Post on 25-Feb-2016
description
Terrorismo y Delitos Informáticos: Nueva Realidad
Leobardo Hernández A.Laboratorio de Seguridad InformáticaCentro Tecnológico Aragón, UNAM
Instituto de Neurobiología, UNAM, Marzo 9, 2007
2
Agenda El Origen El Principio de los males El Paradigma Actual Problema Conceptual Amenazas Internet y la Escena del Crimen CyberCrimen, CyberTerrorismo y CyberCriminales Phishing, Pharming e Ingenieria Social Métodos y Formas de Ataque Soluciones al problema El Próximo Futuro Algunas Reflexiones
Instituto de Neurobiología, UNAM, Marzo 9, 2007
3
El Origen
Y la computadora fue ........ (1945) Computadora (mainframe) centralizada
Aparece la PC(Personal Computer) (1970) Computadoras de escritorio Oficina y hogar
Las redes proliferaron………… (70’s) Surge TCP/IP como lenguaje común para todo tipo de
computadoras Todos con todos, a toda hora y en cualquier lugar
Inicia la pesadilla …..
Instituto de Neurobiología, UNAM, Marzo 9, 2007
4
Virus Programa de Software que se adhiere por sí
mismo a otro archivo o programa En memoria o en disco Se distribuye por sí mismo
Objetivos específicos: Despliegue de mensajes Borrar datos Mal funcionamiento del equipo Impedir laborar o utilizar el equipo (Negación de
servicio) Molestar
95 - 98 Crecimiento exponencial de Virus. Se distribuyen rapidamenteEj. Macro Virus via E-Mail
80’s -94 Ataques focalizados. Conocimeinto de fechas de activación Ej. Michelangelo
Fase I“Floppy Era”
Fase II“Macro Era”
Creadores de Virus conocen ampliamente la Tecnología y las vulnerabilidades en los negocios
Ej. Remote Explorer
Fase III“Serio Impacto
en los Negocios”
Hoy Hoy Melissa, Explorezip, Bubbleboy, DDoS Attacks, Virus en Internet se distribuyen rapidamente!
Empiezan primeros virus para PDA’s!LibertyCrack borra aplicaciones en PalmOS!!
EvoluciEvolucióón de los Virusn de los Virus
Daño y sofisticación se han incrementado con los años
1raGenBoot
SectorfloppiesStoned1986
2da GenMacro virus
Infectan archivos Concept
1995
3ra GenMass
MailersMelissa
Love Bug
1999
4ta Gen•Amenazas combinadas•Exploit de
vulnerabilidades• Creacion de
backdoors•Dispersion de
diversas formasCode Red
NimdaFunlove
2001
1ra Gen dispersa
en el mundo
noticias deMiguel AngelPrincipios
’90s
5ta GenWireless &
Applicaciones comunes
•Amenazas combinadas
•Mas daño• Rapida
dispersion
Daño
Sofisticación & Velocidad de Infección
Instituto de Neurobiología, UNAM, Marzo 9, 2007
7
Otras calamidades (No Virus) Worm (gusano)
Programa que se replica por sí mismo en un sistema, pero no infecta directamente otros archivos.
Caballos de Troya Programa que contiene código malicioso y dañino.
Parece programa o archivo inofensivo. No se distribuye automáticamente
Hoaxes Falsas alertas que generan pánico y desconfianza
Instituto de Neurobiología, UNAM, Marzo 9, 2007
8
Paradigma Actual
La Red es la Computadora Es una computadora hipermasivamente
paralela Los datos e información están dispersos Los programas están dispersos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
9
Paradigma Actual
Confidencialidad, integridad, accesibilidad y autenticidad
Confiabilidad proporcional a las políticas establecidas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
10
Problema Conceptual Internet:
Sistema de información no acotado administrativamente
No existe perímetro natural No existe lista de usuarios con
autenticadores No se puede verificar la trayectoria de la
información Hay muchos puntos de ataque
Instituto de Neurobiología, UNAM, Marzo 9, 2007
11
Amenazas
Intercepción (y lectura) de datos en tránsito Acceso a programas o datos en host
remotos Modificación de programas o datos en host
remotos Modificación de datos y programas al vuelo Interrupción del flujo de información Fabricación de información
Instituto de Neurobiología, UNAM, Marzo 9, 2007
12
Amenazas
Suplantación de un usuario para añadir comunicaciones
Inserción de una repetición de una secuencia
Bloqueo de tráfico selecto Denegación del servicio Ejecución de un programa en un host
remoto
Instituto de Neurobiología, UNAM, Marzo 9, 2007
13
Internet ¿Qué hay en Internet de interesante que
todo mundo quiere acceso a la red? Más de 1100 millones de usuarios Internet 70% de la información es digital 30 billones de páginas Web Empresas y organizaciones importantes Comercio, banca, negocios y servicios Grandes bancos de información
Instituto de Neurobiología, UNAM, Marzo 9, 2007
14
Internet
Nuevas Amenazas y vulnerabilidades El lado obscuro y tenebroso de Internet Mucho de esto se desconoce
WORLD INTERNET USAGE AND POPULATION STATISTICS
World Regions Population( 2007 Est.)
