PDF de programación - Fundamentos y categorías de ataques

Fundamentos y
categorías de ataques

LSI - 2016/2017
José Manuel Vázquez Naya
[email protected]

Contenido

 Conceptos básicos y definiciones
 Categorías de ataques
 Servicios de seguridad
 Mecanismos de seguridad

Introducción
 Seguridad Informática:

 El nombre genérico que se da al grupo de herramientas diseñadas para

proteger los datos y evitar la intrusión de los hackers. (Stallings)

 Seguridad de la Información:

 Todas aquellas medidas preventivas y reactivas del hombre, de las

organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener:
 Confidencialidad (Confidentiality)
 Integridad (Integrity)
 Disponibilidad (Availability)

(CIA)

Introducción

(CIA)

Extraído de http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf

Conceptos de seguridad
 Vulnerabilidad
 Amenaza
 Ataque

Vulnerabilidad (Vulnerability)
 Debilidad de un activo o control que puede ser explotada por una

amenaza (ISO 27000:2009. Overview and Vocabulary).

 Posibilidad de que una amenaza se materialice sobre un activo.
 Es una vía de ataque potencial.
 Ejemplos:

 Defectos en HW o SW

 Rowhammer, configuración por defecto, Buffer overflow,

consultas no parametrizadas, …

 Carencia de políticas y

procedimientos
 Falta de formación en seguridad

por parte de los usuarios, controles
de acceso no definidos, …

U.S. National Vulnerability Database (NVD)

U.S. National Vulnerability Database (NVD)

Algunos ejemplos de vulnerabilidades críticas

 Shellshock

 Heartbleed

 Poodle

Vulnerabilidades. Terminología
 CVE: Common Vulnerabilities and Exposures (Vulnerabilidades y
amenazas comunes). Es un código asignado a una vulnerabilidad
que le permite ser identificada de forma univoca.

Zero-day (0 day)
 Vulnerabilidades Zero-day

 No conocidas hasta el momento
 En el momento de su publicación:

 Los desarrolladores han tenido cero días para parchear la

vulnerabilidad

 El vendedor no ha podido proporcionar un parche oficial
 Los administradores han tenido cero días para protegerse de la

vulnerabilidad

 Dejan de ser Zero-day una vez el parche esté disponible

 Ataques Zero-day:

 Explotan una vulnerabilidad Zero-day

Zero-day (0 day)
 The Zero Day Initiative (ZDI)

 http://www.zerodayinitiative.com/

 Zero day exploit

 https://www.mitnicksecurity.com/shopping/absolute-zero-day-exploit-

exchange

Amenaza (Threat)

 Una posibilidad de violación de la seguridad, que existe cuando se da una

circunstancia, capacidad, acción o evento que pudiera romper la seguridad y
causar perjuicio. Es decir, una amenaza es un peligro posible que podría
explotar una vulnerabilidad. (RFC 2828)

 Posible causa de un incidente no deseado, que puede resultar en daños a un

sistema u organización. (ISO 27000:2009. Overview and Vocabulary)

Amenaza (Threat)

 REVERSE TROJAN (Server-to-Client)

TIME BOMB


 BOTS
 KEY LOGGERS

SNIFFERS


 BACKDOORS
 ROOTKITS
 VIRUS
 WORM





SPYWARE
TROJAN HORSE

 Más en: https://www.owasp.org/index.php/Category:Threat

Amenaza
 Stuxnet

 Gusano/virus informático descubierto en junio de 2010
 Primer gusano conocido que espía y reprograma sistemas industriales,
en concreto sistemas SCADA de control y monitorización de procesos,
pudiendo afectar a infraestructuras críticas como centrales nucleares

 El 60% de los ordenadores contaminados por el gusano se encuentran

en Irán

 El objetivo más probable del gusano pudieron ser infraestructuras de
alto valor pertenecientes a Irán y con sistemas de control de Siemens

 Algunos medios han atribuido su autoría a los servicios secretos

estadounidenses e israelíes

Ataque (Attack)
 Cualquier acción que comprometa la seguridad de la información de

una organización (Stallings).

 Un asalto a la seguridad del sistema, derivado de una amenaza

inteligente; es decir, un acto inteligente y deliberado (especialmente
en el sentido de método o técnica) para eludir los servicios de
seguridad y violar la política de seguridad de un sistema (RFC 2828).

Ataque (Attack)
 Brute Force: Fuerza Bruta
 Cache Poisoning: Envenenamiento de Caché
 DNS Poisoning: Envenenamiento de DNS
 Cross-Site Request Forgery (CSRF) o Falsificación de petición en sitios cruzados
 Cross-Site Scripting (XSS) o Secuencias de comandos en sitios cruzados
 Denial of Service (DoS)

 Man-in-the-middle


LDAP injection

Session hijacking attack
Sniffing Attacks
SQL Injection: Inyección SQL





 Más en: https://www.owasp.org/index.php/Category:Attack

Tipos de ataques
 X.800 y RFC 2828 distinguen

 Ataques pasivos
 Ataques activos

Ataques pasivos
 Un ataque pasivo intenta conocer o hacer uso de información del

sistema, pero no afecta a los recursos del mismo

 Los ataques pasivos se dan en forma de escucha o de observación

no autorizada de las transmisiones. El objetivo del oponente es
obtener información que se esté transmitiendo

Ataques pasivos
 Muy difíciles de detectar, ya que no implican alteraciones en los

datos

 Contra estos ataques se debe poner más énfasis en la prevención

que en la detección

 Posible solución: cifrado

Ataques pasivos
 Obtención del contenido del mensaje

Ataques pasivos
 Análisis del tráfico

 Aún con protección mediante cifrado, un oponente puede observar el

patrón de los mensajes, determinar la localización y la identidad de los
servidores que se comunican y descubrir la frecuencia y la longitud de
los mensajes que se están intercambiando.

