“Control de Acceso: Detección de Intrusiones, Virus ...€¦ · Jornadas de Seguridad...
21
“Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing” Leandro Leandro Meiners Meiners [email protected] [email protected] Agosto de 2005 Agosto de 2005 Buenos Aires Buenos Aires - - ARGENTINA ARGENTINA
Transcript of “Control de Acceso: Detección de Intrusiones, Virus ...€¦ · Jornadas de Seguridad...
“Control de Acceso: Detección de Intrusiones, Virus, Gusanos,
Spyware y Phishing”
Leandro Leandro [email protected]@cybsec.com
Agosto de 2005Agosto de 2005Buenos Aires Buenos Aires -- ARGENTINAARGENTINA
2
© 2005
Jornadas de Seguridad Informática
Temario
• Estadísticas y Cifras
• Detección de Intrusiones
• Hackers vs. Crackers
• “Potenciales” Intrusos
• Sistema de Detección de Intrusiones (IDS)
• Virus: Qué son y métodos de protección
• Gusanos: Qué son y métodos de protección
• Spyware: Qué son y métodos de protección
• Phishing
Temario
3
© 2005
Jornadas de Seguridad Informática
Uso NO Autorizado de Computadoras en Estados Unidos
Estadísticas y Cifras
4
© 2005
Jornadas de Seguridad InformáticaEstadísticas y Cifras
Tipos de Ataques Detectados en Estados Unidos
5
© 2005
Jornadas de Seguridad InformáticaEstadísticas y Cifras
Situación en Argentina: 3era Encuesta de Seguridad
Informática de C.I.S.I.AR
Fuente: C.I.S.I.AR
¿Ha tenido incidentes de Seguridad Informática en el último año?
46% 53% 43%
35% 27% 42%18% 20% 15%
0%
50%
100%
150%
Año 2002 Año 2003 Año 2004
NO SABE
NO
SI
6
© 2005
Jornadas de Seguridad InformáticaEstadísticas y Cifras
Situación en Argentina: 3era Encuesta de Seguridad
Informática de C.I.S.I.AR
Fuente: C.I.S.I.AR
¿Cuál es el origen más común de los incidentes de seguridad en su empresa?
32%
23%30%
52%
63%58%
3% 5% 4%10%
4% 2%3% 4% 6%
0%10%20%30%40%50%60%70%
Año 2002 Año 2003 Año 2004
Sistemas internos
Internet
Accesos remotos víamodemVínculos Externos(proveedores y clientes)Otros
7
© 2005
Jornadas de Seguridad Informática
Hackers vs. Crackers
• Hacker:
• Una persona que disfruta explorando los detalles internos de
los sistemas informáticos y cómo extender sus capacidades más
allá de lo normal.
• Una persona que disfruta con entusiasmo la programación.
Detección de Intrusiones
• Cracker:
• Una persona que accede en forma no
autorizada a un Sistema Informático con
intenciones de provocar daño .
8
© 2005
Jornadas de Seguridad Informática
¨Potenciales¨ Intrusos
Detección de Intrusiones
• Espías Industriales.
• Usuarios del sistema.
• Empleados.
• Ex-empleados.
Los ataques pueden ser:
INTERNOS o EXTERNOS.
• Los ataques externos son más fáciles de
detectar y es más fácil protegerse contra ellos.
• El intruso interno posee una gran ventaja: ya
tiene acceso a la red e incluso al servidor que
quiere atacar...
• Crackers.
• Vándalos.
• Dos millones de adolescentes.
9
© 2005
Jornadas de Seguridad Informática
Sistema de Detección de Intrusiones (IDS)
Detección de Intrusiones
Un sistema de detección de intrusiones captura y analiza datos en
busca de “comportamientos” fuera de lo normal.
• Existen dos tipos de IDS:
• De host (HIDS): Captura datos del sistema.
• De red (NIDS): Captura datos del tráfico de red.
• Los IDS pueden analizar los datos de dos maneras:
• Patrones de “mal uso”: Compara los datos obtenidos con
“firmas” de ataques.
• Detección por anomalía: Compara los datos contra una “línea
base” de datos normales.
• Los IDS responden a los ataques de distintas maneras:
• Pasivo: Registra, y eventualmente reporta, el ataque.
