UT2-1
ATAQUES
Y
1. INTRODUCCIÓN
1.1. El ataque informático
Fases de un ataque
◦
Descubrimiento
de los sistemas que componen la red en la
que se encuentra el objetivo.
◦
Exploración
de las vulnerabilidades de los sistemas de red.
◦
Explotación
de vulnerabilidades detectadas.
◦
Compromiso
del sistema.
1. INTRODUCCIÓN
1.2. Herramientas utilizadas en un ataque
Entre las herramientas más comunes se encuentran:
◦
Escaneadores de puertos
◦
Sniffers o escuchadores en la red
◦
Exploits
◦
Backdoors o puertas traseras
◦
Rootkits
◦
Auto-rooters
◦
Craqueadores de contraseñas (Password-crakers)
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
◦
En Windows
Acceder a la ventana de Directivas de seguridad de cuentas, mediante el comando gpedit o desde Panel de
control/Herramientas administrativas/Directivas de
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
◦
En Windows
Se recomienda configurar la política de contraseñas para que: La longitud mínima sea de 14 caracteres
Tenga las características de complejidad requeridas.
Haya que modificarlas cada mes.
En caso de más de 3 intentos fallidos, bloquear la cuenta 15 minutos para evitar ataques de fuerza bruta.
Para controlar por parte del administrador los accesos al sistema podemos habilitar en Directivas locales / Directiva de auditoría / Auditar sucesos de inicio de sesión, tanto correctos como erróneos
2. MEDIDAS
2.1. Política de contraseñas
Práctica 1. Configuración de contraseñas seguras
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦
En GNU/Linux el control sobre complejidad y cifrado de
contraseñas se realiza mediante el servicio
PAM
(
Pluggable
Authentication Module
)
El módulo pam_cracklib está hecho para determinar si es suficientemente fuerte una contraseña que se va a crear o modificar con el comando passwd.
Se instala con sudo apt-get install libpam-cracklib
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦
En GNU/Linux
En el archivo /etc/pam.d/common-password se pueden establecer diversas opciones de contraseñas
En el ejemplo anterior "retry=3" significa que un usuario dispone de 3 intentos para introducir la password correcta.
"minlen=8" establece a 8 el mínimo número de caracteres de la clave.
"difok=3" establece en 3 el mínimo número de caracteres que pueden ser diferentes a los de la password anterior.
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦
En GNU/Linux
Otras opciones del archivo son "lcredit", "ucredit", "dcredit", and "ocredit" utilizadas para establecer el mínimo número de caracteres en minúsculas, mayúsculas, dígitos y otros caracteres alfanuméricos, respectivamente.
Por ejemplo, se podría añadir en la línea pam_cracklib del archivo /etc/pam.d/common-password lo siguiente:
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦
En GNU/Linux
También se puede obligar a los usuarios a cambiar la contraseña cada cierto tiempo. Para ello:
Se modifica el archivo /etc/login.defs
Cambiando a PASS_MAX_DAYS al valor 90 obligará a cambiar la contraseña a los 3 meses y lo avisará durante una semana antes de la caducidad.
2. MEDIDAS
2.1. Política de contraseñas
Práctica 2. Configuración de contraseñas seguras
◦
En GNU/Linux
Para visualizar los sucesos del sistema y otros sucesos del sistema o logs, éstos se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas gestionan sus propios logs y los guardan en /var/log/<programa>
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos
cortos
◦ Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z
◦ Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
◦ Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #
◦ Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos cortos
#!/bin/bash
space1="a b c d e f g h i j k l m n o p q r s t u v w x y z“
space2="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z“
space3="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #“
space4="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9“
if [ $# -le 1 ] then
echo "Uso: " $0 SALT PASSWORD_CODED exit
fi
for i in $space1 do
for j in $space1 do
for k in $space1 do
variable=$(openssl passwd -crypt -salt "$1" "$i$j$k")
if [ "$variable" = $2 ] then
echo password found: $i$j$k exit
fi done done done
2. MEDIDAS
2.1. Política de contraseñas
Práctica 3. Peligro de contraseñas cortas y/o alfabetos
cortos
Alfabeto Número de caracteres
Salt Hash contraseña Contraseña Tiempo
Alfabeto 1 3 wk wkQ7H8omo47m2 scl 0m51.898s
Alfabeto 2 3 Gn GnaKSDD51P6RM TNk 8m47.341s
Alfabeto 3 3 A. A.OCUGDi4L.tY ((: 25m 55s
Alfabeto 4 3 2U 2UNJzECjI8lwg 8M: 20m 9s
Alfabeto 1 5 nm nmx6e5emuiujo ramon 550m 47s
El script anterior pide como parámetros de entrada el salt y el hash de la contraseña.
Práctica 4. Peligros de
distribuciones
Live
◦ Después de arrancar con el DVD Live de Kali-Linux en modo consola, vemos
que estamos con el
usuario root, por lo que podemos hacer cualquier cosa.
• En particular podemos ver los
discos/particiones del sistema ejecutando fdisk –l
3. ATAQUES
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
Práctica 4. Peligros de distribuciones
Live
◦
Tras analizar estas particiones podemos montar la partición
primaria de Windows con un comando similar a éste:
mount
–t ntfs /dev/sda2 /mnt/win
(suponiendo que el subdirectorio win esté creado).
◦
Ahora podemos ver todos los ficheros de esa partición y
copiar alguno de ellos, en particular, el archivo
SAM
(
Security Account Manager
) de contraseñas ubicado en
C:\Windows\System32\Config
.
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
3. ATAQUES
3.1. Ataques contra sistemas de contraseñas
Práctica 4. Peligros de distribuciones
Live
Ophcrack tiene
múltiples opciones para desvelar contraseñas de un sistema.
3. ATAQUES
3.2. Explotación de una vulnerabilidad
Práctica 5. Vulnerabilidad en sistemas Windows
◦
Los sistemas Windows presentan una vulnerabilidad a través
de herramientas que pueden verse modificadas o sustituidas
por una consola de comandos.
◦
Por ejemplo, la utilidad
StickyKeys
(software de ayuda y
accesibilidad) se activa pulsando
5 veces seguidas la tecla
SHIFT.
◦
El
archivo
que
ejecuta
es
sethc.exe
ubicado
en
C:\Windows\System32
.
Si
renombramos
sethc.exe
por
cmd.exe
(consola de comandos), cuando pulsemos 5 veces la
3. ATAQUES
3.2. Explotación de una vulnerabilidad (cont.)
Práctica 5 (cont.). Vulnerabilidad en sistemas Windows
◦ Podemos realizar el renombrado de este archivo desde una distribución con la partición Windows montada.
◦ Arrancamos nuestro sistema, por ejemplo, con la distribución LIVE
Kali-Linux.
◦ Vemos cuál es la partición primaria de Windows introduciendo en la consola fdisk -l
5. SOTWARE MALICIOSO
Software malicioso
o
malware:
clásicamente virus, gusanos,
troyanos y todo tipos de programas para acceder a ordenadores
sin autorización
, y producir efectos no deseados.
En sus comienzos
, la motivación principal de los creadores de
virus
era
reconocimiento público
.
Pero a más relevancia más reconocimiento obtenía su creador.
Las acciones a realizar por el virus debían ser visibles por el
usuario y suficientemente dañinas.
5. SOTWARE MALICIOSO
¿Cómo obtener un beneficio económico?:
◦ Robar información sensible: datos personales, credenciales, mail, banca online, etc.
◦ Al crear una red de ordenadores infectados, red zombi o botnet, el atacante puede manipularlos todos simultáneamente y vender servicios a entidades que puedan realizar acciones poco legítimas como el envío de spam, mensajes de phishing, acceder a cuentas bancarias, realizar DoS, etc.
◦ Vender falsas soluciones de seguridad (rogueware).
5. SOFTWARE MALICIOSO
Actualmente, el mercado negro de la creación de malware
genera casi 6.000 millones de euros
◦
Desde unos pocos euros es posible conseguir números de
tarjetas de crédito
◦
Por 1.000€ se puede comprar el kit más básico y por 9.000€
es posible realizar un
phising
bancario a alto nivel.
5. SOFTWARE MALICIOSO
5.1. Métodos de infección
◦
¿Cómo llega al ordenador el
malware
y cómo prevenirlos?
Prevenir
la
infección
resulta
relativamente
fácil,
conociéndolas
:
Explotando una vulnerabilidad: desarrolladores de malware aprovechan vulnerabilidades de versiones de sistema operativo o programa para tomar el control. Solución actualizar versiones periódicamente.
Ingeniería social: técnicas de abuso de confianza. Hacer que el usuario realice determinada acción, fraudulenta o busca un beneficio económico.
5. SOFTWARE MALICIOSO
5.1. Métodos de infección (cont.)
Dispositivos extraíbles: gusanos que dejan copias en dispositivos extraíbles con ejecución automática cuando el dispositivo se conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a nuevos dispositivos.
5. SOFTWARE MALICIOSO
5.2. Protección y desinfección
◦ Recomendaciones de seguridad:
Mantenerse informado sobre las novedades y alertas de seguridad.
Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y en ordenadores de confianza y seguros.
Mantener actualizado el equipo, sistema operativo y aplicaciones.
Hacer copias de seguridad con cierta frecuencia y guardarlas en lugar y soporte seguro.
Utilizar software legal que suele ofrecer mayor garantía y soporte.
Utilizar contraseñas fuertes en todos los servicios.
