Riscos i males pràctiques a Internet_RESUM2 PDF
Document Details
Uploaded by FeasibleHydrangea
UPC
Tags
Summary
Aquest document resumeix els riscos i males pràctiques relacionades amb la seguretat a Internet. Aborda temes com virus, hackers, i altres atacs malintencionats, oferint una descripció dels nivells de risc i sistemes de protecció. Tracta temes bàsics de seguretat digital.
Full Transcript
Riscos i males pra ctiques a la xarxa d' Internet (virus, hackers, espies, pop-up, i altres possibles atacs malintencionats, perillosos o molestos): descripcio, nivells de risc i sistemes de proteccio 1 Hackers Una amenaça a la ciberseguretat és la possibilitat de que pugui ocórrer un event nociu...
Riscos i males pra ctiques a la xarxa d' Internet (virus, hackers, espies, pop-up, i altres possibles atacs malintencionats, perillosos o molestos): descripcio, nivells de risc i sistemes de proteccio 1 Hackers Una amenaça a la ciberseguretat és la possibilitat de que pugui ocórrer un event nociu, com un atac. Una vulnerabilitat és una debilitat que fa que un objectiu pugui ser susceptible a un atac. Un atac és una explotació deliberada d’una debilitat detectada en SI d’un ordinador. Delinqüents informàtics: hackers. El motiu pel que es mouen els classifiquen: de barret blanc, gris o negre. 1.1 Hackers de Barret Blanc Son hackers ètics actuen per bones finalitats, ètiques i legals (per descobrir les vulnerabilitats ) 1.2 Hackers de Barret Gris Delinqueixen i realitzen accions poc ètiques, però sense benefici personal ni per cometre cap dany. 1.3 Hackers de Barret Negre Delinqüents poc ètics que violen la seguretat per beneficis personals o per motius mal intencionats. Altres conceptes associats: - Wannabe: algú que desitja iniciar-se. - Newbie: novell en el hacking - Lammer ó Script kiddle: principiant en el món del hacking que copia el treball d’altres hackers. - Cracker ó Pirata: persona dedicada a la còpia i distribució de SW il·legal. - Phreaker: persona que fa canviar les comunicacions sense pagar-les o pagant menys. - Virii: especialista en virus 2 Tipus d’atacs (possibles atacs malintencionats, perillosos o molestos) 2.1 Malware Malware: Programari maliciós o maligne dissenyat per esborrar, bloquejar, modificar o copiar dades. També per interrompre el funcionament dels equips i/o les xarxes. Inclou virus, cucs, troians i altres programes (eines de hacking, generadors de codis polimòrfics, etc.). Hi ha 3 grans categories: Malware infecciós: Virus i cucs. Malware ocult: Troyans, backdoor o porta trasera i rootkits. Malware per obtenir beneficis econòmics: Spyware, adware, keyloggers, stealers i ransomware. 2.2 Malware infecciós 2.2.1 Virus Programa que es copia automàticament per alterar el funcionament normal del sistema, sense permís ni coneixement de l’usuari. Ells mateixos es repliquen i s’executen, però requereixen l’execució d’un programa del host en el que s’allotja i poden activar-se en un moment o data específica. Els vectors d’infecció son múltiples: enginyeria social, descarrega d’un fitxer, visita a una web, USB, e-mail, etc... Te capacitat de replicació i necessita de la intervenció humana per propagar-se. 1 Poden ser inofensius o destructius (modificar o esborrar dades). Per evitar la seva detecció, es transforma. Classes: Virus residents: s’executen cada vegada que engeguem l’ordinador i s’oculten en la RAM de manera permanent. Controlen totes les operacions i tenen la capacitat d’infectar tots els arxius. Només s’activen quan es compleix una certa condició, com la data o l’execució d’una determinada acció. Fins aleshores, romanen ocults. Ex: Randex, el CMJ, el Meve y el MrKlunky. Virus d’acció directa: es reprodueixen i actuen quan s’executen. No són a la memòria. Solen afectar els arxius que estan en la carpeta/directori on es troben. Més fàcils d’eliminar sense deixar rastre. Virus de sobreescriptura: escriuen dins un arxiu i en canvien el contingut. L’arxiu infectat no varia de mida, ja que només se sobreescriu. Els arxius infectats queden inservibles i s’han d’eliminar. Virus de companyia: poden esperar-se en la memòria fins que s’executi algun programa (virus residents) o actuar directament fent copies d’ells mateixos (virus d’acció directa). Ex: Way, el Trj.ReBoot i el Trivial.88.D. Es creen sobre els fitxers.com que acompanyen als.exe. Virus d’arrencada o boot: no infecta fitxers, sinó els discos que els contenen. Actuen infectant el sector d’arrencada dels USB, CD o DVD. Quan un ordinador es posa en marxa amb un USB, un CD o un DVD infectat, el virus de boot n’infecta el disc dur. Ex: Polyboot.B i l’AntiEXE. Virus de macro: infecta els fitxers que s’han creat mitjançant determinades aplicacions que contenen macros: Word (.doc), Excel (.xls), bases de dades (.mdb), PowerPoint (.pps), Corel Draw, OpenOffice Writer(.odt), OpenOffice Calc (.ods), OpenOffice Base, etc. Ex: Relax, Melissa.A, Bablas o O97M/Y2K. Virus de directori o d’enllaç: alteren les direccions que indiquen on es troben emmagatzemats els fitxers. Una vegada produïda la infecció, és impossible localitzar i treballar amb els fitxers originals. Virus encriptats: tècnica perquè els programes antivirus no els detectin. Quan volen actuar es desencripten i quan han acabat es tornen a encriptar. Ex: l’Elvira i el Trile. Virus polimòrfics: cada vegada que fan una infecció s’encripten de manera diferent. Generen moltes còpies d’ells mateixos, dificultant la seva detecció. EX: ZMist, el Marburg, el Satan Bug i el Tuareg. Virus multipartides: fan moltes infeccions mitjançant la combinació de tècniques diferents. Ex: Ywinz. 2.2.1.1 Els Cucs Els cucs o worms son codis maliciosos que es repliquen al explotar de manera independent les vulnerabilitats de les xarxes. Es limiten a fer copies automàtiques d’ells mateixos, el més ràpid possible sense tocar cap fitxer. No modifiquen els arxius. Poden arribar a ocupar la memòria, alentir l’ordinador i col·lapsar per saturació les xarxes en què s’han infiltrat. Ex: Conficker, Code Red, ILOVEYOU I Melissa. 2.3 Malware Ocult 2.3.1 Troians El seu objectiu és introduir i instal·lar altres programes en l’ordinador perquè es puguin controlar remotament des d’altres equips. No es consideren virus, perquè no infecten altres fitxers ni fan còpies d’ells mateixos per propagar-se, com els cucs. S’oculten en imatges o arxius multimèdia (àudio/vídeo) per instal·lar-se. 2 Com els virus, tenen la capacitat d’eliminar fitxers o destruir la informació del disc dur. A més, però, poden capturar dades confidencials i enviar-les a una direcció externa. També poden obrir ports de comunicacions, per permetre el control remot de l’ordinador. Categories de Troians segons com afecten a l’equip amfitrió: d’accés remot: atorguen el control complert sobre el sistema (RAT, Remote Acces Trojan o Backdoor) destrucció de dades: dissenyats per esborrar per complert o corrompre les dades emmagatzemades descarrega: no poden malmetre l’ordinador amfitrió a no ser que es connecti a Internet. Desactivadors de software de seguretat: detenen o inutilitzen les apps d’antivirus o firewalls de host denegació de servei: dissenyats per impedir o parar el funcionament normal d’un lloc web o recurs de xarxa, inundant-lo amb més tràfic del que és capaç de manegar. Rogue Antivirus: adverteixen als usuaris d’infeccions no existents, amb finestres emergents, per enganyar-los per comprar la versió “complerta” d’un producte anti-malware fictici. Ex: Scareware Ex Troians: Kovter, Emotet o Zeus. 2.3.2 Rootkits Conjunt de mecanismes i eines que proporcionen el nivell màxim de privilegis en un sistema, permetent el control complert, des del hardware al Sistema Operatiu. Modifiquen el SO per crear una porta trasera (Backdoor) i la informàtica forense del sistema, fent complicat detectar-los. Ex: ZeroAccess i Flame. 2.4 Malware para obtenir beneficis econòmics directes Ex: Spyware, adware, keyloggers, stealers i ransomware. 2.4.1 Spyware / Programa Espia El programa espia recopila informació d’un ordinador i després la transmet a una entitat externa. S’autoinstal·la afectant cada vegada que l’ordinador es posa en marxa. Acostumen a incorporar keyloggers, gravadors d’escriptori i software per activar la webcam. Funciona sempre i controla l’ús que es fa d’Internet. Ex: Gator, Bonzo Buddy i CoolWebSearch. 2.4.2 Adware Mostra elements emergents molestos per tal de generar ingressos pels seus actors. Pot analitzar els interessos de l’usuari realitzant seguiment dels lloc web visitats. Algunes versions de software instal·len automàticament l’adware. Hi ha adware que inclou spyware. 2.4.3 Keyloggers Malware que registrar les pulsacions en el teclat permetent accés a contrasenyes o altre informació privada. 