Seguridad

Prologo

F

GLOBALTEKSECURITY: TECNOLOGIAS GLOBALES PARA LA SEGURIDAD DE

LA INFORMACION

Colombia, Agosto de 2007

Introduccion a las tecnicas de ataque e investigación

forense, un enfoque pragmático

Preparado por: Armando Carvajal

Gerente de consultoria globalteksecurity

Master en seguridad informática Universidad Oberta de Catalunya

Especialista en construcción de software para redes - Uniandes

Ing. Sistemas – Universidad Incca de Colombia

Pagina web: www.globalteksecurity.com

e-mail: info@globalteksecurity.com

I N C L U Y E C D C O N L I N U X H E L I X Y B A C K T R A C K 2 . 0

Prologo

La sociedad de la información y las nuevas tecnologías de comunicaciones plantean la necesidad de

mantener la confidencialidad de la información que soportan los sistemas de las organizaciones; para ello, es

especialmente importante elegir e implantar los sistemas y métodos de seguridad más idóneos, que protejan

las redes y sistemas ante eventuales amenazas. El núcleo del negocio no debe parar, es la capacitación

especializada la que conforma profesionales especializados en seguridad informática para que implementen y

gestionen de manera eficaz sus sistemas de información en forma segura.

Este documento inicia con una introducción a la seguridad informática, y pretende explorar las variables más

importantes de un sistema de seguridad como son confidencialidad, integridad y disponibilidad, se revisan

los ataques desde el punto de vista de vulnerabilidades, se describe como los ataques buscan siempre las

mismas variables del sistema, se revisa la norma ISO 27002:2005 (antes ISO IEC 17799:2005) para

proponer el sistema de gestión de seguridad Informática PDCA. Es apasionante entender como actúan los

atacantes por ello en forma práctica se hace exploración de puertos de red con utilitarios como nmap y se

hace una auditoria de contraseñas con la técnica “jhon de Ripper”.

En la vida real, la defensa se estructura mejor cuando se sabe como se hacen los ataques, por ello se trata

en forma practica los ataques de denegación de servicios como SMURF, SNORK y SYN Flood, terminando con

la ejecución del exploit “IIS5.0 Web DAV” contra un servidor Windows 2000.

Luego se profundiza en la investigación forense con laboratorios especializados en la toma de datos y el

protocolo de investigacion forense finalizando con los honeypots desde el punto de vista de la investigación

forense haciendo un laboratorio práctico, el objetivo de esta práctica es introducir al asistente en el

apasionante tema de la investigación forense.

Acerca de los autores y coautores

3

Armando Carvajal: Ingeniero de Sistemas de la Universidad INCCA de Colombia, cuenta con un postgrado

en “Construcción de Software para redes” de la Universidad de los Andes y una maestria en “Seguridad

Informática” de la Universidad Oberta de Cataluña (España).

Se desempeña como Gerente de consultoria de la empresa globalteksecurity (antes unixgroup),

organización especializada en seguridad de la informacion.

Ha sido conferencista a nivel Latinoaméricano y tiene experiencia dictando postgrados en algunas

universidades en Colombia.

Acerca de los autores y coautores

Esta pagina esta en banco intencionalmente

Capitulo 1

Fundamentos de seguridad Informatica

5

1.0 Que es la seguridad Informática

En Europa se utiliza con más frecuencia la expresión “Fiabilidad informática”. Un sistema de información se

considera seguro si se encuentra libre de todo riesgo y daño, pero es imposible garantizar la seguridad o la

inviolabilidad absoluta de un sistema informático, en el interesante libro [Moron Lerma, Esther, (2002),

Internet y derecho penal: Hacking y otras conductas ilícitas en la red. Editorial Aranzadi S.A] se sugiere de

preferencia utilizar el término fiabilidad.

Importante

Este término se usa con mucha frecuencia en Europa

Que es seguridad informática?

Un sistema de información se

considera seguro si se encuent ra

libre de todo riesgo y daño

Es imposible garant izar la

seguridad o la inviolabilidad

absoluta de un sistema informát ico,

por ello es preferible ut ilizar el

termino f iabilidad

Capitulo 1 – Fundamentos de la seguridad de la informacion

No se podrá entender la seguridad informática como un concepto cerrado consecuencia de la aplicación

mecánica de una serie de métodos, sino como un proceso que se puede ver comprometido en cualquier

momento de la forma menos sospechada, “La Seguridad Informática es un proceso continuo, donde la

condición de los controles de la institución es apenas un indicador de su postura de seguridad”. [FFIEC

Information Security IT Examination Handbook, Diciembre de 2002].

La seguridad informática es una idea subjetiva [Schneier Bruce, Beyond Fear. Thinking Sensibly about

security in an uncertain world. Copernicus Books. 2003], mientras la inseguridad informatica es una idea

objetiva, es por ello que no es facil tener control absoluto sobre la seguridad informatica, porque lo subjetivo

es incierto, esto no ocurre con la inseguridad informatica, que sabemos a ciencia cierta, que nos va a ocurrir

si continuamos conviviendo irresponsablemente con las vulnerabilidades y los riesgos inherentes de nuestros

sistemas informaticos.

La idea del “seguro de vida” ayuda a explicar la naturaleza contradictoria de los conceptos “seguridad” e

“inseguridad” informatica, por ejemplo cuando compramos un seguro de vida estamos asegurando un bien

subjetivo “la vida”, lo hacemos para garantizar que cuando ocurra el siniestro, es decir para cuando llegue la

“muerte”, haya una indeminzacion por la falta de los ingresos economicos que aportaba el asegurado cuando

este estaba vivo.

Notese que la muerte es lo mas seguro en la vida, o ¿alguien tiene dudas de que algun dia morira?, por lo

tanto lo mas seguro en la vida es la muerte.

Entonces parece que hay un error en el nombre que le da la aseguradora a la poliza de seguros, se le llama

generalmente “Seguro de Vida” cuando deberia ser “Seguro de Muerte”, es interesante que en informatica

ocurra el mismo error: decimos “Seguridad Informatica” cuando deberiamos decir “Inseguridad Informatica”.

“La inseguridad informática es pues una estrategia de reflexión y acción para repensar la seguridad

informática como una disciplina que es al mismo tiempo sentimiento y realidad”.

[http://www.acis.org.co/archivosAcis/Inseguridad.doc, Jeimy Cano, 2004]

Importante

Por favor medite esta pregunta: ¿Tiene dudas sobre la existencia de vulnerabilidades y riesgos informaticos

en su organizacion?

5

“Seguridad Informática es un proceso

continuo, donde la condición de los controles

de la institución es un indicador de su postura

de seguridad”

FFIEC Information Security IT Examination Handbook

December 2002

La inseguridad es una propiedad inherente a

los recursos informaticos, la gestion es la unica

forma de medirla… y aminorarla

Que es seguridad informática?

Capitulo 1 – Fundamentos de la seguridad de la informacion

1.1 Propiedades de un sistema seguro

Hay 3 variables o parámetros que determinan el estado de un sistema informático, estos son:

Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados

Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos

autorizados

Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados

1.2 Tipos de ataques

Modificación: También llamados webdefacement buscan comprometer la confidencialidad y la integridad del

sistema, por ejemplo cuando un atacante modifica la página web de una organización sin previa autorización

Fabricación: comprometen la integridad del sistema por ejemplo al insertar un nuevo usuario en el sistema

operativo

Interceptación: Busca comprometer la confidencialidad del sistema, un ejemplo son los key loggers o

spyware y los Sniffers

Interrupción: Comprometen la propiedad Disponibilidad un ejemplo serian los ataques de denegación de

servicios o DoS.

Veamos una grafica de que propiedades buscan los ataques y su clasificación:

6

Propiedades de un sistema

Confidencialidad: Los recursos del sistema

solo pueden ser accedidos por los

elementos autorizados

Integridad: Los recursos del sistema solo

pueden ser modificados o alterados por los

elementos autorizados

Disponibilidad: Los recursos del sistema

deben permanecer accesibles a los

elementos autorizados

Capitulo 1 – Fundamentos de la seguridad de la informacion

1.3 Grado de dificultad para realizar un ataque

Hoy en día la mayoría de los ataques están automatizados en CDs auto ejecutables que son usados por los

atacantes y a su vez por los auditores de seguridad para

...