Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El Origen
(1945)
(mainframe) centralizada
(1970)
de escritorio
y hogar
Las redes proliferaron (70s) Surge TCP/IP como lenguaje comn para todo tipo de computadoras
Todos
Inicia la pesadilla ..
2
Virus
Programa de Software que se adhiere por s mismo a otro archivo o programa
En memoria o en disco Se distribuye por s mismo
Objetivos especficos:
Despliegue de mensajes Borrar datos Mal funcionamiento del equipo Impedir laborar o utilizar el equipo (Negacin de servicio) Molestar
3
Fase III Serio Impacto en los Negocios Fase II Macro Era Fase I Floppy Era
Creadores de Virus conocen ampliamente la Tecnologa y las vulnerabilidades en los negocios Ej. Remote Explorer 95 - 98 Crecimiento exponencial de Virus. Se distribuyen rapidamente Ej. Macro Virus via E-Mail
Dao
5ta Gen Wireless & Applicaciones comunes
1986
Principios 90s
4ta Gen Amenazas combinadas Exploit de vulnerabilidades Creacion de backdoors Dispersion de diversas formas Code Red Nimda Funlove
1995
1999
2001
Worm (gusano)
Programa que se replica por s mismo en un sistema, pero no infecta directamente otros archivos
Caballos de Troya
Programa que contiene cdigo malicioso y daino. Parece programa o archivo inofensivo No se distribuye automticamente
Hoaxes
Falsas
Malware
Cdigo
Paradigma Actual
La Red es la Computadora Es una computadora hipermasivamente paralela El medio es el mensaje? Somos el medio? Los datos e informacin estn dispersos Los programas estn dispersos
Paradigma Actual
Confidencialidad Integridad Accesibilidad Autenticidad
Problema Conceptual
Internet:
Sistema
No existe permetro natural No existe lista de usuarios con autenticadores No se puede verificar la trayectoria de la informacin Hay muchos puntos de ataque
Amenazas
Intercepcin (y lectura) de datos en trnsito Acceso a programas o datos en host remotos Modificacin de programas o datos en host remotos Modificacin de datos y programas al vuelo Interrupcin del flujo de informacin Fabricacin de informacin
10
Amenazas
Suplantacin de un usuario para aadir comunicaciones Insercin de una repeticin de una secuencia Bloqueo de trfico selecto Negacin del servicio Ejecucin de un programa en un host remoto
11
Internet
Qu hay en Internet de interesante que todo mundo quiere acceso a la red? Ms de 1100 millones de usuarios Internet 70% de la informacin es digital 30 billones de pginas Web Empresas y organizaciones importantes Comercio, banca, negocios y servicios Grandes bancos de informacin
12
Internet
Nuevas Amenazas y vulnerabilidades El lado obscuro y tenebroso de Internet Mucho de esto se desconoce Problema de educacin y conciencia El peligro acecha en todas partes, desde cualquier lado, a todas horas El atacante es invisible y ubicuo
13
World Regions
Population % of World
% Population ( Penetration )
Usage % of World
Africa Asia Europe Middle East North America Latin America/Caribbean Oceania / Australia WORLD TOTAL
Internet
.. el futuro es la personalizacin
Medio actual de comunicacin rpida Internet every where
18
CyberCrimen y CyberTerrorismo
De Internet a Undernet Del Cyber Crimen al Cyber Terrorismo Amenazas internas en crecimiento Ingeniera social Era desconocida Sistemas de defensa sin polticas de seguridad
19
20
CyberCrimen y CyberCriminales
Valor de la informacin y transacciones El CyberCrimen es crimen organizado El CyberCrimen es actividad profesional Objetivos del Cybercrimen y CyberCriminales:
Datos
Categoras de CyberCrimen
Extorsin Dao de Prestigio y Reputacin Fraude Phishing Quebranto del Servicio Robo de Informacin Lavado de Dinero Explotacion de Menores Trfico de todo tipo
22
Categoras de CyberCrimen
Extorsin
Amenaza
de: quebranto de red, negacin de servicio, robo de informacin Secuestro virtual de personas Secuestro real de informacin vital
Categoras de CyberCrimen
Fraude
Tiendas
falsas (no solo se quedan con el dinero, sino tambin con los datos de la tarjeta) Ofertas de negocios fabulosos Oferta de productos casi regalados Oportunidades de ganar o compartir millones
Phishing
Falsos
mails de bancos o compaas de tarjetas de crdito solicitando datos personales y bancarios Sitios suplantados pero indistinguibles de los legtimos
24
Categoras de CyberCrimen
Robo de Informacin
Robo
de informacin financiera, personal Robo de propiedad intelectual Robo de secretos cientficos, industriales, comerciales, de estado, militares, etc.