2.4.4 Stealers Malware que roba informació privada que es troba guardada a l’equip. Comprova els programes instal·lats a l’equip i si tenen contrasenyes o credencials emmagatzemades, la desxifren i envien al atacant. 2.4.5 Ransomware Malware que manté captiu un SI o les dades/arxius de la víctima, fins que realitzi un pagament. Treballa normalment encriptant les dades amb una clau desconeguda per l’usuari. Ex: Wannacry, Petya i Bad Rabbit. 2.5 Buffer Overflow Técnica de desbordament de pila de memòria. Aquesta sobreescriptura pot provocar: corrupció de les dades i sistema, denegació del Servei i injecció de codi maliciós per part de l’atacant. 2.6 Reconeixement L’atacant intenta recopilar informació sobre l’objectiu desitjat. Atac de només lectura. Usa tècniques com: 3 Ping Sweeps: eines automatitzades que fan escombrats de pings a adreces IP per saber quines responen Port Scans: per identificar quins serveis s’estan executant o estan disponibles en el host Vulnerability scans: et descobreix les vulnerabilitats que te un sistema 2.7 Guanyar Accés i Control Un atacant pot aconseguir les credencials d’un usuari a traves de: Phishing: obtenir informació sensible (noms d’usuari, contrasenyes o targetes de crèdit), suplantant la identitat d'una entitat de confiança a través d'una comunicació electrònica (mail/sms). Atacs de diccionari: per mètode de prova i error intenta combinacions de noms d'usuari i contrasenyes a un diccionari predeterminat del software per tal d’intentar accedir a un sistema. Quan l’atacant s’ha fet amb les credencials dels hosts, pot crear Botnets: grup de ordinadors “zombies” en els quals corre un robot controlat per un màster, per fer un atac de Denegació de Servei Distribuit (DDoS). 2.8 Guanyar l’accés via Enginyeria Social Pràctiques de suplantació d’identitat: Vishing: trucades de suplantació de fonts legítimes mitjançant veu sobre IP. Objectiu: targeta de crèdit Smishing: suplantació mitjançant els sms dels mòbils. Pharming: Redirigir a l’usuari a un portal que sembli legítim però que està controlat per l'atacant. Whaling: apunten a objectius d'alt nivell dins d'una organització com polítics, gerents, directors... 2.9 Atacs a nivell d’aplicació SQL injection: permet que l'atacant faci una consulta SQL que li permeti aconseguir els seus objectius. Cross-site scirpting (XSS): permet injectar scripts a les pàgines web que visiten els usuaris, que pot contenir codi maliciós i accedir a: o Les cookies (poden suplantar la identitat de l’usuari) o Tokens de sessió o Info confidencial Cross-site request forgery (XSRF): aprofita els tancament de forma incorrecta de les sessions web (banc, mail...), pel que la sessió continua activa mentre s’està visitant altres pàgines on poden haver inserit codi maliciós que executi alguna instrucció 2.10 Denegació de Servei (DoS) Atac a la xarxa que provoca interrupció dels serveis de la xarxa d’usuaris, dispositiu o les aplicacions. 2 tipus: Volumètrics: envia gran quantitat de dades a una velocitat que la xarxa / host / app no pot manegar. Paquets maliciosos formatejats: el receptor no és capaç d’interpretar-ho ni manegar-ho, enlentint-lo Un atac de DoS distribuït (DDoS) prové de múltiples fonts coordinades. Els atacs distribuïts provenen de Botnets: xarxes d’equips infectats amb un malware que permeten als atacants controlar-los remotament. 4 2.11 Falsificació d’identitat (spoofing) Quan un atacant injecti tràfic que sembla que prové d’un sistema que no és el del propi atacant. El servidor contesta al que creu que és el sistema d’origen. Hi ha diferents tipus de spoofing: D’adreça IP: el més comú. D’adreça MAC (Media Access Control, per identificar interfície de maquinari) DHCP: l’atacant realitza la suplantació d’un servidor DHCP, donant a la víctima la IP que ell vulgui 2.12 Man-in-the-Middle (MITM) Atacant intercepta les comunicacions entre origen i destí per robar informació que transita per la xarxa. L’atacant pot manipular missatges i retransmetre informació falsa entre els hosts, sense que s'assabentin. 2.13 Atacs de dia zero (Zero-day) Atacs als hosts que intenten explotar les vulnerabilitats del software que son desconegudes o no revelades pel proveïdor de software. Fins que el proveïdor no desenvolupa i llença el pegat, la xarxa és vulnerable. 