Upload
casilda-mayoral
View
227
Download
0
Embed Size (px)
Citation preview
Crímenes y Delincuencia en Internet
Leobardo Hernández A.Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
2
Agenda El Origen El Principio de los males El Paradigma Actual Problema Conceptual Amenazas Internet y la Escena del Crimen CyberCrimen, CyberTerrorismo y CyberCriminales Phishing, Pharming e Ingenieria Social Métodos y Formas de Ataque Soluciones al problema El Próximo Futuro Algunas Reflexiones
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
3
El Origen
Y la computadora fue ........ (1945) Computadora (mainframe) centralizada
Aparece la PC(Personal Computer) (1970) Computadoras de escritorio Oficina y hogar
Las redes proliferaron………… (70’s) Surge TCP/IP como lenguaje común para todo tipo de
computadoras Todos con todos, a toda hora y en cualquier lugar
Inicia la pesadilla …..
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
4
Virus Programa de Software que se adhiere por sí
mismo a otro archivo o programa En memoria o en disco Se distribuye por sí mismo
Objetivos específicos: Despliegue de mensajes Borrar datos Mal funcionamiento del equipo Impedir laborar o utilizar el equipo (Negación de
servicio) Molestar
95 - 98 Crecimiento exponencial de Virus. Se distribuyen rapidamenteEj. Macro Virus via E-Mail
80’s -94 Ataques focalizados. Conocimeinto de fechas de activación Ej. Michelangelo
Fase I“Floppy Era”
Fase II“Macro Era”
Creadores de Virus conocen ampliamente la Tecnología y las vulnerabilidades en los negocios
Ej. Remote Explorer
Fase III“Serio Impacto
en los Negocios”
Hoy Hoy
Melissa, Explorezip, Bubbleboy, DDoS Attacks, Virus en Internet se distribuyen rapidamente!
Empiezan primeros virus para PDA’s!LibertyCrack borra aplicaciones en PalmOS!!
EvoluciEvolucióón de los Virusn de los Virus
Daño y sofisticación se han incrementado con los años
1raGenBoot
SectorfloppiesStoned
1986
2da GenMacro virus
Infectan archivos Concept
1995
3ra GenMass
MailersMelissa
Love Bug
1999
4ta Gen•Amenazas combinadas•Exploit de
vulnerabilidades• Creacion de
backdoors•Dispersion de
diversas formasCode Red
NimdaFunlove
2001
1ra Gen dispersa
en el mundo
noticias deMiguel Angel
Principios ’90s
5ta GenWireless &
Applicaciones comunes
•Amenazas combinadas
•Mas daño• Rapida
dispersion
Daño
Sofisticación & Velocidad de Infección
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
7
Otras calamidades (No Virus) Worm (gusano)
Programa que se replica por sí mismo en un sistema, pero no infecta directamente otros archivos
Caballos de Troya Programa que contiene código malicioso y dañino.
Parece programa o archivo inofensivo No se distribuye automáticamente
Hoaxes Falsas alertas que generan pánico y desconfianza
Malware Código malicioso
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
8
Paradigma Actual
La Red es la Computadora Es una computadora hipermasivamente
paralela ¿El medio es el mensaje? ¿Somos el medio? Los datos e información están dispersos Los programas están dispersos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
9
Paradigma Actual
Confidencialidad Integridad Accesibilidad Autenticidad
Confiabilidad proporcional a las políticas establecidas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
10
Problema Conceptual
Internet:Sistema de información no acotado
administrativamente No existe perímetro natural No existe lista de usuarios con
autenticadores No se puede verificar la trayectoria de la
información Hay muchos puntos de ataque
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
11
Amenazas
Intercepción (y lectura) de datos en tránsito Acceso a programas o datos en host
remotos Modificación de programas o datos en host
remotos Modificación de datos y programas al vuelo Interrupción del flujo de información Fabricación de información
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
12
Amenazas
Suplantación de un usuario para añadir comunicaciones
Inserción de una repetición de una secuencia
Bloqueo de tráfico selecto Negación del servicio Ejecución de un programa en un host
remoto
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
13
Internet
¿Qué hay en Internet de interesante que todo mundo quiere acceso a la red?
