En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las Políticas de Seguridad Informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
Es realmente válido pensar que cualquier organización que trabaje con computadoras - y hoy en día más específicamente con redes de computadoras - debe tener normativas para el uso adecuado de los recursos y de los contenidos, es decir, el buen uso de la información.
Definiciones
Dado que se está tratando con conceptos que pueden tener múltiples interpretaciones, es prudente acordar significados específicos. Por tanto, se recurrio a algunas definiciones, todas ellas extraídas del diccionario de la Real Academia Española (www.rae.es).
Seguridad:
1. f. Cualidad de seguro.
2. f. Certeza (Conocimiento seguro y claro de algo).
Seguro:
1. adj. Libre y exento de todo peligro, daño o riesgo.
2. adj. Cierto, indubitable y en cierta manera infalible.
3. adj. Firme, constante y que no está en peligro de faltar o caerse.
4. adj. No sospechoso.
5. m. Seguridad, certeza, confianza.
6. m. Lugar o sitio libre de todo peligro.
7. m. Salvoconducto, licencia o permiso que se concede para ejecutar lo que sin él no se pudiera.
8.m. Mecanismo que impide el funcionamiento indeseado de un aparato, utensilio, máquina o arma, o que aumenta la firmeza de un cierre.
Información
1. f. Acción y efecto de informar.
2.f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada.
3. f. Conocimientos así comunicados o adquiridos.
informar.
1. tr. Enterar, dar noticia de algo.
2. tr. Dar forma sustancial a algo.
3. tr. Formar, perfeccionar a alguien por medio de la instrucción y buena crianza.
Red.
1. f. Conjunto de elementos organizados para determinado fin. Red del abastecimiento de aguas, Red telegráfica o telefónica, Red ferroviaria o de carreteras.
2. f. Cadena (conjunto de establecimientos o construcciones pertenecientes a una sola empresa).
3. f. Conjunto de personas relacionadas para una determinada actividad, por lo general de carácter secreto, ilegal o delictivo. Red de contrabandistas, Red de espionaje.
4. f. Conjunto de computadoras o de equipos informáticos conectados entre sí que pueden intercambiar información.
Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en redes.
Seguridad en Redes: es mantener el aporte de información libre de riesgo y brindar servicios para un determinado fin.
Si trabajamos en definir Seguridad en Redes con los elementos que conocemos, podemos llegar a una definición más acertada:
Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de los bienes informáticos.
El aspecto de la seguridad es un elemento muy importante en la gestión de los procesos de negocio de una organización. La seguridad de la información persigue proteger la información de posibles accesos y modificaciones no autorizadas. Los principales objetivos de la seguridad de la información se pueden resumir en:
Confidencialidad: Los objetos de un sistema han de ser accedidos, únicamente por elementos autorizados a ello, y que esos elementos autorizados no van a convertir esa información en disponible para otras entidades.
Integridad: Significa que la información no ha sido alterada o destruida, por una acción accidental o por un intento malicioso.
Disponibilidad: Referencia al hecho de que una persona autorizada pueda acceder a la información en un apropiado periodo de tiempo. Las razones de la pérdida de disponibilidad pueden ser ataques o inestabilidades del sistema
Responsabilidad: Asegurar que las acciones realizadas en el sistema por una entidad se puedan asociar únicamente a esa entidad, que será responsable de sus acciones. Es decir que una entidad no pueda negar su implicación en una acción que realizo en el sistema.
Para llevar a cabo los objetivos de la seguridad, descritos anteriormente, es necesario definir en la etapa de diseño de los procesos de negocio, un conjunto de mecanismos de seguridad. Algunos de los principales mecanismos de protección se resumen a continuación:
Autenticación. Mecanismo para asegurar la identidad de una entidad (usuarios, subsistemas, etc.). Consta de dos procesos: identificación (obtiene un identificador de la entidad) y verificación (corrobora el vínculo univoco entre el identificador y la entidad)
Control de acceso: Garantizar la protección de los recursos del sistema de accesos no autorizados; Proceso por el cual los accesos a los recursos del sistema, así como, a la información en el flujo de trabajo son regulados según unas políticas de seguridad y permitiendo el acceso solamente a entidades autorizadas.
