Laboratorio 01: Tendencias de seguridad de la informacin.

La prctica de laboratorio consiste en la bsqueda de informacin a travs de los principales sitios en Internet de publicacin de vulnerabilidades e incidentes. Links a utilizar: http://www.securityfocus.com/ http://www.cert.org/advisories/ http://www.arcert.gov.ar/ http://www.justice.gov/criminal/cybercrime/ http://www.nsa.gov/

Desarrollo: Escenario: Usted forma parte del rea de IT de la empresa y como parte de su perfil en materia de seguridad de la informacin, debe estar actualizado respecto a las ltimas vulnerabilidades publicadas y ataques existentes, a fin de optimizar las medidas de seguridad implementadas. Requerimiento 01: Realizar un relevamiento sobre los ataques ms comunes y ordenarlos por efectividad: NRO DE ORDEN 1 INCIDENTE Virus de correo masivo e Ingeniera Social En enero del 2004 dos virus de correos masivos: W32/Bagle y W32/Novarg afectaron a un buen nmero de usuarios domsticos y sitios utilizando ingeniera social para que usuarios confiados abran el archivo malicioso. Ataques de denegacin de servicios. Son tipos de ataques sencillos de llevar a cabo y a la vez uno de los ms complicados de contrarrestar. Estos hechos han provocado en los ltimos tiempos que este tipo de ataques informticos se hayan convertido en recurso habitual para todo tipo de hackers. Consiste en atacar un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios. CERT seala que el 2011 BIND, el servidor DNS ms utilizado en Internet ha tenido hasta cuatro ataques que afectaba a la disponibilidad del servicio. Tambin Apache, uno de los servidores web ms populares, se descubrieron agujeros de seguridad que permitan ejecutar ataques de denegacin de servicio sobre esta plataforma. Ataques aprovechando desbordamiento de bfer en servicios En el 2004 segn CERT se registraron vulnerabilidades relacionadas a desbordamientos de bfer en servicios como: workstationy Sendmail. Estas vulnerabilidades son aprovechadas por gusanos como: Code Red que en el 2001 vulner IIS y el gusano SQL Slammer que en el 2003 que comprometi mquinas corriendo MySqlServer.

Mensajes de Actualizacin de software falsos En 1999, se difundieron por la red falsos mensajes de actualizacin de aplicaciones, como internet explorer, que peda la ejecucin de un archivo adjunto que lo que haca era comprometer la seguridad del sistema poniendo en riesgo informacin de valor para el usuario como contraseas de tarjetas de crdito, entre otras. Inclusin de ficheros remotos El ataque llamado RFI (Remote File Inclusion) es uno de los ataques ms comunes contra pginas web para los hackers, en 2011 se situ entre los cuatro ataques ms comunes contra pginas web. Este ataque tiene como objetivo obtener el control del servidor de la web. En el 2012 hubo un ataque contra blogs WordPress, este tuvo lugar por culpa de una vulnerabilidad LFI en un add-on de WordPress.

Ataques de Autenticacin Este tipo de ataque tiene como objetivo engaar al sistema de la vctima para ingresar al mismo. Generalmente este engao se realiza tomando las sesiones ya establecidas por la vctima u obteniendo su nombre de usuario y password. Tal fue el caso de una universidad en EE.UU. que en 1998, debi reprogramar una fecha completa de exmenes ya que alguien en nombre de la secretara haba cancelado la fecha verdadera y enviado el mensaje a toda la nmina de estudiantes. Muchos ataques de este tipo comienzan con Ingeniera Social, y los usuarios, por falta de cultura, facilitan a extraos sus identificaciones dentro del sistema usualmente a travs de una simple llamada telefnica Ataques usando links en redes sociales En las redes sociales que actualmente tiene un auge tremendo, se publican cada da millones de links por parte de los usuarios y es un comportamiento cotidiano por parte de otros usuarios clickar en estos links sin preocuparnos mucho por la seguridad. Luego de hacer click en uno de estos links infectados, se ejecutan de manera automtica unos bots en el ordenador que publican en las redes sociales ms links generando una cadena. Por otro lado estos bots van robando las contraseas o datos considerados importantes por el hacker para poder obtener datos bancarios de la vctima, etc.

Requerimiento 02: Realice un breve anlisis de cada uno de los ataques registrados en la tabla anterior, especialmente su origen, las causas que facilitaron su concrecin y las recomendaciones tendientes a mitigar los mismos.
INCIDENTE Virus de correo masivo e Ingeniera Social En enero del 2004 dos virus de correos masivo: W32/Bagle y W32/Novarg afectaron a un buen nmero de usuarios domsticos y sitios utilizando ingeniera social para que usuarios confiados abran el archivo malicioso. Ataques de denegacin de servicios. Son tipos de ataques sencillos de llevar a cabo y a la vez uno de los ms complicados de contrarrestar. Estos hechos han provocado en los ltimos tiempos que este tipo de ataques informticos se hayan convertido en recurso habitual para todo tipo de hackers. Consiste en atacar un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios. Cert seala que el 2011 BIND, el servidor DNS ms utilizado en Internet ha tenido hasta cuatro ataques que afectaba a la disponibilidad del servicio. Tambin Apache, uno de los servidores web ms populares, se descubrieron agujeros de seguridad que permitan ejecutar ataques de denegacin de servicio sobre esta plataforma. ORIGEN Estos virus por lo general tiene como origen algn tipo de persona o personas que valiendose de un correo annimo o correo falsos, envan mediante el servicio de correo electrnico, archivos adjuntos como imgenes o vdeos, que contienes virus cuyo fin es sacar informacin del ordenador infectado como datos bancarios. CAUSA La causa de que este tipo de ataques sea tan comn, es que est dirigida a usuarios domsticos, los cuales son muy confiados o son forzados a abrir el malware mediante ingeniera social. RECOMENDACIN No abrir correos electrnicos sospechosos, o de los cuales no se conosca el remitente. Tener el software de antivirus actualizado.

