Download PPT - RedIRIS

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
Document related concepts
no text concepts found
Transcript 
Los Peligros de la Red
IRIS-CERT Departamento RedIRIS
II Jornadas de Usuarios
11 DE Abril , 2005
Índice
 Presentación
 Definiciones
 Peligros
 ¿Es real ?
 Soluciones
RedIRIS Inicios
 Surge
en
1998
para
proporcionar conectividad a
Universidades y centros de I+D
Españoles.
 Pioneros en la puesta en
marcha de servicios en
Internet en España: DNS,
News,etc.
 Conexión basada en un punto
de acceso regional al que se
conectan los centros.
 Desde Enero de 2004 ,
incluida dentro del Ente
Publico Empresarial Red.es
IRIS-CERT
 Formado en 1995 para gestionar los incidentes de seguridad en
redes conectadas a RedIRIS.
 Punto central de recogida de denuncias relativas a equipos
conectados a RedIRIS
 Coordinación internacional con otros equipos de seguridad
 Actividades de concienciación y fomento de la seguridad dentro de
RedIRIS.
 Proyectos de seguridad específicos:
• IRIS-PCA: Autoridad experimental de certificación
• PED: Sistema de Máquinas trampas de rediris
• Monitorización y control de tráfico
¿Qué hace IRIS-CERT?
Punto centralizado de recepción de
quejas sobre equipos de RedIRIS:
 Sobre todo quejas externas
(una máquina de RedIRIS esta
atacando otra red).
Denuncias recibidas
1800
1600
1400
1200
Coordinación con los técnicos de
cada centro para intentar solucionar
el problema.
Visión “global” de los problemas.
Difusión y fomento de la seguridad
con los servicios de informática
1000
800
600
400
200
0
1999 2000 2001 2002 2003 2004
Escaneos y ataques
Los Sistemas Operativos emplean unos “puertos” para permitir que los
ordenadores se comuniquen entre si:
 Acceder a páginas HTML (puerto 80)
 Enviar correo (puerto 25)
......
 Compartir discos e impresoras...
 Administración remota de equipos..
Muchas veces los programas que “leen” de estos puertos presentan fallos,
que hacen que ante determinados datos el comportamiento sea distinto del
esperado.
Estos fallos son difíciles de encontrar y de utilizar, pero se pueden
“programar”
Principal fuente de problemas en la actualidad
Escaneos y ataques
Escaneo: Comprobación por parte de un ordenador para ver si los equipos
de una red tienen determinados “puertos” disponibles
 Así se puede ver que equipos emplean un “puerto” del que se sabe
hay problema.
 Uso después de un programa para intentar acceder o atacar al
equipo:
• Por parte de programas automáticos para duplicarse e “infectar”
el equipo (Gusanos, bots)
• Por parte de atacantes “humanos” para intentar obtener datos del
equipo.
Ruido de Fondo
La frecuencia de estos escaneos ha ido subiendo en los últimos años:
 1999. Atacantes manuales, menos de 1 escaneo diario en una
Universidad “grande” (65000 direcciones)
 2005. Más de 30 escaneos diarios en una red pequeña (16
direcciones)
 2005: Más de 2500 conexiones en un ordenador aislado (proveedor
comercial)
Escaneos:
 Generan un “ruido de fondo” de ataques no dirigidos contra nosotros
en particular , que impiden ver si hay algún ataque específico.
 Hacen que un equipo “desprotegido” sea infectado atacado en
pocos minutos.
¿Qué nos ataca por la red?
Virus: Programas que “infectaban”, (modificaban otros programas) y así se
propagaban.
Gusanos: Programas que infectaban (atacaban) otros ordenadores y se
propagaban en ellos.
Estos programas no permitían un control “externo” de ellos, cumplían con
la secuencia “programada”.
Los “Antivirus” no suelen diferenciar entre los distintos “malwares”.
A partir de 2003 empiezan a difundirse gusanos que permiten que desde el
exterior se pueda controlar su ejecución:
 Buscar e infectar otros equipos
 Atacar un servicio determinado
 Obtener información del ordenador infectado
Bots & Zombies
Bot::
 Inicialmente del termino “robot”, se aplicaba a trozos de código
que simulaban una identidad
• Control de canales en IRC
• Simulación de jugadores en juegos multijugador.
 Su definiciön se generaliza a programas “sirvientes” , que
realizan determinadas acciones en base comandos emitidos
desde el controlador.
Zombies:
 Maquinas comprometidas usadas en DDOS (año 2000)
Se generaliza el termino botnet (red de bots) para describir las redes
de equipos comprometidos controlados por un canal de IRC
Construcción de bots
“Unión de esfuerzos” entre escritores de Gusanos y Bots.
