Protección por Contraseña
Las clases
de elementos de autentificación para establecer la identidad de una
persona son:
Algo sobre
la persona:
- Ej.: huellas digitales, registro de la voz, fotografía,
firma, etc.
- Algo poseído por la persona:
- Ej.: insignias especiales, tarjetas de identificación,
llaves, etc.
- Algo conocido por la persona:
- Ej.: contraseñas, combinaciones de
cerraduras, etc.
El esquema
mas común de autentificación es la protección por contraseña:
El usuario
elige una palabra clave , la memoriza, la teclea para ser admitido en el
sistema computarizado:
- La clave no debe desplegarse en pantalla ni
aparecer impresa.
La protección
por contraseñas tiene ciertas desventajas si no se utilizan criterios
adecuados para:
Elegir las contraseñas.
- Comunicarlas fehacientemente en caso de que
sea necesario.
- Destruir las contraseñas luego de que han sido
comunicadas.
- Modificarlas luego de algún tiempo.
Los usuarios
tienden a elegir contraseñas fáciles de recordar:
Nombre de un
amigo, pariente, perro, gato, etc.
- Numero de documento, domicilio, patente del
auto, etc.
Estos datos podrían
ser conocidos por quien intente una violación a la seguridad mediante
intentos repetidos, por lo tanto debe limitarse la cantidad de intentos
fallidos de acierto para el ingreso de la contraseña.
La contraseña
no debe ser muy corta para no facilitar la probabilidad de acierto.
Tampoco debe
ser muy larga para que no se dificulte su memorización, ya que los usuarios la anotarían
por miedo a no recordarla y ello incrementaría los riesgos de que trascienda.
Contraseñas
de un solo uso
• Al final
de cada sesión, se le pide al usuario que cambie la contraseña.
• Si alguien
“roba una contraseña”, el verdadero usuario se dará cuenta cuando vaya a
identificarse de nuevo, pues el impostor habrá cambiado la contraseña, con lo
que el fallo de seguridad queda detectado.
Verificación
de Amenazas
Es una técnica
según la cual los usuarios no pueden tener acceso directo a un recurso :
Solo lo
tienen las rutinas del S. O. llamadas programas de vigilancia.
- El usuario solicita el acceso al S. O.
- El S. O. niega o permite el acceso.
- El acceso lo hace un programa de vigilancia
que luego pasa los resultados al programa del usuario.
- Permite:
- Detectar los intentos de penetración en el
momento en que se producen.
- Advertir en consecuencia.
Amenazas
relacionadas con los programas
Los procesos
son junto con el kernel , el único medio de realizar un trabajo útil en
una computadora. Por tanto, un objetivo común de los piratas informáticos
consiste en escribir un programa que cree una brecha de seguridad. De hecho,
las mayorías de las brechas de seguridad no relacionadas con programas tienen
por objetivos crear una brecha que si este basada en un programa. Por ejemplo,
aunque resulta útil iniciar una sesión en un sistema sin autorización,
normalmente es mucho mas útil dejar un demonio de tipo puerta trasera que
proporcione informacion o que permita un fácil acceso incluso aunque se bloquee
la brecha de seguridad original. En esta sección, vamos a describir algunos métodos
comunes mediante los que os programas pueden provocar brechas de seguridad. Hay
que resaltar que existe una considerable variación en lo que respecta a los
convenios de denominación de los agujeros de seguridad, y que en este texto
utilizamos los términos mas comunes o descriptivos.
- CABALLO DE
TROYA
Definición.-
Un programa indudablemente útil e
inocente que contiene códigos escondidos que permiten la modificación no
autorizada y la explotación o destrucción de la informacion. Los programas
caballo de Troya se distribuyen por lo general por Internet. Los juegos,
freeware y protectores de pantalla son los medios comunes que utilizan los
caballos de Troya.