Population% of World
Internet Usage,Latest Data
% Population( Penetration )
Usage% of World
Usage Growth
2000-2007
Africa 933,448,292 14.2 % 32,765,700 3.5 % 3.0 % 625.8 %
Asia 3,712,527,624 56.5 % 389,392,288 10.5 % 35.6 % 240.7 %
Europe 809,624,686 12.3 % 312,722,892 38.6 % 28.6 % 197.6 %
Middle East 193,452,727 2.9 % 19,382,400 10.0 % 1.8 % 490.1 %
North America 334,538,018 5.1 % 232,057,067 69.4 % 21.2 % 114.7 %
Latin America/Caribbean 556,606,627 8.5 % 88,778,986 16.0 % 8.1 % 391.3 %
Oceania / Australia 34,468,443 0.5 % 18,430,359 53.5 % 1.7 % 141.9 %
WORLD TOTAL 6,574,666,417 100.0 % 1,093,529,692 16.6 % 100.0 % 202.9 %
Instituto de Neurobiología, UNAM, Marzo 9, 2007
18
Internet
Mucha confusión sobre políticas relacionadas a Internet, nada está definido
Desempleo de profesionales jóvenes, potenciales Cyber Criminales
Alarmante crecimiento de casos de Cyber Crimen especialmente contra instituciones financieras, personas y recursos de información sensible
Instituto de Neurobiología, UNAM, Marzo 9, 2007
19
Pero…Internet también es:
Vehículo de progreso De la globalización a la localización …. ….. el futuro es la personalización Medio actual de comunicación rápida Internet … every where
Instituto de Neurobiología, UNAM, Marzo 9, 2007
20
CyberCrimen y CyberTerrorismo
De Internet a Undernet Del Cyber Crimen al Cyber Terrorismo Amenazas internas en crecimiento Ingeniería social Era desconocida Sistemas de defensa sin políticas de
seguridad
Instituto de Neurobiología, UNAM, Marzo 9, 2007
21
Esceneario del Crimen (Internet)
Comercialización y crecimiento masivo Arena de actividad económica que
involucra a millones de usuarios anónimos Anonimato y alcance global Actividad y riqueza almacenada en
información Banca y comercio electrónicos Bajo riesgo y alto rendimiento para el
crimen
Instituto de Neurobiología, UNAM, Marzo 9, 2007
22
CyberCrimen y CyberCriminales Valor de la información y transacciones El CyberCrimen es crimen organizado El CyberCrimen es actividad profesional Objetivos del Cybercrimen y
CyberCriminales:Datos financieros Información de identificación personalPropiedad intelectual
Instituto de Neurobiología, UNAM, Marzo 9, 2007
23
Categorías de CyberCrimen
Extorsión Daño de Prestigio y Reputación Fraude Phishing Quebranto del Servicio Robo de Información Lavado de Dinero Explotacion de Menores
Instituto de Neurobiología, UNAM, Marzo 9, 2007
24
Categorías de CyberCrimen Extorsión
Amenaza de: quebranto de red, negación de servicio, robo de información
Secuestro virtual de personasSecuestro real de información vital
Daño de Prestigio y ReputaciónAlteración, deformación o cambio de imagen
pública (sitios web)
Instituto de Neurobiología, UNAM, Marzo 9, 2007
25
Categorías de CyberCrimen Fraude
Tiendas falsas (no solo se quedan con el dinero, sino también con los datos de la tarjeta)
Ofertas de negocios fabulosos Oferta de productos casi regalados Oportunidades de ganar o compartir millones
Phishing Falsos mails de bancos o compañias de tarjetas de
crédito solicitando datos personales y bancarios Sitios suplantados pero indistinguibles de los legítimos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
26
Categorías de CyberCrimen
Quebranto del ServicioNegación de ServicioCódigo malicioso a través de virus y gusanos
Robo de InformaciónRobo de información financiera, personalRobo de propiedad intelectualRobo de secretos científicos, industriales,
comerciales, de estado, militares, etc.
