ESTE BLOG ES UN A HERRAMIENTA DIDÁCTICA ONLINE PARA TODOS AQUELLOS INTERESADOS EN TEMAS DE INFORMÁTICA QUE TENGAN LA DISPOSICIÓN DE LEER, ANALIZAR Y COMPARTIR...
viernes, 16 de octubre de 2015
ATAQUES
A LA SEGURIDAD INFORMÁTICA Y SU RELACIÓN AL MODELO OSI A MANERA DE CUESTIONARIO
1. Capa
física.
1.1.
Robo y daños de PC’s
·
Algunos medios de protección control de
acceso físico.
o
Usar antivirus, anti spyware, cortafuegos.
o
Usar programas para monitorear los puertos.
o
Usar programas para eliminar huellas en
internet
o
Utilizar una cuenta estándar o de acceso
limitado
o
Utilizar sistemas operativos seguros, el
sistema operativo más seguro es aquel que no tiene contacto con el mundo
exterior.
o
Utilización de guardias.
o
Protecciones biométricas.
o
Usar detectores de metales.
o
Verificación automática de firmas.
o
Protecciones electrónicas.
·
Métodos para dañar la computadora o robar
información.
o
Malware infeccioso: virus y gusanos
v
Malware
oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos
§ Puertas
traseras o Backdoors
§ Drive-by
Downloads
§ Rootkits
§ Troyanos
v Malware
para obtener beneficios
§ Mostrar
publicidad: Spyware, Adware y Hijacking
§ Robar
información personal: Keyloggers y Stealers
§ Realizar
llamadas telefónicas: Dialers
§ Ataques
distribuidos: Botnets
o
Criptovirus o secuestradores,
son programas que cifran los archivos importantes para el usuario, haciéndolos
inaccesibles, y piden que se pague un "rescate" para poder recibir la
contraseña que permite recuperar los archivos.
o
Los rogue software hacen
creer al usuario que la computadora está infectada por algún tipo de virus u
otro tipo de software malicioso, esto induce al usuario a pagar por un software
inútil o a instalar un software malicioso que supuestamente elimina las
infecciones, pero el usuario no necesita ese software puesto que no está
infectado.
1.2.
Keylogger
·
¿En qué consiste la amenaza keylogger?
El registro de pulsaciones de teclas es un método
mediante el que se registra cada tecla que el usuario pulsa en el teclado del
ordenador.
·
¿Para qué se usa el
keylogger?
Es un spyware malicioso que se utiliza para
recopilar información confidencial, como contraseñas o datos financieros, que a
continuación se envía a programas externos para su uso por parte de
delincuentes.
·
¿Cómo protegerse
contra keylogger?
o Usar un firewall.
o Instalar un administrador de contraseñas
o Mantener actualizados los programas.
o Cambiar contraseñas con frecuencia.
o Utilizar un teclado virtual.
o Usar un punto de restauración.
·
¿En qué puede
afectar un keylogger?
Permite que otros usuarios tengan acceso a
contraseñas importantes, como los números de una tarjeta de
crédito, u otro tipo de información privada que se quiera obtener.
·
¿Cuáles son los
métodos de keylogger por hardware?
o
Adaptadores en
línea que se intercalan en la conexión del teclado
o
Dispositivos que
se pueden instalar dentro de los teclados estándares.
o
Teclados reales del
reemplazo que contienen el Keylogger ya integrado.
1.3 Fluctuación voltaje y corriente
·
¿Qué son las interrupciones de electricidad?
Una
Interrupción eléctrica es una situación en la que la tensión de alimentación en
el punto de entrega es inferior al 1% de la tensión declarada en cualquiera de
las fases de alimentación.
·
¿En qué consiste la fluctuación?
Sobrevienen
cuando la energía de una estación local disminuye pero no se desconecta,
causando daños irreparables en el equipo, ya que trata de operar a plena
capacidad con el mínimo de energía.
·
¿Cómo protegerse de ataques por fluctuación o
interrupción eléctrica?
o
Mantener una luz encendida para saber cuándo
ha terminado la baja de voltaje.
o
Apagar computadoras de escritorio.
o
Apagar la fuente principal de energía, de ser
posible.
o
Usar protectores de sobretensión o
reguladores de voltaje,para sobretensiones transitorias o permanentes.
