Seguridad y Alta DisponibilidadImplantacin de mecanismosde seguridad activa
Flix Villanueva MolinaEscuela Superior de InformticaUniversidad de Castilla-La Mancha
http://www.esi.uclm.es 2
Contenidos
Ataques y software malicioso Herramientas
http://www.esi.uclm.es 3
Ataques y software malicioso
Introduccin Clasificacin de los ataques Software malicioso Anatoma de ataques
Introduccin
Redes abiertas heterogneas Usuarios con mas confianza en la tecnologa
Mas peligrosos Herramientas de Craking mas sofisticadas
Requieren menos conocimientos tcnicos
Clasificacin de los ataques:
Interrupcin del servicio Interceptacin de informacin Modificacin de informacin
Interrupcin del servicio
Tambien llamado DoS (denial-of-service) La disponibilidad de un recurso es comprometida.
Se degrada su uso o directamente no se puede usar Ataques fsicos:
Cortes de cables, desconexin del hardware, interrupcin del suministro elctrico..
Ataques lgicos Apagado de servicios, saturar la red, saturar un
servidor.
Interceptacin de informacin
Tambin llamado fuga de informacin Se obtiene informacin de sistemas diseados
para ser cerrados Programas como finger o el uso de la informacin
de DNS pueden ayudar a saber quin esta en la red y su estructura.
Se suelen utilizar para usarlos con posterioridad en otros ataques mas sofisticados.
Interceptacin de informacin
Sistema operativo, parches de seguridad aplicados, navegador, etc. es informacin que proporcionan pistas de vulnerabilidad. Ej: a nivel de red la herramienta nmap. http://ccia.ei.uvigo.es/docencia/SSI/practicas/seg-redes-1/seg-redes-1.html
Interceptacin de informacin
Ingeniera social El usuario como eslabn mas dbil
Obtener informacin sensible Hacer ejecutar algn programa
Segn Kevin Mitnick Todos queremos ayudar El primer movimiento es siempre de confianza hacia el otro No nos gusta decir No A todos nos gusta que nos alaben
La educacin de los usuarios es el nico mtodo eficaz
Modificacin de la informacin
Incluye la creacin, modificacion, borrado de datos relativos al sistema informtico o de caracter personal/funcional de la persona/compaa que est siendo victima del ataque.
Software malicioso: Clasificacin
Virus Malware que modifica el comportamiento normal de la computadora sin la
autorizacin del usuario Archivos ejectuables, sectores de arranque, bios, tabla de participacin.
Gusanos: Iworm Malware que se duplica a si mismo No necesita modificar ficheros como el virus, puede residir en memoria. Pueden dejar el PC sin recursos, duplicarse a travs de internet usando
protocolos como SMTP, IRC, P2P Pueden ser la puerta de entrada de controles remotos por parte de terceras
personas (ejemplo: Blaster Worm)
Software malicioso: Clasificacin
Troyanos: Malware que se presenta al usuario como programas normales pero que al ejecutarlo
realizan acciones dainas. Se utilizan para establecer las denominadas botnet
Redes de ordenadores infectados que a su vez se suelen usar para ataques de denegacin de servicio.
Rootkits Conjunto de programas destinados a tener un ordenador bajo control, permitiendo su
acceso remoto por personas no autorizadas y ocultar dicho control de cara al usuario. Se pueden utilizar junto con los troyanos para establecer una botnet
Backdoors Secuencias de cdigo especiales introducidas dentro de un sistema que permiten
saltarse uno o varios sistemas de seguridad dentro del sistema. Muchas veces se introducen en el desarrollo del propio sistema con fines lcitos (testeo)
Software malicioso:Clasificacin
Spyware Malware dedicado a recoger informacin del ordenador
donde se encuentra instalado y a mandarla a travs de la red sin la autorizacin del propietario del PC.
Adware (Advertisement + software) Software que contiene publicidad que debe ser
visualizada para usar el programa. Crimeware
Software ideado para cometer crmenes (generalmente de tipo financiero y en el mundo empresarial)
Software malicioso: Clasificacin
Dialer: Software que utilizan llamadas a nmeros de telfono para conectarse a
internet. Legitimos: usan los nmeros de telfono provistos por el proveedor de servicios. Malware: usan nmeros de telfono de tarificacin especial
Hijacker Programas que cambian la configuracin del navegador para cargar
pginas no autorizadas. Joke
Software que tratan de hacer pensar al usuario que ha sido infectado por un virus.
