Download Diapositiva 1 - CRA LOS GIRASOLES
Document related concepts
no text concepts found
Transcript
Fernando de Bustos Rodríguez Abril 2013 ¿Estamos seguros? Riesgo Expectativas Contexto Equilibrio seguridad / funcionalidad Medidas de seguridad Tecnología + Procesos + Personas ¿Qué queremos conservar? Confidencialidad (Privacidad) Integridad (Información) Disponibilidad (Servicio) Tipos de incidentes Incidencia física Ataque lógico Ataque semántico Hardware (Equipos y conexiones) Software y datos Interpretación de la información - Catástrofes naturales. - Incendios. - Hurtos de equipos - Intrusiones y accesos no autorizados. - Robo de información. - Ingeniería social. - Phishing. - Timos. - Hoax. Incidentes con menores (I) Intimidad - Grooming. (Acción deliberada de un adulto hacia un joven para satisfacción sexual mediante imágenes eróticas o sexuales). - Datos privados. - Uso y abuso multimedia. - Reputación online. - Sexting. (Enviar mensajes, fotos o videos pornográficos sobre todo por el móvil) Incidentes con menores (II) Ciberacoso (ciberbullying) Adicción. Contenidos inadecuados. - Pornografía. - Violencia (racismo, xenofobia, terrorismo, redes criminales, etc. - Apología a la anorexia/bulimia. - Derechos de autor. Activos de valor para el usuario TIC Archivos informáticos. Archivos multimedia. Contraseñas y datos de acceso, certificados, etc. Información financiera. Ancho de banda. Equipo informático. Activos de valor para el atacante. Espacio del disco. Potencia de cálculo. Ancho de banda. Credenciales. Información financiera. Otras motivaciones. ¿Seguridad?. Empresas e Instituciones: no tengo tiempo. - No soy objetivo, no me pasará nada. - ¿Cuánto vale el tiempo? ¿Y la información?. - Seguridad física / lógica. - Mezclar lo profesional con lo personal. Particulares: a mí no me afecta. - Si te afecta: perderás tiempo y dinero. - Ancho de banda, instalación, configuración… - Fotos: del cole, vacaciones… - Documentos: del cole, personales… ¿Para qué me quieren?. Lucro. Redes “zombie”. Puente de ataque. Enviar “Spam”. Alojar “Phishing”. Instalar servidores piratas Iniciación. Redes “Zombie”. - Millones de ordenadores esclavos al servicio de los estafadores en Internet. - Ataques DDOS. - Pasarela para comprometer sistemas. - Envío de Spam. - Realización de “Phishing” (alojamiento) - Robo de datos personales. - Robo de identidades. - Alquiler de redes para organizaciones criminales Grado de exposición. Uso compartido. (Cuando compartimos archivos o documentos). Tipo de uso. (Profesional o personal). Tipo de S.O. (Sistema Operativo). Desconocimiento. Zona oscura: pornografía, cracks, serials, descargas, p2p,.. o no tan oscura. Amenazas. Malware. Intrusos. Fallos software. Fallos hardware. Contenidos: spam, phishing, adware, fraudes…. Errores humanos. Malware (I) Virus informáticos. (Programa). Troyanos. Gusanos. Spyware y Adware. Keyloggers. Pharming. Phishing. Malware (II) ¿Qué es un virus y cómo funcionan? Los virus son programas maliciosos creados para manipular el normal funcionamiento de los sistemas, sin el conocimiento ni consentimiento de los usuarios. Tipos de virus: • por su capacidad de propagación • por las acciones que realizan en el equipo infectado. Según su capacidad de propagación. Según a su capacidad de propagación, o mejor dicho de autopropagación, existen tres tipos de códigos maliciosos: • Virus: Los ficheros infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat; • Gusanos: Los gusanos se suelen propagar por: • Correo electrónico • Redes de compartición de ficheros (P2P) • Explotando alguna vulnerabilidad • Mensajería instantánea • Canales de chat • Troyanos: Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las más comunes son: • Descargado por otro programa malicioso. • Descargado sin el conocimiento del usuario al visitar una página Web maliciosa. • Dentro de otro programa que simula ser inofensivo. Según las acciones que realizan. • • • • • • • • • Adware. Autorum Bloqueador. Bomba lógica. Broma (Joke). Bulo (Hoax). Capturador de pulsaciones (Keylogger). Clicker. Criptovirus (Ransomware). • Descargador (Downloader). • El desbordamiento de memoria. • Espía (Spyware). • Exploit. • Herramientas de fraudes. • Instalador (Dropper). • Ladrón de contraseñas (PWStealer). • Marcador (Dialer). • Payload. • Publicidad incrustada (Spotify) • Puerta trasera (Backdoor). • Rogueware. • Rootkit. • Secuestrador del navegador (Browser hijacker). • Software falso. • Vulnerabilidades 