Conceptos basicos seguridad
-
Upload
espinozafelix -
Category
Documents
-
view
636 -
download
0
Transcript of Conceptos basicos seguridad
Conceptos basicos de seguridad aplicada a redesde ordenadores
Departamento de Sistemas Telematicos y Computacion (GSyC)
http://gsyc.urjc.es
Marzo de 2011
GSyC - 2011 Conceptos basicos de seguridad 1
c©2011 GSyCAlgunos derechos reservados.
Este trabajo se distribuye bajo la licenciaCreative Commons Attribution Share-Alike 3.0
GSyC - 2011 Conceptos basicos de seguridad 2
Convenciones empleadas
En espanol, la conjuncion disyuntiva o tiene dos significadosopuestos
Diferencia, separacion, terminos contrapuestoscarne o pescado, blanco o negro
Equivalenciaalquiler o arrendamiento, arreglar o reparar
Para evitar esta ambiguedad, usaremos dos siglas muy comunes eningles
Para indicar oposicion, versus, abreviada como vsp.e. comprar vs alquilar
Para indicar equivalencia, also known as, abreviado akap.e. el rey aka el monarca
GSyC - 2011 Conceptos basicos de seguridad 3
Introduccion
Introduccion
Actualmente los ordenadores conectados a la red sonomnipresentes: usuarios particulares, todo tipo de empresas,comercios, bancos, hospitales, organismos gubernamentales...
Un ataque puede ser muy danino
Diversa motivacion de los atacantes
Diversion, reto personal
Vandalismo
Robo de informacion buscando beneficio o chantaje
Activismo polıtico
Crimen organizado, terrorismo
Espionaje
Etc
Los mayores riesgos provienen de empleados o ex-empleados
GSyC - 2011 Conceptos basicos de seguridad 4
Introduccion
El resultado de un ataque puede ser
Una perdida economica directa
Perdida de muchos otros activos,
p.e. la imagen de la vıctima en un website defacement
Simplemente echar un vistazo causa un dano serio y comprometeun sistema
Comprometer(2)Exponer o poner a riesgo a alguien o algo en una accion ocaso aventurado
GSyC - 2011 Conceptos basicos de seguridad 5
Hackers
Hackers
Hack en ingles ordinario, significa cortar en rodajas, cortar entajos, trocear, desbrozar...
A partir de los anos 60, en informatica, se le da el significadode truco: usar, configurar o programar un sistema para serusado de forma distinta a la esperada habitualmente
Hacker significa, entre otras cosas, una persona que se cuelaen un ordenador o red de ordenadores. Es una palabra que notiene una definicion universalmente aceptada
En el lenguaje, prensa y medios generalistas, hacker suele tenerconnotacciones negativasEn la comunidad especializada, para una persona que cometedelitos se emplea el termino cracker
GSyC - 2011 Conceptos basicos de seguridad 6
Hackers
hacker n.[originally, someone who makes furniture with an axe]
1 A person who enjoys exploring the details of programmable systems andhow to stretch their capabilities, as opposed to most users, who prefer tolearn only the minimum necessary
2 One who programs enthusiastically (even obsessively) or who enjoysprogramming rather than just theorizing about programming
3 A person capable of appreciating hack value
4 A person who is good at programming quickly
5 An expert at a particular program, or one who frequently does work usingit or on it; as in a Unix hacker
6 An expert or enthusiast of any kind. One might be an astronomy hacker,for example
7 One who enjoys the intellectual challenge of creatively overcoming orcircumventing limitations.
8 (deprecated) A malicious meddler who tries to discover sensitiveinformation by poking around. Hence password hacker, network hacker.The correct term for this sense is cracker
Eric S. Raymond, The jargon file v4.2.0
GSyC - 2011 Conceptos basicos de seguridad 7
Hackers
Clasificacion de los hackers
Segun su motivacion
White hat hacker. Motivacion legıtima, hacking etico. Pruebasu propio sistema o el de otro, por el que esta contratado, conautorizacion previa explıcita
Red team: AtacantesBlue team: Defensores
Grey hat hacker. Invade un sistema sin autorizacion delresponsable, notifica posteriormente que ha podido burlar laseguridad. Tal vez solicite una cantidad de dinero razonable
Black hat hacker. Cracker. Delincuente. Actividades devandalismo, fraude, robo de identidad, piraterıa...
GSyC - 2011 Conceptos basicos de seguridad 8
Hackers
Segun su nivel de conocimientos, en los extremos estan
Elite: Minorıa mas avanzada que es capaz de descubrirtecnicas nuevas
Neophyte, noob, newbie: principiante
Lamer: persona que alardea de habilidades de las que carece,con falta de capacidad y de conocimiento. A pesar de tenerexperiencia
Script kiddie: principiante que no sabe lo que hace, usaciegamente aplicaciones desarrolladas por otros sincomprenderlas ni saber adaptarse a un mınimo cambio
GSyC - 2011 Conceptos basicos de seguridad 9
Hackers
Otros terminos relativos a personas
BOFH: bastard Operator From Hell (infame administrador deldemonio). Personaje de los libros de S.Travaglia. Porextension, administrador de sistemas autoritario
Luser (loser+user). Usuario ordinario (despectivo)
Spammer: persona que envıa correo basura
Phreaker: usuario con conocimientos avanzados sobre lasredes de telefonıa, que puede llegar a hacer actividadesno autorizadas
GSyC - 2011 Conceptos basicos de seguridad 10
Hackers
Principio de Kerckhoffs
Principio de Kerckhoffs: Los algoritmos deben ser publicos; solo lasclaves deben ser son secretas
Rogues knew a good deal about lock-picking long before locksmithsdiscussed it among themselves. If a lock is not so inviolable as it hashitherto been deemed to be, surely it is to the interest of honestpersons to know this fact, and the spread of the knowledge isnecessary to give fair play to those who might suffer by ignorance
A.C.Hobbs, 1853
El sistema no debe depender del secreto y debe poder ser robadopor el enemigo sin causar problemas
A. Kerckhoffs, 1883
GSyC - 2011 Conceptos basicos de seguridad 11
Hackers
Dos principios contrapuestos
1 Security through obscurity(Seguridad mediante la oscuridad)
2 Security by designDisenar desde el principio cada elemento del sistema para serseguro
Confiar solamente en (1) es sin duda una mala idea. En general seprefiere solamente (2). Aunque en ocasiones se defiende (2)complementado con (1)
GSyC - 2011 Conceptos basicos de seguridad 12
Hackers
Una vez descubierta una vulnerabilidad, un hacker (sombrero gris oblanco) puede aplicar varias polıticas para revelarla
Full disclosure. (Divulgacion masiva)
Responsible disclosure (Revelacion responsable)
Security through obscurity (Seguridad mediante la oscuridad)
GSyC - 2011 Conceptos basicos de seguridad 13
Conceptos basicos
Seguridad de una red informatica
Es una definicion controvertida, una definicion operacional puedeser
Un sistema informatico (hardware, software, red) es seguro sisus usuarios pueden confiar en que se comportara de lamanera esperada
Si espero acceder a mis datos, pero no puedo, esto es un fallo deseguridad. Tanto si la causa es un intruso, un fallo en el software oun incendio
La seguridad nunca es algo absoluto. Con la suficiente(motivacion/tiempo/dinero/habilidad/suerte) un atacantesiempre podra comprometer un sistema
GSyC - 2011 Conceptos basicos de seguridad 14
Conceptos basicos
Para ISO-7498/OSI
Seguridad informatica: mecanismos que minimizan lavulnerabilidad de bienes y recursos
Bien: algo de valor
Vulnerabilidad: debilidad que se puede explotar para violar unsistema o la informacion que contiene.
GSyC - 2011 Conceptos basicos de seguridad 15
Conceptos basicos
Seguridad:Soluciones tecnicas
Nivel fısico: Proteger el cable de escuchas¿y si no hay cable?