Software malicioso: Clasificacin
Keylogger Malware que registra las pulsaciones de teclado y,
eventualmente, puede mandarlas a travs de la red para registrar sitios visitados, contraseas, correos, etc.
Hoax: Mensajes de correo que, mediante tcnicas de ingeniera social,
tratan de propagarse. El objetivo puede ser muy amplio, a veces, simplemente recoger
direcciones de correo vlidas para spam.
Software malicioso: Clasificacin
Spam: Correo electrnico con publicidad no solicitada.
Rogue: Falso programa de seguridad Ejemplo: http://blogs.eset-la.com/laboratorio/2008/12/02/animaciones-calidad-antivirus-falsos/
FakeAV: Simula ser un antivirus. (El rogue es una definicin
mas amplia)
Anatoma de un Ataque
Los ataques se pueden clasificar de varias formas. Somos un objetivo o un Dao colateral
Un objetivo es cuando un hacker quiere explcitamente entrar en nuestro sistema. Somos el centro de su ataque.
Un Dao colateral es cuando somos infectados o la integridad del Sistema es vulnerada sin ser un objetivo explicito. Esto puede ser causa de errores de usuario, virus, etc.
Anatoma de Ataque
Tipo de ataque a realizar: DoS, obtener informacin, eliminar informacin, modificar
informacin, etc. Identificar objetivo:
Ordenador particular, Ordenador corporativo (ej. servidor en la empresa), red corporativa, etc.
Por que a nosotros? Por hobby, Por interes econmico, Por odio
1
Anatoma del ataque
Obtener la mxima informacin del objetivo: Ingeniera social:
Obtener datos del usuario/administrador del objetivo Contraseas pueden estar relacionadas con datos
personales. Ejemplo: Pon tu nombre completo en google
Herramientas para obtener informacin Sistema operativo, servicios activos, estructura de red,
usuarios, recursos compartidos. Ej. nmap
2
Anatoma del ataque
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all xx.xx.xx.xx[]Scanning est186.inf-cr.uclm.es (x.x.x.x.x) [1000 ports]Discovered open port 5900/tcp on x.x.x.x.xDiscovered open port 80/tcp on x.x.x.x.xDiscovered open port 111/tcp on x.x.x.x.xDiscovered open port 22/tcp on x.x.x.x.x[...]
Anatoma de un ataqueInteresting ports on estxxx.inf-cr.uclm.es (x.x.x.x.x):Not shown: 1992 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 5.5p1 Debian 4 (protocol 2.0)|_ banner: SSH-2.0-OpenSSH_5.5p1 Debian-4| ssh-hostkey: 1024 95:39:02:f7:61:5e:6a:7b:2d:38:fc:df:55:0c:e3:8b (DSA)|_ 2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)80/tcp open http Apache httpd 2.2.15 ((Debian))|_ http-iis-webdav-vuln: ERROR: This web server is not supported.|_ html-title: Index of /111/tcp open rpcbind| rpcinfo: | 100000 2 111/udp rpcbind | 100024 1 33252/udp status | 100000 2 111/tcp rpcbind |_ 100024 1 38407/tcp status 5900/tcp open vnc VNC (protocol 3.7)|_ banner: RFB 003.00768/udp open|filtered dhcpc111/udp open rpcbind123/udp open ntp NTP v45353/udp open|filtered zeroconfNo exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
Anatoma de un ataque
Uptime guess: 22.001 days (since Thu Aug 12 11:41:10 2010)Network Distance: 0 hopsTCP Sequence Prediction: Difficulty=203 (Good luck!)IP ID Sequence Generation: All zerosService Info: OS: Linux
Host script results:| asn-query: | BGP: xx.xx.0.0/16 | Country: EU| Origin AS: 766 - REDIRIS RedIRIS Autonomous System|_ Peer AS: 1299 2914 3549 8928 20965
Anatoma de un ataque
Con la informacin obtenida se buscan vulnerabilidades: Programas no actualizados, sistema operativo
utilizado, estructura de red 2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)80/tcp open http Apache httpd 2.2.15 ((Debian))|_ http-iis-webdav-vuln: ERROR: This web server is not supported.
Servidor web no actualizado
http://httpd.apache.org/security/vulnerabilities_22.html
Anatoma de un ataque
Acceso al equipo/Informacin: Atacar recursos compartidos Obtener contraseas Instalar troyanos, puertas traseras, etc. Ingeniera social SQL Inyection Etc.
