jueves, 15 de marzo de 2012

Seguridad



SEGURIDAD

Con los avances de la tecnología, los equipos y las redes informáticas toman el centro de la escena. En el trabajo, en la escuela, o en casa, es casi seguro que utilice una computadora u otro artículo de alta tecnología. Aunque Internet ha hecho la seguridad de la red una prioridad, muchas personas todavía no saben lo suficiente.

La seguridad de la red es algo más que un antivirus o actualizar los programas. Es tener en constante vigilancia su red para evitar intrusos, malware y otras amenazas comunes.

La verdadera seguridad significa el conocimiento acerca de las posibles amenazas y entender qué hacer en caso de un fallo de seguridad. La seguridad de la red puede significar un equipo en relación a la Internet, o un grupo de computadoras y la Internet.

Una cuestión a tener en cuenta a la hora de pensar en la seguridad de la red es la prevalencia del status “siempre encendido” de la conexión a Internet. Muchas casas y negocios tienen ahora Internet de alta velocidad, tales como las conexiones aDSL ó inalámbricas.

Estas conexiones permiten a la computadora acceder a Internet contínuamente, siempre y cuando el mismo esté encendido. Un status de “siempre encendido” significa que hay más tiempo para que un posible intruso alcance su sistema informático, y aún más oportunidades de tomar ventaja de la computadora en sí. Con la adecuada seguridad de la red puede reducir notablemente sus posibilidades de un ataque por una fuerza externa.

Toda persona que utiliza Internet, o un equipo que se ha utilizado para conectarse a Internet, debe preocuparse por la seguridad de la red


Leyes de seguridad

En muchísimos casos la mejor herramienta de seguridad somos nosotros y nuestro sentido común y en esa línea hace ya tiempo que en Microsoft publicaron una lista de precauciones de seguridad muy serias pero con sentido del humor. 
La seguridad no es solo cosas de parches, programas o actualizaciones, sino principalmente es un problema nuestro como usuarios. En todos los estudios realizados los descuidos o imprudencias son la principal fuente de las brechas de seguridad, tanto desde el punto de vista del usuario personal como de las empresas.

 

Hace ya tiempo que Microsoft reunió en un decálogo las diez directrices o leyes más importantes a observar para proteger la seguridad de nuestro sistema, y con el nombre de Las 10 leyes inmutables de la seguridad colgó el documento de Technet. Vamos a repasar este decálogo que aunque en clave de humor proporciona unos consejos que tenemos que tomar muy en serio.
1. Si un tipo malvado nos convence de ejecutar SU programa en NUESTRO ordenador, ya no es NUESTRO ordenador
Es otra ley inmutable de la informática: cuando un programa se ejecuta en el ordenador hace lo que el programador le ha dicho que haga, no lo que creemos que tiene que hacer. Por lo tanto, si permitimos que un programa se ejecute en nuestro ordenador tendrá las mismas capacidades de realizar cambios, incluidos los dañinos, que nosotros tenemos como usuarios y los hará según las instrucciones de su programador.
La analogía del sandwitch nos puede ayudar a entender la situación: si nos encontráramos a alguien desconocido por la calle y nos ofreciera un sandwitch ¿nos lo comeríamos sin más? Pues del mismo modo  descargar y ejecutar sin más un programa no es lo mejor para la salud de nuestro ordenador.
2. Si un tipo malvado puede cambiar el sistema operativo de NUESTRO ordenador, ya no es NUESTRO ordenador
El sistema operativo no deja de ser un programa más acompañado por un conjunto de ficheros de configuración, que están protegidos pero que a la larga puede ser modificados. Si permitimos cambios en el sistema nuestro ordenador ya no estará bajo nuestro control
Las nuevas versiones de Windows advierten en numerosas ocasiones cuando un programa intenta hacer cambios en el sistema o si nos disponemos a dar autorización a un programa para realizar cambios, pero una vez que un programa tiene vía libre no hay nada que hacer. Por eso es importante que nunca ejecutemos programas y les otorguemos permisos si no conocemos su procedencia. Si alguien toma el control del sistema operativo puede hacer cualquier cosa.


Es como si alguien consiguiera las llaves de nuestra casa. Una vez con ellas podría hacer cualquier cosa incluso sin que necesariamente nos diéramos cuenta. Por eso es tan importante proteger el sistema operativo y por eso los programas de seguridad controlan constantemente que no se hayan producido cambios en los ficheros del sistema.
3. Si un tipo malvado tiene acceso físico sin restricciones a NUESTRO ordenador, ya no es NUESTRO ordenador
Tomar las mejores precauciones para protegernos de los intrusos que pueden acceder a nuestro ordenador a través de Internet no vale nada si el intruso puede acceder tranquilamente a nuestro ordenador y sentarse a teclear. Es algo que en ocasiones descuidamos, pero un elemento básico de la seguridad. En el artículo de TechNet dan una lista de lo que un “tipo malvado” puede hacer si tiene acceso al ordenador, desde la edad de la piedra a la edad espacial.
Algunos de los peligros son que puede destruir nuestro ordenador con un martillo pilón, robar el ordenador y pedir un rescate, reformatear el disco, robar el disco duro, duplicarlo, grabar las pulsaciones de nuestro teclado… Las precauciones que hay que tomar aumentan con la portabilidad del PC que utilicemos. No hay que desdeñar los candados o los sistemas de acceso biométricos. No hay que olvidar que un ordenador es un dispositivo valioso, pero lo más valioso son siempre nuestros datos.
4. Si un tipo malvado puede agregar programas a NUESTRA página web, ya no es NUESTRA página web
El tipo malvado es el que entra en el servidor e intenta cambiar nuestra página web. Conseguirá así extender el contagio de un virus o malware. La responsabilidad de un usuario que mantenga un sitio web incluye controlar que los usuarios de la web no puedan agregar programas y mantener actualizado el software con los parches de seguridad adecuados.
En este caso no sólo nos hacemos daño a nosotros, sino que contribuimos al contagio de muchas personas a través de nuestra web.
5. Las contraseñas débiles destruyen la seguridad más fuerte
Es uno de los eslabones más débiles de la cadena de seguridad. Si para identificarnos utilizamos contraseñas fáciles de averiguar, los sistemas de seguridad que hayamos instalado no servirán de nada. Hay que tener la precaución de que siempre en nuestro sistema el administrador requiera contraseña. Podemos ver cómo crear contraseñas perfectas en nuestro artículo práctico al respecto.
6. Un ordenador es tan seguro como la confianza que nos merece su administrador
Todo ordenador tiene su administrador, aunque en muchos casos el administrador seamos nosotros. El edministrador es el que instala el software, modifica el sistema operativo y establece las políticas de seguridad. En el decálogo de Technet se advierte que un administrador chapucero puede frustrar cualquier medida de seguridad que tomemos nosotros.
Si necesitamos un administrador para nuestra empresa tomemos eso en cuenta. Ahorrar y contratar un mal administrador, uno descuidado o no fiable puede salirnos muy caro a la larga.
7. Los datos encriptados son tan seguros como su clave de desencriptación
Una versión distinta del problema de las passwords. La encriptación es una excelente herramienta para proteger nuestros datos y se utiliza en las transacciones que se realizan en Internet, pero en el caso de los programas de encriptación, hay que tener cuidado dónde se almacenan. Lo mejor es utilizar claves que memorizaremos o almacenarlas en un dispositivo externo a nuestro ordenador para que sean difíciles de localizar.
8. Un antivirus no actualizado sólo es ligeramente más seguro que ningún antivirus
En Internet van apareciendo y mutando nuevos virus y malware a un ritmo muy alto. Por eso hoy más que nunca, cuando pasamos más tiempo conectados a Internet, es muy importante disponer de un antivirus actualizado. Uno que no esté puesto al día nos protegerá solamente de amenazas obsoletas pero no será una herramienta de protección fiable.


 


Además, actualizar los antivirus y programas de seguridar periódicamente contribuye a que la expansión de los virus sea menos rápida y que por lo tanto el daño que puedan hacer sea limitado.
9. El anonimato absoluto no es práctico, tanto en la vida real como en Internet
Las herremientas que permiten conseguir un grado de anonimato importante en Internet son muchas, como los proxies o conversores de direcciones IP que hacen que no podamos ser localizados o los navegadores web que no dejan rastros de nuestra actividad. Hay que tener cuidado con qué servicios utilizamos para conseguir el anonimato, porque puede que estemos consiguiendo precisamente lo contrario.


En algunos casos estos servicios ofrecen anonimato frente a otras páginas web, pero no somos anónimos frente a ellos. Es más, en algunos casos tendremos que rellenar un formulario. Pero en muchos casos en Internet será útil dejar nuestros datos, para que nos informen de ciertas promociones, para recibir noticias, para contactar con antiguos compañeros, para participar en redes sociales…
En estos casos el sentido común es lo más importante. Nunca compartir datos personales sensibles de forma pública o con personas que no conocemos y proteger en lo posible nuestra navegación. Los modernos navegadores permiten ejecutar un modo privado que podemos activar solamente cuando lo necesitemos. Ser selectivos es importante también.
10. La tecnología no es la panacea
Una lección que es necesario aprender a pesar de los grandes adelantos tecnológicos que estamos viviendo y en el campo de la seguridad en particular. Como adelantábamos al principio, a pesar de toda esta tecnología tan sofisticada y los avances en el software de seguridad, no podemos encomendar nuestra seguridad totalmente a la tecnología.
Nuestro sentido común, la prudencia y la inteligencia tienen que ser los ingredientes más importantes. Sin ellos la tecnología más avanzada no servirá de nada. Es tentador dar la culpa a los fabricantes de software o a los proveedores de acceso de nuestros problemas de seguridad, pero no perdamos de vista que los responsables somos nosotros.

Obtención de Información de un atacante

Es importante conocer la metodología que sigue un atacante para poder defendernos mejor de él. La expresión “conoce a tu enemigo” es válida también en el mundo de la informática.
El primer paso que realiza un atacante es la exploración. En la exploración, el atacante obtiene una lista de direcciones IP y de red utilizando descargas de transferencias de zona y consultas whois (en la figura 1, puede ver un ejemplo de consulta whois). Estas técnicas proporcionan información valiosa a los atacantes, incluyendo nombres de empleados, números de teléfono, rangos de direcciones IP, servidores DNS, etc. 

 Figura 1. Consulta whois
Uno de los pasos básicos de exploración de una red para determinar qué sistemas están activos, es llevar a cabo un barrido de ping automatizado en un rango de direcciones IP y de bloques de red. Ping se utiliza tradicionalmente para enviar paquetes ICMP ECHO a un sistema destino, en un intento de obtener un ICMP ECHO_REPLY que indica que el sistema destino está activo (vivo). Aunque enviar un ping resulta un método aceptable para determinar el número de sistemas activos en una red pequeña o de tamaño medio, no es eficiente en redes corporativas de mayor tamaño. Para llevar a cabo exploraciones de redes de Clase A es necesario varias horas.
En la figura 2 se puede ver cómo el comando ping –sP 192.168.1.0/24 permite detectar los equipos activos.
 

                                                          Figura 2. nmap –sP 192.168.0.1/24
Una vez identificados los sistemas que están activos mediante el uso de barridos ping, el siguiente paso que realiza un atacante es la exploración de puertos.
La exploración de puertos es el proceso de conexión a puertos UDP y TCP del sistema destino que nos permite determinar los servicios que se están ejecutando. Identificar los puertos que están a la escucha es crítico para determinar el tipo de sistema operativo y aplicaciones que se están utilizando. Los servicios activos que estén a la escucha pueden permitir que un usuario no autorizado tenga acceso a sistemas que no estén bien configurados o que ejecuten una versión de software que tenga vulnerabilidades de seguridad conocidas. Los objetivos que se persiguen con la exploración de puertos son los siguientes:
  • Identificar los servicios TCP y UDP que se están ejecutando en el sistema.
  • Identificar el tipo de sistema operativo instalado en el sistema.
  • Identificar las versiones o aplicaciones específicas de un determinado servicio.
  • Identificar las vulnerabilidades del sistema.
En la figura 3 se puede ver el esquema general del proceso de obtención de información por parte de un atacante.
 



