmente de dos fuentes: 2. Usuarios autentificados, al menos a parte de la red, como por ejemplo empleados internos o colaboradores externos con acceso a sistemas dentro de la red de la empresa. Tambin denominados insiders. 3. Atacantes externos a la ubicacin fsica de la organizacin, accediendo remotamente. Tambin denominados outsiders . Las vulnerabilidades pueden clasificarse segn dos criterios: 1. Nmero de paquetes a emplear en el ataque: a. Atomic: se requiere un nico paquete para llevarla a cabo. b. Composite: son necesarios mltiples paquetes. 2. Informacin necesaria para llevar a cabo el ataque:

a. Context: se requiere nicamente informacin de la cabecera del protocolo. b. Content: es necesario tambin el campo de datos o payload La utilizacin de estas tcnicas se conoce con el nombre de fingerprinting, es decir, obtencin de la huella identificativa de un sistema o equipo conectado a la red. Una tcnica especfica que permite extraer informacin de un sistema concreto es el fingerprinting es decir, la obtencin de su huella identificativa respecto a la pila TCP/IP. El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la mquina destino de la inspeccin. Esta informacin junto con la versin del servicio o servidor facilitar la bsqueda de vulnerabilidades asociadas al mismo. Gran parte de la informacin de la pila TCP/IP puede obtenerse en base al intercambio entres pasos propio del protocolo TCP/IP (TCP three-way handshake) La probabilidad de acierto del sistema operativo remoto es muy elevada, y se basa en la identificacin de las caractersticas propias de una implementacin de la pila TCP/IP frente a otra, ya que la interpretacin de los RFCs no concuerda siempre. Para poder aplicar esta tcnica con precisin es necesario disponer de un puerto abierto (TCP y/o UDP). TECNICAS UTILIZADAS: Sniffers: que se encargan de capturar e interpretar tramas y datagramas mediante aplicaciones en entornos de red basados en difusin. Un sniffer no es ms que un sencillo programa que intercepta toda la informacin que pase por la interfaz de red a la que est asociado. Una vez capturada, se podr almacenar para su anlisis posterior. Sniffing: consiste en que sin necesidad de acceso a ningn sistema de la red, un atacante podr obtener informacin sobre cuentas de usuario, claves de acceso o incluso mensajes de correo electrnico en el que se envan estas claves. La forma ms habitual de realizar tcnicas de sniffing en una red, probablemente porque est al alcance de todo el mundo, es la que podramos denominar sniffing software, utilizando las aplicaciones que ya mencionadas.

Niffing: tambin se conocen como tcnicas de eavesdropping y tcnicas de snooping. La primera, eavesdropping, es una variante del sniffing, caracterizada por realizar la adquisicin o intercepcin del trfico que circula por la red de forma pasiva, es decir, sin modificar el contenido de la informacin. Por otra parte, las tcnicas de snooping se caracterizan por el almacenamiento de la informacin capturada en el ordenador del atacante, mediante una conexin remota establecida durante toda la

sesin de captura. En este caso, tampoco se modifica la informacin incluida en la transmisin. COMO SE PUEDEN EVITAR LOS ATAQUES: Una solucin para evitar esta tcnica consiste en la segmentacin de la red y de los equipos mediante el uso de conmutadores (switch). Al segmentar la red y los equipos, el nico trfico que tendran que ver las mquinas sera el que les pertenece, puesto que el conmutador se encarga de encaminar hacia el equipo nicamente aquellos paquetes destinados a su direccin MAC. 6.3.2. Identificacin y ataques a servicios Un ataque de "Denegacin de servicio" impide el uso legtimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en comn: utilizan la familia de protocolos TCP/IP para conseguir su propsito. Un ataque DoS puede ser perpetrado de varias formas. Aunque bsicamente consisten en:

Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador. Alteracin de informacin de configuracin, tales como informacin de rutas de encaminamiento. Alteracin de informacin de estado, tales como interrupcin de sesiones TCP (TCP reset). Interrupcin de componentes fsicos de red. Obstruccin de medios de comunicacin entre usuarios de un servicio y la vctima, de manera que ya no puedan comunicarse adecuadamente.

6.4. Identificacin de vulnerabilidades 6.4.1. Tcnicas manuales 6.4.2. Tcnicas automticas Conocer las diferentes etapas que conforman un ataque informtico brinda la ventaja de aprender a pensar como los atacantes y a jams subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informtico al momento de ser ejecutado:

Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una persona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Entre las herramientas que un atacante puede emplear durante la exploracin se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners. Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin.

