Seguridad Informatica
Seguridad Informatica
Seguridad Informatica
CARLOS ENRIQUE
RODRIGUEZ DOMINGUEZ
1. Seguridad Informática
2. Hacking Ético
3. Seguridad en Redes Inalámbricas
3. Administración y Supervisión de
Redes
4. Ingeniería Social
• Fenómeno del procesamiento electrónico de
datos,
• Utilización de las comunicaciones virtuales
• Uso de los productos que brinda esta
tecnología
• Nuevas Modalidades de trabajo
• Nuevos Hábitos vitales de la sociedad
SEGURIDAD
INFORMATICA
Conceptos
Como consecuencia de la amplia difusión de la tecnología informática, la información:
información
Confidencialidad
Integridad
Disponibilidad
Principios de Seguridad Informática
Confidencialidad
Se refiere a la privacidad de los elementos de información
almacenados y procesados en un sistema informático.
Tecnológicos:
Tecnológicos fallas de hardware y/o
software, fallas en el aire acondicionado, falla
en el servicio eléctrico, ataque por virus
informáticos, etc.
Predecibles
Humanos:
Humanos hurto, adulteración, fraude,
modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación,
robo de contraseñas, intrusión, alteración,
etc.
Factores tecnológicos de riesgo
Auto-reproducción:
Auto-reproducción Es la capacidad que tiene el programa de
replicarse (hacer copias de sí mismo),
mismo sin intervención o
consentimiento del usuario.
Infección:
Infección Es la capacidad que tiene el código de alojarse en
otros programas,
programas diferentes al portador original.
Factores tecnológicos de riesgo
Virus informáticos: Propósitos
Afectar el software:
software Sus instrucciones agregan nuevos archivos
al sistema o manipulan el contenido de los archivos existentes,
eliminándolo parcial o totalmente.
Afectar el hardware:
hardware Sus instrucciones manipulan los
componentes físicos. Su principal objetivo son los dispositivos
de almacenamiento secundario y pueden sobrecalentar las
unidades, disminuir la vida útil del medio, destruir la estructura
lógica para recuperación de archivos (FAT) y otras
consecuencias.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación
Virus mutante:
mutante En general se comporta igual que el virus
genérico, pero en lugar de replicarse exactamente, genera
copias modificadas de sí mismo.
mismo
Virus recombinables:
recombinables Se unen, intercambian sus códigos y
crean nuevos virus.
Virus de macro:
macro Se diseñan para infectar las macros que
acompañan a una aplicación específica.
Preventivos:
Preventivos Actúan antes de que un hecho ocurra y su función
es detener agentes no deseados.
Detectivos:
Detectivos Actúan antes de que un hecho ocurra y su función
es revelar la presencia de agentes no deseados en algún
componente del sistema. Se caracterizan por enviar un aviso y
registrar la incidencia.
Correctivos:
Correctivos Actúan luego de ocurrido el hecho y su función es
corregir las consecuencias.
Mecanismos de Seguridad
Informática
Ejemplos orientados a fortalecer la confidencialidad
•6
•Amenaza (Threat)
•13
•Amenaza (Threat)
TIME BOMB
BOTS
KEY LOGGERS
SNIFFERS
BACKDOORS
ROOTKITS
VIRUS
WORM
SPYWARE
TROJAN HORSE
•14
•Amenaza
• Stuxnet
oGusano/virus informático descubierto en junio de 2010
oEl objetivo más probable del gusano pudieron ser infraestructuras de alto valor
pertenecientes a Irán y con sistemas de control de Siemens
oAlgunos medios han atribuido su autoría a los servicios secretos estadounidenses e
israelíes
•15
•Ataque (Attack)
•16
•Ataque (Attack)
LDAP injection
Man-in-the-middle
•17
•Ataques pasivos
•22
•Ataques pasivos
•23
•Ataques pasivos
•24
•Ataques activos
por completo
El objetivo es detectarlos y recuperarse de ellos
La detección tiene efecto disuasivo -> contribuye a la prevención
•25
•Ataques activos
Suplantación de identidad
Se produce cuando una entidad finge ser otra
Un ataque de este tipo incluye habitualmente una de las otras formas de ataque
activo. Por ejemplo, las secuencias de autenticación pueden ser capturadas y repetidas
después de que una secuencia válida haya tenido lugar
•26
•Ataques activos
Repetición
Implica la captura pasiva de una unidad de datos y su retransmisión posterior para
producir un efecto no autorizado
•27
•Ataques activos
Modificación de mensajes
Una parte de un mensaje es alterada, o los mensajes se han retrasado o
reordenado, para producir un efecto no autorizado
•28
•Ataques activos
•29
IDS/IPS
DMZONE
switch
DNS APACHI WEB
servers
Clients
Ethical Hacking
funcionen.
