Los Peligros de la Red

1
Los Peligros de la Red
IRIS-CERT Departamento RedIRIS II Jornadas de
Usuarios 11 DE Abril , 2005
2
Índice

• Presentación
• Definiciones
• Peligros
• Es real ?
• Soluciones

3
RedIRIS Inicios

• Surge en 1998 para proporcionar conectividad a
  Universidades y centros de ID Españoles.
• Pioneros en la puesta en marcha de servicios en
  Internet en España DNS, News,etc.
• Conexión basada en un punto de acceso regional al
  que se conectan los centros.
• Desde Enero de 2004 , incluida dentro del Ente
  Publico Empresarial Red.es

4
IRIS-CERT

• Formado en 1995 para gestionar los incidentes de
  seguridad en redes conectadas a RedIRIS.
• Punto central de recogida de denuncias relativas
  a equipos conectados a RedIRIS
• Coordinación internacional con otros equipos de
  seguridad
• Actividades de concienciación y fomento de la
  seguridad dentro de RedIRIS.
• Proyectos de seguridad específicos
• IRIS-PCA Autoridad experimental de certificación
• PED Sistema de Máquinas trampas de rediris
• Monitorización y control de tráfico

5
Qué hace IRIS-CERT?

• Punto centralizado de recepción de quejas sobre
  equipos de RedIRIS
• Sobre todo quejas externas (una máquina de
  RedIRIS esta atacando otra red).
• Coordinación con los técnicos de cada centro para
  intentar solucionar el problema.
• Visión global de los problemas.
• Difusión y fomento de la seguridad con los
  servicios de informática

6
Escaneos y ataques

• Los Sistemas Operativos emplean unos puertos
  para permitir que los ordenadores se comuniquen
  entre si
• Acceder a páginas HTML (puerto 80)
• Enviar correo (puerto 25)
• ......
• Compartir discos e impresoras...
• Administración remota de equipos..
• Muchas veces los programas que leen de estos
  puertos presentan fallos, que hacen que ante
  determinados datos el comportamiento sea distinto
  del esperado.
• Estos fallos son difíciles de encontrar y de
  utilizar, pero se pueden programar
• Principal fuente de problemas en la actualidad

7
Escaneos y ataques

• Escaneo Comprobación por parte de un ordenador
  para ver si los equipos de una red tienen
  determinados puertos disponibles
• Así se puede ver que equipos emplean un puerto
  del que se sabe hay problema.
• Uso después de un programa para intentar acceder
  o atacar al equipo
• Por parte de programas automáticos para
  duplicarse e infectar el equipo (Gusanos, bots)
• Por parte de atacantes humanos para intentar
  obtener datos del equipo.

8
Ruido de Fondo

• La frecuencia de estos escaneos ha ido subiendo
  en los últimos años
• 1999. Atacantes manuales, menos de 1 escaneo
  diario en una Universidad grande (65000
  direcciones)
• 2005. Más de 30 escaneos diarios en una red
  pequeña (16 direcciones)
• 2005 Más de 2500 conexiones en un ordenador
  aislado (proveedor comercial)
• Escaneos
• Generan un ruido de fondo de ataques no
  dirigidos contra nosotros en particular , que
  impiden ver si hay algún ataque específico.
• Hacen que un equipo desprotegido sea infectado
  atacado en pocos minutos.

9
Qué nos ataca por la red?

• Virus Programas que infectaban, (modificaban
  otros programas) y así se propagaban.
• Gusanos Programas que infectaban (atacaban)
  otros ordenadores y se propagaban en ellos.
• Estos programas no permitían un control externo
  de ellos, cumplían con la secuencia programada.
• Los Antivirus no suelen diferenciar entre los
  distintos malwares.
• A partir de 2003 empiezan a difundirse gusanos
  que permiten que desde el exterior se pueda
  controlar su ejecución
• Buscar e infectar otros equipos
• Atacar un servicio determinado
• Obtener información del ordenador infectado

10
Bots Zombies

• Bot
• Inicialmente del termino robot, se aplicaba a
  trozos de código que simulaban una identidad
• Control de canales en IRC
• Simulación de jugadores en juegos multijugador.
• Su definiciön se generaliza a programas
  sirvientes , que realizan determinadas
  acciones en base comandos emitidos desde el
  controlador.
• Zombies
• Maquinas comprometidas usadas en DDOS (año 2000)
• Se generaliza el termino botnet (red de bots)
  para describir las redes de equipos comprometidos
  controlados por un canal de IRC

