T2-amenazas

Questions and Answers

¿Qué es un hacker?

Un hacker es un neologismo utilizado para referirse a un experto en ramas técnicas relacionadas con la informática (programación, redes, sistemas operativos).

¿Cuál de los siguientes NO es un perfil del atacante?

• CiberMarketing (correct)
• CiberTerrorismo
• CiberActivismo
• CiberEspionaje
• CiberMalicia
• CiberCrimen
• CiberGuerra

Los ataques tecnológicos se aprovechan de fallos de las personas.

False (B)

La ingeniería social solo se realiza por medios electrónicos.

False (B)

¿Cuál de las siguientes NO es una técnica de ingeniería social con presencia física?

Ejecución de programas maliciosos (malware) (C)

¿Cuál es un objetivo principal de los ataques por Internet?

Que la víctima ejecute un programa malicioso (malware) (D)

¿Cuál de las siguientes NO es una forma de distribuir malware por correo electrónico?

Envío de un enlace a una página web maliciosa (C)

¿Qué es el phishing?

El phishing es una técnica de engaño al usuario que consiste en solicitar información confidencial, como contraseñas o números de tarjetas de crédito, a través de un correo electrónico o un sitio web falso que se asemeja a uno legítimo.

¿Qué es OSINT?

OSINT (Open Source INTelligence) es la búsqueda de información a través de fuentes públicas, tal como lo son redes sociales, documentos online, foros y más.

¿Cómo puede alguien en Internet entrar en mis sistemas?

Alguien en Internet puede entrar en sus sistemas de forma similar a como lo haría en su casa: por la puerta, si le roban o falsifican la llave; o por las ventanas, rompiendo el cristal.

¿Qué significa RCE?

Remote Command Execution (C)

¿Menciona 3 puntos del OWASP Top 10 (2017)?

Injection, Broken Authentication y Sensitive Data Exposure.

¿Menciona 3 puntos del CWE Top 25 (2020)?

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'), Out-of-bounds Write y Improper Input Validation.

¿Qué es Buffer Overflow?

Buffer Overflow es cuando se fuerza el desbordamiento de un buffer a la pila del sistema, sobrescribiendo la dirección de retorno de una función a otro sitio.

La comprobación de argumentos inadecuada es una vulnerabilidad del software de servidores.

True (A)

XSS significa Cross Site Scripting

True (A)

Race Conditions es una vulnerabilidad del Software de Servidores?

True (A)

Es necesario combinar ataques de Ingeniería Social con Vulnerabilidades en Aplicaciones Cliente?

True (A)

¿Menciona un ejemplo de un ataque a Información en tránsito?

Interrupción, Intercepción, Modificación o Fabricación.

¿Cuál de los siguientes NO es un tipo de Malware?

Adware (E)

¿Qué son las botnets?

Las botnets son multitud de ordenadores infectados con un malware de tipo troyano, los cuales al ser controlados tienen dictadas tareas por un ordenador central controlador.

¿Qué es el Covert Channels?

Covert Channels es la comunicación con el controlador, donde es necesario traspasar cortafuegos.

¿Qué técnicas se utilizan para proteger los sistemas?

ACTUALIZACIÓN CONSTANTE de los programas que utilizamos (E)

Flashcards

¿Qué es un hacker?

Experto en informática (programación, redes, sistemas operativos).

¿Qué es un cracker?

Hacker que crea programas (cracks) para modificar software o hardware, o que realiza intrusiones.

CiberMalicia

Ataques arbitrarios de aficionados que causan molestias y daños menores.

CiberActivismo

Ciberataques para influir en la opinión o reputación de organizaciones o causas.

CiberCrimen

Actividades criminales en el ciberespacio con el fin de obtener beneficios económicos.

CiberTerrorismo

Convergencia del ciberespacio y el terrorismo, causando pérdida de vidas o daños económicos graves.

CiberEspionaje

Explotación paciente, persistente y creativa para conseguir ventajas estratégicas en los ámbitos económicos, políticos y militar.

CiberGuerra

Operaciones cibernéticas con el fin de destruir o degradar las infraestructuras de un país.

Amenazas tecnológicas

Ataques que se aprovechan de fallos en los programas.

Amenazas humanas

Ataques que se aprovechan de fallos de las personas, siendo el eslabón más débil de la seguridad.

Ingeniería social

Técnicas para manipular a individuos para que revelen información confidencial o realicen acciones que comprometan la seguridad.

Pretexto (Ing. Social)

Inventar un escenario falso para engañar a la víctima y que revele información confidencial.

Desvío de envíos

Engañar a empresas de transporte para que modifiquen el sitio de entrega de mercancía.

