You are on page 1of 103

Magister en redes de computadores - Uninorte

Computer Hacking Forensic Investigator – ECCouncil
Technical Specialist- Kaspersky
Instructor CCNA- Cisco

Agenda
Historia
Seguridad de la información
Seguridad informática
Conceptos
Características de la información
Riesgo
Vulnerabilidades
Amenazas
Controles

Historia
Activos físicos = Seguridad física
Cifrado Julio Cesar
1930 - Alemania fabrico Enigma
1946 - Aparición de la computadoras
1983 - Libro Naranja
1987 - TNI(Trusted Network Interpretation)
Hoy…
ISO
OSSTMM
Ley 1273 de 2009

http://www.nsa.gov/
http://www.commoncriteriaportal.org/
http://www.isecom.org/research/osstmm.html
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.ht
ml

.Seguridad de la información  Proceso que busca adoptar medidas para evitar el uso no autorizado. el borrado o la denegación de la información. el mal uso. la modificación.

Seguridad Informática  Conjunto de políticas. personas y mecanismos que nos permiten garantizar la confidencialidad. . integridad y disponibilidad de los recursos de un sistema informático. procedimientos.

org/ .csirt. http://www.CSIRT  Es un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.

org US-CERT www.cert.csirt.org/members/teams/ .cert.org.org.co http://www.gov CERT UNAM www.CERT(Computer Emergency Response Team)       CERT carnegie mellon www.us-cert.org CERT Colombia www.mx INTECO www.first.cert.es www.inteco.

eccouncil.Certificaciones SANS: www.org  .org  ISACA: www.isc2.sans.org  ISC: www.org  EC-COUNCIL: www.isaca.

org/certifications/roadmap.php .giac. SANS http://www.

 ISACA http://www.org/CERTIFICATION/Pages/default.isaca.aspx .

EC-COUNCIL

http://www.eccouncil.org/certification/certification_list.aspx

com.ar/articulos/39-certificaciones-enseguridad.org/20coolestcareers/ http://seguinfo.com/2010/03/30/fbi-enumera-los-10principales-puestos-en-las-operaciones-cibercriminales/ .Otras certificaciones       Certified Information System Security Professional CISSPISC Microsoft Certified System Administrator + Security MCSA Cisco Certified Security Professional CCSP OSSTMM Professional Security Tester OPST Casas Antimalware Fabricantes de tecnología en general http://www.htm http://www.segu-info.wordpress.sans.

Características de la Información Confidencialidad: Permite garantizar que solo los usuarios autorizados tengan acceso a la información .

Características de la información Integridad: Permite garantizar la confianza de que la información es correcta y no ha sido modificada por un individuo no autorizado .

Características de la información Disponibilidad: Permite garantizar la presencia de la información en el momento en que el usuario la necesite .

.Características de la información Responsabilidad/No Repudio: Permite identificar al individuo que esta intentando o que realiza una acción y permite confirmar que el individuo es quien dice ser.

Pero si se juntan se convierten en un riesgo.  Una vulnerabilidad o una amenaza por separado. Vulnerabilidad + Amenaza = Riesgo  Los riesgos nunca se eliminan se gestionan  . no representan un peligro.Riesgo Es la posibilidad de que una amenaza explote una vulnerabilidad.

Acciones a tomar ante un riesgo  Cuando existen riesgos las acciones a tomar frente a estos son:  Mitigarlos  Transferirlos  Aceptarlos  Ignorarlos .

Equilibrio entre riesgos e inversión en seguridad informática .

en caso de necesidad Insourcing o outsourcing? (5) Volver a (3) .Cual es la Mejor Manera de Reducir El Riesgo? (1) Tomar conciencia de la importancia de la seguridad de la información. (3) Verificar el estado actual de la seguridad de la información. (4)Tomar medidas correctivas. (2) Valuar la información y los recursos internos.