Cifrado de los datos: Procesos para el tratamiento de la información que impide que nadie excepto el destinatario de la información pueda leerla. Asegurando, por lo tanto, la confidencialidad.
Funciones resumen: Se encargan de garantizar la integridad de los datos.
Firma digital: Asegurar la responsabilidad sobre una secuencia de acciones determinada.
Registro de auditoria: Proveer medidas de auditoria.
La seguridad es uno de los aspectos más importantes del diseño lógico de redes. A veces se pasa por alto durante el diseño de una red, ya que la seguridad se considera una cuestión operativa en vez de una cuestión de diseño. No obstante, si se tiene en cuenta la seguridad antes de diseñar la red, podrá evitar problemas de rendimiento y escalabilidad al añadir seguridad a un diseño completado. Además, puede tener en cuenta los pros y contras mientras la red esta en fase de diseño lógico y puede planificar una solución que satisface lso objetivos de seguridad.
Los objetivos de seguridad son:
Niveles de Seguridad Informática
El estándar de niveles de seguridad internacionalmente más utilizado es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC / ITSEM) y luego internacionales (ISO/IEC). El ITSEC (Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que aquél. Se conoce comúnmente como Libro Blanco.
ITSEM - Information Technology Security Evaluation Manual- Manual de evaluación de la seguridad de TI que forma parte del
ITSEC versión 1.2 y cuya misión es describir cómo aplicar los criterios de evaluación del ITSEC. El objetivo específico del
ITSEM es asegurar que existe un conjunto completo de métodos de evaluación de sistemas de seguridad que complemente al
ITSEC. Contiene métodos y procedimientos de evaluación suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el público.
Cada clase abarca cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios constituyen una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza. Los criterios se decriben a continuación.
Nivel D: Protección mínima
No califica para un nivel más alto
Windows 95, Windows 98…
Nivel C1: Seguridad discrecional
Evitar que programas de usuario sobreescriban partes vitales de la memoria
Recursos protegidos con controles de acceso
Usuario / grupo / resto
Autenticación por password o similar, BD protegida
Unix, Linux, Vista, Seven
Nivel C2: Acceso controlado
Cada recurso posee una lista de acceso
Limpieza de memoria
Principal y disco
Auditoría
Algunas versiones de Unix, OS/400
Nivel B1: Protección con etiquetas
Etiquetas de seguridad
Evitar read-up y write-down
Los periféricos deben:
Aceptar un sólo nivel de información, o
Saber cómo procesar etiquetas
Etiquetas en las impresoras
Nivel B2: Protección estructurada
Camino confiable al usuario
Login contra el sistema vs. caballo troyano
Notificar cambios en nivel de seguridad
Kernel de seguridad
Mayor parte del kernel corre en modo usuario
Un micro-kernel maneja la seguridad
Identificar canales encubiertos
Procedimiento estricto para mantenimiento
Micro-kernel
Nivel B3: Dominios de seguridad
Las ACLs deben ser capaces de negar acceso a usuarios que podrían heredar permisos de grupos
Auditoría activa
Avisar al administrador
Bloqueado seguro
Nivel A1: Diseño verificado
No tiene nada diferente al B3 en cuanto a exigencias de seguridad
Procedimientos formales para análisis y diseño del sistema
Controles rigurosos en la implementación
ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comité Técnico Conjunto (JTC-1) para abordar un amplio rango de estándares en tecnologías de la información, incluida la seguridad. Se han establecido varios subcomités para el desarrollo de estándares, de los cuales el SC27 (subcomité 27) tiene el protagonismo en técnicas de seguridad, si bien en al menos otros seis subcomités tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomités se detalla a continuación:
· SC6 Núcleo de seguridad. Capas OSI 3 y 4.
· SC14 Representación de elementos de datos. EDI.
· SC17 Tarjetas inteligentes y de identificación.
· SC18 Sistemas ofimáticos. Manejo de mensajes, oficina distribuida, arquitectura de seguridad de documento compartido.
· SC21 Seguridad de las capas altas de OSI. Bases de datos, gestión de directorios y archivos, seguridad de FTAM y TP.
· SC22 Lenguajes.
· SC27 Técnicas de seguridad. Criptografía, etc. Incluye autentificación, integridad, no repudio, modos de operación, control de acceso y registro de algoritmos.
1.2. Análisis de requerimientos de seguridad
Para analizar de forma efectiva las necesidades de seguridad de una organización y evaluar y elegir distintos productos y políticas de seguridad, el responsable de seguridad necesita una forma sistemática de definir los requimientos de seguridad y caracterizar los enfoques para satisfacer dichos requerimientos.
Si en un entorno centralizado de procesamiento de datos esto es bastante difícil, con el uso de redes de área local y de banda ancha esto se magnifica.
Para optimizar la seguridad de un sistema de información se deben realizar los siguientes procesos:
· Análisis de riesgos. El análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de información y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.
· Análisis de requerimientos y establecimiento de políticas de seguridad informática. El análisis de requerimientos de seguridad informática consiste en estudiar la organización, su sistema de información (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel de seguridad informática necesario para el adecuado funcionamiento de la organización. A partir de dicho análisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel de seguridad deseado. El proceso de análisis también debe usarse para modelar el documento de políticas de seguridad informática, que debe reflejar el estado óptimo de seguridad informática que desea obtener la organización, y las políticas que se deben seguir para obtenerlo.
· Aseguramiento de componentes de datos. La seguridad de datos busca garantizar que la información del sistema de información esté siempre disponible (disponibilidad), que se mantenga íntegra (integridad), y que solamente pueda ser accesada por personas autorizadas (confidencialidad).
· Aseguramiento de componentes de software. La seguridad de software busca optimizar los sistemas operativos y las aplicaciones que trabajan en el sistema de información, de manera que sean configurados de manera segura y solo permitan su uso dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su uso por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).
· Aseguramiento de componentes de hardware. La seguridad de software busca optimizar los componentes de hardware del sistema de información (equipos de cómputo, periféricos, medios de almacenamiento removibles, etc.), de manera que sean configurados de manera segura y solo permitan su uso dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilización por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).
· Aseguramiento de componente humano. La seguridad humana busca optimizar el componente humano del sistema de información (usuarios, administradores, auditores, etc.) para que su interacción entre ellos y con terceros sea segura, no filtre información que pueda permitir la vulneración del sistema de información, y permita detectar ataques de ingeniería social en su contra.
· Aseguramiento de componentes de interconectividad. La seguridad del componente de interconectividad busca optimizar el componente de comunicaciones del sistema de información (cableado, dispositivos de interconexión –hubs, switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y estable (disponibilidad) se pueda establecer la identidad de los participantes (autenticación), los datos transmitidos puedan ser accesados únicamente por personas autorizadas (confidencialidad), los datos no puedan ser modificados durante su transmisión (integridad) y se pueda establecer el origen de toda comunicación (no repudio).
· Aseguramiento de infraestructura física. La seguridad de la infraestructura física busca optimizar el entorno físico (las instalaciones) en las cuales opera el sistema de información, de manera que estas provean niveles de seguridad industrial adecuados para proteger los componentes del sistema de información que contiene.
· Administración de la seguridad informática. La administración de la seguridad informática consiste en una serie de procesos que tienen como propósito mantener un nivel adecuado de seguridad informática en el sistema de información a lo largo del tiempo. Los procesos no se limitan al mantenimiento y la optimización de la seguridad informática en el presente, sino que incluyen también procesos de planeación estratégica de seguridad informática, que garanticen que el nivel de seguridad se mantendrá en el futuro, y que le permitan al sistema de seguridad informática anticiparse a los requerimientos de seguridad impuestos por el entorno, o por la organización a la cual el sistema de información sirve.