Instituto de Neurobiología, UNAM, Marzo 9, 2007
27
Categorías de CyberCrimen
Lavado de Dinero Transacciones bancarias anónimas Geográficamente dispersas Difíciles de rastrear y autenticar
Explotación de Menores Pornografía infantil
Instituto de Neurobiología, UNAM, Marzo 9, 2007
28
Jerarquía de CyberCriminales
Script KiddyAtacante joven (< 20 años) y no técnicamente
sofisticadoUsa herramientas que otros escribieron. No
comprende cómo funcionan
Cyber PunkUsa sus habilidades para atacarGrafitero de sitios Web
Instituto de Neurobiología, UNAM, Marzo 9, 2007
29
Jerarquía de CyberCriminales Hacker y Crackers
Disfruta aprendiendo técnicas (lenguajes, protocolos)
Disfruta jugando con los sistemas Coders
Veteranos de la comunidad hackingAños de experienciaProducen herramientas (trojans, mailers,
custom bots) o servicios (hacer un código indetectable por los AV)
Instituto de Neurobiología, UNAM, Marzo 9, 2007
30
Jerarquía de CyberCriminales Drops
Convierten el “dinero virtual” obtenido en el CyberCrimen en dinero real
Usualmente localizados en países con leyes laxas con el cybercrimen (Bolivia, Indonesia y Malaysia son muy populares)
Cyber Gangs o Mobs Grupos de profesionales (carreras técnicas) y hackers Tienen y adquieren el equipo que necesitan para atacar Contratan servicios de los anteriores
Instituto de Neurobiología, UNAM, Marzo 9, 2007
31
Herramientas del CyberCrimen Bots
Computadora en la cual, un virus o gusano, ha instalado programas que se ejecutan automáticamente
Permiten al atacante acceso y control Bot Network
Colección de máquinas infectadas, comprometidas semanas o meses antes por los atacantes
Se usan para lanzar ataques simultáneos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
32
Herramientas del CyberCrimen Keylogging
Programa que captura y registra los teclazos del usuario
Después accesa o envía secretamente los datos al atacante
BundlingPega virus o spyware a descargas que hace el
usuarioCuando el usuario instala el software
descargado, también instala el programa del atacante
Instituto de Neurobiología, UNAM, Marzo 9, 2007
33
Herramientas del CyberCrimen Negación de Servicio
Ataque diseñado específicamente para evitar el funcionamiento normal de una red o sistema y evitar el acceso de usuarios autorizados
Packet SnifferPrograma de software que monitorea el tráfico
de redUsados para capturar y analizar datos,
especialmente passwords
Instituto de Neurobiología, UNAM, Marzo 9, 2007
34
Herramientas del CyberCrimen Rootkit
Conjunto de herramientas usadas por el atacante después de infiltrar una computadora
Le permiten: Mantener el acceso Evitar detección (oculta proceso y archivos) Construir backdoors ocultas Obtener información de la computadora comprometida y de
los otras computadoras en la red Los hay disponibles para la mayoría de S.O.
Instituto de Neurobiología, UNAM, Marzo 9, 2007
35
Herramientas del CyberCrimen Spyware
Software que obtiene información sin el conocimiento del usuario
Típicamente viene adherido con otro programa (legítimo)
El usuario desconoce que al instalar uno instala el otro Monitorea la actividad del usuario en la red y
retransmite esa información al atacante Captura y mantiene: direcciones de correo, passwords,
números de tarjetas de crédito, información confidencial, etc.
