Incidentes informáticos.

1DDoS: 2011 Bolsa de Hong Kong
Esta ofensiva DDoS tuvo un gran impacto en el mundo financiero, consiguiendo alterar la Bolsa de Valores en Hong Kong. Fue un ataque DDoS de alto grado, y afectó colateralmente a cientos de empresas y particulares. Una posibilidad, Syn Flood: Se reemplaza la IP origen del cliente por una IP legal pero inalcanzable, el servidor responde a una dirección inexistente con lo cual nadie responderá. Explota una vulnerabilidad intrínseca del protocolo TCP. También considerado entre los ataques llamados de inundación o fuerza bruta. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexión contra otro equipo, inicia la conversación enviando un “comando” 'SYN', el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el host que empezó la conexión contesta con un ACK y ya pueden empezar a transmitir datos.

Prevencion: En sistemas Windows : Activación de la protección anti Syn Flood: C:###BOT_TEXT###gt;reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v SynAttackProtect /t REG_DWORD /d 1 Aumentamos el 'backlog queue' C:###BOT_TEXT###gt;reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v EnableDynamicBacklog /t REG_DWORD /d 1 C:###BOT_TEXT###gt;reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v

MinimumDynamicBacklog /t REG_DWORD /d 20 C:###BOT_TEXT###gt;reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MaximumDynamicBacklog /t REG_DWORD /d 20000 C:###BOT_TEXT###gt;reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v

DynamicBacklogGrowthDelta /t REG_DWORD /d 10 Decrementamos el tiempo de espera en conexiones 'Half Open' C:###BOT_TEXT###gt;reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2 Ya solo queda resetear Windows para que los cambios tengan efecto.

Ejemplo con un router corporativo, con firewall integrado. (Protección en el borde)

Firewall - DoS DoS Defense : Disable Enable Threshold: Packets/sec Threshold: Packets/sec Threshold: Packets/sec Threshold:
300 300 300 300

Timeout:
10

Enable SYN flood defense :

sec

Timeout:
10

Enable UDP flood defense :

sec

Timeout:
10

Enable ICMP flood defense:

sec

Enable Port Scan detection : Block IP options Block Land Block Smurf Block trace route

Packets/sec

Block TCP flag scan Block Tear Drop Block Ping of Death Block ICMP fragment

Block SYN fragment Block Fraggle Attack

Block Unknown Protocol

Estoy seguro que en este caso, no hace falta mayor análisis, basta con saber que es cada punto. No tengo duda en activar todas las defensas. Si además incorporo un buen SGSI (Uso Panda Cloud Fussion), que además de tareas de inventario, actualización de SO y Apps centralizado, provee protección en el borde y en cada host (pc, servidores, tablets, phones, etc.) tengo una muy buena protección. Hay numerosas herramientas para contrarrestar ataques por denegación de servicio, varias gratuitas, que permiten monitorizar desde una estación, todo el trafico de la sub-red. Yo uso una PC de administración desatendida, donde corro este tipo de soft, detección de intrusos, etc, con avisos por mail, mensajes al administrador, etc.

2Dia cero: Adobe confirma que vulnerabilidad de día cero pasa sandbox Adobe Reader en Febrero 2013
Ataques del dia cero (Zero-day-attak). Un ataque de día-cero se realiza contra apps o SO, ejecutando un código malicioso, en base al conocimiento de vulnerabilidades, generalmente desconocidas para el usuario y el fabricante del producto. Es decir aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática. Esto puede parecer descabellado, pero buscar los casos donde se implica a la NSA, escandalo Snowden; ver las actividades del SEA (Syrian electronic arrmy), y muchos casos mas (China, Iran, etc). Ventana de vulnerabilidad Los ataques día-cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el momento en que se detecta la amenaza y la aparición de los parches que los solucionan. Este proceso puede durar horas o incluso días. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.