Elaborado por Zaira Martínez Winkler
1.2.1 AMENAZAS
“Es una posibilidad de violación a la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar prejuicio. Es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad.”
El resultado de un análisis de vulnerabilidades es una lista de amenazas. Existen diferentes tipos de amenazas que pueden afectar los activos o sistemas de la organización. Las clases más comunes de amenazas son:
Ø Errores
Ø Daños/ataques maliciosos
Ø Fraudes
Ø Robos
Ø Falla de equipo/ software
Otro de las amenazas informáticas son:
LOS HACKERS:
Es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes el conocimiento que poseen estos atacantes que el resto de las personas /técnicos, ya que tienen la habilidad de razonar igual o mejor que los programas o aplicaciones, y esto en realidad no es tan ilógico, ya que las computadoras y las utilidades que se encuentran instaladas en ellas fueron creadas por personas.
LOS CRACKERS:
Cracker proviene del ingles “crack” (romper) y justamente es lo que ellos hacen. Saben más o menos lo mismo que el hacker pero no comparten la ética. Por consiguiente, no les importa romper una arquitectura o sistema una vez dentro, ni tampoco borrar, modificar o falsificar algo; es por eso que la teoría habla de que “los HACKER son buenos y los CRACKER son malos”.
LOS LAMERS:
Se usa la palabra lamer o lammer para hablar de una persona despectiva de una persona que no posee lo mismo que no posee los mismos conocimientos que tienen los expertos, pero que conserva la misma intención. Mas puntualmente, se denomina de esta manera que quiere aprende pero no pone el más mínimo esfuerzo por aprender. En si se denomina lamers para diferenciar de los hackers y los crackers a los novatos que empiezan el camino ya sea en alguno de los otros dos mencionados.
LOS CLINQUEADORES Y LOS GECECE.
Esta diversificación salió del concepto scrit-kiddie (clinqueadores + gecece), pero es un concepto muy amplio. Los clinqueadores, solo saben que haciendo clic pueden explotar algunas vulnerabilidades, así creerse y manifestarse como hackers. Los gecece utilizan entorno de consola ya que para explotar vulnerabilidades se hacen atreves de un lenguaje de programación.
LOS INTRUSOS POR PAGA.
Este tipo de atacante tiene una particularidad muy especial: sabe. Este individuo posee una sabiduría privilegiada y por tal acto está apto a recibir dinero por usar su experiencia de forma ilícita.
LOS CIBERTERRORISTAS.
Son aquellos que atacan con un fin específico: ya que sea por ideologías o por puntos de vista. Pueden atacar a páginas que se manifiesten en contra de su religión o directamente pueden dejar inactivo servidores con ataques Dos.
EL SOFTWARE CON ERRORES.
Son aquellos programadores que al ejecutar los programas contienen errores, ya que estos no son tan visibles y vuelven vulnerables a un servidor.
PUERTAS TRASERAS.
Son aquellos atajos que dejan los programadores, son métodos no convencionales para traspasar autenticaciones o simplemente métodos más largos para llegar al mismo lugar.
“VIRUS”
Se requiere un programa humano para crear un virus, incorporarlo en software y difundirlo al mundo. Una vez en circulación el virus se puede propagar como una epidemia a través de software y discos compartidos; además es casi imposible erradicarlo del todo. Los programas vacunan (o desinfectantes) están diseñados para buscar virus, notificar a los usuarios de su existencia y eliminarlos de los discos o buscar archivos infectados.
Algunos programas antivirales supervisan continuamente la actividad del sistema para detectar e informar de actividades sospechosas a las de un virus. Pero ningún programa antiviral puede detectar todos lo virus así que hay que revisar estos programas con frecuencia para combatir nuevas clases de virus conforme vayan apareciendo.
