Seguridad IT

Seguridad y Alta DisponibilidadImplantacin de mecanismosde seguridad activa

Flix Villanueva MolinaEscuela Superior de InformticaUniversidad de Castilla-La Mancha

http://www.esi.uclm.es 2

Contenidos

Ataques y software malicioso Herramientas


Ataques y software malicioso

Introduccin Clasificacin de los ataques Software malicioso Anatoma de ataques

Introduccin

Redes abiertas heterogneas Usuarios con mas confianza en la tecnologa

Mas peligrosos Herramientas de Craking mas sofisticadas

Requieren menos conocimientos tcnicos

Clasificacin de los ataques:

Interrupcin del servicio Interceptacin de informacin Modificacin de informacin

Interrupcin del servicio

Tambien llamado DoS (denial-of-service) La disponibilidad de un recurso es comprometida.

Se degrada su uso o directamente no se puede usar Ataques fsicos:

Cortes de cables, desconexin del hardware, interrupcin del suministro elctrico..

Ataques lgicos Apagado de servicios, saturar la red, saturar un

servidor.

Interceptacin de informacin

Tambin llamado fuga de informacin Se obtiene informacin de sistemas diseados

para ser cerrados Programas como finger o el uso de la informacin

de DNS pueden ayudar a saber quin esta en la red y su estructura.

Se suelen utilizar para usarlos con posterioridad en otros ataques mas sofisticados.


Sistema operativo, parches de seguridad aplicados, navegador, etc. es informacin que proporcionan pistas de vulnerabilidad. Ej: a nivel de red la herramienta nmap. http://ccia.ei.uvigo.es/docencia/SSI/practicas/seg-redes-1/seg-redes-1.html


Ingeniera social El usuario como eslabn mas dbil

Obtener informacin sensible Hacer ejecutar algn programa

Segn Kevin Mitnick Todos queremos ayudar El primer movimiento es siempre de confianza hacia el otro No nos gusta decir No A todos nos gusta que nos alaben

La educacin de los usuarios es el nico mtodo eficaz

Modificacin de la informacin

Incluye la creacin, modificacion, borrado de datos relativos al sistema informtico o de caracter personal/funcional de la persona/compaa que est siendo victima del ataque.

Software malicioso: Clasificacin

Virus Malware que modifica el comportamiento normal de la computadora sin la

autorizacin del usuario Archivos ejectuables, sectores de arranque, bios, tabla de participacin.

Gusanos: Iworm Malware que se duplica a si mismo No necesita modificar ficheros como el virus, puede residir en memoria. Pueden dejar el PC sin recursos, duplicarse a travs de internet usando

protocolos como SMTP, IRC, P2P Pueden ser la puerta de entrada de controles remotos por parte de terceras

personas (ejemplo: Blaster Worm)


Troyanos: Malware que se presenta al usuario como programas normales pero que al ejecutarlo

realizan acciones dainas. Se utilizan para establecer las denominadas botnet

Redes de ordenadores infectados que a su vez se suelen usar para ataques de denegacin de servicio.

Rootkits Conjunto de programas destinados a tener un ordenador bajo control, permitiendo su

acceso remoto por personas no autorizadas y ocultar dicho control de cara al usuario. Se pueden utilizar junto con los troyanos para establecer una botnet

Backdoors Secuencias de cdigo especiales introducidas dentro de un sistema que permiten

saltarse uno o varios sistemas de seguridad dentro del sistema. Muchas veces se introducen en el desarrollo del propio sistema con fines lcitos (testeo)

Software malicioso:Clasificacin

Spyware Malware dedicado a recoger informacin del ordenador

donde se encuentra instalado y a mandarla a travs de la red sin la autorizacin del propietario del PC.

Adware (Advertisement + software) Software que contiene publicidad que debe ser

visualizada para usar el programa. Crimeware

Software ideado para cometer crmenes (generalmente de tipo financiero y en el mundo empresarial)


Dialer: Software que utilizan llamadas a nmeros de telfono para conectarse a

internet. Legitimos: usan los nmeros de telfono provistos por el proveedor de servicios. Malware: usan nmeros de telfono de tarificacin especial

Hijacker Programas que cambian la configuracin del navegador para cargar

pginas no autorizadas. Joke

Software que tratan de hacer pensar al usuario que ha sido infectado por un virus.


Keylogger Malware que registra las pulsaciones de teclado y,

eventualmente, puede mandarlas a travs de la red para registrar sitios visitados, contraseas, correos, etc.

Hoax: Mensajes de correo que, mediante tcnicas de ingeniera social,

tratan de propagarse. El objetivo puede ser muy amplio, a veces, simplemente recoger

direcciones de correo vlidas para spam.


Spam: Correo electrnico con publicidad no solicitada.

Rogue: Falso programa de seguridad Ejemplo: http://blogs.eset-la.com/laboratorio/2008/12/02/animaciones-calidad-antivirus-falsos/

FakeAV: Simula ser un antivirus. (El rogue es una definicin

mas amplia)

Anatoma de un Ataque

Los ataques se pueden clasificar de varias formas. Somos un objetivo o un Dao colateral

Un objetivo es cuando un hacker quiere explcitamente entrar en nuestro sistema. Somos el centro de su ataque.

Un Dao colateral es cuando somos infectados o la integridad del Sistema es vulnerada sin ser un objetivo explicito. Esto puede ser causa de errores de usuario, virus, etc.

Anatoma de Ataque

Tipo de ataque a realizar: DoS, obtener informacin, eliminar informacin, modificar

informacin, etc. Identificar objetivo:

Ordenador particular, Ordenador corporativo (ej. servidor en la empresa), red corporativa, etc.

Por que a nosotros? Por hobby, Por interes econmico, Por odio

1

Anatoma del ataque

Obtener la mxima informacin del objetivo: Ingeniera social:

Obtener datos del usuario/administrador del objetivo Contraseas pueden estar relacionadas con datos

personales. Ejemplo: Pon tu nombre completo en google

Herramientas para obtener informacin Sistema operativo, servicios activos, estructura de red,

usuarios, recursos compartidos. Ej. nmap

2

Anatoma del ataque

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all xx.xx.xx.xx[]Scanning est186.inf-cr.uclm.es (x.x.x.x.x) [1000 ports]Discovered open port 5900/tcp on x.x.x.x.xDiscovered open port 80/tcp on x.x.x.x.xDiscovered open port 111/tcp on x.x.x.x.xDiscovered open port 22/tcp on x.x.x.x.x[...]

Anatoma de un ataqueInteresting ports on estxxx.inf-cr.uclm.es (x.x.x.x.x):Not shown: 1992 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 5.5p1 Debian 4 (protocol 2.0)|_ banner: SSH-2.0-OpenSSH_5.5p1 Debian-4| ssh-hostkey: 1024 95:39:02:f7:61:5e:6a:7b:2d:38:fc:df:55:0c:e3:8b (DSA)|_ 2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)80/tcp open http Apache httpd 2.2.15 ((Debian))|_ http-iis-webdav-vuln: ERROR: This web server is not supported.|_ html-title: Index of /111/tcp open rpcbind| rpcinfo: | 100000 2 111/udp rpcbind | 100024 1 33252/udp status | 100000 2 111/tcp rpcbind |_ 100024 1 38407/tcp status 5900/tcp open vnc VNC (protocol 3.7)|_ banner: RFB 003.00768/udp open|filtered dhcpc111/udp open rpcbind123/udp open ntp NTP v45353/udp open|filtered zeroconfNo exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

Anatoma de un ataque

Uptime guess: 22.001 days (since Thu Aug 12 11:41:10 2010)Network Distance: 0 hopsTCP Sequence Prediction: Difficulty=203 (Good luck!)IP ID Sequence Generation: All zerosService Info: OS: Linux

Host script results:| asn-query: | BGP: xx.xx.0.0/16 | Country: EU| Origin AS: 766 - REDIRIS RedIRIS Autonomous System|_ Peer AS: 1299 2914 3549 8928 20965


Con la informacin obtenida se buscan vulnerabilidades: Programas no actualizados, sistema operativo

utilizado, estructura de red 2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)80/tcp open http Apache httpd 2.2.15 ((Debian))|_ http-iis-webdav-vuln: ERROR: This web server is not supported.

