MÁSTER PROFESIONAL EN TECNOLOGÍAS DE SEGURIDAD DE LA INFORMACIÓN

Bloque Gestion

Conceptos de Seguridad y Amenazas

Otras Amenazas

Febrero 2007

2

Incidencias... breve historia Ciclo de Vida de la intrusión.

Scaning

Intrusión

Vulnerabilidades

DoS, DDoS

Ocultación: rootkit)

Abuso Fraude Online

Indice

3

Antecedentes

1969 - Advanced Research Projects Agency (ARPA) crea ARPANET, la red precursora de Internet. Las primeras cuatro redes de ARPANET pertenecían a la Universidad de California Los Angeles, Universidad de California Santa Barbara, la Universidad de Utah y el Instituto de Investigación Stanford

1971 - John Draper, alias 'Cap'n Crunch' hackea sistemas de teléfono utilizando un silbato de juguete. 1983 - Kevin Poulsen, alias 'Dark Dante' es arrestado por forzar el Arpanet. 1983 - Se funda Internet al dividir el Arpanet en redes separadas: militares y civiles. 1984 - Bill Landreth, conocido como 'The Cracker', es apresado por hackear sistemas de

ordenadores e ingresar a los datos de ordenadores de la NASA y el Departamento de Defensa. Noviembre de 1988 - Robert Morris crea un gusano de Internet que infecta varios miles de sistemas,

destroza y provoca atascos en los ordenadores en todo el país, debido a un error de programación. Este virus ahora se conoce como el gusano Morris.

1990 - Kevin Poulsen hackea un sistema telefónico en Los Angeles, haciéndose ganador de un Porsche 944 en un concurso radial.

23 de marzo de 1994 - Richard Pryce, de 16 años, alias 'Datastream Cowboy', es arrestado con cargos de acceso no autorizado a ordenadores.

1994 - Vladimir Levin, un matemático ruso, hackea el Citibank y roba $10 millones. 1995 - Dan Farmer y Wietse Venema presentan SATAN, un escaner automático de vulnerabilidades,

que se convierte en una popular herramienta de hacking. 1995 - Kevin Mitnick sufre su último arrestro tras ser acusado de entrar en algunos de los

ordenadores más "seguros" de EE.UU. Ya había sido procesado judicialmente en 81, 83 y 87 por diversos delitos electrónicos.

4

Antecedentes

1996 - Tim Lloyd planta una bomba de tiempo de software en Omega Engineering, una compañía en New Jersey. Los resultados del ataque son devastadores: pérdidas de USD$12 millones y más de 80 empleados que pierden su trabajo. Lloyd es sentenciado a 41 meses en prisión.

1998 -Dos hackers chinos, Hao Jinglong y Hao Jingwen (mellizos) son sentenciados a muerte por una corte en China por ingresar a un ordenador de un banco y robar 720.000 yuan ($87'000).

1998 - El virus CIH es presentado. CIH es el primer virus que incluye una carga explosiva que borra la memoria FLASH BIOS, haciendo que el sistema del ordenador no pueda arrancar y echa por tierra el mito de que ‘los virus no pueden dañar el hardware’.

2000 - Un hacker adolescente canadiense conocido como ‘Mafiaboy’ conduce un ataque DoS y hace que Yahoo, eBay, Amazon.com, CNN y unos cuantos otros sitios web se tornen inaccesibles. Es sentenciado a ocho meses en un centro de detención para jóvenes.

2000 - The FBI arresta a dos hackers rusos, Alexi V. Ivanov y Vasiliv Groshkov. Los arrestos se llevan a cabo después de una operación compleja que incluyó el llevar a los hackers a los Estados Unidos bajo el pretexto de "mostrar sus habilidades de hacking’

Julio de 2001 - El gusano CodeRed es lanzado, y se esparce rápidamente por todo el mundo, infectando cientos de miles de ordenadores en pocas horas.

29 de abril de 2003 - New Scotland Yard arresta a Lynn Htun en la feria de ordenadores London's InfoSecurity Europe 2003. Se cree que Lynn Htun obtuvo acceso no autorizado a muchos importantes sistemas de ordenadores como Symantec y SecurityFocus.

5

Casos de ataques: Antecedentes

Fuente: Comité para asuntos gubernamentales del Senado de Estados Unidos www.senate.gov , Mayo 1998

La débil Seguridad Informática del Gobierno: ¿Están los sistemas Públicos en Riesgo?