0-day. • Adware Muestra publicidad, generalmente está relacionado con los espías, es por lo que se suelen conectar a algún servidor remoto para enviar la información recopilada y recibir publicidad. Algunos programas en sus versiones gratuitas o de evaluación muestran este tipo de publicidad, en este caso deberán avisar al usuario que la instalación del programa conlleva la visualización de publicidad. • Autorum El principal objetivo de Autorun.INF es propagarse y afectar a otros ordenadores. Comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas. Mapeada: Es la acción por la cual se asigna una letra a una unidad de disco, que se encuentra compartida en una red de ordenadores, como si de un disco más del ordenador se tratase • Bloqueador Impide la ejecución de programas o aplicaciones, también puede bloquear el acceso a determinadas direcciones de Internet. Generalmente impiden la ejecución de programas de seguridad para que, resulte más difícil la detección y eliminación de programas maliciosos del ordenador. Cuando bloquean el acceso a las direcciones de Internet, éstas suelen ser de páginas de seguridad informática; por un lado logran que los programas de seguridad no se puedan descargar las actualizaciones, por otro lado, en caso de que un usuario se quiera documentar de alguna amenaza informática, no podrá acceder a las direcciones en las que se informa de dicha amenaza. • Bomba lógica -Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo… • Broma (Joke) - No realiza ninguna acción maliciosa en el ordenador infectado pero, mientras se ejecuta, gasta una “broma” al usuario haciéndole pensar que su ordenador está infectado, por ejemplo, mostrando un falso mensaje de que se va a borrar todo el contenido del disco duro o mover el ratón de forma aleatoria. • Bulo (Hoax) - Mensaje electrónico enviado por un conocido que intenta hacer creer al destinatario algo que es falso, como alertar de virus inexistentes, noticias con contenido engañoso, etc, y solicitan ser reenviado a todos los contactos. - Algunos de estos mensajes pueden ser peligrosos por la alarma que generan y las acciones que, en ocasiones, solicitan realizar al usuario, por ejemplo, borrando ficheros del ordenador que son necesarios para el correcto funcionamiento del equipo. • Capturador de pulsaciones (Keylogger) Monitoriza las pulsaciones del teclado que se hagan en el ordenador infectado, su objetivo es poder capturar pulsaciones de acceso a determinadas cuentas bancarias, juegos en línea o conversaciones y mensajes escritos en la máquina. • Clicker Redirecciona las páginas de Internet a las que intenta acceder el usuario, así logra aumentar el número de visitas a la página redireccionada, realizar ataques de Denegación de Servicio a una página víctima o engañar al usuario sobre la página que está visitando, por ejemplo, creyendo que está accediendo a una página legítima de un banco cuando en realidad está accediendo a una dirección falsa. • Criptovirus (Ransomware) Hace inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar un “rescate” (ransom en inglés) para poder acceder a la información. Por lo general, lo que hace es cifrar los ficheros con los que suela trabajar el usuario, como por ejemplo, documentos de texto, hojas Excel, imágenes… • Descargador (Downloader) Descarga otros programas (generalmente también maliciosos) en el ordenador infectado. Suelen acceder a Internet para descargar estos programas. El desbordamiento de memoria Es una forma de sobrepasar la memoria que hay reservada para un dato, hablando en términos de informática. Cuando un programador hace un programa, no se lía a escribir código todo secuencia, lo normal es utilizar pequeñas funciones que estructuran ese código y lo hacen más legible. • Espía (Spyware) Roba información del equipo para enviarla a un servidor remoto. El tipo de información obtenida varía según el tipo de espía, algunos recopilan información relativa a los hábitos de uso del ordenador, como el tiempo de uso y páginas visitadas en Internet; sin embargo, otros troyanos son más dañinos y roban información confidencial como nombres de usuario y contraseñas. A los espías que roban información bancaria se les suele llamar Troyanos Bancarios. • Exploit Tipo del software que se aprovecha de un agujero o de una vulnerabilidad en el sistema de un usuario para tener el acceso desautorizado al sistema. • Herramienta de fraude Simula un comportamiento anormal del sistema y propone la compra