Nivel de enlace: Cifrar al enviar y descifrar al recibir
Nivel de red: IPsec, cifrado en IPv6. Cortafuegos
Nivel de transporte: Cifrado de conexiones. SSL
Pero no solo hay fallos de seguridad tecnicos, sino humanos,relativos a ingenierıa social
GSyC - 2011 Conceptos basicos de seguridad 16
Conceptos basicos
Tipos de seguridad
Confidencialidad/secretoSolo las personas autorizadas tienen acceso a leer (y por tantocopiar) la informacion
Integridad de los datosSolo las personas autorizadas pueden modificar datos oprogramas. En disco, backup, papel...
DisponibilidadLos servicios deben estar disponibles de la forma prevista
¿Es posible la integridad sin confidencialidad?¿Es posible la confidencialidad sin integridad?
GSyC - 2011 Conceptos basicos de seguridad 17
Conceptos basicos
ConsistenciaEl sistema debe comportarse correctamente, de la formaesperada
Control/auditorıaPosibilidad de saber quien ha accedido a que recurso, cuandoy como
GSyC - 2011 Conceptos basicos de seguridad 18
Conceptos basicos
Control de accesoBasado en identidad vs basado en capabilities 1
No repudioMecanismo que impide que las entidades que participan enuna comunicacion nieguen haberlo hecho
No repudio con prueba de origenNo repudio con prueba de destino
1El vocabulario y algunos matices no son universales, pero las ideasfundamentales sı
GSyC - 2011 Conceptos basicos de seguridad 19
Conceptos basicos
Control de acceso basado en identidad
IdentificacionLa entidad indica su identidad
Autenticacion aka acreditacionEl sistema comprueba que la identidad puede ser consideradacierta
AutorizacionEl sistema consulta en un ACL, access control list que puedehacer esa entidad con ese objeto
¿Es posible un sistema con autenticacion pero sin mecanismo deautorizacion?¿Es posible la autorizacion (basada en identidad) sin unmecanismo de autenticacion?
GSyC - 2011 Conceptos basicos de seguridad 20
Conceptos basicos
Autenticacion
Tres categorıas, combinables
Sistemas basados en algo que se conoce
Sistemas basados en algo que se posee
Sistemas basados en caracterıstica o acto del usuario
GSyC - 2011 Conceptos basicos de seguridad 21
Conceptos basicos
Para ser viable, un sistema de autenticacion debe
Ser fiable, con probabilidad muy elevadaNunca puede haber certeza absoluta sobre la identidad. Seestablecen unas pruebas y se considera que, de superarse, sepuede proceder
Baja tasa de falsos positivosBaja tasa de falsos negativos
Economicamente factible
Resistente a ciertos ataques
Aceptable por el usuario
GSyC - 2011 Conceptos basicos de seguridad 22
Conceptos basicos
Control de acceso basado en capabilities
capability: capacidad, competenciaEl enfoque tradicional basado en identidad presenta algunasdebilidades, especialmente en entornos con varios dominios (variasentidades autenticadoras)
Es necesaria una relacion de confianza entre los dominios, obien autenticarse en cada dominio
Es necesario propagar entre los dominios los cambios en losusuarios y en sus permisos asignados
Complica la delegacion (si la delegacion es un requisito)
Complica la revocacion
El control de acceso basado en capabilities puede resolver estosproblemas
GSyC - 2011 Conceptos basicos de seguridad 23
Conceptos basicos
Control de acceso basado en capabilities
Enfoque basado en tokens de autoridad, autorizan a acceder acierto recurso con ciertos derechos, sin atender a la identidad
Se puede anadir identificacion y autenticacion para facilitar laauditorıa, pero la identidad no es la base del control de acceso
token: ficha, vale, llave
GSyC - 2011 Conceptos basicos de seguridad 24
Conceptos basicos
Control de acceso
Basado en identidad Basado en capabilities
GSyC - 2011 Conceptos basicos de seguridad 25
Conceptos basicos
Tipos de ataque
Ataques pasivosEscuchar o monitorizar transmisiones, analizar trafico
Ataques activos
EnmascaramientoRetransmision
¿Que tiene de malo retransmitir?
ModificacionDenegacion de servicio, denial-of-service attack, DoS attack
GSyC - 2011 Conceptos basicos de seguridad 26
Conceptos basicos
Sistema de reto-respuesta
Metodos basados en el intercambio de mensajesUn reto es un nounce, un valor que solamente se usa una vez paraun proposito
A ---E(R)---> B
A <----R---- B
Si A envıa un reto cifrado a B y B es capaz de devolverlo enclaro (o con otro cifrado), B demuestra a A que conoce elsecreto
Pero B no revela el secreto
GSyC - 2011 Conceptos basicos de seguridad 27
Criptografıa
Principios criptograficos
Criptologıa = criptografıa (inventar codigos) + criptoanalisis(atacarlos)
La garantıa de la integridad esta basada en algun mecanismocon redundancia, que evite que una modificacion de losmismos resulte en otro mensaje valido.
Es habitual la inclusion de marcas de tiempo (hora logica vshora fısica) como defensa ante los ataques por retransmision
GSyC - 2011 Conceptos basicos de seguridad 28
Criptografıa Criptografıa de Clave Secreta
Criptografıa de Clave Secreta
La misma clave que cifra, descifra
Muchos algoritmos: DES (obsoleto), triple DES, AES (oRijndael). Oficial gobierno EEUU desde 2001), twofish, etc etc
Problemas
Haces falta muchas claves: una por cada pareja de posiblescomunicantes¿Como transmitir las claves de forma segura?
GSyC - 2011 Conceptos basicos de seguridad 29
Criptografıa Autenticacion con clave secreta: Kerberos
Autenticacion con clave secreta: Kerberos
Kerberos: protocolo de autenticacion, sobre red no segura
Publicado por el MIT en 1993,RFC 1510, ano 1993RFC 4120, ano 2005
El MIT tambien ofrece implementaciones con licencia tipoBSD.
Muy ampliamente usado: Windows, Unix, Linux, MacOS,OpenVMS...
Criptografıa simetrica, basado en DES, 3DES, RC4
Cliente/servidor, ambos autenticados
Depende de un tercero en el que cliente y servidor confıan
GSyC - 2011 Conceptos basicos de seguridad 30
Criptografıa Autenticacion con clave secreta: Kerberos
Kerberos usa el protocolo de autenticacion Needham-Schroeder
Alice y Bob confıan en un servidor, con el que comparten unaclave privada
Alice se autentica con el Servidor empleando una clave privada
El servidor le da a Alice un ticket cifrado con la clave privadade B, con una con clave de sesion y marca de hora,
Alice envıa a Bob el ticket
Alice y Bob intercambian mensajes con la clave de sesion
GSyC - 2011 Conceptos basicos de seguridad 31
Criptografıa Autenticacion con clave secreta: Kerberos
Inconvenientes de Kerberos
El servidor es un punto unico de fallo: necesita estarcontinuamente disponible
Requiere una sincronizacion estricta de los relojes para evitarataques por repeticion
GSyC - 2011 Conceptos basicos de seguridad 32
Criptografıa Criptografıa de clave publica
Criptografıa de clave publica
Aparece con el algoritmo Diffie-Hellman, ano 1976
Clave de cifrado o publica E y de descifrado o privada Ddistintas (asimetricas)
D(E (P)) = P
Muy dificil romper el sistema (p.e. obtener D) teniendo E .
