Tema 4 - Seguridad Activa en Sistemas PDF
Document Details
Tags
Summary
Este documento describe la seguridad activa en los sistemas, incluyendo vulnerabilidades, malware, y medidas de protección. Se detallan las diferentes formas en que los sistemas pueden ser atacados y las técnicas para protegerlos. Incluye una categorización de los tipos de malware.
Full Transcript
TEMA 4 -SEGURIDAD ACTIVA EN SISTEMAS La gestión activa de la seguridad persigue prevenir el incidente o ataque de seguridad. Lo vemos en equipos terminales: ordenadores y servidores INTRODUCCIÓN Los ataques que pueden recibir los equipos de sobremesa son los mismos que los que pueden recibir los se...
TEMA 4 -SEGURIDAD ACTIVA EN SISTEMAS La gestión activa de la seguridad persigue prevenir el incidente o ataque de seguridad. Lo vemos en equipos terminales: ordenadores y servidores INTRODUCCIÓN Los ataques que pueden recibir los equipos de sobremesa son los mismos que los que pueden recibir los servidores pero: - El impacto es mayor en los servidores. - Los PC suelen estar aislados del exterior, los servidores no siempre. - Los servidores están encendidos 24 horas al día. VULNERABILIDADES Es una debilidad de cualquier tipo que compromete la seguridad del sistema informático. Suelen venir por: 1. Diseño - Debilidad en el diseño de protocolos utilizados en las redes. - Políticas de seguridad deficientes e inexistentes. 2. Implementación - Como errores de programación 3. Uso - Mala configuración de los sistemas informáticos. - Desconocimiento y falta de sensibilización de los usuarios. ANÁLISIS Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red. Identificar las debilidades y saber cómo corregirlas es un paso fundamental para estar seguro. Nessus, Nexus, Openvas,… que usan bases de datos de vulnerabilidades como https://www.exploit-db.com Existen herramientas para explotar las vulnerabilidades de manera muy sencilla como por ejemplo Metasploit. Si existe disponible un exploit según el análisis de vulnerabilidades, seguramente esté desarrollado con estas herramientas siendo fácil su explotación. Consecuencias: Acceso al sistema, Robo de Información, Denegación de Servicio, etc MALWARE Programa que se instala en un sistema informático sin conocimiento del usuario. - Se ejecuta sin su autorización. - Puede tener varios objetivos como ser una “broma”, demostrar que el atacante “ha llegado” hasta el equipo, secuestrar o borrar datos, utilizar los recursos del sistema para otra actividad, robar contraseñas etc. MEDIDAS DE PROTECCIÓN 1. USAR SOFTWARE LEGAL - El software pirata puede (y suele) contener malware. - Desconfiar del software gratuito. - Excepto del Open Source, especialmente si están respaldado por una comunidad grande de programadores. Pero en ocasiones no está exento de malware. 2. MANTENER EL SISTEMA OPERATIVO Y EL SOFTWARE ACTUALIZADO - Con cada actualización los desarrolladores suelen indicar qué vulnerabilidades han sido corregidas. - Los atacantes saben entonces qué versiones del software tienen una determinada vulnerabilidad. - Es necesario tener una política de actualizaciones en nuestra empresa. 3. INSTALAR UN SOFTWARE ANTIMALWARE - Monitorean constantemente la memoria y los ficheros que se usan. - Se buscan trazas conocidas de malware o bien que tengan un comportamiento similar. - En entornos empresariales: soluciones que permiten la instalación, configuración y actualización centralizadas. 4. CONCIENCIAR A LOS USUARIOS TIPOS Se clasifican en base a su forma de actuar, cómo se propagan y el objetivo final. La cantidad de términos es enorme, algunos malware encajan en varios tipos. 