CABALLOS DE TROYA
Es un programa que ejecuta una tarea útil al mismo tiempo que realiza acciones destructivas secretas. Como la antigua historia del gran caballo de madera que llevaba en su vientre una multitud de soldados aqueos para cruzar ocultos la muralla de Troya, el software de caballo de Troya oculta al enemigo dentro de un paquete atractivo, por lo general estos programas se colocan dentro de tableros de noticias de dominio público con nombres parecidos a los de un juego o de una utilería. Cuando un incauto cazador de ofertas descarga y ejecuta el programa, puede borra archivos, cambiar datos u ocasionar otra clase de daño.
Algunos saboteadores usan caballos de Troya para pasar datos secretos a otros usuarios no autorizados. Este problema se complica porque mucho de estos caballos de Troya también son portadores de virus.
GUSANOS.
Como los virus los gusanos (nombre que proviene, en la literatura en ingles, de tapeworms, platemintos) usan los computadores como anfitriones para reproducirse pero a diferencia de aquellos, los programas gusanos viajan de manera independiente por las redes, en busca de estaciones de trabajo no infectados que puedan ocupar. Un segmento de gusano corriente recibe en la memoria de trabajo, no en disco, de manera que es posible apagando todas las estaciones de la red.
1.2.2. Vulnerabilidad
La importancia y el valor que hoy se le otorga a la información, no se corresponde con las medidas de seguridad y los mecanismos de control implementados para protegerla. La seguridad no empieza por instalar un firewall, sino por la planificación racional de un plan de seguridad que abarque todas las vulnerabilidades del sistema y proteja los datos más valiosos, ante la menor eventualidad.
Vulnerabilidad es la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.
Vulnerabilidad
Es definida como un fallo en el proyecto, implementación o configuración de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violación de la seguridad de una computadora o un sistema computacional.
Existen casos donde un software o sistema operativo instalado en una computadora puede contener una vulnerabilidad que permite su exploración remota, o sea, a través de la red. Por lo tanto, un atacante conectado a Internet, al explorar tal vulnerabilidad, puede obtener diversos e importantes privilegios sobre la red.
Elaborado por Lilian Sánchez Carrión
1.2.3 Riesgos de seguridad en redes
Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Hay circunstancias no informáticas que pueden afectar a los datos:
• Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía.
• Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido. Este puede ser alguien externo o inclusive alguien interno. A estas personas normalmente se les llama” Crackers”
Algunas cosas que pueden realizar los crackers:
Ataque de intercepción: se dedica a desviar la información a otro punto que no sea al del destinatario.
Modificación: se dedica a altera la información que se encuentra en computadoras y base de datos.
Denegación de servicio: se dedican a negarles el uso de los recursos a los usuarios legítimos del sistema.
Suplantación: se dedica a dar información falsa, negar transacción y/o hacerse pasar por un usuario conocido.
• Un siniestro: una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.
Riesgos de Seguridad
Intrusión.- alguien entra ilegalmente a un sistema y es capaz de utilizarlo y modificarlo como si fuera un usuario legítimo.
Rechazo de Servicios.- alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red.
Robo de Información.- alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc.
2. Técnicas de Ataque
Ingeniería Social.- el objetivo es convencer a algún usuario para que revele información acerca del acceso (Login,
passwords, claves, etc.). Para esto se hacen pasar como administradores o usuarios.
Bugs del Sistema.- se aprovechan diversos errores de los sistemas para poder accesarlos o dañarlos.
• Algunos errores se conocen y explotan por largo tiempo, hasta que se corrigen.
Por ejemplo:
La forma en que se maneja el FTP anónimo.
Cuando una conexión por modem se corta y se restablece, no se verifica la identidad del usuario. Esto es equivalente a entrar en un sistema y dejar desatendida la terminal, de modo que cualquiera pueda usarla.
Back Door.- intencionalmente se programaban entradas alternativas al sistema para usarlas en caso de emergencia
o para poder accesar sistemas que sean manejados por otras personas.