Muchos de los ataques de denegacin de servicios son realizados mediante el consumo de recursos computacionales como el ancho d ebanda, lo que provoca la saturacin de la web que es la permite acceder a los servicios ofrecidos. El origen de estos ataques est dado por el hecho de literalmete bajarse una web, incluyendo los servicios que ofrece, provocando prdidas grandes a la compaa perpetrada.

La causa de que estos ataques se hayan provocado con facilidad son por ejemplo en el caso de de Apache que haban ajugeros de seguridad, posiblemente puesrtos abiertos por los cuales se pudo haber realizado los ataques de denegacin de servicios.

Hacer pruebas para deteccin de intrusos, y de estpa manera poder detectar a tiempo los posibles ajugeros en la seguridad del sistema y evitar este tipo de atques que son altamente perjudiciales.

Ataques aprovechando desbordamiento de bufer en servicios En el 2004 segn CERT se reguistraron vulnerabilidades relacionadas a desbordamientos de bufer en servicios como: workstationy Sendmail. Estas vulnerabilidades son aprovechadas por gusanos como: Code Red que en el 2001 vulner IIS y el gusano SQL Slammer que en el 2003 que comprometi mquinas corriendo MySqlServer.

El origen de estos ataques se da por fallos en los sistemas usados por diferentes empresas, que no controlan el desbordamiento probable de algn tipo de recurso, ocasionando que se filtren gusanos que comprometan de manera seria el sistema.

La cusa de estos ataques son las vulnerabilidades provocadas por el desbordamiento de bfer, de los sitemas utilizados.

La recomendacin inmediata es tener siempre pruebas al sistema para detectar oportunamente este tipo de vulnerabilidades, y solucionarlas de inmediato antes de que sean aprovechadas para vulnerar el sistema.

Mensajes de Actualizacin de software falsos En 1999, se difundieron por la red falsos mensajes de actualizacin de aplicaciones, como internet explorer, que peda la ejecucin de un archivo adjunto que lo que haca era comprometer la seguridad del sistema poniendo en riesgo informacin de valro para el usuario como contraseas de tarjetas de crdito, entre otras.

Un ordenador muchas veces, por la gran cantidad de software que maneja est sujeto a las actualizaciones de estos para poder sacar el mximo provecho de estis programas, y esto es aprovechado por hackers que valiendose de mensajes de actualizacin gratuita de software, realizan ataques a sistemas, principalmente de usuarios domsticosm, ya que estos son ms vulnerables.

La causa de ques este tipo de ataques tenga xito, es Usar software original y una vez ms la confianza de mantener siempre los usuarios para con estte actualizado el antivirus. tipo d emensajes.

Inclusin de ficheros remotos El ataque llamado RFI (Remote File Inclusion) es uno de los ataques ms comunes contra pginas web para los hackers, en 2011 se situ entre los cuatro ataques ms comunes contra pginas web. Este ataque tiene como objetivo obtener el control del servidor de la web. En el 2012 hubo un ataque contra blogs WordPress, este tuvo lugar por culpa de una vulnerabilidad LFI en un add-on de WordPress.

Ataques de Autenticacin Este tipo de ataque tiene como objetivo engaar al sistema de la vctimapara ingresar al mismo. Generalmente este engao se realiza tomando las sesiones ya establecidas por la vctima u obteniendo su nombre de usuario y password. Tal fue el caso de una universidad en EE.UU. que en 1998, debi reprogramar una fecha completa de exmenes ya que alguien en nombre de la secretara haba cancelado la fecha verdadera y enviado elmensaje a toda la nmina de estudiantes. Muchos ataques de este tipocomienzan con Ingeniera Social, y los usuarios, por falta de cultura,facilitan a extraos sus identificaciones dentro del sistema usualmente atravs de una simple llamada telefnica

Ataques usando links en redes sociales En las redes sociales que actualmenete tiene un auge tremendo, se publican cada da millones de links por parte de los usuarios y es un comportamiento cotidiano por parte de otros usuarios clickar en estos links sin preocuparnos mucho por la seguridad. Luego de hacwer click en uno de estos links infectados, se ejecutan de manera automtica unos bots en el ordenador que publican en las redes sociales ms links generando una cadena. Por otro lado estos bots van robando las contraseas o datos considerados importante spor le hacker para poder obtener datos bancarios de la vctima, etc.

El origen de estos ataques se da por el incremento de los usuarios en redes osciales, haciendo a estas un punto de concentracin de posibles vctimas.

Falta de conocimiento de No clickear en links que este tipo de ataque spor ser parescan sospechosos. algo relativamente nuevo.