Apuntes LSI Temas 1 y 2 PDF

Summary

Los apuntes LSI TEMAS 1 Y 2 describen los conceptos básicos sobre seguridad informática, incluyendo las medidas preventivas y reactivas para proteger la información y la CIA (confidencialidad, integridad y disponibilidad). Se analizan diferentes tipos de ataques y vulnerabilidades, y sus vectores de ataque.

Full Transcript

Apuntes LSI
Santi Castro e Iria Pardo

TEMAS 1 Y 2: Fundamentos y Categorías
de ataques
Seguridad de la información: medidas preventivas y reactivas que permitan
resguardar y proteger la información buscando mantener la CIA:
Confidencialidad, Integridad y Disponibilidad.

Seguridad informática: Nombre genérico que se da al grupo de herramientas
diseñadas para proteger los datos y evitar la intrusión de los hackers.

Seguridad informática subconjunto Seguridad información

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada
(exploit) por una amenaza. Posibilidad de que una amenaza se materialice
sobre un activo y sea una vía de ataque potencial. Ej: Defectos en el hardware.

CVE - Common Vulnerabilities and Exposures: Listas de vulnerabilidades de
todo tipo de plataformas que tenemos constancia. Les da un ID, una descripción
y al menos una referencia pública. Formato del identificador CVE-YYYY-NNNN
(YYYY indica el año y NNNN el número de vulnerabilidad).

NVD - National Vulnerability Database: Repositorio del gobierno de EEUU de
datos de gestión de vulnerabilidades basados en estándares representados
mediante el Protocolo de automatización de contenido de seguridad. Aporta
mucha más información que el CVE. Gestionada por el NIST (National Institute
of Standards and Technology)

CVSS - Common Vulnerability Score System: Sistema puntuación gravedad
vulnerabilidad (1-10).

CWE - Common Weakness Enumeration: Es una clasificación, en esta lista se
mantienen clusters, que son clases/tipologías de debilidades o vulnerabilidades.

CPE - Common Platform Enumeration: Una lista donde se registran distintos
tipos de plataformas (sistemas, software, paquetes..).

OVAL - Open Vulnerability and Assesment Language: Lenguaje que se utiliza
para intercambio de información de este tipo de vulnerabilidades y listas.

Apuntes LSI 1
 0-day: Vulnerabilidad que se acaba de descubrir y no está registrada. No tiene
parches. Ataques Zero-day: explotan una vulnerabilidad 0-day.

Amenza: Peligro que puede explotar una vulnerabilidad produciendo un
incidente/ataque.

Troyanos

Sniffers

KeyLoggers

Stuxnet: gusano/virus que espía y re-programa sistemas.

Ataque: Acción de producir un incidente explotando una vulnerabilidad.

Ataque por fuerza bruta

DoS

Poisoning

Injections

Los ataques suelen tener origen, destino y flujo, necesario proteger estos 3
campos, y muchas veces se pone mucho énfasis en proteger el Origen Destino
y nos olvidamos del Flujo.

Attack Vector (Network, Adjacent, Local, Physical): Método que utiliza una
amenaza para atacar un sistema.

Network: vulnerabilidad que puede explotar a través de la red.

Adjacent: vulnerabilidad que ataca en tu propia LAN.

Local: vulnerabilidad que ataca localmente en tú máquina.

Physical: que tenemos que tener físicamente la máquina.

Tipos de ataques:
Ataques Pasivos: No afectan a los recursos del mismo, son muy difíciles de
detectar. Se dan en forma de escucha o de observación no autorizada de las
transmisiones.

Ataques activos: Alterar los recursos o afectar a su funcionamiento.

Suplantación de identidad

Apuntes LSI 2
 Repetición: Un atacante intercepta y repite datos transmitidos para ganar
acceso no autorizado o para llevar a cabo un ataque.

Modificación de mensajes

Interrupción del servicio

Ataques frecuentes aplicativo WEB
XSS - Cross Site Scripting: Buscan vulnerabilidades en una aplicación web
para introducir un script dañino.

Ej: En un formulario, si no hace bien la validación de entradas, le meto en medio
de los datos a introducir (parámetros) código/script que hace que pueda
dañar/fastidiar la aplicación.