Instituto de Neurobiología, UNAM, Marzo 9, 2007
36
Herramientas del CyberCrimen Scripts
Programas o listas de comandos, disponibles como shareware en sitios de hackers
Pueden copiarse e insertarse remotamente en una comutadora
Usados para atacar y quebrantar la operación normal de una computadora
Ingeniería Social
Instituto de Neurobiología, UNAM, Marzo 9, 2007
37
Herramientas del CyberCrimen Troyano
Programa malicioso inadvertidamente descargado e instalado por el usuario
Algunos pretenden ser aplicaciones benignas
Muchos se ocultan en la memoria de la máquina con nombres no descriptivos
Contiene comandos que la computadora ejecuta automáticamente sin conocimiento del usuario
Algunas veces actúan como zombies y envían spam o participan en un ataque de negación de servicio distribuido
Pueden ser un Keylogger u otro programa de monitoreo que colecciona datos que envía encubiertamente al atacante
Muchos troyanos ahora intentan desabilitar los programas antivirus
Instituto de Neurobiología, UNAM, Marzo 9, 2007
38
Herramientas del CyberCrimen Worms
Viajan a través de las redes Se duplican a sí mismos y se auto envían a direcciones que
están en la computadora host Se propagan enviando copias de sí mismos a otras
computadoras por e-mail o por Internet Relay Chat (IRC) Virus
Programa o pieza de código que se difunde de computadora a computadora sin consentimiento del usuario
Causan eventos inesperados y negativos cuando se ejecutan en la computadora
Contaminan programas legítimos Son introducidos a través de anexos en e-mails Usan nombres ingeniosos para atraer la curiosidad del lector
Instituto de Neurobiología, UNAM, Marzo 9, 2007
39
Herramientas del CyberCrimen Zombie
Computadora ejecutando programas que dan el control a alguien distinto del usuario
Ejecutan automáticamente comandos de alguien distinto al usuario, sin el conocimiento de este
Se crean poniendo código ejecutable en una máquina de usuario (normalmente usando un troyano)
El atacante obtiene el control de la computadora y automáticamente ejecuta un comando para iniciar:
Un ataque de negación de servicio Envío de spam Etc.
Instituto de Neurobiología, UNAM, Marzo 9, 2007
40
¿Dónde se consiguen esas herramientas?
En los sitios de Hackers:
http://packetstormsecurity.org/
http://neworder.box.sk/
Instituto de Neurobiología, UNAM, Marzo 9, 2007
41
¿Contramedidas y actualidad sobre ataques?
En los sitios: http://www. securityfocus.com/ http://www.grc.com/ http://www.csoonline.com/ http://www.cert.org/ http://www.nist.org/
Instituto de Neurobiología, UNAM, Marzo 9, 2007
42
Phishing y Pharming (Pescadores y Granjeros)
El Problema:AutenticaciónControl de Acceso
Los S.O. implementan mecanismos de Autenticacion y Control de Acceso para impedir que accedan a recursos y servicios personas no autorizadas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
43
Phishing y Pharming (Pescadores y Granjeros)
El sistema de autenticación y control de acceso más usado es el que usa la técnica de santo y seña El usuario tiene que identificarse con un nombre
de usuario En el caso de que el S.O. reconozca ese
nombre de usuario le solicita un autenticador, que es la contraseña
Instituto de Neurobiología, UNAM, Marzo 9, 2007
45
Robo de Identidad Cualquiera que conozca el nombre de
usuario y la contraseña será considerado por el S.O. como el usuario legítimo al que pertenece esa información confidencial
Si el que usa esta información no es el
usuario legítimo sucede una suplantación, o sea un robo de identidad
Instituto de Neurobiología, UNAM, Marzo 9, 2007
46
¿Qué hacen los pescadores? (Phishing)
Engañar a la víctima para que entregue información confidencial que permita el acceso a sus tesoros
Instituto de Neurobiología, UNAM, Marzo 9, 2007
48
Métodos de Phishing Métodos psicológicos, o sea Ingeniería Social
El “pescador” puede hacerse pasar por una entidad confiable que hace preguntas concretas
El “pescador” puede espantar a la víctima haciéndole pensar que sus tesoros han sido atacados
Métodos técnicos Colocar código malicioso (malware) en la computadora
de la víctima Dirigir una solicitud a un servidor de páginas falso Falsificar la dirección del remitente de un mensaje
Instituto de Neurobiología, UNAM, Marzo 9, 2007
49
Ingeniería Social Éxito de estafadores basado en comprensión,
intuitiva o basada en experiencia, de los sesgos cognoscitivos de las víctimas y en su ignorancia computacional
El uso de los sesgos cognoscitivos se llama pretextar Pretextar es el acto de crear y usar un escenario ficticio
(el pretexto) para convencer a la víctima de que debe entregar información confidencial o de que realice una acción que lo puede dañar
Instituto de Neurobiología, UNAM, Marzo 9, 2007
51
Mensajes
Llamada Telefónica Correo Electrónico y Spam Entrega a través de la red IRC y Mensajería Instantánea Servidores con contenido malicioso
Instituto de Neurobiología, UNAM, Marzo 9, 2007
53
Correo Electrónico
Mensajes que parecen ser institucionales Copias de mensajes legítimos con pequeñas
variaciones en el URL Correo basado en HTML para ofuscar el URL del
destinatario Anexos a mensajes que contienen virus o gusanos Redacción de mensajes personalizados Mensajes maliciosos en grupos de discusión o
listas de correo Falsificación del domicilio del originador
Instituto de Neurobiología, UNAM, Marzo 9, 2007
55
La Red URL disfrazados Anuncios falsos que lleven a la víctima a un sitio
del atacante Fallas de los navegadores Ventanas instantáneas Inserción de código malicioso Colocación de código malicioso en alguna
página Abusar de la configuración de seguridad del
navegador de la víctima
Instituto de Neurobiología, UNAM, Marzo 9, 2007
56
Internet Relay Chat y Mensajería Instantánea
Muchos clientes de IRC y mensajería permiten incluir contenido dinámico (gráfico, multimedia, URL)
Se pueden emplear métodos automáticos para enviar masivamente mensajes instantáneos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
57
Contenido Malicioso
Se puede usar una PC invadida como origen de muchos ataques de pesca.