Más de 1100 millones de usuarios Internet 70% de la información es digital 30 billones de páginas Web Empresas y organizaciones importantes Comercio, banca, negocios y servicios Grandes bancos de información
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
14
Internet
Nuevas Amenazas y vulnerabilidades El lado obscuro y tenebroso de Internet Mucho de esto se desconoce Problema de educación y conciencia El peligro acecha en todas partes, desde
cualquier lado, a todas horas El atacante es invisible y ubicuo
WORLD INTERNET USAGE AND POPULATION STATISTICS
World RegionsPopulation( 2007 Est.)
Population% of World
Internet Usage,Latest Data
% Population( Penetration )
Usage% of World
Usage Growth
2000-2007
Africa 933,448,292 14.2 % 32,765,700 3.5 % 3.0 % 625.8 %
Asia 3,712,527,624 56.5 % 389,392,288 10.5 % 35.6 % 240.7 %
Europe 809,624,686 12.3 % 312,722,892 38.6 % 28.6 % 197.6 %
Middle East 193,452,727 2.9 % 19,382,400 10.0 % 1.8 % 490.1 %
North America 334,538,018 5.1 % 232,057,067 69.4 % 21.2 % 114.7 %
Latin America/Caribbean 556,606,627 8.5 % 88,778,986 16.0 % 8.1 % 391.3 %
Oceania / Australia 34,468,443 0.5 % 18,430,359 53.5 % 1.7 % 141.9 %
WORLD TOTAL 6,574,666,417 100.0 % 1,093,529,692 16.6 % 100.0 % 202.9 %
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
18
Internet
Mucha confusión sobre políticas relacionadas a InternetNada está definido
Desempleo de profesionales jóvenesPotenciales Cyber Criminales
Alarmante crecimiento de casos de Cyber CrimenEspecialmente contra instituciones financieras,
personas y recursos de información sensible
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
19
Pero…Internet también es: Vehículo de progreso
De la globalización a la localización ….
….. el futuro es la personalización
Medio actual de comunicación rápida
Internet … every where
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
20
CyberCrimen y CyberTerrorismo
De Internet a Undernet Del Cyber Crimen al Cyber Terrorismo Amenazas internas en crecimiento Ingeniería social Era desconocida Sistemas de defensa sin políticas de
seguridad
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
21
Esceneario del Crimen (Internet)
Comercialización y crecimiento masivo Arena de actividad económica que involucra
a millones de usuarios anónimos Anonimato y alcance global Actividad y riqueza almacenada en
información Banca y comercio electrónicos Bajo riesgo y alto rendimiento para el
crimen
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
22
CyberCrimen y CyberCriminales
Valor de la información y transacciones El CyberCrimen es crimen organizado El CyberCrimen es actividad profesional Objetivos del Cybercrimen y
CyberCriminales:Datos financieros Información de identificación personalPropiedad intelectual
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
23
Categorías de CyberCrimen Extorsión Daño de Prestigio y Reputación Fraude Phishing Quebranto del Servicio Robo de Información Lavado de Dinero Explotacion de Menores Tráfico de todo tipo
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
24
Categorías de CyberCrimen
ExtorsiónAmenaza de: quebranto de red, negación de
servicio, robo de informaciónSecuestro virtual de personasSecuestro real de información vital
Daño de Prestigio y ReputaciónAlteración, deformación o cambio de imagen
pública (sitios web)
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
25
Categorías de CyberCrimen
Fraude Tiendas falsas (no solo se quedan con el dinero, sino
también con los datos de la tarjeta) Ofertas de negocios fabulosos Oferta de productos casi regalados Oportunidades de ganar o compartir millones
Phishing Falsos mails de bancos o compañías de tarjetas de
crédito solicitando datos personales y bancarios Sitios suplantados pero indistinguibles de los legítimos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
26
Categorías de CyberCrimen
Quebranto del ServicioNegación de ServicioCódigo malicioso a través de virus y gusanos
Robo de InformaciónRobo de información financiera, personalRobo de propiedad intelectualRobo de secretos científicos, industriales,
comerciales, de estado, militares, etc.
