seguridad semana5 ppt

ESCUELA DE INFORMTICA Y TELECOMUNICACIONES ESCUELA DE INFORMTICA Y TELECOMUNICACIONES

Clase 5: Intrusos y Virus

Seguridad en Sistemas Computacionales

Escuela de Informtica y Telecomunicaciones


Temario Intrusos

Tcnicas de intrusin Proteccin de contraseas Estrategias de seleccin de contraseas Deteccin de intrusos

Virus y otras amenzas Programas maliciosos La naturaleza de los virus Tcnicas de antivirus avanzadas



Intrusos Existen tres clases de intrusos (hackers y

crackers):

Suplantador Usuario fraudulento Usuario clandestino



Tcnicas de intrusin Los sistemas mantienen un archivo que asocia

una contrasea con cada usuario autorizado.

El archivo de contraseas puede ser protegido utilizando:

Cifrado unidireccional Control de acceso



Tcnicas de intrusin Tcnicas para descubrir contraseas:

Probar contraseas predeterminadas Probar todas las contraseas cortas posibles

(de 1 a 3 caracteres)

Probar todas las palabras pertenecientes a un diccionario

Recolectar informacin acerca de los usuarios, como por ejemplo, fecha de cumpleaos, nombre de los familiares, pasatiempos, etc.



Tcnicas de intrusin Tcnicas para descubrir contraseas

(continuacin):

Probar los nmeros de telfonos, identificacin, direccin, etc

Probar con todas las patentes de automviles Utilizar un troyano Interceptar la lnea entre un usuario remoto y

un sistema host



Esquema de contraseas UNIX

Cargando una nueva contrasea



Esquema de contraseas UNIX

Verificando una contrasea



Almacenando contraseas UNIX Antiguamente los sistemas UNIX almacenaban

las contraseas en un archivo leble llamado /etc/passwd

Actualmente las contraseas se almacenan en el archivo /etc/shadow, que es slo visible por root.



Salt El valor salt sirve para tres propositos:

Previene contraseas duplicadas en el archivo de contraseas

Incrementa de manera efectiva el largo de una contrasea

Evita el uso de una implementacin hardware de DES



Estrategias de seleccin de contraseas Educar a los usuarios Contraseas generadas por computadoras Comprobacin reactiva de contraseas Comprobacin proactiva de contraseas



Etapas de una intrusin por red 1. Explorar la red para:

Conocer cuales son las direcciones IP en uso

Qu sistema operativo se est utilizando Qu puertos TCP o UDP estn abiertos

2. Correr un Exploit contra los puertos abiertos 3. Obtener acceso a shell con permisos de

administracin



Etapas de una intrusin por red 4. Descargar de sitios Web de Crackers

versiones especiales de archivos de sistemas para obtener acceso en el futuro sin ser detectado

5. Usar IRC para invitar a otros Crackers a participar



Deteccin de intrusiones El intruso puede ser identificado y expulsado

del sistema

Una deteccin de intrusin efectiva debera impedir intrusiones

Una deteccin de intrusin permite recolectar informacin acerca de tcnicas de intrusin que pueden ser utilizadas para fortalecer la prevencin de intrusiones



Comportamiento de intrusos y usuario autorizados



Medidas utilizadas para la deteccin Frecuencia de entrada por da y hora Frecuencia de entrada desde diferentes lugares Tiempo transcurrido desde la ltima entrada Fallos de contraseas el entrar Frecuencia de ejecucin Frecuencia de denegacin Frecuencia de lectura, escritura, creacin y eliminacin Contador de fallos de lectura, escritura, creacin y

eliminacin



Deteccin de intrusiones distribuda Un entorno heterogneo con distintos formatos

de registro de auditoras

Es necesario asegurar integridad y confidencialidad de los datos recopilados

La arquitectura para la recopilacin y anlisis de todos los datos puede ser centralizada o descentralizada



Deteccin de intrusiones distribuda

Desarrollado por la Universidad de California en Davis



Deteccin de intrusiones distribuda



Virus y programas maliciosos Los virus de computador y otros programas

asociados tiene la habilidad de replicarse por si solos en un gran nmero de computadores. En un inicio se replicaban a travs de disquettes, ahora lo hacen a travs de Internet