Baiting

"Olvidar" CDs, DVDs o USBs infectados cerca de una organización.

Dumpster diving

Rebuscar en la basura para encontrar datos confidenciales.

Tailgating

Atravesar un control de acceso pegado a otra persona sin autorización.

Shoulder surfing

Mirar por encima del hombro de alguien para ver información en su pantalla o teclado.

¿Qué es malware?

Software malicioso.

Phishing

Técnica para obtener información confidencial mediante un correo electrónico o enlace web falso.

OSINT (Open Source INTelligence)

Recopilación de información a partir de fuentes de acceso público (redes sociales, foros, etc.).

Vulnerabilidades del software

Fallos o errores en el código de un programa que pueden ser explotados por atacantes.

RCE (Remote Command execution)

Ejecución remota de comandos, permitiendo al atacante ejecutar comandos en el sistema.

DoS (Denial of Service)

Denegación de servicio, impidiendo que los usuarios legítimos accedan al sistema.

SQL Injection

Falla que permite a un atacante insertar código SQL malicioso en una consulta.

XSS (Cross-Site Scripting)

Vulnerabilidad que permite a un atacante ejecutar scripts maliciosos en el navegador de otro usuario.

Buffer overflow

Desbordamiento de un buffer, que permite sobrescribir la dirección de retorno de una función y ejecutar código malicioso.

Auditoría de seguridad

Usar programas de auditoría de seguridad para identificar configuraciones incorrectas.

Spoofing

Suplantación de identidad, usado para explotar confianzas entre máquinas.

ARP poisoning

Permite un ataque de 'Man in the Middle' (MITM) entre dos máquinas.

Denegación de servicio (DoS)

Ataque que consigue la interrupción de servicios o incluso la caída de la maquina.

Study Notes

Amenazas a la Ciberseguridad

• Los Hackers son expertos en ramas técnicas relacionadas con la informática, como programación, redes y sistemas operativos.
• Los Crackers son "hackers criminales" que crean programas (cracks) para modificar el funcionamiento de software o hardware, o que utilizan estos cracks para realizar intrusiones a sistemas.

Perfiles del Atacante

• CiberMalicia: Ataques arbitrarios de aficionados, causando molestias y daños menores.
• CiberActivismo: Ciberataques que tratan de influir en la opinión y/o reputación de las organizaciones, afiliaciones o causas específicas.
• CiberCrimen: Actividades criminales con el fin de obtener beneficios económicos.
• CiberTerrorismo: Convergencia del ciberespacio y del terrorismo, causando pérdida de vidas o graves daños económicos.
• CiberEspionaje: Explotación paciente, persistente y creativa para conseguir ventajas estratégicas en los ámbitos económicos, políticos y militar.
• CiberGuerra: Operaciones cibernéticas con el fin de destruir o degradar las infraestructuras de un país.

¿Cómo lo hacen?

• Las amenazas tecnológicas se aprovechan de fallos en los programas.
• Las amenazas humanas se aprovechan de fallos de las personas, siendo estas el eslabón más débil
• Los 7 principios de la persuasión, el desconocimiento técnico, la tendencia a confiar y el miedo a meterse en problemas son factores clave.
• "Los aficionados hackean sistemas, los profesionales hackean personas" (Bruce Schenier)
• "No importa cuán inteligente o bien educado seas, puedes ser engañado" (James Randi)

Amenazas Humanas

• Las Técnicas de Ingeniería Social, que pueden ocurrir con presencia física o a través de Internet.
• Con presencia física:
  • Engaños presenciales como pretextos o desvío de envíos.
  • Rebuscar en la basura (dumpster diving).
  • Pisar los talones (tailgating).
  • Mirar por encima del hombro (shoulder surfing).
  • También por teléfono, fax o correo postal.
• A través de Internet:
  • Ejecución de programas maliciosos (malware).
  • Revelación de secretos.
  • Búsqueda de información en Internet.
• En persona, engañar al atacado para que revele información confidencial puede hacerse con pretextos, como la impersonación de autoridades o periodistas
• El desvío de envíos implica engañar a empresas de transporte para que modifiquen el sitio de entrega de mercancía.
• El "Baiting" consiste en dejar CDs, DVDs o USBs en lugares cercanos a las organizaciones.
• Rebuscar en la basura puede revelar datos confidenciales o números de cuentas corrientes.
• Algunos ejemplos de lugares donde se puede rebuscar en la basura son supermercados o hospitales.
• Pisar los talones significa atravesar un control de acceso pegado a otra persona.
• Mirar por encima del hombro es un problema de educación.
• Por Internet:
• Enviar malware como adjunto por correo electrónico, ya sea como un ejecutable comprimido (zip, rar) o un salvapantallas (.scr).
• Enviar adjuntos en formato PDF que atacan versiones no actualizadas de Adobe, como pasó con los ataques a Google desde China.
• Es necesario engañar al usuario para que confíe en el mensaje y lo ejecute.
• También a través de la generación de falsos escenarios para engañar a la víctima, como llamadas de teléfono simulando ser un operador del departamento de informática.
• El objetivo es que la víctima ejecute un programa malicioso (malware) adjunto en un correo electrónico, descargado por web o transmitido por redes sociales o mensajería instantánea.
• También se busca que la víctima revele información confidencial.
• Es necesario que los usuarios descarguen y ejecuten los archivos maliciosos.
• Los archivos se insertan en servidores web, anuncios y correos electrónicos.
• Otros ataques ocurren navegando por servidores maliciosos (si el navegador es vulnerable).
• La revelación de secretos usualmente ocurre por correo electrónico pidiendo información confidencial en un enlace a un servidor web falso (phishing), usando logos/apariencia de las páginas igual que los reales, y solicitando contraseñas / números de tarjetas de crédito / etc

