Seguridad y Alta Disponibilidad

Implantacin de mecanismos
de seguridad activa

Flix Villanueva Molina

Escuela Superior de Informtica
Universidad de Castilla-La Mancha

Contenidos

Ataques y software malicioso

Herramientas

http://www.esi.uclm.es

Ataques y software malicioso

Introduccin

Clasificacin de los ataques

Software malicioso

Anatoma de ataques

http://www.esi.uclm.es

Introduccin

Redes abiertas heterogneas

Usuarios con mas confianza en la tecnologa

Mas peligrosos

Herramientas de Craking mas sofisticadas

Requieren menos conocimientos tcnicos

Clasificacin de los ataques:

Interrupcin del servicio

Interceptacin de informacin

Modificacin de informacin

Interrupcin del servicio

Tambien llamado DoS (denial-of-service)

La disponibilidad de un recurso es comprometida.

Ataques fsicos:

Se degrada su uso o directamente no se puede usar

Cortes de cables, desconexin del hardware,

interrupcin del suministro elctrico..

Ataques lgicos

Apagado de servicios, saturar la red, saturar un

servidor.

Interceptacin de informacin

Tambin llamado fuga de informacin

Se obtiene informacin de sistemas diseados
para ser cerrados
Programas como finger o el uso de la informacin
de DNS pueden ayudar a saber quin esta en la
red y su estructura.
Se suelen utilizar para usarlos con posterioridad
en otros ataques mas sofisticados.

Interceptacin de informacin

Sistema operativo, parches de seguridad

aplicados, navegador, etc. es informacin que
proporcionan pistas de vulnerabilidad.

Ej: a nivel de red la herramienta nmap.

http://ccia.ei.uvigo.es/docencia/SSI/practicas/seg-redes-1/seg-redes-1.html

Interceptacin de informacin

Ingeniera social

El usuario como eslabn mas dbil

Segn Kevin Mitnick

Obtener informacin sensible

Hacer ejecutar algn programa
Todos queremos ayudar
El primer movimiento es siempre de confianza hacia el otro
No nos gusta decir No
A todos nos gusta que nos alaben

La educacin de los usuarios es el nico mtodo eficaz

Modificacin de la informacin
Incluye la creacin, modificacion, borrado de datos
relativos al sistema informtico o de caracter
personal/funcional de la persona/compaa que
est siendo victima del ataque.

Software malicioso:
Clasificacin

Virus

Malware que modifica el comportamiento normal de la computadora sin la

autorizacin del usuario
Archivos ejectuables, sectores de arranque, bios, tabla de participacin.

Gusanos:

Iworm

Malware que se duplica a si mismo

No necesita modificar ficheros como el virus, puede residir en memoria.

Pueden dejar el PC sin recursos, duplicarse a travs de internet usando

protocolos como SMTP, IRC, P2P
Pueden ser la puerta de entrada de controles remotos por parte de terceras
personas (ejemplo: Blaster Worm)

Software malicioso:
Clasificacin

Troyanos:

Malware que se presenta al usuario como programas normales pero que al ejecutarlo
realizan acciones dainas.
Se utilizan para establecer las denominadas botnet

Rootkits

Redes de ordenadores infectados que a su vez se suelen usar para ataques de denegacin de
servicio.

Conjunto de programas destinados a tener un ordenador bajo control, permitiendo su

acceso remoto por personas no autorizadas y ocultar dicho control de cara al usuario.
Se pueden utilizar junto con los troyanos para establecer una botnet

Backdoors

Secuencias de cdigo especiales introducidas dentro de un sistema que permiten

saltarse uno o varios sistemas de seguridad dentro del sistema.
Muchas veces se introducen en el desarrollo del propio sistema con fines lcitos (testeo)

Software malicioso:
Clasificacin

Spyware

Adware (Advertisement + software)

Malware dedicado a recoger informacin del ordenador

donde se encuentra instalado y a mandarla a travs de
la red sin la autorizacin del propietario del PC.
Software que contiene publicidad que debe ser
visualizada para usar el programa.

