Ataque a los Sistemas Informáticos Temario

1
Ataque a los Sistemas Informáticos
Técnicas de testing de vulnerabilidades
Lic. Julio C. Ardita
[email protected]
22 de Abril de 2002
Escuela Politécnica del Ejército de Ecuador (ESPE)
Quito - ECUADOR
2
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Temario
- La Seguridad Informática.
- Conociendo el Enemigo.
- Vulnerabilidades de Seguridad Informática.
- Penetration Tests.
- Herramientas de Seguridad Informática.
3
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿Qué es la Seguridad Informática?
La seguridad informática concierne a la
protección de la información que se encuentra
en una computadora o en una red de ellas
y también a la protección del acceso a todos
los recursos del sistema.
4
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Departamento de Defensa de los EEUU
nDe 8932 Ataques informáticos.
n7860 fueron exitosos.
n390 detectaron el ataque.
nSolamente
19 reportaron el ataque.
Fuente: Computer Security Journal Vol XII - 2.1
5
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Recursos...
Desde 1998 hasta
hoy hubo 48
ataques exitosos a
páginas Web en la
Ecuador.
Fuente: www.alldas.org
http://www.alldas.org
© 2002 CYBSEC S.A.
6
Ataque a los Sistemas Informáticos
Si voy a proteger mi Sistema Informático, debo conocer a
mi posible atacante, saber quién es, qué hace, qué conoce
de mi sistema, debo ... “conocer a mi enemigo” y aceptar
que deberé convivir con él.
Internet es un mundo virtual, maravilloso, pero también puede
ser riesgoso por su intrínseca falta de control y restricciones.
7
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿QUÉ ES UN HACKER?
Una persona que disfruta explorando los detalles internos de los
sistemas informáticos y cómo extender sus capacidades más allá
de lo normal.
Una persona que disfruta con entusiasmo la programación.
Un experto o entusiasta en una determinada área.
No es una persona malintencionada.
¿QUÉ ES UN CRACKER?
Una persona que accede en forma no autorizada a un Sistema
Informático con intenciones de provocar daño.
8
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿De quiénes nos protegemos...?
Potenciales “enemigos”
- Espías Industriales.
- Usuarios del sistema.
- Ex-empleados.
- Crackers.
- Vándalos.
- Dos millones de adolescentes.
9
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿De qué nos protegemos...?
Objetivos de los intrusos sobre un Sistema Informático
- Robo de información confidencial.
- Fraude financiero.
- Modificación de archivos.
- Denegación del servicio.
- Destrucción del Sistema Informático.
- Sabotaje Corporativo.
10
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Origen de los Ataques
1994
1996
1999
70%
60%
30%
EXTERNOS
30%
40%
70%
INTERNOS
70%
60%
50%
40%
Externos
30%
Internos
20%
10%
0%
1994
1996
1999
11
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
NIVELES DE CONOCIMIENTO DE LOS INTRUSOS
INTRUSOS "D"
3%
INTRUSOS "C"
7%
INTRUSOS "B"
10%
INTRUSOS "A"
80%
12
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Metodología de un ataque
Los ataques pueden ser Externos o Internos
Los ataques externos son más fáciles de detectar y repeler que los
ataques internos. El atacante interno ya tiene acceso a la red
interna o incluso al mismo Server que quiere atacar.
Intruso Externo
Server Interno
Barreras
© 2002 CYBSEC S.A.
Intruso Interno
13
Ataque a los Sistemas Informáticos
Origen de los ataques externos
- Redes de proveedores y clientes (7%).
- Redes alquiladas (3%).
Internet
- Internet (80%).
- Módems (10%).
Empresa
Redes Alq.
Acceso
Remoto
Proveedores y Clientes
14
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
La seguridad informática
es dinámica.
15
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Cantidad de vulnerabilidades informáticas por Sistema Operativo
Windows NT/2000
SUN Solaris
Linux Red Hat
AIX
Novell Netware
1997
1998
1999
2000
2001
10
24
6
21
0
10
33
10
38
0
83
36
49
10
4
126
23
85
15
3
12
6
20
2
0
Fuente: www.securityfocus.com
16
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
La clave de la seguridad informática en el año 2002
y de ahora en más, pasa por los recursos humanos
capacitados para entender que es lo que esta pasando
y poder actuar.
Para poder defender nuestra red informática debemos
armar un equipo de profesionales de seguridad
informática con elevados conocimientos.
17
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Internet es la fuente de información primaria de seguridad
informática.
Para conocer sobre nuevas vulnerabilidades, leer artículos de
seguridad, analizar BUGTRAQ y estar informado:
www.securityfocus.com
18
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Para conocer sobre las viejas y nuevas herramientas de seguridad,
de todos los sistemas operativos:
www.packetstormsecurity.org
www.technotronic.com
19
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿Qué es un Penetration Test?
Se trata de emular y simular comportamientos y técnicas que
pueden ser utilizadas por los intrusos con el objetivo de analizar
el nivel de seguridad y la exposición de los sistemas ante
posibles ataques.
Permite detectar vulnerabilidades en el Sistema Informático
y corregirlas en forma muy rápida y eficaz.
20
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
¿Cómo se realiza un Penetration Test?
Se utiliza una metodología de evaluación de seguridad informática
que incluye tres grandes etapas:
1) Descubrimiento
Horas,
Días,
2) Exploración
Meses.
3) Intrusión
21
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
La etapa 1, descubrimiento, se encuentra focalizada en entender
los riesgos del negocio asociado al uso de los activos informáticos
involucrados.
Se realizan investigaciones tratando de recolectar información
sobre los blancos potenciales.