Se denomina troyano
(o caballo de Troya , traducción mas fiel del ingles Trojan horse
aunque no tan utilizada) a un programa malicioso capaz de alojarse en
computadoras y permitir el acceso a usuarios externos, a través de una red
local o de Internet, con el fin de recabar informacion o controlar remotamente
a la maquina anfitriona.
Un troyano
no es de por si, un virus, aun cuando teóricamente pueda ser distribuido y
funcionar como tal. La diferencia fundamental entre un troyano y un virus
consiste en su finalidad. Para que un programa sea un "troyano" solo
tiene que acceder y controlar la maquina anfitriona sin ser advertido,
normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped
destructivo, el troyano no necesariamente provoca danos porque no es su
objetivo.
Suele ser un
programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música
u otro elemento de apariencia inocente, que se instala en el sistema al
ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función
útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los
antivirus o anti troyanos no los eliminan) pero internamente realiza otras
tareas de las que el usuario no es consciente, de igual forma que el Caballo de
Troya que los griegos regalaron a los troyanos.
Habitualmente
se utiliza para espiar, usando la técnica para instalar un software de acceso
remoto que permite monitorizar lo que el usuario legitimo de la computadora
hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo,
capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando
un troyano hace esto se le cataloga de keylogger) u otra informacion sensible.
La mejor
defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el
origen y mantener software antivirus actualizado y dotado de buena heurística;
es recomendable también instalar algún software anti troyano, de los cuales
existen versiones gratis aunque muchas de ellas constituyen a su vez un
troyano. Otra solución bastante eficaz contra los troyanos es tener instalado
un firewall.
Otra manera
de detectarlos es inspeccionando frecuentemente la lista de procesos activos en
memoria en busca de elementos extraños, vigilar accesos a disco innecesarios,
etc.
Lo peor de
todo es que últimamente los troyanos están siendo diseñados de tal manera que
es imposible poder detectarlos excepto por programas que a su vez contienen
otro tipo de troyano, inclusive y aunque no confirmado, existen troyanos dentro
de los programas para poder saber cual es el tipo de uso que se les y poder
sacar mejores herramientas al mercado llamados también "troyanos
sociales"
Los troyanos
están actualmente ilegalizados, pero hay muchos
crackser que lo utilizan.
PUERTA
TRASERA
En la informática,
una puerta trasera (o en ingles backdoor ), es una secuencia
especial dentro del código de programación mediante el programador puede
acceder o escapar de un programa en caso de emergencia o contingencia en algún
problema.
A su vez,
estas puertas también pueden ser perjudiciales debido a que los crackers al
descubrirlas pueden acceder a un sistema en forma ilegal y aprovecharse la
falencia.
“Cualquier
medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso
como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para
los fines de uno, antes que en contra de ellos, es alcanzar el conocimiento.”
Alan Kay.
“Es extraña
la ligereza con que los malvados creen que todo les saldrá bien.” Víctor Hugo.
A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente son desconocidas la inmensa gama de problemas que estas puedan llegar a producir. Al hablar de estas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa.
A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente son desconocidas la inmensa gama de problemas que estas puedan llegar a producir. Al hablar de estas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa.
Algunos
programadores dejan puertas traseras a propósito, para poder entrar rápidamente
en un sistema; en otras ocasiones existen debido a fallos o errores.
Ni que decir
tiene que una de las formas típicas de actuación de los piratas informáticos es
localizar o introducir a los diversos sistemas una puerta trasera y entrar por
ella.
El termino
es adaptación directa del ingles backdoor que comúnmente significa “puerta de atrás”.
Lo usual en
estos programas los cuales no se reproducen solos como los virus, sino que nos
son enviados con el fin de tener acceso a nuestros equipos muchas veces a través
del correo electrónico, por lo que la mayoría de las veces no son fáciles de
detectar y por si solos no siempre causan danos ni efectos inmediatos por su
sola presencia, siendo así pueden llegar a permanecer activos mucho tiempo sin
que nos percatemos de ello.