Crimeware

Software ideado para cometer crmenes (generalmente

de tipo financiero y en el mundo empresarial)

Software malicioso:
Clasificacin

Dialer:

Software que utilizan llamadas a nmeros de telfono para conectarse a

internet.

Hijacker

Legitimos: usan los nmeros de telfono provistos por el proveedor de servicios.

Malware: usan nmeros de telfono de tarificacin especial

Programas que cambian la configuracin del navegador para cargar

pginas no autorizadas.

Joke

Software que tratan de hacer pensar al usuario que ha sido infectado por
un virus.

Software malicioso:
Clasificacin

Keylogger

Malware que registra las pulsaciones de teclado y,

eventualmente, puede mandarlas a travs de la red para
registrar sitios visitados, contraseas, correos, etc.

Hoax:

Mensajes de correo que, mediante tcnicas de ingeniera social,

tratan de propagarse.
El objetivo puede ser muy amplio, a veces, simplemente recoger
direcciones de correo vlidas para spam.

Software malicioso:
Clasificacin

Spam:

Correo electrnico con publicidad no solicitada.

Rogue:

Falso programa de seguridad

Ejemplo:

http://blogs.eset-la.com/laboratorio/2008/12/02/animaciones-calidad-antivirus-falsos/

FakeAV:

Simula ser un antivirus. (El rogue es una definicin

mas amplia)

Anatoma de un Ataque

Los ataques se pueden clasificar de varias formas.

Somos un objetivo o un Dao colateral

Un objetivo es cuando un hacker quiere explcitamente

entrar en nuestro sistema.

Somos el centro de su ataque.

Un Dao colateral es cuando somos infectados o la

integridad del Sistema es vulnerada sin ser un objetivo
explicito.

Esto puede ser causa de errores de usuario, virus, etc.

Anatoma de Ataque

Tipo de ataque a realizar:

DoS, obtener informacin, eliminar informacin, modificar

informacin, etc.

Identificar objetivo:

Ordenador particular, Ordenador corporativo (ej. servidor en

la empresa), red corporativa, etc.
Por que a nosotros?

Por hobby,
Por interes econmico,
Por odio

Anatoma del ataque

Obtener la mxima informacin del objetivo:

Ingeniera social:

Obtener datos del usuario/administrador del objetivo

Contraseas pueden estar relacionadas con datos

personales.
Ejemplo: Pon tu nombre completo en google

Herramientas para obtener informacin

Sistema operativo, servicios activos, estructura de red,

usuarios, recursos compartidos.
Ej. nmap

Anatoma del ataque

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339

-PA80,113,443,10042 -PO --script all xx.xx.xx.xx
[]
Scanning est186.inf-cr.uclm.es (x.x.x.x.x) [1000 ports]
Discovered open port 5900/tcp on x.x.x.x.x
Discovered open port 80/tcp on x.x.x.x.x
Discovered open port 111/tcp on x.x.x.x.x
Discovered open port 22/tcp on x.x.x.x.x
[...]

Anatoma de un ataque
Interesting ports on estxxx.inf-cr.uclm.es (x.x.x.x.x):
Not shown: 1992 closed ports
PORT
STATE
SERVICE VERSION
22/tcp
open
ssh
OpenSSH 5.5p1 Debian 4 (protocol 2.0)
|_ banner: SSH-2.0-OpenSSH_5.5p1 Debian-4
| ssh-hostkey: 1024 95:39:02:f7:61:5e:6a:7b:2d:38:fc:df:55:0c:e3:8b (DSA)
|_ 2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)
80/tcp
open
http
Apache httpd 2.2.15 ((Debian))
|_ http-iis-webdav-vuln: ERROR: This web server is not supported.
|_ html-title: Index of /
111/tcp open
rpcbind
| rpcinfo:
| 100000 2
111/udp rpcbind
| 100024 1 33252/udp status
| 100000 2
111/tcp rpcbind
|_ 100024 1 38407/tcp status
5900/tcp open
vnc
VNC (protocol 3.7)
|_ banner: RFB 003.007
68/udp
open|filtered dhcpc
111/udp open
rpcbind
123/udp open
ntp
NTP v4
5353/udp open|filtered zeroconf
No exact OS matches for host (If you know what OS is running on it, see
http://nmap.org/submit/ ).