• Estar tranquilo.
• Recoger Información
• Scan direcciones IP
• Evaluar la información
• Explotar servicios vulnerables
• Elevar el acceso
• Repetir
INGENIERIA
SOCIAL
Mundial de fútbol Brasil 2014: una campaña buscaba robar
información bancaria prometiendo entradas para asistir a
los partidos de la Copa.
Supuesto video íntimo de la hija de Sebastián Piñera: un
correo electrónico promocionaba un video de Magdalena, la
hija del expresidente chileno, que sólo descargaba un
troyano.
Alerta de terremoto en Ecuador: un email prometía
imágenes satelitales que sólo descargabanmalware.
¡Michael Jackson está vivo!: el falso archivo sólo
descargaba un troyano diseñado para convertir la
computadora en un zombi que formará parte de una botnet.
Romance entre Shakira y Alexis Sánchez: el falso video
descargaba un troyano que modificaba los
archivos hosts de la computadora afectada para hacer
redirecciones.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Una buena manera de esconder
algo es mostrarlo.
Anónimo.
• El Teléfono
• El Sitio de Trabajo
• La Basura
• La Internet-Intranet
• El Acceso Wireless
• Fuera de la Oficina
El Teléfono
• Personificación Falsa y Persuación
– Tretas Engañosas: Amenazas, Confusiones Falsas.
– Falsos Reportes de Problemas.
• Personificación Falsa en llamadas a HelpDesks y
Sistemas CRM
– Completando los Datos Personales
• Robo de Contraseñas o Claves de Acceso
Telefónico:
– Consulta de buzones de voz.
– Uso fraudulento de líneas telefónicas.
– Uso de Sistemas Internacionales de Voz sobre IP.
El Sitio de Trabajo
• Entrada a los sitios de trabajo
– Acceso Físico no Autorizado
– Tailgating (puerta trasera)
• Oficina
– “Shoulder Surfing” (ver por encima del hombro), Leer al
revés.
– Robar, fotografiar o copiar documentos sensibles.
– Pasearse por los pasillos buscando oficinas abiertas
– Intentos de ganar acceso al cuarto de PBX y/o servidores
para:
• Conseguir acceso a los sistemas,
• Instalar analizadores de protocolo escondidos, sniffers o,
• Remover o robar pequeños equipos con o sin datos.
La Basura
• “Dumpster Diving” o ¿Qué hay en nuestra
basura?:
– Listados Telefónicos.
– Organigramas.
– Memorandos Internos.
– Manuales de Políticas de la Compañia.
– Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
– Manuales de Sistemas.
– Impresiones de Datos Sensibles y Confidenciales.
– “Logins”, “Logons” y a veces... contraseñas.
– Listados de Programas (código fuente).
– Disquettes y Cintas.
– Papel Membretado y Formatos Varios.
– Hardware Obsoleto.
La Internet-Intranet
• Si en algo es consistente un usuario es en
repetir passwords.
• “Password Guessing”
– Placa del Carro.
– Nombre de la HIJA + 2005.
– Fecha de nacimiento.
• Encuestas, Concursos, Falsas
Actualizaciones de Datos (Phising).
• Anexos con Troyanos, Exploits, Spyware,
Software de Navegación remota y Screen
Rendering.
Phising...(extraido de Wikipedia)
• ...engañar a un usuario llevándolo a pensar que uno es un
administrador del sistema y solicitando una contraseña para
varios propósitos.
– "crear una cuenta",
– "reactivar una configuración",
– Actualización de datos;
• Los usuarios de estos sistemas deberían ser advertidos
temprana y frecuentemente para que no divulguen
contraseñas u otra información sensible a personas que
dicen ser administradores.
• Los administradores de sistemas informáticos raramente (o
nunca) necesitan saber la contraseña de los usuarios.
• En una encuesta realizada por la empresa InfoSecurity,
el 90% de los empleados de oficina de la estación
Waterloo de Londres reveló sus contraseñas a cambio
de un bolígrafo barato.
Los “USB Memory Dongles”
• Excelente para invadir o
inyectar virus,
keygrabbers, etc.
• Excelente para robar
información.
• Fácil de introducir en
entornos empresariales.
• Fácil de sacar, casi
indetectable.
El Acceso Wireless
• Extensión de la Oficina (hasta 93
Metros alrededor).
• War-Driving.
• De nada sirve tener la red
protegida si la gente no es
consciente de la privacidad de la
clave.
• Una red abierta es puerta a
delitos informáticos.