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
27
Categorías de CyberCrimen Lavado de Dinero
Transacciones bancarias anónimas Geográficamente dispersas Difíciles de rastrear y autenticar
Explotación de MenoresPornografía infantil
TráficoDrogasPersonasÓrganos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
28
Jerarquía de CyberCriminales
Script KiddyAtacante joven (< 20 años) y no técnicamente
sofisticadoUsa herramientas que otros escribieron. No
comprende cómo funcionan
Cyber PunkUsa sus habilidades para atacarGrafitero de sitios Web
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
29
Jerarquía de CyberCriminales
Hacker y CrackersDisfruta aprendiendo técnicas (lenguajes,
protocolos)Disfruta jugando con los sistemas
CodersVeteranos de la comunidad hackingAños de experienciaProducen herramientas (trojans, mailers,
custom bots) o servicios (hacer un código indetectable por los AV)
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
30
Jerarquía de CyberCriminales
Drops Convierten el “dinero virtual” obtenido en el
CyberCrimen en dinero real Usualmente localizados en países con leyes laxas con
el cybercrimen (Bolivia, Indonesia y Malaysia son muy populares)
Cyber Gangs o Mobs Grupos de profesionales (carreras técnicas) y hackers Tienen y adquieren el equipo que necesitan para atacar Contratan servicios de los anteriores
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
31
Herramientas del CyberCrimen Bots
Computadora en la cual, un virus o gusano, ha instalado programas que se ejecutan automáticamente
Permiten al atacante acceso y control Bot Network
Colección de máquinas infectadas, comprometidas semanas o meses antes por los atacantes
Se usan para lanzar ataques simultáneos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
32
Herramientas del CyberCrimen Keylogging
Programa que captura y registra los teclazos del usuario
Después accesa o envía secretamente los datos al atacante
BundlingPega virus o spyware a descargas que hace el
usuarioCuando el usuario instala el software
descargado, también instala el programa del atacante
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
33
Herramientas del CyberCrimen Negación de Servicio
Ataque diseñado específicamente para evitar el funcionamiento normal de una red o sistema y evitar el acceso de usuarios autorizados
Packet SnifferPrograma de software que monitorea el tráfico
de redUsados para capturar y analizar datos,
especialmente passwords
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
34
Herramientas del CyberCrimen
RootkitConjunto de herramientas usadas por el
atacante después de infiltrar una computadoraLe permiten:
Mantener el acceso Evitar detección (oculta proceso y archivos) Construir backdoors ocultas Obtener información de la computadora
comprometida y de los otras computadoras en la red
Los hay disponibles para la mayoría de S.O.
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
35
Herramientas del CyberCrimen Spyware
Software que obtiene información sin el conocimiento del usuario
Típicamente viene adherido con otro programa (legítimo)
El usuario desconoce que al instalar uno instala el otro Monitorea la actividad del usuario en la red y
retransmite esa información al atacante Captura y mantiene: direcciones de correo, passwords,
números de tarjetas de crédito, información confidencial, etc.
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
36
Herramientas del CyberCrimen
ScriptsProgramas o listas de comandos, disponibles
como shareware en sitios de hackersPueden copiarse e insertarse remotamente en
una comutadoraUsados para atacar y quebrantar la operación
normal de una computadora Ingeniería Social
Todo tipo de técnicas de engaño
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
37
Herramientas del CyberCrimen Troyano
Programa malicioso inadvertidamente descargado e instalado por el usuario
Algunos pretenden ser aplicaciones benignas
Muchos se ocultan en la memoria de la máquina con nombres no descriptivos
Contiene comandos que la computadora ejecuta automáticamente sin conocimiento del usuario
Algunas veces actúan como zombies y envían spam o participan en un ataque de negación de servicio distribuido
Pueden ser un Keylogger u otro programa de monitoreo que colecciona datos que envía encubiertamente al atacante
Muchos troyanos ahora intentan desabilitar los programas antivirus
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
38
Herramientas del CyberCrimen Worms
Viajan a través de las redes Se duplican a sí mismos y se auto envían a direcciones que
están en la computadora host Se propagan enviando copias de sí mismos a otras
computadoras por e-mail o por Internet Relay Chat (IRC) Virus
Programa o pieza de código que se difunde de computadora a computadora sin consentimiento del usuario
Causan eventos inesperados y negativos cuando se ejecutan en la computadora
Contaminan programas legítimos Son introducidos a través de anexos en e-mails Usan nombres ingeniosos para atraer la curiosidad del lector
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
39
Herramientas del CyberCrimen
Zombie Computadora ejecutando programas que dan el control a
alguien distinto del usuario Ejecutan automáticamente comandos de alguien distinto
al usuario, sin el conocimiento de este Se crean poniendo código ejecutable en una máquina de
usuario (normalmente usando un troyano) El atacante obtiene el control de la computadora y
automáticamente ejecuta un comando para iniciar: Un ataque de negación de servicio Envío de spam Etc.