Registradores de la mecanografía
Instituto de Neurobiología, UNAM, Marzo 9, 2007
58
Amenaza y Crimen (Secuestro Virtual)
Método de ingeniería social de otra naturaleza, muy peligroso, es la amenaza de violencia física a la víctima o a su familia
El atacante debe estar buscando una ganancia que valga la pena, pues se está cometiendo un crimen, no un fraude o un delito cibernético sino un crimen común y corriente
Instituto de Neurobiología, UNAM, Marzo 9, 2007
59
Ataques Cibernéticos y Delitos Informáticos
Los ataques cibernéticos son análogos a la pesca con caña y carrete
Se exhibe a la víctima potencial un señuelo y, cuando el señuelo es tomado, se captura a la victima
En nuestro caso la pesca es el robo de la identidad cibernética de la víctima, o sea la divulgación de su información confidencial
Instituto de Neurobiología, UNAM, Marzo 9, 2007
60
Métodos de Ataque
Hombre en medio URL ofuscados Cross site scripting Sesiones preestablecidas Ataques encubiertos Obtención de datos del uso Vulnerabilidades de los clientes
Hombre enmedio
Instituto de Neurobiología, UNAM, Marzo 9, 2007
62
URL ofuscado
Nombres de dominio maliciosos http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm
username = mybank.com,password = ebanking
Servicios de simplificación de URLOfuscación del nombre del servidor
• Decimal – http://210.134.161.35/• Dword – http:// 3532038435/• Octal – http://0322.0206.0241.0043/• Hexadecimal – http://0xD2.0x86.0xA1.0x23/ o bien http://0xD286A123/
Instituto de Neurobiología, UNAM, Marzo 9, 2007
63
Para que puedan funcionar en varios idiomas, muchos navegadores y clientes de correo permiten codificar los datos de maneras alternas:%hexhexUnicodeUnicode UTF-8Codificación múltiple
Instituto de Neurobiología, UNAM, Marzo 9, 2007
64
Cross Site Scripting
Cuando se tienen varias ventanas abiertas todas están mutuamente accesibles
Incluyendo las que contienen páginas provenientes de otros sitios
Instituto de Neurobiología, UNAM, Marzo 9, 2007
66
Sesiones Preestablecidas
Para seguir a los usuarios de una aplicación y administrar los recursos mediante autenticación se usan identificadores de sesión tales como Galletas (cookies) Campos ocultos Campos que forman parte del URL
El pescador usa una página legítima pero inserta un identificador de sesión al que vigila hasta que aparezca una página restringida
Si el usuario no se autentica con éxito, recibirá mensajes de error del servidor de la aplicación
Instituto de Neurobiología, UNAM, Marzo 9, 2007
68
Obtención de datos de uso
Registradores de mecanografía Captura de flujos de clicks
Instituto de Neurobiología, UNAM, Marzo 9, 2007
70
Vulnerabilidades de los Clientes Uso de la combinación de Internet Explorer
y Media Player para permitir que servidores remotos lean archivos locales, transiten por los directorios y ejecuten código
Corrupción de la memoria que el S.O. asigna a una aplicación para que guarde sus datos mediante Real Player
Ataque mediante mensajes falsos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
72
Ataque mediante mensajes falsos
Copias de mensajes legítimos con pequeñas variaciones en el URL
Correo basado en HTML para ofuscar el URL del destinatario
Mensajes donde se ha falsificado el domicilio del remitente
Mensajes falsos convincentes
Instituto de Neurobiología, UNAM, Marzo 9, 2007
73
Ataque Mediante inyección de código malicioso
Instituto de Neurobiología, UNAM, Marzo 9, 2007
74
Ataque Mediante inyección de código malicioso
Archivos anexos a mensajes de correo electrónico
Mensajes en grupos de discusión, listas de correo o charlas electrónicas
Wikis Blogs Anuncios falsos en los resultados de
búsquedas que lleven a la victima a un sitio del atacante
