Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BOT NETS
Botnet es un término que hace referencia a un conjunto o red de robots
informáticos o bots, que se ejecutan de manera autónoma y automática.1 El
artífice de la botnet puede controlar todos los ordenadores/servidores
infectados de forma remota.
En los sistemas Windows y macOS la forma más habitual de expansión de los
"bots" suele ser en la distribución de software ilícito, pese a que se puede
expandir mediante cualquier software sospechoso. Este tipo de software suele
contener malware el cual, una vez el programa se ejecuta, puede escanear su
red de área local, disco duro, puede intentar propagarse usando
vulnerabilidades conocidas de Windows, etc.
1
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades
inherentes a su arquitectura. Por ejemplo, si se encuentra el servidor de IRC y
el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le
basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar
a dicho canal.
2
dispersión geográfica de los ordenadores que la componen, es casi imposible
encontrar un patrón de las máquinas que están atacando y dado el alto número
de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el
filtrado de paquetes como una solución real que funcione. No obstante, puede
ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para
reconfigurar y adaptar el firewall.
Envío de Spam: Lo más frecuente es que una botnet se utilice para enviar
spam a direcciones de correo electrónico. Normalmente los creadores de estas
Bot nets venden sus servicios a los spammers. Por lo menos en un caso una
investigación (la red Rustock) consiguió averiguar que un solo hacker había
conseguido el control de un millón de ordenadores, utilizándolos como
plataforma para sus ataques, con los que era capaz de enviar 30 billones de
spam por día.4
3
SOCIAL ENGINIERING (INGENIERIA SOCIAL) Ingeniería
social (seguridad informática)
La ingeniería social es la práctica de obtener información confidencial a través
de la manipulación de usuarios legítimos. Es una técnica que pueden usar
ciertas personas para obtener información, acceso o permisos en sistemas de
información1 que les permitan realizar daños a la persona u organismo
comprometidos. El principio que sustenta la ingeniería social es el de que, en
cualquier sistema, los usuarios son el «eslabón débil».
Técnicas y términos
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún
banco o alguna otra empresa, un compañero de trabajo, un técnico o un
cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de
renovación de permisos de acceso a páginas web o correos electrónicos falsos
que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar
sus credenciales de acceso o información sensible, confidencial o crítica.
Pretextos
El pretexto es la creación de un escenario inventado para llevar a la víctima a
revelar información personal o a actuar de una forma que sería poco común en
circunstancias normales. Una mentira elaborada implica a menudo una
investigación previa de la víctima para conseguir la información necesaria, y así
llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de
la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.
4
haber percibido el derecho a la información en la mente de la víctima. El
"pretexter" simplemente debe preparar respuestas a preguntas que se puede
plantear la víctima. En algunos casos, todo lo que necesita es una voz que
inspire autoridad, un tono serio y la capacidad de improvisar para crear un
escenario pretextual.
Redes sociales
Uno de los factores más peligrosos, es la creciente tendencia por parte de los
usuarios, principalmente los más jóvenes, a colocar información personal y
sensible en forma constante. Desde imágenes de toda su familia, los lugares
que frecuentan, gustos personales y relaciones amorosas. Las redes sociales
proveen de mucha información a un delincuente para que realice un ataque,
como para robar tu identidad o en el menor de los casos ser convincente para
tener empatía.
Phishing
Artículo principal: Phishing
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario
llevándolo a pensar que un administrador del sistema está solicitando una
contraseña para varios propósitos legítimos. Los usuarios de sistemas de
Internet frecuentemente reciben mensajes que solicitan contraseñas o
información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar
una configuración", u otra operación benigna; a este tipo de ataques se los
llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos
sistemas deberían ser advertidos temprana y frecuentemente para que no
divulguen contraseñas u otra información sensible a personas que dicen ser
administradores.
5
La ingeniería social también se aplica al acto de manipulación cara a cara para
obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento
sobre la víctima, a través de la introducción de contraseñas habituales, lógicas
típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué
contraseña introduciría yo si fuese la víctima?
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin
Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro
principios:
Vishing
El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas
con las que también se podría sacar información personal de forma que la
víctima no sospeche.2
Baiting
Artículo principal: Baiting
En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD,
USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea
fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.).
Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador,
el software se instalará y permitirá que el hacker obtenga todos los datos
personales del usuario.
6
Quid pro quo
Quid pro quo significa "algo por algo". El atacante llama a números aleatorios
en una empresa, alegando estar llamando de nuevo desde el soporte técnico.
Esta persona informará a alguien de un problema legítimo y se ofrecerá a
ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un
malware.
Para PPT
SQL INJECTIONS
Inyección SQL
Ir a la navegación Ir a la búsqueda
Inyección SQL es un método de infiltración de código intruso que se vale de
una vulnerabilidad informática presente en una aplicación en el nivel de
validación de las entradas para realizar operaciones sobre una base de datos.
El origen de la vulnerabilidad radica en la incorrecta comprobación o filtrado de
las variables utilizadas en un programa que contiene, o bien genera, código
SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que
puede ocurrir en cualquier lenguaje de programación o script que esté
embebido dentro de otro.
7
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al
método de infiltración, al hecho de incrustar código SQL intruso y a la porción
de código incrustado.
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera,
se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a
fin de alterar el funcionamiento normal del programa y lograr así que se ejecute
la porción de código "invasor" incrustado, en la base de datos.
8
Si el operador escribe un nombre, por ejemplo "Pepe", nada anormal sucederá,
la aplicación generaría una sentencia SQL similar a la siguiente, que es
perfectamente correcta, en donde se seleccionarían todos los registros con el
nombre "Pepe" en la base de datos:
Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE
'%
, se generaría la siguiente consulta SQL, (el color verde es lo que pretende el
programador, el azul es el dato, y el rojo, el código SQL inyectado):
9
cuando en una página web, por un fallo de seguridad, no se muestran
mensajes de error al no producirse resultados correctos ante una consulta a la
base de datos, mostrándose siempre el mismo contenido (es decir, solo hay
respuesta si el resultado es correcto).
Existen programas que automatizan este proceso de "tanteos" letra por letra en
el resultado de la consulta SQL, que un intruso podría enviar inyectado.
Para PPT
A) CONCEPTO DE SQL INYECTIONS
B) EN QUE CONSISTE
C) COMO EVITARLO
10