• Estas “back door” llegan a ser conocidas y explotadas.
• Otra variante es que cuando un intruso llegue a entrar a un sistema, lo modifique para crear su propia “back door”. Después de que se detecta una intrusión es recomendable reinstalar el sistema.
Caballos de Troya.- Programas que aparentan ser una cosa, pero en realidad crean problemas de seguridad.
• Es una forma común de introducción de virus.
• Por ejemplo se podría crear una versión del Login que realice su función, pero que adicionalmente guarde o envíe los login y los password al atacante.
Señuelos.- programas diseñados para hacer caer en una trampa a los usuarios.
• Un usuario puede sustituir el login por un programa que si intenta entrar el “root” le notifique el password.
• Instalar un programa que registre las teclas presionadas para después analizar la información en busca de passwords.
Método del Adivino.- probar todas las posibles combinaciones para el password hasta encontrarlo.
• Las combinaciones son muchas, dependiendo del número de caracteres del password y el número de caracteres diferentes permitidos.
• Existen conjuntos de passwords comunes que son los primeros que se prueban (en el root es poco probable, pero los usuarios comunes no son muy cuidadosos al seleccionar el password).
• Los login de los usuarios pueden encontrase con finger, si el servicio está habilitado.
• Las pruebas cada vez pueden hacerse más rápido, por lo cual se introdujo un retardo después de cada intento fallido.
• Las pruebas usualmente no se hacen en línea, se obtiene el archivo de los passwords y se analiza fuera de línea.
• El archivo de los passwords normalmente es fácil de obtener.
Elaborado por Esau Requena Lara
1.2.4 Tipos de Ataques
Digamos que se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).
La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente, como por ejemplo un fichero o una región de la memoria principal, a un destino, como por ejemplo otro fichero o un usuario.
Un ataque no es más que la realización de una amenaza. Las cuatro categorías generales de amenazas o ataques son las siguientes:
Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.
Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.
Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.
Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".
Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
Elaborado por Fermín Martínez Arce
1.2.4.1 DENEGACION DEL SERVICIO
Un "ataque por denegación de servicio" (DoS, Denial of service) tiene como objetivo imposibilitar el acceso a los servicios y recursos de una organización durante un período indefinido de tiempo. Por lo general, este tipo de ataques está dirigido a los servidores de una compañía, para que no puedan utilizarse ni consultarse.
La denegación de servicio es una complicación que puede afectar a cualquier servidor de la compañía o individuo conectado a Internet. Su objetivo no reside en recuperar ni alterar datos, sino en dañar la reputación de las compañías con presencia en Internet y potencialmente impedir el desarrollo normal de sus actividades en caso de que éstas se basen en un sistema informático.
En términos técnicos, estos ataques no son muy complicados, pero no por ello dejan de ser eficaces contra cualquier tipo de equipo que cuente con Windows (95, 98, NT, 2000, XP, etc.), Linux (Debian, Mandrake, RedHat, Suse, etc.), Commercial Unix (HP-UX, AIX, IRIX, Solaris, etc.) o cualquier otro sistema operativo. La mayoría de los ataques de denegación de servicio aprovechan las vulnerabilidades relacionadas con la implementación de un protocolo TCP/IP modelo.
Generalmente, estos ataques se dividen en dos clases:
Las denegaciones de servicio por saturación, que saturan un equipo con solicitudes para que no pueda responder a las solicitudes reales.
Las denegaciones de servicio por explotación de vulnerabilidades, que aprovechan una vulnerabilidad en el sistema para volverlo inestable.
Los ataques por denegación de servicio envían paquetes IP o datos de tamaños o formatos atípicos que saturan los equipos de destino o los vuelven inestables y, por lo tanto, impiden el funcionamiento normal de los servicios de red que brindan.
Cuando varios equipos activan una denegación de servicio, el proceso se conoce como "sistema distribuido de denegación de servicio" (DDOS, Distributed Denial of Service). Los más conocidos son Tribal Flood Network (TFN) y Trinoo.