• Reactivo: Reacciona ante el ataque intentando mitigarlo.
10
© 2005
Jornadas de Seguridad Informática
Sistema de Detección de Intrusiones (IDS): Gráfico de Red
Detección de Intrusiones
11
© 2005
Jornadas de Seguridad Informática
¿ Qué es un Virus ?
Virus
Es un programa que se auto-replica infectando a otros programas o
documentos y se ejecuta en el sistema informático sin el conocimiento
del usuario. Los virus no pueden existir por sí mismos, necesitan de
un archivo “portador”.
Los virus son distribuidos por el usuario, en la mayoría de los casos
sin su consentimiento, cuando se copia, envía por correo electrónico,
etc, archivos infectados.
12
© 2005
Jornadas de Seguridad InformáticaVirus
¿ Cómo se protege de ellos ?
El software de Antivirus busca en los archivos del sistema “firmas”
de virus (que identifican archivos infectados) y, de ser posible, los
remueven. La limitación de esta técnica es que sólo se puede detectar
virus para los que conoce su firma, motivo por el cual la base de
datos de firmas debe ser actualizada permanentemente.
13
© 2005
Jornadas de Seguridad Informática
¿ Qué es un Gusano ?
Gusanos
Es un programa que se auto-replica y se ejecuta en el sistema
informático sin el conocimiento del usuario. A diferencia de los virus,
los gusanos no necesitan de un archivo portador y se distribuyen a
través de la red utilizando vulnerabilidades de seguridad para
infectar a los sistemas informáticos.
14
© 2005
Jornadas de Seguridad InformáticaGusanos
¿ Cómo se protege de ellos ?
• Manteniendo los sistemas informáticos actualizados con los últimos
parches de seguridad aplicados.
• El software de Antivirus también detecta y remueve Gusanos.
15
© 2005
Jornadas de Seguridad Informática
¿ Qué es el Spyware ?
Spyware
Es un programa que se instala sin el conocimiento del usuario,
generalmente incluido dentro de aplicaciones gratuitas.
El objetivo del Spyware es comercial, en general:
• Envían información del usuario a su creador, por ejemplo:
• Sus hábitos de navegación por Internet.
• Información confidencial del usuario (documentos, números de
tarjetas de crédito, etc.).
• Le muestran publicidades al usuario.
16
© 2005
Jornadas de Seguridad InformáticaSpyware
¿ Cómo se protege de ellos ?
Software Antispyware, que funciona como un antivirus pero para
Spyware, como por ejemplo:
• Adaware (www.lavasoftusa.com/software/adaware)
• Spybot (http://www.safer-networking.org/en/index.html)
17
© 2005
Jornadas de Seguridad Informática
¿ Qué es el Phishing ?
Phishing
Es el acto de intentar adquirir, de forma fraudulenta, información
sensible, simulando ser por una entidad confiable con una necesidad
real de dicha información. Es una forma de ingeniería social.
18
© 2005
Jornadas de Seguridad InformáticaPhishing
¿ Cómo se lleva a cabo ?
El atacante le envía al usuario un correo electrónico, que parece ser
auténtico, que contiene un link a una página Web controlada por el
atacante. La página está construida para parecer auténtica y le
solicita al usuario que ingrese información confidencial justificando
este requerimiento con alguna excusa, por ejemplo:
• “Estamos actualizando los datos de los clientes”
• “Necesitamos confirmar sus datos debido a una actualización de la
aplicación de Home Banking”
• etc.
19
© 2005
Jornadas de Seguridad Informática
¿ Cómo se protege ?
Phishing
La única solución para este problema es la concientización de los
usuarios. Los usuarios NO deben confiar en correos electrónicos
recibidos que les soliciten información confidencial. Además, deben
constatar todo requerimiento por algún otro medio (llamada
telefónica, etc.).
Las organizaciones que manejan información confidencial de usuarios
NO deben utilizar el correo electrónico con objetivos típicos del
Phishing (actualización de información) y DEBEN informarle al
usuario que nunca lo harán. De esta forma el usuario será más
desconfiado ante un ataque de Phishing, no cayendo “presa” del
mismo.
20
© 2005
Jornadas de Seguridad Informática
¿Preguntas?¿Preguntas?
Gracias por Gracias por acompañarnos.acompañarnos.
www.cybsec.com