Vulnerabilidad Es una vía de ataque potencial  Esta caracterizada por el nivel de dificultad para explotarla  *Vulnerabilidad de día 0 .

.Vulnerabilidades  Las vulnerabilidades pueden originarse:  En el diseño y/o desarrollo de sistemas inhouse o legacy  La implementación del sistema.  Los procedimientos para operar y administrar el sistema.

Bloqueo mutuo (deadlock) Buffer overflow Omisión en la gestión de las excepciones. pero típicamente se presenta en la etapa de desarrollo y programación. Ciclos infinitos.Vulnerabilidades  Vulnerabilidades a nivel de diseño y desarrollo:  Bugs: Errores de programación que comprometen la seguridad de la información ○ Deficiencia durante el proceso de creación de sistemas ○ Puede darse en la etapa de diseño. ○ Ejemplos:      Errores de división por cero. .

Uso de contraseñas débiles e inferibles.Vulnerabilidades  Vulnerabilidades a nivel de implementación: Instalación de productos de software y configuración por default.  Instalación de software no licenciado y de fuentes poco confiables.      . autorizacion y acceso a los recursos. Integración de equipos y tecnologías definidas como inseguras a la infraestructura corporativa. Configuración de acceso a recursos sin contraseñas.  Pobre configuración de politicas de autenticacion.  Compartición de recursos innecesarios. Uso de cuentas «Invitado».

Vulnerabilidades  Vulnerabilidades a nivel de implementación: .

Inexistencia de plan de gestión de incidentes. Inexistencia de programas de auditoria. inexistencia de planes de contingencia. Falta de control sobre las cuentas de usuario.Vulnerabilidades  Vulnerabilidades a nivel de administración:           Inexistencia de políticas de seguridad. Inexistencia de responsables de recursos. Exposición de recursos de forma innecesaria. Asignación innecesaria de altos privilegios a usuarios. Inexistencia de sistemas de control: . Inexistencia de planes de continuidad de negocios.

Algunas vulnerabilidades .

Evaluación de Vulnerabilidades .

¿Qué tecnología puede ser vulnerable? Archivos Public Server Private Servers Base Datos Firewall Router Network E-mail Public Server PC Workstations Infraestructura de Red .

Ciclo de vida de una vulnerabilidad .

requiere la ejecución del producto en evaluación de todas las maneras posibles y en múltiples escenarios.  Existen bases de datos de vulnerabilidades de productos tecnológicos que pueden ser consultadas en línea. .  El descubrimiento de vulnerabilidades de día cero típicamente se hace a través de test de penetración.Identificacion de Vulnerabilidades  Proceso complejo.

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

(sentido de la evaluación)  Duración del proceso de evaluación.Proceso de Evaluacion de Vulnerabilidades Definición del alcance de la evaluación:  Tipo de evaluación:   Parcial Completa  Identificación de los procesos que serán parte de la evaluación.  Identificación del vector de evaluación. . (típicamente un mes)  Selección de Tamaño y skill del Equipo de trabajo.

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

.Superficie de ataque /attack surface • Exposición que tiene un sistema ante las amenazas.

Proceso de Evaluacion de Vulnerabilidades Reconocimiento de la Superficie de ataque:  Inspección inicial a partir de los vectores definidos. .  Identificación de los elementos de la superficie de ataque y sus componentes.  Dimensionamiento de la superficie de ataque.

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

 Identificación de versiones de los productos.  Identificación de servicios activos.Proceso de Evaluacion de Vulnerabilidades Identificación de Activos Visibles:  Identificación de plataforma de hardware.  Identificación de la plataforma de software.  Entre otros aspectos. .  Identificación de puertos abiertos.