Crear diferentes usuarios en el sistema, cada uno de ellos con los
permisos mínimos necesarios para poder realizar las acciones permitidas.
Utilizar herramientas de seguridad antimalware actualizadas
periódicamente. Ojo con el rogueware. Analizar con varias herramientas, contraste antimalware.
5. SOFTWARE MALICIOSO
5.2. Protección y desinfección
Práctica 6. Keylogger
5. SOFTWARE MALICIOSO
5.2. Protección y desinfección
Práctica 6. Keylogger
Cuando está en marcha vemos los procesos que ha ejecutado el usuario y
comandos y/o textos
introducidos.
Se ve en texto claro
hasta las contraseñas
introducidas.
5. SOFTWARE MALICIOSO
5.3. Clasificación del software antimalware
Antivirus: diseñado para detectar, bloquear y eliminar códigos maliciosos. Hay versiones de pago y gratuitas. Se pueden probar productos de forma gratuita pero en muchas ocasiones para poder desinfectar es necesario comprar sus licencias. Variantes:
Antivirus de escritorio. Ej: Windows: Malwarebytes. GNU/Linux: ClamAV
Antivirus en línea: cada vez más utilizados. Ej: Panda Cloud
Análisis de ficheros en línea. Ej: Hispasec.
Antivirus portable: no requieren instalación.
Antivirus Live: arrancable y ejecutable USB, CD o DVD. Ej:AVG
Entre otras herramientas específicas destacamos:
Antispyware: herramientas de escritorio y en línea, que analizan nuestras conexiones de red, en busca de conexiones no autorizadas.
5. SOFTWARE MALICIOSO
5.4. La mejor herramienta antimalware
¿ Qué herramienta se ajusta mejor ?.
Empresas
desarrolladoras
antimalware
:
estudios
en
sus
propias web.
La tasa de detección varía de mes a mes, debido al gran
número de
malware
que se crea.
Ningún antivirus es perfecto (no existe el 100% de detección).
5. SOFTWARE MALICIOSO
5.4. La mejor herramienta antimalware
Estudios con más validez empresas o laboratorios independientes:
AV Comparatives (http://www.av-comparatives.org).
AV-Test.org (http://www.av-test.org).
ICSA Labs (http://www.icsalabs.com).
Virus Bulletin (http://www.virusbtn.com).
West Coast Labs (http://westcoastlabs.org).
5. SOFTWARE MALICIOSO
5.5. Otras herramientas de protección
Windows:
msconfig (control de procesos de arranque automático en inicio).
Suite de herramientas de control de procesos: Sysinternals.
Herramientas de control a fondo del sistema: empresa Trend Micro herramienta HiJackThis.
5. SOFTWARE MALICIOSO
Práctica 7. Antimalware
Una de las herramientas más utilizadas por su grado de actualización de base de datos de malware y su eficacia es
Malwarebytes para Windows.
Es de pago, aunque tiene una
versión gratuita temporal que se
puede obtener desde:
5. SOFTWARE MALICIOSO
5. SOFTWARE MALICIOSO
Práctica 7. Antimalware
El programa Cain y Abel es
5. SOFTWARE MALICIOSO
Práctica 8. Antivirus en GNU/Linux
El mayor número de archivos alojados en servidores de red se encuentra en sistemas GNU/Linux, por lo que también es cada mayor el número de elementos malware que entran en estos sistemas. Así que debemos conocer herramientas que permitan realizar un análisis exhaustivo y de calidad bajo esta plataforma.
La herramienta que utilizamos en esta práctica es el antivirus ClamAv, junto a su versión gráfica Clamtk.
Se instalan mediante los siguientes comandos:
sudo apt-get install clamav clamtk
El primer paso será actualizar la base de datos de la herramienta de forma online, mediante el comando:
5. SOFTWARE MALICIOSO
Práctica 8. Antivirus en GNU/Linux
Una vez realizada la actualización de la base de datos de virus, podemos escanear el directorio deseado. Ejemplo: sudo clamscan -r -i /home
Escaneará de forma recursiva (-r) el directorio /home y mostrará tan sólo los archivos infectados (-i)
• Si queremos ejecutar la versión gráfica: sudo clamtk
5. SOFTWARE MALICIOSO
5. SOFTWARE MALICIOSO
Práctica 9. Análisis antimalware LIVE
Como ejemplo, vamos a emplear para rescatar archivos y analizar el malware de un sistema, la herramienta AVG Rescue CD. Es un conjunto independiente de herramientas que se puede iniciar desde un CD o un disco flash. Ambas formas constituyen un sistema autónomo con el sistema operativo GNU/Linux y AVG preinstalados.
Descargamos el archivo comprimido de la página web de Avg.
Lo descomprimimos en una carpeta cualquiera.
A continuación ejecutamos el archivo
