Incidentes informticos.

1DDoS: 2011 Bolsa de Hong Kong

Esta ofensiva DDoS tuvo un gran impacto en el mundo financiero, consiguiendo alterar la Bolsa de Valores en Hong Kong. Fue un ataque DDoS de alto grado, y afect colateralmente a cientos de empresas y particulares. Una posibilidad, Syn Flood: Se reemplaza la IP origen del cliente por una IP legal pero inalcanzable, el servidor responde a una direccin inexistente con lo cual nadie responder. Explota una vulnerabilidad intrnseca del protocolo TCP. Tambin considerado entre los ataques llamados de inundacin o fuerza bruta. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexin contra otro equipo, inicia la conversacin enviando un comando 'SYN', el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el host que empez la conexin contesta con un ACK y ya pueden empezar a transmitir datos.

Prevencion: En sistemas Windows : Activacin de la proteccin anti Syn Flood: C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v SynAttackProtect /t REG_DWORD /d 1 Aumentamos el 'backlog queue' C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v EnableDynamicBacklog /t REG_DWORD /d 1 C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v

MinimumDynamicBacklog /t REG_DWORD /d 20 C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MaximumDynamicBacklog /t REG_DWORD /d 20000 C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v

DynamicBacklogGrowthDelta /t REG_DWORD /d 10 Decrementamos el tiempo de espera en conexiones 'Half Open' C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2 Ya solo queda resetear Windows para que los cambios tengan efecto.

Ejemplo con un router corporativo, con firewall integrado. (Proteccin en el borde)

Firewall - DoS DoS Defense : Disable Enable Threshold: Packets/sec Threshold: Packets/sec Threshold: Packets/sec Threshold:
300 300 300 300

Timeout:
10

Enable SYN flood defense :

sec

Timeout:
10

Enable UDP flood defense :

sec

Timeout:
10

Enable ICMP flood defense:

sec

Enable Port Scan detection : Block IP options Block Land Block Smurf Block trace route

Packets/sec

Block TCP flag scan Block Tear Drop Block Ping of Death Block ICMP fragment

Block SYN fragment Block Fraggle Attack

Block Unknown Protocol

Estoy seguro que en este caso, no hace falta mayor anlisis, basta con saber que es cada punto. No tengo duda en activar todas las defensas. Si adems incorporo un buen SGSI (Uso Panda Cloud Fussion), que adems de tareas de inventario, actualizacin de SO y Apps centralizado, provee proteccin en el borde y en cada host (pc, servidores, tablets, phones, etc.) tengo una muy buena proteccin. Hay numerosas herramientas para contrarrestar ataques por denegacin de servicio, varias gratuitas, que permiten monitorizar desde una estacin, todo el trafico de la sub-red. Yo uso una PC de administracin desatendida, donde corro este tipo de soft, deteccin de intrusos, etc, con avisos por mail, mensajes al administrador, etc.

2Dia cero: Adobe confirma que vulnerabilidad de da cero pasa sandbox Adobe Reader en Febrero 2013
Ataques del dia cero (Zero-day-attak). Un ataque de da-cero se realiza contra apps o SO, ejecutando un cdigo malicioso, en base al conocimiento de vulnerabilidades, generalmente desconocidas para el usuario y el fabricante del producto. Es decir an no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado. Un ataque de da cero se considera uno de los ms peligrosos instrumentos de una guerra informtica. Esto puede parecer descabellado, pero buscar los casos donde se implica a la NSA, escandalo Snowden; ver las actividades del SEA (Syrian electronic arrmy), y muchos casos mas (China, Iran, etc). Ventana de vulnerabilidad Los ataques da-cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el momento en que se detecta la amenaza y la aparicin de los parches que los solucionan. Este proceso puede durar horas o incluso das. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.