Algunas de las tcnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).

Contraseas

Otro de los factores comnmente explotados por los atacantes son las contraseas. Si bien en la actualidad existen sistemas de autenticacin complejos, las contraseas siguen, y seguirn, siendo una de las medidas de proteccin ms utilizadas en cualquier tipo de sistema informtico. En consecuencia, constituyen uno de los blancos ms buscados por atacantes informticos porque conforman el componente principal utilizado en procesos de autenticacin simple (usuario/contrasea) donde cada usuario posee un identificador (nombre de usuario) y una contrasea asociada a ese identificador que, en conjunto, permiten identificarse frente al sistema. En este tipo de proceso, llamado de factor simple, la seguridad del esquema de autenticacin radica inevitablemente en la fortaleza de la contrasea y en mantenerla en completo secreto, siendo potencialmente vulnerable a tcnicas de Ingeniera Social cuando los propietarios de la contrasea no poseen un adecuado nivel de capacitacin que permita prevenir este tipo de ataques. Si el entorno informtico se basa nicamente en la proteccin mediante sistemas de autenticacin simple, la posibilidad de ser vctimas de ataques de cracking o intrusiones no autorizadas se potencia. Sumado esto a que existen herramientas automatizadas diseadas para romper las contraseas a travs de diferentes tcnicas como ataques por fuerza bruta, por diccionarios o hbridos en un plazo sumamente corto, el problema se multiplica an ms.

Sobre la base de lo anteriormente explicado, se puede suponer que la solucin ante este problema es la creacin de contraseas mucho ms largas (lo cual no significa que sean robustas). Sin embargo, esta estrategia sigue siendo poco efectiva, simplemente, porque el personal no se encuentra preparado para recordar largas cadenas de caracteres y terminan escribindolas en lugares visibles o sitios accesibles por cualquier otra persona, incluso, ante personas que no pertenecen a determinada rea de acceso restringido. Si bien es cierto que una contrasea que supere los diez caracteres y que las personas puedan recordar, es mucho ms efectiva que una contrasea de cuatro caracteres, aun as, existen otros problemas que suelen ser aprovechados por los atacantes. A continuacin se expone algunos de ellos: La utilizacin de la misma contrasea en varias cuentas y otros servicios. Acceder a recursos que necesitan autenticacin desde lugares pblicos donde los atacantes pueden haber implantado programas o dispositivos fsicos como keyloggers que capturen la informacin. Utilizacin de protocolos de comunicacin inseguros que transmiten la informacin en texto claro como el correo electrnico, navegacin web, chat, etctera. Tcnicas como surveillance (videoconferencia) o shoulder surfing (mirar por detrs del hombro), entre otras tantas, que permiten evadir los controles de seguridad.

Como contramedida destinada a fortalecer este aspecto de la seguridad, es posible implementar mecanismos de autenticacin ms robustos como autenticacin fuerte de doble factor, donde no slo se necesita contar con algo que se conoce (la contrasea) sino que tambin es necesario contar con algo que se tiene, como por ejemplo una llave electrnica USB o una tarjeta que almacene certificados digitales para que a travs de ellos se pueda validar o no el acceso de los usuarios a los recursos de la organizacin.

6.5. Actividades de infiltracin 6.5.1. Sistema operativo 6.5.2. Aplicaciones 6.5.3. Bases de datos Evolucin en los ataques: Primera Generacin (Ataque Fsico): se centraban en los componentes electrnicos.

Segunda Generacin (Ataque Sintctico): son contra la lgica operativa de las computadoras y las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los protocolos. Tercera Generacin (Ataque Semntico): colocacin de informacin falsa en medios informativos, spam, falsificacin de e-mails, estafas de ventas por Internet, alteracin de bases de datos de ndices estadsticos o burstiles, etc. Herramientas de prevencin. Redes Privadas Virtuales (VPN) Cliente/Red o Red/Red Transparentes o no Transparentes Firewall Tipos: Red, Aplicacin o Kernel Polticas: por defecto todo permitido o todo prohibido Sistemas de deteccin de intrusos (IDS) Mquina Verificador de integridad Monitor de registros o histricos Honey Pot Red Deteccin de uso indebido Deteccin por anomalas