Búsqueda de Información: OSINT

• Datos publicados en redes sociales como Instagram, TikTok, Twitter/X, LinkedIn, Facebook, etc.
• Otros metadatos en documentos online, información en foros y grupos, actualizaciones de situación en Foursquare, CVs con datos personales accesibles.
• También informacion en BOE / BORME / BOCAM, entre otras.
• Es importante tener fugas de datos en ataques a empresas.
• Cuanta más información se pueda obtener sobre una persona, más ventaja tendrá el atacante para lograr engañar a la víctima.

Amenazas Tecnológicas

• Los atacantes por internet también entran en los sistemas, por ejemplo, si se roban o falsifican la llave o rompiendo ventanas.
• Las "ventanas" son los programas que usamos en nuestra conexión a Internet, como navegadores, correo electrónico, programas para descargar, clientes streaming, etc.
• Servidores de Internet y las vulnerabilidades del software son un problema.
• La solución es que los fabricantes las resuelven al actualizar el usuario.
• Las vulnerabilidades del software o configuraciones dan acceso explotando dichas vulnerabilidades
• En servidores: permiten explotación en cualquier momento.
• En clientes: se necesita interacción con el usuario para explotarlo.
• Pueden permitir:
• RCE: Remote Command Execution
• DoS: Denial of Service
• Acceso a recursos del sistema (memoria, disco, etc.)

OWASP Top 10 (2017)

• A1:2017-Injection: Fallos de inyección, como SQL, NoSQL, OS y LDAP injection.
• A2:2017-Broken Authentication: Funciones relacionadas con la autenticación y gestión de sesiones a menudo implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves o tokens de sesión.
• A3:2017-Sensitive Data Exposure: Muchas aplicaciones web y APIs no protegen adecuadamente datos sensibles, como datos financieros o de salud.
• A4:2017-XML External Entities (XXE): Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades externas dentro de documentos XML.
• A5:2017-Broken Access Control: Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente.
• A6:2017-Security Misconfiguration: La mala configuración de seguridad es el problema más comúnmente visto.
• A7:2017-Cross-Site Scripting (XSS): Los fallos XSS ocurren cuando una aplicación incluye datos no confiables en una nueva página web sin validación o escape adecuados.
• A8:2017-Insecure Deserialization: La deserialización insegura a menudo conduce a la ejecución remota de código.
• A9:2017-Using Components with Known Vulnerabilities: Los componentes, como bibliotecas, frameworks y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación.
• A10:2017-Insufficient Logging&Monitoring: Registro y monitoreo insuficientes, junto con una integración faltante o ineficaz con la respuesta a incidentes.

CWE Top 25 (2020)

