TEMA 42 Principales amenazas para la seguridad de los SI s: Intrusiones, virus, phishing, spam y otros..

Transcripción

1 TEMA 42 Principales amenazas para la seguridad de los SI s: Intrusiones, virus, phishing, spam y otros.. 1 Introducción Programas maliciosos Métodos de infección: Métodos de prevención Intrusiones en los SI Métodos de protección Riesgo con los sistemas de acceso remoto Amenazas a nivel de la red de comunicaciones Prevención: Phishing Spam Ad-ware Introducción El objetivo de los sistemas de información es satisfacer las necesidades de sus usuarios (eficacia) con el menor consumo de recursos informáticos posible (eficiencia). Existe una serie de amenazas que pueden provocar que un sistema de información no sea eficaz y/o eficiente, es decir, que sea inseguro. Para garantizar la seguridad de un SI se tienen que cumplir tres principios básicos: Confidencialidad: Que la información sólo sea accesible por las personas que estén autorizadas. Disponibilidad: Que el acceso a la información esté disponible en el momento que los usuarios legítimos la necesiten. Integridad: La información debe mantenerse completa y correcta. No puede ser manipulada sin autorización. Tradicionalmente, la principal amenaza a la seguridad de los SI eran los virus. Programas maliciosos, que infectaban los ordenadores y se transmitían gracias a la intervención humana, mediante disquetes. Con la popularización de Internet y de las redes de comunicaciones, las amenazas a la seguridad de los SI han aumentado y se han diversificado. La principal causa ha sido y es la inherente inseguridad de las tecnologías de comunicaciones telemáticas pues inicialmente se diseñaron sin tener en cuenta requisitos de seguridad. Esta inseguridad aumenta dado el carácter público de Internet. Página 1 de 9

2 Las principales fuentes de amenazas a la seguridad son: Los operadores: Sus acciones pueden provocar daños a los SI, tanto de forma intencionada o accidental. Los programas maliciosos: Bombas lógicas, virus, gusanos... son programas diseñados para provocar daños a los SI s. Intrusiones: Son accesos no autorizados a los SI s de la organización que amenazan la integridad y la confidencialidad de los datos. Comunicaciones maliciosas: DoS, phising, spam... Son comunicaciones no legitimas que causan perjuicio a los SI s o a los usuarios. Página 2 de 9

3 2 Programas maliciosos Los programas maliciosos son aquellos que realizan operaciones desconocidas por el usuario y administradores, que provocan perjuicios al sistema. Se pueden clasificar en: 1. Bacterias: Son programas autónomos que no provocan daños. Su único propósito es replicarse a si mismos. Las bacterias se reproducen de forma exponencial, consumiendo los recursos del sistema. 2. Bombas lógicas: Es código insertado en algún programa legítimo que cuando se cumplen ciertas condiciones realiza acciones maliciosas. Por ejemplo: Es conocido el caso de un empleado que añadió una bomba lógica al programa de cálculo de nominas. Si su identificador no aparecía durante dos meses en la lista de empleados a calcular la nómina, el programa comenzaba a borrar archivos, detenerse sin motivo y causar otros problemas. 3. Caballos de Troya: Un caballo de Troya es una funcionalidad desconocida en un programa, que cuando se invoca, lleva a cabo funciones dañinas o no deseadas. Los caballos de Troya son utilizados para que usuarios con permisos realicen de forma involuntaria acciones que ponen en peligro la seguridad del sistema. Por ejemplo: Un usuario confiado puede ejecutar un programa aparentemente inofensivo (Por ejemplo: un pequeño juego envíado por ) que ejecute de forma invisible los permisos de los archivos del usuario para que fueran legibles por cualquier otro usuario, revelando datos confidenciales). 4. Virus: Un virus es un programa que puede 'infectar' otros programas modificándolos. La modificación incluye una copia del virus, para que sea ejecutada al ejecutar el programa infectado y poder continuar infectando otros programas o realizar otro tipo de actividad maliciosa. Es el tipo de ataque más común y dañino. 5. Gusanos: Programas maliciosos que utilizan las infraestructuras de comunicaciones (LAN e Internet) para saltar de ordenador en ordenador. Una vez dentro del sistema el gusano puede comportarse como virus, bacteria, implantar un caballo de Troya o realizar cualquier operación maliciosa. Actualmente es el modo de infección más corriente de virus. 2.1 Métodos de infección: Una de las principales características de los virus es su capacidad de transmitirse de ordenador en ordenador. Los primeros virus, debían contar con la intervención involuntaria de los usuarios para transmitirse (Por ejemplo, a través de disquettes). Actualmente, gracias a las redes de comunicaciones, los virus pueden transmitirse sin necesidad de la intervención de los usuarios. Página 3 de 9