2.
Capa de enlace
2.1 MAC Address Spoofing.
·
¿Qué es la
dirección MAC?
Una dirección MAC es el identificador único asignado
por el fabricante a una pieza de hardware de red (como una tarjeta inalámbrica
o una tarjeta Ethernet). «MAC» significa Media Access Control, y cada código
tiene la intención de ser único para un dispositivo en particular.
·
¿Por qué la
dirección MAC es única a nivel mundial?
Las direcciones MAC son únicas a nivel mundial,
puesto que son escritas directamente, en forma binaria, en
el hardware en su momento de fabricación. Debido a esto, las
direcciones MAC son a veces llamadas burned-in addresses (,quemado en
direcciones) en inglés.
·
¿En qué tecnología de red es utilizada la
dirección MAC?
La
dirección MAC es utilizada en varias tecnologías entre las que se incluyen:
o
Ethernet
o
802.3 CSMA/CD
o
802.5 o redes en anillo a 4 Mbps o 16 Mbps
o
802.11 redes inalámbricas (Wi-Fi).
o
Asynchronous Transfer Mode
2.2
ARP Poissoning.
·
¿Qué es ARP?
El
protocolo ARP permite que se conozca la dirección física de
una tarjeta de interfaz de red correspondiente a una dirección IP. Por eso se
llama Protocolo de Resolución de Dirección (en inglés ARP significa
Address Resolution Protocol).
·
¿Qué tipo de ataque es el envenenamiento ARP?
o
La máquina atacante, conociendo las
direcciones IP de los dos nodos cuyas comunicaciones se quieren intervenir,
resuelve mediante ARP, si es necesario, las direcciones MAC que les
corresponden.
o
Mediante respuestas ARP o mediante la técnica
de ARP gratuito, el atacante modifica el contenido de las cachés de las
víctimas de forma que para la dirección IP de su interlocutor se corresponda la
dirección MAC real del atacante.
o
Cada vez que alguno de los nodos quiera
enviar información al otro, resolverá la dirección MAC del mismo mediante su
caché de ARP previamente envenenada, enviando así el tráfico al atacante en vez
de al destinatario real.
·
¿Cuáles son los equipos que son atacados?
Gateway,
router, computadores (tarjetas de red y otros dispositivos de red).
·
¿Qué es Sniffing?
El Sniffing, es una técnica
utilizada para escuchar todo lo que ocurre dentro de una red, mediante herramientas
destinadas a la seguridad informática y no al uso malintencionado de
ellas, que actúan sobre los sistemas que componen el tráfico de una red, lo que
hacen estas herramientas en si, es que capturan, interpretan y almacenan
paquetes de datos que son lanzados por la red, para que después sean
analizados, donde se podrá conseguir información como, contraseñas, correos
electrónicos o incluso datos bancarios.
·
¿Cómo funcionan los sniffers?
Lo
que hacen estos programas es trabajar a la par con la tarjeta de red del equipo, para así poder absorber todo el
tráfico que esta fluyendo por la red a la que esté conectado, ya sea por cable
o por conexión inalámbrica.
·
¿Cuáles son los programas de sniffers más conocidos?
WireShark
|
Sniffer de paquetes capaz de capturar
paquetes de red en vivo en tiempo real. Aparte de eso, es capaz de descifrar
los paquetes de forma inteligente en función de su protocolo
|
Microsoft Network Monitor.
|
Para ver todo el tráfico de red en tiempo
real en una intuitiva interfaz gráfica de usuario. Mientras tanto, puede
capturar y ver información de la red más de 300 públicos
|
Capsa packet Sniffer
|
Permite monitorear y capturar 50
direcciones IP de red de datos de tráfico juntos y análisis de redes eficaces
en tiempo real para los paquetes de red sniffing, y analizarlos.
|
InnoNWSniffer
|
La aplicación fue desarrollada para ser un
pequeño escáner de propiedad intelectual similar a la de redes Sniffer. Puede
escanear en vivo IP pública y escanear cualquier ordenador de la LAN. Más
sobre el mismo puede dar una información detallada del sistema.
|
SniffPass
|
Es un succionador de tráfico del paquete
único, que se centra en la captura de contraseñas de tráfico de la red.
|
3.
