Seguridad Informatica
Transcript of Seguridad Informatica
ATAQUES INFORMÁTICOS 2014
1. Definidos en clases
VIRUS INFORMATICO:Un virus informático es un malware que tiene por objeto
alterar el normal funcionamiento de la computadora, sin el
permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros
infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en
una computadora, aunque también existen otros más
inofensivos, que solo se caracterizan por ser molestos.
GUSANO INFORMATICO:Un gusano informático es similar a un virus informático.
Tanto un gusano y un virus pueden dañar su ordenador,
haciendo que se ralentice o se cortó. Sin embargo, a
diferencia de un virus - que necesita un archivo
ejecutable de acogida con el fin de operar - el gusano
sólo se necesita una conexión de red para propagarse de un
equipo a otro. Un gusano también tiene la capacidad de
replicarse automáticamente.
Existen numerosos tipos de gusanos informáticos,
incluyendo el gusano de correo electrónico, que corrompe a
su ordenador a través de un mensaje de correo electrónico.
El mismo mensaje puede incluir un enlace o archivo adjunto
a un sitio web infectado que dañará el equipo una vez
abierto.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
TROYANOS:
Los troyanos son programas maliciosos que realizan acciones no autorizadas por el usuario. Estas acciones pueden incluir las siguientes:
Eliminación de datos Bloqueo de datos Modificación de datos Copia de datos
Interrupción del rendimiento de ordenadores o redes de ordenadores
A diferencia de los virus y los gusanos informáticos, los troyanos no pueden multiplicarse.
SCRIPTS:Desde la perspectiva de un explorador, una página Web es
simplemente una larga cadena de caracteres El explorador
procesa secuencialmente, mostrando algunos caracteres, e
interpretando otros, como <b> y <script>, de acuerdo con
reglas especiales. Si un usuario malintencionado puede
insertar algunos de estos caracteres especiales en una
página, el explorador no sabrá que dichos caracteres no
deberían estar ahí, y los procesará como parte de la
página.
IPSCAN:Ataque de tipo “IP half scan”: el atacante intenta
conectarse repetidas veces a un equipo de destino, pero
envía paquetes ACK en respuesta a los paquetes SYN/ACK.
Durante una conexión TCP normal, el origen inicia la
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
conexión mediante el envío de un paquete SYN a un puerto
del sistema de destino. Si hay algún servicio que atiende
dicho puerto, responde con un paquete SYN/ACK. A
continuación, el cliente que inicia la conexión responde
con un paquete ACK y se establece la conexión. Si el host
de destino no está a la espera de la conexión en el puerto
especificado, responde con un paquete RST. La mayoría de
registros de sistema no registran las conexiones
completadas hasta que se recibe el paquete ACK final desde
el origen. El envío de otros tipos de paquetes, que no
siguen esta secuencia, puede provocar respuestas útiles
del host de destino, sin que se registre ninguna
conexión.
WEB BROSING:Si el sistema infectado tiene acceso a cualquier página
WEB, infecta a todos los archivos de contenido Web, de
forma tal que aquellos usuarios que navegan a esas páginas
sean infectados.
TRACKWARE:Es todo programa que realiza el seguimiento de las
acciones que realiza el usuario mientras navega por
Internet (páginas visitadas, banners que pulsa, etc.) y
crea un perfil que utiliza con fines publicitarios.
SPEAR PISHING:Spear phishing es una estafa focalizada por correo
electrónico cuyo único propósito es obtener acceso no
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
autorizado a datos confidenciales. A diferencia de las
estafas por phishing, que pueden lanzar ataques amplios y
dispersos, el spear phishing se centra en un grupo u
organización específicos. La intención es robar propiedad
intelectual, datos financieros, secretos comerciales o
militares y otros datos confidenciales.
JOKE:Se trata de programas que simulan los efectos de virus
destructivos -por ejemplo la eliminación de los ficheros
de disco duro-. Ante este tipo de programas lo mejor es no
perder la calma y comprobar que en realidad no han
producido los efectos destructivos que el programa
simulaba.
EXPLOIT:Exploit (proviene del inglés to exploit, explotar,
aprovechar) es el nombre con el que se identifica un
programa informático malicioso, o parte del programa,
que trata de forzar alguna deficiencia o vulnerabilidad
(bug) del sistema. El fin de este puede ser la destrucción
o inhabilitación del sistema atacado, aunque normalmente
se trata de violar las medidas de seguridad para
poder acceder al mismo de forma no autorizada y emplearlo
en beneficio propio o como origen de otros ataques a
terceros.
ARCHIVOS COMPARTIDOS NO PROTEGIDOS
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Uso de archivos compartidos para copiar componentes
virales en todas las ubicaciones alcanzables
ARCHIVOS MASIVOS
Envío de e-mail infectado a direcciones encontradas
en directorio (address book)Los virus/malware de correo electrónico tienen la
habilidad de propagarse a través de mensajes de correo
electrónico mediante la automatización de los clientes de
correo electrónico del equipo infectado o propagando los
virus/malware. El correo masivo supone una infección que
se propaga rápidamente en un entorno Microsoft Exchange.
SIMPLE NETWORK MANAGEMENT PROTOCOL
Los atacantes están crecientemente abusando dedispositivos configurados para responder públicamentea las solicitudes sobre el internet de SNMP (SimpleNetwork Management Protocol) para amplificar losDDoS. Esta técnica de amplificación, que también esconocida como reflexión, puede teóricamente funcionarcon cualquier protocolo que es vulnerable al spoofingde direcciones IP y puede generar muchas respuestas apeticiones pequeñas. Los atacantes pueden realizarsolicitudes que se original desde la dirección IP desu víctima para engañar a los servidores que lasaceptan sobre estos protocolos para inundar a lasvíctimas con datos.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Muchos ataques DDoS en el año pasado han utilizadosDNS mal configurados y servidores NTP para estasamplificaciones. Sin embargo, dispositivos quesoporta SNMP, un protocolo diseñado para habilitar elmonitoreo de dispositivos en una red, puede serabusado si el servicio SNTP está directamenteexpuesto al internet. Los dispositivos habilitados con SNMP pueden serencontrados en casa y en empresas por igual e incluysimpresoras, switches, routers y firewalls.
HOAXES (mensajes engañosos)
Un hoax (del inglés: engaño, bulo) es un mensajede correo electrónico con contenido falso o engañosoy normalmente distribuido en cadena.Algunos informan sobre virus desastrosos, otrosapelan a la solidaridad con un niño enfermo ocualquier otra noble causa, otros contienen fórmulaspara hacerse millonario o crean cadenas de la suertecomo las que existen por correo postal.Los objetivos que persigue quien inicia un hoax son:alimentar su ego, captardirecciones decorreo y saturar la red o los servidores de correo.
BACK DOORS (puertas traseras)
En la informática, una puerta trasera (o en
inglés backdoor), en un sistema informático es una
secuencia especial dentro del código de programación,
mediante la cual se pueden evitar los sistemas de
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
seguridad del algoritmo (autentificación) para
acceder al sistema. Aunque estas puertas pueden ser
utilizadas para fines maliciosos y espionaje no
siempre son un error, pueden haber sido diseñadas con
la intención de tener una entrada secreta.
Los más conocidos son Back Orifice y NetBus, dos de
los primeros backdoors, que hasta nuestros días siguen
vigentes aunque en menor cantidad dado que la mayoría
de los programas antivirus los detectan. Otro muy
conocido es el SubSeven, que también fue introducido
en millones de ordenadores en el mundo.
PASSWORD CRACK (ruptura de contraseña)
a. Intentar descifrar una contraseña
b. Fuerza Bruta
i. Aplicación de la computación y recursos de
redes para probar cada combinación posible
de opciones de una contraseña
c. Diccionario
i. El ataque por diccionario de contraseñas
reduce el campo de pruebas seleccionando
cuentas específicas que atacar y usa lista
de contraseñas comúnmente usadas
(diccionario) para guiar el descubrimiento
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Negación de Servicio (DoS)
La negación de servicio es una modalidad de ataque que
tiene como objetivo imposibilitar el acceso a servicio y
recursos de una organización (que se encuentra
normalmente conectada a una red) durante un periodo de
tiempo indefinido, normalmente los ataques son dirigidos
a los servidores de la empresa para que no puedan
utilizarse.
La mayoría de los ataques de denegación de servicio
aprovechan las vulnerabilidades relacionadas con la
implementación de un protocolo TCP/IP modelo.
Estos ataques no son muy complicados de realizar pero
impactan en una gran cantidad de dispositivos
involucrados.
Ejemplos:
- Generar una sobrecarga o saturación en el
procesamiento de datos de una computadora para hacerla
inutilizable.
- Las denegaciones de servicio por explotación de
vulnerabilidades, que aprovechan una vulnerabilidad en
el sistema para volverlo inestable.
- Acaparar un gran ancho de banda de modo que los
equipos involucrados se vean perjudicados.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Negación de servicios distribuida (DDoS)
El ataque de negación de servicios distribuidos se
produce cuando un conjunto de equipos activan una
denegación de servicio, esto para quitar de operación
uno o más servicios o computadoras conectadas a una red.
Normalmente este ataque busca utilizar todo el ancho de
banda disponible para tornar lentas las operaciones que
realiza el sistema.
Su objetivo, al igual que el DOS no es invadir el equipo
para recabar o alterar datos, sino en dañar la
reputación de las compañías e impedir el desarrollo
normal de sus actividades.
Los tipos más conocidos son:
- Tribal Flood Network (TFN)
- Trinno
Spoofing
El Spoofing se da cuando un atacante se hace pasar por
otra persona en el acceso a los recursos de un sistema
para obtener información restringida o robarla. Este
tipo de ataque puede tomar una variedad de formas
diferentes, por ejemplo, un atacante puede hacerse pasar
por el Protocolo de Internet (IP) de un usuario legítimo
con el fin de entrar en sus cuentas.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Además, un atacante puede enviar correos electrónicos
fraudulentos y crear sitios web falsos con el fin de
capturar nombres de usuarios de inicio de sesión,
contraseñas, e información de cuentas. Fingiendo una
página web o correo electrónico se llama un ataque de
phishing. Otro tipo de suplantación de identidad
consiste en la creación de un falso punto de acceso
inalámbrico y engañar a las víctimas en la conexión a
través de la conexión ilegítima.
Las direcciones IP son similares a las direcciones
postales y da información de las rutas y ubicación
correcta a través de redes. Los datos se dividen y se
envían en trozos llamados paquetes. Cada paquete
contiene la dirección del remitente y la dirección del
destinatario. La suplantación de direcciones IP son
posibles porque un atacante puede falsificar la
dirección del remitente y hacer que el paquete parezca
que venga de otra persona. Un uso común de la
falsificación de direcciones IP es un ataque de
denegación de servicio donde un atacante usa la
suplantación para ocultar la fuente de su ataque.
Los ataques de phishing involucran la creación de
páginas web falsas o el envío de mensajes de spam en un
intento para atraer a las víctimas potenciales de sitios
web falsos. El campo “remitente” en un correo
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
electrónico se puede cambiar fácilmente y siempre que
los protocolos de correo electrónico sean aceptables, el
mensaje será entregado. Un sitio de phishing puede ser
igual al sitio web real, con los esquemas de color,
diseño y logotipos. Una víctima que intenta utilizar el
sitio sin saberlo, puede ofrecer así sus datos
personales a los criminales.
Otra variante es Fake or rogue WIFI access point
masquerading (Imitación o punto de acceso enmascarado
Wi-Fi) en los aeropuertos, estaciones de tren,
instituciones financieras y tiendas ofrecen a los
atacantes una manera relativamente simple para robar
datos.
Man in the middle (MITM)
Un ataque Man in the middle (hombre en el medio), es un
tipo de amenaza que se aprovecha de un intermediario. El
atacante en este caso, tiene la habilidad de desviar o
controlar las comunicaciones entre dos partes. Por
ejemplo, si se tratase de un ataque MITM a tu correo, el
perpetrador podría desviar todos los e-mails a una
dirección alterna para leer o alterar toda la
información antes de enviarla al destinatario correcto.
Digamos que te conectas a una red WiFi en la calle para
revisar tus redes sociales y tu email tranquilamente. Un
hacker malintencionado puede interceptar las
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
comunicaciones entre tu computadora o tu smartphone y la
red WiFi, teniendo acceso a todo lo que haces. Si la red
WiFi no está cifrada, y el atacante está cerca del rango
de la conexión, se puede insertar a si mismo como "el
hombre en el medio". Siempre que el atacante pueda
autenticarse como los dos lados de la comunicación,
tendrá todo el acceso.
Spam
Se llama spam, correo basura o sms basura a los mensajes
no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades (incluso masivas) que
perjudican de alguna o varias maneras al receptor. La
acción de enviar dichos mensajes se denomina spamming.
Aunque se puede hacer por distintas vías, la más
utilizada entre el público en general es la basada en el
correo electrónico. Otras tecnologías de internet que
han sido objeto de correo basura incluyen grupos de
noticias, usenet, motores de búsqueda, wikis, foros,
blogs, también a través de popups y todo tipo de
imágenes y textos en la web. El correo basura también
puede tener como objetivo los teléfonos móviles (a
través de mensajes de texto) y los sistemas de
mensajería instantánea como por ejemplo Outlook, Lotus
Notes, etc.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
También se llama spam a los virus sueltos en la red y
páginas filtradas (casino, sorteos, premios, viajes y
pornografía), se activa mediante el ingreso a páginas de
comunidades o grupos o acceder a links en diversas
páginas.
Mail Bombing
El Mail Bombing consiste en enviar muchas veces un
mensaje idéntico a una misma dirección, saturando así la
bandeja de entrada del destinatario.
Una de sus variantes es el Spamming, este se refiere a
enviar un e–mail a miles de usuarios, haya estos
solicitados el mensaje o no. Es muy utilizado por las
empresas para publicitar sus productos. El Spamming está
siendo actualmente tratado por las leyes europeas
(principalmente España) como una violación de los
derechos de privacidad del usuario.
Ransomwear:
Es conocido también como “Secuestro digital”, consiste
en un código malicioso que cifra toda la información del
usuario para luego pedir un pago para recuperar la data.
APT(Amenazas persistentes avanzadas):
A diferencia de los virus que a mayor número de redes
contagiadas mayores es su probabilidad de éxito, las APT
no atacan de forma aleatoria, sino que tienen un
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
objetivo específico y buscan pasar sigilosamente y
permanecer en los sistemas por mucho tiempo.
Las APT combinan varias formas de ataque. Usan la
ingeniería social para conseguir las credenciales de un
sistema, o atacan a un socio de negocio más pequeño que
tenga medidas de seguridad más laxas para saltar de un
sistema a otro
Consumerización" y uso de dispositivos personales
La "consumerización" y el uso de dispositivos personales
en el trabajo están fomentando la introducción de
dispositivos iPad y teléfonos iPhone o Android en las
redes corporativas. Para hacer frente a esta tendencia,
las estrategias de seguridad deben prestar atención a
los dispositivos que no funcionan correctamente o en los
que no se han instalado agentes para estaciones de
trabajo.
Por ejemplo, si un usuario se conecta desde un equipo
Mac con código malicioso, la capa de protección de la
red debería ser capaz de detectar que el dispositivo
está intentando obtener actualizaciones del código
malicioso o realizando cualquier otra actividad
sospechosa, y solucionar el problema. De lo contrario,
puede que no se dé cuenta hasta que la red se haya
infectado y tener que hacerse cargo de las
consecuencias. La consumerización y el uso de
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
dispositivos personales aumentan la importancia de
alinear las diferentes capas de seguridad, sobre todo, a
nivel de la red
2. Nuevos Investigados
FRAGMENTACION IP : Ping de la muerte
Un ataque de fragmentación es un intento de
interrumpir o negar el acceso a un ordenador central,
o de la red, mediante la transmisión de unidades de
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
datos o datagramas, que se rompen deliberadamente en
fragmentos más pequeños. El conjunto de protocolos de
Internet - el conjunto de protocolos de comunicación,
o reglas, para el envío de datos a través de redes
informáticas, incluida Internet - utiliza la
fragmentación como parte de su operación legítima,
pero la fragmentación se puede explotar de diversos
modos por los atacantes.
Death.-El llamado Ping O' ataque de fragmentación
Death Ping O utiliza la utilidad ping - se utiliza
para probar la disponibilidad de hosts en un
protocolo de Internet (IP) - para crear un datagrama
que es más grande que el tamaño máximo permitido de
65.535 bytes . El datagrama se envía a través de la
red como una serie de pequeños paquetes , que, cuando
se vuelve a montar en el host de destino , hacer que
se caiga .
Teardrop .-Llamado ataque de fragmentación lágrima
explota una debilidad en la capacidad del Protocolo
de Internet para volver a ensamblar los datagramas
fragmentados . Los atacantes envían grandes
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
fragmentos , que se superponen por todos, pero un
solo byte , a través de la red, de modo que cuando el
host de destino intenta volver a unirlos se queda sin
memoria intermedia , o de la memoria , el espacio y
los accidentes .
Tiny Fragment.- El llamado Tiny ataque de
fragmentación fragmento , por otra parte , utiliza
fragmentos muy pequeños , por lo que el primer
fragmento no es lo suficientemente grande para
contener toda la información de cabecera de datagrama
y parte de ella se ve obligado en el segundo
fragmento . Si esto sucede , las funciones de
seguridad de red , tales como filtros , pueden ser
incapaces de probar la primera fragmento
adecuadamente y pueden permitir , y fragmentos
subsiguientes , para alcanzar el host de destino .
ROOT KIT
Programas que son insertados en una computadora
después de que algún atacante ha ganado el control de
un sistema.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
Función:
Ocultar los rastros del ataque.
Encubrir los procesos del atacante
Puertas traseras.
Exploits para atacar otros sistemas
SPAMMING
Este tipo de ataque consiste en el bombardeo
indiscriminado
de emails hacia un objetivo desde uno o mas
servidores de
correos que no realiza autenticación de usuarios
(Open Relay)
antes de realizar los envíos.
SEGURIDAD INFORMÁTICA
ATAQUES INFORMÁTICOS 2014
DNS REBINDING
Es un ataque informático basado en DNS donde el
atacante aprovecha una vulnerabilidad para
transformar el equipo en un proxy de red. Para esto
utiliza código embebido en páginas web aprovechándose
de la política del mismo origen de los navegadores.
El atacante registra un dominio el cual delega a unservidor DNS que él controla. El servidor estáconfigurado para responder con un parámetro TTL muycorto, que previene que la respuesta sea cacheada. Laprimera respuesta contiene la dirección IP delservidor con el código malicioso. Las consiguientesrespuestas contienen direcciones IP de redes privadasfalsas (RFC 1918) presumiblemente detrás deun firewall que es la meta del atacante. Dado que las
SEGURIDAD INFORMÁTICA