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
40
¿Dónde se consiguen esas herramientas?
En los sitios de Hackers:
http://packetstormsecurity.org/
http://neworder.box.sk/
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
41
¿Contramedidas y actualidad sobre ataques?
En los sitios: http://www. securityfocus.com/ http://www.grc.com/ http://www.csoonline.com/ http://www.cert.org/ http://www.nist.org/
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
42
Phishing y Pharming (Pescadores y Granjeros)
El Problema:AutenticaciónControl de Acceso
Los S.O. implementan mecanismos de Autenticacion y Control de Acceso para impedir que accedan a recursos y servicios personas no autorizadas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
43
Robo de Identidad
Cualquiera que conozca el nombre de usuario y la contraseña será considerado por el S.O. como el usuario legítimo al que pertenece esa información confidencial
Si el que usa esta información no es el
usuario legítimo sucede una suplantación, o sea un robo de identidad
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
44
¿Qué hacen los pescadores? (Phishing)
Engañar a la víctima para que entregue información confidencial que permita el acceso a sus tesoros
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
46
Métodos de Phishing
Métodos psicológicos, o sea Ingeniería Social El “pescador” puede hacerse pasar por una entidad
confiable que hace preguntas concretas El “pescador” puede espantar a la víctima haciéndole
pensar que sus tesoros han sido atacados
Métodos técnicos Colocar código malicioso (malware) en la computadora
de la víctima Dirigir una solicitud a un servidor de páginas falso Falsificar la dirección del remitente de un mensaje
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
47
Ingeniería Social Éxito de estafadores basado en comprensión,
intuitiva o basada en experiencia, de los sesgos cognoscitivos de las víctimas y en su ignorancia computacional
El uso de los sesgos cognoscitivos se llama pretextar Pretextar es el acto de crear y usar un escenario ficticio
(el pretexto) para convencer a la víctima de que debe entregar información confidencial o de que realice una acción que lo puede dañar
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
49
Mensajes
Llamada Telefónica Correo Electrónico y Spam Entrega a través de la red IRC y Mensajería Instantánea Servidores con contenido malicioso
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
51
Correo Electrónico
Mensajes que parecen ser institucionales Copias de mensajes legítimos con pequeñas
variaciones en el URL Correo basado en HTML para ofuscar el URL del
destinatario Anexos a mensajes que contienen virus o gusanos Redacción de mensajes personalizados Mensajes maliciosos en grupos de discusión o
listas de correo Falsificación del domicilio del originador
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
53
La Red
URL disfrazados Anuncios falsos que lleven a la víctima a un sitio
del atacante Fallas de los navegadores Ventanas instantáneas Inserción de código malicioso Colocación de código malicioso en alguna
página Abusar de la configuración de seguridad del
navegador de la víctima
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
54
Internet Relay Chat y Mensajería Instantánea
Muchos clientes de IRC y mensajería permiten incluir contenido dinámico (gráfico, multimedia, URL)
Se pueden emplear métodos automáticos para enviar masivamente mensajes instantáneos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
55
Contenido Malicioso
Se puede usar una PC invadida como origen de muchos ataques de pesca.
