Texto completo

(1)

UT2-1

ATAQUES

Y

(2)

1. INTRODUCCIÓN

1.1. El ataque informático

Fases de un ataque

Descubrimiento

de los sistemas que componen la red en la

que se encuentra el objetivo.

Exploración

de las vulnerabilidades de los sistemas de red.

Explotación

de vulnerabilidades detectadas.

Compromiso

del sistema.

(3)

1. INTRODUCCIÓN

1.2. Herramientas utilizadas en un ataque

Entre las herramientas más comunes se encuentran:

Escaneadores de puertos

Sniffers o escuchadores en la red

Exploits

Backdoors o puertas traseras

Rootkits

Auto-rooters

Craqueadores de contraseñas (Password-crakers)

(4)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 1. Configuración de contraseñas seguras

En Windows

 Acceder a la ventana de Directivas de seguridad de cuentas, mediante el comando gpedit o desde Panel de

control/Herramientas administrativas/Directivas de

(5)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 1. Configuración de contraseñas seguras

En Windows

 Se recomienda configurar la política de contraseñas para que:  La longitud mínima sea de 14 caracteres

 Tenga las características de complejidad requeridas.

 Haya que modificarlas cada mes.

 En caso de más de 3 intentos fallidos, bloquear la cuenta 15 minutos para evitar ataques de fuerza bruta.

 Para controlar por parte del administrador los accesos al sistema podemos habilitar en Directivas locales / Directiva de auditoría / Auditar sucesos de inicio de sesión, tanto correctos como erróneos

(6)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 1. Configuración de contraseñas seguras

(7)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 2. Configuración de contraseñas seguras

En GNU/Linux el control sobre complejidad y cifrado de

contraseñas se realiza mediante el servicio

PAM

(

Pluggable

Authentication Module

)

 El módulo pam_cracklib está hecho para determinar si es suficientemente fuerte una contraseña que se va a crear o modificar con el comando passwd.

 Se instala con sudo apt-get install libpam-cracklib

(8)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 2. Configuración de contraseñas seguras

En GNU/Linux

 En el archivo /etc/pam.d/common-password se pueden establecer diversas opciones de contraseñas

 En el ejemplo anterior "retry=3" significa que un usuario dispone de 3 intentos para introducir la password correcta.

 "minlen=8" establece a 8 el mínimo número de caracteres de la clave.

 "difok=3" establece en 3 el mínimo número de caracteres que pueden ser diferentes a los de la password anterior.

(9)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 2. Configuración de contraseñas seguras

En GNU/Linux

 Otras opciones del archivo son "lcredit", "ucredit", "dcredit", and "ocredit" utilizadas para establecer el mínimo número de caracteres en minúsculas, mayúsculas, dígitos y otros caracteres alfanuméricos, respectivamente.

 Por ejemplo, se podría añadir en la línea pam_cracklib del archivo /etc/pam.d/common-password lo siguiente:

(10)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 2. Configuración de contraseñas seguras

En GNU/Linux

 También se puede obligar a los usuarios a cambiar la contraseña cada cierto tiempo. Para ello:

 Se modifica el archivo /etc/login.defs

Cambiando a PASS_MAX_DAYS al valor 90 obligará a cambiar la contraseña a los 3 meses y lo avisará durante una semana antes de la caducidad.

(11)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 2. Configuración de contraseñas seguras

En GNU/Linux

 Para visualizar los sucesos del sistema y otros sucesos del sistema o logs, éstos se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas gestionan sus propios logs y los guardan en /var/log/<programa>

(12)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 3. Peligro de contraseñas cortas y/o alfabetos

cortos

◦ Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z

◦ Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

◦ Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #

◦ Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9

(13)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 3. Peligro de contraseñas cortas y/o alfabetos cortos

#!/bin/bash

space1="a b c d e f g h i j k l m n o p q r s t u v w x y z“

space2="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z“

space3="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % #“

space4="a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9“

if [ $# -le 1 ] then

echo "Uso: " $0 SALT PASSWORD_CODED exit

fi

for i in $space1 do

for j in $space1 do

for k in $space1 do

variable=$(openssl passwd -crypt -salt "$1" "$i$j$k")

if [ "$variable" = $2 ] then

echo password found: $i$j$k exit

fi done done done

(14)

2. MEDIDAS

2.1. Política de contraseñas

Práctica 3. Peligro de contraseñas cortas y/o alfabetos

cortos

Alfabeto Número de caracteres

Salt Hash contraseña Contraseña Tiempo

Alfabeto 1 3 wk wkQ7H8omo47m2 scl 0m51.898s

Alfabeto 2 3 Gn GnaKSDD51P6RM TNk 8m47.341s

Alfabeto 3 3 A. A.OCUGDi4L.tY ((: 25m 55s

Alfabeto 4 3 2U 2UNJzECjI8lwg 8M: 20m 9s

Alfabeto 1 5 nm nmx6e5emuiujo ramon 550m 47s

El script anterior pide como parámetros de entrada el salt y el hash de la contraseña.

(15)

Práctica 4. Peligros de

distribuciones

Live

◦ Después de arrancar con el DVD Live de Kali-Linux en modo consola, vemos

que estamos con el

usuario root, por lo que podemos hacer cualquier cosa.

En particular podemos ver los

discos/particiones del sistema ejecutando fdisk –l

3. ATAQUES

(16)

3. ATAQUES

3.1. Ataques contra sistemas de contraseñas

Práctica 4. Peligros de distribuciones

Live

Tras analizar estas particiones podemos montar la partición

primaria de Windows con un comando similar a éste:

mount

–t ntfs /dev/sda2 /mnt/win

(suponiendo que el subdirectorio win esté creado).

Ahora podemos ver todos los ficheros de esa partición y

copiar alguno de ellos, en particular, el archivo

SAM

(

Security Account Manager

) de contraseñas ubicado en

C:\Windows\System32\Config

.

(17)

3. ATAQUES

3.1. Ataques contra sistemas de contraseñas

(18)

3. ATAQUES

3.1. Ataques contra sistemas de contraseñas

Práctica 4. Peligros de distribuciones

Live

Ophcrack tiene

múltiples opciones para desvelar contraseñas de un sistema.

(19)

3. ATAQUES

3.2. Explotación de una vulnerabilidad

Práctica 5. Vulnerabilidad en sistemas Windows

Los sistemas Windows presentan una vulnerabilidad a través

de herramientas que pueden verse modificadas o sustituidas

por una consola de comandos.

Por ejemplo, la utilidad

StickyKeys

(software de ayuda y

accesibilidad) se activa pulsando

5 veces seguidas la tecla

SHIFT.

El

archivo

que

ejecuta

es

sethc.exe

ubicado

en

C:\Windows\System32

.

Si

renombramos

sethc.exe

por

cmd.exe

(consola de comandos), cuando pulsemos 5 veces la

(20)

3. ATAQUES

3.2. Explotación de una vulnerabilidad (cont.)

Práctica 5 (cont.). Vulnerabilidad en sistemas Windows

◦ Podemos realizar el renombrado de este archivo desde una distribución con la partición Windows montada.

◦ Arrancamos nuestro sistema, por ejemplo, con la distribución LIVE

Kali-Linux.

◦ Vemos cuál es la partición primaria de Windows introduciendo en la consola fdisk -l

(21)

5. SOTWARE MALICIOSO

Software malicioso

o

malware:

clásicamente virus, gusanos,

troyanos y todo tipos de programas para acceder a ordenadores

sin autorización

, y producir efectos no deseados.

En sus comienzos

, la motivación principal de los creadores de

virus

era

reconocimiento público

.

Pero a más relevancia más reconocimiento obtenía su creador.

Las acciones a realizar por el virus debían ser visibles por el

usuario y suficientemente dañinas.

(22)

5. SOTWARE MALICIOSO

¿Cómo obtener un beneficio económico?:

Robar información sensible: datos personales, credenciales, mail, banca online, etc.

◦ Al crear una red de ordenadores infectados, red zombi o botnet, el atacante puede manipularlos todos simultáneamente y vender servicios a entidades que puedan realizar acciones poco legítimas como el envío de spam, mensajes de phishing, acceder a cuentas bancarias, realizar DoS, etc.

◦ Vender falsas soluciones de seguridad (rogueware).

(23)

5. SOFTWARE MALICIOSO

Actualmente, el mercado negro de la creación de malware

genera casi 6.000 millones de euros

Desde unos pocos euros es posible conseguir números de

tarjetas de crédito

Por 1.000€ se puede comprar el kit más básico y por 9.000€

es posible realizar un

phising

bancario a alto nivel.

(24)

5. SOFTWARE MALICIOSO

5.1. Métodos de infección

¿Cómo llega al ordenador el

malware

y cómo prevenirlos?

Prevenir

la

infección

resulta

relativamente

fácil,

conociéndolas

:

Explotando una vulnerabilidad: desarrolladores de malware aprovechan vulnerabilidades de versiones de sistema operativo o programa para tomar el control. Solución actualizar versiones periódicamente.

Ingeniería social: técnicas de abuso de confianza. Hacer que el usuario realice determinada acción, fraudulenta o busca un beneficio económico.

(25)

5. SOFTWARE MALICIOSO

5.1. Métodos de infección (cont.)

Dispositivos extraíbles: gusanos que dejan copias en dispositivos extraíbles con ejecución automática cuando el dispositivo se conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a nuevos dispositivos.

(26)

5. SOFTWARE MALICIOSO

5.2. Protección y desinfección

Recomendaciones de seguridad:

 Mantenerse informado sobre las novedades y alertas de seguridad.

 Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y en ordenadores de confianza y seguros.

 Mantener actualizado el equipo, sistema operativo y aplicaciones.

 Hacer copias de seguridad con cierta frecuencia y guardarlas en lugar y soporte seguro.

 Utilizar software legal que suele ofrecer mayor garantía y soporte.

 Utilizar contraseñas fuertes en todos los servicios.

 Crear diferentes usuarios en el sistema, cada uno de ellos con los

permisos mínimos necesarios para poder realizar las acciones permitidas.

 Utilizar herramientas de seguridad antimalware actualizadas

periódicamente. Ojo con el rogueware. Analizar con varias herramientas, contraste antimalware.

(27)

5. SOFTWARE MALICIOSO

5.2. Protección y desinfección

Práctica 6. Keylogger

(28)

5. SOFTWARE MALICIOSO

5.2. Protección y desinfección

Práctica 6. Keylogger

Cuando está en marcha vemos los procesos que ha ejecutado el usuario y

comandos y/o textos

introducidos.

Se ve en texto claro

hasta las contraseñas

introducidas.

(29)

5. SOFTWARE MALICIOSO

5.3. Clasificación del software antimalware

Antivirus: diseñado para detectar, bloquear y eliminar códigos maliciosos. Hay versiones de pago y gratuitas. Se pueden probar productos de forma gratuita pero en muchas ocasiones para poder desinfectar es necesario comprar sus licencias. Variantes:

 Antivirus de escritorio. Ej: Windows: Malwarebytes. GNU/Linux: ClamAV

 Antivirus en línea: cada vez más utilizados. Ej: Panda Cloud

 Análisis de ficheros en línea. Ej: Hispasec.

 Antivirus portable: no requieren instalación.

 Antivirus Live: arrancable y ejecutable USB, CD o DVD. Ej:AVG

Entre otras herramientas específicas destacamos:

 Antispyware: herramientas de escritorio y en línea, que analizan nuestras conexiones de red, en busca de conexiones no autorizadas.

(30)

5. SOFTWARE MALICIOSO

5.4. La mejor herramienta antimalware

¿ Qué herramienta se ajusta mejor ?.

Empresas

desarrolladoras

antimalware

:

estudios

en

sus

propias web.

La tasa de detección varía de mes a mes, debido al gran

número de

malware

que se crea.

Ningún antivirus es perfecto (no existe el 100% de detección).

(31)

5. SOFTWARE MALICIOSO

5.4. La mejor herramienta antimalware

 Estudios con más validez empresas o laboratorios independientes:

 AV Comparatives (http://www.av-comparatives.org).

 AV-Test.org (http://www.av-test.org).

 ICSA Labs (http://www.icsalabs.com).

 Virus Bulletin (http://www.virusbtn.com).

 West Coast Labs (http://westcoastlabs.org).

(32)

5. SOFTWARE MALICIOSO

5.5. Otras herramientas de protección

Windows:

msconfig (control de procesos de arranque automático en inicio).

 Suite de herramientas de control de procesos: Sysinternals.

 Herramientas de control a fondo del sistema: empresa Trend Micro herramienta HiJackThis.

(33)

5. SOFTWARE MALICIOSO

Práctica 7. Antimalware

Una de las herramientas más utilizadas por su grado de actualización de base de datos de malware y su eficacia es

Malwarebytes para Windows.

Es de pago, aunque tiene una

versión gratuita temporal que se

puede obtener desde:

(34)

5. SOFTWARE MALICIOSO

(35)

5. SOFTWARE MALICIOSO

Práctica 7. Antimalware

El programa Cain y Abel es

(36)

5. SOFTWARE MALICIOSO

Práctica 8. Antivirus en GNU/Linux

El mayor número de archivos alojados en servidores de red se encuentra en sistemas GNU/Linux, por lo que también es cada mayor el número de elementos malware que entran en estos sistemas.

 Así que debemos conocer herramientas que permitan realizar un análisis exhaustivo y de calidad bajo esta plataforma.

 La herramienta que utilizamos en esta práctica es el antivirus ClamAv, junto a su versión gráfica Clamtk.

 Se instalan mediante los siguientes comandos:

sudo apt-get install clamav clamtk

 El primer paso será actualizar la base de datos de la herramienta de forma online, mediante el comando:

(37)

5. SOFTWARE MALICIOSO

Práctica 8. Antivirus en GNU/Linux

Una vez realizada la actualización de la base de datos de virus, podemos escanear el directorio deseado.

Ejemplo: sudo clamscan -r -i /home

Escaneará de forma recursiva (-r) el directorio /home y mostrará tan sólo los archivos infectados (-i)

• Si queremos ejecutar la versión gráfica: sudo clamtk

(38)

5. SOFTWARE MALICIOSO

(39)

5. SOFTWARE MALICIOSO

Práctica 9. Análisis antimalware LIVE

Como ejemplo, vamos a emplear para rescatar archivos y analizar el malware de un sistema, la herramienta AVG Rescue CD.

 Es un conjunto independiente de herramientas que se puede iniciar desde un CD o un disco flash. Ambas formas constituyen un sistema autónomo con el sistema operativo GNU/Linux y AVG preinstalados.

 Descargamos el archivo comprimido de la página web de Avg.

 Lo descomprimimos en una carpeta cualquiera.

 A continuación ejecutamos el archivo

Figure

Actualización...

Descargar ahora (39 pages)