Instituto de Neurobiología, UNAM, Marzo 9, 2007
75
Ataque Mediante inyección de código malicioso
Páginas Web que contienen código ejecutable
Páginas Web espurias diseñadas para que los buscadores las encuentren
Flujos de información ( sonido y video) Programas aparentemente inocuos
(caballos de Troya) Ventanas instantáneas
Ataque mediante servidores de páginas falsificados
Instituto de Neurobiología, UNAM, Marzo 9, 2007
77
Ataque mediante servidores de páginas falsificados
Las páginas que presente el pescador deben ser convincentes
El pescador aprovecha las debilidades de la victima
Aparece una cuestión fundamental para los que diseñan la interfaces de usuario, pues es allí, en las interfaces, que se da la batalla entre los pescadores y las víctimas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
78
Defensa contra Pescadores Vigilar actividades potencialmente maliciosas:
Uso de sitios de Web Registros de nombres de dominio
Autenticar (firmar digitalmente) los mensajes de correo electrónico y descartar los que no tengan firma conocida
Detectar el uso no autorizado de marcas, logotipos y otras imagines que son propiedad de alguna empresa
Instalar en los clientes programas que detecten código malicioso
Usar información personal para autenticar los mensajes de correo electrónico
Instituto de Neurobiología, UNAM, Marzo 9, 2007
79
Defensa contra Pescadores Avisar a los usuarios cuando se detecte un servidor
fraudulento Establecer una trayectoria confiable cuando se
efectúe un dialogo, es decir, autenticar a ambas partes del dialogo
Usar sistemas de autenticación de dos partes Obligar a que cada servidor tenga contraseñas
propias que no se compartan con otros servidores Usar certificados digitales que especifiquen para
que se pueden usar
Instituto de Neurobiología, UNAM, Marzo 9, 2007
80
Defensa de los Clientes
Protección de la computadora Correo electrónico más sofisticado Uso de la capacidad de los navegadores Correo Firmado Capacitación y sensibilización de los
usuarios
Instituto de Neurobiología, UNAM, Marzo 9, 2007
81
Defensa de los Servidores
Autenticación de los servidores Verificación de la correspondencia
institucional Vigilancia del dominio Servicios de compuertas Servicios administrados
Instituto de Neurobiología, UNAM, Marzo 9, 2007
82
Causas del Phishing
Ignorancia Sobre sistemas de Cómputo
Debilidades de los sistemas operativos Estructura del sistema de domicilios de Internet Sistema de encabezados de mensajes
Sobre la seguridad y los indicadores de seguridad Significado del candado como icono de seguridad Ubicación de ese icono en la pagina Significado de los certificados de identidad de sitios Verificación del URL del sitio al que se van a conectar
Instituto de Neurobiología, UNAM, Marzo 9, 2007
83
Causas del Phishing Engaños visuales
Texto engañoso Sintaxis de los apuntadores Confusión entre la “i” y el “1” Uso de símbolos que no se pueden imprimir o desplegar
Imágenes que enmascaran texto Uso de hiperenlaces en los que aparece una imagen quedando el
URL oculto Imágenes que imitan ventanas
Colocación de una imagen de una ventana Colocación de una imagen que simula un diálogo
Ventanas que enmascaran ventanas Ventanas fraudulentas encima o muy cerca de una ventana legitima Ventanas que provienen de fuentes distintas
Presencia engañosa Aspecto de una ventana falsa muy parecida a una verdadera Logotipos, textos e imágenes verdaderas con funciones falsas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
84
Causas del Phishing
Atención limitada Falta de atención a los indicadores de
seguridad Falta de atención a la ausencia de
indicadores de seguridad
Instituto de Neurobiología, UNAM, Marzo 9, 2007
85
Pharming (Granjeros) ¿Qué hacen?