 Misma traza de ataque.
 Los gusanos dejan puertas abiertas que después son empleadas
para ampliar las botnet
 Empleo de vulnerabildades existentes en código de gusanos y
puertas falsas.
Existencia del código fuente de estos bots , hace muy fácil la actualización
y modificación de los mismos.
El empleo de técnicas de compresión y encriptación en los binarios hacen
difícil el uso de Antivirus como herramienta de detección de los binarios.
Bots: ¿Qué pueden hacer ?
 Escaneo de diversas vulnerabilidades
• Servicios de sistemas operativos: DCOM (135/TCP), DS (445/TCP), MS-SQL
(1443)
• Puertas traseras existentes: (Remote admin (6129/TCP), Agobot (3127/TCP).
 Acceso a recursos compartidos (discos e impresoras)
• Ataques de fuerza bruta contra claves vulnerables
• Permiten habilitar//desabilitar estos servicios
 Pueden funcionar como proxy (HTTP, socks)
 Pueden actualizarse y ejecutar programas
 Recogida de información
• Pulsaciones de teclado
• Claves de acceso a distintos servicios y licencias.
 Empleo para otros ataques
El gran bazar
Según indican diversas fuentes existe un floreciente mercado de compra
de estos equipos.
 Intercambio de herramientas y ataques
 Compra/venta de equipos comprometidos (¿50$ la docena ?) .
• Para la difusión de SPAM
• Ataque a otros sistemas
• Falsificación de mensajes de banca electrónica.
 Extorsión a sitios de comercio electrónico:
• Denegación de servicio contra sistemas de comercio y/o juegos
on-line
• Robo de información bancaria
Phising
Phising: Deformación de “fishing”: ¿ ir de pesca ?
“Lanzar un “cebo” e intentar “pescar” información de usuarios incautos.
 Empleada sobre con usuarios de comercio y banca electrónica para
intentar obtener su información de acceso
Combinación de dos técnicas antiguas:
 Difusión masiva de mensajes no deseados (SPAM)
 “Ingeniería Social”, simular ser otra persona o entidad para obtener
información del destinatario
Muchas veces no es un problema “técnico” sino de formación
Phising (II)
No solamente se trata de “mensajes bancarios”
 Suplantación (Falsificación) de la dirección de correo de un usuario
en un foro o lista de correo.
 Intentos de acceso a cuentas de usuarios
Evolución de la Ingeniería Social:
1996: Llamadas a personal de una Universidad para “verificar” las
cuentas de correo.
2003: “phising”, correos a usuarios de una una Universidad,
solicitándoles la comprobación de sus datos.
Palabras de acceso vulnerables
Muchos sistemas de autenticación requieren el uso de identificadores
(login) y claves (password)
 Acceso a los equipos y servidores de la Universidad
 Lectura de correo electrónico
 Acceso Servicios externos (mensajería instantánea , banca
electrónica)
 .....
Gran parte de estos sistemas emplean cifrado:
 Evitan que alguien pueda “leer los datos”
 Mayor “carga de trabajo del ordenador para realizar la conexión
 considerados “seguros”...
Problemas con las contraseñas
Problemas:
 Existencia de herramientas por “fuerza bruta” para intentar obtener
contraseñas.
 Mismo usuario y clave en diversos servicios:
• Listas de correo, acceso al correo.
• Bases de datos , servicios de subscripción
 ¿Quién garantiza la confidencialidad de las contraseñas?
• ¿Están las bases de datos protegidas ?
• ¿Se almacenan las claves en “claro”?
Muchas veces se emplea la misma clave en diversos servicios , sin tener
en cuenta los problemas.
¿Qué amenazas existen ?
Nivel General:
 Infección y ataque por parte de Gusanos y Virus.
 Perdida de información confidencial:
• códigos y licencias de programas instalados
• Información bancaria
 Empleo del equipo como “puente” para atacar otros sistemas
A Nivel específico:
 Muchos de estos programas están disponibles en la red, por lo que
pueden ser utilizados para ataques “específicos” contra nuestro
equipo.
Actualización periódica
Actualización de los equipos
Gran parte de los problemas de seguridad se pueden evitar si el equipo esta
actualizado.
La actuación del equipo se puede configurar para que se realice de forma
automática, avisando al usuario cuando tenga que tomar alguna acción.
Los gusanos y virus suelen emplear problemas que se han hecho públicos
meses antes.
Cuando se reinstala la un equipo se deben volver a actualizar.