3
Anatoma de un ataque
Hackers: Buscan vulnerabilidades en programas nuevos Crean la forma de explotarlos:
Ej. Obtener acceso al ordenador con los privilegios adecuados
Es difcil defenderse de este tipo de personas Se les puede complicar mucho la vida (IDS, Antivirus,
politicas de seguridad) Afortunadamente hay pocos hackers Muchos de ellos slo buscan aprender/ afrontar el reto
Anatoma de un ataque
El lamer: Se aprovechan del trabajo de los hackers, usan las
vulnerabilidades encontradas por ellos Se aprovechan de servicios poco actualizados. Tienen menos conocimientos tcnicos
Buscan explotar las vulnerabilidades con scripts o cdigo de otras personas.
La mejor defensa es tener los servicios actualizados
Anatoma de un ataque
Una vez que se tiene acceso al equipo: Se consolida el ataque
Se trata de acceder a la mquina remota de forma rpida y efectiva cuando queramos
Se trata de asumir el control total del equipo (privilegios de administrador)
Se intenta acceder a otros recursos desde el equipo violado Mas fcil supuesto estamos Dentro
Se estudia el sistema de seguridad implantado.
4
Anatoma de un ataque
Borramos huellas Eliminamos entradas en log Estudiamos el sistema para observar los rastros que
podamos haber dejado y los eliminamos Generalmente se automatiza este proceso
auth.log.1:Sep 3 10:44:11 homer su[28548]: Successful su for root by xxxxauth.log.1:Sep 3 10:44:11 homer su[28548]: + /dev/pts/14 xxxx:rootauth.log.1:Sep 3 10:44:11 homer su[28548]: pam_unix(su:session): session opened for user root by xxxx(uid=1000)
5
Anatoma de ataquesFuente: http://www.segu-info.com/ataques/ataques.htm
Enlaces interesantes
http://www.seguridadenlared.org/es/index5esp.html http://sobrelistas.blogspot.com/2010/05/los-hackers-mas-famosos-
de-la-historia.html
http://www.galiciae.com/nova/48686.html
http://www.esi.uclm.es 31
Contenidos
Ataques y software malicioso Herramientas
http://www.esi.uclm.es 32
Contenidos
Herramientas preventivas: Evitar que el malware se instale en el sistema IT
Herramientas paliativas: Evitar los daos provocados por el malware
Actualizacion de sistemas y aplicaciones
A menudo son las mismas!!
Herramientas preventivas/paliativas.
Tratan de evitar cualquiera de los ataques que hemos visto en mdulos anteriores.
Incluyen: Encriptado de informacin en disco Antivirus Sistemas de deteccin de intrusos (IDS) Sistemas de prevencin de intrusos (IPS) Backup
Encriptado de informacin en disco
Este tipo de herramientas encriptan la informacin en disco. Permiten encriptar archivos y directorios
Mantienen la privacidad Ejemplos de este tipo de herramientas:
FreeOTFE (windows) Crypt (windows, obsoleto) GNU privacy guard (GNU/Linux y con versin para MAC) Etc.. cuidado con los
freeOTFE
Crea discos virtuales. Al desmontar el volumen se cifra todo lo que se
haya copiado. Al montar el volumen te pide la contrasea Gran variedad de posibilidades de encriptacin
(etapa 5/8). Licencia GPL, Versiones para windows, linux,
windows mobile, etc. http://www.freeotfe.org/
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
freeOTFE
Sistemas de deteccin/prevencin de intrusos
Sistemas IDS (Intrusion Detection System) Sistemas IPS (Intrusion Prevention System) Monitorizan la red
En busca de ataques conocidos mediante firmas Cantidad de trfico que se eleva de forma inusual Trfico dirigido a todos los puertos o puertos no usuales Paquetes mal formados etc.
Estructura IDS
Fuentes de Datos
(Interfaces de red, logs, etc.)Filtros y patrones
Generacin de Alarmas(SMS, e-mail, etc.)
IDS
Tipos de IDS HIDS: HOST IDS (ej. tripwire, aide) NIDS: NETWORK IDS (ej. snort) DIDS: DISTRIBUTED IDS
HIDS
Generalmente se trata de monitorizar archivos con el objeto de detectar si son modificados.
Un ataque a travs de la red incluye la modificacin o reemplazo de ciertos archivos con el objetivo de tomar el control total del sistema.