Servidor web no actualizado

http://httpd.apache.org/security/vulnerabilities_22.html


Acceso al equipo/Informacin: Atacar recursos compartidos Obtener contraseas Instalar troyanos, puertas traseras, etc. Ingeniera social SQL Inyection Etc.

3


Hackers: Buscan vulnerabilidades en programas nuevos Crean la forma de explotarlos:

Ej. Obtener acceso al ordenador con los privilegios adecuados

Es difcil defenderse de este tipo de personas Se les puede complicar mucho la vida (IDS, Antivirus,

politicas de seguridad) Afortunadamente hay pocos hackers Muchos de ellos slo buscan aprender/ afrontar el reto


El lamer: Se aprovechan del trabajo de los hackers, usan las

vulnerabilidades encontradas por ellos Se aprovechan de servicios poco actualizados. Tienen menos conocimientos tcnicos

Buscan explotar las vulnerabilidades con scripts o cdigo de otras personas.

La mejor defensa es tener los servicios actualizados


Una vez que se tiene acceso al equipo: Se consolida el ataque

Se trata de acceder a la mquina remota de forma rpida y efectiva cuando queramos

Se trata de asumir el control total del equipo (privilegios de administrador)

Se intenta acceder a otros recursos desde el equipo violado Mas fcil supuesto estamos Dentro

Se estudia el sistema de seguridad implantado.

4


Borramos huellas Eliminamos entradas en log Estudiamos el sistema para observar los rastros que

podamos haber dejado y los eliminamos Generalmente se automatiza este proceso

auth.log.1:Sep 3 10:44:11 homer su[28548]: Successful su for root by xxxxauth.log.1:Sep 3 10:44:11 homer su[28548]: + /dev/pts/14 xxxx:rootauth.log.1:Sep 3 10:44:11 homer su[28548]: pam_unix(su:session): session opened for user root by xxxx(uid=1000)

5

Anatoma de ataquesFuente: http://www.segu-info.com/ataques/ataques.htm

Enlaces interesantes

http://www.seguridadenlared.org/es/index5esp.html http://sobrelistas.blogspot.com/2010/05/los-hackers-mas-famosos-

de-la-historia.html

http://www.galiciae.com/nova/48686.html


Contenidos

Ataques y software malicioso Herramientas


Contenidos

Herramientas preventivas: Evitar que el malware se instale en el sistema IT

Herramientas paliativas: Evitar los daos provocados por el malware

Actualizacion de sistemas y aplicaciones

A menudo son las mismas!!

Herramientas preventivas/paliativas.

Tratan de evitar cualquiera de los ataques que hemos visto en mdulos anteriores.

Incluyen: Encriptado de informacin en disco Antivirus Sistemas de deteccin de intrusos (IDS) Sistemas de prevencin de intrusos (IPS) Backup

Encriptado de informacin en disco

Este tipo de herramientas encriptan la informacin en disco. Permiten encriptar archivos y directorios

Mantienen la privacidad Ejemplos de este tipo de herramientas:

FreeOTFE (windows) Crypt (windows, obsoleto) GNU privacy guard (GNU/Linux y con versin para MAC) Etc.. cuidado con los

freeOTFE

Crea discos virtuales. Al desmontar el volumen se cifra todo lo que se

haya copiado. Al montar el volumen te pide la contrasea Gran variedad de posibilidades de encriptacin

(etapa 5/8). Licencia GPL, Versiones para windows, linux,

windows mobile, etc. http://www.freeotfe.org/

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

Sistemas de deteccin/prevencin de intrusos

Sistemas IDS (Intrusion Detection System) Sistemas IPS (Intrusion Prevention System) Monitorizan la red

En busca de ataques conocidos mediante firmas Cantidad de trfico que se eleva de forma inusual Trfico dirigido a todos los puertos o puertos no usuales Paquetes mal formados etc.

Estructura IDS

Fuentes de Datos

(Interfaces de red, logs, etc.)Filtros y patrones

Generacin de Alarmas(SMS, e-mail, etc.)

IDS

Tipos de IDS HIDS: HOST IDS (ej. tripwire, aide) NIDS: NETWORK IDS (ej. snort) DIDS: DISTRIBUTED IDS

HIDS

Generalmente se trata de monitorizar archivos con el objeto de detectar si son modificados.