Capa de red.
3.1
IP Spoofing.
·
¿En qué consiste el IP Spoofing?
Suplantación
de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete
TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue
generalmente gracias a programas destinados a ello y puede ser usado para
cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en
cuenta que las respuestas del host que reciba los paquetes alterados irán
dirigidas a la IP falsificada.
·
Mencione los tipos de IP Spoofing.
o
.Non
Blind Spoofing.
o
Blind
Spoofing
o
Man
in the Middle Attack
o
DoS
3.2 Ataque Smurfing.
·
¿En qué consiste el ataque smurfing?
La
denominada técnica "smurf" se basa en el uso de servidores de
difusión con el objetivo de paralizar una red. Un servidor de este tipo tiene
la capacidad de duplicar un mensaje y enviarlo a todos los equipos de una misma
red. De este modo, cuando el equipo del atacante envía una solicitud a varios
servidores de difusión ubicados en diferentes redes, todas las respuestas de
esos equipos se enrutarán al equipo de destino.
De
esta manera, gran parte de la labor del atacante reside en encontrar una lista
de servidores de difusión y en falsificar la dirección de respuesta para
direccionarlas al equipo de destino.
· Etapas de un ataque smurfing.
4. Capa
de transporte.
4.1 Fingerprinting.
·
¿En qué consiste la huella digital o
fingerprinting?
Este
método, cuya traducción sería “huella dactilar, es utilizado para obtener
información de un determinado servidor. Al igual que cada persona tiene
distintas huellas dactilares, lo mismo ocurre en los sistemas informáticos,
donde cada servidor tiene una forma diferente de responder a ciertas peticiones,
pudiendo distinguir de ese modo, por ejemplo, un servidor Apache de un servidor
Cherokee.
·
¿En qué se basa el fingerprinting?
La
técnica del "fingerprinting" de red se basa en encontrar diferencias
en los paquetes que un sistema envía o recibe, y a partir de comparar estas diferencias realizar una identificación. En
general es usada para identificar servicios, programas, o un Sistema Operativo.
·
¿Cuál es el propósito del fingerprinting?
La
huella digital es un mecanismo para defender los derechos de autor y combatir
la copia no autorizada de contenidos, que consiste en introducir una serie de
bits imperceptibles sobre un producto de soporte electrónico (CD-ROM, DVD,...)
de forma que se puedan detectar las copias ilegales.
4,2 Information Leakage
·
¿Qué es el ataque Information Leakage?
En
seguridad de la información se entiende por fuga de información una salida no
controlada de información que hace que esta llegue a personas no autorizadas o
sobre la que su responsable pierde el control. . Algunos ejemplos de fuga de información
pueden ser desde un empleado vendiendo información confidencial a la
competencia (incidente interno e intencional), una secretaria que pierde un
documento en un lugar público (incidente interno y no intencional) o en la
misma línea la pérdida de una laptop o un pen drive, así como
también el acceso externo a una base de datos en la organización o un equipo
infectado con un Spyware que envíe información a un delincuente.
4.3 Banner
Grabbing
·
¿En qué consiste el ataque Banner Grabbing?
Banner
Grabbing es el nombre que se le da a ia interacción manual, en texto plano. del
usuario en forma directa contra el servidor donde reside la aplicación web, si bien puede aplicarse sobre
cualquier tipo de servicio, cómo por ejemplo, FTP, VNC, HTTP con el objetivo
de conocer qué infraestructura o sistema se encuentra detrás de una
aplicación web o servicio.
·
¿Qué ocurre en una conexión Banner Grabbing?
En
esta conexión generalmente el servidor informa nombre del servicio o del
software, versión y hasta capacidades incluidas en tiempo de compilación.
·
¿Cuál es el programa atacado para realizar un
Banner Grabbing?
Si
bien es cierto hay programas que son más adecuados (Netcat es más adecuado que
Telnet por ejemplo) para hacer banner grabbing, el programa cliente de Telnet
([WIKI_TELNET]) es el software generalizado por excelencia para conectarse a
cualquier host: puerto TCP e interactuar "a mano" con el servicio que
aloja el server remoto.
5.
Capa
de sesión.
