Ataques desde adentro del sistema

Sistema Operativo – Trabajo Integrador[pic 1]

Gómez - de la Fuente - Laszeski

GRUPO 3

Ataques desde adentro del sistema

Año: 2014

ÍNDICE

1. Caratula ----------------------------------------------------------Pag.1

1. Índice -------------------------------------------------------------Pag.2

1. Introducción -----------------------------------------------------Pag.3

1. Caballo de Troya -----------------------------------------------Pag.4

1. Falsificación de identidad ------------------------------------Pag.5

1. Bombas Lógicas ------------------------------------------------Pag.6

1. Trampas -----------------------------------------------------------Pag.7

1. Desbordamiento de pila y buffer ----------------------------Pag.8

1. Amenazas al sistema ------------------------------------------Pag.9

1. Virus-------------------------------------------------------Pag.9.10.11

1. Gusanos--------------------------------------------------Pag.12.13.14

1. Conclusión ------------------------------------------------------Pag.15

1. Bibliografía ------------------------------------------------------Pag.16

INTRODUCCION

La seguridad ha sido durante mucho tiempo una preocupación en el diseño de los sistemas operativos. Sin embargo, los enfoques de diseño de la seguridad han evolucionado a medida que evolucionaron las amenazas. Entre los ejemplos de áreas de amenaza que presentan dificultades nuevas y complejas se incluyen los virus y los ataques a los sistemas operativos distribuidos.

CABALLO DE TROYA

Un caballo de Troya es un programa o procedimiento aparentemente útil que contiene un código oculto que, cuando se invoca, lleva a cabo alguna función dañina o no deseada.

Los programas con caballo de Troya se puede usar para efectuar funciones indirectamente que un usuario no deseado no podría efectuar directamente.

Ejemplos:

1. para obtener acceso a los archivos de otro usuario en un sistema compartido, un usuario podría crear un programa con caballo de Troya que cuando se ejecutase, cambiaria los permisos de los archivos del usuario que lo llamase de forma que pudieran ser leídos por cualquier usuario. El autor del programa podría entonces invitar a los usuarios a ejecutar al programa, situándolo en un directorio común y dándole un nombre de forma que pareciese una utilidad provechosa.
2. un programa que produce ostensiblemente un listado de los archivos del usuario en un formato deseado. Después de que otro usuario haya ejecutado el programa, su autor podría acceder a la información de los archivos del usuario.
3. Un programa con caballo de Troya que seria difícil de detectar es un compilador que haya sido modificado para que inserte un código adicional en cierto programa cuando son compilados, como los programas de conexión a los sistemas. El código crea una trampilla en el programa de conexión que le permite al autor conectarse al sistema mediante una contraseña especial. Este caballo de Troya nunca se descubrirá leyendo el código fuente del programa de conexión.
4. Una variación del caballo de Troya seria un programa que emula un programa de ingreso al sistema (login). Por ejemplo, un usuario confiado comienza a ingresar en el sistema desde una terminal y se da cuenta de que tecleo mal su contraseña. El usuario lo intenta de nuevo y tiene éxito. Lo que ocurrió es que su clave de validación y contraseña han sido robados por el emulador de login que el delincuente dejo ejecutándose en la terminal. El emulador guardo la contraseña, exhibió en la pantalla un mensaje de error de login, y termino. A partir de ese momento, el usuario interactuó con el verdadero programa de login.

Otra intención habitual de los caballos de Troya es la destrucción de datos. El programa parece estar realizando alguna función de utilidad (por ejemplo, un programa de calculadora), pero también puede estar eliminando silenciosamente los archivos del usuario.

FALSIFICACION DE IDENTIDAD

Usuarios inexpertos o descuidados:

Son potencialmente muy peligrosos. Cosas tales como borrar archivos no deseados, dejar abiertos los accesos al sistema durante mucho tiempo o escribir la palabra clave en un papel junto a la computadora son más frecuentes de lo que parece.

Los problemas de seguridad debido a usuarios descuidados deben tener situación especial por parte del administrador del sistema, que puede conseguir paliar muchos de ellos.

