Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Ataques informáticos y medidas

No description
by

deiaod asad

on 15 April 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Ataques informáticos y medidas

Tipos de Ataques
Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.
En los primeros tiempos. Los Insiders utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.
Amenazas Lógicas

Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.
Existen agujeros de seguridad en los sistemas operativos.
Existen agujeros de seguridad en las aplicaciones.
Existen errores en las configuraciones de los sistemas.
Los usuarios carecen de información respecto al tema.

Acceso no autorizado
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.
Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).
Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo.
Tipos de ataques
Ingeniería Social
Ingeniería Social Inversa
Trashing (Cartoneo)
Ataques de Monitorización
Ataques de Autenticación
Denial of Service (DoS)
Ataques de Modificación - Daño
Errores de Diseño, Implementación y Operación

Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.
Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
Trashing
Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema..."nada se destruye, todo se transforma".
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc.
El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, como colegios y universidades.

Amenaza detectada,
Javier Renedo

Ataques de Monitorización
Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.


Ataques de Autenticación
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.
Denial of Service (DoS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.


Implementación de las Técnicas

Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su rastreo.
Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa.
Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas.
Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses.

¿Cómo defenderse de estos Ataques?
Mantener las máquinas actualizadas y seguras físicamente
Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).
Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección.
No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf.
Filtrar el tráfico IP Spoof.
Auditorias de seguridad y sistemas de detección.
Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información.
Por último, pero quizás lo más importante, la capacitación continua del usuario.
¿Que es un malware?
El Malware es un tipo de software que tiene como objetivo infiltrarse o dañar un ordenador sin el consentimiento de su propietario.
Virus
Son programas dañinos que se introducen en el ordenador a través de programas o paginas extrañas .
Troyano
Consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
-Evite descargarse contenidos de páginas desconocidas o de dudosa reputación.
-Vigile las descargas realizadas desde aplicaciones P2P.
-Actualice constantemente su programa antivirus, y si no dispone de programa antivirus.
Bombas lógicas o de tiempo
Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
Hoax
Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos.
Joke
Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!.
Gusanos
. El gusano informático o worm es un tipo de virus cuya finalidad es multiplicarse e infectar todos los equipos de una red de ordenadores. No suelen destruir archivos pero ralentizan el funcionamiento de los equipos y de la red. Suelen entrar a través del correo electrónico.
Espías o Spyware
Un espía o spyware es un programa que se instala en el ordenador sin el conocimiento del usuario y cuya finalidad es tomar información personal del usuario (por ejemplo las páginas web visitadas) para facilitársela a empresas de publicidad que nos enviarán spam o correo basura. Los programas espía también ralentizan la conexión a internet.

Pharming
Es una modalidad de fraude informático que consiste en el redireccionamiento malintencionado de un sitio web de confianza a un sitio web malicioso. La intención del pharming es el robo de datos personales
para cometer delitos económicos.
El pharming puede hacer que si nosotros tecleamos en nuestro navegador la dirección:
www.facebook.com, seamos redirigidos a la dirección falsa www.facebuuk.com que va a tener la misma apariencia que la verdadera y desde donde nos van a pedir datos
personale o contraseñas.
Phising
Se trata de otra modalidad de fraude informático en la que el usuario es enviado a una página web falsa desde un enlace incluido en un correo electrónico falso, con el fin de robar información confidencial (contraseñas bancarias, de correo electrónico o de redes sociales). El phishing también lo podemos recibir a través de las páginas de redes sociales como
twitter, twenti, etc.




Spoofing (ARP y DNS)


Se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseadaesde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado.
DNS Spoofing

Este ataque hace referencia al falseamiento de una dirección IP ante una consulta de resolución de nombre (esto es, resolver con una dirección falsa un cierto nombre DNS), o viceversa (resolver con un nombre falso una cierta dirección IP). Esto se puede conseguir de diferentes formas, desde modificando las entradas del servidor encargado de resolver una cierta petición para falsear las relaciones dirección-nombre, hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos falseados como respuesta a una petición de su víctima sin más que averiguar los números de secuencia correctos.