Generalmente
estos se hacen pasar por otros, es decir, se ocultan en otro programa que les
sirve de caballo de Troya para que el usuario los instale por error.
Lo peor que
puede pasarle cuando esta en el messanger o en el ICQ
no es que contraiga su PC un virus. Lo peor es que alguien instale un backdoor en su PC. Las puertas traseras son fáciles de entender.
no es que contraiga su PC un virus. Lo peor es que alguien instale un backdoor en su PC. Las puertas traseras son fáciles de entender.
Como todo en
Internet se basa en la arquitectura cliente / servidor, solo se necesita
instalar un programa servidor en una maquina para poder controlarla a distancia
desde otro equipo, si se cuenta con el cliente adecuado, esta puede bien ser la
computadora de un usuario descuidado o poco informado.
Las puertas
traseras (backdoors) son programas que permiten acceso prácticamente ilimitado
a un equipo de forma remota. El problema, para quien quiere usar este ataque,
es que debe convencerlo a usted de que instale el servidor.
Por eso, si
aparece un desconocido ofreciéndole algún programa maravilloso y tentador, no
le crea de inmediato. Lo que están probablemente a punto de darle es un
troyano, un servidor que le proporcionara a algún intruso acceso total a su
computadora.
Con todo el
riesgo que esto implica, hay una forma simple y totalmente segura de evitarlo:
no acepte archivos ni mucho menos ejecute programas que le hayan mandado siendo
estos sobre todo de procedencia dudosa.
Los
programas que se clasifican como “backdoors” o "puertas traseras" son
utilerías de administración remota de una red y permiten controlar las
computadoras conectadas a esta.
El hecho que
se les clasifique como software malévolo en algunos casos, es que cuando
corren, se instalan en el sistema sin necesidad de la intervención del usuario
y una vez instalados en la computadora, no se pueden visualizar estas
aplicaciones en la lista de tareas en la mayoría de los casos.
Consecuentemente
un backdoor puede supervisar casi todo proceso en las computadoras afectadas,
desinstalar programas, descargar virus en la PC remota, borrar informacion y
muchas cosas mas.
No es
sencillo darle forma a un tema de esta complejidad en pocas líneas. Lo
importante finalmente es comprender que si no se toman ciertas medidas mínimas,
la informacion sensible que se encuentre en cualquier equipo sobre la faz de la
tierra, con el simple hecho de que tenga acceso a la red de redes (Internet) es
suficiente para que pueda estar expuesto a ataques de diversa índole.
Concluimos
esto, recomendando ciertas medidas muy básicas para estar a salvo de las
puertas traseras y el delicado riesgo para la seguridad que estas representan.
A saber:
1.- Es recomendable asegurarnos de que cada cosa que ejecutamos este
bajo nuestro control. Una buena guía para ello es el sentido común (el menos común
de los sentidos).
2.- Procure no ejecutar programas de los que no sepamos su procedencia,
tanto en anexos de correo, ICQ, messanger y descargas de Internet (ya sean via
Web o FTP).
3.- La informacion nos protege. Es recomendable enterarse un poco de las
noticias de virus y programas dañinos relacionados, visitando por lo menos las
paginas de las distintas empresas antivirus o suscribiéndose a algunos
boletines.
4.- Es necesario instalar un antivirus y mantenerlo actualizado. En la
actualidad se protege al usuario no solo contra virus, sino también
contra gusanos, programas de puerta trasera, troyanos y algunos programas maliciosos.
actualidad se protege al usuario no solo contra virus, sino también
contra gusanos, programas de puerta trasera, troyanos y algunos programas maliciosos.
5.- Es bueno tener presente que existen virus y troyanos que pueden
aparentar ser amigables (una simple tarjeta de San Valentín), o que provienen de gente que conoces (como es el caso del gusano Sircam). Siendo asi, no confíes en ningún programa ni en nada que recibas hasta no revisarlo con el Antivirus.
aparentar ser amigables (una simple tarjeta de San Valentín), o que provienen de gente que conoces (como es el caso del gusano Sircam). Siendo asi, no confíes en ningún programa ni en nada que recibas hasta no revisarlo con el Antivirus.