• El punto de partida a “hacking”
tradicional.
War Driving
en Bogotá...
War Driving
en Bogotá...
Fuera de la Oficina
• Almuerzos “De Negocios” de Viernes, que
terminan en volada de oficina y “Happy Hours”,
con potenciales consecuencias desastrosas:
– Sesiones de confesión de contraseñas, extensiones,
direcciones de correo electrónico. Al otro dia, la
víctima no se acuerda.
¡Por Favor...!!!
¡¡¡NO
RESPONDA
MENSAJES EN
CADENA...!!!
En un solo mensaje en cadena...
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Como Identificar al “Hacker Social”.
• Trata (y lo logra...) de ser creíble, luce
como un profesional.
• Permanece en calma. Actúa como si
perteneciera a la empresa.
• Conoce a sus víctimas y como
reaccionarán.
• Reconoce al personaje alerta y lo
evita.
• Sabe retirarse discretamente si algo
comienza a fallar.
Como Identificar al “Hacker Social”.
• En los ataques telefónicos, se aprovechan del
hecho de la mayor credibilidad de la mujer.
• Utilizan “marcas de agua” cuando usan correo
convencional falso.
• Usan tarjetas de negocio y nombres (ambos)
falsos. Verifíquelos antes de involucrarse.
• Tratan de manipular a las personas menos
afortunadas, segregadas, a las menos agraciadas
y en general a todos los que buscan validación
social.
• Si el desafío es muy grande, trabajan en equipo.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– La Internet-Intranet Combate
– Refuerzo contínuo del
• Tácticas del Hacker conocimiento de los
> “Password Guessing” cambios a los sistemas
> Encuestas, Concursos, Falsas y redes.
Actualizaciones de Datos. – Entrenamiento en el
> Anexos con Troyanos, uso de contraseñas
Exploits, Spyware, Software – Inducción en la
de Navegación remota y creación de
contraseñas “fuertes”
Screen Rendering.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– Acceso Wireless Combate
– Esconder SID
• Tácticas del Hacker – Usar Mecanismos de
encripción:
> War Driving • WEP
> “Password Cracking” • WPA, WPA2
> “Screen Cloning” • RADIUS
> Exploits, Spyware, Software – Cambiar la clave con
frecuencia.
de Navegación remota y
– Usar listas autorizadas
Screen Rendering. de MAC-ADRESSES.
– No chicanear con su
nuevo router wireless.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– Teléfono (PBX) – Entrenar a los empleados
y helpdesk en el sentido de
• Tácticas del Hacker nunca dar passwords u
• Personificación Falsa y otra información
confidencial por teléfono
Persuación
– Todos los empleados
• Personificación Falsa en deben tener un PIN
llamadas a HelpDesks y específico al HelpDesk
CRM´s. – Controlar llamadas larga
distancia, seguir llamadas,
• Robo de Contraseñas o rehusarse a transferencias
Claves de Acceso sospechosas
Telefónico:
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– Sitio de Trabajo – Entrenamiento en uso del
carnet de acceso. Presencia
de Vigilantes.
• Tácticas del Hacker – No escriba contraseñas con
alguien viendo
> Acceso Físico no Autorizado – Restrinja uso de
> Tailgating fotocopiadoras, escaners,
cámaras digitales.
> “Shoulder Surfing”, Leer al
– Requiera que las visitas sean
revés. escoltadas
> Robar, fotografiar o copiar – Cierre y monitorée la oficina
de correspondencia, cuartos
documentos sensibles. de servidores y PBX.
> Pasearse por los pasillos – Marque la información
> Intentos de ganar acceso al confidencial y manéjela
apropiadamente
cuarto de PBX y/o servidores
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– La Basura – Mantenga toda la basura
en áreas aseguradas y
monitoreadas.
– Destruya datos sensibles
en papel,
– Borre y destruya medios
• Tácticas del Hacker magnéticos (diskettes y
> “Dumpster Diving” o cintas) y raye los médios
“nadar en la basura” ópticos (CD-ROMS,
DVD´s).
– Borre los discos de
equipos obsoletos.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– Fuera de la Oficina Combate
– Mantenga a los
empleados alerta a
• Tácticas del Hacker través de
> Reuniones fuera de la entrenamientos
oficina con uso de bebidas contínuos de
alcoholicas. conocimiento y
> Conexiones “de oficina a reforzamiento de
Oficina” políticas de seguridad,
tácticas y tretas de los
Hackers sociales.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Recursos para saber más.
• (Oficinistas revelan contraseñas por un
bolígrafo) (en inglés). The Register.
• http://www.theregister.co.uk/2003/04/18/
office_workers_give_away_passwords/