SQL Injection: Un atacante introduce código SQL malicioso en una aplicación
para manipular la base de datos y obtener información no autorizada. Esto
ocurre cuando la aplicación no valida correctamente las entradas del usuario.

LDAP Injection: Es una técnica de inyección de código utilizada para explotar
aplicaciones web que podrían revelar información confidencial del usuario o
modificar información representada en los almacenes de datos LDAP (Protocolo
Ligero de Acceso a Directorios). Este ataque ocurre cuando una aplicación no
valida adecuadamente los datos de entrada.

Sistemas de Detección:
IDS - Intrusion Detection System: Es un programa usado para detectar
accesos no autorizados a un ordenador o a una red, es decir, son sistemas que
monitorizan el tráfico entrante y lo cotejan con una base de datos actualizada de
firmas de ataque conocidas. Ante cualquier actividad sospechosa, emiten una
alerta a los sys-admins. No mitigan la intrusión, solo alertan.

IPS - Intrusion Prevention System: Es un software que protege sistemas
contra ataques al realizar un análisis en tiempo real de conexiones y protocolos.
Identifica incidentes mediante patrones, anomalías o comportamientos
sospechosos, permitiendo el control de acceso y la implementación de políticas
que pueden descartar paquetes y desconectar conexiones, actuando de manera
preventiva.

Sensores: Software en muchos puntos de la red para prevenir/detectar
intrusiones red.

Apuntes LSI 3
 Categorías de Ataques
Dependiendo de qué parte del flujo se ataque.

Ataque de Interrupción:
Se daña o se deja de dar un servicio. Detección inmediata. Ataque a la
disponibilidad.

Destrucción de equipos.

Borrado de programas, ficheros, BBDD, etc.

Ataques contra organizaciones:

DoS - Denial of Service: Saturación de un servicio o máquina a través de
múltiples flujos de información, generando la caída o mal funcionamiento del
servicio.

Lógico: Explotar una vulnerabilidad del sistema. Solución: parchear.

Inundación: No determinado por vulnerabilidades. Apertura de muchas
conexiones para detener o ralentizar servicios. Difíciles de solucionar,
algunas opciones:

Traffic shaping: Mecanismo de control del tráfico cuyo objetivo es
evitar una posible sobrecarga en redes mal dimensionadas.
Vinculado al QoS.

Limitar Nº de conexiones por IP → No sirve, autodenegación de
servicio.
Ejemplo de por qué no funciona:
Apache | Squid (Caching and forwarding HTTP proxy).
Todas las peticiones pasan por el proxy antes de llegar al servidor.
El proxy tiene todo tipo de firewalls, protección contra malware,
sistemas de reputación (no deja entrar a servers con baja
reputación). No podemos limitar por Nº de conexiones por IP, todas
las conexiones vienen con la IP del proxy.

Apuntes LSI 4
 Ideal: Identificar distintas conexiones legales de las conexiones
de ataque.

DDoS - Distributed Denial of Service: Igual que un DoS pero desde varios
puntos de conexión hacia un mismo punto de destino. La forma mas común
es usando BotNets (red de dispositivos infectados controlados remotamente
por un atacante).

Cosas extras que dijo en clase:
Redundancia: tener todo duplicado ayuda a la seguridad. Ej: macromalla de
fibra óptica por autopistas.

RECETGA - Red de Ciencia y Tecnología de Galicia:
Es una red basada en fibra oscura. Se conoce por fibra oscura a los circuitos de
fibra óptica que están instalados pero que, por el contrario, están sin utilizar, es
decir están redundados.

Apuntes LSI 5
 Estándares T468A Y T568B: Especifican cómo interconectar los cables RJ45.

¿Qué es el cable directo?
Un cable directo es un tipo de cable de par trenzado que se usa en las redes de
área local para conectar un ordenador a un núcleo de red como por ejemplo un
enrutador. Para el cable de conexión directa se aplica solo un estándar de cableado:
ambos extremos utilizan o bien el estándar de cableado T568A o bien el estándar
T568B.
¿Qué es el cable cruzado?