4 Los métodos clásicos de infección de virus son: 1. Virus no residentes: Es la forma tradicional de infección de los virus. El virus modifica los programas infectados para que al ejecutarse, primero se ejecute el código del virus. Para ello, modifica el puntero de inicio de ejecución del programa huésped para que apunte al código del virus. El virus se ejecuta una sola vez que aprovecha para buscar otros ficheros ejecutables para infectarlos. 2. Virus residentes en memoria: El virus infecta los programas como los virus noresidentes, pero al ejecutarse, carga una copia del virus en memoria principal como parte de un programa residente. De esta forma, el virus esta en ejecución continua realizando su actividad maliciosa. 3. Virus residentes en el sector de arranque: Este virus infecta el sector de arranque del disco y se ejecuta cuando el sistema se arranca desde el disco infectado. Su medio de propagación son los disquetes. Actualmente los virus tienen comportamientos de gusanos para utilizar los sistemas de comunicaciones para infectar otros ordenadores. Los sistemas utilizados más comunes son: 1. El servicio de correo electrónico: El gusano divulga una copia de sí mismo a través del correo entre sistemas. El receptor queda contagiado de forma automática si el virus aprovecha algún bug del cliente de correo o engañando al usuario para que ejecute un adjunto infectado (Ejemplo: el virus I love you ). 2. Los servicios de ejecución o conexión remota: El gusano ejecuta una copia de si mismo en otro sistema, aprovechando fallos de seguridad en los sistemas de comunicaciones de los SO. Por ejemplo el gusano Blaster. 2.2 Métodos de prevención Una forma de prevención necesaria es tener antivirus instalados en cada ordenador como programa residente. Los programas antivirus impiden que un virus contagie al ordenador y, si se ha producido el contagio, desinfectan los programas afectados o los ponen en cuarentena, es decir, impiden que se ejecuten para impedir que se ejecute el código del virus. Los antivirus detectan a los virus de dos formas: 3. Mediante rastreo: El antivirus analizan de forma exhaustiva los ficheros de los programas buscando detalles en los programas( huellas en el código ) que evidencien que han sido contagiados. 4. Trampas de actividad: El antivirus identifica el programa infectado por sus acciones. El antivirus detecta las acciones que indican que un virus intenta realizar una infección. Los sistemas de seguridad perimetral en las comunicaciones: Cortafuegos, IPS... minimizan los riesgos de contagio de gusanos. Página 4 de 9

5 3 Intrusiones en los SI Las intrusiones son accesos no autorizados a los SI s que suponen un riesgo para la seguridad del SI. Las técnicas de intrusión se pueden clasificar en dos tipos: Técnicas de ingeniería social: Se centran en conocer a los usuarios para poder suplantarlos o engañarlos. Aprovechar vulnerabilidades de los SO o de los programas para infiltrarse en el sistema. Las técnicas de ingeniería social consisten en prever el comportamiento de un usuario para que de forma involuntaria realice acciones que comprometan la seguridad de los sistemas o poder deducir sus datos de autentificación en el sistema. Por ejemplo, adivinar la contraseña de un usuario usando su fecha de cumpleaños o las de sus hijos. Las intrusiones que aprovechan las vulnerabilidades o bugs de los programas son numerosas y heterogéneas. Las vulnerabilidades son particulares de cada programa, e incluso versión de programa. Aunque existen una serie de vulnerabilidades más frecuentes que son: 1. Cross Site Scripting: Consiste en aprovechar la falta de validación del HTML incrustado en ciertas aplicaciones web, como por ejemplo foros. De esta forma, el intruso inserta código html o javascript no esperado, consiguiendo modificar el comportamiento o el contenido de la página web. Por ejemplo: Insertar un redireccionamiento a otra dirección web insertando código Javascript en los comentarios de un blog. 2. Inyección SQL: Es una vulnerabilidad de los componentes de la lógica de una aplicación que permite enviar sentencias SQL no autorizadas a la base de datos de la aplicación. Esto supone un riesgo a la integridad de los datos y puede conseguir modificar el comportamiento de la aplicación. Se consigue introduciendo una sentencia SQL oculta junto a una sentencia SQL legítima. Por ejemplo: Una aplicación con un campo para buscar los datos de un usuario por DNI que alimentaría la sentencia: select * from usuario where DNI= $variable y como $variable se le pasa N ; DROP TABLE usuario; se enviaría a la base de datos una sentencia no autorizada. 3. Buffer overflow: Es una debilidad de un sistema operativo o programa que interprete código ejecutable. Consiste en conseguir ejecutar una operación de escritura en memoria que desborde el buffer asignado para realizar escrituras y modificar otra posición de memoria con el objetivo de modificar el comportamiento del sistema. Por ejemplo, modificar la dirección de retorno de la pila de un proceso, para conseguir que se ejecute código malicioso. La mayoría de las intrusiones se realizan utilizando programas que permiten automatizar las acciones necesarias para la intrusión en el SI. Muchas veces son necesarias realizar, previamente, acciones para obtener información sobre el sistema a atacar. Programas de seguridad como los IPS Sistemas de prevención de Intrusos- son capaces de detectar las acciones previas a un ataque y avisar a los administradores o reconfigurar los Cortafuegos para evitar la intrusión. Página 5 de 9