1. INFECCIOSO Aquel que en su ciclo de vida hay dos fases: Propagarse infectando otros activos por la red y su propia actividad hostil. - Virus: necesita alguna acción del usuario para ejecutarse por primera vez. - Gusano: aprovecha las vulnerabilidades del S.O. para entrar al sistema y ejecutarse 2. BACKDOOR Una puerta trasera es un mecanismo que permite a un atacante acceder a un sistema evitando autenticarse. Lo suele instalar otro malware que cuando se asegura de que se está ejecutando se autoelimina. El backdoor permanece oculto a la espera de que un servidor controlador le contacte. El controlador se hace con decenas de equipos zombies, creando una botnet. 3. TROYANO Malware escondido dentro de un software aparentemente normal con la finalidad de espiar, robar datos confidenciales u obtener acceso por una puerta trasera a tu sistema. 4. ROOTKIT Código utilizado por atacantes para poder obtener privilegios de administrador y obtener control total. Son muy difíciles de detectar. 5. BOOTKIT Son rootkits específicamente programados para infectar el sector de arranque del sistema operativo(MBR), por lo que su infección se da un nivel anterior al arranque del sistema operativo, haciendo que su detección y limpieza sean mucho más difíciles. Con la llegada del UEFI (sustituyendo la BIOS) y Secure Boot, los bootkit casi dejaron de existir para las versiones modernas de Windows. 6. KEYLOGGER Es un tipo de malware que registra las pulsaciones del teclado para encontrar patrones repetidos como contraseñas y números de tarjetas de crédito. 7. SPYWARE Recopilan información del usuario para venderla posteriormente. 8. ADWARES Inyectan publicidad en los sistemas del usuario 9. RANSOMWARE Suelen propagarse a través de puertas traseras o como gusanos. Una vez dentro, cifran toda la información que esté a su alcance. A cambio de la clave de descifrado piden un rescate. Conviene no pagar 10. SCAREWARE Pop-ups que aparecen en pantalla. 11. MINERÍA Usa los recursos del sistema para minar criptomonedas. Usa el hardware del equipo atacado para resolver problemas matemáticos relacionados con transacciones de criptomonedas por una comisión. Un ejemplo es Crakonosh. SOFTWARE DE SEGURIDAD Habitualmente llamados como antivirus, pero hoy en día hablamos de multitud de amenazas. Realizan estas tareas: 1. Usan una base de datos con descripciones que permiten identificar diferentes malwares. 2. Vigila el contenido de la memoria RAM y los ficheros del sistema usando la base de datos. 3. Para amenazas que no conoce, usa la heurística (analiza el comportamiento del sistema). También comienza a usarse IA para estas labores. 4. Si encuentra un archivo malicioso, lo pone en cuarentena. 5. Puede enviar al fabricante muestras del fichero para que lo analice. 6. Vigilan otras partes del sistema, como las interfaces de red, la actividad del navegador, etc. Hay que tener en cuenta que: - Ningún software es perfecto ni detecta el 100% de amenazas. - Existen comparativas de laboratorios independientes que analizan el rendimiento de cada uno. ARCHIVOS El malware es software, por lo tanto, en principio los archivos ejecutables son una amenaza. No obstante, también hay que vigilar: - Archivos comprimidos (.ZIP,.RAR, …). - Documentos de aplicaciones con macros (Excel,Acrobat, …). CONTROL DE ACCESO LÓGICO Previene el ingreso de personas no autorizadas a la información del sistema. Conlleva dos procesos: - Identificación: El usuario se da a conocer en el sistema. - Autenticación: Verificación que realiza el sistema. Normalmente se usan servidores LDAP en GNU/Linux y Active Directory en Windows Server. ATAQUES - Ataque de fuerza bruta. - Ataque de diccionario. PROTECCIÓN 1. Establecer un número máximo de intentos. 