Manipulan las maneras en las que un usuario ubica y se conecta con un servidor de nombre (DNS) conocido, mediante la modificación del proceso de traducción de los nombres a domicilios IP
Su propósito es obtener información personal del usuario del cliente
Instituto de Neurobiología, UNAM, Marzo 9, 2007
86
Pharming (Granjeros) ¿Qué hacen? Cambian el domicilio que aparece junto a un
nombre en la lista del DNS, poniendo allí el domicilio de un servidor malicioso
Ese servidor simula al que se quería conectar originalmente el usuario, quien al ser engañado entrega su información de autenticación: su nombre y contraseña
Una vez que el granjero logra obtener esta información, envía un mensaje de error y transfiere la conexión al servidor legítimo ante el cual el usuario se tiene que volver a autenticar
Instituto de Neurobiología, UNAM, Marzo 9, 2007
87
Pastores… ¿Qué hacen? Lo primero que hacen es infiltrar una computadora
grande y colocar un programa servidor de IRC Luego infiltran muchas otras computadoras
pequeñas y grandes y colocan un cliente IRC en cada una
Finalmente crean su rebaño,regresando al programa servidor y suscribiendo a todas las otras computadoras , y a la suya propia, a la red IRC
De esta manera se pueden comunicar con su rebaño y enviarles instrucciones a las computadoras infiltradas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
89
Uso de los Rebaños
Envío masivo de mensajes de correo electrónico
Apoyar el trabajo de los pescadores Llevar a cabo ataques distribuidos de
denegación de servicio Obtención de informacion contenida en
computadoras selectas
Instituto de Neurobiología, UNAM, Marzo 9, 2007
90
Rebaños Los rebaños pueden ser enormes
Uno famoso llamado Phatbot Network contaba con más de medio millón de computadoras infiltradas
Los pastores llevan a cabo concursos mundiales
En los ultimos, algunos pastores han exhibido control de más de 1,200,000 computadoras, aunque mantener ese control es difícil
Instituto de Neurobiología, UNAM, Marzo 9, 2007
91
Mecanismos de Defensa
Comportamiento del tráfico Los miembros de una red tienen que
comunicarse para organizarse y atacar Esto cause patrones de tráfico identificables Los mecanismos más frecuentes empleados
por las redes maliciosas son IRC y HTTP Un flujo anormalmente alto de paquetes de
estos protocolos indica la presencia probable de una red maliciosa
Instituto de Neurobiología, UNAM, Marzo 9, 2007
92
Mecanismos de Defensa
Comportamiento de computadoras Puesto que las redes dependen de la instalación de
código malicioso en sus miembros, se pueden usar todas las técnicas de detección de virus
Comportamiento correlacionado global El comportamiento correlacionado global está ligado a
las estructuras fundamentales de las redes y de sus mecanismos de funcionamiento
Todas las redes maliciosas del mismo tipo presentan comportamientos globales iguales, y detectables
Instituto de Neurobiología, UNAM, Marzo 9, 2007
93
InfoWar MessageLabs y Counterpane reportaron en April 2006:
El 61% de las computadoras tienen “algun tipo” de spyware or adware instalado
El uso de Tryanos para espionaje entre competidores es muy comun
D&B Israel launches industrial espionage system
INDIA ACCUSES US OF SPYING By KonstantinKornakovJul 31 2006 After several high profile arrests within the Indian security
forces, the country’s government has decided to lodge an official protest with the US embassy in New Delhi. Indian authorities accuse the US of using a joint Indian-US cyber security forum as cover for spying activities in which several senior national security officials were involved.