Proteccin La proteccin para este caso es la habilidad de proporcionar defensas contra exploits da-cero. Por ejemplo, para limitar los ataques da-cero referentes a vulnerabilidades en memoria, se usan tcnicas como buffer overflows. Mecanismos de proteccin que se pueden encontrar en SO actuales como Windows, Solaris, GNU/Linux, Unix, Mac OS. El Proyecto ZeroDay proporciona informacin sobre futuros ataques y vulnerabilidades. Es recomendable actualizar el software para arreglar los posibles fallos existentes en el mismo. Pero esto no puede quedar librado a la buena voluntad, lo ideal es hacerlo en forma automtica. Y preferentemente centralizado en alguna aplicacin de administracin (como ZenWorks, Panda Cloud Fussion, Panda Cloud System Management), de modo tal que las actualizaciones las lance un administrador luego de valorar la incidencia de las mismas; y el horario oportuno para realizarlas. Incluso hoy es posible encender remotamente una estacin (wake on lan), actualizarla y apagarla. Luego habr que analizar los logs de incidencia. Para minimizar las ventanas de vulnerabilidad por tiempo de exposicin, un buen SGSI basado en tcnicas de Cloud Computing, es hoy mas que necesario, con un alto ROI, y hay muchas ofertas disponibles.

3Ingenieria social: El caso "Hacker Croll" y la usurpacin de identidad en las redes sociales, Twiter, julio 2009.
El caso "Hacker Croll" ilustra la forma como las tcnicas de ingeniera social pueden permitir infiltrarse en las redes sociales, en este caso en la red social Twitter. A inicios de 2009, un francs de 25 aos de edad, sin ningn conocimiento especial de informtica, logr varias "hazaas" como usurpar las cuentas de Twitter de Barack Obama y Britney Spears e introducirse en las cuentas de correo de los empleados de la plataforma de microblogging para sustraer documentos confidenciales sobre el futuro de la empresa. Logr obtener la contrasea de los empleados de Twitter mediante la opcin de "recuperacin" de contrasea de la cuenta de correo de Yahoo y Google de los funcionarios para luego usurparlas. Un ataque a travs de las cuentas de correo personales de los empleados que plantean necesariamente la pregunta de su utilizacin mixta (trabajo/ uso personal) en la empresa. (SIC)

Otro tipo de ataque de ingeniera social, consiste en engaar a un usuario hacindole pensar que se trata de un administrador y solicitando claves de acceso u otro tipo de informacin confidencial. Buena parte del correo electrnico que le llega al usuario consiste de engaos solicitando claves de acceso, nmero de tarjeta de crdito, etc, hacindole creer que es con una finalidad legtima, como sera el caso de reactivar o crear una cuenta o configuracin. Este tipo de ataque se conoce actualmente como phising (pesca). Lamentablemente muchos estudios muestran que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Una encuesta de InfoSecurity arroj como resultados que 90% de los oficinistas revelara una clave de acceso a cambio de muy poca cosa. As que lo mejor es seguir estos tips y no caer en accidentes provocados por una buena estrategia de ingeniera social. Publicar y distribuir una poltica de seguridad integral. Comprender que la poltica es el inicio para enfrentarse con el problema. Reconocer que no hay implementacin efectiva de una poltica que no incluya algn grado de capacitacin. Ser realista. La capacitacin no significa hacer de los usuarios unos expertos en seguridad. Significa ensearles todo lo que necesitan saber para usar de forma segura las computadoras. No utilizar cuentas de correo electrnico para uso personal para asuntos laborales. No utilizar cuentas de correo electrnico destinadas para uso laboral para asuntos personales. Adiestrar a los usuarios para jamas publicar cuentas de correo en reas pblicas que permitan sean cosechadas por software para este fin. Adiestrar al usuario para no publicar cuentas de correo electrnico en lugares pblicos, ni proporcionar cuentas de correo electrnico y otros datos personales a personas u entidades que puedan utilizar estos con otros fines. Evitar publicar direcciones de correo electrnico en formularios destinados a recabar datos de los clientes utilizando formularios que oculten la direccin de correo electrnico. Si es inevitable, utilizar una cuenta destinada y dedicada para ser mostrada a travs de HTTP. Adiestrar al usuario a utilizar claves de acceso ms complejas. Adiestrar al usuario a no abrir y dar clic a todo lo que llegue por correo. Adiestrar al usuario para jams responder a un mensaje de spam. Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa.