Вы находитесь на странице: 1из 8

Escuela Superior Politecnica de Chimborazo Auditoria Informatica

Auditoria Informtica
Amenazas, Amenazas humanas, Virus, Ataques, Tipos de seguridad, Tcnicas de proteccin

Escuela Superior Politcnica de Chimborazo SEGURIDAD INFORMTICA

Auditoria Informtica

La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. Objetivos de la seguridad informtica La seguridad informtica est concebida para proteger los activos informticos, entre los que se encuentran:

La informacin contenida: Se ha convertido en uno de los elementos ms importantes dentro de una organizacin. La seguridad informtica debe ser administrada segn los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorizacin. De lo contrario la organizacin corre el riesgo de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra funcin de la seguridad informtica en esta rea es la de asegurar el acceso a la informacin en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daos o prdida producto de accidentes, atentados o desastres. La infraestructura computacional: Una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica. Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los funcionarios y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores.

Las amenazas Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informtico (porque no le importa, no se da cuenta o a propsito).

Sagay Rosa

4281

Pgina 1

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano informtico, un troyano, una bomba lgica o un programa espa o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, inundacin): una mala manipulacin o una malintencin derivan a la prdida del material o de los archivos. El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informtica.

Tipos de amenaza El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como son: o Los usuarios conocen la red y saben cmo es su funcionamiento. o Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo. o Los IPS y Firewalls son mecanismos no efectivos en amenazas internas. Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Tipos de Virus: Virus residentes: La caracterstica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky. Virus de accin directa: Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condicin, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.

Sagay Rosa

4281

Pgina 2

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

Virus de sobre escritura: Estos virus se caracterizan por destruir la informacin contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. Virus de boot(bot_kill) o de arranque: Los trminos boot o sector de arranque hacen referencia a una seccin muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la informacin esencial sobre las caractersticas del disco y se encuentra un programa que permite arrancar el ordenador.Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actan infectando en primer lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus de boot infectar a su vez el disco duro. Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a ste ltimo con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los disquetes contra escritura y no arrancar nunca el ordenador con un disquete desconocido en la disquetera. Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE. Virus de enlace o directorio: Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Virus cifrados: Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a s mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a s mismo y, cuando ha finalizado, se vuelve a cifrar. Virus polimrficos: Son virus que en cada infeccin que realizan se cifran de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de s mismos e impiden que los antivirus los localicen a travs de la bsqueda de cadenas o firmas, por lo que suelen ser los virus ms costosos de detectar. Virus multipartites: Virus muy avanzados, que pueden realizar mltiples infecciones, combinando diferentes tcnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Virus del Fichero: Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos. Virus de FAT: La Tabla de Asignacin de Ficheros o FAT es la seccin de un disco utilizada para enlazar la informacin contenida en ste. Se trata de un elemento fundamental en el sistema.Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirn el acceso a ciertas partes del disco, donde se almacenan los ficheros crticos para el normal funcionamiento del ordenador.

Tipos de Ataques A continuacin se expondrn diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.

Sagay Rosa

4281

Pgina 3

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

1. Ingeniera Social: Es la manipulacin de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es as), puede engaar fcilmente a un usuario (que desconoce las mnimas medidas de seguridad) en beneficio propio. Esta tcnica es una de las ms usadas y efectivas a la hora de averiguar nombres de usuarios y passwords. Por ejemplo, suele llamarse a un usuario hacindose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. O bien, podra enviarse un mail (falsificando la direccin origen a nombre del administrador) pidiendo al usuario que modifique su password a una palabra que el atacante suministra. Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:

Tener servicio tcnico propio o de confianza. Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier caracterstica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa informacin.

Asegurarse que las personas que llaman por telfono son quien dicen ser. Por ejemplo si la persona que llama se identifica como proveedor de Internet lo mejor es cortar y devolver la llamada a forma de confirmacin. 2. Ingeniera Social Inversa: Consiste en la generacin, por parte de los intrusos, de una situacin inversa a la originada en Ingeniera Social. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algn imprevisto. El intruso aprovechara esta oportunidad para pedir informacin necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema). La ISI es ms difcil de llevara cabo y por lo general se aplica cuando los usuarios estn alertados de acerca de las tcnicas de IS. Puede usarse en algunas situaciones especficas y despus de mucha preparacin e investigacin por parte del intruso:

Generacin de una falla en el funcionamiento normal del sistema. Generalmente esta falla es fcil de solucionar pero puede ser difcil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mnimo contacto con el sistema. Comunicacin a los usuarios de que la solucin es brindada por el intruso (publicidad). Provisin de ayuda por parte del intruso encubierto como servicio tcnico.

3. Trashing (Cartoneo): Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por ms inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema..."nada se destruye, todo se transforma". El Trashing puede ser fsico (como el caso descripto) o lgico, como analizar buffers de impresora y memoria, bloques de discos, etc. El Trashing fsico suele ser comn en organizaciones que no disponen de alta confidencialidad, como colegios y universidades. Sagay Rosa 4281 Pgina 4

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

4. Ataques de Monitorizacin: Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.

5. Ataques de Autenticacin: Este tipo de ataque tiene como objetivo engaar al sistema de la vctima para ingresar al mismo. Generalmente este engao se realiza tomando las sesiones ya establecidas por la vctima u obteniendo su nombre de usuario y password.

Amenazas Humanas Ser difcil mantener una posicin objetiva de la situacin global en cuanto a los hackers y las fuerzas de seguridad, ya que siempre he visto marcado mi camino de conocimiento por la curiosidad: principal ingrediente (como veremos) del hacker. As mismo, siempre me he mantenido en la raya de la legalidad y la tica, siendo prueba de esto el presente documento. Desde los primeros albores del hacking siempre se ha mantenido una extraa relacin entre estos particulares personajes, lo legal, lo tico y lo moral, siendo estas caractersticas, lo que intentan resaltar para esclarecer la diferencia entre cada uno de los clanes existentes en la Red (como se la llama comnmente en la jerga). En el presente slo se tratar de exponer el perfil de la persona encargada de una de las principales, (publicitariamente), si bien no la mayor amenaza que asechan nuestro sistema informtico; para luego s entrar en las formas de ataques propiamente dichos. Hacker: Persona que est siempre en una continua bsqueda de informacin, vive para aprender y todo para l es un reto; no existen barreras. Un verdadero Hacker es curioso y paciente. Un verdadero Hacker no se mete en el sistema para borrarlo todo o para vender lo que consiga. Quiere aprender y satisfacer su curiosidad. Un verdadero Hacker crea, no destruye. Un hacker es un tambin llamado Geek. Cracker: Un cracker, en realidad es un hacker cuyas intenciones van ms all de la investigacin. Es una persona que tiene fines maliciosos. Demuestran sus habilidades de forma equivocada simplemente hacen dao slo por diversin. Phreakers: Personas con un amplio (a veces mayor que los mismo empleados de las compaias telefnicas) conocimiento en telefona. El phreaking es el antecesor de hacking ya que es mucho ms antiguo. Comenz en la dcada de los 60's cuando Mark Bernay descubri como aprovechar un error de seguridad de la compaa Bell, el cual le permiti realizar llamadas gratuitas. De ah han existido muchos phreakers famosos como Joe Engressia, kevin Mitnick y John Draper mejor conocido como Capitn Crush. Scanning: Mtodo de descubrir canales de comunicacin susceptibles de ser explotados, lleva en uso mucho tiempo. Scanear puertos implica las mismas tcnicas de fuerza bruta. Se enva una serie de paquetes para varios protocolos y se deduce que servicios estn escuchando por las respuestas recibidas o no recibidas. Smurf o broadcast storm: Es un ataque bastante simple, pero a su vez devastador. Consiste en recolectar una seria de direcciones Broadcast proxys las cuales realizaran peticiones PING a la mquina victima.

Sagay Rosa

4281

Pgina 5

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

Snifing: Tcnica para capturar trfico (paquetes) en una red. Puedes capturar passwords, emails, conversaciones de msn y cualquier otra informacin ya sea de carcter pblico privado. Carding Trashing: Entre las personas que dedicaban sus esfuerzos a romper la seguridad como reto intelectual hubo un grupo (con no tan buenas intenciones) que trabajaba para conseguir una tarjeta de crdito ajena. As naci: o El Carding, es el uso (o generacin) ilegitimo de las tarjetas de crdito (o sus nmeros), pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking, mediante los cuales se consiguen los nmeros de las tarjetas. o El Trashing, que consiste en rastrear en las papeleras en busca de informacin, contraseas o directorios. Gurs: Son considerados los maestros y los encargados de "formar" a los futuros hackers. Generalmente no estn activos pero son identificados y reconocidos por la importancia de sus hackeos, de los cuales slo ensean las tcnicas bsicas. Lamers o Script-Kidders: Son aficionados jactosos. Prueban todos los programas (con el ttulo "como ser un hacker en 21 das") que llegan a sus manos. Generalmente son los responsables de soltar virus y bombas lgicas en la red slo con el fin de molestar y que otros se enteren que usa tal o cual programa. Son aprendices que presumen de lo que no son aprovechando los conocimientos del hacker y lo ponen en prctica sin saber. CopyHackers: Literalmente son falsificadores sin escrpulos que comercializan todo lo copiado (robado). Bucaneros: Son comerciantes sucios que venden los productos crackeados por otros. Generalmente comercian con tarjetas de crdito y de acceso y compran a los copyhackers. Son personas sin ningn (o escaso) conocimiento de informtica y electrnica. Newbie: Son los novatos del hacker. Se introducen en sistemas de fcil acceso y fracasan en muchos intentos, slo con el objetivo de aprender las tcnicas que puedan hacer de l, un hacker reconocido. Wannaber. Es aquella persona que desea ser hacker pero estos consideran que su coeficiente no da para tal fin. A pesar de su actitud positiva difcilmente consiga avanzar en sus propsitos. Samurai: Son lo ms parecido a una amenaza pura. Sabe lo que busca, donde encontrarlo y cmo lograrlo. Hace su trabajo por encargo y a cambio de dinero. Estos personajes, a diferencia de los anteriores, no tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers. Se basan en el principio de que cualquiera puede ser atacado y saboteado, solo basta que alguien lo desee y tenga el dinero para pagarlo.

Otras amenazas Spoo_ng IP spoo_ng DNS spoo_ng Web spoo_ng Backdoors troyanos. Exploits. Denial of Service (DoS Attack) E-mail bombing Phishing. SQL injection. etc...

Sagay Rosa

4281

Pgina 6

Escuela Superior Politcnica de Chimborazo

Auditoria Informtica

Cmo defenderse de estos Ataques? La mayora de los ataques mencionados se basan en fallos de diseo inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solucin inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes: 1. Mantener las mquinas actualizadas y seguras fsicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta que puede resultar til para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera direccin. 4. No permitir el trfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. 5. Filtrar el trfico IP Spoof. 6. Auditorias de seguridad y sistemas de deteccin. 7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de informacin. 8. Por ltimo, pero quizs lo ms importante, la capacitacin continua del usuario.

Tipos de seguridad Seguridad Fsica: La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Tipos de desastres: Incendios, inundaciones, terremotos, instalacin elctrica Seguridad lgica: Nuestro sistema no slo puede verse afectado de manera fsica, si no tambin contra la informacin almacenada. El activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Algunas tcnicas de seguridad lgica: Control de acceso, autentificacin, encriptacin, Firewalls, antivirus (en caso de usar Windows). Tcnicas para asegurar el sistema Codificar la informacin: Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar a partir de datos personales del individuo.

Vigilancia de red. Zona desmilitarizada Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de intrusos antispyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. Sistema de Respaldo Remoto. Servicio de backup remoto.

Sagay Rosa

4281

Pgina 7