“Control de Acceso: Detección de Intrusiones, Virus, Gusanos

Anuncio
“Control de Acceso: Detección
de Intrusiones, Virus, Gusanos,
Spyware y Phishing”
Leandro Meiners
lmeiners@cybsec.com
Agosto de 2005
Buenos Aires - ARGENTINA
Jornadas de Seguridad Informática
Temario
© 2005
Temario
• Estadísticas y Cifras
• Detección de Intrusiones
• Hackers vs. Crackers
• “Potenciales” Intrusos
• Sistema de Detección de Intrusiones (IDS)
• Virus: Qué son y métodos de protección
• Gusanos: Qué son y métodos de protección
• Spyware: Qué son y métodos de protección
• Phishing
2
Jornadas de Seguridad Informática
Estadísticas y Cifras
© 2005
Uso NO Autorizado de Computadoras en Estados Unidos
3
Jornadas de Seguridad Informática
Estadísticas y Cifras
© 2005
Tipos de Ataques Detectados en Estados Unidos
4
Jornadas de Seguridad Informática
Estadísticas y Cifras
© 2005
Situación en Argentina: 3era Encuesta de Seguridad
Informática de C.I.S.I.AR
¿Ha tenido incidentes de Seguridad
Inform ática en el últim o año?
150%
100%
50%
15%
42%
18%
35%
20%
27%
46%
53%
43%
Año 2002
Año 2003
Año 2004
NO SABE
NO
SI
0%
Fuente: C.I.S.I.AR
5
Jornadas de Seguridad Informática
Estadísticas y Cifras
© 2005
Situación en Argentina: 3era Encuesta de Seguridad
Informática de C.I.S.I.AR
¿Cuál es el origen más común de los incidentes de
seguridad en su empresa?
70%
60%
50%
40%
30%
20%
10%
0%
63%
58%
52%
Sistemas interno s
32%
Internet
30%
23%
10%
3%
3%
Año 2002
5% 4% 4%
Año 2003
4% 2% 6%
A cceso s remo to s vía
mo dem
Vínculo s Externo s
(pro veedo res y clientes)
Otro s
Año 2004
Fuente: C.I.S.I.AR
6
Jornadas de Seguridad Informática
Detección de Intrusiones
© 2005
Hackers vs. Crackers
• Hacker:
• Una persona que disfruta explorando los detalles internos de
los sistemas informáticos y cómo extender sus capacidades más
allá de lo normal.
• Una persona que disfruta con entusiasmo la programación.
• Cracker:
• Una
persona que accede en forma no
autorizada a un Sistema Informático con
intenciones de provocar daño .
7
Jornadas de Seguridad Informática
Detección de Intrusiones
© 2005
¨Potenciales¨ Intrusos
• Espías Industriales.
• Usuarios del sistema.
• Empleados.
• Ex-empleados.
• Crackers.
• Vándalos.
• Dos millones de adolescentes.
Los ataques pueden ser:
INTERNOS o EXTERNOS.
• Los ataques externos son más fáciles de
detectar y es más fácil protegerse contra ellos.
• El intruso interno posee una gran ventaja: ya
tiene acceso a la red e incluso al servidor que
quiere atacar...
8
Jornadas de Seguridad Informática
Detección de Intrusiones
© 2005
Sistema de Detección de Intrusiones (IDS)
Un sistema de detección de intrusiones captura y analiza datos en
busca de “comportamientos” fuera de lo normal.
• Existen dos tipos de IDS:
• De host (HIDS): Captura datos del sistema.
• De red (NIDS): Captura datos del tráfico de red.
• Los IDS pueden analizar los datos de dos maneras:
• Patrones de “mal uso”: Compara los datos obtenidos con
“firmas” de ataques.
• Detección por anomalía: Compara los datos contra una “línea
base” de datos normales.
• Los IDS responden a los ataques de distintas maneras:
• Pasivo: Registra, y eventualmente reporta, el ataque.
• Reactivo: Reacciona ante el ataque intentando mitigarlo.