Registradores de la mecanografía
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
56
Amenaza y Crimen (Secuestro Virtual)
Método de ingeniería social de otra naturaleza, muy peligroso, es la amenaza de violencia física a la víctima o a su familia
El atacante debe estar buscando una ganancia que valga la pena, pues se está cometiendo un crimen, no un fraude o un delito cibernético sino un crimen común y corriente
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
57
Ataques Cibernéticos y Delitos Informáticos
Los ataques cibernéticos son análogos a la pesca con caña y carrete
Se exhibe a la víctima potencial un señuelo y, cuando el señuelo es tomado, se captura a la victima
En nuestro caso la pesca es el robo de la identidad cibernética de la víctima, o sea la divulgación de su información confidencial
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
58
Métodos de Ataque
Hombre en medio URL ofuscados Cross site scripting Sesiones preestablecidas Ataques encubiertos Obtención de datos del uso Vulnerabilidades de los clientes
Hombre enmedio
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
60
URL ofuscado
Nombres de dominio maliciosos http://mybank.com:[email protected]/phishing/fakepage.htm
username = mybank.com,password = ebanking
Servicios de simplificación de URLOfuscación del nombre del servidor
• Decimal – http://210.134.161.35/• Dword – http:// 3532038435/• Octal – http://0322.0206.0241.0043/• Hexadecimal – http://0xD2.0x86.0xA1.0x23/ o bien http://0xD286A123/
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
61
Para que puedan funcionar en varios idiomas, muchos navegadores y clientes de correo permiten codificar los datos de maneras alternas:%hexhexUnicodeUnicode UTF-8Codificación múltiple
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
62
Cross Site Scripting
Cuando se tienen varias ventanas abiertas todas están mutuamente accesibles
Incluyendo las que contienen páginas provenientes de otros sitios
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
64
Sesiones Preestablecidas
Para seguir a los usuarios de una aplicación y administrar los recursos mediante autenticación se usan identificadores de sesión tales como Galletas (cookies) Campos ocultos Campos que forman parte del URL
El pescador usa una página legítima pero inserta un identificador de sesión al que vigila hasta que aparezca una página restringida
Si el usuario no se autentica con éxito, recibirá mensajes de error del servidor de la aplicación
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
66
Obtención de datos de uso
Registradores de mecanografía Captura de flujos de clicks
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
68
Vulnerabilidades de los Clientes
Uso de la combinación de Internet Explorer y Media Player para permitir que servidores remotos lean archivos locales, transiten por los directorios y ejecuten código
Corrupción de la memoria que el S.O. asigna a una aplicación para que guarde sus datos mediante Real Player
Ataque mediante mensajes falsos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
70
Ataque mediante mensajes falsos
Copias de mensajes legítimos con pequeñas variaciones en el URL
Correo basado en HTML para ofuscar el URL del destinatario
Mensajes donde se ha falsificado el domicilio del remitente
Mensajes falsos convincentes
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
71
Ataque Mediante inyección de código malicioso
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
72
Ataque Mediante inyección de código malicioso
Archivos anexos a mensajes de correo electrónico
Mensajes en grupos de discusión, listas de correo o charlas electrónicas
Wikis Blogs Anuncios falsos en los resultados de
búsquedas que lleven a la victima a un sitio del atacante
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
73
Ataque Mediante inyección de código malicioso
Páginas Web que contienen código ejecutable
Páginas Web espurias diseñadas para que los buscadores las encuentren
Flujos de información ( sonido y video) Programas aparentemente inocuos
(caballos de Troya) Ventanas instantáneas
Ataque mediante servidores de páginas falsificados
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
75
Ataque mediante servidores de páginas falsificados
Las páginas que presente el pescador deben ser convincentes
El pescador aprovecha las debilidades de la victima
Aparece una cuestión fundamental para los que diseñan la interfaces de usuario, pues es allí, en las interfaces, que se da la batalla entre los pescadores y las víctimas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
76
Defensa contra Pescadores Vigilar actividades potencialmente maliciosas:
Uso de sitios de Web Registros de nombres de dominio
Autenticar (firmar digitalmente) los mensajes de correo electrónico y descartar los que no tengan firma conocida
Detectar el uso no autorizado de marcas, logotipos y otras imagines que son propiedad de alguna empresa
Instalar en los clientes programas que detecten código malicioso
Usar información personal para autenticar los mensajes de correo electrónico
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
77
Defensa contra Pescadores
Avisar a los usuarios cuando se detecte un servidor fraudulento
Establecer una trayectoria confiable cuando se efectúe un dialogo, es decir, autenticar a ambas partes del dialogo
Usar sistemas de autenticación de dos partes Obligar a que cada servidor tenga contraseñas
propias que no se compartan con otros servidores Usar certificados digitales que especifiquen para
que se pueden usar
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
78
Defensa de los Clientes
Protección de la computadora Correo electrónico más sofisticado Uso de la capacidad de los navegadores Correo Firmado Capacitación y sensibilización de los
usuarios
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
79
Defensa de los Servidores
Autenticación de los servidores Verificación de la correspondencia
institucional Vigilancia del dominio Servicios de compuertas Servicios administrados
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
80
Causas del Phishing
Ignorancia Sobre sistemas de Cómputo
Debilidades de los sistemas operativos Estructura del sistema de domicilios de Internet Sistema de encabezados de mensajes
Sobre la seguridad y los indicadores de seguridad Significado del candado como icono de seguridad Ubicación de ese icono en la pagina Significado de los certificados de identidad de sitios Verificación del URL del sitio al que se van a conectar
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
81
Causas del Phishing Engaños visuales
Texto engañoso Sintaxis de los apuntadores Confusión entre la “i” y el “1” Uso de símbolos que no se pueden imprimir o desplegar
Imágenes que enmascaran texto Uso de hiperenlaces en los que aparece una imagen quedando el
URL oculto Imágenes que imitan ventanas
Colocación de una imagen de una ventana Colocación de una imagen que simula un diálogo
Ventanas que enmascaran ventanas Ventanas fraudulentas encima o muy cerca de una ventana legitima Ventanas que provienen de fuentes distintas
Presencia engañosa Aspecto de una ventana falsa muy parecida a una verdadera Logotipos, textos e imágenes verdaderas con funciones falsas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
82
Causas del Phishing
Atención limitada Falta de atención a los indicadores de
seguridad
Falta de atención a la ausencia de indicadores de seguridad
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
83
Pharming (Granjeros) ¿Qué hacen?