6 3.1 Métodos de protección Los métodos de protección genéricos ante estos ataques es tener los SI correctamente actualizados y configurados. Pues muchos de estos ataques se centran en vulnerabilidades de software anticuado o mal administrado. Los usuarios deben tener los permisos mínimos para efectuar su trabajo. Una aplicación web que sólo consulte datos de una base de datos, debe hacerlo utilizando un rol de sólo consulta. De esta forma se evitan riesgos como SQL injection. En el desarrollo y mantenimiento de aplicaciones, se deben utilizar los mecanismos de seguridad que todos los entornos de desarrollo empresarial suministran y estar informados de las técnicas de intrusión utilizadas para poder prevenirlas. Por ejemplo, al programar en C utilizar funciones de escritura de buffers con control de tamaño, aunque sean más lentas. Ante las intrusiones a través de las conexiones de red, los sistemas de seguridad perimetral, como los cortafuegos y sistemas de prevención de intrusiones son eficaces. 3.2 Riesgo con los sistemas de acceso remoto Muchos de los SI conectados a redes y equipos de red disponen de sistemas de acceso remoto para permitir su administración a distancia. Por ejemplo, el antiguo Telnet. Esto supone una amenaza, pues es una de las vías más frecuentes para que un intruso acceda a los equipos. La forma de prevenir esta amenaza es: 1. Configurar los servicios activos de los equipos: Mantener activos sólo los servicios de acceso remoto que realmente se necesitan. Es habitual que al instalar un SO, por defecto se instalen estos servicios. 2. Filtrado de protocolos conocidos: Configurar los cortafuegos de la red para que filtren las comunicaciones de servicios de acceso remoto que no se usen. 3. Comunicaciones cifradas: Utilizar protocolos de comunicaciones cifrados, que aseguren la confidencialidad de las contraseñas usadas por los usuarios. (Elimina la amenaza de los sniffers ) 4. Autentificación de las partes. Utilizar mecanismos que garanticen la identidad de los usuarios que se conectan a los equipos. Los más comunes son los sistemas de contraseñas y los sistemas de certificados digitales (claves pública/privada). Página 6 de 9

7 4 Amenazas a nivel de la red de comunicaciones Actualmente, los SI se diseñan de forma distribuida; los componentes de SI interaccionan entre sí utilizando los servicios de las redes de comunicaciones. Un ataque sobre estas redes puede provocar el mal funcionamiento del SI. El ataque puede realizarse directamente sobre los ordenadores conectados a la red o sobre los equipos que componen la red (router, conmutadores ) Los tipos más conocidos de ataques a nivel de red son: Ataque de denegación de Servicio. DoS: Consiste en lograr la pérdida de conectividad de un equipo de la red mediante el consumo de su ancho de banda o la sobrecarga de los recursos del equipo. El atague DoS suele consistir en enviar solicitudes de los protocolos TCP/IP: TCP, UDP, ICMP... en gran número para conseguir consumir los recursos de los sistemas. Pueden darse ataques también a nivel de aplicación, por ejemplo: Enviar ficheros de forma continua a un FTP público hasta conseguir saturar su capacidad de almacenamiento. El ataque también puede darse contra un equipo de red como un router o un servidor DNS Una variante del ataque DoS es el DoS distribuido, en que el ataque se produce de forma coordinada por varios agentes remotos. Generalmente, los equipos remotos son zombies, equipos infectados por un troyano que realiza el ataque DoS. RACE Condition: Consiste en aprovechar una vulnerabilidad de una implementación del protocolo de comunicaciones que se ejecuta en un equipo. Se realizan un conjunto de solicitudes al protocolo que, individualmente son correctas, pero que se realizan en un orden no esperado por el protocolo, provocando un error del funcionamiento. Paquetes mal formados: Consiste en enviar paquetes de información (Por ejemplo paquetes IP) con estructuras que no cumplan con los estándares. Como en el caso anterior, se busca un comportamiento inesperado del software de red. 4.1 Prevención: La prevención de estos ataques se consigue a través del control de flujo de las comunicaciones, mediante sistemas de cortafuegos, sistemas de detección de intrusiones -IDS- y sistemas de prevención de Intrusiones IPS-. Los sistemas de cortafuegos filtran las comunicaciones que pasan a través de ellos según unas reglas preestablecidas. La colocación de cortafuegos entre diferentes redes (especialmente en las conexiones a Internet) y una buena administración de las reglas de filtrado, reducen notablemente estas amenazas. Los sistemas IDS y IPS son un complemento a los cortafuegos. Detectan las intrusiones en la red monitorizando las comunicaciones buscando patrones que identifiquen las comunicaciones que supongan una amenaza. Los IDS al detectar el peligro lanzar un aviso para informar a los administradores de la red. Los IPS son capaces de configurar el firewall para que eliminar la amenaza. Página 7 de 9