Tras haber escuchado que la Seguridad Informática del Gobierno decía: La Débil Seguridad Informática del Gobierno: ¿Están los sistemas Públicos en Riesgo? El Comité Completo dirigió los problemas de los sistemas que hacían que los ordenadores del gobierno y los sistemas de comunicación fueran vulnerables a ataques deliberados e involuntarios.

El Doctor Peter Neumann declaró que nuestra infraestructura de información subyacente está plagada de vulnerabilidades. Así, las infraestructuras críticas de nuestra nación (por ejemplo, generación, transmisión y distribución eléctrica; control de tráfico aéreo y telecomunicaciones) están en riesgo. Aunque el riesgo es ampliamente conocido, el Doctor Neumann indicó que hasta que no pasa un desastre totalmente visible, muy poca gente quiere admitir que se necesita hacer algo drástico.

Tiene que pasar un accidente de la escala del de Chernobyl para incrementar adecuadamente los niveles de concienciación. Los siete miembros de L0pht remarcaron esta vulnerabilidad, y algún hacker se lo agradecerá. L0pht dijo que en cuestión de 30 minutos, podrían hacer que Internet estuviera inutilizable durante un par de días.

6

Casos de ataques: Antecedentes

Clinton pelea contra piratas informáticos, con un hacker.

Bill Clinton acordó una reunión en la Casa Blanca un martes con expertos en tecnología que incluía a un hacker llamado Mudge.

La reunión trataba una avalancha de ataques la semana anterior que inutilizaba alguno de los sitios Web más populares de la nación, entre ello CNN.com, eBay, Yahoo, Amazon.com y E*Trade.

La idea inicial de la reunión era controlar el problema del uso del ciberespacio por parte de los terroristas. Pero Clinton dijo que los ataques de la semana anterior subrayaban la necesidad del gobierno de priorizar la protección de Internet mismo.

Clinton declaró a CNN.com el lunes en una entrevista online que: Estos ataques de denegación de servicio son obviamente muy molestos y creo que hay un modo en el que podemos promover la seguridad claramente.

7

Casos de ataques: Actuales

El caso de Estonia

Fuente: Helsingin Sanomat, Junio 2007

8

Casos de ataques: Actuales

El caso de Estonia

Los sitios Web del Gobierno estonios y de otros organismos de esta república báltica han sido víctimas de ataques de denegación de servicio desde el pasado 27 de abril, día en el que fue retirada la estatua del "Soldado de Bronce", monumento soviético de la Segunda Guerra Mundial.

En el caso de los sitios ministeriales estonios,  el mayor problema vino por ataques de denegación de servicio distribuido o DDoS (Distributed Denial of Service), una ampliación del ataque DoS, que se efectúa con la instalación de varios agentes remotos en muchos ordenadores que pueden estar localizados en diferentes puntos.  El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del flood o saturación de información. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores.

Un DoS no es ninguna cruzada individual dirigida desde un cibercafé. Tal incursión sería fácil rechazar filtrando o prohibiendo todo el tráfico de una dirección IP dada o de un país. Sin embargo, la defensa se hace muy complicada cuando hay decenas de miles de máquinas atacando desde distintos puntos del planeta, como es el caso

9

El caso de Estonia

Las incursiones fueron realizadas por botnets, software robots, o bots (un programa informático que realiza muy diversas funciones imitando a los humanos), que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores), de tal forma que el artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC (Internet Relay Chat).

Esto no significa de ningún modo que todos los atacantes sean niños entusiastas que lo hacen desde su habitación. Uno de los agitadores más activos ha sido alguien denominado "alexbest". Él ha estado exhortando a miembros de foros a participar en un asalto masivo el pasado 9 de mayo, el Día de la Victoria en Rusia.

Según algunas fuentes Estonias, se cree que el nombre de entrada al sistema “alexbest” tiene uniones con el FSB o Servicio de Seguridad Federal, la agencia de seguridad estatal de la Federación Rusa

Casos de ataques: Actuales

10

Casos de ataques: Actuales

Fuente: CNN.com, Noviembre 2007

Un hacker entró en la página Web de la presidencia de Chile y puso la bandera del vecino Perú, dejando el sitio inoperativo alrededor de 18 horas. El intruso dejó un mensaje -- Larga vida a Perú, seguido de un improperio -- además de la bandera.

El director político del ministerio de exteriores chileno dijo

que el incidente está siendo investigado. También ha pasado con otras páginas Web, incluyendo algunas del gobierno de los Estados Unidos, el Vaticano.