Un cable cruzado de Ethernet es un tipo de cable Ethernet que se utiliza para
conectar dispositivos de computación directamente. Un extremo usa el estándar de
cableado T568A y el otro utiliza el estándar de cableado T568B. El cableado interno
de los cables cruzados de Ethernet invierte las señales de transmisión y recepción.
Este tipo de cable se usa con más frecuencia para conectar dos dispositivos del
mismo tipo: por ejemplo, dos ordenadores, o dos switches entre sí.

Apuntes LSI 6
 Cables de solo conexión: o cables ‘sniffing’ los cuales permiten a un
‘sniffer’ monitorizar el tráfico de red sin ser detectado.

BAD-USBs (turtle, rubbertack…): son dispositivos hardware maliciosos que se
hacen pasar por un HID “Human Interface Device”, llevan una capacidad de
procesado para poder atacar una máquina.

Keyjack: Es un ataque que se centra en interceptar o capturar las señales de
teclados inalámbricos. Consiste en interceptar las señales de radiofrecuencia
(RF) entre el teclado y el receptor inalámbrico, con el objetivo de capturar las
pulsaciones de teclas.

Mousejack: Similar al Keyjacking, los atacantes interceptan las señales de
radiofrecuencia entre el ratón y su receptor inalámbrico. Pueden enviar
comandos falsos al sistema a través de la conexión inalámbrica comprometida.

Estandar 802.11x: Sistema de autenticación de control al medio. Tipo eduroam
que hay que autenticarse.

Ataque de Interceptación:
Consiste en el robo o interceptación de datos de un sistema mediante un programa.
Es uno de los incidentes más difíciles de detectar ya que no hay una alteración del
sistema. Es un Ataque contra la confidencialidad.
Ej:

Sniffing.

Uso de keyjacks o mousejacks.

Pirateo de software NO CRACKEADO, el crackeado sería de modificación.

Keyloggers

Apuntes LSI 7
 Ataque de Modificación:
Una entidad no autorizada accede a un recurso y lo modifica. Ataque contra la
integridad.

Ej:

Modificación de una BBDD.

Crackeo de Apps.

MITM (man in the middle) modificando tráfico.

Buffer Overflow.

SPOOFING (esto creo que podría estar dentro de generación)
Suplantación.

Tipos de spoofing:

Mail spoofing: atacante falsifica la dirección de correo electrónico del remitente
para hacer que un mensaje parezca que proviene de una fuente confiable.

IP spoofing: Falsear la ip de origen de un paquete. De forma parecida el MAC
spoofing.

Smart-spoofing: permite utilizar cualquier aplicación cliente gracias a la
usurpación de una dirección IP.

Ataque de generación o fabricación:
Ataque contra la autenticidad.

Ej:

Fake emails

Dns Spoofing. Proporcionar respuestas DNS falsas para redirigir a los usuarios
a sitios web maliciosos o para interceptar el tráfico.

spyware

Herramientas de inyección de paquetes:

Hping3

Scapy

Packit

Apuntes LSI 8
 RECORDATORIO:
IPV4 32 bits, IPv6 128 bits, MAC 48 bits

TEMA 3 Information Gathering
Host discovery: Descubrir las máquinas que hay en una red. Fáciles de
descubrir server web, server dns, server mail, maquinas en DMZ. No siempre es
tan fácil como enviar un ping, trafico ICMP puede estar cortado. Uso de
herramientas como Nmap.

DMZ - Zona Desmilitarizada: Red perimetral que se encuentra dentro de la red
interna de la organización. En ella se encuentran ubicados exclusivamente todos
los recursos de la empresa que deben ser accesibles desde Internet, como el
servidor web o de correo.

Nmap: Herramienta para escaneo de puertos. Permite host discovery y
fingerprinting.

Port-Scanning: Una vez haya encontrado las máquinas para atacar, busco
puertos abiertos por los que poder entrar a la máquina/red.

Fingerprinting: Técnicas para saber que SO esta corriendo en una maquina y
poder aprovechar sus vulnerabilidades. También para conocer qué servicio y su
versión están corriendo detrás de un puerto y aprovechar.

Footprinting: Es el proceso de recogida de información. Puede ser:

Pasivo: Sin interactuar directamente con el objetivo. Ej: Redes sociales,
wikis, blogs, webs, etc.

Activo: Ingeniería social, obtener información confidencial mediante la
manipulación de usuarios legítimos.

Apuntes LSI 9