ESCUELA DE INFORMTICA Y TELECOMUNICACIONES ESCUELA DE INFORMTICA Y TELECOMUNICACIONES
Clase 5: Intrusos y Virus
Seguridad en Sistemas Computacionales
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Temario Intrusos
Tcnicas de intrusin Proteccin de contraseas Estrategias de seleccin de contraseas Deteccin de intrusos
Virus y otras amenzas Programas maliciosos La naturaleza de los virus Tcnicas de antivirus avanzadas
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Intrusos Existen tres clases de intrusos (hackers y
crackers):
Suplantador Usuario fraudulento Usuario clandestino
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tcnicas de intrusin Los sistemas mantienen un archivo que asocia
una contrasea con cada usuario autorizado.
El archivo de contraseas puede ser protegido utilizando:
Cifrado unidireccional Control de acceso
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tcnicas de intrusin Tcnicas para descubrir contraseas:
Probar contraseas predeterminadas Probar todas las contraseas cortas posibles
(de 1 a 3 caracteres)
Probar todas las palabras pertenecientes a un diccionario
Recolectar informacin acerca de los usuarios, como por ejemplo, fecha de cumpleaos, nombre de los familiares, pasatiempos, etc.
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tcnicas de intrusin Tcnicas para descubrir contraseas
(continuacin):
Probar los nmeros de telfonos, identificacin, direccin, etc
Probar con todas las patentes de automviles Utilizar un troyano Interceptar la lnea entre un usuario remoto y
un sistema host
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Esquema de contraseas UNIX
Cargando una nueva contrasea
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Esquema de contraseas UNIX
Verificando una contrasea
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Almacenando contraseas UNIX Antiguamente los sistemas UNIX almacenaban
las contraseas en un archivo leble llamado /etc/passwd
Actualmente las contraseas se almacenan en el archivo /etc/shadow, que es slo visible por root.
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Salt El valor salt sirve para tres propositos:
Previene contraseas duplicadas en el archivo de contraseas
Incrementa de manera efectiva el largo de una contrasea
Evita el uso de una implementacin hardware de DES
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Estrategias de seleccin de contraseas Educar a los usuarios Contraseas generadas por computadoras Comprobacin reactiva de contraseas Comprobacin proactiva de contraseas
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Etapas de una intrusin por red 1. Explorar la red para:
Conocer cuales son las direcciones IP en uso
Qu sistema operativo se est utilizando Qu puertos TCP o UDP estn abiertos
2. Correr un Exploit contra los puertos abiertos 3. Obtener acceso a shell con permisos de
administracin
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Etapas de una intrusin por red 4. Descargar de sitios Web de Crackers
versiones especiales de archivos de sistemas para obtener acceso en el futuro sin ser detectado
5. Usar IRC para invitar a otros Crackers a participar
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Deteccin de intrusiones El intruso puede ser identificado y expulsado
del sistema
Una deteccin de intrusin efectiva debera impedir intrusiones
Una deteccin de intrusin permite recolectar informacin acerca de tcnicas de intrusin que pueden ser utilizadas para fortalecer la prevencin de intrusiones
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Comportamiento de intrusos y usuario autorizados
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Medidas utilizadas para la deteccin Frecuencia de entrada por da y hora Frecuencia de entrada desde diferentes lugares Tiempo transcurrido desde la ltima entrada Fallos de contraseas el entrar Frecuencia de ejecucin Frecuencia de denegacin Frecuencia de lectura, escritura, creacin y eliminacin Contador de fallos de lectura, escritura, creacin y
eliminacin
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Deteccin de intrusiones distribuda Un entorno heterogneo con distintos formatos
de registro de auditoras
Es necesario asegurar integridad y confidencialidad de los datos recopilados
La arquitectura para la recopilacin y anlisis de todos los datos puede ser centralizada o descentralizada
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Deteccin de intrusiones distribuda
Desarrollado por la Universidad de California en Davis
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Deteccin de intrusiones distribuda
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Virus y programas maliciosos Los virus de computador y otros programas
asociados tiene la habilidad de replicarse por si solos en un gran nmero de computadores. En un inicio se replicaban a travs de disquettes, ahora lo hacen a travs de Internet
Otros programas maliciosos pueden ser instalados en computadores de manera individual. Tambin se pueden integrar en paquetes de software comercial. Estos son muy difciles de detectar (Troyanos, puertas traseras, etc)
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Taxonoma de los programas maliciosos
Need Host
Program Independent
Trapdoors
Logic Bombs
Trojan Horses
Viruses
Bacteria
Worms
Malicious Programs
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Definiciones Virus: cdigo que se copia por si slo dentro de
otros programas
Bacteria: se replica hasta utilizar todo el espacio en disco o ciclos de CPU
Gusano: un programa que se replica por si slo a travs de una red, usualmente a travs de correos o documentos adjuntos
Troyano: instrucciones ocultas en un programa que aparenta ser bueno pero que en realidad hace cosas malas como por ejemplo enviar contraseas o informacin privada por la red
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Definiciones Bomba lgica: cdigo malicioso que se activa
con un evento determinado, por ejemplo una fecha
Puerta trasera: entrada no documentada escrita en el cdigo con propsitos de depuracin que puede permitir el acceso a usuarios no autorizados
Huevo de pascua: cdigo oculto que hace algo cool, generalmente no es algo daino. Es una forma que utilizan los programadores para demostrar que ellos tienen el control del SW
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Fases de un Virus Fase inactiva: el virus se encuentra inactivo,
esperando por un acontecimiento
Fase de propagacin: el virus coloca una copia idntica de s mismo en otros programas o determinadas reas del sistema
Fase de activacin: el virus se activa para llevar a cabo la funcin para lo cual se creo
Fase de ejecucin: la funcin est ejecutada, y puede ser ofensivo o inofensiva
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Proteccin contra Virus Utilizar un software de proteccin contra virus
conocido, bien configurado y actualizado para examinar discos
No ejecutar programas (o macros) de origen desconocido
Si es posible, evitar la utilizacin de los sistemas operativos o clientes de correo ms populares
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Estructura de un Virus sencillo
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Propagacin de un Virus
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tipos de Virus Virus parsito: se adjunta a los archivos ejecutables
como parte de su cdigo y corre cada vez que el programa original se ejecuta
Virus residente en la memoria: se aloja en la memoria principal como parte residente del sistema operativo
Virus del sector de arranque: infecta el registro de arranque del disco y se extiende cuando un sistema arranca desde el disco
Virus furtivo: un virus diseado explcitamente para evitar la deteccin por parte de un antivirus
Virus polimrfico: un virus que se modifica con cada una de las infecciones, haciendo difcil su deteccin
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Macro Virus Las aplicaciones de Microsoft Office permiten
la utilizacin de macros en los documentos. Una macro es un programa ejecutable insertado en un documento Word, Excel u otro.
La macro puede ejecutarse cuando el documento es abierto o cuando ciertos comandos son seleccionados (Guardar archivo)
Son independientes de la plataforma y sistema operativo
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Enfoques de antivirus 1era Generacin, exploradores: exploran archivos en
busca de patrones conocidos de bits de virus conocidos (firmas), tambin chequean archivos ejecutables en busca de cambios en su longitud
2da Generacin, exploradores heursticos: buscan por seales generales asociadas a posibles firmas (segmentos de cdigo comunes en varios virus). Otro enfoque es la comprobacin de la integridad de los archivos (hashing)
3er Generacin, Trampa de actividad: son programas residentes en memoria que se encargan de identificar virus por su accin o comportamiento (explorar archivos)
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Enfoques de antivirus 4ta Generacin, Todas las funciones: paquetes
compuestos por una variedad de tcnicas antivirus usadas en conjunto.
La carrera armamentista continuar
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tcnicas avanzadas de antivirus Descifrado genrico: Emulador de CPU Explorador de firma de virus Mdulo de control de emulacin Problema: Cunto tiempo podra un
explorador GD correr cada interpretacin?
Escuela de Informtica y Telecomunicaciones
Escuela de Informtica y Telecomunicaciones
Tcnicas avanzadas de antivirus