Mientras Chile y Perú tienen normalmente relaciones amistosas, pero esporádicamente surgen tensiones sobre las secuelas de dos guerras del siglo XIX entre los dos países y se ha estado desarrollando una disputa sobre los límites marítimos.

El caso de Chile

11

Casos de ataques: Actuales

Fuente: www.zone-h.org

Datos anuales a Octubre de 2007:

37 ataques con éxito a webs del Gobierno de Estados Unidos (dominios .gov).

73 ataques contra páginas web del Gobierno de China (dominios .gov.cn).

Estos datos no hacen referencia a ataques de denegación de servicio,

como en el caso de Estonia, sólo recogen modificaciones de las páginas web.

12

Motivaciones

Curiosidad, afan de superación, reconocimiento Ego/diversión Piratería (warez) PornografíaJuegos

Estafa, animo de lucro Robo y venta de información Uso de recursos ajenos con fines económicos (p.e.SPAM)

$$

13

Ciclo de Vida de unas Intrusión

Reconocimiento

Recopilación de información

Scanning

Intrusión / ataque

Denegación de servicio

Compromiso

Limpieza, ocultación y

conservación Abuso

14

Reconocimiento

Recopilación de información

Whois, DNS, etc…

Web (sitio web, google…)

Scanning

Hostscan: Búsqueda de maquinas

Portscan: Búsqueda de puertos

Footprinting: Identificación de servicios en los puertos activos

• Consulta de banners

• Consulta de servicios

Fingerprinting: Consulta de OS

15

Intrusión

¿Qué es una Intrusión?

Acceso no autorizado a un sistema de información.

• Explotando Vulnerabilidades Desbordamiento de Búfer

Errores de configuración

Inyección

Denegación de Servicio (DoS)

Denegación de Servicio Distribuido (DDoS)

• Robando Información Ing. Social

Sniffing

¿Como?

16

Desbordamiento de Búfer

Error de programación que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria Excepción y terminación del programa.

EXPLOIT

17

Denegación de Servicio

Es un ataque a un sistema de maquinas o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos o al menos cause que el acceso no sea óptimo (lento): Consumo de Ancho de banda Sobrecarga de recursos Vulnerabilidad (Ping de la Muerte)

Tipos: SYN Floods: intentos de conexión que consumen recursos en el

servidor y limitan el número de conexiones que se pueden hacer . LAND attack: enviar un paquete TCP/SYN con la dirección del

objetivo como origen y destino a la vez. ICMP floods o Ping flood: número elevado de paquetes ICMP echo

request (ping) de tamaño considerable a la víctima, consume ancho de banda y recursos. Si el atacante tiene mas capacidad que la victima, éxito.

Smurf: el atacante dirige paquetes ICMP echo request a una dirección IP de broadcast con la dirección origen de la victima.

18

Smurf

Ping falseando la dirección IP origen hacia broadcast Pong múltiples

no solicitados

19

Denegación de Servicio Distribuida

Es un tipo especial de DoS que consiste en realizar un ataque conjunto y coordinado entre varios equipos.

Agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los router, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser prestados.

20

Ingeniería Social. Se emplean para dirigir la conducta de una persona u obtener

información sensible

El afectado es inducido a actuar de determinada forma (proporcionarnos información, pulsar en enlaces, introducir contraseñas, visitar páginas, etc.) convencido de que está haciendo lo correcto.

Gran grado de personalización que puede llegar a alcanzar. Spam. Troyanos. Intrusiones.

Ingeniería Social

21

Limpieza, ocultación y conservación

Una vez realizado el acceso, se realizan acciones para

conservar el control del sistema sin levantar sospechas.

Para ello:

Ocultación de actividad: se usan los rootkits Se limpian las trazas: Wiping Se instalan puertas traseras: Backdoors

A veces el mismo intruso parchea amablemente el sistema

22

RootKit

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos

Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación.

Núcleo: suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

Aplicación: pueden reemplazar los archivos ejecutables originales con versiones crackeadas.

23

Abuso

Una vez ingresado en el sistema, las acciones a realizar son diversas:

Punto de partida para nuevas intrusiones Miembro de una red de bots:

DoS, DDoS

Robo de Datos (Keyloggers)

Spam: phishing Fraude OnlineMAFIA

24

Se instalan sin conocimiento del usuario y permanecen en ejecución en el equipo afectado.

Bajo ciertas condiciones, registra todas las pulsaciones efectuadas sobre el teclado.