25
Categoras de CyberCrimen
Lavado de Dinero
Explotacin de Menores
Pornografa
infantil
Trfico
Drogas
Personas rganos
26
Jerarqua de CyberCriminales
Script Kiddy
Atacante
joven (< 20 aos) y no tcnicamente sofisticado Usa herramientas que otros escribieron. No comprende cmo funcionan
Cyber Punk
Usa
Jerarqua de CyberCriminales
Hacker y Crackers
Disfruta
Coders
Veteranos
de la comunidad hacking Aos de experiencia Producen herramientas (trojans, mailers, custom bots) o servicios (hacer un cdigo indetectable por los AV)
28
Jerarqua de CyberCriminales
Drops
Convierten
el dinero virtual obtenido en el CyberCrimen en dinero real Usualmente localizados en pases con leyes laxas con el cybercrimen (Bolivia, Indonesia y Malaysia son muy populares)
de profesionales (carreras tcnicas) y hackers Tienen y adquieren el equipo que necesitan para atacar Contratan servicios de los anteriores
29
Bots
Computadora
en la cual, un virus o gusano, ha instalado programas que se ejecutan automticamente Permiten al atacante acceso y control
Bot Network
Coleccin
de mquinas infectadas, comprometidas semanas o meses antes por los atacantes Se usan para lanzar ataques simultneos
30
Keylogging
Programa
Bundling
Pega
virus o spyware a descargas que hace el usuario Cuando el usuario instala el software descargado, tambin instala el programa del atacante
31
Negacin de Servicio
Ataque
diseado especficamente para evitar el funcionamiento normal de una red o sistema y evitar el acceso de usuarios autorizados
Packet Sniffer
Programa
Rootkit
Conjunto
Los
Spyware
Software
que obtiene informacin sin el conocimiento del usuario Tpicamente viene adherido con otro programa (legtimo) El usuario desconoce que al instalar uno instala el otro Monitorea la actividad del usuario en la red y retransmite esa informacin al atacante Captura y mantiene: direcciones de correo, passwords, nmeros de tarjetas de crdito, informacin confidencial, etc.
34
Scripts
Programas
o listas de comandos, disponibles como shareware en sitios de hackers Pueden copiarse e insertarse remotamente en una comutadora Usados para atacar y quebrantar la operacin normal de una computadora
Ingeniera Social
Todo
Algunos pretenden ser aplicaciones benignas Muchos se ocultan en la memoria de la mquina con nombres no descriptivos
Contiene comandos que la computadora ejecuta automticamente sin conocimiento del usuario
Algunas veces actan como zombies y envan spam o participan en un ataque de negacin de servicio distribuido Pueden ser un Keylogger u otro programa de monitoreo que colecciona datos que enva encubiertamente al atacante Muchos troyanos ahora intentan desabilitar los programas antivirus
36
Worms
Viajan a travs de las redes Se duplican a s mismos y se auto envan a direcciones que estn en la computadora host Se propagan enviando copias de s mismos a otras computadoras por e-mail o por Internet Relay Chat (IRC) Programa o pieza de cdigo que se difunde de computadora a computadora sin consentimiento del usuario Causan eventos inesperados y negativos cuando se ejecutan en la computadora Contaminan programas legtimos Son introducidos a travs de anexos en e-mails Usan nombres ingeniosos para atraer la curiosidad del lector
37
Virus
Zombie
Computadora
ejecutando programas que dan el control a alguien distinto del usuario Ejecutan automticamente comandos de alguien distinto al usuario, sin el conocimiento de este Se crean poniendo cdigo ejecutable en una mquina de usuario (normalmente usando un troyano) El atacante obtiene el control de la computadora y automticamente ejecuta un comando para iniciar:
39
40
El Problema:
Autenticacin Control
de Acceso
Los S.O. implementan mecanismos de Autenticacion y Control de Acceso para impedir que accedan a recursos y servicios personas no autorizadas
41
Robo de Identidad
Cualquiera que conozca el nombre de usuario y la contrasea ser considerado por el S.O. como el usuario legtimo al que pertenece esa informacin confidencial Si el que usa esta informacin no es el usuario legtimo sucede una suplantacin, o sea un robo de identidad
42
Engaar a la vctima para que entregue informacin confidencial que permita el acceso a sus tesoros
43
Mtodos de Phishing