Un ataque a travs de la red incluye la modificacin o reemplazo de ciertos archivos con el objetivo de tomar el control total del sistema.

Los HIDS generalmente monitorizan archivos sensibles de forma peridica e informa si observa alteraciones

HIDS:tripwire

Dos versiones GPL y comercial. http://www.tripwire.com/it-compliance-products/te/ost/compare.cfm

Monitoriza archivos segn la configuracin y la poltica que se desee. Altamente configurable

La versin GPL disponible para GNU/Linux

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS:tripwire

Archivos de configuracin en /etc/ Los archivos twcfg.txt y twpol.txt definen la

configuracin y polticas respectivamente. Se editan y modifican en funcin del sistema Manten siempre una copia original

twadmin permite configurar de nuevo toda la herramienta.

felix@homer:/etc/tripwire$ lshomer-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt

HIDS: tripwire

La local key se usa para verificar/encriptar la base de datos con los archivos

La site key-file se usa para verificar/encriptar los archivos de configuracin y poltica

Con tripwire se puede chekear el sistema:homer:/etc/tripwire# tripwire --check

HIDS: tripwire

Fuente: http://www.linuxjournal.com/article/8758?page=0,1

NIDS

Generalmente cuando el HIDS notifica una intrusin puede ser demasiado tarde. El ya hacker esta dentro Si su objetivo es copiar/modificar informacin de

nuestro equipo puede que llegemos tarde. No obstante evita que tomen el control de nuestra

mquina. Los Network IDS tratan de detectar el trfico de red

del Ataque en curso y notificarlo Podra tomar acciones para evitarlo (IPS)

NIDS: Emplazamiento

Fuente: http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snort-donde_colocar_el_ids/4735-6

Herramienta IDS/IPS: Snort

Licencia GPL http://www.snort.org Sniffer de red que permite configurar reglas de

deteccin de los ataques mas frecuentes. Algunas reglas son de pago durante un tiempo http://www.snort.org/snort-rules/#rules

Muy utilizado por los administradores de sistemas Muy flexible:

http://www.snort.org/education

Herramienta IDS/IPS: Snorthomer:/home/felix# snort -vdRunning in packet dump mode

--== Initializing Snort ==--Initializing Output Plugins!****** interface device lookup found: eth0***Initializing Network Interface eth0Decoding Ethernet on interface eth0

--== Initialization Complete ==--

,,_ -*> Snort!

Backup

Una poltica adecuada de copias de respaldo es, sin lugar a dudas, el pilar bsico de la seguridad de sistema informticos con independencia del tamao y la complejidad de este ltimo.

Se puede considerar una herramienta de prevencin y tambin paliativa.

Multitud de herramientas existentes para todos los sistemas operativos del mercado.

Backup

FUENTE: http://es.wikipedia.org/wiki/Anexo:Aplicaciones_de_copias_de_seguridad

Backuppc

Licencia GPL, web http://backuppc.sourceforge.net/

Utiliza rsync para las copias Dotado de interfaz web de administracin Archivo de configuracin:

/etc/backuppc/config.pl

Backuppc

Configuracin:

$Conf{RsyncClientRestoreCmd}: Sentencia que se ejecuta para hacer los backups. Ej: $Conf{RsyncClientRestoreCmd} = '$sshPath -q -x -l backuppc $host $rsyncPath $argList+';

Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync

BackupPC

Fuente: http://www.xuni.it/index.php?c=p04

Backuppc: configuracin $Conf{ServerHost}: Debe aparecer el nombre del equipo servidor. Ej: $Conf{ServerHost} = 'a01-pro.lacimurga.ex' $Conf{WakeupSchedule}: Indica durante que horas est levantado el demonio para realizar los backups. Ej: $Conf{WakeupSchedule} = [16..18] Levantado de 4 a 6 de la tarde. $Conf{BackupPCUser}: Es el usuario del servidor. El que creamos en la instalacin. Ej: $Conf{BackupPCUser} = backuppc $Conf{FullPeriod}: Periodo de tiempo cada cuanto se quiere hacer un backup Completo (Full Backup) Ej: $Conf{FullPeriod} = 1 1 vez al da. $Conf{BlackoutPeriods}: Perido en el cual los equipos no estn operativos para realizar un backup. No se si este parmetro es necesario indicarlo Ej: $Conf{BlackoutPeriods} = [ { hourBegin => 7.0, hourEnd => 8.0, weekDays => [1, 2, 3, 4, 5], },]; Le he puesto que no se pueden hacer backups de 7 a 8 de la maana de Lunes a Viernes. $Conf{XferMethod}: Indica el mtodo de copia de archivos. Mediante la herramienta rsync. Ej: $Conf{XferMethod} = 'rsyncd';

Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync

Backuppc

Backuppc

Backuppc

Backuppc

Backuppc

Antivirus

Herramienta imprescindible (en entornos windows) y que analizan un sistema IT en busca de virus/malware.

Existen diversas tcnicas para detectar virus Las mas comunes se basan en actualizaciones de

bases de datos que contienen informacin sobre el malware existente. Cadenas que identifican a ese malware Dependen de la actualizacin de la base de datos

Antivirus

Las actualizaciones deben realizarse muy frecuentemente:

http://www.kaspersky.com/viruswatch3

Antivirus

Tambin se usan tecnicas de IA para identificar cdigo que generalmente se involucra en malware. No hace falta un listado exhaustivo de los virus existentes.

En otras ocasiones se analiza el comportamiento de las aplicaciones.

Generalmente los antivirus existentes actan cuando la infeccin se ha producido. Demasiado tarde en algunas ocasiones.

Existen multitud de opciones en el mercado Con distintas licencias, precios, caractersticas.

Antivirus

Comparativa: http://www.pcasalvo.com/

Actualizacin de sistemas y aplicaciones

Los ataques a los sistemas provienen de la instalacin y uso de herramientas.

Las mas frecuentes y que son fuentes de problemas en los PC's de usuario: Correo electrnico Navegador Web Intercambio de archivos en redes P2P Aplicaciones tipo messenger


Servidores de red y sistemas operativos tambin son vulnerables.

Como norma general debemos actualizar de forma regular: Todos los servidores de red en nuestro sistema IT El sistema operativo de todas las mquinas Las aplicaciones en uso por los usuarios


Las actualizaciones suelen reparar vulnerabilidades detectadas en la aplicacin/servicio Automticamente se inactiva todo el malware diseado

para esa vulnerabilidad. Todos los sistemas operativos cuentan con un

mtodo de actualizacin automtico que podemos configurar.

Los fabricantes de los servicios sacan parches de seguridad para resolver vulnerabilidades.

Informtica forense

Una vez que hemos sido vctimas de un ataque podemos emprender acciones legales. Es dificil ya que:

Identificar la fuente original es difcil Puede involucrar diferentes paises, con diferentes leyes, etc. Debemos aportar pruebas del ataque y/o dao sufrido.

Este ltimo punto representa el objetivo de la informtica forense

Informtica forense

El Anlisis Forense de Sistemas (Computer Forensics) comprende el proceso de extraccin, conservacin, identificacin, documentacin, interpretacin y presentacin de las evidencias digitales de forma que sean legalmente aceptadas en cualquier proceso legal (por ejemplo un juicio).Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux

Informtica forense

Adquirir las evicencias sin alterar ni daar el original. Sin utilizar las herramientas del propio sistema

comprometido Conservando la Cadena de Custodia

Comprobar que las evidencias recogidas son identicas a la original (herramientas hash)

Analizar los datos sin modificarlos Copias bit a bit

Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux

Monitorizacin del trfico en redes

Las herramientas de monitorizacin son ampliamente usadas en: Depuracin de protocolos IDS Para obtener informacin de la red y de su uso.

Ejemplo: wireshark

Sniffer de red muy utilizado GPL Disponible para windows y linux Con una gran funcionalidad en cuanto a filtros,

anlisis de conversaciones, protocolos reconocidos, etc.

http://www.wireshark.org/

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Y muchas mas..

Virtualizacin de servidores de red Scaneo de puertos

http://www.seguridadenlared.org/es/index5esp.html Auditora de contraseas:

http://www.microsoft.com/latam/protect/yourself/password/checker.mspx http://howsecureismypassword.net/

Etc..

Seguridad IT

Documents

Transcript of Seguridad IT