Permite intercambiar claves por canal no seguro
La clave privada sirve para descifrar. Debe mantenerse ensecreto
La clave publica sirve para cifrar. Puede conocerla todo elmundo (lo importante es que se conozca la clave correcta)
GSyC - 2011 Conceptos basicos de seguridad 33
Criptografıa Criptografıa de clave publica
Conociendo la clave publica de alguien, podemos cifrar unmensaje que solo el, con su clave privada, podra descifrar
Los algoritmos de clave publica son mucho mas lentos que losde clave secreta (100 a 1000 veces). Por eso se suelen usarsolo para el intercambio de claves simetricas de sesion
GSyC - 2011 Conceptos basicos de seguridad 34
Criptografıa Criptografıa de clave publica
RSA
De Rivest, Shamir y Adleman, ano 1978
Algorimo de clave publica, muy extendido
Ademas de cifrar, sirve para firmar
GSyC - 2011 Conceptos basicos de seguridad 35
Criptografıa Criptografıa de clave publica
Autenticacion con clave publica
1,2: A obtiene la clave publica de B
3: A envıa su remite y un reto cifrados
con la clave de B
4,5: B obtiene la clave publica de A
6: B cifra, con la clave de A: el reto
de A, un reto nuevo y una clave
simetrica
7: A envıa el reto de B con la clave
simetrica, que se empleara en la
sesion
GSyC - 2011 Conceptos basicos de seguridad 36
Criptografıa Funcion hash
Funcion hash
Tecnica basica para garantizar integridad de un mensaje
hash:
a mess, jumble, or muddled.
to chop into small pieces; make into hash; mince.
to muddle or mess up.
Funcion que, a partir de un bloque arbitrario de datos(message), genera de forma determinista un valor hash, akamessage digest, aka digest.Este valor hash identifica de forma practicamente unıvoca almensaje, de forma que un cambio en el mensaje, aunque seapequeno, provoque un cambio en el valor hashEs posible que dos mensajes distintos generen el mismo valorhash, aunque muy difıcil
koji@mazinger:~$ md5sum ubuntu-10.10-desktop-i386.iso
59d15a16ce90c8ee97fa7c211b7673a8 ubuntu-10.10-desktop-i386.iso
GSyC - 2011 Conceptos basicos de seguridad 37
Criptografıa Funcion hash
Funcion hash ideal:
Facil de generar
Muy difıcil generar el mensaje a partir del hash
Muy difıcil modificar el mensaje manteniendo el hash
Muy difıcil encontrar dos mensajes con el mismo hash
Ejemplos de funciones hash: MD5, SHA-1
GSyC - 2011 Conceptos basicos de seguridad 38
Criptografıa Firmas digitales
Firmas digitales
Algoritmos como RSA tienen la propiedad de que tambienpuede usarse la clave privada para cifrar y la publica paradescifrar E (D(P)) = P
A partir de un mensaje, se genera un digest
El codigo se encripta con la clave privada y se transmite juntocon el mensaje
El receptor
Descifra el mensaje con la clave publica del emisorGenera de nuevo el codigo hashSi el codigo hash de la firma y del mensaje coinciden, elmensaje solo puedo enviarlo el origen
GSyC - 2011 Conceptos basicos de seguridad 39
Criptografıa Firmas digitales
Firma digital
Ademas de la firma manuscrita tradicional, en Espana (ley59/2003) y muchos otros paises puede emplearse una firma digital,con el mismo valor legalPermite enviar un mensaje firmado, esto es, con autenticacion,integridad y no repudioRequisitos
Generacion facil
No rechazable
Unica: solo su propietario puede generarlo
Facilmente verificable por propietario y receptores
Depender del mensaje y del autor
Inclusion de sello de tiempo
Revocacion del certificado por el firmante
¿Mas o menos seguro que la firma tradicional?
GSyC - 2011 Conceptos basicos de seguridad 40
Criptografıa Firmas digitales
A B
--- Mensaje, Privada_A(Digest)--->
Publica_A(Privada_A(Digest)) = Digest_recibido
Hash (Mensaje) = Digest_recalculado
Si Digest_recibido=Digest_recalculado, entonces el mensajelo ha enviado A
GSyC - 2011 Conceptos basicos de seguridad 41
Criptografıa Herramientas de cifrado
Herramientas de cifrado
Los algoritmos de cifrado tal y como los definen losmatematicos no suelen ser practicos para el administrador ousuario final
A partir de los algoritmos (normalmente unos pocos) sedesarrollan diversas implementaciones, librerıas, aplicaciones,protocolos
GSyC - 2011 Conceptos basicos de seguridad 42
Criptografıa Herramientas de cifrado
PGP
PGP: Pretty Good Privacy
Philip Zimmermann, ano 1991
Implementacion de RSA muy popular
Claves de al menos 128 bits
Base de estandar OpenPGP RFC 1991 (ano 1996), RFC 5581(Ano 2009)
En la actualidad es mas habitual emplear GPG (GNU PrivacyGuard), implementacion de OpenPGP alternativa a PGP
Diversos front-ends: Gpg4win para Windows, Seahorse paraGNOME, KGPG para KDE, Mac GPG para Mac OS, Enigformpara Firefox...
Habitualmente se usa para encriptar y firmar ficheros, correos,etc
GSyC - 2011 Conceptos basicos de seguridad 43
Criptografıa Herramientas de cifrado
Cifrado de particiones
En ocasiones resulta mas conveniente cifrar particiones completasdel disco duro
eCryptfsSistema de ficheros cifrado, compatible con la norma POSIX.Habitual en Linux
Encrypting File SystemNativo en Microsoft Windows
FileVaultNativo en Mac OS
TrueCryptDisponible para Windows, Linux, Mac OS. Uso sencillo,potente, muy popular. Codigo fuente disponible con licenciagratuita no libre
Basados en AES, Triple DES o similares
GSyC - 2011 Conceptos basicos de seguridad 44
Criptografıa DRM
DRM
Buena parte del trafico en internet corresponde a las redes p2p y alas descargas directasA su vez, una buena parte de este (pero no todo) se correspondecon contenidos protegidos por CopyrightDRM: Digital rights management
Sistema de control de acceso a contenidos digitales (musica,vıdeo, juegos y libros) para evitar que sean utilizado en formasno permitidas por el distribuidor
Desde el siglo XVIII se reconoce a los autores los derechossobre su creacion intelectual. El DRM busca la proteccion deestos derechos
Basado en criptografıa
GSyC - 2011 Conceptos basicos de seguridad 45
Criptografıa DRM
La industria de contenidos dice:
La copia es un delito
El DRM beneficia al usuario, ya que si el autor no recibecompensacion, no habra creacion
Miguel de Cervantes dice:
No hagas muchas pragmaticas; y si las hicieres, procura que sean buenas, y,sobre todo, que se guarden y cumplan; que las pragmaticas que no se guardan,lo mismo es que si no lo fuesen; antes dan a entender que el prıncipe que tuvodiscrecion y autoridad para hacerlas, no tuvo valor para hacer que se guardasen;y las leyes que atemorizan y no se ejecutan, vienen a ser como la viga, rey de lasranas: que al principio las espanto, y con el tiempo la menospreciaron y sesubieron sobre ella.