Pueden ser empleados para robar información sensible que se introduzca por teclado, por ejemplo: contraseñas (bancos, juegos, correo o mensajería instantánea), números de tarjeta, datos personales, etc. .

KeyLoggers

FRAUDE EN INTERNET

25

Forma de actuar:1. El keylogger instalado en el equipo está programado para comprobar

continuamente la dirección accedida por el navegador.

2. El usuario accede a la página de inicio de su banco (http://www.caja-bancoX.com) para realizar una consulta de sus movimientos.El troyano reconoce esa dirección y a partir de ese momento, registrará todas las pulsaciones que se efectúen sobre el teclado, que serán primero el ‘nombre de usuario‘ y después la ‘contraseña de acceso’.

3. La información capturada se envía por cualquier método al atacante (correo electrónico, IRC, etc) de modo que este sabe: el banco, el usuario y la contraseña.

KeyLoggers

26

Ingeniería Social. Problemas de carácter técnico.

Recientes detecciones de fraude y urge un incremento del nivel de seguridad.

Nuevas recomendaciones de seguridad para prevención del fraude.

Cambios en la política de seguridad de la entidad.

…

El Fraude en Internet – Elementos Utilizados

27

El gran Problema: Utilización de Troyanos.

Encaminadas a actividades fraudulentas sofisticadas y dirigidas a usuarios específicos .

Provienen en su mayoría de mafias organizadas Mayor complejidad de programación y diseño Encaminados a:

Captura de datos.

Redirección de navegación.

Mayores dificultades de detección y erradicación del ataque

El Fraude en Internet – Elementos Utilizados

28

PHISHING.Obtener información personal (principalmente de acceso a servicios financieros) mediante la suplantación de la apariencia o el nombre de la entidad afectada. Casi siempre se complemente con ingeniería social .

Para alcanzar al mayor número posible de víctimas e incrementar así sus posibilidades de éxito, suele difundirse a través de spam .Los mensajes que nos incitan a visitar determinado sitio falso.

Por norma, las entidades financieras, de crédito, etc. NUNCA se dirigen al cliente solicitando sus datos de acceso o de pago por ningún medio .

Problemas de carácter técnico, detecciones de fraude, recomendaciones prevención del fraude,…

El Fraude en Internet – Tipos de Fraude

29

PHISHING.Las URLs que suelen venir en estos mensajes que nos incitan a visitar determinado sitio falso.

La apariencia suele ser idéntica que al sitio suplantado

Pero….

La URL no suele ser la de la entidad

No suele estar cifrada [https] (aunque muchos sitios fraudulentos comienzan a utilizarlo).

El Fraude en Internet – Tipos de Fraude

30

PHISHING.Pasos que se suele realizar con un phishing:

1. Se difunde de forma masiva un mensaje (spam) en el que se informa de que los usuarios de ‘caja-bancoX’ deben confirmar sus datos de acceso a su cuenta bancaria.

2. El mensaje incluye un enlace a una página desde la que debe realizar la confirmación de los datos.

3. El usuario accede al enlace que lleva a una página ‘similar’ a la auténtica de ‘caja-bancoX’ y con toda confianza introduce en ella sus datos.

4. Como la página es falsa y está controlada por los estafadores, reciben los datos del usuario, teniendo libre acceso a la cuenta real del usuario estafado.

5. Robo del dinero (o datos) y blanqueo de los beneficios.

El Fraude en Internet – Tipos de Fraude

31

PHARMING. Consiste en la redirección de la página solicitada por el usuario a otra

predeterminada por el atacante con el objetivo de hacerle creer que se encuentra en la original y actúe dentro de ella con total normalidad.

Suele emplearse para redirigir a la víctima a una dirección falsa, en la que introducirá sus datos, que pasarán a estar en poder de los atacantes.

Estas redirecciones se pueden efectuar por varios métodos (alterando el fichero hosts, modificando las tablas del servidor DNS, cambiando el DNS asignado, etc.)

El Fraude en Internet – Tipos de Fraude

32

HOAX o BULO Mensaje de correo electrónico enviado masivamente, que intenta hacer

creer al remitente algo que es falso, como alertar de virus inexistentes, noticias con información falsa, etc.

En el caso del fraude tienen como objetivo conseguir dinero a base de mensajes falsos.