 Esta información puede ser útil para averiguar la naturaleza de la

comunicación que está teniendo lugar.

Ataques activos
 Intentan alterar los recursos del sistema o afectar a su

funcionamiento

 Implican alguna modificación del flujo de datos o la creación de un

flujo falso

 Presentan características opuestas a los pasivos:

 Son difíciles de prevenir por completo
 El objetivo es detectarlos y recuperarse de ellos

 La detección tiene efecto disuasivo -> contribuye a la prevención

 Se pueden dividir en cuatro categorías

Ataques activos
 Suplantación de identidad

 Se produce cuando una entidad finge ser otra
 Un ataque de este tipo incluye habitualmente una de las otras formas de

ataque activo. Por ejemplo, las secuencias de autenticación pueden ser
capturadas y repetidas después de que una secuencia válida haya tenido
lugar

Ataques activos
 Repetición

 Implica la captura pasiva de una unidad de datos y su retransmisión

posterior para producir un efecto no autorizado

Ataques activos
 Modificación de mensajes

 Una parte de un mensaje es alterada, o los mensajes se han retrasado o

reordenado, para producir un efecto no autorizado

Ataques activos
 Interrupción del servicio

 Impide el uso o la gestión normal de las utilidades de comunicación

Tipos de ataques: otra clasificación
 Ataques sobre la identidad de las entidades:

 Interceptación
 Suplantación

 Ataques sobre la información:

 Revelación
 Reenvío
 Manipulación
 Repudio

 Ataques sobre los servicios:

 Negación del servicio

Servicios de seguridad
 Un servicio proporcionado por una capa de protocolo, que garantiza

la seguridad adecuada de los sistemas y de las transferencias de
datos (X.800)

 Un servicio de procesamiento o de comunicación proporcionado por
un sistema para dar un tipo especial de protección a los recursos del
sistema; los servicios de seguridad implementan políticas de
seguridad y son implementados, a su vez, por mecanismos de
seguridad (RFC 2828)

Mecanismos de seguridad

(cifrado, firma digital, …)

implementan

Servicios de seguridad
(autenticación, control de acceso, …)

implementan

Políticas de seguridad

Servicios de seguridad (X.800)
 Autenticación (Authentication)

 Garantiza que alguien es quien dice ser (auténtico)
 M: login/password, huella dactilar, certificado digital, …

 Control de acceso (Access Control)

 Evita el acceso no autorizado a un recurso
 M: ACLs

 Confidencialidad de los datos (Data confidentiality)

 Protección de los datos (y del flujo de tráfico) de su revelación no autorizada
 M: cifrado

Servicios de seguridad (X.800)
 Integridad de los datos (Data integrity)

 Garantiza que los mensajes se reciben tal y como son enviados (sin duplicación,

inserción, modificación, reordenación ni destrucción)

 M: hash, firma digital

 No repudio (Non-repudiation)

 Evita que emisor o receptor nieguen la transmisión o la recepción de un mensaje,

respectivamente

 M: firma digital, notarización

Más servicios de seguridad (OO.AA.)

 Disponibilidad (Availability)

 Evita que se interrumpa el servicio
 M: duplicación de servicios, discos en RAID, fuentes de alimentación redundantes,

servidores en clúster, etc.

Mecanismos de seguridad
 Característica diseñada para detectar, prevenir o recuperarse de un

ataque

 No hay un único mecanismo que soporte todos los servicios de

seguridad requeridos

 Sin embargo, hay un elemento que es común a muchos de los

mecanismos: las técnicas criptográficas

Mecanismos de seguridad (X.800)
 Específicos (pueden ser incorporados en la capa de protocolo

adecuada):
 Cifrado, Firma digital, Control de acceso, Integridad de los datos,

Intercambio de autenticación, Relleno del tráfico, Control de
enrutamiento y Notarización

 Generales (no son específicos de ninguna capa de protocolo o

sistema de seguridad OSI en particular):
 Funcionalidad fiable, Etiquetas de seguridad, Detección de acciones,
Informe para la auditoría de seguridad y Recuperación de la seguridad

Servicios vs. ataques

Ataques pasivos

Ataques activos

Obtención

del

Contenido

Análisis de

Tráfico

Suplantación

Repetición

Modificación

Interrupción

Autenticación

Control de Acceso

Confidencialidad

Integridad

No Repudio

Disponibilidad

Servicios vs. mecanismos seguridad

Cifrado

Firma Digital

Control
Acceso

Integridad
de