11
Construcción de bots

• Unión de esfuerzos entre escritores de Gusanos
  y Bots.
• Misma traza de ataque.
• Los gusanos dejan puertas abiertas que después
  son empleadas para ampliar las botnet
• Empleo de vulnerabildades existentes en código de
  gusanos y puertas falsas.
• Existencia del código fuente de estos bots , hace
  muy fácil la actualización y modificación de los
  mismos.
• El empleo de técnicas de compresión y
  encriptación en los binarios hacen difícil el uso
  de Antivirus como herramienta de detección de los
  binarios.

12
Bots Qué pueden hacer ?

• Escaneo de diversas vulnerabilidades
• Servicios de sistemas operativos DCOM (135/TCP),
  DS (445/TCP), MS-SQL (1443)
• Puertas traseras existentes (Remote admin
  (6129/TCP), Agobot (3127/TCP).
• Acceso a recursos compartidos (discos e
  impresoras)
• Ataques de fuerza bruta contra claves vulnerables
• Permiten habilitar//desabilitar estos servicios
• Pueden funcionar como proxy (HTTP, socks)
• Pueden actualizarse y ejecutar programas
• Recogida de información
• Pulsaciones de teclado
• Claves de acceso a distintos servicios y
  licencias.
• Empleo para otros ataques

13
El gran bazar

• Según indican diversas fuentes existe un
  floreciente mercado de compra de estos equipos.
• Intercambio de herramientas y ataques
• Compra/venta de equipos comprometidos (50 la
  docena ?) .
• Para la difusión de SPAM
• Ataque a otros sistemas
• Falsificación de mensajes de banca electrónica.
• Extorsión a sitios de comercio electrónico
• Denegación de servicio contra sistemas de
  comercio y/o juegos on-line
• Robo de información bancaria

14
Phising

• Phising Deformación de fishing ir de pesca
  ?
• Lanzar un cebo e intentar pescar información
  de usuarios incautos.
• Empleada sobre con usuarios de comercio y banca
  electrónica para intentar obtener su información
  de acceso
• Combinación de dos técnicas antiguas
• Difusión masiva de mensajes no deseados (SPAM)
• Ingeniería Social, simular ser otra persona o
  entidad para obtener información del destinatario
• Muchas veces no es un problema técnico sino de
  formación

15
Phising (II)

• No solamente se trata de mensajes bancarios
• Suplantación (Falsificación) de la dirección de
  correo de un usuario en un foro o lista de
  correo.
• Intentos de acceso a cuentas de usuarios
• Evolución de la Ingeniería Social
• 1996 Llamadas a personal de una Universidad para
  verificar las cuentas de correo.
• 2003 phising, correos a usuarios de una una
  Universidad, solicitándoles la comprobación de
  sus datos.

16
Palabras de acceso vulnerables

• Muchos sistemas de autenticación requieren el uso
  de identificadores (login) y claves (password)
• Acceso a los equipos y servidores de la
  Universidad
• Lectura de correo electrónico
• Acceso Servicios externos (mensajería instantánea
  , banca electrónica)
• .....
• Gran parte de estos sistemas emplean cifrado
• Evitan que alguien pueda leer los datos
• Mayor carga de trabajo del ordenador para
  realizar la conexión
• considerados seguros...

17
Problemas con las contraseñas

• Problemas
• Existencia de herramientas por fuerza bruta
  para intentar obtener contraseñas.
• Mismo usuario y clave en diversos servicios
• Listas de correo, acceso al correo.
• Bases de datos , servicios de subscripción
• Quién garantiza la confidencialidad de las
  contraseñas?
• Están las bases de datos protegidas ?
• Se almacenan las claves en claro?
• Muchas veces se emplea la misma clave en diversos
  servicios , sin tener en cuenta los problemas.

18
Qué amenazas existen ?

• Nivel General
• Infección y ataque por parte de Gusanos y Virus.
• Perdida de información confidencial
• códigos y licencias de programas instalados
• Información bancaria
• Empleo del equipo como puente para atacar otros
  sistemas
• A Nivel específico
• Muchos de estos programas están disponibles en la
  red, por lo que pueden ser utilizados para
  ataques específicos contra nuestro equipo.

