Ataque a los Sistemas Informáticos

Transcripción

1 1

2 Técnicas de testing de vulnerabilidades Lic. Julio C. Ardita 22 de Abril de 2002 Escuela Politécnica del Ejército de Ecuador (ESPE) Quito - ECUADOR 2

3 Temario - La Seguridad Informática. - Conociendo el Enemigo. - Vulnerabilidades de Seguridad Informática. - Penetration Tests. - Herramientas de Seguridad Informática. 3

4 Qué es la Seguridad Informática? La seguridad informática concierne a la protección de la información que se encuentra en una computadora o en una red de ellas y también a la protección del acceso a todos los recursos del sistema. 4

5 Departamento de Defensa de los EEUU De 8932 Ataques informáticos fueron exitosos. 390 detectaron el ataque. Solamente 19 reportaron el ataque. Fuente: Computer Security Journal Vol XII

6 Recursos... Desde 1998 hasta hoy hubo 48 ataques exitosos a páginas Web en la Ecuador. Fuente: 6

7 Si voy a proteger mi Sistema Informático, debo conocer a mi posible atacante, saber quién es, qué hace, qué conoce de mi sistema, debo... conocer a mi enemigo y aceptar que deberé convivir con él. Internet es un mundo virtual, maravilloso, pero también puede ser riesgoso por su intrínseca falta de control y restricciones. 7

8 QUÉ ES UN HACKER? Una persona que disfruta explorando los detalles internos de los sistemas informáticos y cómo extender sus capacidades más allá de lo normal. Una persona que disfruta con entusiasmo la programación. Un experto o entusiasta en una determinada área. No es una persona malintencionada. QUÉ ES UN CRACKER? Una persona que accede en forma no autorizada a un Sistema Informático con intenciones de provocar daño. 8

9 De quiénes nos protegemos...? Potenciales enemigos - Espías Industriales. - Usuarios del sistema. - Ex-empleados. - Crackers. - Vándalos. - Dos millones de adolescentes. 9

10 De qué nos protegemos...? Objetivos de los intrusos sobre un Sistema Informático - Robo de información confidencial. - Fraude financiero. - Modificación de archivos. - Denegación del servicio. - Destrucción del Sistema Informático. - Sabotaje Corporativo. 10

11 Origen de los Ataques % 60% 30% EXTERNOS 30% 40% 70% INTERNOS 70% 60% 50% 40% 30% Externos Internos 20% 10% 0%

12 NIVELES DE CONOCIMIENTO DE LOS INTRUSOS INTRUSOS "D" 3% INTRUSOS "C" 7% INTRUSOS "B" 10% INTRUSOS "A" 80% 12

13 Metodología de un ataque Los ataques pueden ser Externos o Internos Los ataques externos son más fáciles de detectar y repeler que los l ataques internos. El atacante interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar. Intruso Externo Server Interno Intruso Interno Barreras 13

14 Origen de los ataques externos - Redes de proveedores y clientes (7%). - Redes alquiladas (3%). - Internet (80%). - Módems (10%). Redes Alq. Empresa Internet Acceso Remoto Proveedores y Clientes 14

15 La seguridad informática es dinámica. 15

16 Cantidad de vulnerabilidades informáticas por Sistema Operativo Windows NT/ SUN Solaris Linux Red Hat AIX Novell Netware Fuente: 16

17 La clave de la seguridad informática en el año 2002 y de ahora en más, pasa por los recursos humanos capacitados para entender que es lo que esta pasando y poder actuar. Para poder defender nuestra red informática debemos armar un equipo de profesionales de seguridad informática con elevados conocimientos. 17

18 Internet es la fuente de información primaria de seguridad informática. Para conocer sobre nuevas vulnerabilidades, leer artículos de seguridad, analizar BUGTRAQ y estar informado: 18

19 Para conocer sobre las viejas y nuevas herramientas de seguridad, de todos los sistemas operativos:

20 Qué es un Penetration Test? Se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. Permite detectar vulnerabilidades en el Sistema Informático y corregirlas en forma muy rápida y eficaz. 20

21 Cómo se realiza un Penetration Test? Se utiliza una metodología de evaluación de seguridad informática que incluye tres grandes etapas: Horas, Días, Meses. 1) Descubrimiento 2) Exploración 3) Intrusión 21

22 La etapa 1, descubrimiento, se encuentra focalizada en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados. Se realizan investigaciones tratando de recolectar información sobre los blancos potenciales. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet; la evaluación de servicios de DNS externos; la determinación de rangos de direcciones IP, rangos telefónicos y la detección de medidas de protección. 22

