Fundamentos y
categorías de ataques
LSI - 2016/2017
José Manuel Vázquez Naya
[email protected]
Contenido
Conceptos básicos y definiciones
Categorías de ataques
Servicios de seguridad
Mecanismos de seguridad
Introducción
Seguridad Informática:
El nombre genérico que se da al grupo de herramientas diseñadas para
proteger los datos y evitar la intrusión de los hackers. (Stallings)
Seguridad de la Información:
Todas aquellas medidas preventivas y reactivas del hombre, de las
organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener:
Confidencialidad (Confidentiality)
Integridad (Integrity)
Disponibilidad (Availability)
(CIA)
Introducción
(CIA)
Extraído de http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf
Conceptos de seguridad
Vulnerabilidad
Amenaza
Ataque
Vulnerabilidad (Vulnerability)
Debilidad de un activo o control que puede ser explotada por una
amenaza (ISO 27000:2009. Overview and Vocabulary).
Posibilidad de que una amenaza se materialice sobre un activo.
Es una vía de ataque potencial.
Ejemplos:
Defectos en HW o SW
Rowhammer, configuración por defecto, Buffer overflow,
consultas no parametrizadas, …
Carencia de políticas y
procedimientos
Falta de formación en seguridad
por parte de los usuarios, controles
de acceso no definidos, …
U.S. National Vulnerability Database (NVD)
U.S. National Vulnerability Database (NVD)
Algunos ejemplos de vulnerabilidades críticas
Shellshock
Heartbleed
Poodle
Vulnerabilidades. Terminología
CVE: Common Vulnerabilities and Exposures (Vulnerabilidades y
amenazas comunes). Es un código asignado a una vulnerabilidad
que le permite ser identificada de forma univoca.
Zero-day (0 day)
Vulnerabilidades Zero-day
No conocidas hasta el momento
En el momento de su publicación:
Los desarrolladores han tenido cero días para parchear la
vulnerabilidad
El vendedor no ha podido proporcionar un parche oficial
Los administradores han tenido cero días para protegerse de la
vulnerabilidad
Dejan de ser Zero-day una vez el parche esté disponible
Ataques Zero-day:
Explotan una vulnerabilidad Zero-day
Zero-day (0 day)
The Zero Day Initiative (ZDI)
http://www.zerodayinitiative.com/
Zero day exploit
https://www.mitnicksecurity.com/shopping/absolute-zero-day-exploit-
exchange
Amenaza (Threat)
Una posibilidad de violación de la seguridad, que existe cuando se da una
circunstancia, capacidad, acción o evento que pudiera romper la seguridad y
causar perjuicio. Es decir, una amenaza es un peligro posible que podría
explotar una vulnerabilidad. (RFC 2828)
Posible causa de un incidente no deseado, que puede resultar en daños a un
sistema u organización. (ISO 27000:2009. Overview and Vocabulary)
Amenaza (Threat)
REVERSE TROJAN (Server-to-Client)
TIME BOMB
BOTS
KEY LOGGERS
SNIFFERS
BACKDOORS
ROOTKITS
VIRUS
WORM
SPYWARE
TROJAN HORSE
Más en: https://www.owasp.org/index.php/Category:Threat
Amenaza
Stuxnet
Gusano/virus informático descubierto en junio de 2010
Primer gusano conocido que espía y reprograma sistemas industriales,
en concreto sistemas SCADA de control y monitorización de procesos,
pudiendo afectar a infraestructuras críticas como centrales nucleares
El 60% de los ordenadores contaminados por el gusano se encuentran
en Irán
El objetivo más probable del gusano pudieron ser infraestructuras de
alto valor pertenecientes a Irán y con sistemas de control de Siemens
Algunos medios han atribuido su autoría a los servicios secretos
estadounidenses e israelíes
Ataque (Attack)
Cualquier acción que comprometa la seguridad de la información de
una organización (Stallings).
Un asalto a la seguridad del sistema, derivado de una amenaza
inteligente; es decir, un acto inteligente y deliberado (especialmente
en el sentido de método o técnica) para eludir los servicios de
seguridad y violar la política de seguridad de un sistema (RFC 2828).
Ataque (Attack)
Brute Force: Fuerza Bruta
Cache Poisoning: Envenenamiento de Caché
DNS Poisoning: Envenenamiento de DNS
Cross-Site Request Forgery (CSRF) o Falsificación de petición en sitios cruzados
Cross-Site Scripting (XSS) o Secuencias de comandos en sitios cruzados
Denial of Service (DoS)
Man-in-the-middle
LDAP injection
Session hijacking attack
Sniffing Attacks
SQL Injection: Inyección SQL
Más en: https://www.owasp.org/index.php/Category:Attack
Tipos de ataques
X.800 y RFC 2828 distinguen
Ataques pasivos
Ataques activos
Ataques pasivos
Un ataque pasivo intenta conocer o hacer uso de información del
sistema, pero no afecta a los recursos del mismo
Los ataques pasivos se dan en forma de escucha o de observación
no autorizada de las transmisiones. El objetivo del oponente es
obtener información que se esté transmitiendo
Ataques pasivos
Muy difíciles de detectar, ya que no implican alteraciones en los
datos
Contra estos ataques se debe poner más énfasis en la prevención
que en la detección
Posible solución: cifrado
Ataques pasivos
Obtención del contenido del mensaje
Ataques pasivos
Análisis del tráfico
Aún con protección mediante cifrado, un oponente puede observar el
patrón de los mensajes, determinar la localización y la identidad de los
servidores que se comunican y descubrir la frecuencia y la longitud de
los mensajes que se están intercambiando.