5.1
Spoofing.
·
¿Qué es Spoofing?
Técnicas a través de las
cuales un atacante, generalmente con usos maliciosos o de investigación, se
hace pasar por una entidad distinta a través de la falsificación de los datos
en una comunicación.
·
¿Qué es DNS Spoofing?
Suplantación de identidad
por nombre de dominio. Se trata del falseamiento de una relación "Nombre
de dominio-IP" ante una consulta de resolución de nombre, es decir,
resolver con una dirección IP falsa un cierto nombre DNS o viceversa.
·
¿Qué es Web Spoofing?
Suplantación de una página
web real (no confundir con Phishing). Enruta la conexión de una víctima a
través de una página falsa hacia otras páginas WEB con el objetivo de obtener
información de dicha víctima (páginas web vistas, información de formularios,
contraseñas etc.).
·
¿Qué es Mail Spoofing?
Suplantación
de la dirección de correo electrónico de otras personas o entidades. Esta
técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como
suplemento perfecto para el uso de suplantación de identidad y para SPAM.
5.2
Ataque de fuerza bruta.
·
En criptografía ¿En qué consiste el ataque de
fuerza bruta?
En criptografía,
se denomina ataque de fuerza bruta a la forma de recuperar
una clave probando todas las combinaciones posibles hasta encontrar
aquella que permita el acceso.
·
¿Cómo se puede proteger un sistema contra los
ataques de fuerza bruta?
o
Cuenta umbral de bloqueo, que establece el
número máximo de intentos de acceso no válidos antes de que ocurra el cierre
patronal.
o
Cuenta duración del bloqueo, que establece el
tiempo en minutos para que un bloqueo se mantenga en vigor. Si establece este
valor en cero, el bloqueo se mantendrá hasta que se restablezca por un
administrador.
o
Ventana de bloqueo de cuentas. Esta política
de seguridad es responsable de establecer la longitud total de tiempo que debe
transcurrir antes de que el recuento de intentos de conexión fallidos
se pone a cero.
·
Mencione 3 programas utilizados para fuerza
bruta.
Elcomsoft Wireless security Auditor, RAR Password
Cracker, Ms Word Excel Cracker.
6. Capa de presentación
6.1 XSS Cross Screpty
·
¿Qué
es XSS?
XSS es
un ataque de inyección de código malicioso para su posterior ejecución que
puede realizarse a sitios web, aplicaciones locales e incluso al propio
navegador.
·
¿Cómo puede afectar el XSS?
XSS
es un vector de ataque que puede ser utilizado para robar información delicada,
secuestrar sesiones de usuario, y comprometer el navegador, subyugando la
integridad del sistema. Las vulnerabilidades XSS han existido desde los
primeros días de la Web.
·
¿Por qué medios XSS puede llegar al usuario?
o
Directa (también
llamada Persistente): este tipo de XSS comúnmente filtrado, y consiste en
insertar código HTML peligroso en sitios que lo permitan; incluyendo así
etiquetas como <script> o <iframe>.
o
Indirecta (también
llamada Reflejada): este tipo de XSS consiste en modificar valores que la aplicación
web utiliza para pasar variables entre dos páginas, sin usar sesiones y
sucede cuando hay un mensaje o una ruta en la URL del navegador, en
una cookie, o cualquier otra cabecera HTTP (en algunos navegadores
y aplicaciones web, esto podría extenderse al DOM del navegador).
6.2
SQL Injection.
·
¿Qué es SQL Injection?
Inyección
SQL es un método de infiltración de código intruso que se vale de una
vulnerabilidad informática presente en una aplicación en el nivel de validación
de las entradas para realizar consultas a una base de datos.
·
¿Cómo sucede la inyección SQL?
La
intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en
computadores de escritorio o bien en sitios Web, en este último caso obviamente
ejecutándose en el servidor que los aloja.
La
vulnerabilidad se puede producir automáticamente cuando un programa "arma
descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante
la fase de desarrollo, cuando el programador explicita la sentencia SQL a
ejecutar en forma desprotegida.
·
¿Cómo podemos prevenir la inyección SQL?