Los HIDS generalmente monitorizan archivos sensibles de forma peridica e informa si observa alteraciones
HIDS:tripwire
Dos versiones GPL y comercial. http://www.tripwire.com/it-compliance-products/te/ost/compare.cfm
Monitoriza archivos segn la configuracin y la poltica que se desee. Altamente configurable
La versin GPL disponible para GNU/Linux
HIDS: tripwire
HIDS: tripwire
HIDS: tripwire
HIDS: tripwire
HIDS: tripwire
HIDS: tripwire
HIDS: tripwire
HIDS:tripwire
Archivos de configuracin en /etc/ Los archivos twcfg.txt y twpol.txt definen la
configuracin y polticas respectivamente. Se editan y modifican en funcin del sistema Manten siempre una copia original
twadmin permite configurar de nuevo toda la herramienta.
felix@homer:/etc/tripwire$ lshomer-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt
HIDS: tripwire
La local key se usa para verificar/encriptar la base de datos con los archivos
La site key-file se usa para verificar/encriptar los archivos de configuracin y poltica
Con tripwire se puede chekear el sistema:homer:/etc/tripwire# tripwire --check
HIDS: tripwire
Fuente: http://www.linuxjournal.com/article/8758?page=0,1
NIDS
Generalmente cuando el HIDS notifica una intrusin puede ser demasiado tarde. El ya hacker esta dentro Si su objetivo es copiar/modificar informacin de
nuestro equipo puede que llegemos tarde. No obstante evita que tomen el control de nuestra
mquina. Los Network IDS tratan de detectar el trfico de red
del Ataque en curso y notificarlo Podra tomar acciones para evitarlo (IPS)
NIDS: Emplazamiento
Fuente: http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snort-donde_colocar_el_ids/4735-6
Herramienta IDS/IPS: Snort
Licencia GPL http://www.snort.org Sniffer de red que permite configurar reglas de
deteccin de los ataques mas frecuentes. Algunas reglas son de pago durante un tiempo http://www.snort.org/snort-rules/#rules
Muy utilizado por los administradores de sistemas Muy flexible:
http://www.snort.org/education
Herramienta IDS/IPS: Snorthomer:/home/felix# snort -vdRunning in packet dump mode
--== Initializing Snort ==--Initializing Output Plugins!****** interface device lookup found: eth0***Initializing Network Interface eth0Decoding Ethernet on interface eth0
--== Initialization Complete ==--
,,_ -*> Snort!
Backup
Una poltica adecuada de copias de respaldo es, sin lugar a dudas, el pilar bsico de la seguridad de sistema informticos con independencia del tamao y la complejidad de este ltimo.
Se puede considerar una herramienta de prevencin y tambin paliativa.
Multitud de herramientas existentes para todos los sistemas operativos del mercado.
Backup
FUENTE: http://es.wikipedia.org/wiki/Anexo:Aplicaciones_de_copias_de_seguridad
Backuppc
Licencia GPL, web http://backuppc.sourceforge.net/
Utiliza rsync para las copias Dotado de interfaz web de administracin Archivo de configuracin:
/etc/backuppc/config.pl
Backuppc
Configuracin:
$Conf{RsyncClientRestoreCmd}: Sentencia que se ejecuta para hacer los backups. Ej: $Conf{RsyncClientRestoreCmd} = '$sshPath -q -x -l backuppc $host $rsyncPath $argList+';
Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync
BackupPC
Fuente: http://www.xuni.it/index.php?c=p04
Backuppc: configuracin $Conf{ServerHost}: Debe aparecer el nombre del equipo servidor. Ej: $Conf{ServerHost} = 'a01-pro.lacimurga.ex' $Conf{WakeupSchedule}: Indica durante que horas est levantado el demonio para realizar los backups. Ej: $Conf{WakeupSchedule} = [16..18] Levantado de 4 a 6 de la tarde. $Conf{BackupPCUser}: Es el usuario del servidor. El que creamos en la instalacin. Ej: $Conf{BackupPCUser} = backuppc $Conf{FullPeriod}: Periodo de tiempo cada cuanto se quiere hacer un backup Completo (Full Backup) Ej: $Conf{FullPeriod} = 1 1 vez al da. $Conf{BlackoutPeriods}: Perido en el cual los equipos no estn operativos para realizar un backup. No se si este parmetro es necesario indicarlo Ej: $Conf{BlackoutPeriods} = [ { hourBegin => 7.0, hourEnd => 8.0, weekDays => [1, 2, 3, 4, 5], },]; Le he puesto que no se pueden hacer backups de 7 a 8 de la maana de Lunes a Viernes. $Conf{XferMethod}: Indica el mtodo de copia de archivos. Mediante la herramienta rsync. Ej: $Conf{XferMethod} = 'rsyncd';
Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync
Backuppc
Backuppc
Backuppc
Backuppc
Backuppc
Antivirus
Herramienta imprescindible (en entornos windows) y que analizan un sistema IT en busca de virus/malware.