Manipulan las maneras en las que un usuario ubica y se conecta con un servidor de nombre (DNS) conocido, mediante la modificación del proceso de traducción de los nombres a domicilios IP
Su propósito es obtener información personal del usuario del cliente
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
84
Pharming (Granjeros) ¿Qué hacen?
Cambian el domicilio que aparece junto a un nombre en la lista del DNS, poniendo allí el domicilio de un servidor malicioso
Ese servidor simula al que se quería conectar originalmente el usuario, quien al ser engañado entrega su información de autenticación: su nombre y contraseña
Una vez que el granjero logra obtener esta información, envía un mensaje de error y transfiere la conexión al servidor legítimo ante el cual el usuario se tiene que volver a autenticar
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
85
Pastores… ¿Qué hacen? Lo primero que hacen es infiltrar una computadora
grande y colocar un programa servidor de IRC Luego infiltran muchas otras computadoras
pequeñas y grandes y colocan un cliente IRC en cada una
Finalmente crean su rebaño,regresando al programa servidor y suscribiendo a todas las otras computadoras , y a la suya propia, a la red IRC
De esta manera se pueden comunicar con su rebaño y enviarles instrucciones a las computadoras infiltradas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
87
Uso de los Rebaños
Envío masivo de mensajes de correo electrónico
Apoyar el trabajo de los pescadores Llevar a cabo ataques distribuidos de
denegación de servicio Obtención de informacion contenida en
computadoras selectas
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
88
Rebaños
Los rebaños pueden ser enormes
Uno famoso llamado Phatbot Network contaba con más de medio millón de computadoras infiltradas
Los pastores llevan a cabo concursos mundiales
En los ultimos, algunos pastores han exhibido control de más de 1,200,000 computadoras, aunque mantener ese control es difícil
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
89
Mecanismos de Defensa
Comportamiento del tráfico Los miembros de una red tienen que
comunicarse para organizarse y atacar Esto cause patrones de tráfico identificables Los mecanismos más frecuentes empleados
por las redes maliciosas son IRC y HTTP Un flujo anormalmente alto de paquetes de
estos protocolos indica la presencia probable de una red maliciosa
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
90
Mecanismos de Defensa
Comportamiento de computadoras Puesto que las redes dependen de la instalación de
código malicioso en sus miembros, se pueden usar todas las técnicas de detección de virus
Comportamiento correlacionado global El comportamiento correlacionado global está ligado a
las estructuras fundamentales de las redes y de sus mecanismos de funcionamiento
Todas las redes maliciosas del mismo tipo presentan comportamientos globales iguales, y detectables
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
91
InfoWar MessageLabs y Counterpane reportaron en April 2006:
El 61% de las computadoras tienen “algun tipo” de spyware or adware instalado
El uso de Tryanos para espionaje entre competidores es muy comun
D&B Israel launches industrial espionage system
INDIA ACCUSES US OF SPYING By KonstantinKornakovJul 31 2006 After several high profile arrests within the Indian security
forces, the country’s government has decided to lodge an official protest with the US embassy in New Delhi. Indian authorities accuse the US of using a joint Indian-US cyber security forum as cover for spying activities in which several senior national security officials were involved.
