“Control de Acceso: Detección de Intrusiones, Virus, Gusanos
Anuncio
“Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing” Leandro Meiners [email protected] Agosto de 2005 Buenos Aires - ARGENTINA Jornadas de Seguridad Informática Temario © 2005 Temario • Estadísticas y Cifras • Detección de Intrusiones • Hackers vs. Crackers • “Potenciales” Intrusos • Sistema de Detección de Intrusiones (IDS) • Virus: Qué son y métodos de protección • Gusanos: Qué son y métodos de protección • Spyware: Qué son y métodos de protección • Phishing 2 Jornadas de Seguridad Informática Estadísticas y Cifras © 2005 Uso NO Autorizado de Computadoras en Estados Unidos 3 Jornadas de Seguridad Informática Estadísticas y Cifras © 2005 Tipos de Ataques Detectados en Estados Unidos 4 Jornadas de Seguridad Informática Estadísticas y Cifras © 2005 Situación en Argentina: 3era Encuesta de Seguridad Informática de C.I.S.I.AR ¿Ha tenido incidentes de Seguridad Inform ática en el últim o año? 150% 100% 50% 15% 42% 18% 35% 20% 27% 46% 53% 43% Año 2002 Año 2003 Año 2004 NO SABE NO SI 0% Fuente: C.I.S.I.AR 5 Jornadas de Seguridad Informática Estadísticas y Cifras © 2005 Situación en Argentina: 3era Encuesta de Seguridad Informática de C.I.S.I.AR ¿Cuál es el origen más común de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0% 63% 58% 52% Sistemas interno s 32% Internet 30% 23% 10% 3% 3% Año 2002 5% 4% 4% Año 2003 4% 2% 6% A cceso s remo to s vía mo dem Vínculo s Externo s (pro veedo res y clientes) Otro s Año 2004 Fuente: C.I.S.I.AR 6 Jornadas de Seguridad Informática Detección de Intrusiones © 2005 Hackers vs. Crackers • Hacker: • Una persona que disfruta explorando los detalles internos de los sistemas informáticos y cómo extender sus capacidades más allá de lo normal. • Una persona que disfruta con entusiasmo la programación. • Cracker: • Una persona que accede en forma no autorizada a un Sistema Informático con intenciones de provocar daño . 7 Jornadas de Seguridad Informática Detección de Intrusiones © 2005 ¨Potenciales¨ Intrusos • Espías Industriales. • Usuarios del sistema. • Empleados. • Ex-empleados. • Crackers. • Vándalos. • Dos millones de adolescentes. Los ataques pueden ser: INTERNOS o EXTERNOS. • Los ataques externos son más fáciles de detectar y es más fácil protegerse contra ellos. • El intruso interno posee una gran ventaja: ya tiene acceso a la red e incluso al servidor que quiere atacar... 8 Jornadas de Seguridad Informática Detección de Intrusiones © 2005 Sistema de Detección de Intrusiones (IDS) Un sistema de detección de intrusiones captura y analiza datos en busca de “comportamientos” fuera de lo normal. • Existen dos tipos de IDS: • De host (HIDS): Captura datos del sistema. • De red (NIDS): Captura datos del tráfico de red. • Los IDS pueden analizar los datos de dos maneras: • Patrones de “mal uso”: Compara los datos obtenidos con “firmas” de ataques. • Detección por anomalía: Compara los datos contra una “línea base” de datos normales. • Los IDS responden a los ataques de distintas maneras: • Pasivo: Registra, y eventualmente reporta, el ataque. • Reactivo: Reacciona ante el ataque intentando mitigarlo. 9 Jornadas de Seguridad Informática Detección de Intrusiones © 2005 Sistema de Detección de Intrusiones (IDS): Gráfico de Red 10 Jornadas de Seguridad Informática Virus © 2005 ¿ Qué es un Virus ? Es un programa que se auto-replica infectando a otros programas o documentos y se ejecuta en el sistema informático sin el conocimiento del usuario. Los virus no pueden existir por sí mismos, necesitan de un archivo “portador”. Los virus son distribuidos por el usuario, en la mayoría de los casos sin su consentimiento, cuando se copia, envía por correo electrónico, etc, archivos infectados. 11 Jornadas de Seguridad Informática Virus © 2005 ¿ Cómo se protege de ellos ? El software de Antivirus busca en los archivos del sistema “firmas” de virus (que identifican archivos infectados) y, de ser posible, los remueven. La limitación de esta técnica es que sólo se puede detectar virus para los que conoce su firma, motivo por el cual la base de datos de firmas debe ser actualizada permanentemente. 12 Jornadas de Seguridad Informática Gusanos © 2005 ¿ Qué es un Gusano ? Es un programa que se auto-replica y se ejecuta en el sistema informático sin el conocimiento del usuario. A diferencia de los virus, los gusanos no necesitan de un archivo portador y se distribuyen a través de la red utilizando vulnerabilidades de seguridad para infectar a los sistemas informáticos. 13 Jornadas de Seguridad Informática Gusanos © 2005 ¿ Cómo se protege de ellos ? • Manteniendo los sistemas informáticos actualizados con los últimos parches de seguridad aplicados. • El software de Antivirus también detecta y remueve Gusanos. 14 Jornadas de Seguridad Informática Spyware © 2005 ¿ Qué es el Spyware ? Es un programa que se instala sin el conocimiento del usuario, generalmente incluido dentro de aplicaciones gratuitas. El objetivo del Spyware es comercial, en general: • Envían información del usuario a su creador, por ejemplo: • Sus hábitos de navegación por Internet. • Información confidencial del usuario (documentos, números de tarjetas de crédito, etc.). • Le muestran publicidades al usuario. 15 Jornadas de Seguridad Informática Spyware © 2005 ¿ Cómo se protege de ellos ? Software Antispyware, que funciona como un antivirus pero para Spyware, como por ejemplo: • Adaware (www.lavasoftusa.com/software/adaware) • Spybot (http://www.safer-networking.org/en/index.html) 16 Jornadas de Seguridad Informática Phishing © 2005 ¿ Qué es el Phishing ? Es el acto de intentar adquirir, de forma fraudulenta, información sensible, simulando ser por una entidad confiable con una necesidad real de dicha información. Es una forma de ingeniería social. 17 Jornadas de Seguridad Informática Phishing © 2005 ¿ Cómo se lleva a cabo ? El atacante le envía al usuario un correo electrónico, que parece ser auténtico, que contiene un link a una página Web controlada por el atacante. La página está construida para parecer auténtica y le solicita al usuario que ingrese información confidencial justificando este requerimiento con alguna excusa, por ejemplo: • “Estamos actualizando los datos de los clientes” • “Necesitamos confirmar sus datos debido a una actualización de la aplicación de Home Banking” • etc. 18 Jornadas de Seguridad Informática Phishing © 2005 ¿ Cómo se protege ? La única solución para este problema es la concientización de los usuarios. Los usuarios NO deben confiar en correos electrónicos recibidos que les soliciten información confidencial. Además, deben constatar todo requerimiento por algún otro medio (llamada telefónica, etc.). Las organizaciones que manejan información confidencial de usuarios NO deben utilizar el correo electrónico con objetivos típicos del Phishing (actualización de información) y DEBEN informarle al usuario que nunca lo harán. De esta forma el usuario será más desconfiado ante un ataque de Phishing, no cayendo “presa” del mismo. 19 Jornadas de Seguridad Informática © 2005 ¿Preguntas? 20 Gracias por acompañarnos. www.cybsec.com