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

nvd.es/vulnSearch/Actualidad/ Actualidad_Vulnerabilidades/buscador_vul nerabilidades/?postAction=getVulns     http://cve.gov/ http://web.org/ http://nvd.securityfocus.com/bid Taller: Realice la búsqueda pasiva de vulnerabilidades para el sistema operativo y el browser que este utilizando .nist.mitre.inteco.gov/view/vuln/search http://www.nist.Base de datos de vulnerabilidades  http://cert.

acunetix.Escaneres de Vulnerabilidades http://www.com/free-tools-trials/ Taller: Realice la búsqueda activa de vulnerabilidades utilizando Qualyst .com/cross-site-scripting/scannerdownload/?gclid=CMGJ8YL-jLgCFZBj7Aod_jEAJw http://www.qualys.

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Reconocimiento de la superficie de ataque Asociar debilidades a los Activos visibles Cuantificacion de Vulnerabilidades Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades Contabilizar debilidades .

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Asociacion con Procesos de Negocio Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Valuacion de debilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades Clasificacion de las Debilidades .

Proceso de Evaluacion de Vulnerabilidades Definicion del alcance Cuantificacion de Vulnerabilidades Reconocimiento de la superficie de ataque Analisis de Vulnerabilidades Identificacion de activos visibles Generacion del Informe Identificacion de vulnerabilidades .

.Proceso de Evaluacion de Vulnerabilidades Generación de Informe:  Organizar. asociar y clasificar los resultados obtenidos en las fases anteriores y contrastar los hallazgos.

Proceso de Evaluacion de Vulnerabilidades Generación de Informe (cont):  Identificar oportunidades de mejora  Construir el informe final que a presentar que puede ser:  Técnico  Gerencial .

microsoft.TIP Inscribete a un boletín de noticias para estar informado de los últimos parches para las vulnerabilidades de tu fabricante favorito.com/latam/technet/bol etin/seguridad/ . http://www.

integridad o disponibilidad de la información  El termino hace referencia a un evento   Infección por un virus de computadora  Robo de información  Terremoto .Amenaza Circunstancia. evento o acción que puede causar daño violando la confidencialidad.

Asociando una amenaza y una vulnerabilidad .

Algunas amenazas .

Componentes de la amenaza Agente  Acción  Objeto  .

Agentes Son personas que pretenden dañar un activo de la organización Características:  Acceso  Conocimiento  Motivación .

Como la empresa ve los servicios Service (server-side) Application (client-side) Intranet Extranet Internet Conjunto de herramientas que representan oportunidades de negocios .

Otros servicios u Otros Clientes. Ataque sobre Un Host local Y la red. Ataques sobre Clientes Ataques sobre Servidores .Como los usuarios maliciosos ven los servicios corporativos Sniffing Intercepcion de trafico Servicio (server-side) Aplicación (client-side) Cambio de victima.

 Personas con conocimientos avanzados en varias o una rama técnica relacionada con la tecnología (programación.  El sustantivo cracker (Criminal hacker) hace referencia a personas que usan las técnicas de hacking con fines ofensivos. sistemas operativos. etc…).Hackers  El termino hack se usa para referirse al descubrimiento de nuevas técnicas para solucionar problemas. . redes de computadores. hardware.

La cultura del hacker • Algunas motivaciones para los hackers: – Curiosidad – Desafío – Ideales – Lucro – Ganar respeto en la comunidad .

tales como ataques a sitios web del gobierno o de grupos que se oponen a su ideología. tengan o no una justificación ideológica  .  Pero estas acciones siguen siendo un delito.Hacktivismo Se refiere al “hacking por una causa”  Es el compromiso social y político del hacking  Por ejemplo. alterar y atacar sitios web por razones políticas.

Actores del mundo del Hacking • Hackers – Experto en un sistema o temas • Criminal .Hackers – Entra en sistemas sin permisos. rompe protecciones • Phreakers – Usa y abusa de los servicios de telefonía a su antojo • Carders/CopyHackers – Especialista en robo y uso fraudulento de tarjetas de crédito • Spammer – Capaz de usar sistemas para enviar e-mails no deseados .

• NewBie – Prospecto de hacker. se supone con tiene conocimientos y habilidades superiores. • Script kiddie – Persona con conocimientos medios. en proceso de iniciación en el mundo del hacking. . conoce comandos de sistemas operativos – Tienen habilidades de crear y correr scripts basicos.Clasificación de hackers .Underground • Samurai – Nivel mas alto en la jerarquía. • Bucanero – Hacker con conocimientos y habilidades considerables sobre hacking – Conoce a fondo el funcionamiento de muchas herramientas y tiene la habilidad de construir las suyas. • Lammer – Persona con conocimientos muy básicos sobre hacking – Usa herramientas de terceros pero NO sabe como funcionan.

Clasificación de hackers FBI • White-Hat – Los buenos – Conocimiento – Hacking totalmente ético • Black-Hat – Los malos – Lucro o placer por la destrucción – Hacking orientado a causar daño • Grey-Hat – No es claro de que lado están – Se conocen como los Robin Hood de la seguridad – El hacking practicado no es ético pero tampoco causa daño .

Ataques: habilidades vs sofisticación .

Fácil acceso al conocimiento y a las herramientas .

Fraude bancario electrónico .

Evolución de los objetivos del hacking .

68 .Efectos Negativos para la empresa.

Esta infección paraliza totalmente las operaciones por 3 días ¿Cuándo le costo a la organización parar sus operaciones durante los 3 días que duro la infección masiva? . posteriormente se propaga hacia la red interna e infecta a los 600 pc con microsoft Windows XP que no están actualizados a la fecha. Un gusano entra por el firewall y aprovechando una vulnerabilidad del servidor web toma control de este. 1000 millones semanales y 200 millones diarios (trabaja solo de lunes a viernes).Impacto económico de un ataque informático     Una empresa factura 4000 millones de pesos mensuales.

 Algunas compañías obligadas por el modelo reactivo: Costo total de la seguridad= costo incidente +costo contramedidas.  Pero algunas bien asesoradas asumen el modelo proactivo:  Costo de seguridad de la Información=costo de contramedidas. .Realidad Corporativa  Las empresas se están concientizando de la importancia de la seguridad de la información en sus negocios.

¿Cual es el Problema? .

 Pero 100% de los controles efectivos NO son técnicos. .  Muchos controles obedecen a la concientización.Realidad Corporativa  Es cierto que el uso de controles minimiza el nivel de riesgo de la compañía. responsabilidad y a las mejores practicas en cuanto a la gestión de la información.

DPI / state full Inspección. Muchísimas marcas lideres y nuevas en el mercado. IPS/IDS VPN servers multiprotocolos. UTM Etc. .Realidad Corporativa  En cuanto a controles tecnológicos muchos fabricantes ofrecen:        Firewalls Multizonas.

 Es palpable la Automedicación en cuanto la implementación de controles.  Los vendedores de tecnología de seguridad de la información venden las cajas como el remedio magico! .Realidad Corporativa  El personal de tecnología NO posee el criterio suficiente para seleccionar los controles adecuados para sus necesidades.

su fiabilidad depende de su modo de inspección y de su arquitectura de hardware.Realidad Corporativa  Por ejemplo: El Firewall No es el mejor control.  Incluso de la ubicación del mismo depende su efectividad. .  En efecto los controles que funcionan bien en una empresa No siempre lo hacen sobre otra plataforma.

.  Las necesidades en cuanto a la seguridad informática de la empresa se identifican claramente después de una evaluación.  Los que se ubique en puntos estratégicos de la plataforma.Realidad Corporativa  Esta claro entonces que la mejor manera de poder identificar los mejores controles para la compañía son:  Los seleccionados a partir de la identificación clara e individual de las necesidades de la compañía.

Ataque informático
Toda aquella acción que conlleve a poner en
riesgo las propiedades de confidencialidad,
integridad y disponibilidad de un sistema.
 También se pueden considerar como la
consumación de una amenaza
 Un ataque no se realiza en un solo paso, es una
metodología estructurada.