Otros programas maliciosos pueden ser instalados en computadores de manera individual. Tambin se pueden integrar en paquetes de software comercial. Estos son muy difciles de detectar (Troyanos, puertas traseras, etc)



Taxonoma de los programas maliciosos

Need Host

Program Independent

Trapdoors

Logic Bombs

Trojan Horses

Viruses

Bacteria

Worms

Malicious Programs



Definiciones Virus: cdigo que se copia por si slo dentro de

otros programas

Bacteria: se replica hasta utilizar todo el espacio en disco o ciclos de CPU

Gusano: un programa que se replica por si slo a travs de una red, usualmente a travs de correos o documentos adjuntos

Troyano: instrucciones ocultas en un programa que aparenta ser bueno pero que en realidad hace cosas malas como por ejemplo enviar contraseas o informacin privada por la red



Definiciones Bomba lgica: cdigo malicioso que se activa

con un evento determinado, por ejemplo una fecha

Puerta trasera: entrada no documentada escrita en el cdigo con propsitos de depuracin que puede permitir el acceso a usuarios no autorizados

Huevo de pascua: cdigo oculto que hace algo cool, generalmente no es algo daino. Es una forma que utilizan los programadores para demostrar que ellos tienen el control del SW



Fases de un Virus Fase inactiva: el virus se encuentra inactivo,

esperando por un acontecimiento

Fase de propagacin: el virus coloca una copia idntica de s mismo en otros programas o determinadas reas del sistema

Fase de activacin: el virus se activa para llevar a cabo la funcin para lo cual se creo

Fase de ejecucin: la funcin est ejecutada, y puede ser ofensivo o inofensiva



Proteccin contra Virus Utilizar un software de proteccin contra virus

conocido, bien configurado y actualizado para examinar discos

No ejecutar programas (o macros) de origen desconocido

Si es posible, evitar la utilizacin de los sistemas operativos o clientes de correo ms populares



Estructura de un Virus sencillo



Propagacin de un Virus



Tipos de Virus Virus parsito: se adjunta a los archivos ejecutables

como parte de su cdigo y corre cada vez que el programa original se ejecuta

Virus residente en la memoria: se aloja en la memoria principal como parte residente del sistema operativo

Virus del sector de arranque: infecta el registro de arranque del disco y se extiende cuando un sistema arranca desde el disco

Virus furtivo: un virus diseado explcitamente para evitar la deteccin por parte de un antivirus

Virus polimrfico: un virus que se modifica con cada una de las infecciones, haciendo difcil su deteccin



Macro Virus Las aplicaciones de Microsoft Office permiten

la utilizacin de macros en los documentos. Una macro es un programa ejecutable insertado en un documento Word, Excel u otro.

La macro puede ejecutarse cuando el documento es abierto o cuando ciertos comandos son seleccionados (Guardar archivo)

Son independientes de la plataforma y sistema operativo



Enfoques de antivirus 1era Generacin, exploradores: exploran archivos en

busca de patrones conocidos de bits de virus conocidos (firmas), tambin chequean archivos ejecutables en busca de cambios en su longitud

2da Generacin, exploradores heursticos: buscan por seales generales asociadas a posibles firmas (segmentos de cdigo comunes en varios virus). Otro enfoque es la comprobacin de la integridad de los archivos (hashing)

3er Generacin, Trampa de actividad: son programas residentes en memoria que se encargan de identificar virus por su accin o comportamiento (explorar archivos)



Enfoques de antivirus 4ta Generacin, Todas las funciones: paquetes

compuestos por una variedad de tcnicas antivirus usadas en conjunto.

La carrera armamentista continuar



Tcnicas avanzadas de antivirus Descifrado genrico: Emulador de CPU Explorador de firma de virus Mdulo de control de emulacin Problema: Cunto tiempo podra un

explorador GD correr cada interpretacin?



Tcnicas avanzadas de antivirus

seguridad semana5 ppt

Documents