Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

TEMA XX - oposcaib

Anuncio 
Tema 42 – Principales amenazas a la seguridad
TEMA 42 – Principales amenazas para la seguridad de los SI’s:
Intrusiones, virus, phishing, spam y otros..
1 Introducción................................................................................................................................1
2 Programas maliciosos.................................................................................................................3
2.1 Métodos de infección:.....................................................................................................................3
2.2 Métodos de prevención...................................................................................................................4
3 Intrusiones en los SI....................................................................................................................5
3.1 Métodos de protección....................................................................................................................6
3.2 Riesgo con los sistemas de acceso remoto......................................................................................6
4 Amenazas a nivel de la red de comunicaciones.........................................................................7
4.1 Prevención:......................................................................................................................................7
5 Phishing.......................................................................................................................................8
6 Spam ............................................................................................................................................8
7 Ad-ware........................................................................................................................................9
1
Introducción
El objetivo de los sistemas de información es satisfacer las necesidades de sus usuarios (eficacia)
con el menor consumo de recursos informáticos posible (eficiencia). Existe una serie de
amenazas que pueden provocar que un sistema de información no sea eficaz y/o eficiente, es
decir, que sea inseguro.
Para garantizar la seguridad de un SI se tienen que cumplir tres principios básicos:
 Confidencialidad: Que la información sólo sea accesible por las personas que estén
autorizadas.
 Disponibilidad: Que el acceso a la información esté disponible en el momento que los
usuarios legítimos la necesiten.
 Integridad: La información debe mantenerse completa y correcta. No puede ser
manipulada sin autorización.
Tradicionalmente, la principal amenaza a la seguridad de los SI eran los virus. Programas
maliciosos, que infectaban los ordenadores y se transmitían gracias a la intervención humana,
mediante disquetes.
Con la popularización de Internet y de las redes de comunicaciones, las amenazas a la seguridad
de los SI han aumentado y se han diversificado. La principal causa ha sido y es la inherente
inseguridad de las tecnologías de comunicaciones telemáticas pues inicialmente se diseñaron sin
tener en cuenta requisitos de seguridad. Esta inseguridad aumenta dado el carácter público de
Internet.
Página 1 de 9
Tema 42 – Principales amenazas a la seguridad
Las principales fuentes de amenazas a la seguridad son:
 Los operadores: Sus acciones pueden provocar daños a los SI, tanto de forma
intencionada o accidental.
 Los programas maliciosos: Bombas lógicas, virus, gusanos... son programas diseñados
para provocar daños a los SI’s.
 Intrusiones: Son accesos no autorizados a los SI’s de la organización que amenazan la
integridad y la confidencialidad de los datos.
 Comunicaciones maliciosas: DoS, phising, spam... Son comunicaciones no legitimas
que causan perjuicio a los SI’s o a los usuarios.
Página 2 de 9
Tema 42 – Principales amenazas a la seguridad
2
Programas maliciosos
Los programas maliciosos son aquellos que realizan operaciones desconocidas por el usuario y
administradores, que provocan perjuicios al sistema.
Se pueden clasificar en:
1. Bacterias: Son programas autónomos que no provocan daños. Su único propósito es
replicarse a si mismos. Las bacterias se reproducen de forma exponencial, consumiendo
los recursos del sistema.
2. Bombas lógicas: Es código insertado en algún programa legítimo que cuando se
cumplen ciertas condiciones realiza acciones maliciosas. Por ejemplo: Es conocido el
caso de un empleado que añadió una bomba lógica al programa de cálculo de nominas.
Si su identificador no aparecía durante dos meses en la lista de empleados a calcular la