Incluye todas las pruebas para detectar las conexiones de la
Empresa a Internet; la evaluación de servicios de DNS externos;
la determinación de rangos de direcciones IP, rangos telefónicos
y la detección de medidas de protección.
22
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
1) Descubrimiento
En esta fase, se trata de recolectar la mayor cantidad de evidencia
sobre la Empresa donde se van a realizar las pruebas.
- Direcciones IP de Internet (utilizando ping, traceroute).
- Dirección física (Guía telefónica).
- Números telefónicos (Guía telefónica).
- Nombres de personas y cuentas de correo electrónico (NIC).
- Rango de direcciones IP del lugar (www.arin.net/whois).
- Información de prensa sobre el lugar (Medios locales).
- Análisis de la página WEB (Browser).
23
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
La etapa 2, exploración, se centra en investigar los riesgos de
seguridad relevantes para la organización.
En esta etapa se aplican técnicas no intrusivas para identificar
vulnerabilidades dentro del perímetro de la organización.
Incluye el análisis de protocolos; evaluación de la seguridad de
los componentes; scanning de puertos TCP y UDP; detección
remota de servicios; análisis de banners y evaluación de la
seguridad de las aplicaciones detectadas.
24
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
2) Exploración
Se exploran todas las posibles puertas de entrada a los Sistemas
y descubre que servicios se encuentran activos.
- Scanning telefónico (Toneloc).
- Scanning de rangos de direcciones IP (Ping Scan).
- Transferencias de dominios (nslookup).
- Scanning de puertos en el rango de direcciones IP (nmap).
- Análisis de la configuración de cada Servicio (www.netcraft.com).
- Análisis de toda la información (Detección de OS, Servicios, etc).
25
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
La etapa 3, intrusión, se focaliza en realizar pruebas de los
controles de seguridad y ataques por medio de secuencias
controladas a las vulnerabilidades propias de los sistemas
identificados.
Incluye la revisión de la seguridad de todos los equipos detectados
y servicios habilitados.
Es en esta fase donde se prueba la eficiencia del equipo que
lleva a cabo el Penetration Test, donde se incluye las técnicas
de hacking a aplicar.
26
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
3) Intrusión
Se tratan de detectar vulnerabilidades en los Sistemas y realizar
pruebas en un entorno controlado para intentar acceder al Sistema.
- Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS).
- Intento de acceso vía módems.
- Intento de explotar las vulnerabilidades detectadas
(www.securityfocus.com).
- Utilización de ingeniería social para obtención de usuarios y claves.
- Ingreso al Sistema.
27
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Aplicación de la soluciones
Una vez finalizado el Penetration Test,
Test se genera un informe con
todas las vulnerabilidades de seguridad informática detectadas,
sus riesgos asociados y los pasos a seguir para proteger los equipos
afectados.
Se realiza un proceso de corrección de los diferentes problemas de
seguridad detectados, logrando obtener en poco tiempo un sistema
informático con un nivel de seguridad elevado.
28
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Existen herramientas para solucionar los problemas de
Seguridad Informática.
- Diseño en un entorno asegurado.
- Firewalls.
- Sistemas de detección de intrusiones.
- Certificados digitales.
- Encriptación de las comunicaciones.
- Actualización constante.
29
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Diseño en un entorno asegurado
El diseño seguro de un Sistema Informático debe realizarse
teniendo en cuenta:
- Seguridad de toda la red.
- Seguridad de la plataforma a utilizar.
- Seguridad de la aplicaciones.
30
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Firewalls
Un sistema que permite cumplir con una política de acceso.
Se utiliza para proteger una red de computadoras segura conectada
a una red insegura (Internet).
INTERNET
Red
Interna
Firewall
31
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Sistemas de detección de intrusiones
- Un sistema que intenta detectar cuando un intruso trata de
ingresar en forma no autorizada o trata de realizar una acción
“peligrosa”.
- Los IDS funcionan las 24 horas, los 365 días del año.
- Detectan intrusiones en tiempo real tomando acciones preestablecidas.
32
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Sistemas de detección de intrusiones
Técnicas para detectar comportamientos intrusivos:
- Reconocimiento de ataques.
- Modelo de riesgo.
33
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Certificados digitales
Elevan el nivel de seguridad en el Sistema Informático,
ya que el Usuario sabe que opera en un Site seguro.
Permiten autenticar personas y equipos informáticos.
Permiten además activar la encriptación de la información
que se transmite.
34
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Encriptación de las comunicaciones
Las comunicaciones que se transmiten entre los Sistemas
Informáticos deben ir encriptadas con algoritmos fuertes cuando
los datos viajen por redes públicas no seguras.
El protocolo de encriptación más utilizando para el Comercio
Electrónico es el SSL,
SSL que es muy fuerte y se encuentra presente
en la mayoría de los Browsers.
35
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
Actualización constante
Actualización diaria o semanal de los Sistemas con respecto
a nuevas vulnerabilidades.
Capacitación de los Administradores de Seguridad.
Entrenamiento sobre el manejo de intrusiones y simulación
de ataques informáticos.
36
© 2002 CYBSEC S.A.
Ataque a los Sistemas Informáticos
- Los intrusos existen y el nivel de peligrosidad de los mismos
aumenta cada vez más.
- Los sistemas informáticos poseen vulnerabilidades de seguridad
y estas van en constante crecimiento, es muy importante
capacitarse para poder prevenir y mantener el nivel de seguridad
de una Empresa.
- La seguridad informática de una Organización requiere de todo
un conjunto de herramientas que funcionen de forma sinérgica.
37
© 2002 CYBSEC S.A.
Muchas gracias
por acompañarnos . . .
www.espe.edu.ec
38