GSyC - 2011 Conceptos basicos de seguridad 46
Criptografıa DRM
Limitaciones del DRM
Criptografıa relativamente vulnerable, puesto que el atacantetıpicamente tambien es usuario legıtimo, y tiene acceso a undispositivo con todas las claves. Aunque estas claves tengancierta proteccion
Frecuentemente implementado en hardware no actualizable
El usuario final con equipos domesticos no podra copiar elcontenido, pero equipos capaces de trabajar a bajo nivelprobablemente sı podran
Cualquier material (excepto el interactivo) es vulnerable alagujero analogico
GSyC - 2011 Conceptos basicos de seguridad 47
Criptografıa DRM
Inconvenientes para el usuario legıtimo
Es frecuente que el DRM
Resulte incomodo
Impida usos legales de los contenidos
Conlleve perdida del acceso, por obsolescencia
GSyC - 2011 Conceptos basicos de seguridad 48
Malware Caracterısticas del malware
Malware
Malware: Malicious software
Software malitencionado, hostil, intrusivo, molesto. Noconfundir con software defectuoso
Atendiendo principalmente a su forma de propagacion, sehabla de: virus, gusanos, troyanos, spyware, adware deshonesto
En el lenguaje no especializado se suele usar la palabra viruspara nombrar genericamente a todo el malware
Independientemente de su forma de propagacion, el softwaremalicioso puede realizar diferente actividad danina.Esta actividad la realiza una parte de cada aplicacionmaliciosa, la carga (payload)
GSyC - 2011 Conceptos basicos de seguridad 49
Malware Caracterısticas del malware
Virus, gusanos y troyanos pueden llevar practicamentecualquier carga
El spyware suele llevar una carga que realiza acciones similares
El adware suele llevar una carga que realiza acciones similares
Entre la carga mas habitual del malware:
Puertas traseras, rootkits, inclusion en Botnets, keyloggers yfraudulent dialers
Otras actividades delictivas realizadas en redes de ordenadores,realizadas fundamentalmente mediante ingenierıa social:
Spamming y phising
GSyC - 2011 Conceptos basicos de seguridad 50
Malware Caracterısticas del malware
Motivacion
Las aplicaciones maliciosas se desarrollan por diferente motivacion
Diversion, prueba de una idea, vandalismo, sabotaje, beneficioeconomico, extorsion, o incluso, antiguamente, serbienintencionados
Se conocen casos de malware probablemente escrito pordesarrolladores de antivirus y por desarrolladores deaplicaciones comerciales (para desincentivar el uso deaplicaciones obtenidas ilegalmente)
GSyC - 2011 Conceptos basicos de seguridad 51
Malware Caracterısticas del malware
El malware puede tener objetivos
Muy especıficos.P.e. Sabotaje de gaseoducto en Siberia en 1982Virus Stuxnet en 2010
Muy ampliosP.e. Botnet BredoLab, ano 2010
GSyC - 2011 Conceptos basicos de seguridad 52
Malware Tipos de malware
Virus informatico
Programa malicioso que es capaz de copiarse a sı mismo en otrofichero.
Para transmitirse a otro ordenador, es necesario que el usuariocopie el fichero, mediante la red o mediante un dispositivo dealmacenamiento
Como todo el malware, puede llevar diversa carga
Virus no residente
Virus residente
GSyC - 2011 Conceptos basicos de seguridad 53
Malware Tipos de malware
Un virus puede infectar
Binarios
Scripts o similares (p.e. autorun.inf)
Sectores de arranque de discos, disquetes, pendrives...
Documentos con macros: procesadores de texto, hojas decalculo
Ficheros de configuracion de paginas web, escrito por clientesweb
Cualquier otro fichero, aprovechando vulnerabilidades dedesbordamiento de bufer o condiciones de carrera
GSyC - 2011 Conceptos basicos de seguridad 54
Malware Tipos de malware
Gusano
Gusano informatico, iWormPrograma malicioso capaz de replicarse a traves de la red, usandoesta activamente
No necesita la intervencion del usuario para su replicacion
No necesita vincularse a ningun programa o fichero.
Suele detectarse por un aumento de consumo de recursos
GSyC - 2011 Conceptos basicos de seguridad 55
Malware Tipos de malware
Troyano
Malware incluido en un programa, que realiza alguna tarealegıtima, pero adicionalmente incluye una carga maliciosa.
No se propaga por sı mismo
Puede llevar practicamente cualquier carga, tal vez lo masfrecuente en la actualidad es la instalacion de una puertatrasera para que la vıctima forme parte de una botnet
El usuario puede obtenerlos de redes p2p, sitios web pocofiables, por correo, mensajerıa instantanea,etc
GSyC - 2011 Conceptos basicos de seguridad 56
Malware Tipos de malware
Spyware
Tipo de malware que no se propaga por sı mismo y vieneincluido en una aplicacion util para el usuario (parecido enesto a un troyano)
La carga siempre es similar: captura informacion del usuario(paginas web visitadas, aplicaciones empleadas, correos decontactos) y la transmite a un servidor.
Hecho por empresa no oculta. Supuestamente notifica alusuario de su actividad, en los EULA (End user licenseagreement), de legalidad variable.Herramienta de marketing: si no eres el cliente, eres elproducto
GSyC - 2011 Conceptos basicos de seguridad 57
Malware Tipos de malware
En ocasiones se usa la palabra spyware para nombrar una cosadistinta:
Carga abiertamente delectiva incluida en un virus, gusano otroyano, que roba informacion muy sensible del usuario:numeros de tarjeta de credito, contrasenas, cuentas bancarias,etc
GSyC - 2011 Conceptos basicos de seguridad 58
Malware Tipos de malware
Adware deshonesto
El adware (advertising-supported software), en sı mismo, esperfectamente legıtimo
Pero puede llegar a ser malware, p.e. secuestrando elnavegador (browser hijacking): alterando pagina de inicio,marcadores, mostrando ventanas emergentes, etc
Beneficio economico directo para el atacanteNormalmente prohibido por los terminos del anunciante oplataforma de publicidad (Google AdWords, Yahoo! SearchMarketing, etc)
GSyC - 2011 Conceptos basicos de seguridad 59
Malware Carga del malware
Carga
La carga del software malicioso puede realizar diferentesactividades perniciosas
Destruir ficheros, corromper el sistema de ficheros
Vandalizar paginas web (defacement)
Convertir el ordenador en un zombi, desde el que
Realizar otros ataques (ocultando la identidad del atacante)Enviar spamRealizar DOS o DDOS [distributed] denial of service attack
En ocasiones el DDoS no proviene de un ataque intencionado:efecto slashdot, VIPDoS, similitud con direccion popular (p.e.utube.com), clientes NTP mal configurados (D-Link, Netgear)En ocasiones el DDOS se realiza con el consentimento delpropietario del equipo (como el ataque a Visa y Paypal en2010 en represalia a su polıtica contra WikiLeaks)
GSyC - 2011 Conceptos basicos de seguridad 60
Malware Carga del malware
Backdoor
Metodo para evitar los procedimientos de autenticacionordinarios
Puede instalarse en una aplicacion, en hardware, en uncompilador...