nómina, el programa comenzaba a borrar archivos, detenerse sin motivo y causar otros
problemas.
3. Caballos de Troya: Un caballo de Troya es una funcionalidad desconocida en un
programa, que cuando se invoca, lleva a cabo funciones dañinas o no deseadas. Los
caballos de Troya son utilizados para que usuarios con permisos realicen de forma
involuntaria acciones que ponen en peligro la seguridad del sistema. Por ejemplo: Un
usuario confiado puede ejecutar un programa aparentemente inofensivo (Por ejemplo: un
pequeño juego envíado por e-mail) que ejecute de forma invisible los permisos de los
archivos del usuario para que fueran legibles por cualquier otro usuario, revelando datos
confidenciales).
4. Virus: Un virus es un programa que puede 'infectar' otros programas modificándolos. La
modificación incluye una copia del virus, para que sea ejecutada al ejecutar el programa
infectado y poder continuar infectando otros programas o realizar otro tipo de actividad
maliciosa. Es el tipo de ataque más común y dañino.
5. Gusanos: Programas maliciosos que utilizan las infraestructuras de comunicaciones
(LAN e Internet) para saltar de ordenador en ordenador. Una vez dentro del sistema el
gusano puede comportarse como virus, bacteria, implantar un caballo de Troya o realizar
cualquier operación maliciosa. Actualmente es el modo de infección más corriente de
virus.
2.1 Métodos de infección:
Una de las principales características de los virus es su capacidad de transmitirse de ordenador en
ordenador. Los primeros virus, debían contar con la intervención involuntaria de los usuarios
para transmitirse (Por ejemplo, a través de disquettes).
Actualmente, gracias a las redes de comunicaciones, los virus pueden transmitirse sin necesidad
de la intervención de los usuarios.
Página 3 de 9
Tema 42 – Principales amenazas a la seguridad
Los métodos clásicos de infección de virus son:
1. Virus no residentes: Es la forma tradicional de infección de los virus. El virus modifica
los programas infectados para que al ejecutarse, primero se ejecute el código del virus.
Para ello, modifica el puntero de inicio de ejecución del programa huésped para que
apunte al código del virus. El virus se ejecuta una sola vez que aprovecha para buscar
otros ficheros ejecutables para infectarlos.
2. Virus residentes en memoria: El virus infecta los programas como los virus noresidentes, pero al ejecutarse, carga una copia del virus en memoria principal como parte
de un programa residente. De esta forma, el virus esta en ejecución continua realizando
su actividad maliciosa.
3. Virus residentes en el sector de arranque: Este virus infecta el sector de arranque del
disco y se ejecuta cuando el sistema se arranca desde el disco infectado. Su medio de
propagación son los disquetes.
Actualmente los virus tienen comportamientos de “gusanos” para utilizar los sistemas de
comunicaciones para infectar otros ordenadores. Los sistemas utilizados más comunes son:
1. El servicio de correo electrónico: El gusano divulga una copia de sí mismo a través del
correo entre sistemas. El receptor queda contagiado de forma automática si el virus
aprovecha algún bug del cliente de correo o engañando al usuario para que ejecute un
adjunto infectado (Ejemplo: el virus “I love you”).
2. Los servicios de ejecución o conexión remota: El gusano ejecuta una copia de si
mismo en otro sistema, aprovechando fallos de seguridad en los sistemas de
comunicaciones de los SO. Por ejemplo el gusano Blaster.
2.2 Métodos de prevención
Una forma de prevención necesaria es tener antivirus instalados en cada ordenador como
programa residente. Los programas antivirus impiden que un virus “contagie” al ordenador y, si
se ha producido el contagio, desinfectan los programas afectados o los ponen en “cuarentena”, es
decir, impiden que se ejecuten para impedir que se ejecute el código del virus.
Los antivirus detectan a los virus de dos formas:
3. Mediante rastreo: El antivirus analizan de forma exhaustiva los ficheros de los
programas buscando detalles en los programas(“huellas en el código”) que evidencien
que han sido contagiados.
4. Trampas de actividad: El antivirus identifica el programa infectado por sus acciones. El
antivirus detecta las acciones que indican que un virus intenta realizar una infección.
Los sistemas de seguridad perimetral en las comunicaciones: Cortafuegos, IPS... minimizan los
riesgos de contagio de gusanos.
Página 4 de 9
Tema 42 – Principales amenazas a la seguridad
3
Intrusiones en los SI
Las intrusiones son accesos no autorizados a los SI’s que suponen un riesgo para la seguridad del
SI.
Las técnicas de intrusión se pueden clasificar en dos tipos:

