DOS D DOS - --SYN FLOOD ATTACK TX RX | SYN(1) | 1 |--------------> | | | | | SYN(10),ACK 2 | 2 |<-------------| | | ACK(11) | 3 |--------------> | | Chapter 1 Lab A Nombre de ataque:

BUFFER OVERFLOW Tipo de ataque : DESBORDAMIENTO DE DATOS EN EL BUFFER DE ALMACENAMIENTO Fechas de ataques: Este tipo de ataques se ha hecho presente por ms de doce aos, tal es el caso de Ro bert Morris uno de los primeros en usar esta tcnica, an cuando para ese entonces n o logro privilegios de root, ni logro destruir informacin sobre las mquinas, tampo co dej bombas de tiempo o cdigo malicioso. Entre 1988 y 1996 este tipo de ataques fue mnimo. Despus de 1996, varias publicaciones incentivaron este tipo de ataques ya que dem ostraba que an existen mquinas con esta vulnerabilidad y dados previos ataques, no haban trabajado los proveedores en la solucin de este problema, dichas publicacio nes suministraban las tcnicas, por lo tanto constituy un arma que cualquier inexpe rto poda usar ORGANIZACIONES O COMPUTADORAS AFECTADAS: En 2001, el gusano Code Red se aprovech de un desbordamiento de bfer en el Interne t Information Services (IIS) 5.0 de Microsoft5 y en 2003 el gusano SQL Slammer c omprometi mquinas corriendo Microsoft SQL Server 2000. Ciudad de Mexico, ag.13, 2003, Entre las empresas infectadas a nivel local, de a cuerdo con McAfee Security, se encuentran las pertenecientes a distintos sectore s, entre ellos el automotriz y comercial. COMO TRABAJA Y QUE HIZO? Qu es un buffer? Al momento de ejecutar un programa, el mismo transfiere informacin del disco duro de tu computadora a la memoria RAM, esto para que su ejecucin y desempeo sea el m ejor. Ya estando en la memoria RAM, algunos cmputos, comandos y datos que el prog rama almacena los almacena all mismo. Para almacenar estos datos, los programas c rean buffers o pequeos espacios en memoria limitados por bytes.

| |

Qu es un buffer overflow? Un buffer overflow ocurre cuando un programa intenta escribir a memoria ms inform acin de la que cabe en un buffer que haya creado y sucede por una falla en el cdig o del programa o mejor conocido como un bug. Cmo un buffer overflow representa una amenaza? Los autores de malware dedican la mayor parte de su tiempo a buscar este tipo de fallas en los programas para intentar explotarlos e inyectar cdigo malicioso a p rogramas legtimos. Los hac ers intentan acceder a los datos que exceden el tamao de un buffer para c ambiarlos por cdigo malicioso que se ejecutara al momento que el programa acceda e n ese buffer en memoria. Cuando el programa atacado accede al buffer infectado e n memoria, el cdigo malicioso remplaza los datos del programa legtimo ejecutndose e infectando la computadora. OPCIONES DE MITIGACION Para prevenir este tipo de ataques, lo primero que se debe hacer es mantener los programas actualizados. Las compaas de software los actualizan a menudo para corr egir errores y prevenir ataques, pero la verdad es que desde que se encuentra un error de estos en un programa hasta que lo corrijan, pueden pasar varios das o s emanas. Si eres usuario de ctualizaciones son ayudan a corregir ware se aprovechen Windows debes conocer lo que son los Windows updates. Estas a parchos de seguridad o security patches y actualizaciones que errores en el sistema operativo para evitar que hac ers o mal de vulnerabilidades causadas por estos bugs.

Un mdulo de HIPS (Host-based intrusion prevention system),un paquete de software que controla un nico host por actividad sospechosa mediante el anlisis de los acon tecimientos que ocurren dentro de ese host, comnmente protege contra inyeccin de cd igo de un programa a otro para evitar que malware inyecte cdigo malicioso a otro programa, pero existe otro mecanismo de prevencin que actualmente se encuentra so lamente en COMODO Internet Security 4. REFERENCIAS E INFORMACIN DE ENLACES http://darcjrt.blogspot.com/2010/05/buffer-overflow-attac s-uno-de-los.html BUFFER OVERFLOW EN PLATAFORMAS WINDOWS - Luis Enrique Barrera, Universidad Catlic a de Colombia http://en.wi ipedia.org/wi i/Intrusion_prevention_system ________________________________________________________________________________ _____________________ SECURITY AUDIT TOOL TOOL NAME: Comodo Internet Security Complete 2012 DEVELOPER: COMODO Type of tool (character-based or GUI):GUI Used on (networ device or computer host): COMPUTER HOST Cost: $69.99 por ao Description of ey features and capabilities of product or tool:

Un Memory firewall, que se encarga de monitorear programas en memoria que puedan tener este tipo de vulnerabilidad. COMODO detiene el programa que intenta ejecu tar cdigo dentro de un buffer de otro programa para evitar los Buffer Overflow At tac s. Este Memory Firewall es parte de la lnea de defensa de prevencin en Comodo Internet Security Complete 2012. Los ataques de buffer overflow son un ejemplo de los cientos de ataques y peligr os que existen que los antivirus tradicionales no pueden prevenir y la mayora de las compaas que desarrollan estos antivirus no les dan la importancia que requiere n ya que alegan que actualizan sus bases de datos continuamente para mantener a sus usuarios protegidos . LINKS: http://darcjrt.blogspot.com/2010/05/buffer-overflow-attac s-uno-de-los.html http://www.comodo.com

http://darcjrt.blogspot.com/2010/05/buffer-overflow-attac s-uno-de-los.html http://es.wi ipedia.org/wi i/Desbordamiento_de_b%C3%BAfer http://itfree zone.blogspot.com/2009/07/buffer-overflow-un-asesino-en-serie.html