Ataques PDF

Ataques Informáticos:
Medidas Preventivas y
Correctivas
Prof. Wílmer Pereira
USB / UCAB / UCV
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Evolución en los ataques ...
Primera Generación (Ataque Físico): se centraban en los
componentes electrónicos .
Segunda Generación (Ataque Sintáctico): son contra la lógica

operativa de las computadoras y las redes. Pretenden explotar las
vulnerabilidades de los programas, algoritmos de cifrado y los
protocolos.
Tercera Generación (Ataque Semántico): colocación de información

falsa en medios informativos, spam, falsificación de e-mails, estafas
de ventas por Internet, alteración de bases de datos de índices
estadísticos o bursátiles, etc.
Clases de ataques
Número de paquetes a enviar en el ataque:
Atomic: se requiere un único paquete para llevarlo a cabo
Composite: son necesarios múltiples paquetes
Información necesaria para llevar a cabo el ataque:
Context: se requiere únicamente la cabecera del protocolo
Content: es necesario también el campo de datos o payload
Ping de la Muerte Escaneo de Puertos

Land attack SYN Flood
Context
Winnuke TCP Hijacking
Ataque DNS Ataques SMTP

Proxied RPC String matches
Content
Ataque IIS Sniffing
Atomic Composite
Tipos de Ataques
Pasivos
Pasivos: :
Escuchar
Escucharyymonitorear
monitorearaaescondidas
escondidas
Difícil de detectar, sólo se puede prevenir
Activos
Activos: :
Suplantar
Suplantaridentidad,
identidad, Difícil de prevenir,
Infiltrar
Infiltrarservidores
servidores más se puede detectar
Modificar
Modificarinformación
información
Negar
Negarservicio
servicio
Modelos de Ataques
E R E R
I I
E: Emisor
Intercepción Modificación R: Receptor
I: Intruso
E R E R
I I
Fabricación Interrupción
Ataques ...
CABALLOS DE TROYA : Introducción dentro de un programa una

rutina o conjunto de instrucciones, no autorizadas, desconocida de
la víctima. El programa actúa de una forma diferente a como
estaba previsto (por ejemplo robando e informando al cracker) o
cambia el código fuente para incluir una puerta trasera.
INGENIERIA SOCIAL: Convencer a la víctima de hacer lo que en

realidad no debería.
Suplantación de una autoridad
Ataque al ego
Profesiones anodinas (personal de limpieza, teléfono, etc)
Recompensa (concurso de contraseñas :-( …)
Ataques ...
FOOTPRINTING: Extraer toda la información posible del

objetivo del ataque, ya sea un sistema, red o dispositivo
electrónico, previo al ataque. Esto se logra revisando los grupos
de noticias públicos de esa comunidad (por ejemplo, whois) o
los fuentes HTML de las páginas Web (wget).
Existen otras utilidades: ping, finger (en desuso), rusers,

nslookup, rcpinfo, etc. Esta es la fase previa a la preparación
de un ataque o el inicio de una auditoría.
Ataques ...
FINGERPRINTING: Extraer información de un sistema, identificando el
sistema operativo y las vulnerabilidades de la versión .
– FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros
como Windows NT devuelven un FIN-ACK.
– Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux
devuelven un SYN-ACK con el mismo flag activo.
– Monitorización del “Don’t fragment bit”: Algunos sistemas operativos, por defecto,
tienen el bit de no fragmentación (DF) como activo y otros no.
– TOS : Ante los mensaje “ICMP port unreachable” puede examinarse el campo TOS,
que suele ser cero pero puede variar.
– TTL : ¿Cuál es el valor de los paquetes salientes en el campo Time To Live (TTL)?
Ataques ...
ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de
entrada o servicios instalados en los puertos bien conocidos. Se
usa nmap.
- TCP connect scan: mediante el establecimiento de una
conexión TCP completa (3 pasos).
- TCP SYN scan: se abren conexiones a medias, ya que
simplemente se envía el paquete SYN inicial, determinando
la existencia de un servicio si se recibe el SYN-ACK. Si no
hubiere servicio se recibe un RST-ACK. En el caso de existir
el servicio se devuelve un RST-ACK para no establecer
conexión alguna, y no ser registrados por el sistema objetivo.
ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones

IP activas.
Ataques ...
SNIFFING: Intercepción pasiva del tráfico de red. Se usa wireshark
corriendo sobre el puerto promiscuo del switch o en un hub. Este
método lo utiliza el atacante para capturar login y passwords de
usuarios, cuando viajan en claro al ingresar a sistemas de acceso
remoto. También son utilizados para capturar números de tarjetas de
crédito y direcciones de e-mail entrantes y salientes. Otro uso es para
determinar relaciones entre organizaciones e individuos.
SNOOPING : Al igual que el sniffing es obtener la información sin

modificarla. Sin embargo los métodos son diferentes usan
herramienta estilo troyanos (ttysnoop). Los casos más conocidos
fueron : el robo de un archivo con más de 1700 números de tarjetas de
crédito desde una compañía de música mundialmente famosa, y la
difusión ilegal de reportes oficiales reservados de las Naciones
Unidas, acerca de la violación de derechos humanos en algunos
países europeos en estado de guerra.
Ataques ...
TAMPERING O DATA DIDDLING: Modificación desautorizada a
los datos, o al software instalado, incluyendo borrado de archivos.
Estos ataques son particularmente serios cuando el atacante ha
obtenido derechos de administrador pues pueden llevar hasta un
DoS. Los atacantes pueden ser empleados (o externos) bancarios
que crean falsas cuentas para derivar fondos de otras cuentas,
estudiantes que modifican calificaciones de exámenes, o
contribuyentes que pagan para que se les anule la deuda de
impuestos. Múltiples web sites han sido víctimas del cambio de
sus home page por imágenes terroristas o humorísticas, o el
reemplazo de versiones de software para download por otros con el
mismo nombre pero que incorporan código malicioso como virus
o troyanos(Back Oriffice o NetBus).
Ataques ...
IP SPOOFING: Suplantación de identidad como por ejemplo

conseguir el nombre y password de un usuario legítimo. El intruso
usualmente utiliza un sistema como trampolín para ingresar en otro,
y así sucesivamente. Este proceso, llamado looping, tiene la finalidad
de evaporar la identificación y la ubicación del atacante. Otra
consecuencia del looping es que una compañía o gobierno pueden
suponer que están siendo atacados por un competidor o una agencia
de gobierno extranjera, cuando en realidad puede estar siendo
atacada por un insider, o por un estudiante a miles de kms de
distancia, pero que ha tomado la identidad de otros.
SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza

autenticación
Ataques ...
DoS: Ataque que se concentra en sobrepasar los límites de recursos
establecidos para un servicio determinado, obteniendo como
resultado la eliminación temporal del mismo.
• Finger Bomb: permite forzar al sistema destino a un consumo
elevado de CPU realizando una petición finger recursiva. Scripts
como kaput hacen uso de esta vulnerabilidad (ya superada).
• Net Flood: satura el sistema con mensajes que requieren
establecer conexión: TCP SYN Flood, Connection
Flood, SMTP Flood
DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva

a un mismo objetivo visible desde distintos lugares de la red.
Fingerprinting con nslookup
Soluciones preventivas
Reducir funcionalidades a las necesarias (hardening) y reforzar las

que quedan (armoring)
Instalar parches de seguridad
Estar suscrito a información sobre seguridad
VPN, Firewalls e IDS
CERT (Computer Emergency Response Team). En Venezuela es
VenCERT administrado por SUSCERTE (USA tiene 62 CERTS ...).
Todos estan coordinados por FIRST (Forum of Incident Response and
Security Teams) http://www.first.org
A nivel latinoamericano está también LACNIC/seguridad (Latin
American and Caribbean Internet Addresses Registry)
Solución Correctiva:
Informática Forense
Ciencia
Cienciaquequeapoyada
apoyadaen
enlalaevidencia
evidenciadigital,
digital,procura
procuradescubrir
descubrireeinterpretar
interpretar
lalainformación
informaciónpara
paraesclarecer
esclarecerlos
loshechos
hechosyyformular
formularhipótesis
hipótesis
Evidencia Digital: Error
Errorepisodio
episodioCSI
CSI(2005)
(2005)
– Correos, archivos e imágenes Greg
GregSander
Sanderleyó
leyócorreos
correos
– Históricos y archivos de configuración de
deun
uncomputador
computadorenenuna
una
– Hojas de cálculo, bases de datos, etc. escena
escenadel
delcrimen
crimen
Debe considerarse que puede ser duplicada, eliminada y alterada
Procedimientos:
– Esterilidad para evitar contaminación
– Verificación y resguardo mediante firma digital
– Mantenimiento de la cadena de custodia (quien la entregó, como, …)
Herramientas:
– Propietarias y código abierto (http://www.evidence.info/vendors.html)
Actores en Informática Forense
Intruso Administrador Investigador
En general todos especialistas en informática
Hacking
Término
Términoacuñado
acuñadoenenMIT
MITalrededor
alrededordede1959
1959……Inicialmente
Inicialmente
acuñado
acuñadoaadesarrolladores
desarrolladoresde
deaplicaciones
aplicacionessofisticadas
sofisticadas
Hackers de sombrero blanco: Personas cuyo motivo es aumentar
su experticia técnica para explorar sistemas y diagnosticar fallas.
Hackers de sombrero negro: Son la peor faceta del sentido de los
hackers. Son delincuente que se apropian de información para su
beneficio personal
– Ciberterrorista – Phreakers
– Script kiddies – Crackers
– Desarrolladores de virus – Atacante interno
Fases de una Auditoría o Ataque
El atacante o auditor del sistema:
Reconocimiento general:
Recolección de datos por Internet (whois)
Revisión del sistema atacado
Enumeración de servicios (nmap)
Vulneración del sistema:

Comprometer el sistema, servicios o programas
Escalar los privilegios
Mantener el control (troyanos)
Eliminación y transferencia:
Borrado de rastros manteniendo el control
Busqueda de otras máquinas a partir de la atacada
Páginas de interes ...
Auditoría y hacking benéfico:
http://www.phrack.org (volumen 11, número 59: Antiforense ...)

http://www.insecuremag.com
http://www.cgisecurity.com
Herramientas forenses:
Encase: http://www.encase.com/products/ef_index.asp
Forensic toolkit: http://www.accessdata.com/products/utk
Winhex: http://www.x-ways.net/forensic/index-m.html
Sleuth Kit: http://www.sleuthkit.org (open source)
Administrador ...
Responsable del buen desempeño del sistema operativo,
la seguridad, la red, las aplicaciones instaladas,
los programas de clientes, la base de datos ...
Los roles pueden estar separados dependiendo de la talla de

la institución.
Muchas veces el rol del administrador de seguridad se contrapone
a las funcionalidades operativas.
Se requiere capacidad técnica y experiencia. No basta que
funcione … debe ser de manera confiable ...
La transparencia que ofrece el modelo Web, facilita el desarrollo
de aplicaciones pero es un modelo más vulnerable.
La auditoría y logs son vitales para el buen funcionamiento de los
sistemas
Herramientas de prevención
Redes Privadas Virtuales (VPN)
– Cliente/Red o Red/Red
– Transparentes o no Transparentes
Firewall
– Tipos: Red, Aplicación o Kernel
– Políticas: por defecto todo permitido o todo prohibido
Sistemas de detección de intrusos (IDS)
– Máquina
• Verificador de integridad
• Monitor de registros o históricos
• Honey Pot
– Red
• Detección de uso indebido
• Detección por anomalías
Investigador ...
Identificación -- Inicio de la cadena de custodio
Preservación – Integridad de la evidencia física y digital
Análisis – Revisión exhaustiva de la evidencia
Presentación – Informe lo menos técnico posible.
Certificaciones:
IACIS: Programas de certificación forense CFCE
HTCN, IISFA, ISFCE, etc ...
Competencia simulación de juicio
Grupo interdisciplinario de estudiantes de informática, derecho y
comunicación social
Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía,

defensa, peritos de la defensa y comunicadores sociales
Varias universidades, con sus equipos, conforman juicios simultaneos

donde se desarrolla el mismo caso
Sólo el juez será un actor externo, de hecho jueces en ejercicio o

jubilados
Cada equipo es puntuado por evaluadores externos y se suman los

puntos de los 5 equipos de cada universidad. La que obtenga mayor
puntuación es la universidad ganadora

Ataques PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ataques PDF

Cargado por

Copyright:

Formatos disponibles

Ataques Informáticos:

USB / UCAB / UCV

Segunda Generación (Ataque Sintáctico): son contra la lógica

Tercera Generación (Ataque Semántico): colocación de información

Ping de la Muerte Escaneo de Puertos

Ataque DNS Ataques SMTP

Difícil de detectar, sólo se puede prevenir

CABALLOS DE TROYA : Introducción dentro de un programa una

INGENIERIA SOCIAL: Convencer a la víctima de hacer lo que en

FOOTPRINTING: Extraer toda la información posible del

Existen otras utilidades: ping, finger (en desuso), rusers,

ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones

SNOOPING : Al igual que el sniffing es obtener la información sin

IP SPOOFING: Suplantación de identidad como por ejemplo

SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza

DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva

Reducir funcionalidades a las necesarias (hardening) y reforzar las

Vulneración del sistema:

http://www.phrack.org (volumen 11, número 59: Antiforense ...)

Los roles pueden estar separados dependiendo de la talla de

Preservación – Integridad de la evidencia física y digital

Análisis – Revisión exhaustiva de la evidencia

Presentación – Informe lo menos técnico posible.

IACIS: Programas de certificación forense CFCE

HTCN, IISFA, ISFCE, etc ...

Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía,

Varias universidades, con sus equipos, conforman juicios simultaneos

Sólo el juez será un actor externo, de hecho jueces en ejercicio o

Cada equipo es puntuado por evaluadores externos y se suman los

También podría gustarte