Ruby on Rails
|
En el framework Ruby on
Rails (RoR), las consultas son verificadas automáticamente por
cualquiera de los métodos de búsqueda incluidos.
|
Perl
|
En lenguaje Perl DBI, el
método DBI::quote filtra los caracteres especiales (asumiendo que
la variable $sql contiene una referencia a un objeto DBI).
|
PHP
|
En el lenguaje PHP, hay diferentes
funciones que pueden servir de ayuda para usar con distintos sistemas de
gestión de bases de datos.
|
6.3
Input Validation.
·
¿Qué es el Input Validation?
Un
ataque de validación de entrada es cuando un atacante envía intencionadamente
un mensaje inusual con la esperanza de confundir una aplicación.
·
¿Cuál es la técnica de seguridad para
prevenir el input validation?
o
Es esencial tener instalada una herramienta
que analice el tráfico en la red y, muy especialmente, en su perímetro.
o
Tener alguna forma de analizar los registros
de seguridad del sistema.
o
Limpieza de documentos.
·
¿Cuáles son los controles o técnicas para
evitar el Input Validation?
o
Usar captchas en los formularios para validar
las peticiones de los usuarios.
o
Crear limitaciones y reglas en los
formularios.
o
Impedir la entrada de código maligno
escapando los caracteres.
o
Convertir
los caracteres especiales con htmlspecialchars.
o
Bloquear todos los caracteres especiales que
no sean letras ni números.
7.
Capa
de aplicación
7.1 Buffer Overflow
·
¿Qoé
es Buffer Overflow?
Los ataques por
desbordamiento de búfer (también denominado saturación de búfer) están
diseñados para activar la ejecución de un código arbitrario en un programa al
enviar un caudal de datos mayor que el que puede recibir.
·
¿Dónde
ocurre y por qué?
Un desbordamiento de
búffer ocurre cuando los datos que se escriben en un búffer corrompen
aquellos datos en direcciones de memoria adyacentes a los destinados
para el búffer, debido a una falta de validación de los datos de entrada.
Esto se da comúnmente al copiar cadenas de caracteres de un búffer a
otro.
·
¿Qué
pasa si ocurre un Buffer Overflow en el sistema?
Si esto ocurre, por
algún error imprevisto, se ingresa a la pila de la aplicación más
datos que los que ésta puede contener, lo que provoca que esta se
"desborde" y algunos datos se sobreescriban.
·
¿Cuáles
son los lenguajes más afectados por Buffer Overflow?
o
Aplicaciones
que carecen de lenguajes de programación avanzados
o
Lenguaje
de alto nivel sin bibliotecas de función segura.
7.2
Ingeniería social.
·
¿Qué
es la técnica de ingeniería social?
Ingeniería social es
la práctica de obtener información confidencial a través de la manipulación de
usuarios legítimos.
·
¿Quiénes
utilizan la técnica de ingeniería social?
Es una técnica que
pueden usar ciertas personas, tales como investigadores privados, criminales, o
delincuentes informáticos, para obtener información, acceso o privilegios en
sistemas de información que les permitan realizar algún acto que perjudique o
exponga la persona u organismo comprometido a riesgo o abusos.
·
¿Qué
principio sustenta la ingeniería social?
El principio que
sustenta la ingeniería social es el que en cualquier sistema "los usuarios
son el eslabón débil".
·
¿Cómo
son atacados los usuarios?
o
Un
ingeniero social usará comúnmente el teléfono o Internet para engañar a la
gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra
empresa, un compañero de trabajo, un técnico o un cliente.
o
Engañan
a un usuario llevándolo a pensar que un administrador del sistema está
solicitando una contraseña para varios propósitos legítimos.
o
Otro ejemplo contemporáneo de un ataque de
ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo,
por ejemplo, fotos "íntimas" de alguna persona famosa o algún
programa "gratis" (a menudo aparentemente provenientes de alguna
persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la
máquina de la víctima para enviar cantidades masivas de spam). .
·
Mencione los 4 principios de la ingeniería
social:
Según
Kevin Mitnick la ingeniería social se
basa en estos cuatro principios:
1. Todos
queremos ayudar.
2. El
primer movimiento es siempre de confianza hacia el otro.
3. No
nos gusta decir No.
4. A
todos nos gusta que nos alaben.
Suscribirse a:
Comentarios (Atom)