Anatoma de un ataque

Uptime guess: 22.001 days (since Thu Aug 12

11:41:10 2010)
Network Distance: 0 hops
TCP Sequence Prediction: Difficulty=203 (Good luck!
)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux
Host script results:
| asn-query:
| BGP: xx.xx.0.0/16 | Country: EU
|
Origin AS: 766 - REDIRIS RedIRIS Autonomous
System
|_
Peer AS: 1299 2914 3549 8928 20965

Anatoma de un ataque

Con la informacin obtenida se buscan

vulnerabilidades:

Programas no actualizados, sistema operativo

utilizado, estructura de red
2048 51:62:50:84:8e:f7:46:28:51:e1:53:65:99:d0:af:03 (RSA)
80/tcp
open
http
Apache httpd 2.2.15 ((Debian))
|_ http-iis-webdav-vuln: ERROR: This web server is not supported.

Servidor web no actualizado

http://httpd.apache.org/security/vulnerabilities_22.html

Anatoma de un ataque

Acceso al equipo/Informacin:

Atacar recursos compartidos

Obtener contraseas

Instalar troyanos, puertas traseras, etc.

Ingeniera social

SQL Inyection

Etc.

Anatoma de un ataque

Hackers:

Buscan vulnerabilidades en programas nuevos

Crean la forma de explotarlos:

Ej. Obtener acceso al ordenador con los privilegios

adecuados

Es difcil defenderse de este tipo de personas

Se les puede complicar mucho la vida (IDS, Antivirus,

politicas de seguridad)
Afortunadamente hay pocos hackers
Muchos de ellos slo buscan aprender/ afrontar el reto

Anatoma de un ataque

El lamer:

Se aprovechan del trabajo de los hackers, usan las

vulnerabilidades encontradas por ellos

Se aprovechan de servicios poco actualizados.

Tienen menos conocimientos tcnicos

Buscan explotar las vulnerabilidades con scripts o cdigo de

otras personas.

La mejor defensa es tener los servicios actualizados

Anatoma de un ataque

Una vez que se tiene acceso al equipo:

Se consolida el ataque

Se trata de acceder a la mquina remota de forma rpida y

efectiva cuando queramos
Se trata de asumir el control total del equipo (privilegios de
administrador)
Se intenta acceder a otros recursos desde el equipo violado

Mas fcil supuesto estamos Dentro

Se estudia el sistema de seguridad implantado.

Anatoma de un ataque

Borramos huellas

Eliminamos entradas en log

Estudiamos el sistema para observar los rastros que
podamos haber dejado y los eliminamos

Generalmente se automatiza este proceso

auth.log.1:Sep 3 10:44:11 homer su[28548]: Successful su for root by xxxx

auth.log.1:Sep 3 10:44:11 homer su[28548]: + /dev/pts/14 xxxx:root
auth.log.1:Sep 3 10:44:11 homer su[28548]: pam_unix(su:session): session opened
for user root by xxxx(uid=1000)

Anatoma de ataques
Fuente: http://www.segu-info.com/ataques/ataques.htm

Enlaces interesantes

http://www.seguridadenlared.org/es/index5esp.html
http://sobrelistas.blogspot.com/2010/05/los-hackers-mas-famososde-la-historia.html
http://www.galiciae.com/nova/48686.html

Contenidos

Ataques y software malicioso

Herramientas

31

http://www.esi.uclm.es

Contenidos
A menudo son las mismas!!

Herramientas preventivas:

Herramientas paliativas:

Evitar que el malware se instale en el sistema IT

Evitar los daos provocados por el malware

Actualizacion de sistemas y aplicaciones

http://www.esi.uclm.es

Herramientas
preventivas/paliativas.