19
Actualización periódica
20
Actualización de los equipos

• Gran parte de los problemas de seguridad se
  pueden evitar si el equipo esta actualizado.
• La actuación del equipo se puede configurar para
  que se realice de forma automática, avisando al
  usuario cuando tenga que tomar alguna acción.
• Los gusanos y virus suelen emplear problemas que
  se han hecho públicos meses antes.
• Cuando se reinstala la un equipo se deben volver
  a actualizar.
• Esta es la segunda medida más eficaz para evitar
  el ataque a un equipo.(tener el equipo
  desconectado es la más eficaz)

21
Cortafuegos

• Evitan que determinado tráfico de red pueda
  llegar a nuestro equipo.
• Impiden que nos pueden atacar.
• Pueden ser
• Corporativos , protegen toda nuestra red.
• Personales Programas que protegen nuestro
  equipo.
• En la mayoría de las instituciones afiliadas a
  RedIRIS suele haber cortafuegos corporativos
• Evitan ataques generales
• No protegen de ataques desde el interior

22
Cortafuegos (II)

• Cortafuegos personales en Instituciones
  afiliadas.
• Suelen ser un programa instalado en el equipo
• Evitan el tráfico entre el equipo y el exterior.
• Permiten realizar excepciones
• Cómo compartir un disco / impresora solo a
  determinados equipos ?
• Cortafuegos personales en proveedores de Internet
• Los proveedores de Internet no suelen poner a sus
  usuarios tras un cortafuegos.
• Mayor numero de ataques
• Dificultad para detectar el problema
• Gran parte de los sistemas operativos disponen de
  un cortafuegos mínimo por defecto

23
Antivirus

• Son el producto de seguridad más conocido
• Analizan los ficheros del ordenador .
• Comparan cada fichero con una serie de patrones
  de virus conocidos
• Requieren una actualización periodíca de los
  virus.
• Por qué fallan los antivirus ?

24
Antivirus

• No analizán el comportamiento de los programas.
• comparan cada fichero con unos muestras de
  programas malignos conocidos.
• Requieren una muestra conocida del programa
  para crear el patrón.
• No son eficaces ante amenazas nuevas.
• No son eficaces ante ataques directos
• Qué pasa con los virus caseros?
• Multitud de variaciones de programas (bots) , que
  dificultan la detección
• Algunas herramientas empleadas en los ataques
  tienen un uso legal.

25
Phising y falsificaciones

• Se pueden evitar teniendo cuidado
• Conociendo el comportamiento normal de los
  sistemas con los que nos comunicamos
• Los servicios de informática no suelen llamar a
  los usuarios para cambiar las claves.
• Los bancos no se suelen comunicar por correo
  electrónico.
• La forma de estos correos va evolucionando y
  adaptándose a las alertas.
• Las falsificaciones suelen ser correos
  personales.
• Las páginas WWW de los correos no suelen estar
  firmadas digitalmente.

26
Evitar el phising
27
Criptografía
28
Palabras de acceso

• No emplear la misma palabra de acceso siempre
• Ejemplo
• Diferenciar entre
• Servicios internos (acceso al ordenador, correo
  corporativo)
• Servicios externos (Mensajería instantánea,
  correo en ISP)
• Servicios de alerta gratuitos, listas de correo.
• Elegir una clave sin sentido
• Primera letra de cada palabra de una frase
• Añadir dígitos o códigos que indiquen el servicio
• (hnmplcor), para el correo ?
• (Hoy No Me Puedo Levantar)

29
Conclusiones

• El acceso a una red implica que desde esta red se
  puede acceder a nosotros.
• Las causas más frecuentes por las que los ataques
  tienen éxito
• Equipos no actualizados.
• Configuraciones inseguras de acceso.
• Cada vez será más frecuente los ataques contra
  usuarios finales
• Genéricos, obtención de información económica ,
  principalmente.
• Específicos Intento de obtención de información.

30
Referencias

• Centro de alerta antivirus , http//alerta-antivir
  us.red.es/ proporciona información sobre virus y
  gusanos detectados en el correo-e , así como un
  directorio de herramientas gratuitas.
• Virus Total, http//www.virustotal.com , permite
  comprobar en diversos antivirus si un fichero es
  detectado como Virus
• IRIS-CERT, http//www.rediris.es/cert ,
  información de seguridad para la comunidad
  RedIRIS.