Seguridad Informatica

ATAQUES INFORMÁTICOS 2014

1. Definidos en clases

VIRUS INFORMATICO:Un virus informático es un malware que tiene por objeto

alterar el normal funcionamiento de la computadora, sin el

permiso o el conocimiento del usuario. Los virus,

habitualmente, reemplazan archivos ejecutables por otros

infectados con el código de este. Los virus pueden

destruir, de manera intencionada, los datos almacenados en

una computadora, aunque también existen otros más

inofensivos, que solo se caracterizan por ser molestos.

GUSANO INFORMATICO:Un gusano informático es similar a un virus informático.

Tanto un gusano y un virus pueden dañar su ordenador,

haciendo que se ralentice o se cortó. Sin embargo, a

diferencia de un virus - que necesita un archivo

ejecutable de acogida con el fin de operar - el gusano

sólo se necesita una conexión de red para propagarse de un

equipo a otro. Un gusano también tiene la capacidad de

replicarse automáticamente.

Existen numerosos tipos de gusanos informáticos,

incluyendo el gusano de correo electrónico, que corrompe a

su ordenador a través de un mensaje de correo electrónico.

El mismo mensaje puede incluir un enlace o archivo adjunto

a un sitio web infectado que dañará el equipo una vez

abierto.

SEGURIDAD INFORMÁTICA


TROYANOS:

Los troyanos son programas maliciosos que realizan acciones no autorizadas por el usuario. Estas acciones pueden incluir las siguientes:

Eliminación de datos Bloqueo de datos Modificación de datos Copia de datos

Interrupción del rendimiento de ordenadores o redes de ordenadores

A diferencia de los virus y los gusanos informáticos, los troyanos no pueden multiplicarse.

SCRIPTS:Desde la perspectiva de un explorador, una página Web es

simplemente una larga cadena de caracteres El explorador

procesa secuencialmente, mostrando algunos caracteres, e

interpretando otros, como <b> y <script>, de acuerdo con

reglas especiales. Si un usuario malintencionado puede

insertar algunos de estos caracteres especiales en una

página, el explorador no sabrá que dichos caracteres no

deberían estar ahí, y los procesará como parte de la

página.

IPSCAN:Ataque de tipo “IP half scan”: el atacante intenta

conectarse repetidas veces a un equipo de destino, pero

envía paquetes ACK en respuesta a los paquetes SYN/ACK.

Durante una conexión TCP normal, el origen inicia la



conexión mediante el envío de un paquete SYN a un puerto

del sistema de destino. Si hay algún servicio que atiende

dicho puerto, responde con un paquete SYN/ACK. A

continuación, el cliente que inicia la conexión responde

con un paquete ACK y se establece la conexión. Si el host

de destino no está a la espera de la conexión en el puerto

especificado, responde con un paquete RST. La mayoría de

registros de sistema no registran las conexiones

completadas hasta que se recibe el paquete ACK final desde

el origen. El envío de otros tipos de paquetes, que no

siguen esta secuencia, puede provocar respuestas útiles

del host de destino, sin que se registre ninguna

conexión.

WEB BROSING:Si el sistema infectado tiene acceso a cualquier página

WEB, infecta a todos los archivos de contenido Web, de

forma tal que aquellos usuarios que navegan a esas páginas

sean infectados.

TRACKWARE:Es todo programa que realiza el seguimiento de las

acciones que realiza el usuario mientras navega por

Internet (páginas visitadas, banners que pulsa, etc.) y

crea un perfil que utiliza con fines publicitarios.

SPEAR PISHING:Spear phishing es una estafa focalizada por correo

electrónico cuyo único propósito es obtener acceso no



autorizado a datos confidenciales. A diferencia de las

estafas por phishing, que pueden lanzar ataques amplios y

dispersos, el spear phishing se centra en un grupo u

organización específicos. La intención es robar propiedad

intelectual, datos financieros, secretos comerciales o

militares y otros datos confidenciales.

JOKE:Se trata de programas que simulan los efectos de virus

destructivos -por ejemplo la eliminación de los ficheros

de disco duro-. Ante este tipo de programas lo mejor es no

perder la calma y comprobar que en realidad no han

producido los efectos destructivos que el programa

simulaba.

EXPLOIT:Exploit (proviene del inglés to exploit, explotar,

aprovechar) es el nombre con el que se identifica un

programa informático malicioso, o parte del programa,

que trata de forzar alguna deficiencia o vulnerabilidad

(bug) del sistema. El fin de este puede ser la destrucción

o inhabilitación del sistema atacado, aunque normalmente

se trata de violar las medidas de seguridad para

poder acceder al mismo de forma no autorizada y emplearlo

en beneficio propio o como origen de otros ataques a

terceros.

ARCHIVOS COMPARTIDOS NO PROTEGIDOS



Uso de archivos compartidos para copiar componentes

virales en todas las ubicaciones alcanzables

ARCHIVOS MASIVOS

Envío de e-mail infectado a direcciones encontradas

en directorio (address book)Los virus/malware de correo electrónico tienen la

habilidad de propagarse a través de mensajes de correo

electrónico mediante la automatización de los clientes de

correo electrónico del equipo infectado o propagando los

virus/malware. El correo masivo supone una infección que

se propaga rápidamente en un entorno Microsoft Exchange.

SIMPLE NETWORK MANAGEMENT PROTOCOL

Los atacantes están crecientemente abusando dedispositivos configurados para responder públicamentea las solicitudes sobre el internet de SNMP (SimpleNetwork Management Protocol) para amplificar losDDoS. Esta técnica de amplificación, que también esconocida como reflexión, puede teóricamente funcionarcon cualquier protocolo que es vulnerable al spoofingde direcciones IP y puede generar muchas respuestas apeticiones pequeñas. Los atacantes pueden realizarsolicitudes que se original desde la dirección IP desu víctima para engañar a los servidores que lasaceptan sobre estos protocolos para inundar a lasvíctimas con datos.



Muchos ataques DDoS en el año pasado han utilizadosDNS mal configurados y servidores NTP para estasamplificaciones. Sin embargo, dispositivos quesoporta SNMP, un protocolo diseñado para habilitar elmonitoreo de dispositivos en una red, puede serabusado si el servicio SNTP está directamenteexpuesto al internet. Los dispositivos habilitados con SNMP pueden serencontrados en casa y en empresas por igual e incluysimpresoras, switches, routers y firewalls.

HOAXES (mensajes engañosos)

Un hoax (del inglés: engaño, bulo) es un mensajede correo electrónico con contenido falso o engañosoy normalmente distribuido en cadena.Algunos informan sobre virus desastrosos, otrosapelan a la solidaridad con un niño enfermo ocualquier otra noble causa, otros contienen fórmulaspara hacerse millonario o crean cadenas de la suertecomo las que existen por correo postal.Los objetivos que persigue quien inicia un hoax son:alimentar su ego, captardirecciones decorreo y saturar la red o los servidores de correo.

BACK DOORS (puertas traseras)

En la informática, una puerta trasera (o en

inglés backdoor), en un sistema informático es una

secuencia especial dentro del código de programación,

mediante la cual se pueden evitar los sistemas de


http://es.wikipedia.org/wiki/Inform%C3%A1tica


seguridad del algoritmo (autentificación) para

acceder al sistema. Aunque estas puertas pueden ser

utilizadas para fines maliciosos y espionaje no

siempre son un error, pueden haber sido diseñadas con

la intención de tener una entrada secreta.

Los más conocidos son Back Orifice y NetBus, dos de

los primeros backdoors, que hasta nuestros días siguen

vigentes aunque en menor cantidad dado que la mayoría

de los programas antivirus los detectan. Otro muy

conocido es el SubSeven, que también fue introducido

en millones de ordenadores en el mundo.