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
92
Vislumbrar Solución
Esquemas de seguridad en el ámbito computacional enfocados principalmente a la autenticación y a la criptografía
Pero en casi todos los casos se ha ignorado el factor humano y su impacto en los ataques a la seguridad
Por lo tanto, hay que tomar conciencia del peligro y educar en esa dirección
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
93
Vislumbrar Solución
El destino nos alcanzó a todos en la era de las TI y de Internet
La preocupación de seguridad informática entró al ámbito personal y familiar
La solución no es única ni del mismo ámbito Pasa por el aspecto humano (psicología e
ingeniería social) y el aspecto técnico Lo mismo hay que tomar conciencia que
conocer el aspecto técnico
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
94
Recomendaciones
Conocer el problema y estar actualizado (sitios especializados)
No confiarse y seguir los checklist para configuraciones seguras en el ámbito que nos toca
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
95
Recomendaciones
Autenticación mutua (SSL, TLS) Autenticación de 2 factores Certificados Digitales Biometría Tokens en banca electrónica Comercio electrónico con Protocolos
Seguros (SET, SPP, iKP) y Certificados Digitales
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
96
Recomendaciones
Canales Cifrados (SSH, SSL) para sesiones remotas
Correo Electrónico firmado y cifrado (PGP) Asegurar que el Código libre que se baja de
red tenga asociado un Certificado Digital y venga firmado
Asegurarse, para transacciones y datos sensibles, entrar a sitios certificados
Asegurarse de usar sitios con protocolo https
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
98
El Próximo Futuro
Amenazas a Dispositivos MóvilesTeléfonos Celulares
Cada vez más parecidos a la computadora
Asistentes Personales (PDA’s) Cada vez se guarda más información de alto valor
Voz sobre IP (VoIP)Servicios telefónicos
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
99
El Próximo Futuro Código Malicioso por E-mail
Los virus por e-mail, a la bajaA la alta, nuevas formas de malware por e-mail
Explotación de Redes InalámbricasRedes inalámbricas difíciles de asegurarLas vulnerabilidades serán peores que las
anteriores
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
100
El Próximo Futuro
Spam y SpywareFormas de insertar código malicioso
Phishing y Robo de IdentidadPsicología Ingeniería SocialFalta de educación en riesgos en uso de la
tecnología
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
103
Algunas Reflexiones
La motivación principal de los atacantes en Internet se ha apartado del vandalismo y la fama y ahora se dirige a las ganancias económicas
El atacante de hoy trata de explotar a individuos y empresas para obtener ingresos o beneficios económicos
Esto causa pérdidas enormes para las víctimas Un estudio realizado por las autoridades en los
EE.UU. cuantifican los daños en año 2006 en 67.2 miles de millones de dólares
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
104
Algunas Reflexiones
La Nueva Selva Virtual nos obliga a cuidarnos y defendernos para sobrevivir
La Era de las TI e Internet conlleva una nueva forma de terror y de esclavitud
Nos sorprendió la tecnología cuando no estamos preparados para asumir sus riesgos
Podemos no usar la tecnología… o usarla selectivamente?
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
105
Algunas Reflexiones
Marshall McLuhan tenían razón?“Somos lo que vemos”
“Formamos nuestras herramientas y luego ellas nos forman a nosotros”
El mensaje es el medio
Somos el medio
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
106
Muchas Gracias !!..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
Tel. 01 55 56231070
DGSCA Centro Nuevo León, UNAM, Mayo 16, 2007
107
Seguridad y TI en la UNAM
Diplomado de Seguridad Informática http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/
LLaboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/
Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org
Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html
PGP: http://www.pgp.com/downloads/index.html
PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/products-services/security-services/pki/index.html
OpenCA: http://www.openca.org/
Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
IDS (Intrusion Detection System)Snort: http://www.snort.org
Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php
Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
Firewallshttp://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
Monitores de RedNtop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/
Analizadores de VulnerabilidadesNessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php
Passwords CrackersJohn de Ripper
http://www.openwall.com/john/
ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html
ISO/IEC 27001
http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter
Sarbanes Oxley http://www.s-ox.com/
ANTIVIRUSAVAST (libre) http://www.avast.com/eng/
free_virus_protectio.htmlCLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1