Esta información puede ser útil para averiguar la naturaleza de la
comunicación que está teniendo lugar.
Ataques activos
Intentan alterar los recursos del sistema o afectar a su
funcionamiento
Implican alguna modificación del flujo de datos o la creación de un
flujo falso
Presentan características opuestas a los pasivos:
Son difíciles de prevenir por completo
El objetivo es detectarlos y recuperarse de ellos
La detección tiene efecto disuasivo -> contribuye a la prevención
Se pueden dividir en cuatro categorías
Ataques activos
Suplantación de identidad
Se produce cuando una entidad finge ser otra
Un ataque de este tipo incluye habitualmente una de las otras formas de
ataque activo. Por ejemplo, las secuencias de autenticación pueden ser
capturadas y repetidas después de que una secuencia válida haya tenido
lugar
Ataques activos
Repetición
Implica la captura pasiva de una unidad de datos y su retransmisión
posterior para producir un efecto no autorizado
Ataques activos
Modificación de mensajes
Una parte de un mensaje es alterada, o los mensajes se han retrasado o
reordenado, para producir un efecto no autorizado
Ataques activos
Interrupción del servicio
Impide el uso o la gestión normal de las utilidades de comunicación
Tipos de ataques: otra clasificación
Ataques sobre la identidad de las entidades:
Interceptación
Suplantación
Ataques sobre la información:
Revelación
Reenvío
Manipulación
Repudio
Ataques sobre los servicios:
Negación del servicio
Servicios de seguridad
Un servicio proporcionado por una capa de protocolo, que garantiza
la seguridad adecuada de los sistemas y de las transferencias de
datos (X.800)
Un servicio de procesamiento o de comunicación proporcionado por
un sistema para dar un tipo especial de protección a los recursos del
sistema; los servicios de seguridad implementan políticas de
seguridad y son implementados, a su vez, por mecanismos de
seguridad (RFC 2828)
Mecanismos de seguridad
(cifrado, firma digital, …)
implementan
Servicios de seguridad
(autenticación, control de acceso, …)
implementan
Políticas de seguridad
Servicios de seguridad (X.800)
Autenticación (Authentication)
Garantiza que alguien es quien dice ser (auténtico)
M: login/password, huella dactilar, certificado digital, …
Control de acceso (Access Control)
Evita el acceso no autorizado a un recurso
M: ACLs
Confidencialidad de los datos (Data confidentiality)
Protección de los datos (y del flujo de tráfico) de su revelación no autorizada
M: cifrado
Servicios de seguridad (X.800)
Integridad de los datos (Data integrity)
Garantiza que los mensajes se reciben tal y como son enviados (sin duplicación,
inserción, modificación, reordenación ni destrucción)
M: hash, firma digital
No repudio (Non-repudiation)
Evita que emisor o receptor nieguen la transmisión o la recepción de un mensaje,
respectivamente
M: firma digital, notarización
Más servicios de seguridad (OO.AA.)
Disponibilidad (Availability)
Evita que se interrumpa el servicio
M: duplicación de servicios, discos en RAID, fuentes de alimentación redundantes,
servidores en clúster, etc.
Mecanismos de seguridad
Característica diseñada para detectar, prevenir o recuperarse de un
ataque
No hay un único mecanismo que soporte todos los servicios de
seguridad requeridos
Sin embargo, hay un elemento que es común a muchos de los
mecanismos: las técnicas criptográficas
Mecanismos de seguridad (X.800)
Específicos (pueden ser incorporados en la capa de protocolo
adecuada):
Cifrado, Firma digital, Control de acceso, Integridad de los datos,
Intercambio de autenticación, Relleno del tráfico, Control de
enrutamiento y Notarización
Generales (no son específicos de ninguna capa de protocolo o
sistema de seguridad OSI en particular):
Funcionalidad fiable, Etiquetas de seguridad, Detección de acciones,
Informe para la auditoría de seguridad y Recuperación de la seguridad
Servicios vs. ataques
Ataques pasivos
Ataques activos
Obtención
del
Contenido
Análisis de
Tráfico
Suplantación
Repetición
Modificación
Interrupción
Autenticación
Control de Acceso
Confidencialidad
Integridad
No Repudio
Disponibilidad
Servicios vs. mecanismos seguridad
Cifrado
Firma Digital
Control
Acceso
Integridad
de
Comentarios de: Fundamentos y categorías de ataques (0)
No hay comentarios