PASSWORD CRACK (ruptura de contraseña)

a. Intentar descifrar una contraseña

b. Fuerza Bruta

i. Aplicación de la computación y recursos de

redes para probar cada combinación posible

de opciones de una contraseña

c. Diccionario

i. El ataque por diccionario de contraseñas

reduce el campo de pruebas seleccionando

cuentas específicas que atacar y usa lista

de contraseñas comúnmente usadas

(diccionario) para guiar el descubrimiento


http://es.wikipedia.org/wiki/Sub7

http://es.wikipedia.org/wiki/NetBus

http://es.wikipedia.org/wiki/Back_Orifice


Negación de Servicio (DoS)

La negación de servicio es una modalidad de ataque que

tiene como objetivo imposibilitar el acceso a servicio y

recursos de una organización (que se encuentra

normalmente conectada a una red) durante un periodo de

tiempo indefinido, normalmente los ataques son dirigidos

a los servidores de la empresa para que no puedan

utilizarse.

La mayoría de los ataques de denegación de servicio

aprovechan las vulnerabilidades relacionadas con la

implementación de un protocolo TCP/IP modelo.

Estos ataques no son muy complicados de realizar pero

impactan en una gran cantidad de dispositivos

involucrados.

Ejemplos:

- Generar una sobrecarga o saturación en el

procesamiento de datos de una computadora para hacerla

inutilizable.

- Las denegaciones de servicio por explotación de

vulnerabilidades, que aprovechan una vulnerabilidad en

el sistema para volverlo inestable.

- Acaparar un gran ancho de banda de modo que los

equipos involucrados se vean perjudicados.



Negación de servicios distribuida (DDoS)

El ataque de negación de servicios distribuidos se

produce cuando un conjunto de equipos activan una

denegación de servicio, esto para quitar de operación

uno o más servicios o computadoras conectadas a una red.

Normalmente este ataque busca utilizar todo el ancho de

banda disponible para tornar lentas las operaciones que

realiza el sistema.

Su objetivo, al igual que el DOS no es invadir el equipo

para recabar o alterar datos, sino en dañar la

reputación de las compañías e impedir el desarrollo

normal de sus actividades.

Los tipos más conocidos son:

- Tribal Flood Network (TFN)

- Trinno

Spoofing

El Spoofing se da cuando un atacante se hace pasar por

otra persona en el acceso a los recursos de un sistema

para obtener información restringida o robarla. Este

tipo de ataque puede tomar una variedad de formas

diferentes, por ejemplo, un atacante puede hacerse pasar

por el Protocolo de Internet (IP) de un usuario legítimo

con el fin de entrar en sus cuentas.



Además, un atacante puede enviar correos electrónicos

fraudulentos y crear sitios web falsos con el fin de

capturar nombres de usuarios de inicio de sesión,

contraseñas, e información de cuentas. Fingiendo una

página web o correo electrónico se llama un ataque de

phishing. Otro tipo de suplantación de identidad

consiste en la creación de un falso punto de acceso

inalámbrico y engañar a las víctimas en la conexión a

través de la conexión ilegítima.

Las direcciones IP son similares a las direcciones

postales y da información de las rutas y ubicación

correcta a través de redes. Los datos se dividen y se

envían en trozos llamados paquetes. Cada paquete

contiene la dirección del remitente y la dirección del

destinatario. La suplantación de direcciones IP son

posibles porque un atacante puede falsificar la

dirección del remitente y hacer que el paquete parezca

que venga de otra persona. Un uso común de la

falsificación de direcciones IP es un ataque de

denegación de servicio donde un atacante usa la

suplantación para ocultar la fuente de su ataque.

Los ataques de phishing involucran la creación de

páginas web falsas o el envío de mensajes de spam en un

intento para atraer a las víctimas potenciales de sitios

web falsos. El campo “remitente” en un correo



electrónico se puede cambiar fácilmente y siempre que

los protocolos de correo electrónico sean aceptables, el

mensaje será entregado. Un sitio de phishing puede ser

igual al sitio web real, con los esquemas de color,

diseño y logotipos. Una víctima que intenta utilizar el

sitio sin saberlo, puede ofrecer así sus datos

personales a los criminales.

Otra variante es Fake or rogue WIFI access point

masquerading (Imitación o punto de acceso enmascarado

Wi-Fi) en los aeropuertos, estaciones de tren,

instituciones financieras y tiendas ofrecen a los

atacantes una manera relativamente simple para robar

datos.