Figura 3. Esquema general del proceso de obtención de información

Los sistemas operativos son configurables, y por lo tanto pueden engañar a un posible atacante con información incorrecta. Cuestiónese las siguientes preguntas:
  • ¿Qué pasaría si identificasemos servicios de forma incorrecta? Por ejemplo, identificamos un servidor de correo qmail en una máquina con Exchange.
  • ¿Qué pasaría si identificamos mal el sistema operativo?
  • ¿Qué pasaría si los equipos activos realmente no existen?
Un atacante obtiene las vulnerabilidades del sistema a partir de la información de los servicios y servidores. Por lo tanto, si esta información es incorrecta, el atacante, que se encuentra engañado, jamás va a realizar con éxito su ataque. Es imposible utilizar los fallos de seguridad en el servidor de correo de Windows (p.e. Exchange) en el sistema de correo de Linux (p.e. qmail).
Los atacantes, sobre todo los atacantes externos, aprenden a superar las barreras de seguridad investigando su organización. Este proceso puede ser llamado de reconocimiento, descubrimiento o footprinting. En última instancia, esto es producto de una investigación intensiva, enfocada en obtener toda la información disponible sobre su organización de recursos públicos y no tan públicos.
Si ha realizado algún estudio o lectura sobre tácticas de guerra, es consciente de que el arma más importante que puede tener a su disposición es la información. Los atacantes lo saben y dedican mucho tiempo y esfuerzo a adquirir un completo arsenal. Lo que a menudo es desconcertante es cuánto su organización contribuye libremente al acopio del arsenal de armas de los atacantes.
La mayoría de las organizaciones son hemorragias de datos; las empresas dan libremente demasiada información que puede ser utilizada en su contra a través de diversos tipos de ataques lógicos y físicos. Aquí sólo se encuentran algunos de los ejemplos más comunes de la información que un atacante puede obtener sobre su organización, por lo general, en cuestión de minutos:
  • Los nombres de sus altos ejecutivos y de cualquier empleado llamativo pueden ser obtenidos examinando sus comunicados de prensa.
  • La dirección de la empresa, números telefónicos y números de fax desde el registro de nombres de dominio.
  • El proveedor de servicio a Internet.
  • La dirección de la casa de los empleados, sus números telefónicos, currículum vitae de los empleados, los miembros de su familia, antecedentes penales y mucho más buscando sus nombres en varios sitios de investigación gratuitos y pagos.
  • Los sistemas operativos, los principales programas utilizados, los lenguajes de programación, plataformas especiales, fabricantes de los dispositivos de red utilizados y mucho más desde los anuncios en sitios de empleos.
  • Debilidades físicas, puntos de ventaja, señales activas, formas de entrada, coberturas para los caminos de acceso y más a través de imágenes satelitales de su empresa y las direcciones de los empleados.
  • Nombres de usuario, direcciones de correo electrónico, números de teléfono, estructura de archivos, nombres de archivos, tipos de sistemas operativos, la plataforma del servidor web, lenguajes de script, entornos de aplicaciones web y más con escaners de sitios web.
  • Documentos confidenciales accidentalmente enviados a un sitio web como archivo.org o Google Hacking.
  • Fallos de los productos, problemas con el personal, publicaciones internas, políticas de la empresa y muchos más desde blogs, comentarios, críticas de la empresa y servicios de inteligencia competitiva.
Como se puede ver, no hay fin a la información que un atacante puede obtener desde fuentes públicas abiertas. Esta lista de ejemplos es sólo un comienzo. Cada dato obtenido por el atacante, puede llevar al descubrimiento de más información. A menudo, un atacante gastará más del 90% de su tiempo en actividades de reconocimiento y obtención de información. Cuanto más aprende el atacante sobre el objetivo, más fácil será el posterior ataque.
En cuanto a la defensa que en última instancia está pérdida, principalmente porque ya es demasiado tarde, vale aclarar que una vez que la información se encuentra en Internet, siempre estará allí disponible. Evidentemente, puede limpiar cualquier recurso de información que se encuentre bajo su control directo. Incluso, puede ponerse en contacto con quienes poseen su información y solicitar que cambien su información.

Medios de seguridad

Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar periódicamente (Evitar las contraseñas «por defecto» o demasiado obvias).  
Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar periódicamente (Evitar las passwords «por defecto» o demasiado obvias).  

Políticas generales de seguridad

2.1 - ¿Qué son las políticas de seguridad informática (PSI)?
Una política de seguridad informática es una forma de comunicarse con los
usuarios y los gerentes [3, pág.382]. Las PSI establecen el canal formal de actuación
del personal, en relación con los recursos y servicios informáticos, importantes de la
organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una
expresión legal que involucre sanciones a conductas de los empleados. Es más bien una
descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos críticos de la compañía.

2.2 - Elementos de una política de seguridad informática

Como mencionábamos en el apartado anterior, una PSI debe orientar las
decisiones que se toman en relación con la seguridad. Por tanto, requiere de una
disposición por parte de cada uno de los miembros de la empresa para lograr una visión
conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]

*Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la
cual aplica. Es una invitación de la organización a cada uno de sus miembros a
reconocer la información como uno de sus principales activos así como, un
motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que
debe concluir en una posición.

 *Objetivos de la política y descripción clara de los elementos involucrados en su
definición. 

*Responsabilidades por cada uno de los servicios y recursos informáticos a
todos los niveles de la organización. 

*Requerimientos mínimos para configuración de la seguridad de los sistemas
que cobija el alcance de la política.

* Definición de violaciones y de las consecuencias del no cumplimiento de la
política.

 *Responsabilidades de los usuarios con respecto a la información a la que ella
tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben
tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o
servicios.


Conceptos básicos sobre Seguridad

Seguridad: Sector de la informática cuya función es establecer medidas de protección y/o seguridad para garantizar el correcto funcionamiento de un sistema informático.
Objetivo de la seguridad informática: Proteger los activos informáticos.
 Whackers: expertos especializados. Se mueven por dinero y fama. Provocan daños al sistema.
 Crackers: expertos especializados. Se mueven por fama y satisfacción personal. Causan daño.
 Crashers: Inhabilitan el sistema, tienen conocimientos informáticos, les mueve el dinero o el aprendizaje. Causan daño.
 Lamer: Conocimientos informáticos nulos. Sus intereses son la fama, la experiencia y la satisfación personal. Causan daños.
 Phreakers: tienen amplios conocimientos informáticos y se mueven por dinero.
 Script kiddies: Muy similares a los lamer.
 Newbies: Tienen conocimientos informáticos básicos. Su motivación es aprender. No causan daño.

Seguridad activa: Conjunto de medidas cuyo objetivo es evitar o reducir los riegos que amenazan al sistema.
Seguridad Pasiva: Conjunto de medidas que se implementan una vez producido el accidente y que minimizan el daño, facilitando la recuperación del sistema.

- Mecanismos para que un sistema sea seguro:
Autenticación. Mecanismo que permite verificar la identidad del usuario que quiere acceder al sistema.
Autorización. Mecanismo que permite comprobar con qué permisos cuenta el usuario que quiere acceder al sistema.
Verificador de integridad de la información.
Cifrado. Evita que la información viaje sin protección (en texto plano) a través de la red.
Copias de seguridad. Se utilizan con el fin de restaurar el sistema cuando se produzca una pérdida de información, sobre todo de información sensible.
El software anti-malware. Programa que detecta, bloquea y elimina programas maliciosos para la seguridad del sistema.
El cortafuegos. Sirve para bloquear el trafico entrante en la red que pueda ser peligroso.
IDS (Sistema de Detección de Intrusos). Trata de detectar cuándo alguien no autorizado trata de entrar en un sistema.
Certificados. Es un documento digital mediante el cual un tercero confiable garantiza la vinculación entre la identidad de un sujeto o entidad y una clave pública.
Auditorías. Recaudan información para comprobar si el nodo es o no seguro.
- Propiedades de un sistema informático seguro.

La confidencialidad garantiza que el acceso a la información no se produce de
forma no autorizada.
  La disponibilidad garantiza que el sistema y los datos estarán disponibles
para los usuarios.

  La integridad. Garantiza que la información no ha sido modificada sin autorización.
  No repudio. Impide que el emisor niegue haber estado involucrado en una comunicación.
 Suplantación de identidad: hacer pasar por el usuario de la red para poder entrar en el sistema con los privilegios con la identidad suplantada.
Reactuación: La repetición de uno varios mensajes son capturados y repetidos para producir un efecto no deseado.
Modificación de mensajes: cambiar todo o parte del mensaje con la finalidad de conseguir unos efectos distintos al original.
Degradación de servicios: impide o deteriora el uso normal del servicio.
Tipos de ataques. 
Ataque: La materialización de una amenaza.
Amenaza: Es la presencia de una serie de factores de diversos tipos que de tener la oportunidad atacarían al sistema produciendole daño.
Tipos de amenazas según su origen:
Internas: Ataques desde dentro de la red, por ejemplo un empleado de la empresa o despedido.
Externas: Ataques desde fuera de la red. Son mas difíciles de que ocurran.
Tipos de amenazas según el daño que pueden producir:
-De interrupción: Todo lo que te impida el acceso a la información.
-De interceptación: Cuando te interceptan información sin tu permiso, por ej: con páginas webs falsas. 
-De modificación: Cuando modifican la información del sistema.
-De fabricación: Añade información falsa al sistema.
Tipos de amenazas según la causa:
 -Accidentales: Sin querer.
-Intencionales: Queriendo.

Tipos de ataques en función del impacto causado a los activos:

-Pasivos: Son aquellos que se basan en la obtención de información sin alterar la comunicación y los datos.
-Activos: Son aquellos que modifican datos, añaden datos o impiden el acceso a los datos.
·Suplantación de identidad: Que el atacante se hace pasar por otra persona, para adoptar por los privilegios de esa persona.
·Reactuación: Repetición de uno o varios mensajes reales son capturados y repetidos, para producir un efecto no deseado.
·Modificación de mensajes: Modificar todo o parte del mensaje, o el orden de los mensajes, con el objetivo de conseguir unos efectos distintos a los originales.
·Degradación del servicio: Consiste en impedir o deteriorar el uso normal de los servicios.
Tipos de ataques: Directos o indirectos.
Directo: El que se produce del atacante a la víctima sin que haya ningún intermediario.
Indirecto: El que se produce del atacante a la víctima, pero hay al menos un intermediario.
Ataques Típicos.
· Spoofing. Hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
 · Pishing. Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. 
· DoS. En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
.buffer overflow:Consiste en escribir en un pila mas datos de los que puede contener. Con esto se puede conseguir corromper la pila de ejecución de un programa escribiendo mas aya de los limite de la pila, causando que la dirección de retorno de dicha función sea una dirección aleatorio o que se ejecute algún código no dirigido.
.Troyano:se caracteriza por engañar a los usuarios disfrazándose de programas o archivos legítimos/benignos
.Virus:es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
.Worms:Estos malwares son tan dañinos que son capaces de hacer caer cientos de páginas Web y servidores Web muy potentes.
.Rootkit:es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers con el objetivo de acceder ilícitamente a un sistema informático
.Exploit:El fin puede ser la destrucción o inhabilitación del sistema atacado.
 Vulnerabilidad: Probabilidad de que una amenaza se materialice contra un activo.
Bugtraq: Expediente de seguridad que genera una vulnerabilidad.
Día Cero: día en el que una vulnerabilidad se hace pública.
Tiempo de reacción: Tiempo que transcurre desde que una vulnerabilidad se hace pública hasta que se parchea.

Técnicas de "password cracking" (romper contraseñas):
 - Método de fuerza bruta: consiste en ir probando combinaciones de caracteres hasta dar con la combinación correcta (contraseña) y así poder entrar en el sistema.
- Método de diccionario: consiste en usar una aplicación o herramienta diccionario que va probando como contraseña todas las palabras que se incluyen en él. Por eso es recomendable que una contraseña de acceso al sistema conste de caracteres alfanuméricos, incluídas mayúsculas, minúsculas y caracteres especiales.
Riesgo: Posibilidad de que se materialice una amenaza aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando no existe una amenaza asociada. 
Opciones de la empresa ante el riesgo:
- No hacer nada. en caso de impacto mínimo o nulo, o en caso de coste excesivo al solventar el riesgo.
- Aplicar las medidas de seguridad necesarias, atendiendo a la política de seguridad de la entidad.
- Contratar un seguro.
 Impacto: Es la consecuencia de un ataque.
Impacto cuantitativo: cuando los daños del impacto pueden cuantificarse (medirse económicamente).
Impacto cualitativo: cuando supone daños no cuantificables (no medibles).
Nivel de confianza del que hace uso el analizador:
·Con acreditaciones: El analizador es una persona que está autorizada para recopilar información de la máquina, etc... Pasiva.
·Sin acreditaciones: El analizador es una persona que no está autorizada para recopilar información de la máquina, etc..... Activa.
·Prueba por explotación (Testing by exploit): lanzar ataques reales contra los objetivos, es decir, sobre la maquina. Los ataques suelen estar programado en lenguajes de scrit, una vez que lanza el ataque espera a la respuesta.
·Método de inferencia: buscan indicios de que alguien a realizado ataques sobre la máquina, pero los resultados son menos específicos. Programa "Nessus".
-Técnica "Password cracking": Es una técnica utilizada en la mayoría de los escanners de vulnerabilidades, totalmente distinta a los métodos anteriores pero de gran importancia. Se basa en intentar romper contraseñas con el propósito de determinar el grado de calidad de la misma. Para intentar adivinar las contraseñas, se puede utilizar la fuerza bruta o bien utilizando diccionarios.
-Escánner de vulnerabilidades: es una herramienta que realiza una serie de pruebas para determinar si una red o una máquina tiene fallos de seguridad.
Riesgo: posibilidad de que se materialize una amenaza aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza.
Una política de seguridad establece los objetivos de la empresa con respecto a la seguridad, así como las normas a aplicar.


 

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)