• CWE-79: Neutralización Impropia de la Entrada Durante la Generación de Páginas Web ('Cross-site Scripting')
• CWE-787: Escritura Fuera de Límites
• CWE-20: Validación de Entrada Impropia
• CWE-125: Lectura Fuera de Límites
• CWE-119: Restricción Impropia de Operaciones Dentro de los Límites de un Buffer de Memoria
• CWE-89: Neutralización Impropia de Elementos Especiales utilizados en un Comando SQL ('SQL Injection')
• CWE-200: Exposición de Información Sensible a un Actor No Autorizado
• CWE-416: Uso Después de Liberar
• CWE-352: Falsificación de Solicitud Entre Sitios (CSRF)
• CWE-78: Neutralización Impropia de Elementos Especiales utilizados en un Comando del Sistema Operativo ('OS Command Injection')
• CWE-190: Desbordamiento de Entero o Ajuste de Línea
• CWE-22: Limitación Impropia de un Nombre de Ruta a un Directorio Restringido ('Path Traversal')
• CWE-476: Desreferencia de Puntero NULO
• CWE-287: Autenticación Impropia
• CWE-434: Carga Irrestricta de Archivos con Tipo Peligroso
• CWE-732: Asignación de Permiso Incorrecta para Recurso Crítico
• CWE-94: Control Impropio de la Generación de Código ('Code Injection')
• CWE-522: Credenciales Insuficientemente Protegidas
• CWE-611: Restricción Impropia de Referencia de Entidad Externa XML
• CWE-798: Uso de Credenciales Codificadas
• CWE-502: Deserialización de Datos No Confiables
• CWE-269: Gestión Impropia de Privilegios
• CWE-400: Consumo de Recursos No Controlado
• CWE-306: Falta de Autenticación para Función Crítica
• CWE-862: Autorización Faltante

Vulnerabilidades del Software de Servidores

• Buffer Overflow:
  • Forzar el desbordamiento de un buffer a la pila del sistema.
  • Sobrescribir la dirección de retorno de una función a otro sitio.
  • Cuando la función retorna, saltará a la nueva dirección y puede ejecutar código malicioso.
  • Si se está ejecutando como administrador, el atacante gana sus privilegios.
  • Los límites de los buffer no se comprueban a menudo en los programas.
• Comprobación de argumentos inadecuada:
• Numeric Overflow:
  • Se proporcionan valores en rangos no esperados.
  • Muchos programas no comprueban si el valor está dentro del rango adecuado.
• SQL Injection:

XSS: Cross Site Scripting

• Se produce una Neutralización Impropia de la Entrada Durante la Generación de Páginas Web
• Condición de Carrera:
  • Deadlock Conditions: Múltiples copias del programa ejecutándose a la vez que acceden a los mismos ficheros que pueden ser modificados maliciosamente.
  • Sequence Conditions: Un programa puede ser interrumpido entre dos operaciones para ejecutar código malicioso.

Vulnerabilidades del Software

• Internet Worm (1988): El fallo permitía acceso como administrador
• Fallos en servidores WWW: Red Code, etc
• Defensa:
• Activar solo los servidores realmente necesarios.
• Conocer las vulnerabilidades.
• Actualizar constantemente los programas.
• Nuevas propuestas:
• DEP: Marcar las zonas de memoria que pueden contener código ejecutable.
• ASLR: Aleatorización del espacio de direcciones para no saber a priori dónde va a estar la memoria reservada.

Vulnerabilidades de configuración

• Consisten en atacar configuraciones deficientes de servidores de red.
• Configuraciones de servicios rlogin, rsh, (ficheros .rhost en UNIX).
• Configuraciones NFS (por defecto, los discos eran visibles al resto del mundo).
• Configuraciones X-Windows (por defecto, tu pantalla era pública).
• Configuración por defecto de RDP en Windows Server 2003.
• Para una mejor defensa, corregir malas configuraciones con auditorías de seguridad como NESSUS, TIGER, COPS, BASTILLE-Linux, etc

Vulnerabilidades de protocolos

• Consisten en atacar los fallos en implementación del protocolo o en el diseño, y se usan para explotar confianzas entre maquinas.
• Spoofing es un ejemplo de la vulnerabilidad en implementación
• Un ejemplo de ataque del número de secuencia de TCP es ARP Poisoning, que permite un ataque de "Man in the Middle (MITM) entre dos máquinas donde la comunicación de A a B y viceversa es enviada a C
• SSL: Heartbleed es otro ejemplo.

Vulnerabilidades en Aplicaciones Cliente

• Se aprovechan deficiencias de aplicaciones de cliente que utilizan la red para acceder a recursos del sistema, introduciendo respuestas maliciosas a la petición del usuario.
• Originalmente, eran fallos de navegadores, Active X, Java, pero actualmente son aplicaciones de lectura de ficheros, como PDF + Acrobat Reader
• Es necesario combinarlo con ataques de Ingeniería Social para que se tiene que conectar a un servidor WWW o abrir un fichero.

Negación de Servicio

• Los ataques consiguen la interrupción de servicios o incluso la caída de la máquina, y suelen utilizar deficiencias en los servidores. Ejemplos:
• Ping de la muerte: paquete ICMP con longitud mayor de 65535 bytes.
• NUKE: datos fuera de banda en conexión TCP permiten desactivar la red en Microsoft Windows
• Otro método: BOMBING: Coordinación para realizar una petición masiva simultanea de servicios a una maquina (Mail-bombing, DDOS).
• Herramientas automatizadas: LOIC