Man in the middle (MITM)

Un ataque Man in the middle (hombre en el medio), es un

tipo de amenaza que se aprovecha de un intermediario. El

atacante en este caso, tiene la habilidad de desviar o

controlar las comunicaciones entre dos partes. Por

ejemplo, si se tratase de un ataque MITM a tu correo, el

perpetrador podría desviar todos los e-mails a una

dirección alterna para leer o alterar toda la

información antes de enviarla al destinatario correcto.

Digamos que te conectas a una red WiFi en la calle para

revisar tus redes sociales y tu email tranquilamente. Un

hacker malintencionado puede interceptar las



comunicaciones entre tu computadora o tu smartphone y la

red WiFi, teniendo acceso a todo lo que haces. Si la red

WiFi no está cifrada, y el atacante está cerca del rango

de la conexión, se puede insertar a si mismo como "el

hombre en el medio". Siempre que el atacante pueda

autenticarse como los dos lados de la comunicación,

tendrá todo el acceso.

Spam

Se llama spam, correo basura o sms basura a los mensajes

no solicitados, habitualmente de tipo publicitario,

enviados en grandes cantidades (incluso masivas) que

perjudican de alguna o varias maneras al receptor. La

acción de enviar dichos mensajes se denomina spamming.

Aunque se puede hacer por distintas vías, la más

utilizada entre el público en general es la basada en el

correo electrónico. Otras tecnologías de internet que

han sido objeto de correo basura incluyen grupos de

noticias, usenet, motores de búsqueda, wikis, foros,

blogs, también a través de popups y todo tipo de

imágenes y textos en la web. El correo basura también

puede tener como objetivo los teléfonos móviles (a

través de mensajes de texto) y los sistemas de

mensajería instantánea como por ejemplo Outlook, Lotus

Notes, etc.



También se llama spam a los virus sueltos en la red y

páginas filtradas (casino, sorteos, premios, viajes y

pornografía), se activa mediante el ingreso a páginas de

comunidades o grupos o acceder a links en diversas

páginas.

Mail Bombing

El Mail Bombing consiste en enviar muchas veces un

mensaje idéntico a una misma dirección, saturando así la

bandeja de entrada del destinatario.

Una de sus variantes es el Spamming, este se refiere a

enviar un e–mail a miles de usuarios, haya estos

solicitados el mensaje o no. Es muy utilizado por las

empresas para publicitar sus productos. El Spamming está

siendo actualmente tratado por las leyes europeas

(principalmente España) como una violación de los

derechos de privacidad del usuario.

Ransomwear:

Es conocido también como “Secuestro digital”, consiste

en un código malicioso que cifra toda la información del

usuario para luego pedir un pago para recuperar la data.

APT(Amenazas persistentes avanzadas):

A diferencia de los virus que a mayor número de redes

contagiadas mayores es su probabilidad de éxito, las APT

no atacan de forma aleatoria, sino que tienen un



objetivo específico y buscan pasar sigilosamente y

permanecer en los sistemas por mucho tiempo.

Las APT combinan varias formas de ataque. Usan la

ingeniería social para conseguir las credenciales de un

sistema, o atacan a un socio de negocio más pequeño que

tenga medidas de seguridad más laxas para saltar de un

sistema a otro

Consumerización" y uso de dispositivos personales

La "consumerización" y el uso de dispositivos personales

en el trabajo están fomentando la introducción de

dispositivos iPad y teléfonos iPhone o Android en las

redes corporativas. Para hacer frente a esta tendencia,

las estrategias de seguridad deben prestar atención a

los dispositivos que no funcionan correctamente o en los

que no se han instalado agentes para estaciones de

trabajo.