Casi imposible en software libre
En ocasiones lo instala el creador del sistema como un huevode pascua, pero luego es explotado por un atacante
Simetrico: cualquiera puede explotarloAsimetrico: solo el creador del backdoor puede utilizarlo
GSyC - 2011 Conceptos basicos de seguridad 61
Malware Carga del malware
Rootkit
Originalmente, conjunto de herramientas para que unatacante humano consiguiera y mantuviera privilegios de rooten una maquina Unix
Tecnicas clasicas: basadas en SUID, vulnerabilidad del PATH oincluso alias
Actualmente se le da un significado mas amplio: software quepermite el acceso privilegiado al sistema, ocultandoseactivamente
P.e. modificando el comportamiento de ls y p (o susequivalentes)Incluso puede luchar activamente contra la eliminacionUn rootkit inactivo equivale a un virus, gusano o troyano
Primeros rootkit: Un atacante consigue privilegios de root enun sistema, instala un rootkit que deja una puerta trasera, yademas la oculta
GSyC - 2011 Conceptos basicos de seguridad 62
Malware Carga del malware
Caso peculiar y muy famoso: Escandalo del rootkit XCP de SonyBMG (ano 2005)En ocasiones es el propio usuario quien instala un rootkit para:
Evitar protecciones anti-copia
Evitar el control de licencias de software
Evitar ser detectados haciendo trampa en juegos online
Mecanismos anti-robo
GSyC - 2011 Conceptos basicos de seguridad 63
Malware Carga del malware
Botnet
Red de ordenadores zombi. Conjunto de equipos que, sinautorizacion de su propietario, realizan actividades maliciosas
Controlados por un bot herder aka bot master
La forma tıpica de dar las ordenes es mediante un bot de irc
Es frecuente que el bot master alquile su red a terceros
GSyC - 2011 Conceptos basicos de seguridad 64
Malware Carga del malware
Keyloggers
Mecanismo por el que se capturan las pulsaciones sobre el tecladoPueden colocarse
En el SO: nucleo, drivers de teclado
Formularios web
Captura de telnet o similar
Firmware
Dispositivos fısicos en el teclado
GSyC - 2011 Conceptos basicos de seguridad 65
Malware Carga del malware
Tambien pueden funcionar mediante
Captura optica
Criptoanalisis acustico
Captura de radiacion electromagnetica (de un tecladocableado)
Pueden incluir funcionalidad adicional
Captura de pantalla
Captura de webcam o microfono
GSyC - 2011 Conceptos basicos de seguridad 66
Malware Carga del malware
Fraudulent dialer
Sin el consentimiento del usuario, hace una llamada telefonica
A numeros de pago
Para formar botnet o similar
En ocasiones, pueden tener el consentimiento del usuario, a quienengananEn desuso cuando aparece la banda ancha
GSyC - 2011 Conceptos basicos de seguridad 67
Malware Medidas contra el malware
Medidas contra el malware
Mantener las actualizaciones de seguridad al dıa
Esto no sirve para los zero-day attacks
Formacion de los usuarios
No ejecucion de programas de fuente dudosa
Precaucion con pendrives y similares, especialmente en elarranque
Uso de cortafuegos
Uso de software antivirus (actualizado)
Uso de IDS (Instrusion Detection System)
Las plataformas de uso mayoritario suelen presentar mayor riesgo
GSyC - 2011 Conceptos basicos de seguridad 68
Malware Medidas contra el malware
Honeypots
Un honeypot (senuelo) es un ordenador conectado a la red comotrampa para estudiar el comportamiento de los atacantes
Honeypot para produccion, en el interior de un sistema real
Honeypot de investigacion, para conocer nuevas tecnicas
GSyC - 2011 Conceptos basicos de seguridad 69
Ataques basados en ingenierıa social
Ataques basados en ingenierıa social
Algunos ataques se basan no tanto en hardware y software (quetambien) sino en ingenierıa social: enganar a una persona
Obviamente, la formacion del usuario es especialmenteimportante
Algunos de ellos son simples timos con siglos de historia,adaptados a internet
Veremos spam y phising
GSyC - 2011 Conceptos basicos de seguridad 70
Ataques basados en ingenierıa social Spam
Spam
Envıo indiscriminado de mensajes no solicitados
No solo en correo electronico: tambien en mensajerıainstantanea, grupos de news, blogs, wikis, sms, telefonıa IP,fax
Originalmente, SPAM es una marca de carne de cerdo en lata.Toma el significado actual a partir de un sketch de los MontyPython
Es legal en ciertos casos, dependiendo de las legislaciones
GSyC - 2011 Conceptos basicos de seguridad 71
Ataques basados en ingenierıa social Spam
El spam puede anunciar productos o servicios reales (seanlegales o ilegales), aunque en su gran mayoria se trata deestafas, cartas nigerianas, phising, etc
Se estima que el volumen de spam en el correo actualmente essuperior al 90 %, 95 % o incluso 97 %
Los spammers obtienen las direcciones procesandomasivamente paginas web (propias o ajenas), cadenas decorreo, directorios, fuerza bruta o mediante ingenierıa social
Los mensajes suelen ofuscar su contenido, para dificultar sudeteccion por parte de los filtros
GSyC - 2011 Conceptos basicos de seguridad 72
Ataques basados en ingenierıa social Spam
Cadenas de correo
Reenvıa esto a 20 amigos o tendras 20 anos de mala suerteAnonimos e intemporales, para que durenTambien pueden estar aparentemente bienintencionados (aviso devirus, actividad criminal)
Puede ser mas o menos danino, pero es un tipo de spam.Debemos formar a nuestros usuarios para que no las sigan.Nunca. No es posible determinar su autenticidad
Se emplean para conseguir direcciones de correo
Frecuentemente incluyen bulos (hoax)Pueden incluir falsos avisos de virus
jdbgmgr.exe, virus del osito
No es cierto que Coca Cola dara un centimo a los ninospobres de Uganda por cada correo reenviado
Ademas ¿como podrıa saberlo?
En las contadas ocasiones en que el hecho es cierto, lasituacion puede haber cambiado, pero la cadena sigue
GSyC - 2011 Conceptos basicos de seguridad 73
Ataques basados en ingenierıa social Spam
Legislacion espanola sobre Spam
Ley 34/2002, de 11 de Julio de Servicios de la Sociedad deInformacion y Comercio Electronico, art 21
1 Queda prohibido el envıo de comunicaciones publicitarias o promocionales porcorreo electronico u otro medio de comunicacion electronica equivalente quepreviamente no hubieran sido solicitadas o expresamente autorizadas por losdestinatarios de las mismas.
2 Lo dispuesto en el apartado anterior no sera de aplicacion cuando exista unarelacion contractual previa, siempre que el prestador hubiera obtenido de formalıcita los datos de contacto del destinatario y los empleara para el envıo decomunicaciones comerciales referentes a productos o servicios de su propiaempresa que sean similares a los que inicialmente fueron objeto de contratacioncon el cliente.
En todo caso, el prestador debera ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
La ley estadounidense (CAN-SPAM Act, 2003) es mas laxa
GSyC - 2011 Conceptos basicos de seguridad 74
Ataques basados en ingenierıa social Spam
CAPTCHA
CAPTCHA: Completely Automated Public Turing test to tellComputers and Humans ApartEn la actualidad, cualquier blog, wiki, formulario etc donde seasencillo escribir se llenara rapidamente de Spam, a menos que seproteja con algo como un CAPTCHATexto o audio deformado de forma que solo puede ser reconocidopor una persona, no por un programa
Problematico para personas con deficiencia visual
El CAPTCHA es vulnerable a
Mejoras en los OCR
Defectos en la implementacion que permitan puentearlo
Su resolucion por verdaderos humanos
Pagados, en paises de muy baja rentaEnganados
GSyC - 2011 Conceptos basicos de seguridad 75
Ataques basados en ingenierıa social Spam
Tecnicas anti-spam
Son preferibles los falsos negativos antes que los falsospositivos
El usuario debe evitar publicar su correo de forma capturablepor los spammers
Usando imagenesAlterando el correo de forma legible por un humano.es [email protected]
Mejor aun:juan.perez [arroba] empresa [punto] com
juan.perez [at] empresa [dot] com
El usuario nunca debe responder al spam, ni para solicitar labaja