Tratan de evitar cualquiera de los ataques que

hemos visto en mdulos anteriores.
Incluyen:

Encriptado de informacin en disco

Antivirus

Sistemas de deteccin de intrusos (IDS)

Sistemas de prevencin de intrusos (IPS)

Backup

32

Encriptado de informacin en
disco

Este tipo de herramientas encriptan la informacin

en disco.

Permiten encriptar archivos y directorios

Mantienen la privacidad

Ejemplos de este tipo de herramientas:

FreeOTFE (windows)

Crypt (windows, obsoleto)

GNU privacy guard (GNU/Linux y con versin para MAC)

Etc.. cuidado con los

freeOTFE

Crea discos virtuales.

Al desmontar el volumen se cifra todo lo que se
haya copiado.
Al montar el volumen te pide la contrasea
Gran variedad de posibilidades de encriptacin
(etapa 5/8).
Licencia GPL, Versiones para windows, linux,
windows mobile, etc.
http://www.freeotfe.org/

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

freeOTFE

Sistemas de
deteccin/prevencin de
intrusos

Sistemas IDS (Intrusion Detection System)

Sistemas IPS (Intrusion Prevention System)

Monitorizan la red

En busca de ataques conocidos mediante firmas

Cantidad de trfico que se eleva de forma inusual

Trfico dirigido a todos los puertos o puertos no usuales
Paquetes mal formados
etc.

Estructura IDS
Fuentes de
Datos
(Interfaces de red, logs, etc.)

Filtros y patrones

Generacin de Alarmas
(SMS, e-mail, etc.)

IDS

Tipos de IDS

HIDS: HOST IDS (ej. tripwire, aide)

NIDS: NETWORK IDS (ej. snort)

DIDS: DISTRIBUTED IDS

HIDS

Generalmente se trata de monitorizar archivos con

el objeto de detectar si son modificados.
Un ataque a travs de la red incluye la
modificacin o reemplazo de ciertos archivos con
el objetivo de tomar el control total del sistema.
Los HIDS generalmente monitorizan archivos
sensibles de forma peridica e informa si observa
alteraciones

HIDS:tripwire

Dos versiones GPL y comercial.

Monitoriza archivos segn la configuracin y la

poltica que se desee.

http://www.tripwire.com/it-compliance-products/te/ost/compare.cfm

Altamente configurable

La versin GPL disponible para GNU/Linux

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS: tripwire

HIDS:tripwire

Archivos de configuracin en /etc/

Los archivos twcfg.txt y twpol.txt definen la
configuracin y polticas respectivamente.

Se editan y modifican en funcin del sistema

Manten siempre una copia original

twadmin permite configurar de nuevo toda la

herramienta.
felix@homer:/etc/tripwire$ ls
homer-local.key site.key tw.cfg
tw.pol twpol.txt

twcfg.txt

HIDS: tripwire

La local key se usa para verificar/encriptar la base

de datos con los archivos
La site key-file se usa para verificar/encriptar los
archivos de configuracin y poltica
Con tripwire se puede chekear el sistema:
homer:/etc/tripwire# tripwire --check

HIDS: tripwire

Fuente: http://www.linuxjournal.com/article/8758?page=0,1

NIDS

Generalmente cuando el HIDS notifica una

intrusin puede ser demasiado tarde.

El ya hacker esta dentro

Si su objetivo es copiar/modificar informacin de
nuestro equipo puede que llegemos tarde.
No obstante evita que tomen el control de nuestra
mquina.

Los Network IDS tratan de detectar el trfico de red

del Ataque en curso y notificarlo

Podra tomar acciones para evitarlo (IPS)

NIDS: Emplazamiento

Fuente:
http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snortdonde_colocar_el_ids/4735-6

Herramienta IDS/IPS: Snort

Licencia GPL http://www.snort.org

Sniffer de red que permite configurar reglas de
deteccin de los ataques mas frecuentes.