pescador puede hacerse pasar por una entidad confiable que hace preguntas concretas El pescador puede espantar a la vctima hacindole pensar que sus tesoros han sido atacados
Mtodos tcnicos
Colocar
cdigo malicioso (malware) en la computadora de la vctima Dirigir una solicitud a un servidor de pginas falso Falsificar la direccin del remitente de un mensaje
45
Ingeniera Social
xito de estafadores basado en comprensin, intuitiva o basada en experiencia, de los sesgos cognoscitivos de las vctimas y en su ignorancia computacional El uso de los sesgos cognoscitivos se llama pretextar
Pretextar
es el acto de crear y usar un escenario ficticio (el pretexto) para convencer a la vctima de que debe entregar informacin confidencial o de que realice una accin que lo puede daar
46
Mensajes
Llamada Telefnica Correo Electrnico y Spam Entrega a travs de la red IRC y Mensajera Instantnea Servidores con contenido malicioso
48
Correo Electrnico
Mensajes que parecen ser institucionales Copias de mensajes legtimos con pequeas variaciones en el URL Correo basado en HTML para ofuscar el URL del destinatario Anexos a mensajes que contienen virus o gusanos Redaccin de mensajes personalizados Mensajes maliciosos en grupos de discusin o listas de correo Falsificacin del domicilio del originador
50
La Red
URL disfrazados Anuncios falsos que lleven a la vctima a un sitio del atacante Fallas de los navegadores Ventanas instantneas Insercin de cdigo malicioso Colocacin de cdigo malicioso en alguna pgina Abusar de la configuracin de seguridad del navegador de la vctima
52
53
Contenido Malicioso
Se puede usar una PC invadida como origen de muchos ataques de pesca. Registradores de la mecanografa
54
55
Ataques Cibernticos y Delitos Informticos Los ataques cibernticos son anlogos a la pesca con caa y carrete Se exhibe a la vctima potencial un seuelo y, cuando el seuelo es tomado, se captura a la victima En nuestro caso la pesca es el robo de la identidad ciberntica de la vctima, o sea la divulgacin de su informacin confidencial
56
Mtodos de Ataque
Hombre en medio URL ofuscados Cross site scripting Sesiones preestablecidas Ataques encubiertos Obtencin de datos del uso Vulnerabilidades de los clientes
57
Hombre enmedio
URL ofuscado
Nombres de dominio maliciosos http://mybank.com:ebanking@evilsite.com/phishing/fakepa ge.htm username = mybank.com, password = ebanking Servicios de simplificacin de URL Ofuscacin del nombre del servidor Decimal http://210.134.161.35/ Dword http:// 3532038435/ Octal http://0322.0206.0241.0043/ Hexadecimal http://0xD2.0x86.0xA1.0x23/ o bien http://0xD286A123/
59
Para que puedan funcionar en varios idiomas, muchos navegadores y clientes de correo permiten codificar los datos de maneras alternas:
%hexhex Unicode
Unicode
Cuando se tienen varias ventanas abiertas todas estn mutuamente accesibles Incluyendo las que contienen pginas provenientes de otros sitios
61
Sesiones Preestablecidas
Para seguir a los usuarios de una aplicacin y administrar los recursos mediante autenticacin se usan identificadores de sesin tales como
Galletas
El pescador usa una pgina legtima pero inserta un identificador de sesin al que vigila hasta que aparezca una pgina restringida Si el usuario no se autentica con xito, recibir mensajes de error del servidor de la aplicacin
63
65
Uso de la combinacin de Internet Explorer y Media Player para permitir que servidores remotos lean archivos locales, transiten por los directorios y ejecuten cdigo Corrupcin de la memoria que el S.O. asigna a una aplicacin para que guarde sus datos mediante Real Player
67
69
70
71
Ataque Mediante inyeccin de cdigo malicioso Pginas Web que contienen cdigo ejecutable Pginas Web espurias diseadas para que los buscadores las encuentren Flujos de informacin ( sonido y video) Programas aparentemente inocuos (caballos de Troya) Ventanas instantneas
72
Ataque mediante servidores de pginas falsificados Las pginas que presente el pescador deben ser convincentes El pescador aprovecha las debilidades de la victima Aparece una cuestin fundamental para los que disean la interfaces de usuario, pues es all, en las interfaces, que se da la batalla entre los pescadores y las vctimas