9
Jornadas de Seguridad Informática
Detección de Intrusiones
© 2005
Sistema de Detección de Intrusiones (IDS): Gráfico de Red
10
Jornadas de Seguridad Informática
Virus
© 2005
¿ Qué es un Virus ?
Es un programa que se auto-replica infectando a otros programas o
documentos y se ejecuta en el sistema informático sin el conocimiento
del usuario. Los virus no pueden existir por sí mismos, necesitan de
un archivo “portador”.
Los virus son distribuidos por el usuario, en la mayoría de los casos
sin su consentimiento, cuando se copia, envía por correo electrónico,
etc, archivos infectados.
11
Jornadas de Seguridad Informática
Virus
© 2005
¿ Cómo se protege de ellos ?
El software de Antivirus busca en los archivos del sistema “firmas”
de virus (que identifican archivos infectados) y, de ser posible, los
remueven. La limitación de esta técnica es que sólo se puede detectar
virus para los que conoce su firma, motivo por el cual la base de
datos de firmas debe ser actualizada permanentemente.
12
Jornadas de Seguridad Informática
Gusanos
© 2005
¿ Qué es un Gusano ?
Es un programa que se auto-replica y se ejecuta en el sistema
informático sin el conocimiento del usuario. A diferencia de los virus,
los gusanos no necesitan de un archivo portador y se distribuyen a
través de la red utilizando vulnerabilidades de seguridad para
infectar a los sistemas informáticos.
13
Jornadas de Seguridad Informática
Gusanos
© 2005
¿ Cómo se protege de ellos ?
• Manteniendo los sistemas informáticos actualizados con los últimos
parches de seguridad aplicados.
• El software de Antivirus también detecta y remueve Gusanos.
14
Jornadas de Seguridad Informática
Spyware
© 2005
¿ Qué es el Spyware ?
Es un programa que se instala sin el conocimiento del usuario,
generalmente incluido dentro de aplicaciones gratuitas.
El objetivo del Spyware es comercial, en general:
• Envían información del usuario a su creador, por ejemplo:
• Sus hábitos de navegación por Internet.
• Información confidencial del usuario (documentos, números de
tarjetas de crédito, etc.).
• Le muestran publicidades al usuario.
15
Jornadas de Seguridad Informática
Spyware
© 2005
¿ Cómo se protege de ellos ?
Software Antispyware, que funciona como un antivirus pero para
Spyware, como por ejemplo:
• Adaware (www.lavasoftusa.com/software/adaware)
• Spybot (http://www.safer-networking.org/en/index.html)
16
Jornadas de Seguridad Informática
Phishing
© 2005
¿ Qué es el Phishing ?
Es el acto de intentar adquirir, de forma fraudulenta, información
sensible, simulando ser por una entidad confiable con una necesidad
real de dicha información. Es una forma de ingeniería social.
17
Jornadas de Seguridad Informática
Phishing
© 2005
¿ Cómo se lleva a cabo ?
El atacante le envía al usuario un correo electrónico, que parece ser
auténtico, que contiene un link a una página Web controlada por el
atacante. La página está construida para parecer auténtica y le
solicita al usuario que ingrese información confidencial justificando
este requerimiento con alguna excusa, por ejemplo:
• “Estamos actualizando los datos de los clientes”
• “Necesitamos confirmar sus datos debido a una actualización de la
aplicación de Home Banking”
• etc.
18
Jornadas de Seguridad Informática
Phishing
© 2005
¿ Cómo se protege ?
La única solución para este problema es la concientización de los
usuarios. Los usuarios NO deben confiar en correos electrónicos
recibidos que les soliciten información confidencial. Además, deben
constatar
todo
requerimiento
por
algún
otro
medio
(llamada
telefónica, etc.).
Las organizaciones que manejan información confidencial de usuarios
NO deben utilizar el correo electrónico con objetivos típicos del
Phishing (actualización de información) y DEBEN informarle al
usuario que nunca lo harán. De esta forma el usuario será más
desconfiado ante un ataque de Phishing, no cayendo “presa” del
mismo.
19
Jornadas de Seguridad Informática
© 2005
¿Preguntas?
20
Gracias por
acompañarnos.
www.cybsec.com
Descargar