Son del tipo… “salvad a Willy…”. “Van a cerrar el Messenger…” “Cuestiones terroristas”.. Etc

“Salvad a Willy:

Willy sigue vivo, la última fotografía que se le hizo data de una semana. Los veterinarios y especialistas en animales en extinción han confirmado que, o se actúa rápido o Willy morirá. Si Usted desea ver a Willy volviendo a surcar los mares del mundo, no dude en aportar su imprescindible ayuda, bien con mensajes de apoyo, bien mediante su aportación económica al número de cuenta que se adjunta. Pásalo a todos sus amigos”

El Fraude en Internet – Tipos de Fraude

33

SCAM Consiste en captar usuarios normalmente a través de un correo, un

hoax para ser más exacto, en el que se ofrece gran cantidad de beneficios económicos a cambio de no hacer nada.

Combina técnicas de phishing y pirámides de valor Suelen contener una url donde se tendrán que indicar datos personales, la cuenta bancaria donde supuestamente se ingresarán los beneficios.

Posteriormente se les indica que tienen que pagar una cantidad de dinero e incluirse dentro de una cadena. Luego lo que tienen que hacer es reenvíar el correo a miles de usuarios, ya que supuestamente según se aumente la cadena se recibe mayor beneficio.

El Fraude en Internet – Tipos de Fraude

34

SCAM Actores que participan:

Estafadores: Suele utilizar chats, foros, correos electrónicos: hoax anunciado gran rentabilidad, gran cantidad de beneficios, etc que utilizan para captar a los segundos: los intermediarios

Los intermediarios o muleros: son los que remiten los correos electrónicos solicitando cuentas bancarias y sus claves: phishing

Timados: son a los que los estafadores les retira cantidades de dinero a través de las cuentas de los intermediarios quienes se quedan con un porcentaje de comisión

El Fraude en Internet – Tipos de Fraude

35

SCAM Etapas:

Captación: A través de foros, correos y servicios de mensajería el estafador busca a los intermediarios.

La pesca: Los intermediarios con técnicas de phishing intenta captar a los timados

La transferencia: Las cantidades captadas a través de los phishing de los intermediarios son retiradas por los estafadores

El Fraude en Internet – Tipos de Fraude

Estimado Sr./a:

Nuestra compañía se llama E'Sellers Financial Group,Inc. y tiene dos oficinas en la EEUU e Inglaterra.

Con motivo de la ampliación de la compañía, nuestra agencia tiene necesidad de trabajadores en España para conducir operaciones bancarias. Para este trabajo debería tener Ud. cuenta en uno de los bancos españoles. Recibirá el dinero por cada transacción una vez terminada esta. La comisión por cada transacción será de 1100-3800 euros.

Si se interesa por la propuesta de nuestra compañía, puede Ud. contactar con nuestro manager por su e-mail: sellers@km.ru o ICQ# 277705564 y conoñer todos los detalles mejor.

Hasta la vista!

36

MULEROS Relacionado con el SCAM. La víctima se limita a recoger el dinero que llega a su cuenta de no

sabe dónde y a transferirlo a otro lugar a no sabe quién. Por este sencillo y rápido servicio se queda con una comisión. Pero… el servicio es: blanqueo de dinero de la mafia. ¿Cómo nos llega?

Correo (generalmente en inglés) procedente de desconocidos.

Indica condiciones de trabajo: Mucho dinero y poco trabajo.

No dan muchas más explicaciones y dejan algún contacto para más información: correo, teléfono, …

El Fraude en Internet – Tipos de Fraude

37

MULEROS Proceso

1. La víctima, seducida por el tentador mensaje se pone en contacto con el remitente (estafador).

2. El estafador pide a la víctima su número de cuenta bancaria (no las claves, sólo el número de cuenta).

3. El estafador realiza ingresos en dicha cuenta y avisa de la transferencia a la víctima.

4. La víctima saca el dinero recibido, se queda con una pequeña comisión (5%-10%) y el resto lo envía a su ‘socio’ a través de compañías que no exigen la autenticación segura del receptor del dinero.

El Fraude en Internet – Tipos de Fraude

38

MULEROS El Problema

El dinero que tan ‘gentilmente’ ingresa nuestro socio en nuestra cuenta procede, en la mayoría de los casos, del phishing.

Dinero sucio, ilegal y posiblemente denunciado

Cuando sacamos ese dinero de nuestra cuenta y se lo enviamos a través de giros o transferencias al ‘jefe’, lo que estamos haciendo no es otra cosa que blanqueo de dinero.

De ahí viene lo de ‘mula’ (o mulero), un animal de carga que transporta algo para otro.

El Fraude en Internet – Tipos de Fraude

www.inteco.es