de algún programa para solucionarlo. Los más comunes son los falsos antivirus, que informan de que el ordenador está infectado, cuando en realidad el principal programa malicioso que tiene es la herramienta fraudulenta. • Instalador (Dropper) Instala y ejecuta otros programas, generalmente maliciosos, en el ordenador. • Ladrón de contraseñas (PWStealer) Roba nombres de usuario y contraseñas del ordenador infectado, generalmente accediendo a determinados ficheros del ordenador que almacenan esta información. • Marcador (Dialer) Actúa cuando el usuario accede a Internet, realizando llamadas a Números de Tarificación Adicional (NTA), lo que provoca un considerable aumento en la factura telefónica del usuario afectado. Este tipo de programas está actualmente en desuso porque sólo funcionan si la conexión a Internet se hace a través del Módem, no se pueden realizar llamadas a NTA en conexiones ADSL o WiFi. • Payload Es el daño causado por un programa malicioso. La palabra "payload" en inglés significa contador, pagador, pago de carga, etc. En informática, payload son el o los efectos nocivos y hasta irreparables. El objetivo de un desarrollador de virus, es generar un payload, no solamente dañino, sino que genere efectos secundarios nocivos. 1. Daño a los archivos o áreas del sistema… 2. Corrupción de borrado de archivos. 3. Formateo de discos duros, etc. 4. La propagación a través de correo electrónico, Mensajería Instantánea, Chat, redes compartidas Peer to Peer, liberación de troyanos/Backdoor, etc. 5. Efectos secundarios como la deshabilitación o término de los procesos de software antivirus, firewalls, etc. 6. Algunos mensajes o cajas de diálogo en la pantalla. 7. Todo el daño que la mente de los creadores de virus puedan crear y desarrollar. • Puerta trasera (Backdoor) Permite el acceso de forma remota a un S.O., página Web o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto. Puede ser utilizado por responsables de sistemas o webmasters con diversos fines dentro de una organización, pero también puede ser utilizados por atacantes para realizar varias acciones en el ordenador infectado, por ejemplo: Utilizar los ficheros que desee para leer su información, moverlos, subirlos al ordenador, descargarlos, eliminarlos… Reiniciar el ordenador Obtener diversa información de la máquina infectada: nombre del ordenador, dirección MAC, sistema operativo instalado…etc. • Rogueware Rogueware es un término poco conocido pero debería serlo, ya que actualmente es la forma más común para la distribución de virus y malware. Podemos definirlo como una aplicación que intenta asemejarse a otra, ya sea por nombre o por apariencia, con la única finalidad de engañar y timar al usuario. Este tipo de aplicaciones generalmente se crean con el objetivo de conseguir una compensación económica por su supuesto uso. La forma más común de Rogueware es la que se aprovecha de la ingenuidad de la personas al ofrecerles la descarga gratuita de programas antivirus/spam/adware falsos que al ser instalados “hacen un análisis” cuyos resultados indican que la computadora está infectada con cientos de virus. • Rootkit -Toma el control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones creadas… -También pueden permitir a un atacante remoto tener permisos de Administrador para realizar las acciones que desee. - Cabe destacar que los rootkits hay veces que se utilizan sin fines maliciosos. • Secuestrador del navegador (browser hijacker) - Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. -Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino. • Vulnerabilidad 0-day Cualquier programa del ordenador puede tener una vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en el ordenador. Es decir, todos los programas que haya instalados en el equipo, ya sean: Sistemas Operativos, Windows, Linux, MAC OS, etc, navegadores Web, Internet Explorer, Firefox, Opera, Chrome, etc, clientes de correo Outlook, Thunderbird, etc, o cualquier otra aplicación: reproductores multimedia, programas de ofimática, compresores de ficheros, etc, es posible que tengan alguna vulnerabilidad que sea aprovechada por un atacante para introducir programas maliciosos. Para prevenir quedarse infectado de esta forma, recomendamos tener siempre actualizado el software el equipo. Otros tipos de virus • Ejecutables. • Macro. • Polimórficos. • Residentes. • Del sector de arranque. Vías de contagio: Internet. Internet. • Vulnerabilidades (ataques TCP/IP navegación