GSyC - 2011 Conceptos basicos de seguridad 76
Ataques basados en ingenierıa social Spam
Filtro reto-respuesta (challenge-response spam filtering)Tecnica anti-spam que solicita al origen de correo dudoso unaconfirmacion (reenvıo, respuesta a pregunta, CAPTCHA)Muy controvertida:
Si el origen del spam es falso, se molesta a un usuario legıtimoPuede verse como mala educacion con el emisorMuy problematico con emisores no humanos, legıtimos
GSyC - 2011 Conceptos basicos de seguridad 77
Ataques basados en ingenierıa social Spam
DNSBL (DNS-based Blackhole)Lista negra de posibles spammersMuy problematico
La direccion IP incluida puede ser dinamicaLa direccion IP incluida puede ser la de un administrador algodescuidado, vıctima de un Open Relay
Listas grisesLos correos dudosos se retrasan unas horasTecnica bastante eficaz
Filtros bayesianosAnalisis estadistico del contenido, basado en aprendizaje apartir de ejemplosTecnica bastante eficaz
GSyC - 2011 Conceptos basicos de seguridad 78
Ataques basados en ingenierıa social Spam
Tecnicas Anti-Spam propuestas para el futuro
Autenticacion del emisor
Sistemas basados en coste
GSyC - 2011 Conceptos basicos de seguridad 79
Ataques basados en ingenierıa social Phising
Phising
Actividad delictiva consistente en capturar informacionespecialmente sensible como nombres de usuario, contrasenas ynumeros de tarjeta de credito
Basado fundamentalmente en ingenierıa social (e-mail omensajerıa instantanea)
Suplantacion de paginas web de proveedores de correo,entidades financieras etc
Frecuentemente basado en la manipulacion de enlaces html
GSyC - 2011 Conceptos basicos de seguridad 80
Ataques basados en ingenierıa social Phising
Cartas nigerianas
El timador
Solicita ayuda para supuestamente sacar fondos del pais
Solicita ayuda para pagar una fianza (spanish prisioner, letterfrom Jerusalem. s. XVIII)
Comunica un supuesto premio de loteria o herencia
Compra un artıculo subastado y falsifica su pago
Finje una relacion amorosa (romance scam)
Se hace pasar por una ONG y pide donativos para algunacausa
Ofrece mercancıa, alquiler o empleo
Tal vez por ebay
En ocasiones la vıctima acaba secuestrada o asesinadaScamb baiting: anzuelos para timadores
GSyC - 2011 Conceptos basicos de seguridad 81
Ataques basados en ingenierıa social Phising
El timador ofrece enviar un dinero que la vıctima debe reenviar,guardando una comision
El dinero puede ser real (para borrar el rastro de otrasactividades, o emplear cuantas bancarias respetables)
O puede ser dinero proveniente de cheque sin fondos o similar:figura en la cuenta, pero luego no se consolida
GSyC - 2011 Conceptos basicos de seguridad 82
Algunas tecnicas de ataque
Algunas tecnicas empleadas en los ataques
Los ataques descritos en todo este tema pueden emplear infinidadde tecnicas distintasA tıtulo ilustrativo veremos algunos ejemplos:
Manipulacion de enlaces, ataques basados en SUID, ataquespor variables inseguras como PATH, IP spoofing, ARPspoofing, DNS spoofing, mail spoofing, file-sharing networkspoofing y desbordamiento de buffer
GSyC - 2011 Conceptos basicos de seguridad 83
Algunas tecnicas de ataque Manipulacion de enlaces
Manipulacion de enlaces
Un enlace en HTML esta compuesto de:
URL: Uniform resource locatorPagina que abrira el navegador cuando el usuario haga clicp.e: http://www.urjc.es
Texto del enlacep.e. Pagina web de la URJC
El uso tıpico es este:
<a href="http://www.urjc.es">Pagina web de la URJC</a>
Pero un atacante podrıa usarlo ası
<a href="http://www.soymuymalo.com">http://www.urjc.es</a>
Cualquier navegador moderno advertira al usuario de que esteenlace es peligroso, pero hay tecnicas similares, mas avanzadas
GSyC - 2011 Conceptos basicos de seguridad 84
Algunas tecnicas de ataque Manipulacion de enlaces
Otro engano
<a href="http://www.urjc.es.jx4237.tk">Pagina de la URJC</a>
GSyC - 2011 Conceptos basicos de seguridad 85
Algunas tecnicas de ataque Ataques basados en SUID
Ataques basados en SUID
Una manera tradicional de instalar un rootkit en Unix esta basadaen la activacion del SUIDSea un fichero perteneciente a un usuario
-rwxr-xr-x 1 koji koji 50 2009-03-24 12:06 holamundo
Si lo ejecuta un usuario distinto
invitado@mazinger:~$ ./holamundo
El proceso pertenece al usuario que lo ejecuta, no al dueno delfichero
koji@mazinger:~$ ps -ef |grep holamundo
invitado 2307 2260 22 12:16 pts/0 00:00:00 holamundo
koji 2309 2291 0 12:16 pts/1 00:00:00 grep holamundo
Este comportamiento es el normal y es lo deseable habitualmenteGSyC - 2011 Conceptos basicos de seguridad 86
Algunas tecnicas de ataque Ataques basados en SUID
Pero en ocasiones deseamos que el proceso se ejecute con lospermisos del dueno del ejecutable, no del usuario que lo invoca
Esto se consigue activando el bit SUID (set user id)chmod u+s fichero
chmod u-s fichero
En un listado detallado aparece una s en lugar de la x deldueno (o una S si no habıa x)
El bit SUID permite que ciertos usuarios modifiquen unfichero, pero no de cualquier manera sino a traves de ciertoejecutable
-rwsr-xr-x 1 root root 29104 2008-12-08 10:14 /usr/bin/passwd
-rw-r--r-- 1 root root 1495 2009-03-23 19:56 /etc/passwd
GSyC - 2011 Conceptos basicos de seguridad 87
Algunas tecnicas de ataque Ataques basados en SUID
El bit SUID tambien puede ser un problema de seguridad. Unashell con el SUID activo, es un rootkit
En el caso de los scripts, lo que se ejecuta no es el fichero conel script, sino el interpreteUn interprete con bit SUID es muy peligroso, normalmente laactivacion del SUID en un script no tiene efecto
Para buscar ficheros con SUID activo:find / -perm +4000
El bit SGID es analogo, cambia el GIDchmod g+s fichero
GSyC - 2011 Conceptos basicos de seguridad 88
Algunas tecnicas de ataque Ataques por PATH inseguro
Ataques por PATH inseguro
Un usuario principiante ejecuta
koji@mazinger:~/pruebas$ ls -l
total 4
-rw-r--r-- 1 koji koji 27 2009-10-07 19:02 holamundo
Intenta invocar el mandato holamundo escribiendo
koji@mazinger:~/pruebas$ holamundo
pero obtiene
bash: holamundo: orden no encontrada
GSyC - 2011 Conceptos basicos de seguridad 89
Algunas tecnicas de ataque Ataques por PATH inseguro
Problema 1El fichero no tenıa permisos de ejecucionProblema 1: Solucion
koji@mazinger:~/pruebas$ chmod ugo+x holamundo
¿Problema resuelto?
koji@mazinger:~/pruebas$ ls -l
total 4
-rwxr-xr-x 1 koji koji 27 2009-10-07 19:02 holamundo
No ha bastado. El usuario vuelve a ejecutar
koji@mazinger:~/pruebas$ holamundo
pero vuelve a obtener
bash: holamundo: orden no encontrada
GSyC - 2011 Conceptos basicos de seguridad 90
Algunas tecnicas de ataque Ataques por PATH inseguro
Problema 2Aunque el fichero esta en el directorio actual (directorio punto), lashell no lo buscara allı, sino donde indique la variable de entornoPATH, que contiene una lista de directorios, separados por elcaracter dos puntos
koji@mazinger:~/pruebas$ echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
Lo buscara en /usr/local/sbin
Si no lo encuentra, lo buscara en /usr/local/bin
Si sigue sin encontrarlo, lo buscara en /usr/local/sbin
etcPero no lo buscara en el directorio punto
GSyC - 2011 Conceptos basicos de seguridad 91
Algunas tecnicas de ataque Ataques por PATH inseguro
Problema 2: Solucion 1 (recomendada)Invocar el mandato indicando explıcitamente que el fichero esta enel directorio punto
koji@mazinger:~/pruebas$ ./holamundo
¡hola mundo!
Problema 2: Solucion 2Indicar el trayecto absoluto del mandato
koji@mazinger:~/pruebas$ /home/koji/pruebas/holamundo
¡hola mundo!
GSyC - 2011 Conceptos basicos de seguridad 92
Algunas tecnicas de ataque Ataques por PATH inseguro
Problema 2: Solucion 3Modificamos la variable de entorno PATH para anadir al final eldirectorio puntoComo queremos que el cambio sea permanente, debemos modificarla variable en un fichero de configuracion , por ejemplo ~/.bashrc
export PATH=$PATH:.