3 Nivells de risc En ciberseguretat, el risc es defineix com la probabilitat de que una d’amenaça determinada exploti una vulnerabilitat determinada ocasionant un impacte a la organització. Segons el NIST (National Institute of Standards Technology) una definició del risc de seguretat seria: Una amenaça: possibilitat de que un mètode pugui provocar un resultat no desitjat. Vulnerabilitat: debilitat que fa que el recurs sigui susceptible d’amenaça. Impacte: dany causat a la organització per l’amenaça. Si no hi ha amenaça o vulnerabilitats o impacte, tampoc hi ha risc. Dins de la gestió del risc, s’ha de: Identificar el risc: o Identificar els agents d’amenaça o Identificar les vulnerabilitats que poden ser explotades pels agents d’amenaça o Estimar l’impacte (tant tècnic com de negoci) Avaluar el risc: o De manera quantitativa: assignar un valor € a cada risc específic o De manera qualitativa: assignar nivell de risc (baix, mitjà o alt) segons probabilitat i impacte Prendre mesures per reduir el risc a un nivell acceptable Grau de perillositat: risc que corre el vostre sistema de ser infectat. Pot variar. Tipus de perillositat: Perillositat baixa: amenaça petita poc estès. Perillositat mitjana: el virus estès i la infecció causa perjudicis o poc estès, però causar danys greus. Perillositat alta: amenaça important, maleware molt estès i la infecció causa danys perjudicials. Perillositat molt alta: amenaça molt important, molt estès i la infecció causa danys irreversibles. 5 Grau de propagació: indica com d’estès està el virus. Es determinada per la ràtio d’infecció (% d’ordinadors infectats vs el total d’equips explorats). Valors que pot adoptar: Epidèmia: % d'infecció del 10% o superior. Propagació alta: % d'infecció superior al 7,5% i inferior al 10%. Propagació mitjana: % d'infecció superior a l’1% i inferior al 7,5%. Propagació baixa: % d'infecció inferior a l’1%. Danys causats: són un indicatiu del perjudici que un virus causa en infectar un sistema informàtic. Valors: Molt alt: ocasiona perjudicis greus. Ex: destrucció o modificació d’arxius, formatació de discos durs, enviament d'info a 3rs, molt trànsit en servidors, degradació del rendiment, obertura de seguretat,.. Alt: qualsevol programa maliciós. S’hi inclouen els que no fan accions destructives. 4 Sistemes de protecció 4.1 Solucions d’antivirus (Endpoint Proteccion Platform) i antimalware Antivirus/antimalware: programes instal·lats en PCs, servidors o dispositius mòbils i que: Realitzen escaneig dels arxius emmagatzemats, detecten malware utilitzant diferents tècniques i eliminen el malware sempre que sigui possible. Tècniques: o Per firma: compara el codi de l'arxiu escanejat amb el codi de tots els tipus de malware coneguts. Per evitar baix rendiment, s'analitza només una porció del codi. Es treballa amb firmes (hash) en lloc de amb codis complets. Quan apareix nou malware, la base de dades de signatures s’actualitza (1 o 2 cops al dia). No és efectiu pels atacs “Zero Day” (no tenen signatura). o Anàlisis heurístic: cerca de comportaments anòmals, per bloquejar virus no catalogats a la base de dades de signatures o que són polimòrfics. Consumeix molts recursos i pot produir falsos positius. o Basat en comportament: es controla el comportament del procés. Protegeix de les amenaces“Zero Day”. Tipologies d’antivirus: Preventors (avisen abans de la infecció), Identificadors (identifiquen però no descontaminen) i Descontaminadors (identifiquen i netegen la infecció). 4.2 Sistema de prevenció d’intrusions basat en el Host HIPS (host intrusion prevention system) és un software que detecta i evita atacs al host on està instal·lat. Un HIPS combina les capacitats d’un antivirus, antispyware i firewall personal i protegeix al host d'atacs coneguts i desconeguts. Funcions: controlar processos i recursos del sistema i analitzar el tràfic xifrat després de ser desxifrat (un IPS basat en xarxa no pot). Els IDS (Instruction detection system) només detecten. Les tècniques / tecnologies utilitzades per detectar activitat sospitosa són: IPS basat en firmes: detecta activitat intrusiva comparant el tràfic amb un conjunt de regles anomenades firmes. Si el tràfic coincideix amb una firma, l'IPS pot: descartar els paquets, registrar l'esdeveniment i enviar una alerta. La detecció d’intrusió basada firmes pot produir falsos positius. IPS basat en anomalies: detecta activitat intrusiva comparant el tràfic en temps real al tràfic considerat "normal". Cal establir una línia base d el que es considera tràfic normal. IPS basat en polítiques: detecta activitat intrusiva comparant tràfic amb polítiques preconfigurades. 