Tipos de ataque

Según su objetivo

Según su impacto

Algunas técnicas de ataque básicas

Técnica de ataque

Tipo de ataque
(Objetivo)

Tipo de ataque
(Impacto)

Propiedad afectada

Web defacement

Modificación

Activo

Confidencialidad e
integridad

DoS (DDoS, Smurf,
etc…)

Interrupción

Activo

Disponibilidad

Insertar un nuevo
usuario por SQL
Inyection

Fabricación

Activo

Integridad

Sniffer

Intercepción

Pasivo

Confidencialidad

¿Como ataca un hacker? Definición y reconocimiento del objetivo Detección de vulnerabilidades Obtención del acceso Manteniendo el acceso Borrado de huellas .

– Usar los recursos de la victima para alguna actividad ilicita. la victima puede ser usada para: – Hackear otra otro Host o Red. . – Extraer información importante del host alcanzado.¿Como ataca un hacker? Algunas herramientas de hacking pueden automatizar muchas tareas solo con un solo click. Despues de logrado el objetivo.

Pero antes de que empiece la acción …. .

tracert.ip-adress. Google-maps. google hacking* Paginas amarillas Wikipedia Redes sociales http://whois.archive. Determinar qué sistemas están accesibles desde diferentes vectores de ataque.net http://www.html .com/download_lal.xml Visualroute.iana.com http://www.org www.org/assignments/service-names-port-numbers/service-namesport-numbers.lookatlan.com/ http://www.domaintools.com/ip_tracer/ http://en.arin.utrace.de/widget.Definición y reconocimiento del objetivo Crear un perfil completo de la postura de la seguridad de una organización. traceroute http://www.php http://pentest-tools.

Evaluación de Vulnerabilidades .

ip. mac.Algunos Tipos de Ataques • • • • • • • • • • • • Paquet Sniffing Spoofing(arp. sesiones. dns.emails…) Phishing Pharming Flooding Smurfing Ataques ICMP Ads (Alternate data stream) Cracking de Passwords Firewalking Bufferoverflows SQL Inyection .

Packet Sniffing • El objetivo es monitorear el tráfico en forma pasiva (Sin modificación) • En redes compartidas. • En redes conmutadas es necesario crear un puerto espejo del puerto donde está conectado el equipo al que se le quiere hacer sniffing o hacer “Man in the middle” . las tarjetas configuradas en modo promiscuo “escuchan” todo el tráfico de la red a que pertenecen.

.

Al enviar estas respuestas ARP falsificadas a un host objetivo. • SNIFFING. sean enviados en su lugar al host del intruso. (Man Middle). DOS in the . se puede hacer que todas las tramas que el objetivo vaya a enviar a un host “A”.ARP Spoofing • El ataque ARP Spoofing consiste en la construcción de respuestas ARP falsificadas.

el intruso debe identificar primero la IP de un sistema “confiable” y luego modificar las cabeceras de los paquetes de tal forma que parezca que proviene del sistema confiable .IP Spoofing • El objetivo de IP Spoofing es ganar acceso no autorizado a un sistema • En este tipo de ataque el intruso envía mensajes a la victima indicando que provienen de un sistema “confiable” • Para que sea exitoso.

IP spoofing .

O.Secuestro de sesión TCP/IP • Un intruso monitoriza una sesión entre dos computadoras e introduce tráfico que aparentemente proviene de uno de esos ordenadores. robando la sesión a una de esas máquinas posteriormente a un D.S y siguiendo el intruso en su puesto • Se basa en la captura del numero de secuencia de una conexión establecida con anterioridad. .

El envenenamiento de Caché de DNS puede ser realizado: • Información adicional en respuestas DNS. .DNS Spoofing DNS Cache Poisoning • DNS Cache Poisoning Consiste en hacer que el servidor de DNS almacene en su caché información falsa: Usualmente un registro que relacionará un nombre con una dirección IP “equivocada”.