6.- Mantenga al día todas las actualizaciones de seguridad de Microsoft,
para todas y cada una de las distintas aplicaciones
-BOMBA
LOGICA
Este tipo de
delito forma parte de los sistemas informaticos que realizan ataques a la parte
logica del ordenador.
Se entiendo
por bomba logica (en ingles denominado time bombs), aquel software, rutinas o
modificaciones de programas que producen modificaciones, borrados de ficheros o
alteraciones del sistema en un momento posterior a aquel en el que se
introducen por su creador.
Los
disparadores de estos programas puede ser varios, desde las fechas de los
sistemas, realizar una determinada operación o que se introduzca un determinado
código que será el que determine su activación.
Son
parecidas al Caballo de Troya, aunque lo que se pretende es dañar al sistema o
datos, aunque se pueden utilizar para ordenar pagos, realizar transferencias de
fondos, etc...
Características
principales:
- El tipo de actuación es retardada.
- El creador es consciente en todo momento del
posible daño que puede causar y del momento que este se puede producir.
- Este ataque esta determinado por una condición
que determina el creador dentro del código.
- El código no se replica.
- Los creadores de este tipo de códigos malignos
suelen ser personal interno de la empresa, que por discrepancias con la dirección
o descontento suelen programarlas para realizar el daño.
VIRUS
Un virus informático
es un programa que se copia automáticamente y que tiene por objeto alterar
el normal funcionamiento de la computadora, sin el permiso o el conocimiento
del usuario. Aunque popularmente se incluye al "malware" dentro de
los virus, en el sentido estricto de esta ciencia los virus son programas que
se replican y ejecutan por si mismos. Los virus, habitualmente, remplazan
archivos ejecutables por otros infectados con el código de este. Los virus
pueden destruir, de manera intencionada, los datos almacenados en un ordenador,
aunque también existen otros mas benignos, que solo se caracterizan por ser
molestos.
Los virus informáticos
tienen, básicamente, la función de propagarse, replicándose, pero algunos
contienen además una carga dañina (payload) con distintos objetivos, desde una
simple broma hasta realizar danos importantes en los sistemas, o bloquear las
redes informáticas generando trafico inútil.
El
funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un
programa que esta infectado, en la mayoría de las ocasiones, por
desconocimiento del usuario. El código del virus queda residente (alojado) en
la memoria RAM de la computadora, aun cuando el programa que lo contenía haya
terminado de ejecutarse. El virus toma entonces el control de los servicios básicos
del sistema operativo, infectando de, manera posterior, archivos ejecutables
que sean llamados para su ejecución. Finalmente se añade el código del virus al
del programa infectado y se graba en disco, con lo cual el proceso de replicado
se completa.
Amenazas del
Sistema y de la Red
Las amenazas
basadas en programas utilizan típicamente un fallo en los mecanismos de protección
de un sistema para atacar a los programas. Por contraste, las amenazas del
sistema y de la red implican el abuso de los servicios y de las conexiones de
red. En ocasiones, se utiliza un ataque del sistema y de la red para lanzar un
ataque de programa, y viceversa.
Las amenazas
del sistema y de la red crean una situación en la que se utilizan
inapropiadamente los recursos del sistema operativo y los archivos del usuario.
En esta sección vamos a analizar algunos ejemplos de estas amenazas, incluyendo
los gusanos, el escaneo de puertos y los ataques por denegación de servicio.
Es
importante destacar que las mascaradas y los ataques por reproducción también
resultan comunes en las redes que interconectan los sistemas. De hecho, estos
ataques son mas efectivos y mas difíciles de contrarrestar cuando están implicados
múltiples sistemas. Por ejemplo, dentro de una computadora, el sistema
operativo puede determinar, usualmente, el emisor y el receptor de un mensaje.