El cambio no se produce de inmediato, sino cuando se ejecute denuevo ~/.bashrc
Al invocarlo explıcitamente
koji@mazinger:~/pruebas$ source ~/.bashrc
Al abrir una nueva terminal
GSyC - 2011 Conceptos basicos de seguridad 93
Algunas tecnicas de ataque Ataques por PATH inseguro
Problema 2: Solucion 4 ¡Muy peligrosa!Modificamos la variable de entorno PATH para anadir al principioel directorio puntoexport PATH=.:$PATHSupongamos que un atacante escribe un script con el nombre ls yel contenido
#!/bin/bash
rm -rf $HOME
Al escribir la orden ls en un directorio que contenga este fichero,se ejecutarıa este script, y no /bin/ls
GSyC - 2011 Conceptos basicos de seguridad 94
Algunas tecnicas de ataque Spoofing
IP spoofing
spoof: literalmente parodia, burla, broma. En este contexto,suplantacionIP spoofing:
El atacante falsifica la direccion IP que consta como origen deun datagrama
El paquete no podra recibir respuesta, pero no es relevante,suele usarse para enmascarar el origen de un ataque DOS
Hay telescopios de internet que realizan backscatter analysis(mirar el trafico devuelvo por la vıctima), o monitorizacion dela actividad de gusanos, capturando trafico dirigido a rangosde direcciones inexistentes
GSyC - 2011 Conceptos basicos de seguridad 95
Algunas tecnicas de ataque Spoofing
ARP Spoofing
El atacante responde a una solicitud de ARP, mintiendo. Aunquehaya respuestas legıtimas, la vıctima suela quedarse con las falsasporque el atacante es mas insistente (respuestas gratuitas)
Hay motivos legıtimos para ARP Spoofing: registro de uncliente por motivos de facturacion o servicio redundantetransparente
GSyC - 2011 Conceptos basicos de seguridad 96
Algunas tecnicas de ataque Pharming/DNS Spoofing
Pharming/DNS Spoofing
Ataque contra un servidor de DNS, un nombre de dominio seresuelve en una direccion IP falsa 2
El atacante consigue alterar el ficheros hosts de los clientes%SystemRoot%\system32\drivers\etc\hosts (MS Windows)/etc/hosts (Linux)
/private/etc/hosts (MacOS)
El atacante modifica
El firmware del router inalambrico domestico que sirve DNSCualquier otro servidor de DNS (DNS cache poisoning)
2Existe cierta controversia por los matices entre pharming y DNS spoofing,aqui los consideraremos sinonimos
GSyC - 2011 Conceptos basicos de seguridad 97
Algunas tecnicas de ataque Pharming/DNS Spoofing
Otros tipos de Spoofing
Mail spoofing
Falsificacion del remite de un correo. Trivial, puesto que nohay ninguna proteccion. Si bien, en la actualidad
Un SMTP serio no hara estoUn SMTP de otro tipo pocas veces superara los filtrosanti-spam
File-sharing network spoofing
Falsificacion de servidores en redes p2p
GSyC - 2011 Conceptos basicos de seguridad 98
Algunas tecnicas de ataque Desbordamiento de buffer
Desbordamiento de buffer
Un programa escribe datos en un buffer pero, por error, sigueescribiendo mas alla del lımite, sobreescribiendo posiciones dememoria contiguasCaso tıpico:char *strcpy(char *dest, const char *src);
Solamente es posible en algunos lenguajes de programacion
Puede pasar cualquier cosa: si se escribe fuera de la zona dememoria protegida por el SSOO, produce excepcion y fin delprograma
Las arquitecturas mas habituales no tienen separacion entrememoria para datos y para programa, con lo que el atacantepuede insertar codigo
Si el programa tiene privilegios especiales, p.e. SUID, el riesgoaumenta
GSyC - 2011 Conceptos basicos de seguridad 99
Algunas tecnicas de ataque Desbordamiento de buffer
El programador tiene que ser muy cuidadoso
Comprobar siempre que el tamano de la zona de destino seasuficiente
Tener en cuenta que puede recibir una cadenaincorrectamente terminada
strncpy(buf, str, n);
if (n > 0)
buf[n - 1]= ’\0’;
etc
GSyC - 2011 Conceptos basicos de seguridad 100
Gestion del riesgo
Gestion del riesgo
Preguntas clave para mejorar la seguridad de nuestro sistema
¿Que intento proteger y cuanto vale para mi?
¿Que necesito para protegerlo?
¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?Es necesario el apoyo de la direccion de laempresa/organismo, en autoridad y recursos
Para ello es necesario
Identificacion de los activos (assets) y de su valor
Indentificacion de las amenazas
Calculo de los riesgos
Mediante analisis coste-beneficioMediante best practices (practicas recomendables)
GSyC - 2011 Conceptos basicos de seguridad 101
Gestion del riesgo
Indentificacion de los activos
Tangibles:Ordenadores, equipos de comunicaciones y cableado, datos,backups, libros, software comprado, etc
Intangibles:Salud e integridad fısica del persona, privacidad, contrasenas,reputacion, disponibilidad
No debemos limitar los activos al ambito de la red. P.e. unacontrasena es un activo, ya este en un fichero con cifrado fuerte oen un post it
GSyC - 2011 Conceptos basicos de seguridad 102
Gestion del riesgo
Identificacion de los riesgos
Malware, crackers, etc
No disponibilidad de personal:Enfermedad: individual o epidemia. Bajas
No disponibiliad de un servicio:Red, energıa
Inundacion, fuego, sabotaje, vandalismo
Robo de soporte de datos, ordenadores de escritorio, portatiles
Vulneracion de NDA (Non-disclosure agreement)
Desaparicion de proveedor de bienes o servicios
Fallo hardware
Fallo software
...
GSyC - 2011 Conceptos basicos de seguridad 103
Gestion del riesgo
Analisis coste-beneficio
Procedimiento comun en muchas ingenierıas
Calcular el coste de la perdida de un activo
Calcular la probabilidad de una perdida
Calcular el coste de la prevencion
Decidir con todo ello las medidas a tomar
GSyC - 2011 Conceptos basicos de seguridad 104
Gestion del riesgo Best practices
Best practices/practicas recomendables
El analisis coste-beneficio puede ser de utilidad, pero en elambito de las TIC es de difıcil aplicacion
De forma complementaria/alternativa se desarrollan una seriede normas practicas, recomendaciones, (rules of thumb),relativamente universales y consensuadas por la comunidad deespecialistas en seguridad: las best practices
GSyC - 2011 Conceptos basicos de seguridad 105
Gestion del riesgo Best practices
Ejemplo de practicas recomendables
Seguridad fısica: todo acceso fısico al equipo de red debe estarconvenientemente protegido: acceso a estancias, armarios,llaves, etc
Todas las aplicaciones, SSOO y drivers deben actualizarse conregularidad
Todas las contrasenas deben ser de calidad
El acceso remoto debe limitarse por usuario y por direccion IP
Avisos legales en pantallas de login, constancia de que lasnormas han sido comunicadas y aceptadas, etc
Cierta monitorizacion de la actividad de los usuarios
Timeout adecuado para el cierre de sesiones por inactividad
GSyC - 2011 Conceptos basicos de seguridad 106
Gestion del riesgo Best practices
Deshabilitacion de todos los servicios no necesarios
Trafico inalambrico encriptado correctamente
Uso correcto de cortafuegos
Uso correcto de antivirus (especialmente a la entrada de lared)
Uso de VPN para trafico que circule por redes publicas
Uso de VLAN si es necesario segregar servicios y/o usuariosdentro de la organizacion
Control de direccion IP/MAC por parte de los switches
Uso de versiones seguras de los protocolos. Actualizacion derutas, DNS, etc
Mecanismos de auditorıa funcionando correctamente
Test de intrusion, preferentemente realizado por especialistaexterno
GSyC - 2011 Conceptos basicos de seguridad 107
Gestion del riesgo Calidad de las contrasenas
Calidad de las contrasenas
Las contrasenas son un elemento fundamental en cualquiermecanismo de autenticacion, su calidad es de vital importancia
Es imprescindible emplear palabras clave seguras, que noaparezcan en diccionarios, evitando nombres o fechassignificativas, combinando sımbolos, y de la mayor longitudposible.