Ciertos mandatos como delete o rm (borrar archivo), se pueden configurar para pedir confirmación de cada acción que realizan, el acceso a un sistema se puede cerrar si se detecta que lleva un tiempo inactivo, etc.

Usuarios no autorizados:

Por medio de un proceso de autentificación los usuarios autorizados acceden al sistema en donde pueden realizar múltiples acciones según el privilegio de modificación o de administración que tengan. Hay diferentes tipos de autentificado, los usuarios comunes y los administradores, estos últimos tienen el más alto privilegio, ya que pueden acceder a todo el sistema saltándose las protecciones del resto de los usuarios.

Como dijimos la autentificación es el proceso para acceder al sistema. Este proceso es muy importante para la seguridad del sistema, los usuarios no autorizados intentan siempre romper este mecanismo para acceder al sistema, y siempre querer acceder de con las prioridades de administrador, ya que si lo hace puede hacer lo que desee, desde borrar datos, cambiar contraseña de administrador para que solamente él pueda acceder, crearse un usuario con identidad falsa, etc.

La posibilidad de que haya más vulnerabilidad incrementa mucho en sistemas con arquitectura abierta conectado a redes. Por esto los administradores siempre prefieren sistemas sin interferencias externas. Sin embargo es muy difícil, actualmente tener sistemas completamente aislados. Todas las computadoras actualmente poseen una unidad de disco extraíble o conexión a red.

La existencia de sistemas abiertos da lugar a cuatro tipos de ataques de seguridad externos: Virus, Gusanos, Rompedores de seguridad y Bombardeos.

BOMBAS LOGICAS

Unos de los tipos de amenazas más antiguos, anterior a los virus y gusanos, es la bomba lógica.

Es un código incrustado en un programa legitimo que “Explota” cuando se cumplen ciertas condiciones. Ejemplos de condiciones que pueden emplearse como disparadores de una bomba lógica son la presencia o ausencia de ciertos archivos, un día concreto de la semana, o una fecha, o un usuario particular que ejecute la aplicación. En un caso famoso una bomba lógica inspeccionaba el numero de ID de un cierto empleado (el del autor de la bomba) y entonces se disparaba si el ID no aparecía en dos cálculos consecutivos de la nomina. Una vez disparada, la bomba, podría modificar o borrar datos o archivos enteros, hacer que la maquina se detuviese o causara algún otro daño.

Un ejemplo sorprendente de cómo se pueden utilizar las bombas lógicas fue el caso del sistema de la biblioteca del condado de Montgomery, en Maryland. El contratista que había desarrollado el sistema de préstamos computarizado inserto una bomba lógica que inhabilitaba el sistema en una cierta fecha, a menos que se le hubiera pagado. Cuando la biblioteca negó el pago final porque el sistema tenía un tiempo de respuesta malo, el contratista revelo la existencia de la bomba y amenazo con permitir que estallase a menos que el pago estuviese disponible.  

TRAMPAS O PUERTA SECRETA (TRAP DOOR)

El diseñador de un programa o sistema podría dejar un “agujero” en el software que solo él puede usar.

Por ejemplo, el código podría verificar que el identificador de usuario o la contraseña tengan un valor específico y podría burlar los procedimientos de seguridad normales.

Podría incluirse una puerta secreta ingeniosa en un compilador. El compilador podría generar código objeto estándar y también una puerta secreta, independientemente del código fuente que se está compilando. Tal actividad es particularmente insidiosa, ya que un examen del código fuente del programa no revela problema alguno. Solo el código fuente del compilador contendría la información.

Las puertas secretas son un problema difícil porque para detectarlas es preciso analizar todo el código fuente de todos los compiladores de un sistema. Dado que los sistemas de software pueden consistir en millones de líneas de código, tal análisis no se efectúa con mucha frecuencia.

DESBORDAMIENTO DE PILA Y BUFFER

Los ataques por desbordamiento de buffer (también denominado saturación de búfer) están diseñados para activar la ejecución de un código arbitrario en un programa al enviar un caudal de datos mayor que el que puede recibir.

...