Existen diversas tcnicas para detectar virus Las mas comunes se basan en actualizaciones de
bases de datos que contienen informacin sobre el malware existente. Cadenas que identifican a ese malware Dependen de la actualizacin de la base de datos
Antivirus
Las actualizaciones deben realizarse muy frecuentemente:
http://www.kaspersky.com/viruswatch3
Antivirus
Tambin se usan tecnicas de IA para identificar cdigo que generalmente se involucra en malware. No hace falta un listado exhaustivo de los virus existentes.
En otras ocasiones se analiza el comportamiento de las aplicaciones.
Generalmente los antivirus existentes actan cuando la infeccin se ha producido. Demasiado tarde en algunas ocasiones.
Existen multitud de opciones en el mercado Con distintas licencias, precios, caractersticas.
Antivirus
Comparativa: http://www.pcasalvo.com/
Actualizacin de sistemas y aplicaciones
Los ataques a los sistemas provienen de la instalacin y uso de herramientas.
Las mas frecuentes y que son fuentes de problemas en los PC's de usuario: Correo electrnico Navegador Web Intercambio de archivos en redes P2P Aplicaciones tipo messenger
Actualizacin de sistemas y aplicaciones
Servidores de red y sistemas operativos tambin son vulnerables.
Como norma general debemos actualizar de forma regular: Todos los servidores de red en nuestro sistema IT El sistema operativo de todas las mquinas Las aplicaciones en uso por los usuarios
Actualizacin de sistemas y aplicaciones
Las actualizaciones suelen reparar vulnerabilidades detectadas en la aplicacin/servicio Automticamente se inactiva todo el malware diseado
para esa vulnerabilidad. Todos los sistemas operativos cuentan con un
mtodo de actualizacin automtico que podemos configurar.
Los fabricantes de los servicios sacan parches de seguridad para resolver vulnerabilidades.
Actualizacin de sistemas y aplicaciones
Actualizacin de sistemas y aplicaciones
Actualizacin de sistemas y aplicaciones
Informtica forense
Una vez que hemos sido vctimas de un ataque podemos emprender acciones legales. Es dificil ya que:
Identificar la fuente original es difcil Puede involucrar diferentes paises, con diferentes leyes, etc. Debemos aportar pruebas del ataque y/o dao sufrido.
Este ltimo punto representa el objetivo de la informtica forense
Informtica forense
El Anlisis Forense de Sistemas (Computer Forensics) comprende el proceso de extraccin, conservacin, identificacin, documentacin, interpretacin y presentacin de las evidencias digitales de forma que sean legalmente aceptadas en cualquier proceso legal (por ejemplo un juicio).Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux
Informtica forense
Adquirir las evicencias sin alterar ni daar el original. Sin utilizar las herramientas del propio sistema
comprometido Conservando la Cadena de Custodia
Comprobar que las evidencias recogidas son identicas a la original (herramientas hash)
Analizar los datos sin modificarlos Copias bit a bit
Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux
Monitorizacin del trfico en redes
Las herramientas de monitorizacin son ampliamente usadas en: Depuracin de protocolos IDS Para obtener informacin de la red y de su uso.
Ejemplo: wireshark
Sniffer de red muy utilizado GPL Disponible para windows y linux Con una gran funcionalidad en cuanto a filtros,
anlisis de conversaciones, protocolos reconocidos, etc.
http://www.wireshark.org/
Ejemplo: wireshark
Ejemplo: wireshark
Ejemplo: wireshark
Ejemplo: wireshark
Ejemplo: wireshark
Ejemplo: wireshark
Y muchas mas..
Virtualizacin de servidores de red Scaneo de puertos
http://www.seguridadenlared.org/es/index5esp.html Auditora de contraseas:
http://www.microsoft.com/latam/protect/yourself/password/checker.mspx http://howsecureismypassword.net/
Etc..