webs hackeadas). • Drive-by Dowload: descarga y ejecución de archivos. • Correo electrónico: enlaces, adjuntos y HTML. • Mensajería instantánea. • Redes sociales. Otras vías de contagio. • Medios físicos. • Documentos manipulados. • Software pirateado y cracks. • Codecs de vídeo. Nomenclatura del malware. CARO. Computer Research Antivirus Organization. Familia/Grupo. Variante-tipo. W32/Hybris.A-mm. Virus Hybris para Windows 32 bit en su variante A (primera) que tiene capacidad mass mailing o envío masivo de correo electrónico infectado. W32/Bagle.dldr. Virus Bagle para Windows 32 bit con capacidad de autodescarga (Downloader). W32/Netsky.p@mm. Virus Netsky para Windows 32 bit en su variante P con capacidad mass mailing. W32/Sdbot.DKE.worm. Virus Sdbot para Windows 32 bit en su variante DKE con capacidad de gusano. Generic/PWS.a-trojan. Troyano genérico (afecta a varios sistemas) de nombre PWS en su variante A. Exploit-PDF.q.gen!stream. Documento especialmente manipulado (Exploit) genérico (afecta a varios sistemas) en formato PDF en su variante Q con capacidad de dividirse en subarchivos (Stream). Correo basura (Spam). • Tosco, burdo, sin buena traducción. • Falsos premios, novias rusas, rolex, viagra… • Mulas. • Evolución redes sociales y mensajería instantánea. • Control del Spam: - Dirección alternativa. - No publicación en web. - Bugmenot. Tendencias actuales • Del hacker a las mafias. • De los puntual a lo masivo. • Aumenta el % de infectados. • Rentabilidad: muchos delitos pequeños mejor que uno grande, se diluye la persecución. • Nuevos frentes: - Wifi, Pendrives, Smartphones, Redes Sociales… Tendencias actuales • Robo de credenciales personales. • DUMPs. Paquetes de datos de tarjetas de crédito (goldendump.com). • Ciberdelito instantáneo, justicia lenta. • Organizaciones pequeñas y muy especializadas: (programadores, distribuidores, recopiladores, revendedores, blanqueadores.) • Alquiler bajo petición. Lo más seguro… • No conectar a Internet ni en red local. • No instalar nuevos programas. • No introducir medios externos (DVD, CD, USB, etc. • O bien... ¿Qué debo hacer?... • No a los viejos consejos. o ¿Sentido común? o Con un antivirus estoy protegido al 100%. o Si no abro ejecutables estoy protegido. • No a la cuenta de administrador. • Actualizar el software. • Mantenerse informado. • Protección física. • Copias de seguridad. Vacunas… • Antivirus. • Escaneadores. • Antispyware. • Cortafuegos (Firewall). • Software alterternativo. • Navegación SSL. • Cuidado con la wifi. • Sistema de alimentación ininterrumpida. • Máquinas virtuales. • Específicos para algunos virus. … y remedios? • El clásico formateo. • Herramientas de eliminación (Removal tools). • Congelador. • Copias de seguridad. • Restaurar sistema. • Imágenes de disco. • Live CD. Herramientas I • Contraseñas seguras, password.es. • Keepass. Xmarks • Antivirus free: Avira, AVG, Avast... • Antivirus online. • htpp://www.av-comparatives.org/ • Removal tools. • Restaurar sistema. • Actualizaciones automáticas. Herramientas II • Firewall o cortafuegos. • Usuarios Windows / Linux, el problema del administrador omnipresente. • Originalidad: Firefox vs, Explorer, Linux vs, Windows, Thunderbird vs, Outlook, etc • Congelador. • Copias de seguridad: o Totales, diferenciales, incrementales. o Cobian Backup. Herramientas III • Spyware. • http://www.siteadvisor.com/ • Norton Ghost / Clonezilla / G4L • Ipconfig, netstat, msconfig. • Virus total. • Protección en documentos (Office, PDF,….) • Control parental. • Máquinas virtuales. • Útiles gratuitos de INTECO Diseño red educativa. • VLAN. • Switches gestionables. o Capa 2 y Capa 3 o Administración gráfica/comandos. • Servidores. • Firewall: protección local y perimetral. • Proxy caché. Filtrado de contenidos. • QoS. • Optenet, CiberGest. Biblioteca de recursos. • INTECO: Instituto Nacional Tecnologías de la Comunicación. • VIL: Virus Information Library de Mcafee. • Panda: Enciclopedia de virus. • Symantec Security Response. Citas I. • Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva. Stephen Hawking • Las contraseñas son como la ropa inte- rior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños. Chris Pirillo Citas II. • El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada, rodeada por guardias armados muy bien pagados, y aún así, permítanme dudarlo. Gene Spafford • Saber romper medidas de seguridad no hace que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción. Eric Raymond