Instituto de Neurobiología, UNAM, Marzo 9, 2007
94
Vislumbrar Solución Esquemas de seguridad en el ámbito
computacional enfocados principalmente a la autenticación y a la criptografía
Pero en casi todos los casos se ha ignorado el factor humano y su impacto en los ataques a la seguridad
Por lo tanto, hay que tomar conciencia del peligro y educar en esa dirección
Instituto de Neurobiología, UNAM, Marzo 9, 2007
95
Vislumbrar Solución El destino nos alcanzó a todos en la era de
las TI y de Internet La preocupación de seguridad informática
entró al ámbito personal y familiar La solución no es única ni del mismo ámbito Pasa por el aspecto humano (psicología e
ingeniería social) y el aspecto técnico Lo mismo hay que tomar conciencia que
conocer el aspecto técnico
Instituto de Neurobiología, UNAM, Marzo 9, 2007
96
Recomendaciones Conocer el problema y estar actualizado
(sitios especializados) No confiarse y seguir los checklist para
configuraciones seguras en el ámbito que nos toca
Instituto de Neurobiología, UNAM, Marzo 9, 2007
97
Recomendaciones
Autenticación mutua (SSL, TLS) Autenticación de 2 factores Certificados Digitales Biometría Tokens en banca electrónica Comercio electrónico con Protocolos
Seguros (SET, SPP, iKP) y Certificados Digitales
Instituto de Neurobiología, UNAM, Marzo 9, 2007
98
Recomendaciones
Canales Cifrados (SSH, SSL) para sesiones remotas
Correo Electrónico firmado y cifrado (PGP) Asegurar que el Código libre que se baja de
red tenga asociado un Certificado Digital y venga firmado
Asegurarse, para transacciones y datos sensibles, entrar a sitios certificados
Asegurarse de usar sitios con protocolo https
Instituto de Neurobiología, UNAM, Marzo 9, 2007
100
El Próximo Futuro Amenazas a Dispositivos Móviles
Teléfonos Celulares Cada vez más parecidos a la computadora
Asistentes Personales (PDA’s) Cada vez se guarda más información de alto valor
Voz sobre IP (VoIP)Servicios telefónicos
Instituto de Neurobiología, UNAM, Marzo 9, 2007
101
El Próximo Futuro Código Malicioso por E-mail
Los virus por e-mail, a la bajaA la alta, nuevas formas de malware por e-mail
Explotación de Redes InalámbricasRedes inalámbricas difíciles de asegurarLas vulnerabilidades serán peores que las
anteriores
Instituto de Neurobiología, UNAM, Marzo 9, 2007
102
El Próximo Futuro
Spam y SpywareFormas de insertar código malicioso
Phishing y Robo de IdentidadPsicología, Ingeniería SocialFalta de educación en riesgos en uso de la
tecnología
Instituto de Neurobiología, UNAM, Marzo 9, 2007
105
Algunas Reflexiones La motivación principal de los atacantes en Internet
se ha apartado del vandalismo y la fama y ahora se dirige a las ganancias económicas
El atacante de hoy trata de explotar a individuos y empresas para obtener ingresos o beneficios económicos
Esto causa pérdidas enormes para las víctimas Un estudio realizado por las autoridades en los
EE.UU. cuantifican los daños en año 2006 en 67.2 miles de millones de dólares
Instituto de Neurobiología, UNAM, Marzo 9, 2007
106
Algunas Reflexiones
La Nueva Selva Virtual nos obliga a cuidarnos y defendernos para sobrevivir
La Era de las TI e Internet conlleva una nueva forma de terror y de esclavitud
Nos sorprendió la tecnología cuando no estamos preparados para asumir sus riesgos
Podemos no usar la tecnología… o usarla selectivamente?
Instituto de Neurobiología, UNAM, Marzo 9, 2007
107
Algunas Reflexiones Marshall McLuhan tenían razón?
“Somos lo que vemos”“Formamos nuestras herramientas y luego ellas
nos forman a nosotros”El mensaje es el medio
Instituto de Neurobiología, UNAM, Marzo 9, 2007
108
Muchas Gracias !!..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
leo@servidor.unam.mx
Tel. 01 55 56231070
Instituto de Neurobiología, UNAM, Marzo 9, 2007
109
Seguridad y TI en la UNAM
Diplomado de Seguridad Informática http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/
LLaboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/
Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org
Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html
PGP: http://www.pgp.com/downloads/index.html
PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/products-services/security-services/pki/index.html
OpenCA: http://www.openca.org/
Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
IDS (Intrusion Detection System)Snort: http://www.snort.org
Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php
Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
Firewallshttp://www.checkpoint.com/http://www.cisco.com/en/US/products/hw/vpndevc/index.htmlhttp://www.watchguard.com/http://europe.nokia.com/nokia/0,,76737,00.html
Monitores de RedNtop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/
Analizadores de VulnerabilidadesNessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php
Passwords CrackersJohn de Ripper
http://www.openwall.com/john/
ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html
ISO/IEC 27001
http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter
Sarbanes Oxley http://www.s-ox.com/
ANTIVIRUSAVAST (libre) http://www.avast.com/eng/
free_virus_protectio.htmlCLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1