1 Ataque a los Sistemas Informáticos Técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 22 de Abril de 2002 Escuela Politécnica del Ejército de Ecuador (ESPE) Quito - ECUADOR 2 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Temario - La Seguridad Informática. - Conociendo el Enemigo. - Vulnerabilidades de Seguridad Informática. - Penetration Tests. - Herramientas de Seguridad Informática. 3 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿Qué es la Seguridad Informática? La seguridad informática concierne a la protección de la información que se encuentra en una computadora o en una red de ellas y también a la protección del acceso a todos los recursos del sistema. 4 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Departamento de Defensa de los EEUU nDe 8932 Ataques informáticos. n7860 fueron exitosos. n390 detectaron el ataque. nSolamente 19 reportaron el ataque. Fuente: Computer Security Journal Vol XII - 2.1 5 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Recursos... Desde 1998 hasta hoy hubo 48 ataques exitosos a páginas Web en la Ecuador. Fuente: www.alldas.org http://www.alldas.org © 2002 CYBSEC S.A. 6 Ataque a los Sistemas Informáticos Si voy a proteger mi Sistema Informático, debo conocer a mi posible atacante, saber quién es, qué hace, qué conoce de mi sistema, debo ... “conocer a mi enemigo” y aceptar que deberé convivir con él. Internet es un mundo virtual, maravilloso, pero también puede ser riesgoso por su intrínseca falta de control y restricciones. 7 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿QUÉ ES UN HACKER? Una persona que disfruta explorando los detalles internos de los sistemas informáticos y cómo extender sus capacidades más allá de lo normal. Una persona que disfruta con entusiasmo la programación. Un experto o entusiasta en una determinada área. No es una persona malintencionada. ¿QUÉ ES UN CRACKER? Una persona que accede en forma no autorizada a un Sistema Informático con intenciones de provocar daño. 8 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿De quiénes nos protegemos...? Potenciales “enemigos” - Espías Industriales. - Usuarios del sistema. - Ex-empleados. - Crackers. - Vándalos. - Dos millones de adolescentes. 9 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿De qué nos protegemos...? Objetivos de los intrusos sobre un Sistema Informático - Robo de información confidencial. - Fraude financiero. - Modificación de archivos. - Denegación del servicio. - Destrucción del Sistema Informático. - Sabotaje Corporativo. 10 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Origen de los Ataques 1994 1996 1999 70% 60% 30% EXTERNOS 30% 40% 70% INTERNOS 70% 60% 50% 40% Externos 30% Internos 20% 10% 0% 1994 1996 1999 11 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos NIVELES DE CONOCIMIENTO DE LOS INTRUSOS INTRUSOS "D" 3% INTRUSOS "C" 7% INTRUSOS "B" 10% INTRUSOS "A" 80% 12 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Metodología de un ataque Los ataques pueden ser Externos o Internos Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El atacante interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar. Intruso Externo Server Interno Barreras © 2002 CYBSEC S.A. Intruso Interno 13 Ataque a los Sistemas Informáticos Origen de los ataques externos - Redes de proveedores y clientes (7%). - Redes alquiladas (3%). Internet - Internet (80%). - Módems (10%). Empresa Redes Alq. Acceso Remoto Proveedores y Clientes 14 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos La seguridad informática es dinámica. 15 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Cantidad de vulnerabilidades informáticas por Sistema Operativo Windows NT/2000 SUN Solaris Linux Red Hat AIX Novell Netware 1997 1998 1999 2000 2001 10 24 6 21 0 10 33 10 38 0 83 36 49 10 4 126 23 85 15 3 12 6 20 2 0 Fuente: www.securityfocus.com 16 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos La clave de la seguridad informática en el año 2002 y de ahora en más, pasa por los recursos humanos capacitados para entender que es lo que esta pasando y poder actuar. Para poder defender nuestra red informática debemos armar un equipo de profesionales de seguridad informática con elevados conocimientos. 17 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Internet es la fuente de información primaria de seguridad informática. Para conocer sobre nuevas vulnerabilidades, leer artículos de seguridad, analizar BUGTRAQ y estar informado: www.securityfocus.com 18 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Para conocer sobre las viejas y nuevas herramientas de seguridad, de todos los sistemas operativos: www.packetstormsecurity.org www.technotronic.com 19 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿Qué es un Penetration Test? Se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. Permite detectar vulnerabilidades en el Sistema Informático y corregirlas en forma muy rápida y eficaz. 20 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos ¿Cómo se realiza un Penetration Test? Se utiliza una metodología de evaluación de seguridad informática que incluye tres grandes etapas: 1) Descubrimiento Horas, Días, 2) Exploración Meses. 3) Intrusión 21 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos La etapa 1, descubrimiento, se encuentra focalizada en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados. Se realizan investigaciones tratando de recolectar información sobre los blancos potenciales. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet; la evaluación de servicios de DNS externos; la determinación de rangos de direcciones IP, rangos telefónicos y la detección de medidas de protección. 