Negación de Servicio, o sus siglas DOS (Denial of Service)
En los ataques de negación de servicio (DOS -- Denial of Service) el atacante utiliza un ordenador para quitar de operación un servicio o computadora conectada a Internet.
Ejemplos de este tipo de ataque son:
· Generar una gran sobrecarga en el procesamiento de datos de una computadora, de modo que el usuario no pueda utilizarlo.
· Generar un gran tráfico de datos en una red, ocupando todo el ancho de banda disponible, de modo que cualquier ordenador en esta red quede inutilizable.
· Eliminar servicios importantes de un proveedor de internet, imposibilitando el acceso de los usuarios a sus casillas de correo en el servidor de e-mail o en el servidor Web.
Los ataques de denegación de servicios se han incrementado recientemente en los últimos años. Algunos de los más populares y recientes están listados abajo. Observe que aparecen nuevos continuamente, por tanto esto son sólo algunos ejemplos. Lea la lista de seguridad Linux y la lista bugtraq y archivos para una información más actualizada.
· SYN Flooding - SYN flooding es un ataque de denegación de servicio de red. Se aprovecha de un agujero ("loophole") en la forma en que se crean las conexiones TCP. Los nuevos núcleos de Linux (2.0.30 y posteriores) tienen varias opciones configurables para prevenir ataques SYN flood que denieguen a la gente acceder a su máquina o servicios. Vea la sección de seguridad del núcleo para ver las opciones limpias de rotección del núcleo.
· Pentium "F00F" Bug - Recientemente se descubrió que una serie de código ensamblador enviado a un Pentium genuino reiniciabala máquina. Esto afecta a todas las máquinas con un procesador Pentium (no clones, no Pentium Pro o PII), no importa qué operación de sistema esté realizando. Los núcleos Linux 2.0.32 y superiores tienen un trabajo sobre este bug, previniendo que bloquee la máquina. El núcleo 2.0.33 tiene una versión mejorada de la corrección, sugerida sobre 2.0.32. Si está ejecutando un Pentium debería actualizarse ahora.
· Ping Flooding - Ping flooding es un simple ataque de denegación de servicio por la fuerza bruta. El atacante envía una "inundación" (flood) de paquetes ICMP a su máquina. Si están haciendo esto desde un host con mayor ancho de banda que su máquina, será incapaz de enviar nada a la red. Una variante de esta ataque llamado "smurfing", envía paquetes ICMP a un host con la dirección IP de retorno de su máquina, permitiéndoles que la inundación sea menos detectable. Si en alguna ocasión está bajo un ataque ping flood, use una herramienta como tcpdump para determinar de dónde vienen los paquetes (o parece que vienen), entonces contacte con su proveedor con esta información. Los ping floods se pueden parar con más facilidad a nivel de encaminador o usando un cortafuegos.
· Ping o' Death - El ataque Ping o' Death es el resultado de paquetes entrantes ICMP ECHO REQUEST que son más grandes que lo que pueden almacenar las estructuras de datos del núcleo que recogen esta información. Como enviar un simple paquete ping grande (65,510 bytes) "ping" a muchos sistemas, los cuelga o los rompe, este problema fue rápidamente resuelto. Este ha sido resuelto y ya no hay nada de qué preocuparse.
· Teardrop / New Tear - Uno de los más recientes exploits que usan un bug presente en el código de fragmentación IP en plataformas Linux y Windows. Se corrigió en la versión del núcleo 2.0.33, y no requiere seleccionar ninguna opción de compilación del núcleo para usar la corrección. Linux aparentemente no es vulnerable al exploit 'newtear'.