Protección La protección para este caso es la habilidad de proporcionar defensas contra exploits día-cero. Por ejemplo, para limitar los ataques día-cero referentes a vulnerabilidades en memoria, se usan técnicas como buffer overflows. Mecanismos de protección que se pueden encontrar en SO actuales como Windows, Solaris, GNU/Linux, Unix, Mac OS. El Proyecto ZeroDay proporciona información sobre futuros ataques y vulnerabilidades. Es recomendable actualizar el software para arreglar los posibles fallos existentes en el mismo. Pero esto no puede quedar librado a la buena voluntad, lo ideal es hacerlo en forma automática. Y preferentemente centralizado en alguna aplicación de administración (como ZenWorks, Panda Cloud Fussion, Panda Cloud System Management), de modo tal que las actualizaciones las lance un administrador luego de valorar la incidencia de las mismas; y el horario oportuno para realizarlas. Incluso hoy es posible encender remotamente una estación (wake on lan), actualizarla y apagarla. Luego habrá que analizar los logs de incidencia. Para minimizar las ventanas de vulnerabilidad por tiempo de exposición, un buen SGSI basado en técnicas de Cloud Computing, es hoy mas que necesario, con un alto ROI, y hay muchas ofertas disponibles.

3Ingenieria social: El caso "Hacker Croll" y la usurpación de identidad en las redes sociales, Twiter, julio 2009.
El caso "Hacker Croll" ilustra la forma como las técnicas de ingeniería social pueden permitir infiltrarse en las redes sociales, en este caso en la red social Twitter. A inicios de 2009, un francés de 25 años de edad, sin ningún conocimiento especial de informática, logró varias "hazañas" como usurpar las cuentas de Twitter de Barack Obama y Britney Spears e introducirse en las cuentas de correo de los empleados de la plataforma de microblogging para sustraer documentos confidenciales sobre el futuro de la empresa. Logró obtener la contraseña de los empleados de Twitter mediante la opción de "recuperación" de contraseña de la cuenta de correo de Yahoo y Google de los funcionarios para luego usurparlas. Un ataque a través de las cuentas de correo personales de los empleados que plantean necesariamente la pregunta de su utilización mixta (trabajo/ uso personal) en la empresa. (SIC)

Otro tipo de ataque de ingeniería social, consiste en engañar a un usuario haciéndole pensar que se trata de un administrador y solicitando claves de acceso u otro tipo de información confidencial. Buena parte del correo electrónico que le llega al usuario consiste de engaños solicitando claves de acceso, número de tarjeta de crédito, etc, haciéndole creer que es con una finalidad legítima, como sería el caso de reactivar o crear una cuenta o configuración. Este tipo de ataque se conoce actualmente como phising (pesca). Lamentablemente muchos estudios muestran que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Una encuesta de InfoSecurity arrojó como resultados que 90% de los oficinistas revelaría una clave de acceso a cambio de muy poca cosa. Así que lo mejor es seguir estos tips y no caer en “accidentes” provocados por una buena estrategia de ingeniería social.     Publicar y distribuir una política de seguridad integral. Comprender que la política es el inicio para enfrentarse con el problema. Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación. Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.     No utilizar cuentas de correo electrónico para uso personal para asuntos laborales. No utilizar cuentas de correo electrónico destinadas para uso laboral para asuntos personales. Adiestrar a los usuarios para jamas publicar cuentas de correo en áreas públicas que permitan sean cosechadas por software para este fin. Adiestrar al usuario para no publicar cuentas de correo electrónico en lugares públicos, ni proporcionar cuentas de correo electrónico y otros datos personales a personas u entidades que puedan utilizar estos con otros fines.  Evitar publicar direcciones de correo electrónico en formularios destinados a recabar datos de los clientes utilizando formularios que oculten la dirección de correo electrónico.      Si es inevitable, utilizar una cuenta destinada y dedicada para ser mostrada a través de HTTP. Adiestrar al usuario a utilizar claves de acceso más complejas. Adiestrar al usuario a no abrir y dar clic a todo lo que llegue por correo. Adiestrar al usuario para jamás responder a un mensaje de spam. Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa.