Documentos de Académico
Documentos de Profesional
Documentos de Cultura
en Seguridad Informática
Tipos de ataques y enfoques para su resolver su mitigación
Objetivo de la actividad:
Aprender sobre los aspectos generales que requiere una estrategia en seguridad informática
para enfrentar y/o prevenir un ataque informático.
Primero describiremos dos conceptos que se emplean para ponderar y clasificar las amenazas
a un sistema informático: Superficie de ataque y arboles de ataques.
o Puertos abiertos que permitan la salida hacia la web u otros servidores, como
también código en ejecución escuchando en estos puertos.
o Código que procesa datos entrantes como email, XML, documentos office y
formatos de intercambio empleados en la industria.
Este análisis es útil para valorar la escala y severidad de las amenazas de un sistema.
Una vez que un análisis de puntos de vulnerabilidad ha sido determinado, permitirá a
© 2016 Patricio Galdames – IUT de Bayonne et du PaysBasque (UPPA) – Todos los derechos reservados
los diseñadores reducir la superficie de ataque y con el hacer que la tarea del
adversario sea más difícil.
Como ejemplo considere la figura 1 obtenida de [1] que nos muestra un árbol de
ataque obtenido del análisis de una aplicación de autenticación para acceso a la banca
en la Internet. La raíz del árbol nos muestra el objetivo del adversario. Las cajas
sombreadas (en verde) son nodos hojas en el árbol y representan eventos que se
requieren para conformar los ataques. Las cajas blancas consisten de uno o más
eventos de ataque específicos. Note que todos los nodos, excepto las hojas son nodos
que deben ser interpretados como posibilidades (OR)
© 2016 Patricio Galdames – IUT de Bayonne et du PaysBasque (UPPA) – Todos los derechos reservados
Terminal del usuario y usuario (UT/U): Estos ataques apuntan al equipo del usuario,
incluyendo aquellos tokens que pudieran estar involucrados, como por ejemplo tarjetas
inteligentes u otros tipos de generadores de contraseña. También, se incluyen a las
acciones del usuario.
Servidor online del banco (IBS): Estos tipos de ataques son offline en contra de los
servidores que ejecutan la aplicación online del banco.
En este trabajo señalan que cincos estrategias de ataque se pueden identificar, cada una de las
cuales explota una o más vulnerabilidades de los tres componentes. Estas estrategias son:
Violación de las políticas de seguridad; Un empleado del banco podría exponer los
datos y credenciales de algún cliente si el banco presenta controles de acceso débiles.
Uso de una sesión valida. En este ataque se convence al usuario de intentar conectarse
al usuario con el IBS con un ID de sesión inicial. Una vez que el usuario se autentifica
con el servidor, el atacante podría utilizar tal ID de sesión para enviar paquetes al
servidor y así suplantar la identidad del usuario.
En [2] se sugiere que toda estrategia de seguridad debe involucrar tres factores:
© 2016 Patricio Galdames – IUT de Bayonne et du PaysBasque (UPPA) – Todos los derechos reservados
críticos y sensibles. Tales políticas deben ser reforzadas por controles técnicos del
sistema así como también por controles operacionales y de gestión.
Usualmente el manager al definir una política debe considerar los siguientes tradeoff:
Usabilidad versus seguridad y costo de la seguridad versus costo de fallar y de la
recuperación.
o Prevención: tomar medidas proactivas con el fin de impedir o hacer difícil para
un adversario realizar un ataque. Por ejemplo, considere la transmisión de
datos encriptados. Es importante mantener medidas que permitan impedir el
acceso no autorizados a las claves empleadas por el algoritmo de encriptación
con el fin de mantener la confidencialidad de los datos.
© 2016 Patricio Galdames – IUT de Bayonne et du PaysBasque (UPPA) – Todos los derechos reservados
La evaluación es el proceso de examinar si un ordenador o sistema cumple ciertos
criterios. Este proceso involucra pruebas (testing) pero también pruebas formales con
técnicas matemáticas.
Ejercicio 1
Desarrolle un árbol de ataque para ganar acceso al contenido de una caja fuerte.
Recuerda:
Referencias:
[1] Dimitriadis Ch.-K, “Analyzing the Security of Internet Banking Authentication Mechanisms”,
Information Systems Control Journal, vol. 3., 2007.
[2] Lampson B. “Computer Security in the Real World”, Computer, June 2004.
© 2016 Patricio Galdames – IUT de Bayonne et du PaysBasque (UPPA) – Todos los derechos reservados