Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ataques PDF
Ataques PDF
Medidas Preventivas y
Correctivas
Prof. Wílmer Pereira
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Evolución en los ataques ...
Primera Generación (Ataque Físico): se centraban en los
componentes electrónicos .
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Clases de ataques
Número de paquetes a enviar en el ataque:
Atomic: se requiere un único paquete para llevarlo a cabo
Composite: son necesarios múltiples paquetes
Información necesaria para llevar a cabo el ataque:
Context: se requiere únicamente la cabecera del protocolo
Content: es necesario también el campo de datos o payload
Atomic Composite
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Tipos de Ataques
Pasivos
Pasivos: :
Escuchar
Escucharyymonitorear
monitorearaaescondidas
escondidas
Activos
Activos: :
Suplantar
Suplantaridentidad,
identidad, Difícil de prevenir,
Infiltrar
Infiltrarservidores
servidores más se puede detectar
Modificar
Modificarinformación
información
Negar
Negarservicio
servicio
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Modelos de Ataques
E R E R
I I
E: Emisor
Intercepción Modificación R: Receptor
I: Intruso
E R E R
I I
Fabricación Interrupción
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
FINGERPRINTING: Extraer información de un sistema, identificando el
sistema operativo y las vulnerabilidades de la versión .
– FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros
como Windows NT devuelven un FIN-ACK.
– Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux
devuelven un SYN-ACK con el mismo flag activo.
– Monitorización del “Don’t fragment bit”: Algunos sistemas operativos, por defecto,
tienen el bit de no fragmentación (DF) como activo y otros no.
– TOS : Ante los mensaje “ICMP port unreachable” puede examinarse el campo TOS,
que suele ser cero pero puede variar.
– TTL : ¿Cuál es el valor de los paquetes salientes en el campo Time To Live (TTL)?
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de
entrada o servicios instalados en los puertos bien conocidos. Se
usa nmap.
- TCP connect scan: mediante el establecimiento de una
conexión TCP completa (3 pasos).
- TCP SYN scan: se abren conexiones a medias, ya que
simplemente se envía el paquete SYN inicial, determinando
la existencia de un servicio si se recibe el SYN-ACK. Si no
hubiere servicio se recibe un RST-ACK. En el caso de existir
el servicio se devuelve un RST-ACK para no establecer
conexión alguna, y no ser registrados por el sistema objetivo.
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
SNIFFING: Intercepción pasiva del tráfico de red. Se usa wireshark
corriendo sobre el puerto promiscuo del switch o en un hub. Este
método lo utiliza el atacante para capturar login y passwords de
usuarios, cuando viajan en claro al ingresar a sistemas de acceso
remoto. También son utilizados para capturar números de tarjetas de
crédito y direcciones de e-mail entrantes y salientes. Otro uso es para
determinar relaciones entre organizaciones e individuos.
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Ataques ...
DoS: Ataque que se concentra en sobrepasar los límites de recursos
establecidos para un servicio determinado, obteniendo como
resultado la eliminación temporal del mismo.
• Finger Bomb: permite forzar al sistema destino a un consumo
elevado de CPU realizando una petición finger recursiva. Scripts
como kaput hacen uso de esta vulnerabilidad (ya superada).
• Net Flood: satura el sistema con mensajes que requieren
establecer conexión: TCP SYN Flood, Connection
Flood, SMTP Flood
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Fingerprinting con nslookup
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Soluciones preventivas
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Solución Correctiva:
Informática Forense
Ciencia
Cienciaquequeapoyada
apoyadaen
enlalaevidencia
evidenciadigital,
digital,procura
procuradescubrir
descubrireeinterpretar
interpretar
lalainformación
informaciónpara
paraesclarecer
esclarecerlos
loshechos
hechosyyformular
formularhipótesis
hipótesis
Evidencia Digital: Error
Errorepisodio
episodioCSI
CSI(2005)
(2005)
– Correos, archivos e imágenes Greg
GregSander
Sanderleyó
leyócorreos
correos
– Históricos y archivos de configuración de
deun
uncomputador
computadorenenuna
una
– Hojas de cálculo, bases de datos, etc. escena
escenadel
delcrimen
crimen
Debe considerarse que puede ser duplicada, eliminada y alterada
Procedimientos:
– Esterilidad para evitar contaminación
– Verificación y resguardo mediante firma digital
– Mantenimiento de la cadena de custodia (quien la entregó, como, …)
Herramientas:
– Propietarias y código abierto (http://www.evidence.info/vendors.html)
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Actores en Informática Forense
Intruso Administrador Investigador
En general todos especialistas en informática
Hacking
Término
Términoacuñado
acuñadoenenMIT
MITalrededor
alrededordede1959
1959……Inicialmente
Inicialmente
acuñado
acuñadoaadesarrolladores
desarrolladoresde
deaplicaciones
aplicacionessofisticadas
sofisticadas
Hackers de sombrero blanco: Personas cuyo motivo es aumentar
su experticia técnica para explorar sistemas y diagnosticar fallas.
Hackers de sombrero negro: Son la peor faceta del sentido de los
hackers. Son delincuente que se apropian de información para su
beneficio personal
– Ciberterrorista – Phreakers
– Script kiddies – Crackers
– Desarrolladores de virus – Atacante interno
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Fases de una Auditoría o Ataque
El atacante o auditor del sistema:
Reconocimiento general:
Recolección de datos por Internet (whois)
Revisión del sistema atacado
Enumeración de servicios (nmap)
Eliminación y transferencia:
Borrado de rastros manteniendo el control
Busqueda de otras máquinas a partir de la atacada
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Páginas de interes ...
Auditoría y hacking benéfico:
Herramientas forenses:
Encase: http://www.encase.com/products/ef_index.asp
Forensic toolkit: http://www.accessdata.com/products/utk
Winhex: http://www.x-ways.net/forensic/index-m.html
Sleuth Kit: http://www.sleuthkit.org (open source)
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Administrador ...
Responsable del buen desempeño del sistema operativo,
la seguridad, la red, las aplicaciones instaladas,
los programas de clientes, la base de datos ...
Certificaciones:
Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello
Competencia simulación de juicio
Grupo interdisciplinario de estudiantes de informática, derecho y
comunicación social