23 1) Descubrimiento En esta fase, se trata de recolectar la mayor cantidad de evidencia sobre la Empresa donde se van a realizar las pruebas. - Direcciones IP de Internet (utilizando ping, traceroute). - Dirección física (Guía telefónica). - Números telefónicos (Guía telefónica). - Nombres de personas y cuentas de correo electrónico (NIC). - Rango de direcciones IP del lugar ( - Información de prensa sobre el lugar (Medios locales). - Análisis de la página WEB (Browser). 23

24 La etapa 2, exploración, se centra en investigar los riesgos de seguridad relevantes para la organización. En esta etapa se aplican técnicas no intrusivas para identificar vulnerabilidades dentro del perímetro de la organización. Incluye el análisis de protocolos; evaluación de la seguridad de los componentes; scanning de puertos TCP y UDP; detección remota de servicios; análisis de banners y evaluación de la seguridad de las aplicaciones detectadas. 24

25 2) Exploración Se exploran todas las posibles puertas de entrada a los Sistemas y descubre que servicios se encuentran activos. - Scanning telefónico (Toneloc). - Scanning de rangos de direcciones IP (Ping Scan). - Transferencias de dominios (nslookup). - Scanning de puertos en el rango de direcciones IP (nmap). - Análisis de la configuración de cada Servicio ( - Análisis de toda la información (Detección de OS, Servicios, etc). 25

26 La etapa 3, intrusión, se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Incluye la revisión de la seguridad de todos los equipos detectados y servicios habilitados. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el Penetration Test, donde se incluye las técnicas de hacking a aplicar. 26

27 3) Intrusión Se tratan de detectar vulnerabilidades en los Sistemas y realizar pruebas en un entorno controlado para intentar acceder al Sistema. - Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS). - Intento de acceso vía módems. - Intento de explotar las vulnerabilidades detectadas ( - Utilización de ingeniería social para obtención de usuarios y claves. - Ingreso al Sistema. 27

28 Aplicación de la soluciones Una vez finalizado el Penetration Test, se genera un informe con todas las vulnerabilidades de seguridad informática detectadas, sus riesgos asociados y los pasos a seguir para proteger los equipos afectados. Se realiza un proceso de corrección de los diferentes problemas de seguridad detectados, logrando obtener en poco tiempo un sistema informático con un nivel de seguridad elevado. 28

29 Existen herramientas para solucionar los problemas de Seguridad Informática. - Diseño en un entorno asegurado. - Firewalls. - Sistemas de detección de intrusiones. - Certificados digitales. - Encriptación de las comunicaciones. - Actualización constante. 29

30 Diseño en un entorno asegurado El diseño seguro de un Sistema Informático debe realizarse teniendo en cuenta: - Seguridad de toda la red. - Seguridad de la plataforma a utilizar. - Seguridad de la aplicaciones. 30

31 Firewalls Un sistema que permite cumplir con una política de acceso. Se utiliza para proteger una red de computadoras segura conectada a una red insegura (Internet). INTERNET Red Interna Firewall 31

32 Sistemas de detección de intrusiones - Un sistema que intenta detectar cuando un intruso trata de ingresar en forma no autorizada o trata de realizar una acción peligrosa. - Los IDS funcionan las 24 horas, los 365 días del año. - Detectan intrusiones en tiempo real tomando acciones preestablecidas. 32

33 Sistemas de detección de intrusiones Técnicas para detectar comportamientos intrusivos: - Reconocimiento de ataques. - Modelo de riesgo. 33

34 Certificados digitales Elevan el nivel de seguridad en el Sistema Informático, ya que el Usuario sabe que opera en un Site seguro. Permiten autenticar personas y equipos informáticos. Permiten además activar la encriptación de la información que se transmite. 34

35 Encriptación de las comunicaciones Las comunicaciones que se transmiten entre los Sistemas Informáticos deben ir encriptadas con algoritmos fuertes cuando los datos viajen por redes públicas no seguras. El protocolo de encriptación más utilizando para el Comercio Electrónico es el SSL, que es muy fuerte y se encuentra presente en la mayoría de los Browsers. 35

36 Actualización constante Actualización diaria o semanal de los Sistemas con respecto a nuevas vulnerabilidades. Capacitación de los Administradores de Seguridad. Entrenamiento sobre el manejo de intrusiones y simulación de ataques informáticos. 36

37 - Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más. - Los sistemas informáticos poseen vulnerabilidades de seguridad y estas van en constante crecimiento, es muy importante capacitarse para poder prevenir y mantener el nivel de seguridad de una Empresa. - La seguridad informática de una Organización requiere de todo un conjunto de herramientas que funcionen de forma sinérgica. 37

38 Muchas gracias por acompañarnos