22 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos 1) Descubrimiento En esta fase, se trata de recolectar la mayor cantidad de evidencia sobre la Empresa donde se van a realizar las pruebas. - Direcciones IP de Internet (utilizando ping, traceroute). - Dirección física (Guía telefónica). - Números telefónicos (Guía telefónica). - Nombres de personas y cuentas de correo electrónico (NIC). - Rango de direcciones IP del lugar (www.arin.net/whois). - Información de prensa sobre el lugar (Medios locales). - Análisis de la página WEB (Browser). 23 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos La etapa 2, exploración, se centra en investigar los riesgos de seguridad relevantes para la organización. En esta etapa se aplican técnicas no intrusivas para identificar vulnerabilidades dentro del perímetro de la organización. Incluye el análisis de protocolos; evaluación de la seguridad de los componentes; scanning de puertos TCP y UDP; detección remota de servicios; análisis de banners y evaluación de la seguridad de las aplicaciones detectadas. 24 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos 2) Exploración Se exploran todas las posibles puertas de entrada a los Sistemas y descubre que servicios se encuentran activos. - Scanning telefónico (Toneloc). - Scanning de rangos de direcciones IP (Ping Scan). - Transferencias de dominios (nslookup). - Scanning de puertos en el rango de direcciones IP (nmap). - Análisis de la configuración de cada Servicio (www.netcraft.com). - Análisis de toda la información (Detección de OS, Servicios, etc). 25 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos La etapa 3, intrusión, se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Incluye la revisión de la seguridad de todos los equipos detectados y servicios habilitados. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el Penetration Test, donde se incluye las técnicas de hacking a aplicar. 26 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos 3) Intrusión Se tratan de detectar vulnerabilidades en los Sistemas y realizar pruebas en un entorno controlado para intentar acceder al Sistema. - Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS). - Intento de acceso vía módems. - Intento de explotar las vulnerabilidades detectadas (www.securityfocus.com). - Utilización de ingeniería social para obtención de usuarios y claves. - Ingreso al Sistema. 27 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Aplicación de la soluciones Una vez finalizado el Penetration Test, Test se genera un informe con todas las vulnerabilidades de seguridad informática detectadas, sus riesgos asociados y los pasos a seguir para proteger los equipos afectados. Se realiza un proceso de corrección de los diferentes problemas de seguridad detectados, logrando obtener en poco tiempo un sistema informático con un nivel de seguridad elevado. 28 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Existen herramientas para solucionar los problemas de Seguridad Informática. - Diseño en un entorno asegurado. - Firewalls. - Sistemas de detección de intrusiones. - Certificados digitales. - Encriptación de las comunicaciones. - Actualización constante. 29 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Diseño en un entorno asegurado El diseño seguro de un Sistema Informático debe realizarse teniendo en cuenta: - Seguridad de toda la red. - Seguridad de la plataforma a utilizar. - Seguridad de la aplicaciones. 30 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Firewalls Un sistema que permite cumplir con una política de acceso. Se utiliza para proteger una red de computadoras segura conectada a una red insegura (Internet). INTERNET Red Interna Firewall 31 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Sistemas de detección de intrusiones - Un sistema que intenta detectar cuando un intruso trata de ingresar en forma no autorizada o trata de realizar una acción “peligrosa”. - Los IDS funcionan las 24 horas, los 365 días del año. - Detectan intrusiones en tiempo real tomando acciones preestablecidas. 32 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Sistemas de detección de intrusiones Técnicas para detectar comportamientos intrusivos: - Reconocimiento de ataques. - Modelo de riesgo. 33 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Certificados digitales Elevan el nivel de seguridad en el Sistema Informático, ya que el Usuario sabe que opera en un Site seguro. Permiten autenticar personas y equipos informáticos. Permiten además activar la encriptación de la información que se transmite. 34 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Encriptación de las comunicaciones Las comunicaciones que se transmiten entre los Sistemas Informáticos deben ir encriptadas con algoritmos fuertes cuando los datos viajen por redes públicas no seguras. El protocolo de encriptación más utilizando para el Comercio Electrónico es el SSL, SSL que es muy fuerte y se encuentra presente en la mayoría de los Browsers. 35 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos Actualización constante Actualización diaria o semanal de los Sistemas con respecto a nuevas vulnerabilidades. Capacitación de los Administradores de Seguridad. Entrenamiento sobre el manejo de intrusiones y simulación de ataques informáticos. 36 © 2002 CYBSEC S.A. Ataque a los Sistemas Informáticos - Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más. - Los sistemas informáticos poseen vulnerabilidades de seguridad y estas van en constante crecimiento, es muy importante capacitarse para poder prevenir y mantener el nivel de seguridad de una Empresa. - La seguridad informática de una Organización requiere de todo un conjunto de herramientas que funcionen de forma sinérgica. 37 © 2002 CYBSEC S.A. Muchas gracias por acompañarnos . . . www.espe.edu.ec 38