Esta es la segunda medida más eficaz para evitar el ataque a un equipo.(tener el
equipo desconectado es la más eficaz)
Cortafuegos
Evitan que determinado tráfico de
red pueda llegar a nuestro equipo.
 Impiden
atacar.
que
nos
pueden
Pueden ser:
 Corporativos , protegen toda
nuestra red.
 Personales: Programas que
protegen nuestro equipo.
En la mayoría de las instituciones
afiliadas a RedIRIS suele haber
cortafuegos corporativos:
 Evitan ataques generales
 No protegen de ataques desde
el interior
Cortafuegos (II)
Cortafuegos personales en Instituciones afiliadas.
 Suelen ser un programa instalado en el equipo
 Evitan el tráfico entre el equipo y el exterior.
 Permiten realizar excepciones
• ¿Cómo compartir un disco / impresora solo
equipos ?
a determinados
Cortafuegos personales en proveedores de Internet
 Los proveedores de Internet no suelen poner a sus usuarios tras un
cortafuegos.
• Mayor numero de ataques
• Dificultad para detectar el problema
Gran parte de los sistemas operativos disponen de un cortafuegos mínimo
por defecto
Antivirus
Son el producto de seguridad más
conocido:
 Analizan los ficheros del
ordenador .
 Comparan cada fichero con
una serie de “patrones” de
virus conocidos
 Requieren una actualización
periodíca de los virus.
¿Por qué fallan los antivirus ?
Antivirus
 No analizán el comportamiento de los programas.
• comparan cada fichero con unos muestras de programas
malignos conocidos.
 Requieren una “muestra” conocida del programa para crear el
patrón.
• No son eficaces ante amenazas nuevas.
No son eficaces ante ataques directos
 ¿Qué pasa con los virus “caseros”?
• Multitud de variaciones de programas (bots) , que dificultan la
detección
 Algunas herramientas empleadas en los ataques tienen un uso
“legal”.
Phising y falsificaciones
Se pueden evitar teniendo cuidado:
 Conociendo el comportamiento “normal” de los sistemas con los que
nos comunicamos:
• Los servicios de informática no suelen llamar a los usuarios para
cambiar las claves.
• Los bancos no se suelen comunicar por correo electrónico.
• La forma de estos correos va evolucionando y adaptándose a las
alertas.
 Las falsificaciones suelen ser correos personales.
 Las páginas WWW de los correos no suelen estar “firmadas
digitalmente”.
Evitar el phising
Criptografía
Palabras de acceso
No emplear la misma palabra de acceso siempre:
Ejemplo
 Diferenciar entre:
• Servicios internos (acceso al ordenador, correo corporativo)
• Servicios externos (Mensajería instantánea, correo en ISP)
• Servicios de alerta gratuitos, listas de correo.
 Elegir una clave “sin sentido”
• Primera letra de cada palabra de una frase
• Añadir dígitos o códigos que indiquen el servicio
¿ (hnmplcor), para el correo ?
(Hoy No Me Puedo Levantar)
Conclusiones
El acceso a una red implica que desde esta red se puede “acceder” a
nosotros.
Las causas más frecuentes por las que los ataques tienen éxito:
 Equipos no actualizados.
 Configuraciones inseguras de acceso.
Cada vez será más frecuente los ataques contra usuarios finales:
 Genéricos, obtención de información económica , principalmente.
 Específicos: Intento de obtención de información.
Referencias
•Centro de alerta antivirus , http://alerta-antivirus.red.es/ proporciona información
sobre virus y gusanos detectados en el correo-e , así como un directorio de
herramientas gratuitas.
•Virus Total, http://www.virustotal.com , permite comprobar en diversos antivirus
si un fichero es detectado como Virus
•IRIS-CERT, http://www.rediris.es/cert
comunidad RedIRIS.
, información de seguridad para la
Related documents
redes de bots botnets redes zombi
redes de bots botnets redes zombi
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
Incidentes de seguridad en equipos Linux
Incidentes de seguridad en equipos Linux
UNIVERSIDAD TECNOLOGICA ISRAEL
UNIVERSIDAD TECNOLOGICA ISRAEL
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
IBM publica guía para migración de Windows a Linux
IBM publica guía para migración de Windows a Linux
Sexy View: El inicio de las Botnets móviles
Sexy View: El inicio de las Botnets móviles
virus y seguridad tecnológica en la docencia
virus y seguridad tecnológica en la docencia
Que no es malware
Que no es malware
Protección ante virus y fraudes.
Protección ante virus y fraudes.
Clasificacion del software maligno
Clasificacion del software maligno
Recuperación ante ataques
Recuperación ante ataques
1iris-avas
1iris-avas