2. Política de contraseñas. - Establecer una longitud mínima. - Combinación de caracteres: letras minúsculas y mayúsculas, números, símbolos especiales etc. - No utilizar secuencias ni caracteres repetidos. Ej: “1234” ó “1111”. - No utilizar el nombre de inicio de sesión. - No utilizar palabras de diccionario de ningún idioma. - Utilizar varias contraseñas para distintos entornos. - Evitar la opción de contraseña en blanco. - Cambiar la contraseña con regularidad. - No revelar la contraseña a nadie ni escribirla en equipos que no controlas. En WINDOWS se usa gpedit.msc En LINUX el módulo PAM (Pluggable Authentication Module). - Determina si una contraseña que se va a crear o modificar con el comando passwd es suficientemente fuerte. - Además está el fichero /etc/login.defs donde, entre otras cosas, podemos fijar el número de días de expiración de las contraseñas. VERIFICACIÓN EN DOS PASOS También llamada segundo factor de autenticación (2FA). Se usa en sistemas que necesitan mayor seguridad. Consiste en pedir una segunda prueba de identidad al usuario. ACCESO LÓGICO EN UN EQUIPO Nivel 1: Control con contraseña del arranque y de la BIOS. La BIOS es un pequeño programa que se encuentra grabado en una memoria de la placa base. La BIOS reconoce, localiza e inicializa todos los dispositivos del sistema y carga el sistema operativo en la RAM. Su configuración queda guardada. Tiene vulnerabilidades: 1. Se puede resetear y volver a sus valores de fábrica quitando la pila. 2. Se puede acceder y cambiar su configuración si no está protegida por contraseña. 3. Distribuciones Live permiten acceder a las particiones y sistemas de ficheros de forma transparente, sin restricciones del SO. Ej: Ophcrack. No permitir arrancar desde USB… Nivel 2: Control con contraseña del gestor de arranque. GRUB permite seleccionar qué sistema operativo arrancar si tenemos instalados varios sistemas en el disco duro. Problema: Opción recovery mode para la recuperación en caso de fallo del sistema. Puede modificar contraseñas o acceder a la información del disco duro. Solución: Añadir contraseña al menú de edición y al modo de recuperación y actualizar a nuevas versiones de GRUB. Nivel 3: Control de acceso al sistema operativo. El más usado es usuario + contraseña. Es más seguro usar un segundo factor de autenticación. Cuidado con Deepfake. Nivel 4: Control de acceso a datos y aplicaciones. Los tipos de permisos dependen del sistema operativo y es tarea del administrador definir para cada usuario grupos y permisos formando así una lista de control de acceso (ACL). Es importante cifrar las particiones del equipo. En caso de pérdida del equipo, si la información no está cifrada, el disco duro se puede extraer y leer. Existen soluciones nativas de algunos sistemas operativos (como Bitlocker en Windows) y externas (Veracrypt). En las distribuciones GNU/Linux durante la instalación puedes cifrar el disco y también al formatearlo (LUKS). MONITORIZACIÓN Un log es un registro de eventos durante un periodo de tiempo. Generalmente es un archivo de texto plano, que tiene un evento por línea (con la fecha que se produjo) La importancia reside en la información que contiene. Da información sobre quién, qué, cuándo, dónde y por qué ocurre un evento para un dispositivo o aplicación. Pueden ser evidencia legal y para auditar el sistema. NO avisan, simplemente registran eventos. En WINDOWS cada evento se clasifica como error, advertencia o información. Para monitorizar los logs se utiliza el visor de eventos. En LINUX se almacenan en /var/log/. Los principales son: /var/log/kern.log: mensajes del kernel. /var/log/syslog: del sistema y de sus programas. /var/log/dmesg: información de arranque del sistema y conexiones de hardware. /var/log/debug: información de depuración de los programas. /var/log/boot.log: información del arranque. /var/log/auth.log: Conexiones al sistema (incluidos los intentos fallidos y los accesos como root. SIEM(SECURITY INFORMATION AND EVENT MANAGER) Gestor de Eventos e Información de Seguridad es un dispositivo de red que: Recoge los logs de los dispositivos de nuestra red. Los equipos les reenvían los logs. O se instalan programas “agente” que lo hacen. Los almacena el tiempo que necesitemos. Los interpreta (los “correla”) y saca conclusiones. Emite alertas.