Fuentes Consultadas
dns.bdat.net/documentos/seguridad_como/x739.html
es.kioskea.net/contents/attaques/dos.php3
1.2.4.2 SUPLANTACION DE LA IDENTIDAD
La suplantación de identidad en línea, o phishing (pronunciado como la palabra inglesa fishing), es una forma de engañar a los usuarios para que revelen información personal o financiera mediante un mensaje de correo electrónico o sitio web fraudulento. Normalmente, una estafa por suplantación de identidad empieza con un mensaje de correo electrónico que parece un comunicado oficial de una fuente de confianza, como un banco, una compañía de tarjeta de crédito o un comerciante en línea reconocido. En el mensaje de correo electrónico, se dirige a los destinatarios a un sitio web fraudulento, donde se les pide que proporcionen sus datos personales, como un número de cuenta o una contraseña. Después, esta información se usa para el robo de identidad.
Internet Explorer puede ayudar a protegerlo frente a estafas por suplantación de identidad. En Internet Explorer 8, puede activar el filtro SmartScreen. Para obtener más información, consulte Filtro SmartScreen: preguntas más frecuentes. En Internet Explorer 7, puede activar el filtro de suplantación de identidad (phishing). Para obtener más información, consulte Filtro de suplantación de identidad (phishing): preguntas más frecuentes.
Phishing (contracción de las palabras en inglés "fishing" y "phreaking", que se refiere a piratear líneas telefónicas), es una técnica fraudulenta que usan los hackers para conseguir información (generalmente sobre cuentas bancarias) de los usuarios de Internet.
Phishing (o suplantación de identidad) es una técnica de "ingeniería social", lo que significa que no aprovecha una vulnerabilidad en los ordenadores sino un "fallo humano" al engañar a los usuarios de Internet con un correo electrónico que aparentemente proviene de una empresa fiable, comúnmente de una página Web bancaria o corporativa.
Estos hackers envían un correo electrónico usurpando la identidad de una empresa (un banco, una página Web de comercio electrónico, etc.) e invitan al usuario a conectarse a través de un vínculo de hipertexto y a llenar un formulario en una página Web falsa, copia exacta de la original, con el pretexto de actualizar el servicio, una intervención de soporte técnico, etc.
Como las direcciones de correo electrónico se recolectan al azar en Internet, en general el mensaje no tiene mucho sentido porque el usuario no es cliente del banco que aparentemente envía el mensaje. Pero debido a la cantidad de mensajes enviados, a veces el receptor sí resulta ser cliente del banco.
De esta forma, los hackers obtienen con éxito los nombres de registro y las contraseñas de los usuarios o incluso información personal o sobre sus cuentas (número de cliente, número de la cuenta bancaria, etcétera).
Gracias a esta información, los hackers pueden transferir directamente el dinero a otra cuenta u obtener la información necesaria más tarde al usar con destreza la información personal que han recopilado.
Cómo protegerse del phishing
Si recibe un mensaje que aparentemente proviene de la página Web de un banco o de un sitio de comercio electrónico, pregúntese lo siguiente:
¿He dado mi dirección de correo electrónico a este establecimiento?
¿El correo electrónico que he recibido tiene información personalizada que permita verificar su veracidad (número de cliente, nombre de la sucursal, etc.)?
También se recomienda que:
No haga clic directamente en el vínculo que aparece en el correo electrónico, es mejor que navegue e ingrese la URL para acceder al servicio.
Tenga cuidado con los formularios que soliciten información bancaria. Es raro (tal vez hasta imposible) que un banco solicite información tan importante a través de un correo electrónico. Si tiene dudas, contacte con el banco directamente por teléfono.
Asegúrese de que su navegador esté en modo seguro cuando ingrese información delicada, es decir, que la dirección en la barra de navegación comience con https, que aparezca un candado en la barra de estado en la parte inferior de su navegador y que el dominio del sitio en la dirección sea el que afirma ser (preste atención a la ortografía del dominio).
Fuentes Consultadas
es.kioskea.net/contents/attaques/phishing.php3
windows.microsoft.com/es-ES/windows-vista/What-is-phishing
Elaborado por Rodrigo Salinas García