Incluso si el emisor adopta el ID de alguna otra persona, puede que exista un
registro de dicho cambio de ID. Cuando están implicados múltiples sistemas,
especialmente sistemas que son controlados por los atacantes, realizar esa
labor de traza resulta mucho mas difícil.
La generalización
de este concepto es que el compartir secretos (para demostrar la identidad y en
forma de claves de cifrado) es una necesidad para la autenticación del cifrado,
y que esa compartición resulta mas sencilla en aquellos entornos (por ejemplo
con un único sistema operativo) en los que existan métodos seguros de compartición.
Estos métodos incluyen la memoria compartida y los mecanismos de comunicación
interprocesos.
GUSANOS
Un gusano es
un virus informático o programa auto replicante que no altera los archivos sino
que reside en la memoria y se duplica a si mismo. Los gusanos utilizan las
partes automaticas de un sistema operativo que generalmente son invisibles al
usuario. Es algo usual detectar la presencia de gusanos en un sistema cuando,
debido a su incontrolada replicacion, los recursos del sistema se consumen hasta
el punto de que las tareas ordinarias del mismo son excesivamente lentas o
simplemente no pueden ejecutarse.
Un gusano,
al igual que un virus, esta diseñado para copiarse de un equipo a otro, pero lo
hace automáticamente. En primer lugar, toma el control de las características
del equipo que permiten transferir archivos o informacion. Una vez que un
gusano este en su sistema, puede viajar solo. El gran peligro de los gusanos es
su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría
enviar copias de si mismo a todos los usuarios de su libreta de direcciones de
correo electrónico, lo que provoca un efecto domino de intenso trafico de red
que puede hacer mas lentas las redes empresariales e Internet en su totalidad.
Cuando se
lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y
posiblemente provocan esperas largas (a todos los usuarios) para ver las
paginas Web en Internet.
Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención
del usuario y distribuye copias completas (posiblemente modificadas) de si
mismo por las redes. Un gusano puede consumir memoria o ancho de banda de red,
lo que puede provocar que un equipo se bloquee.
Debido a que
los gusanos no tienen que viajar mediante un programa o archivo
"host", tambien pueden crear un tunel en el sistema y permitir que
otro usuario tome el control del equipo de forma remota. Entre los ejemplos
recientes de gusanos se incluyen: Sasser y Blaster.
-ESCANEO DE
PUERTOS
El escaneo
de puertos es una de las mas populares técnicas utilizadas para descubrir y
mapear servicios que están escuchando en un puerto determinado. Usando este método
un atacante puede crear una lista de las potenciales debilidades y
vulnerabilidades en un puerto para dirigirse a la explotación del mismo y
comprometer el host remoto Una de las primeras etapas en la penetración /
auditoria de un host remoto es primeramente componer una lista de los puertos
abiertos utilizando una o mas de las técnicas descritas abajo. Una ves
establecida, los resultados ayudaran al atacante a identificar los servicios
que están corriendo en ese puerto utilizando una lista de puertos que cumplen
con el RFC (la función /etc/services in UNIX, getservbyport() automáticamente
hace esto) permitiendo comprometer el host remoto en la etapa de descubrimiento
inicial. Las técnicas de escaneo de puertos se dividen en tres tipos específicos
y diferenciados: *.escaneo abierto *.escaneo medio abierto *.escaneo oculto
Cada una de esas técnicas permite un ataque para localizar puertos abiertos y
cerrados en un servidor pero saber hacer el escaneo correcto en un ambiente
dado depende de la topología de la red, IDS, características de logging del
servidor remoto. Aunque un escaneo abierto deja bitácoras grandes y es fácilmente
detectable produce los mejores resultados en los puertos abiertos y cerrados.