ARP Spoofing


El ataque denominado ARP Spoofing hace referencia a la construcción de tramas de solicitud y respuesta ARP falseadas, de forma que en una red local se puede forzar a una determinada máquina a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio hasta interceptación de datos, incluyendo algunos Man in the Middle contra ciertos protocolos cifrados. En podemos obtener más información acerca de este ataque, así como código fuente para enviar tramas falseadas y comprobar los efectos del ARP Spoofing en nuestra red.




Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.
Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (osea a todas partes).
SNIFFING

Autenticación. En la seguridad de ordenador, la autenticación es el proceso de intento de verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por sí mismo o un programa del ordenador. En un web de confianza, "autenticación" es un modo de asegurar que los usuarios son quien ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorización para hacer así.

Métodos de autenticación
SSH puede utilizar varios métodos de autenticación y hay archivos que controlan los permisos para estos métodos.
Autenticación mediante usuario/contraseña
Autenticación basada en host/usuario
Autenticación mediante claves

Autenticación
Un protocolo de autentificación (o autenticación) es un tipo de protocolo criptográfico que tiene el propósito de autentificar entidades que desean comunicarse de forma segura.

Los protocolos de autenticación se negocian inmediatamente después de determinar la calidad del vínculo y antes de negociar el nivel de red.

Algunos protocolos de autentificación son:
* PAP: Protocolo de autentificación de contraseña
* CHAP: Protocolo de autentificación por desafío mutuo
* SPAP: Protocolo de autentificación de contraseña de Shiva
* MS-CHAP y MS-CHAP v2: Protocolo de autentificación por desafío mutuo de Microsoft (variantes de CHAP)
* EAP: Protocolo de autentificación extensible
* Diameter
* Kerberos
* NTLM (también conocido como NT LAN Manager)
* PEAP:P rotocolo de autenticación extensible protegido
* RADIUS
* TACACS y TACACS+

Protocolos de autenticación

Cortafuegos

Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador.
Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets.
Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados.
Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red.

ZoneAlarm® Free Firewall 2013
ZoneAlarm Firewall Free es un excelente Cortafuegos gratis para evitar la acción de los hackers (si es que se puede) en nuestro ordenador cuando estamos conectados a la red. Imprescindible si tienes una dirección fija (Cable, ADSL, etc…)

Comodo Firewall (Gratis)
Comodo Personal Firewall te permite asegurar tu sistema contra ataques de todo tipo, como virus, troyanos, ataques de hackers o cualquier otro tipo de software malintencionado que haya podido entrar en tu PC.


Outpost Firewall FREE 2009.

Outpost Firewall FREE 2009 es un potente firewall gratuito de la empresa Agnitum el cual consume muy pocos recursos del sistema y genera un muro virtual entre nuestros equipos y el exterior para evitar la infiltración y/o robo de información.

Proxies

Un servidor Proxy es un ordenador que sirve de intermediario entre un navegador Web e Internet. El Proxy contribuye a la seguridad de la red. Por lo general está situada en la DMZ (zona desmilitarizada).
Los servidores Proxy permiten dar seguridad y mejorar el acceso a páginas Web, conservándolas en la caché. De este modo, cuando un usuario envía una petición para acceder a una página Web que está almacenada en la caché, la respuesta y el tiempo de visualización es más rápido.
Además de ocultar la dirección IP, un Proxy anónimo puede eliminar:
Cookies
Pop-ups
Banners
Scripts
Información confidencial en los campos de texto (nombre de usuario y contraseña)

Los proxys anónimos
Otras

Soluciones preventivas
Reducir funcionalidades a las necesarias (hardening) y reforzar las que quedan (armoring)
Instalar parches de seguridad
Estar suscrito a información sobre seguridad
VPN, Firewalls e IDS

Evidencia Digital:
Correos, archivos e imágenes
Informática Forense
Históricos y archivos de configuración
Hojas de cálculo, bases de datos, etc.
Debe considerarse que puede ser duplicada, eliminada y alterada

Procedimientos:
Esterilidad para evitar contaminación
Verificación y resguardo mediante firma digital

Solución Correctiva
Full transcript