Técnicas de ingeniería social: Se centran en conocer a los usuarios para poder
suplantarlos o engañarlos.

Aprovechar vulnerabilidades de los SO o de los programas para infiltrarse en el
sistema.
Las técnicas de ingeniería social consisten en prever el comportamiento de un usuario para que
de forma involuntaria realice acciones que comprometan la seguridad de los sistemas o poder
deducir sus datos de autentificación en el sistema. Por ejemplo, adivinar la contraseña de un
usuario usando su fecha de cumpleaños o las de sus hijos.
Las intrusiones que aprovechan las vulnerabilidades o ‘bugs’ de los programas son numerosas y
heterogéneas. Las vulnerabilidades son particulares de cada programa, e incluso versión de
programa. Aunque existen una serie de vulnerabilidades más frecuentes que son:
1. Cross Site Scripting: Consiste en aprovechar la falta de validación del HTML incrustado
en ciertas aplicaciones web, como por ejemplo foros. De esta forma, el intruso inserta
código html o javaScript no esperado, consiguiendo modificar el comportamiento o el
contenido de la página web. Por ejemplo: Insertar un redireccionamiento a otra dirección
web insertando código Javascript en los comentarios de un blog.
2. Inyección SQL: Es una vulnerabilidad de los componentes de la lógica de una aplicación
que permite enviar sentencias SQL no autorizadas a la base de datos de la aplicación.
Esto supone un riesgo a la integridad de los datos y puede conseguir modificar el
comportamiento de la aplicación. Se consigue introduciendo una sentencia SQL oculta
junto a una sentencia SQL legítima.
Por ejemplo: Una aplicación con un campo para buscar los datos de un usuario por DNI
que alimentaría la sentencia: select * from usuario where DNI=’$variable’ y como
$variable se le pasa “ 4566666N’; DROP TABLE usuario;” se enviaría a la base de
datos una sentencia no autorizada.
3. Buffer overflow: Es una debilidad de un sistema operativo o programa que interprete
código ejecutable. Consiste en conseguir ejecutar una operación de escritura en memoria
que desborde el buffer asignado para realizar escrituras y modificar otra posición de
memoria con el objetivo de modificar el comportamiento del sistema. Por ejemplo,
modificar la dirección de retorno de la pila de un proceso, para conseguir que se ejecute
código malicioso.
La mayoría de las intrusiones se realizan utilizando programas que permiten automatizar las
acciones necesarias para la intrusión en el SI. Muchas veces son necesarias realizar, previamente,
acciones para obtener información sobre el sistema a atacar.
Programas de seguridad como los IPS –Sistemas de prevención de Intrusos- son capaces de
detectar las acciones previas a un ataque y avisar a los administradores o reconfigurar los
Cortafuegos para evitar la intrusión.
Página 5 de 9
Tema 42 – Principales amenazas a la seguridad
3.1 Métodos de protección
Los métodos de protección genéricos ante estos ataques es tener los SI correctamente
actualizados y configurados. Pues muchos de estos ataques se centran en vulnerabilidades de
software anticuado o mal administrado.
Los usuarios deben tener los permisos mínimos para efectuar su trabajo. Una aplicación web que
sólo consulte datos de una base de datos, debe hacerlo utilizando un rol de sólo consulta. De esta
forma se evitan riesgos como SQL injection.
En el desarrollo y mantenimiento de aplicaciones, se deben utilizar los mecanismos de seguridad
que todos los entornos de desarrollo empresarial suministran y estar informados de las técnicas
de intrusión utilizadas para poder prevenirlas. Por ejemplo, al programar en C utilizar funciones
de escritura de buffers con control de tamaño, aunque sean más lentas.
Ante las intrusiones a través de las conexiones de red, los sistemas de seguridad perimetral, como
los cortafuegos y sistemas de prevención de intrusiones son eficaces.
3.2 Riesgo con los sistemas de acceso remoto
Muchos de los SI conectados a redes y equipos de red disponen de sistemas de acceso remoto
para permitir su administración a distancia. Por ejemplo, el antiguo Telnet.
Esto supone una amenaza, pues es una de las vías más frecuentes para que un intruso acceda a
los equipos.
La forma de prevenir esta amenaza es:
1. Configurar los servicios activos de los equipos: Mantener activos sólo los servicios de
acceso remoto que realmente se necesitan. Es habitual que al instalar un SO, por defecto
se instalen estos servicios.
2. Filtrado de protocolos conocidos: Configurar los cortafuegos de la red para que filtren
las comunicaciones de servicios de acceso remoto que no se usen.
3. Comunicaciones cifradas: Utilizar protocolos de comunicaciones cifrados, que
aseguren la confidencialidad de las contraseñas usadas por los usuarios. (Elimina la
amenaza de los ‘sniffers’)
4. Autentificación de las partes. Utilizar mecanismos que garanticen la identidad de los
usuarios que se conectan a los equipos. Los más comunes son los sistemas de
contraseñas y los sistemas de certificados digitales (claves pública/privada).
Página 6 de 9
Tema 42 – Principales amenazas a la seguridad
4
Amenazas a nivel de la red de comunicaciones
Actualmente, los SI se diseñan de forma distribuida; los componentes de SI interaccionan entre sí
utilizando los servicios de las redes de comunicaciones. Un ataque sobre estas redes puede
provocar el mal funcionamiento del SI.
El ataque puede realizarse directamente sobre los ordenadores conectados a la red o sobre los
equipos que componen la red (router, conmutadores…)
Los tipos más conocidos de ataques a nivel de red son:

Ataque de denegación de Servicio. DoS: Consiste en lograr la pérdida de conectividad
de un equipo de la red mediante el consumo de su ancho de banda o la sobrecarga de los
recursos del equipo.
El atague DoS suele consistir en enviar solicitudes de los protocolos TCP/IP: TCP,
UDP, ICMP... en gran número para conseguir consumir los recursos de los sistemas.
Pueden darse ataques también a nivel de aplicación, por ejemplo: Enviar ficheros de
forma continua a un FTP público hasta conseguir saturar su capacidad de
almacenamiento. El ataque también puede darse contra un equipo de red como un router
o un servidor DNS
Una variante del ataque DoS es el DoS distribuido, en que el ataque se produce de
forma coordinada por varios agentes remotos. Generalmente, los equipos remotos son
“zombies”, equipos infectados por un troyano que realiza el ataque DoS.

RACE Condition: Consiste en aprovechar una vulnerabilidad de una implementación del
protocolo de comunicaciones que se ejecuta en un equipo. Se realizan un conjunto de
solicitudes al protocolo que, individualmente son correctas, pero que se realizan en un
orden no esperado por el protocolo, provocando un error del funcionamiento.

Paquetes mal formados: Consiste en enviar paquetes de información (Por ejemplo
paquetes IP) con estructuras que no cumplan con los estándares. Como en el caso
anterior, se busca un comportamiento inesperado del software de red.
4.1 Prevención:
La prevención de estos ataques se consigue a través del control de flujo de las comunicaciones,
mediante sistemas de cortafuegos, sistemas de detección de intrusiones -IDS- y sistemas de
prevención de Intrusiones –IPS-.
Los sistemas de cortafuegos filtran las comunicaciones que pasan a través de ellos según unas
reglas preestablecidas. La colocación de cortafuegos entre diferentes redes (especialmente en las
conexiones a Internet) y una buena administración de las reglas de filtrado, reducen notablemente
estas amenazas.
Los sistemas IDS y IPS son un complemento a los cortafuegos. Detectan las intrusiones en la red
monitorizando las comunicaciones buscando patrones que identifiquen las comunicaciones que
supongan una amenaza. Los IDS al detectar el peligro lanzar un aviso para informar a los
administradores de la red. Los IPS son capaces de configurar el firewall para que eliminar la
amenaza.
Página 7 de 9
Tema 42 – Principales amenazas a la seguridad
Muchos equipos de red actuales tienen la capacidad de detectar flujos de datos anormalmente
altos, y tomar medidas para no saturarse. Por ejemplo, dejar de tomar estadísticas de las
comunicaciones para ahorrar recursos y ser más resistentes a los ataques DoS..
5
Phishing
Es una técnica de ingeniería social, caracterizada por intentar adquirir información confidencial
de forma fraudulenta, como puede ser una contraseña o información bancaria.
El estafador se hace pasar por una persona o empresa de confianza en una aparente comunicación
legítima, por lo común un correo electrónico o algún sistema de mensajería instantánea.
La técnica consiste en utilizar mensajes casi idénticos a la de la entidad que se quiere suplantar.
En el que se pide que se conecten a páginas web con URL muy parecidas a las URL legítimas,
como por ejemplo: banesto.banco.com donde aparecería una copia de la web de Banesto. El
usuario desprevenido introducirá su usuario contraseña que caerá en manos del estafador.
La respuesta técnica al phishing ha sido la actualización de los navegadores web, que ahora
impiden por ejemplo modificar el contenido de la barra de direcciones mediante javascript y
evitan confundir a sus usuarios. Han aparecido herramientas anti-phising que funcionan filtrando
los correos o webs que parecen sospechosas.
Una de las medidas más eficaces es informar a los usuarios. Como por ejemplo que siempre se
acceda a las webs tecleando ellos la dirección o avisándoles que nunca se les pedirá la contraseña
por correo electrónico o teléfono.
El uso de protocolos de envío de correo que verifiquen la autenticidad del remitente, como
SMTP-Auth, minimiza los problemas de suplantación de identidad.
6
Spam
Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas.
La vía de entrada más frecuente es utilizando el servicio de correo electrónico, aunque pueden
utilizar otras vías como grupos de noticias o foros.
El daño que provocan estos mensajes es la pérdida de productividad de la organización. Los
empleados deben perder el tiempo eliminando el correo spam y por su volumen, provocan que se
pierdan correos legítimos. Otros perjuicios que causan a la organización es malgastar recursos
como ancho de banda o capacidad de almacenamiento.
El Spam está terminantemente prohibido por la Ley de Servicios de la Sociedad de la
Información y Comercio Electrónico (LSSICE). Aparte los poseedores de bases de datos de
correo electrónico se les aplica la Ley Orgánica de Protección de Datos.
La recopilación de direcciones de correo se consigue mediante programas automáticos o
programas robot que recorren la web buscando direcciones de correo electrónico. Las consiguen
de direcciones publicadas en webs, foros, grupos de noticia...
También hay programas de generación de aleatoria de direcciones de correo electrónico, para ello
utilizan nombre de cuentas habituales que se combinan con direcciones de servidores de correo.
Página 8 de 9
Tema 42 – Principales amenazas a la seguridad
Los sistemas más habituales para evitar el Spam es el uso de filtros, tanto a nivel de cliente del
correo electrónico, a nivel de servidor de correo electrónico o a nivel del Proveedor de Servicios
de Internet (ISP). Existen dos tipos de filtros:

Filtros por palabras clave: Ciertos términos sirven para identificar los correos Spam,
como por ejemplo: Viagra, Sex...

Filtro por dirección de correo del remitente. Se crea una relación con las direcciones de
correo que han enviado correos Spam. Se clasifica como Spam todos los correos que se
vuelven a recibir de ese remitente.
El uso de filtros tiene el inconveniente de crear identificaciones negativas, es decir, se clasifica
como Spam un correo que no lo es. Es por ello, que los sistemas anti-Spam no eliminan
directamente el correo Spam, sino que lo almacenan temporalmente para que el usuario pueda
revisarlos.
7
Ad-ware
Un programa adware es cualquier programa que automáticamente muestra publicidad en el
computador después de haberlo instalado o mientras se está utilizándolo.
Existe un ad-ware legítimo, que se instala como contraprestación por el uso de un programa. La
acción de mostrar la publicidad viene recogida en el contrato de uso y se puede desinstalar con el
programa o al adquirir una licencia del mismo.
El ad-ware malicioso es aquel que se comporta como un troyano. Al ejecutar/instalar un
programa, se instala el ad-ware sin ningún tipo de aviso al usuario. Este ad-ware sigue instalado
en el ordenador aunque se desinstale el programa original.
Para eliminar el ad-ware malicioso existen herramientas específicas que rastrean el ordenador y
lo eliminan. Funcionan como los antivirus. Para prevenir la aparición de ad-ware en los
ordenadores de una organización es conveniente limitar los permisos de instalación de programas
de los usuarios.
Página 9 de 9
Documentos relacionados
VIRUS INFORMATICO
VIRUS INFORMATICO
segur id ad in form á t ic asegur id ad in form á t ic a
segur id ad in form á t ic asegur id ad in form á t ic a
Eliminar virus que oculta archivos (Dorkbot.d) Este
Eliminar virus que oculta archivos (Dorkbot.d) Este
Actividad ebola
Actividad ebola
Ficha de Asistencia
Ficha de Asistencia
DATOS DEL ASPIRANTE CALIFICACIÓN Apellidos: _______________________________________________
DATOS DEL ASPIRANTE CALIFICACIÓN Apellidos: _______________________________________________
segur id ad in form á t ic asegur id ad in form á t ic a
segur id ad in form á t ic asegur id ad in form á t ic a
LOS VIRUS - Ciencias
LOS VIRUS - Ciencias
Descargar
Anuncio
Anuncio