Alternativamente, utilizar un escaneo oculto permite evitar ciertos IDS y pasar
las reglas del firewall pero el mecanismo de escaneo como packet flags
utilizados para detectar estos puertos puede dejar muchos paquetes caídos sobre
la red dando resultados positivos siendo estos falsos. Mas adelante se discutirá
esto en la sección de escaneo FIN de este documento. Enfocándonos mas
directamente en cada una de las técnicas anteriores, estos metodos se pueden
categorizar en tipos individuales de escaneo. Veamos un modelo basico de
escaneo incluyendo un barrido de ping.
-DENEGACION
DE SERVICIO
En seguridad
informática, un ataque de denegación de servicio , también llamado ataque
DoS (de las siglas en ingles Denial of Service ), es un ataque a un
sistema de ordenadores o red que causa que un servicio o recurso sea
inaccesible a los usuarios legítimos. Normalmente provoca la perdida de la
conectividad de la red por el consumo del ancho de banda de la red de la victima
o sobrecarga de los recursos computacionales del sistema de la victima.
Se genera
mediante la saturación de los puertos con flujo de informacion, haciendo que el
servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le
dice "denegación", pues hace que el servidor no de abasto a la
cantidad de usuarios. Esta técnica es usada por los llamados crackers para
dejar fuera de servicio a servidores objetivo.
El llamado DDoS
(siglas en ingles de Distributed Denial of Service , denegación de servicio
distribuida) es una ampliación del ataque DoS, se efectúa con la instalación de
varios agentes remotos en muchas computadoras que pueden estar localizadas en
diferentes puntos. El invasor consigue coordinar esos agentes para así, de
forma masiva, amplificar el volumen del flood o saturación de
informacion, pudiendo darse casos de un ataque de cientos o millares de
computadoras dirigido a una maquina o red objetivo. Esta técnica se ha revelado
como una de las mas eficaces y sencillas a la hora de colapsar servidores, la tecnología
distribuida ha ido sofisticándose hasta el punto de otorgar poder de causar
danos serios a personas con escaso conocimiento técnico.
En
ocasiones, esta herramienta ha sido utilizada como un notable método para
comprobar la capacidad de trafico que un ordenador puede soportar sin volverse
inestable y perjudicar los servicios que desempeña. Un administrador de redes
puede así conocer la capacidad real de cada maquina.
Métodos de ataque
Un ataque de
"Denegación de servicio" previene el uso legitimo de los usuarios al
usar un servicio de red. El ataque se puede dar de muchas formas, como por
ejemplo:
Inundación
SYN (SYN Floods)
La inundación
SYN envia un flujo de paquetes TCP/SYN, muchas veces con la dirección de origen
falsificada. Cada unos de los paquetes recibidos es tratado por el destino como
una petición de conexión, causando que el servidor intente establecer una conexión
al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta
TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías).
Sin embargo,
debido a que la dirección de origen es falsa o la dirección IP real no ha
solicitado la conexión, nunca llega la respuesta. Estas conexiones a medias
consumen recursos en el servidor y limitan el número de conexiones que se
pueden hacer, reduciendo la disponibilidad del servidor para responder
peticiones legitimas de conexión.
Ataque LAND
(LAND attack)
Un ataque
LAND se realiza al enviar un paquete TCP/SYN falsificado con la dirección del
servidor objetivo como si fuera la dirección origen y la dirección destino a la
vez. Esto causa que el servidor se responda a si mismo continuamente y al final
falle.
Inundación
ICMP (ICMP floods)
Es una técnica
DoS que pretender agota el ancho de banda de la victima. Consiste en enviar de
forma continuada un numero elevado de paquetes ICMP echo request (ping) de tamaño
considerable a la victima, de forma que esta ha de responder con paquetes ICMP
echo reply (pong) lo que supone una sobrecarga tanto en la red como en el
sistema de la victima. Dependiendo de la relación entre capacidad de
procesamiento de la victima y atacante, el grado de sobrecarga varia, es decir,
si un atacante tiene una capacidad mucho mayor, la victima no puede manejar el
trafico generado.
.
No hay comentarios:
Publicar un comentario