6 4.3 Firewall de host Els Firewalls personals protegeixen un únic host a diferència dels firewalls tradicionals (on s’apliquen les polítiques de tràfic de la xarxa corporativa). Funcions: Aplicació de polítiques basades en protocols i ports Permet/denega apps (independentment de ports o protocol usats) via llistes blanques i negres d’apps. Avisar d’activitat sospitosa 4.4 Detecció i Resposta als Endpoints (EDR) Tecnologia que ofereix una visibilitat completa extrem a extrem de l’activitat de cada equip de la infraestructura corporativa, administrat en consola centralitzada. Objectiu: detecció proactiva de noves o conegudes amenaces. Els EDR complementen funcions dels EPP (Plataforma de protecció d'Endponits). Utilitza tecnologies de detecció avançada: Regles de YARA (eina per identificar i classificar malware mitjançant regles que detecten cadenes de text - patrons - dins dels arxius maliciosos) Sandboxing Escaneig dels IoCs (indicadors de compromís) Anàlisis retrospectiu amb correlació d’events basats en el aprenentatge dinàmic, investigació i contenció del incident i automatització de resposta Permeten reaccionar davant els incidents de seguretat i afegeixen eines de resolució i resposta. 4.5 Sandboxing Ajuda a resoldre debilitats de la detecció basada en firmes (p.ex. detectar malware polimòrfic). Funció: Emula un entorn, executa de forma segura el fitxer i analitza el comportament, determinant si és maliciós 4.6 Web Application Firewall (WAF) Tipus de Firewall que s’utilitza específicament per a les aplicacions web. S’encarrega de supervisar, filtrar o bloquejar el tràfic HTTP tant d’entrada com de sortida de l’aplicació. Protegeix a les aplicacions dels atacs més comuns com el XSS, el CSRF i el SQL injection. 4.7 Sistemes de protecció basats en distracció Honey Pots: sistemes per atreure atacants i distreure'ls dels veritables sistemes de xarxa. Padded Cells: sistemes similars als HoneyPots, amb la diferència que treballen de manera conjunta amb els IDS. Quan un IDS detecta un atacant, aquest és redirigit a un entorn simulat (Padded Cell), situat en un host específic, per monitoritzar les seves activitats sense risc. HoneyPots i Padded Cells no resulten de fàcil implantació, requereixen coneixement i dedicar molt esforç. 4.8 Sistemes de protecció basats en processos Analitzar els logs dels events amb el sistema de gestió d’informació i events de seguretat (SIEM) Establir procediments d’actualització i parxeig dels SO Dissenyar polítiques i procediments relacionats amb la seguretat física i perimetral Establir polítiques per al mínim privilegi en l’accés i ús de la informació Realitzar una gestió d’identitats i control d’accés adequat (sistemes d’autenticació multi-factor) Centre d'Operacions de Ciberseguretat (SOC): per augmentar la capacitat de vigilància i detecció d'amenaces en l'operació diària i millora de la resposta davant qualsevol atac. 7 5 Preguntes 5.1 Examen 2019 71. La principal diferència entre un virus i un troià és que: A. El virus té capacitat de replicar-se i infectar altres sistemes per sí sol, mentre que el troià no. B. El virus i el troià són el mateix. C. El virus és considerat malware i el troià no. D. El virus pot ser identificat i eliminat, mentre que el troià no. 5.2 Cas 4 25. Per a la determinació estimativa de l’impacte de l’Avaluació d’Impacte Relativa a la Protecció de Dades del RGPD i dins d’un enfocament de gestió del risc (segons les guies pràctiques de l’Agència Espanyola de Protecció de Dades i l’Autoritat Catalana de Protecció de Dades), quina fórmula plausible es podria emprar per a la seva quantificació? A. Risc = Producte P*I [Probabilitat (% d’ocurrència) * Impacte (cost econòmic o valor reputacional)]. B. Risc = Sumatori del valor de totes les salvaguardes que eliminarien les vulnerabilitats del sistema d’informació. C. Risc = Cost de les pòlisses de les assegurances amb què es cobreix els possibles impactes econòmics de la materialització de les amenaces més rellevants. D. Risc = Percentatge estimatiu del còmput acumulat del cost de les possibles operacions de restabliment del sistema en episodis de fallida de la seguretat. 8