8 Muchos equipos de red actuales tienen la capacidad de detectar flujos de datos anormalmente altos, y tomar medidas para no saturarse. Por ejemplo, dejar de tomar estadísticas de las comunicaciones para ahorrar recursos y ser más resistentes a los ataques DoS.. 5 Phishing Es una técnica de ingeniería social, caracterizada por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información bancaria. El estafador se hace pasar por una persona o empresa de confianza en una aparente comunicación legítima, por lo común un correo electrónico o algún sistema de mensajería instantánea. La técnica consiste en utilizar mensajes casi idénticos a la de la entidad que se quiere suplantar. En el que se pide que se conecten a páginas web con URL muy parecidas a las URL legítimas, como por ejemplo: banesto.banco.com donde aparecería una copia de la web de Banesto. El usuario desprevenido introducirá su usuario contraseña que caerá en manos del estafador. La respuesta técnica al phishing ha sido la actualización de los navegadores web, que ahora impiden por ejemplo modificar el contenido de la barra de direcciones mediante javascript y evitan confundir a sus usuarios. Han aparecido herramientas anti-phising que funcionan filtrando los correos o webs que parecen sospechosas. Una de las medidas más eficaces es informar a los usuarios. Como por ejemplo que siempre se acceda a las webs tecleando ellos la dirección o avisándoles que nunca se les pedirá la contraseña por correo electrónico o teléfono. El uso de protocolos de envío de correo que verifiquen la autenticidad del remitente, como SMTP-Auth, minimiza los problemas de suplantación de identidad. 6 Spam Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. La vía de entrada más frecuente es utilizando el servicio de correo electrónico, aunque pueden utilizar otras vías como grupos de noticias o foros. El daño que provocan estos mensajes es la pérdida de productividad de la organización. Los empleados deben perder el tiempo eliminando el correo spam y por su volumen, provocan que se pierdan correos legítimos. Otros perjuicios que causan a la organización es malgastar recursos como ancho de banda o capacidad de almacenamiento. El Spam está terminantemente prohibido por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). Aparte los poseedores de bases de datos de correo electrónico se les aplica la Ley Orgánica de Protección de Datos. La recopilación de direcciones de correo se consigue mediante programas automáticos o programas robot que recorren la web buscando direcciones de correo electrónico. Las consiguen de direcciones publicadas en webs, foros, grupos de noticia... También hay programas de generación de aleatoria de direcciones de correo electrónico, para ello utilizan nombre de cuentas habituales que se combinan con direcciones de servidores de correo. Página 8 de 9

9 Los sistemas más habituales para evitar el Spam es el uso de filtros, tanto a nivel de cliente del correo electrónico, a nivel de servidor de correo electrónico o a nivel del Proveedor de Servicios de Internet (ISP). Existen dos tipos de filtros: Filtros por palabras clave: Ciertos términos sirven para identificar los correos Spam, como por ejemplo: Viagra, Sex... Filtro por dirección de correo del remitente. Se crea una relación con las direcciones de correo que han enviado correos Spam. Se clasifica como Spam todos los correos que se vuelven a recibir de ese remitente. El uso de filtros tiene el inconveniente de crear identificaciones negativas, es decir, se clasifica como Spam un correo que no lo es. Es por ello, que los sistemas anti-spam no eliminan directamente el correo Spam, sino que lo almacenan temporalmente para que el usuario pueda revisarlos. 7 Ad-ware Un programa adware es cualquier programa que automáticamente muestra publicidad en el computador después de haberlo instalado o mientras se está utilizándolo. Existe un ad-ware legítimo, que se instala como contraprestación por el uso de un programa. La acción de mostrar la publicidad viene recogida en el contrato de uso y se puede desinstalar con el programa o al adquirir una licencia del mismo. El ad-ware malicioso es aquel que se comporta como un troyano. Al ejecutar/instalar un programa, se instala el ad-ware sin ningún tipo de aviso al usuario. Este ad-ware sigue instalado en el ordenador aunque se desinstale el programa original. Para eliminar el ad-ware malicioso existen herramientas específicas que rastrean el ordenador y lo eliminan. Funcionan como los antivirus. Para prevenir la aparición de ad-ware en los ordenadores de una organización es conveniente limitar los permisos de instalación de programas de los usuarios. Página 9 de 9