Algunas reglas son de pago durante un tiempo

http://www.snort.org/snort-rules/#rules

Muy utilizado por los administradores de sistemas

Muy flexible:

http://www.snort.org/education

Herramienta IDS/IPS: Snort

homer:/home/felix# snort -vd
Running in packet dump mode
--== Initializing Snort ==-Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==-,,_
-*> Snort! <*o" )~
Version 2.8.5.2 (Build 121)
''''
By Martin Roesch & The Snort Team:
http://www.snort.org/snort/snort-team
Copyright (C) 1998-2009 Sourcefire, Inc., et al.
Using PCRE version: 8.02 2010-03-19
Not Using PCAP_FRAMES
09/08-13:08:39.900234 ARP who-has 161.67.27.33 tell
161.67.27.243
09/08-13:08:40.438923 ARP who-has 161.67.27.104 tell
172.20.48.14
[...]

Herramienta IDS/IPS: Snort

[...]
UDPdisc: 0
(0.000%)
ICMPdis: 0
(0.000%)
FRAG: 0
(0.000%)
FRAG 6: 0
(0.000%)
ARP: 3
(25.000%)
EAPOL: 0
(0.000%)
ETHLOOP: 0
(0.000%)
IPX: 0
(0.000%)
OTHER: 1
(8.333%)
DISCARD: 0
(0.000%)
InvChkSum: 0
(0.000%)
S5 G 1: 0
(0.000%)
S5 G 2: 0
(0.000%)
Total: 12
==========================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
============
Snort exiting

Backup

Una poltica adecuada de copias de respaldo es,

sin lugar a dudas, el pilar bsico de la seguridad
de sistema informticos con independencia del
tamao y la complejidad de este ltimo.
Se puede considerar una herramienta de
prevencin y tambin paliativa.
Multitud de herramientas existentes para todos los
sistemas operativos del mercado.

Backup

FUENTE: http://es.wikipedia.org/wiki/Anexo:Aplicaciones_de_copias_de_seguridad

Backuppc

Licencia GPL, web

http://backuppc.sourceforge.net/

Utiliza rsync para las copias

Dotado de interfaz web de administracin

Archivo de configuracin:

/etc/backuppc/config.pl

Backuppc

Configuracin:

$Conf{RsyncClientRestoreCmd}: Sentencia que se ejecuta para hacer los

backups.
Ej: $Conf{RsyncClientRestoreCmd} = '$sshPath -q -x -l backuppc
$host $rsyncPath $argList+';

Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync

BackupPC
Fuente: http://www.xuni.it/index.php?c=p04

Backuppc: configuracin
Fuente: http://administradores.educarex.es/wiki/index.php/BackupPC._Backup_de_equipos_con_rsync

$Conf{ServerHost}: Debe aparecer el nombre del equipo servidor.

Ej: $Conf{ServerHost} = 'a01-pro.lacimurga.ex'
$Conf{WakeupSchedule}: Indica durante que horas est levantado el demonio para
realizar los backups.
Ej: $Conf{WakeupSchedule} = [16..18]
Levantado de 4 a 6 de la tarde.
$Conf{BackupPCUser}: Es el usuario del servidor. El que creamos en la
instalacin.
Ej: $Conf{BackupPCUser} = backuppc
$Conf{FullPeriod}: Periodo de tiempo cada cuanto se quiere hacer un backup
Completo (Full Backup)
Ej: $Conf{FullPeriod} = 1
1 vez al da.
$Conf{BlackoutPeriods}: Perido en el cual los equipos no estn operativos para
realizar un backup.
No se si este parmetro es necesario indicarlo
Ej: $Conf{BlackoutPeriods} = [
{
hourBegin => 7.0,
hourEnd
=> 8.0,
weekDays => [1, 2, 3, 4, 5],
},];
Le he puesto que no se pueden hacer backups de 7 a 8 de la maana de
Lunes a Viernes.
$Conf{XferMethod}: Indica el mtodo de copia de archivos. Mediante la
herramienta rsync.
Ej: $Conf{XferMethod} = 'rsyncd';

Backuppc

Backuppc

Backuppc

Backuppc

Backuppc

Antivirus

Herramienta imprescindible (en entornos windows)

y que analizan un sistema IT en busca de
virus/malware.
Existen diversas tcnicas para detectar virus
Las mas comunes se basan en actualizaciones de
bases de datos que contienen informacin sobre
el malware existente.

Cadenas que identifican a ese malware

Dependen de la actualizacin de la base de datos

Antivirus

Las actualizaciones deben realizarse muy

frecuentemente:
http://www.kaspersky.com/viruswatch3

Antivirus

Tambin se usan tecnicas de IA para identificar cdigo

que generalmente se involucra en malware.

En otras ocasiones se analiza el comportamiento de

las aplicaciones.
Generalmente los antivirus existentes actan cuando la
infeccin se ha producido.

No hace falta un listado exhaustivo de los virus existentes.

Demasiado tarde en algunas ocasiones.

Existen multitud de opciones en el mercado

Con distintas licencias, precios, caractersticas.

Antivirus

Comparativa: http://www.pcasalvo.com/

Actualizacin de sistemas y
aplicaciones

Los ataques a los sistemas provienen de la

instalacin y uso de herramientas.
Las mas frecuentes y que son fuentes de
problemas en los PC's de usuario:

Correo electrnico

Navegador Web

Intercambio de archivos en redes P2P

Aplicaciones tipo messenger

Actualizacin de sistemas y
aplicaciones

Servidores de red y sistemas operativos tambin

son vulnerables.
Como norma general debemos actualizar de
forma regular:

Todos los servidores de red en nuestro sistema IT

El sistema operativo de todas las mquinas

Las aplicaciones en uso por los usuarios

Actualizacin de sistemas y
aplicaciones

Las actualizaciones suelen reparar

vulnerabilidades detectadas en la
aplicacin/servicio

Automticamente se inactiva todo el malware diseado

para esa vulnerabilidad.

Todos los sistemas operativos cuentan con un

mtodo de actualizacin automtico que podemos
configurar.
Los fabricantes de los servicios sacan parches de
seguridad para resolver vulnerabilidades.

Actualizacin de sistemas y
aplicaciones

Actualizacin de sistemas y
aplicaciones

Actualizacin de sistemas y
aplicaciones

Informtica forense

Una vez que hemos sido vctimas de un ataque

podemos emprender acciones legales.

Es dificil ya que:

Identificar la fuente original es difcil

Puede involucrar diferentes paises, con diferentes leyes, etc.
Debemos aportar pruebas del ataque y/o dao sufrido.

Este ltimo punto representa el objetivo de la

informtica forense

Informtica forense

El Anlisis Forense de Sistemas (Computer

Forensics) comprende el proceso de
extraccin, conservacin, identificacin,
documentacin, interpretacin y presentacin
de las evidencias digitales de forma que sean
legalmente aceptadas en cualquier proceso legal
(por ejemplo un juicio).
Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux

Informtica forense

Adquirir las evicencias sin alterar ni daar el

original.

Sin utilizar las herramientas del propio sistema

comprometido
Conservando la Cadena de Custodia

Comprobar que las evidencias recogidas son

identicas a la original (herramientas hash)
Analizar los datos sin modificarlos

Copias bit a bit

Fuente: Juan Manuel Canelada Oset Anlisis Forense de Sistemas Linux

Monitorizacin del trfico en

redes

Las herramientas de monitorizacin son

ampliamente usadas en:

Depuracin de protocolos

IDS

Para obtener informacin de la red y de su uso.

Ejemplo: wireshark

Sniffer de red muy utilizado

GPL

Disponible para windows y linux

Con una gran funcionalidad en cuanto a filtros,

anlisis de conversaciones, protocolos
reconocidos, etc.
http://www.wireshark.org/

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Ejemplo: wireshark

Y muchas mas..

Virtualizacin de servidores de red

Scaneo de puertos

http://www.seguridadenlared.org/es/index5esp.html

Auditora de contraseas:

http://www.microsoft.com/latam/protect/yourself/password/checker.mspx

http://howsecureismypassword.net/

Etc..