No solo nuestras contrasenas deben ser seguras, tambien lasde nuestros usuarios
Se pueden probar con password crackers, p.e. John the ripperSe puede revisar su calidad cuando el usuario lasesta definiendo
GSyC - 2011 Conceptos basicos de seguridad 108
Gestion del riesgo Calidad de las contrasenas
Ejemplos de malas contrasenas:
123456
4312
toby
r2d2
tornillo
fromage
Fuenlabrada06
Contrasenas que parecen buenas, pero son malas:
XCV330
NCC-1701-A
ARP2600V
GSyC - 2011 Conceptos basicos de seguridad 109
Gestion del riesgo Calidad de las contrasenas
Buenas contrasenasEsto serıan buenas contrasenas (si no estuvieran publicadasaquı)
Contrase~na Nemotecnico
----------------------------------------------------
QuReMa: Queridos Reyes Magos:
3x4doze 3x4=doce
1pt,tp1 uno para todos,todos para uno
lh10knpr le hare una oferta que no podra rechazar
19dy500n 19 dias y 500 noches
waliaYS we all live in a Yellow Submarine
R,cmqht? Rascayu, cuando mueras que haras tu?
GSyC - 2011 Conceptos basicos de seguridad 110
Gestion del riesgo Calidad de las contrasenas
Es conveniente que busquemos e inutilicemos las contrasenasdebiles de nuestros usuarios, ya que suponen un primer puntode entrada en nuestro sistema
En Unix, el root no puede leer las contrasenas. Pero en otrosentornos sı. Y muchos usuarios emplean siempre la mismacontrasenaEjemplo:
1 Juan Torpe usa como contrasena dgj441iU [email protected]
2 Juan Torpe se registra enwww.politonosdebisbalgratis.com, con su cuenta decorreo y su contrasena de siempre
3 El administrador malicioso de este web ya conoce el nombre deJuan, su cuenta de correo y su contrasena.
Ademas, puede usar la funcion ¿contrasena olvidada? y colarseen cualquier otra cuenta de Juan
Debemos instruir a nuestros usuarios sobre esto
GSyC - 2011 Conceptos basicos de seguridad 111
Gestion del riesgo Calidad de las contrasenas
Los usuarios sin duda olvidaran en ocasiones su contrasena ytendremos que generarles una nueva, de forma segura
Pero es muy poco profesional que nosotros comoadministradores olvidemos una contrasena. Debemos usardiferentes contrasenas en diferentes servicios, y guardarlas deforma medianamente segura (gpg, lastpass, etc)
GSyC - 2011 Conceptos basicos de seguridad 112
Gestion del riesgo Antivirus
Antivirus
Antivirus: Software que detecta e inutiliza malware, al que puedereconocer por
Su firma
Su comportamiento
El malware aprovecha vulnerabilidades. Es poco probable que elmalware comprometa un sistema
Con todas las actualizaciones al dia
Con un cortafuegos bien configurado
Donde el usuario solamente ejecuta software de origen fiable
Un antivirus ofrece una proteccion adicional
Puede evitar propagacion aunque no haya contagio
Puede proteger contra algunos zero-day attacks (o no)
GSyC - 2011 Conceptos basicos de seguridad 113
Gestion del riesgo Antivirus
Inconvenientes de los antivirus
Los antivirus no estan exentos de inconvenientes:
Penalizacion del rendimiento
Falsos positivos
Falsa sensacion de seguridad
Polıtica de precios de renovacion poco clara
GSyC - 2011 Conceptos basicos de seguridad 114
Gestion del riesgo Monitorizacion de usuarios
Monitorizacion de la actividad de los usuarios
Siempre es necesario un cierto control de la actividad de losusuarios
Aspecto espinoso, son necesarias muchas consideracioneseticas, legales, psicologicas, etc
Extremo laxo, monte de oregano: el usuario puede realizarcualquier actividad, visitar cualquier web, instalar cualquieraplicacion ...Extremo autoritario, ministerio de la verdad: el usuario tieneopciones muy limitadas y nula privacidadSegun nuestros requerimientos, debemos fijar la polıticaadecuada, que normalmente estara en algun punto intermedio
GSyC - 2011 Conceptos basicos de seguridad 115
Gestion del riesgo Monitorizacion de usuarios
Tecnicamente es trivial conocer
Que aplicaciones ejecuta un usuario
Que servicios usa
Que paginas web consulta
...
GSyC - 2011 Conceptos basicos de seguridad 116
Gestion del riesgo Monitorizacion de usuarios
Un mismo aspecto se puede monitorizar en distintos niveles deprofundidad, debemos cumplir los requerimientos de seguridadrespetando todo lo posible la privacidad del usuario
No es lo mismo saber donde llama que saber que dice
Origen, destino, fecha y asunto de un correo se consideranpublicos. El contenido goza de una proteccion legal muyespecial
Es diferente saber cuanto ocupa su home que hacer un listadode su home
No es lo mismo ver el contenido de un fichero que hacer unabusqueda ciega de una cadena en un fichero
Una cosa es saber que entra en facebook (10 minutos o 2horas) y otra, monitorizar por completo su sesion
GSyC - 2011 Conceptos basicos de seguridad 117
Gestion del riesgo Monitorizacion de usuarios
Delitos contra el secreto de las comunicaciones
Codigo penal espanol:Artıculo 197.1El que, para descubrir los secretos o vulnerar la intimidad de otro, sin suconsentimiento, se apodere de sus papeles, cartas, mensajes de correo electronico ocualesquiera otros documentos o efectos personales o intercepte sustelecomunicaciones o utilice artificios tecnicos de escucha, transmision, grabacion oreproduccion del sonido o de la imagen, o de cualquier otra senal de comunicacion,sera castigado con las penas de prision de uno a cuatro anos y multa de doce aveinticuatro meses.Artıculo 197.2
Las mismas penas se impondran al que, sin estar autorizado, se apodere, utilice o
modifique, en perjuicio de tercero, datos reservados de caracter personal o familiar de
otro que se hallen registrados en ficheros o soportes informaticos, electronicos o
telematicos, o en cualquier otro tipo de archivo o registro publico o privado. Iguales
penas se impondran a quien, sin estar autorizado, acceda por cualquier medio a los
mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un
tercero
GSyC - 2011 Conceptos basicos de seguridad 118
Gestion del riesgo Monitorizacion de usuarios
En Espana,si una empresa facilita medios a un empleado (correo electronico,telefono, etc) para que realice su trabajo y le advierteexplıcitamente de que son unicamente para trabajar, y le adviertede que sera controladoentonces la empresa puede monitorizar estas comunicaciones
Tribunal Supremo, Sala de lo Social, Sentencia de 26/09/2007aunque el trabajador tiene derecho al respeto a su intimidad, nopuede imponer ese respeto cuando utiliza un medio proporcionadopor la empresa en contra de las instrucciones establecidas por estapara su uso y al margen de los controles previstos para esautilizacion y para garantizar la permanencia del servicio
GSyC - 2011 Conceptos basicos de seguridad 119
Gestion del riesgo Test de intrusion
Test de intrusion
(Transparencias de Alejandro Ramos,www.securitybydefault.com)
GSyC - 2011 Conceptos basicos de seguridad 120
Referencias
Referencias
Practical UNIX and internet securityS. Garfinkel, G. Spanfford. Ed. O’Reilly
Data and computer communicationsW. Stallings. Ed. Prentice Hall
Computer networkingJ.F. Kurose. Ed. Pearson
GSyC - 2011 Conceptos basicos de seguridad 121