74
Autenticar (firmar digitalmente) los mensajes de correo electrnico y descartar los que no tengan firma conocida Detectar el uso no autorizado de marcas, logotipos y otras imagines que son propiedad de alguna empresa Instalar en los clientes programas que detecten cdigo malicioso Usar informacin personal para autenticar los mensajes de correo electrnico
75
Avisar a los usuarios cuando se detecte un servidor fraudulento Establecer una trayectoria confiable cuando se efecte un dialogo, es decir, autenticar a ambas partes del dialogo Usar sistemas de autenticacin de dos partes Obligar a que cada servidor tenga contraseas propias que no se compartan con otros servidores Usar certificados digitales que especifiquen para que se pueden usar
76
77
78
Ignorancia
79
Engaos visuales
Texto engaoso
Sintaxis de los apuntadores Confusin entre la i y el 1 Uso de smbolos que no se pueden imprimir o desplegar
Uso de hiperenlaces en los que aparece una imagen quedando el URL oculto Colocacin de una imagen de una ventana Colocacin de una imagen que simula un dilogo Ventanas fraudulentas encima o muy cerca de una ventana legitima Ventanas que provienen de fuentes distintas Aspecto de una ventana falsa muy parecida a una verdadera Logotipos, textos e imgenes verdaderas con funciones falsas
80
Presencia engaosa
Atencin limitada
81
Manipulan las maneras en las que un usuario ubica y se conecta con un servidor de nombre (DNS) conocido, mediante la modificacin del proceso de traduccin de los nombres a domicilios IP Su propsito es obtener informacin personal del usuario del cliente
82
Cambian el domicilio que aparece junto a un nombre en la lista del DNS, poniendo all el domicilio de un servidor malicioso Ese servidor simula al que se quera conectar originalmente el usuario, quien al ser engaado entrega su informacin de autenticacin: su nombre y contrasea Una vez que el granjero logra obtener esta informacin, enva un mensaje de error y transfiere la conexin al servidor legtimo ante el cual el usuario se tiene que volver a autenticar
83
Pastores Qu hacen?
Lo primero que hacen es infiltrar una computadora grande y colocar un programa servidor de IRC Luego infiltran muchas otras computadoras pequeas y grandes y colocan un cliente IRC en cada una Finalmente crean su rebao,regresando al programa servidor y suscribiendo a todas las otras computadoras , y a la suya propia, a la red IRC De esta manera se pueden comunicar con su rebao y enviarles instrucciones a las computadoras infiltradas
84
86
Rebaos
Los rebaos pueden ser enormes Uno famoso llamado Phatbot Network contaba con ms de medio milln de computadoras infiltradas Los pastores llevan a cabo concursos mundiales
En los ultimos, algunos pastores han exhibido control de ms de 1,200,000 computadoras, aunque mantener ese control es difcil
87
Mecanismos de Defensa
Los miembros de una red tienen que comunicarse para organizarse y atacar Esto cause patrones de trfico identificables Los mecanismos ms frecuentes empleados por las redes maliciosas son IRC y HTTP Un flujo anormalmente alto de paquetes de estos protocolos indica la presencia probable de una red maliciosa
88
Mecanismos de Defensa
Comportamiento de computadoras
Puesto
que las redes dependen de la instalacin de cdigo malicioso en sus miembros, se pueden usar todas las tcnicas de deteccin de virus
comportamiento correlacionado global est ligado a las estructuras fundamentales de las redes y de sus mecanismos de funcionamiento Todas las redes maliciosas del mismo tipo presentan comportamientos globales iguales, y detectables
89
InfoWar
El 61% de las computadoras tienen algun tipo de spyware or adware instalado El uso de Tryanos para espionaje entre competidores es muy comun
D&B Israel launches industrial espionage system INDIA ACCUSES US OF SPYING By KonstantinKornakovJul 31 2006 After several high profile arrests within the Indian security forces, the countrys government has decided to lodge an official protest with the US embassy in New Delhi. Indian authorities accuse the US of using a joint Indian-US cyber security forum as cover for spying activities in which several senior national security officials were involved.
