jueves, 7 de abril de 2016

Seguridad Informatica (I) - Introducción

Concepto

La seguridad informática representa la seguridad de los sistemas de una organización, el como garantizar de un modo u otro el control del acceso físico y lógico, de su integridad, y que no corra el peligro de las fugas de información por parte de atacantes desde dentro de la organización como ataques desde el exterior.



La seguridad absoluta de los sistemas de información, es complicado. ¿Por qué es tan difícil mantener la integridad de los datos, confidencialidad y disponibilidad? Bueno muchos de ustedes sabéis que la información puede ser alterada cuando circula por la red y dicha comunicación debería ser cifrada siempre (aunque el protocolo HTTP parece que no le importe) entre el cliente y servidor, y garantizar que el servicio ofrecido este siempre disponible.
Por otra parte, si un sistema es muy seguro de nada sirve si los miembros de la organización no tienen conocimientos básicos sobre seguridad para evitar ataques de ingeniería social.

La visión general de la seguridad informática, esta comprendida en la seguridad pasiva, la seguridad lógica, y las aplicaciones usadas y protocolos (SSH, VPN...). Es decir, hay que tener en cuenta la importancia tanto de la seguridad perimetral (física) de la organización; como el control de acceso a los datos, una correcta administración de los sistemas implementando contraseñas seguras, bases de datos de las firmas de los antivirus siempre actualizada y las comunicaciones siempre cifradas.


Los famosos sombreros

Existen diferentes definiciones de hacker. Por regla general, un hacker es una persona entusiasta con afán de ganar conocimiento y aplicarlo, ya sea por ejemplo buscando vulnerabilidades de software y explotarla para alcanzar una shell remota, y la posterior escalada de privilegios.
Dependiendo de la categoría asociada al hacker existen:
  • Black Hat: Se asocia a aquel hacker que penetra los sistemas informáticos con el propósito de cometer actos maliciosos o retos personales. El término black hat no significa sin ética ni moralidad. Emplean las mismas técnicas que por ejemplo un pentester o auditor de seguridad informática pero con propósitos diferentes.
  • White Hat: Las técnicas usadas son las mismas que los Black Hat con la diferencia que su objetivo es ayudar o mejorar los sistemas auditados en una organización, explotando vulnerabilidades ya existentes o los famosos 0days. Estos hackers publican sus investigaciones en la red, divulgando su código como por ejemplo pueden ser los exploits, para añadirlos en los módulos de Metasploit Framework. 
  • Grey Hat: Sus intenciones no son del todo malas, pero dependiendo de la legislación del país entrar en un sistema de la organización "X" es ilegal, incluso avisando al propietario. Por tanto es una especie de híbrido entre los dos anteriores, ya que aunque no produzca daños a la organización, puede estar cometiendo un delito. 

Amenazas existentes

Con esta sencilla imagen se puede resumir de forma concisa una buena clasificación del malware existente:



Actualmente es muy habitual las redes zombis o botnet. Los usuarios no notan que su maquina esta infectada con el fin de realizar ataques con cada uno de las maquinas infectadas de la red zombie para hacer DDoS a un servidor en concreto.
La forma más habitual para distribuir este tipo de malware es el uso de cracks y archivos distribuidos por algún cliente p2p, como Emule o BitTorrent. Este software infectado con malware, al ejecutarse en la maquina queda totalmente comprometida e implementada en la botnet, así el atacante o el que la controla puede dirigirlo de forma remota
El uso más habitual de este tipo de redes son ataques DDoS, envio de Spam y minería de Bitcoins.



Es interesante la noticia reciente en Incibe, Malware y Filemón. A medida que avanza la historia hay distintas técnicas para atacar al usuario y así también van surgiendo nuevos métodos para poder protegerse.
La paradoja con Mortadelo y Filemon, es igual a malware disfrazado como un programa legitimo y el antivirus (AV's). Las distintas técnicas que usan los antivirus para poder desenmascarar el malware (casi) indetectable son varias como la firma digital, heurística, por comportamiento, uso de maquinas virtuales, minería de datos entre otros.
El disfraz que usa el malware (Mortadelo), para poder evadirse de los AV's (Filemon) es igual a unas determinadas técnicas de evasión:
  • Desactivación del AV's
  • Ocultación en procesos permitidos por el AV's
  • Evadir las firmas de los antivirus
  • Destrucción del registro de arranque principal 
  • Mediante claves de cifrado del código malicioso
  • Ofuscación de código ya sea desde el source o binario.

Los ladrones de información, les encanta la información sensible como cuentas bancarias. Si al usuario le cogen las fotos de vacaciones lo pueden subir algún servidor de internet sin su consentimiento, como las fotos recientes de las famosas.
Los ciberdelicuentes realizan estafas a los usuarios infectando la maquina mediante distintos procedimientos de ingeniería social haciendo exactamente lo que le dice el atacante. Un ejemplo sería que para descifrar el ordenador tienes que seguir estos pasos a cambio de dinero. La técnica principal es el phishing.  
(Wikipedia) "Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas."

Un ejemplo es el phising de ING. Se puede apreciar en la imagen que el parrafo segundo no tiene mucho sentido sintacticamente, por tanto si un usuario lee perfectamente este correo no "deberia" pinchar AQUI....


Al pinchar AQUI sale esta imagen:


Te pide 24 claves de 50...por tanto es muy sospechoso ya que los bancos solo te piden una de las 50 de la tabla de coordenadas para realizar las operaciones. Teniendo 24 claves es muy probable a que sea una de ellas de la tabla.
Otro ejemplo de bankia:
El texto esta bastante bien redactado en un español correcto (a falta del logo del banco...), realizando igual que en el ejemplo anterior una estafa al usuario pidiéndole sus datos personales mediante un enlace malicioso perfectamente camuflado "aparentemente".

Al pinchar en el enlace, se accede al servidor donde esta alojado la pagina falseada de bankia, donde el usuario introduce los datos personales almacenándose en una base de datos a disposición del atacante.


De esta forma tan sutil, el atacante almacena en la base de datos del servidor, información sensible sobre los usuarios que pican con el phishing.


Auditorías 

Una auditoría informática es aquella en la que un cliente nos contrata unos servicios para valorar la gestión de los sistemas informáticos, encontrar vulnerabilidades y explotarlas siempre con el permiso previo del cliente. Para ello se realizan test de intrusión redactando en un informe detallado, las vulnerabilidades obtenidas y las medidas o soluciones a adoptar por el administrador de sistemas para su futura corrección. Los test de intrusión que nos podemos encontrar son:
  • Test black box: Es el mejor método, simulando un ataque real. El auditor no tiene nada de información de las estaciones de trabajo, redes o servidores. Son test más rápidos pero no se obtiene toda la información que se puede obtener en un test de intrusión donde se disponga de más información previa. Se pueden realizar desde el exterior o internamente. Una organización que no tiene salida al exterior por ejemplo usando una Intranet, un atacante malintencionado haciendose pasar por un empleado mediante ingenieria social, puede atacar la organización y dejar fuera de servicio a la misma sufriendo pérdidas tanto de la información como economicas. 
  • Test white box: El auditor tiene total información acerca de la infraestructura de la corporación, tales como datos técnicos de la tecnologia usada, usuarios, contraseñas etc.. lo cual es sencillo hacer las pruebas de penetración y también le da más posibilidades para sacar más vulnerabilidades en el analisis, que en el test anterior.

Un saludo, naivenom.





No hay comentarios:

Publicar un comentario

Google Analytics