Embed Size (px)
DESCRIPTION
Los Peligros de la Red. IRIS-CERT Departamento RedIRIS II Jornadas de Usuarios 11 DE Abril , 2005. Índice. Presentación Definiciones Peligros ¿Es real ? Soluciones. RedIRIS Inicios. Surge en 1998 para proporcionar conectividad a Universidades y centros de I+D Españoles. - PowerPoint PPT Presentation
Citation preview
Los Peligros de la RedLos Peligros de la Red
IRIS-CERT Departamento RedIRISIRIS-CERT Departamento RedIRIS
II Jornadas de UsuariosII Jornadas de Usuarios
11 DE Abril , 200511 DE Abril , 2005
Índice
Presentación Definiciones Peligros ¿Es real ? Soluciones
RedIRIS Inicios
Surge en 1998 para proporcionar conectividad a Universidades y centros de I+D Españoles.
Pioneros en la puesta en marcha de servicios en Internet en España: DNS, News,etc.
Conexión basada en un punto de acceso regional al que se conectan los centros.
Desde Enero de 2004 , incluida dentro del Ente Publico Empresarial Red.es
IRIS-CERT
Formado en 1995 para gestionar los incidentes de seguridad en redes conectadas a RedIRIS.
Punto central de recogida de denuncias relativas a equipos conectados a RedIRIS
Coordinación internacional con otros equipos de seguridad Actividades de concienciación y fomento de la seguridad dentro de
RedIRIS. Proyectos de seguridad específicos:
• IRIS-PCA: Autoridad experimental de certificaciónIRIS-PCA: Autoridad experimental de certificación
• PED: Sistema de Máquinas trampas de redirisPED: Sistema de Máquinas trampas de rediris
• Monitorización y control de tráficoMonitorización y control de tráfico
¿Qué hace IRIS-CERT?
Punto centralizado de recepción de quejas sobre equipos de RedIRIS:
Sobre todo quejas externas (una máquina de RedIRIS esta atacando otra red).
Coordinación con los técnicos de cada centro para intentar solucionar el problema.
Visión “global” de los problemas.
Difusión y fomento de la seguridad con los servicios de informática
1999 2000 2001 2002 2003 20040
200
400
600
800
1000
1200
1400
1600
1800
2000
Denuncias recibidas
Escaneos y ataques
Los Sistemas Operativos emplean unos “puertos” para permitir que los ordenadores se comuniquen entre si:
Acceder a páginas HTML (puerto 80) Enviar correo (puerto 25)
...... Compartir discos e impresoras... Administración remota de equipos..
Muchas veces los programas que “leen” de estos puertos presentan fallos, que hacen que ante determinados datos el comportamiento sea distinto del esperado.
Estos fallos son difíciles de encontrar y de utilizar, pero se pueden “programar”
Principal fuente de problemas en la actualidad
Escaneos y ataques
Escaneo: Comprobación por parte de un ordenador para ver si los equipos de una red tienen determinados “puertos” disponibles
Así se puede ver que equipos emplean un “puerto” del que se sabe hay problema.
Uso después de un programa para intentar acceder o atacar al equipo:
• Por parte de programas automáticos para duplicarse e “infectar” Por parte de programas automáticos para duplicarse e “infectar”
el equipo (Gusanos, bots)el equipo (Gusanos, bots)
• Por parte de atacantes “humanos” para intentar obtener datos Por parte de atacantes “humanos” para intentar obtener datos
del equipo.del equipo.
Ruido de Fondo
La frecuencia de estos escaneos ha ido subiendo en los últimos años:
1999. Atacantes manuales, menos de 1 escaneo diario en una Universidad “grande” (65000 direcciones)
2005. Más de 30 escaneos diarios en una red pequeña (16 direcciones)
2005: Más de 2500 conexiones en un ordenador aislado (proveedor comercial)
Escaneos:
Generan un “ruido de fondo” de ataques no dirigidos contra nosotros en particular , que impiden ver si hay algún ataque específico.
Hacen que un equipo “desprotegido” sea infectado atacado en pocos minutos.
¿Qué nos ataca por la red?
Virus: Programas que “infectaban”, (modificaban otros programas) y así se propagaban.
Gusanos: Programas que infectaban (atacaban) otros ordenadores y se propagaban en ellos.
Estos programas no permitían un control “externo” de ellos, cumplían con la secuencia “programada”.
Los “Antivirus” no suelen diferenciar entre los distintos “malwares”.
A partir de 2003 empiezan a difundirse gusanos que permiten que desde el exterior se pueda controlar su ejecución:
Buscar e infectar otros equipos Atacar un servicio determinado Obtener información del ordenador infectado
Bot::
Inicialmente del termino “robot”, se aplicaba a trozos de código que simulaban una identidad
• Control de canales en IRCControl de canales en IRC
• Simulación de jugadores en juegos multijugador.Simulación de jugadores en juegos multijugador. Su definiciön se generaliza a programas “sirvientes” , que
realizan determinadas acciones en base comandos emitidos desde el controlador.
Zombies:
Maquinas comprometidas usadas en DDOS (año 2000)
Se generaliza el termino botnet (red de bots) para describir las redes de equipos comprometidos controlados por un canal de IRC
Bots & Zombies
Construcción de bots
“Unión de esfuerzos” entre escritores de Gusanos y Bots.
Misma traza de ataque. Los gusanos dejan puertas abiertas que después son empleadas
para ampliar las botnet Empleo de vulnerabildades existentes en código de gusanos y
puertas falsas.
Existencia del código fuente de estos bots , hace muy fácil la actualización y modificación de los mismos.
El empleo de técnicas de compresión y encriptación en los binarios hacen difícil el uso de Antivirus como herramienta de detección de los binarios.
Bots: ¿Qué pueden hacer ?
Escaneo de diversas vulnerabilidades
• Servicios de sistemas operativos: DCOM (135/TCP), DS (445/TCP), MS-SQL Servicios de sistemas operativos: DCOM (135/TCP), DS (445/TCP), MS-SQL
(1443)(1443)
• Puertas traseras existentes: (Remote admin (6129/TCP), Agobot (3127/TCP).Puertas traseras existentes: (Remote admin (6129/TCP), Agobot (3127/TCP). Acceso a recursos compartidos (discos e impresoras)
• Ataques de fuerza bruta contra claves vulnerablesAtaques de fuerza bruta contra claves vulnerables
• Permiten habilitar//desabilitar estos serviciosPermiten habilitar//desabilitar estos servicios Pueden funcionar como proxy (HTTP, socks)
Pueden actualizarse y ejecutar programas
Recogida de información
• Pulsaciones de tecladoPulsaciones de teclado
• Claves de acceso a distintos servicios y licencias.Claves de acceso a distintos servicios y licencias. Empleo para otros ataques
El gran bazar
Según indican diversas fuentes existe un floreciente mercado de compra de estos equipos.
Intercambio de herramientas y ataques Compra/venta de equipos comprometidos (¿50$ la docena ?) .
• Para la difusión de SPAMPara la difusión de SPAM
• Ataque a otros sistemasAtaque a otros sistemas
• Falsificación de mensajes de banca electrónica.Falsificación de mensajes de banca electrónica. Extorsión a sitios de comercio electrónico:
• Denegación de servicio contra sistemas de comercio y/o juegos Denegación de servicio contra sistemas de comercio y/o juegos
on-lineon-line
• Robo de información bancariaRobo de información bancaria
Phising
Phising: Deformación de “fishing”: ¿ ir de pesca ?
“Lanzar un “cebo” e intentar “pescar” información de usuarios incautos.
Empleada sobre con usuarios de comercio y banca electrónica para intentar obtener su información de acceso
Combinación de dos técnicas antiguas:
Difusión masiva de mensajes no deseados (SPAM) “Ingeniería Social”, simular ser otra persona o entidad para obtener
información del destinatario
Muchas veces no es un problema “técnico” sino de formación
Phising (II)
No solamente se trata de “mensajes bancarios”
Suplantación (Falsificación) de la dirección de correo de un usuario en un foro o lista de correo.
Intentos de acceso a cuentas de usuarios
Evolución de la Ingeniería Social:
1996: Llamadas a personal de una Universidad para “verificar” las cuentas de correo.
2003: “phising”, correos a usuarios de una una Universidad, solicitándoles la comprobación de sus datos.
Palabras de acceso vulnerables
Muchos sistemas de autenticación requieren el uso de identificadores (login) y claves (password)
Acceso a los equipos y servidores de la Universidad Lectura de correo electrónico Acceso Servicios externos (mensajería instantánea , banca
electrónica) .....
Gran parte de estos sistemas emplean cifrado:
Evitan que alguien pueda “leer los datos” Mayor “carga de trabajo del ordenador para realizar la conexión considerados “seguros”...
Problemas con las contraseñas
Problemas:
Existencia de herramientas por “fuerza bruta” para intentar obtener contraseñas.
Mismo usuario y clave en diversos servicios:
• Listas de correo, acceso al correo.Listas de correo, acceso al correo.
• Bases de datos , servicios de subscripciónBases de datos , servicios de subscripción ¿Quién garantiza la confidencialidad de las contraseñas?
• ¿Están las bases de datos protegidas ?¿Están las bases de datos protegidas ?
• ¿Se almacenan las claves en “claro”?¿Se almacenan las claves en “claro”?
Muchas veces se emplea la misma clave en diversos servicios , sin tener en cuenta los problemas.
¿Qué amenazas existen ?
Nivel General:
Infección y ataque por parte de Gusanos y Virus. Perdida de información confidencial:
• códigos y licencias de programas instaladoscódigos y licencias de programas instalados
• Información bancariaInformación bancaria Empleo del equipo como “puente” para atacar otros sistemas
A Nivel específico:
Muchos de estos programas están disponibles en la red, por lo que pueden ser utilizados para ataques “específicos” contra nuestro equipo.
Actualización periódica
Actualización de los equipos
Gran parte de los problemas de seguridad se pueden evitar si el equipo esta actualizado.
La actuación del equipo se puede configurar para que se realice de forma automática, avisando al usuario cuando tenga que tomar alguna acción.
Los gusanos y virus suelen emplear problemas que se han hecho públicos meses antes.
Cuando se reinstala la un equipo se deben volver a actualizar.
Esta es la segunda medida más eficaz para evitar el ataque a un equipo.(tener el equipo desconectado es la más eficaz)
Cortafuegos
Evitan que determinado tráfico de red pueda llegar a nuestro equipo.
Impiden que nos pueden atacar.
Pueden ser:
Corporativos , protegen toda nuestra red.
Personales: Programas que protegen nuestro equipo.
En la mayoría de las instituciones afiliadas a RedIRIS suele haber cortafuegos corporativos:
Evitan ataques generales No protegen de ataques desde
el interior
Cortafuegos (II)
Cortafuegos personales en Instituciones afiliadas.
Suelen ser un programa instalado en el equipo Evitan el tráfico entre el equipo y el exterior. Permiten realizar excepciones
• ¿Cómo compartir un disco / impresora solo a determinados ¿Cómo compartir un disco / impresora solo a determinados
equipos ?equipos ?Cortafuegos personales en proveedores de Internet
Los proveedores de Internet no suelen poner a sus usuarios tras un cortafuegos.
• Mayor numero de ataquesMayor numero de ataques
• Dificultad para detectar el problemaDificultad para detectar el problemaGran parte de los sistemas operativos disponen de un cortafuegos mínimo por defecto
Antivirus
Son el producto de seguridad más conocido:
Analizan los ficheros del ordenador .
Comparan cada fichero con una serie de “patrones” de virus conocidos
Requieren una actualización periodíca de los virus.
¿Por qué fallan los antivirus ?
Antivirus
No analizán el comportamiento de los programas.
• comparan cada fichero con unos muestras de programas comparan cada fichero con unos muestras de programas
malignos conocidos.malignos conocidos. Requieren una “muestra” conocida del programa para crear el
patrón.
• No son eficaces ante amenazas nuevas.No son eficaces ante amenazas nuevas.No son eficaces ante ataques directos
¿Qué pasa con los virus “caseros”?
• Multitud de variaciones de programas (bots) , que dificultan la Multitud de variaciones de programas (bots) , que dificultan la
deteccióndetección Algunas herramientas empleadas en los ataques tienen un uso
“legal”.
Phising y falsificaciones
Se pueden evitar teniendo cuidado:
Conociendo el comportamiento “normal” de los sistemas con los que nos comunicamos:
• Los servicios de informática no suelen llamar a los usuarios para Los servicios de informática no suelen llamar a los usuarios para
cambiar las claves.cambiar las claves.
• Los bancos no se suelen comunicar por correo electrónico.Los bancos no se suelen comunicar por correo electrónico.
• La forma de estos correos va evolucionando y adaptándose a las La forma de estos correos va evolucionando y adaptándose a las
alertas. alertas. Las falsificaciones suelen ser correos personales. Las páginas WWW de los correos no suelen estar “firmadas
digitalmente”.
Evitar el phising
Criptografía
Palabras de acceso
No emplear la misma palabra de acceso siempre:
Ejemplo
Diferenciar entre:
• Servicios internos (acceso al ordenador, correo corporativo)Servicios internos (acceso al ordenador, correo corporativo)
• Servicios externos (Mensajería instantánea, correo en ISP)Servicios externos (Mensajería instantánea, correo en ISP)
• Servicios de alerta gratuitos, listas de correo.Servicios de alerta gratuitos, listas de correo. Elegir una clave “sin sentido”
• Primera letra de cada palabra de una frasePrimera letra de cada palabra de una frase
• Añadir dígitos o códigos que indiquen el servicioAñadir dígitos o códigos que indiquen el servicio¿ (hnmplcor), para el correo ?(Hoy No Me Puedo Levantar)
Conclusiones
El acceso a una red implica que desde esta red se puede “acceder” a nosotros.
Las causas más frecuentes por las que los ataques tienen éxito:
Equipos no actualizados. Configuraciones inseguras de acceso.
Cada vez será más frecuente los ataques contra usuarios finales:
Genéricos, obtención de información económica , principalmente. Específicos: Intento de obtención de información.
Referencias
•Centro de alerta antivirus , http://alerta-antivirus.red.es/ proporciona información sobre virus y gusanos detectados en el correo-e , así como un directorio de herramientas gratuitas.
•Virus Total, http://www.virustotal.com , permite comprobar en diversos antivirus si un fichero es detectado como Virus
•IRIS-CERT, http://www.rediris.es/cert , información de seguridad para la comunidad RedIRIS.