Por ejemplo, si un usuario se conecta desde un equipo

Mac con código malicioso, la capa de protección de la

red debería ser capaz de detectar que el dispositivo

está intentando obtener actualizaciones del código

malicioso o realizando cualquier otra actividad

sospechosa, y solucionar el problema. De lo contrario,

puede que no se dé cuenta hasta que la red se haya

infectado y tener que hacerse cargo de las

consecuencias. La consumerización y el uso de



dispositivos personales aumentan la importancia de

alinear las diferentes capas de seguridad, sobre todo, a

nivel de la red

2. Nuevos Investigados

FRAGMENTACION IP : Ping de la muerte

Un ataque de fragmentación es un intento de

interrumpir o negar el acceso a un ordenador central,

o de la red, mediante la transmisión de unidades de



datos o datagramas, que se rompen deliberadamente en

fragmentos más pequeños. El conjunto de protocolos de

Internet - el conjunto de protocolos de comunicación,

o reglas, para el envío de datos a través de redes

informáticas, incluida Internet - utiliza la

fragmentación como parte de su operación legítima,

pero la fragmentación se puede explotar de diversos

modos por los atacantes.

Death.-El llamado Ping O' ataque de fragmentación

Death Ping O utiliza la utilidad ping - se utiliza

para probar la disponibilidad de hosts en un

protocolo de Internet (IP) - para crear un datagrama

que es más grande que el tamaño máximo permitido de

65.535 bytes . El datagrama se envía a través de la

red como una serie de pequeños paquetes , que, cuando

se vuelve a montar en el host de destino , hacer que

se caiga .

Teardrop .-Llamado ataque de fragmentación lágrima

explota una debilidad en la capacidad del Protocolo

de Internet para volver a ensamblar los datagramas

fragmentados . Los atacantes envían grandes



fragmentos , que se superponen por todos, pero un

solo byte , a través de la red, de modo que cuando el

host de destino intenta volver a unirlos se queda sin

memoria intermedia , o de la memoria , el espacio y

los accidentes .

Tiny Fragment.- El llamado Tiny ataque de

fragmentación fragmento , por otra parte , utiliza

fragmentos muy pequeños , por lo que el primer

fragmento no es lo suficientemente grande para

contener toda la información de cabecera de datagrama

y parte de ella se ve obligado en el segundo

fragmento . Si esto sucede , las funciones de

seguridad de red , tales como filtros , pueden ser

incapaces de probar la primera fragmento

adecuadamente y pueden permitir , y fragmentos

subsiguientes , para alcanzar el host de destino .

ROOT KIT

Programas que son insertados en una computadora

después de que algún atacante ha ganado el control de

un sistema.



Función:

Ocultar los rastros del ataque.

Encubrir los procesos del atacante

Puertas traseras.

Exploits para atacar otros sistemas

SPAMMING

Este tipo de ataque consiste en el bombardeo

indiscriminado

de emails hacia un objetivo desde uno o mas

servidores de

correos que no realiza autenticación de usuarios

(Open Relay)

antes de realizar los envíos.



DNS REBINDING

Es un ataque informático basado en DNS donde el

atacante aprovecha una vulnerabilidad para

transformar el equipo en un proxy de red. Para esto

utiliza código embebido en páginas web aprovechándose

de la política del mismo origen de los navegadores.

El atacante registra un dominio el cual delega a unservidor DNS que él controla. El servidor estáconfigurado para responder con un parámetro TTL muycorto, que previene que la respuesta sea cacheada. Laprimera respuesta contiene la dirección IP delservidor con el código malicioso. Las consiguientesrespuestas contienen direcciones IP de redes privadasfalsas (RFC 1918) presumiblemente detrás deun firewall que es la meta del atacante. Dado que las


http://es.wikipedia.org/wiki/Firewall

http://tools.ietf.org/html/rfc1918

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP

http://es.wikipedia.org/wiki/Tiempo_de_vida_(inform%C3%A1tica)

http://es.wikipedia.org/wiki/DNS

http://es.wikipedia.org/wiki/Navegador_web

http://es.wikipedia.org/wiki/Pol%C3%ADtica_del_mismo_origen

http://es.wikipedia.org/wiki/DNS

http://es.wikipedia.org/wiki/Ataque_inform%C3%A1tico


dos son respuestas DNS completamente válidas,autorizan al script el acceso a hosts dentro de lared privada. Devolviendo múltiples direcciones IP, elservidor DNS habilita al script para escanear la redlocal o realizar actividades maliciosas.


Seguridad Informatica

Documents

Transcript of Seguridad Informatica