90
Vislumbrar Solucin
Esquemas de seguridad en el mbito computacional enfocados principalmente a la autenticacin y a la criptografa Pero en casi todos los casos se ha ignorado el factor humano y su impacto en los ataques a la seguridad Por lo tanto, hay que tomar conciencia del peligro y educar en esa direccin
91
Vislumbrar Solucin
El destino nos alcanz a todos en la era de las TI y de Internet La preocupacin de seguridad informtica entr al mbito personal y familiar La solucin no es nica ni del mismo mbito Pasa por el aspecto humano (psicologa e ingeniera social) y el aspecto tcnico Lo mismo hay que tomar conciencia que conocer el aspecto tcnico
92
Recomendaciones
No confiarse y seguir los checklist para configuraciones seguras en el mbito que nos toca
93
Recomendaciones
Autenticacin mutua (SSL, TLS) Autenticacin de 2 factores Certificados Digitales Biometra Tokens en banca electrnica Comercio electrnico con Protocolos Seguros (SET, SPP, iKP) y Certificados Digitales
94
Recomendaciones
Canales Cifrados (SSH, SSL) para sesiones remotas Correo Electrnico firmado y cifrado (PGP) Asegurar que el Cdigo libre que se baja de red tenga asociado un Certificado Digital y venga firmado Asegurarse, para transacciones y datos sensibles, entrar a sitios certificados Asegurarse de usar sitios con protocolo https
95
El Prximo Futuro
Celulares
Personales (PDAs)
Asistentes
telefnicos
97
El Prximo Futuro
virus por e-mail, a la baja A la alta, nuevas formas de malware por e-mail
inalmbricas difciles de asegurar Las vulnerabilidades sern peores que las anteriores
98
El Prximo Futuro
Spam y Spyware
Formas
Algunas Reflexiones
La motivacin principal de los atacantes en Internet se ha apartado del vandalismo y la fama y ahora se dirige a las ganancias econmicas El atacante de hoy trata de explotar a individuos y empresas para obtener ingresos o beneficios econmicos Esto causa prdidas enormes para las vctimas Un estudio realizado por las autoridades en los EE.UU. cuantifican los daos en ao 2006 en 67.2 miles de millones de dlares
102
Algunas Reflexiones
La Nueva Selva Virtual nos obliga a cuidarnos y defendernos para sobrevivir La Era de las TI e Internet conlleva una nueva forma de terror y de esclavitud Nos sorprendi la tecnologa cuando no estamos preparados para asumir sus riesgos Podemos no usar la tecnologa o usarla selectivamente?
103
Algunas Reflexiones
lo que vemos
Formamos
nuestras herramientas y luego ellas nos forman a nosotros mensaje es el medio el medio
104
El
Somos
105
Seguridad y TI en la UNAM
Diplomado de Seguridad Informtica http://siberiano.aragon.unam.mx/ Diplomado en Tecnologas de Informacin http://siberiano.aragon.unam.mx/dti/ LLaboratorio de Seguridad Informtica, CTA http://leopardo.aragon.unam.mx/labsec/
106
Aplicaciones Criptogrficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org
S/MIME: http://www.ietf.org/html.charters/smimecharter.html
Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
System)
Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/in dex.html
Monitores
de Red
Nagios http://www.nagios.org
Sniffers
Etthercap http://ettercap.sourceforge.net/
Analizadores de Vulnerabilidades
Nessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/ Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_pr otection/vulnerability_assessment/scanner_interne t.php
Passwords Crackers
John de Ripper http://www.openwall.com/john/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1