Spoofing de DNS Consiste en que el intruso responde a un requerimiento DNS destinado a otro servidor DNS.DNS Spoofing DNS Cache Poisoning Información adicional en respuestas DNS Este problema ha sido reparado en BIND. rechazando cualquier información adicional no relacionada con el requerimiento original. . IP Spoofing del server DNS.

.

Rogue AP DHCP HTTP DNS Real AP Rogue Laptop/PDA con “fusm” + antena Usuario Airjack packet Intentando asociar con “fusm” Universidad “fusm” .

Password Cracking Determinar cual es la contraseña cuando solo se dispone del archivo encriptado de contraseñas • Encontrar un usuario válido • Encontrar el algoritmo de encripción usado • Obtener la contraseña encriptada • Crear una lista de posibles contraseñas (diccionario o fuerza bruta) • Cifrar cada contraseña y ver si coinciden .

 Software maliciosa creado específicamente para la ejecución de delitos financieros.  Software desarrollado para apoyar a las tareas de gestión y monitoreo de la plataforma tecnológica. .Amenazas Amenazas automatizadas  Riskware.  Malware/Badware.  Crimeware.  Software desarrollado con el objetivo de comprometer la infraestructura y los servicios de las organizaciones.

Amenazas Herramientas clasificadas como Riskware:  Sniffers:     Consolas SNMP:         Putty telnet vncviewer Netcat Herramientas de Gestion de BD:     OpManager getIF snmpUtil Snmpwalk Herramientas de Acceso Remoto:   Ethereal Wireshark SnifferPro mysqlAdmin Sqlmanager etc Herramientas de cifrado .

 Ejemplo: W32/Trojan.  Ejemplo: Sasser. .etc. ○ De Sector de Arranque.Amenazas Herramientas clasificadas como malware:  Virus:  Requieren un archivo anfitrión para su propagación.  Ejemplo: NATAS.  Gusano:  Aprovecha la presencia de puertos para propagarse a través de la plataforma de red.conflicker.etc. ○ De Macro. KLEZ. I love you.etc.002e2b161.  Tipos: ○ Residentes en Memoria. Nimda.  Troyano:  Producto de software al parecer benéfico que ejecuta en modo STEALTH código malicioso.

Amenazas Herramientas clasificadas como malware:  Backdoor:  Producto basado en sockets que escucha a través de un puerto lógico sobre el sistema operativo. binarios o porciones de código creadas explícitamente para explotar una debilidad especifica de un sistema (pueden ser de día 0 o no)  Ramsonware:  Software malicioso que usa criptografía para secuestrar archivos de la computadora de los usuarios. .  Exploits:  Scripts.

.  Otros Elementos de Malware: Password Crackers. Spoofeadores.Bots. Bombas Logicas.Amenazas Herramientas clasificadas como malware:  Spyware:  Software espía que puede pretende capturar el keystroke. Mailbombers. screenshots y demás actividades de los usuarios de manera oculta.  Rootkits:  Productos de software que pueden llegar a suplantar componentes del sistema operativo incluyendo módulos del kernel. Hijackers.

sin animo de lucro e independiente para que estés informado de los últimos ataques y vulnerabilidades de día 0.com.co/ http://www.es/Prensa/documentacion/bolet ines/boletines_de_seguridad/ .com/ http://blog.segu-info.com.inteco. http://www.hispasec.TIP Inscríbete a un boletín de noticias de una entidad reconocida.ar http://www.mx/ http://unaaldia.pcworld.enter.

dispositivo o procedimiento.Inseguridad Informática Es la falta o poca presencia de seguridad en un sistema operativo.  Es una propiedad inherente a los sistemas de información.  Puede ser probada por hacker éticos (Pen Test) o explotada por hackers mal intencionados  . red. aplicación.