Auditoria de Sistemas de Informacin: La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud

de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. La auditoria de sistemas de informacin y sistemas distribuidos consiste en verificar las vulnerabilidades que puedan existir en estaciones de trabajo, redes de comunicaciones y servidores, con el objetivo de corregirlas de la manera adecuada para evitar la fuga de informacin de la organizacin a la cual pertenece el sistema. Tras la verificacin se busca el implantar medidas nuevas de refuerzo del sistema, presentando un informe a los responsables en distintos niveles y buscando la mejora aprendiendo de los errores cometidos previamente Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.

Control de acceso: Principales Controles fsicos y lgicos Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin Autenticidad Permiten verificar la identidad 1. Passwords: Los passwords deben tener medidas contra ataques por fuerza bruta, ya que son base fundamental de los datos deben tener una caracterstica Alfanumrica y no estar vinculados a los datos de la persona que los usa, mientras menos sentido tengan mejor. 2. Firmas digitales: en la transmisin de mensajes telemticos y en la gestin de documentos electrnicos, es un mtodo criptogrfico que asocia la identidad de una persona o de un equipo informtico al mensaje o documento. En funcin del tipo de firma, puede, adems, asegurar la integridad del documento o mensaje. Exactitud Aseguran la coherencia de los datos 1. Validacin de campos: Permite verificar que los datos escritos en un campo sean correctos y que material sin sentido no sea agragado al sistema, de este manera

se controla el uso de espacio en disco, y se evita el almacenamiento de material no deseado. 2. Validacin de excesos. Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo 1. Conteo de registros 2. Cifras de control Redundancia Evitan la duplicidad de datos 1. Cancelacin de lotes 2. Verificacin de secuencias Privacidad Aseguran la proteccin de los datos 1. Compactacin 2. Encriptacin Existencia Aseguran la disponibilidad de los datos 1. Bitcora de estados 2. Mantenimiento de activos Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. Extintores 2. Passwords Efectividad Aseguran el logro de los objetivos 1. Encuestas de satisfaccin 2. Medicin de niveles de servicio Eficiencia Aseguran el uso ptimo de los recursos

1. Programas monitores 2. Anlisis costo-beneficio

Criptografa. (Del griego krypto, oculto, y graphos, escribir, literalmente escritura oculta): s el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan posible el intercambio de mensajes de manera segura que slo puedan ser ledos por las personas a quienes van dirigidos. Con ms precisin, cuando se habla de esta rea de conocimiento como ciencia se debera hablar de criptologa, que engloba tanto las tcnicas de cifrado, la criptografa propiamente dicha, como sus tcnicas complementarias: el criptoanlisis, que estudia los mtodos que se utilizan para romper textos cifrados con objeto de recuperar la informacin original en ausencia de las claves.

Sistemas de Privacidad Criptogrficos: Los sistemas de privacidad criptogrficos estn enfocados en los protocolos de criptografa como AES, DES, los sistemas de cifrado para redes inalmbricas Wi-Fi, como WEP, o programas propiamente dichos como el CSS utilizado para evitar la copia de DVD originales y luchar contra la piratera. En el rea de sistemas distribuidos debe ser aplicado el cifrado en las comunicaciones de equipos, donde el emisor realiza el cifrado y el receptor devuelve la informacin a su condicin original, se pueden utilizar algoritmos asimtricos (clave pblica y privada) o algoritmos simtricos. A continuacin se explican estos temas con ms detalle.

o Criptografa Asimtrica: es el mtodo criptogrfico que usa un par de claves para el envo de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pblica y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Adems, los mtodos criptogrficos garantizan que esa pareja de claves slo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una vez cifrado, slo la clave privada del destinatario podr descifrar este mensaje, ya que es el nico que la conoce. Por tanto se logra la confidencialidad del envo del mensaje, nadie salvo el destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pblica. En este

caso se consigue por tanto la identificacin y autenticacin del remitente, ya que se sabe que slo pudo haber sido l quien utiliz su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el fundamento de la firma electrnica. o Criptografa Simtrica: es el mtodo criptogrfico que usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usndola, lo enva al destinatario, y ste lo descifra con la misma. Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En otras palabras, no debera ser de ninguna ayuda para un atacante conocer el algoritmo que se est usando. Slo si el atacante obtuviera la clave, le servira conocer el algoritmo. Los algoritmos de cifrado usados, por ejemplo, en el sistema GNU, GnuPG tienen estas propiedades. Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y sta es la razn por la cual el tamao de la clave es importante en los criptosistemas modernos. El algoritmo de cifrado DES usa una clave de 56 bits, lo que significa que hay 2 elevado a 56 claves posibles (72.057.594.037.927.936 claves). Esto representa un nmero muy alto de claves, pero una mquina computadora de uso general puede comprobar el conjunto posible de claves en cuestin de das. Una mquina especializada puede hacerlo en horas. Algoritmos de cifrado de diseo ms reciente como 3DES, Blowfish e IDEA usan claves de 128 bits, lo que significa que existen 2 elevado a 128 claves posibles. Esto equivale a muchsimas ms claves, y aun en el caso de que todas las mquinas del planeta estuvieran cooperando, tardaran ms tiempo en encontrar la clave que la edad del universo. El problema de los algoritmos de clave simtrica es que para distribuir la clave, debe existir un medio suficiente seguro o de lo contrario es ms fcil para el intruso interceptar o robar la clave para luego descifrar los mensajes.

Dada la importancia de los algoritmos de clave simtrica: se presenta un breve resumen de estos. 3DES: Triple DES se llama al algoritmo que hace triple cifrado del DES. Tambin es conocido como TDES o 3DES, fue desarrollado por IBM en 1978. No llega a ser un cifrado mltiple, porque no son independientes todas las subclases. Este hecho se basa en que DES tiene la caracterstica matemtica de no ser un grupo, lo que implica que si se cifra el mismo bloque dos veces con dos claves diferentes se aumenta el tamao efectivo de la clave.

La variante ms simple del Triple DES funciona de la siguiente manera:

Donde M es el mensaje a cifrar y k1, k2 y k3 las respectivas claves DES. Para entender el cifrado usando el DES comn se le presenta a continuacin:

DES es el algoritmo prototipo del cifrado por bloques un algoritmo que toma un texto en claro de una longitud fija de bits y lo transforma mediante una serie de complicadas operaciones en otro texto cifrado de la misma longitud. En el caso de DES el tamao del bloque es de 64 bits. DES utiliza tambin una clave criptogrfica para modificar la transformacin, de modo que el descifrado slo puede ser realizado por aquellos que conozcan la clave concreta utilizada en el cifrado. La clave mide 64 bits, aunque en realidad, slo 56 de ellos son empleados por el algoritmo. Los ocho bits restantes se utilizan nicamente para comprobar la paridad, y despus son descartados. Por tanto, la longitud de clave efectiva en DES es de 56 bits, y as es como se suele especificar.

La estructura bsica del algoritmo aparece representada en la Figura, hay 16 fases idnticas de proceso, denominadas rondas. Tambin hay una permutacin inicial y final denominada PI y PF, que son funciones inversas entre s (PI "deshace" la accin de PF, y viceversa). PI y PF no son criptogrficamente significativas, pero se incluyeron presuntamente para facilitar la carga y descarga de bloques sobre el hardware de mediados de los 70. Antes de las rondas, el bloque es dividido en dos mitades de 32 bits y procesadas alternativamente. Este entrecruzamiento se conoce como esquema Feistel. La estructura de Feistel asegura que el cifrado y el descifrado sean procesos muy similares la nica diferencia es que las subclaves se aplican en orden inverso cuando desciframos. El resto del algoritmo es idntico. Esto simplifica enormemente la implementacin, en especial sobre hardware, al no haber necesidad de algoritmos distintos para el cifrado y el descifrado. El smbolo rojo "" representa la operacin OR exclusivo (XOR). La funcin-F mezcla la mitad del bloque con parte de la clave. La salida de la funcin-F se combina entonces con la otra mitad del bloque, y los bloques son intercambiados antes de la siguiente ronda. Tras la ltima ronda, las mitades no se intercambian; sta es una caracterstica de la estructura de Feistel que hace que el cifrado y el descifrado sean procesos parecidos. Criptoanlisis: del griego krypts, "escondido" y analein, "desatar") es el estudio de los mtodos para obtener el sentido de una informacin cifrada, sin acceso a la informacin secreta requerida para obtener este sentido normalmente. Tpicamente, esto se traduce en conseguir la clave secreta. En el lenguaje no tcnico, se conoce esta prctica como romper o forzar el cdigo, aunque esta expresin tiene un significado especfico dentro del argot tcnico. La criptografa asimtrica (tambin llamada criptografa de clave pblica) es una criptografa que se basa en utilizar dos claves: una privada y una pblica. Estas cifras invariablemente utilizan en problemas matemticos "duros" como base para su seguridad, as que un punto obvio de ataque es desarrollar mtodos para resolver el problema. La seguridad de una criptografa de dos claves depende de cuestiones matemticas de una manera que no se aplica a la criptografa de clave nica, y recprocamente conectan el criptoanlisis con la investigacin matemtica en general de nuevas maneras. Los algoritmos asimtricos se disean en torno a la conjeturada dificultad de resolver ciertos problemas matemticos. Si se encuentra un algoritmo mejorado que puede resolver el problema, el criptosistema se ve debilitado. Por ejemplo, la seguridad del protocolo Diffie-Hellman depende de la dificultad de calcular un logaritmo discreto. En 1983, Don Coppersmith encontr una manera ms rpida de calcular logaritmos discretos (dentro de ciertos grupos), y por tanto obligando a los criptgrafos a utilizar grupos ms grandes, o diferentes tipos de grupos. La seguridad del protocolo RSA depende parcialmente de la dificultad en la factorizacin de enteros. Un avance en la factorizacin tendra un impacto claro en la seguridad de RSA.

Mtodos del criptoanlisis

Criptoanlisis clsico:

Anlisis de frecuencias Mtodo Kasiski ndice de coincidencia ndice mutuo de coincidencia

Algoritmos simtricos:

Criptoanlisis diferencial Criptoanlisis lineal Criptoanlisis integral Criptoanlisis estadstico Criptoanlisis de mdulo n Ataque XSL (eXtended Sparse Linearisation). Ataque de deslizamiento

Otros mtodos:

Ataque de cumpleaos Ataque Man-in-the-middle Ataque Meet-in-the-middle Ataque de fuerza bruta Jardinera (criptoanlisis) Anlisis de energa

Medidas bsicas de seguridad. Las redes deben cumplir los siguientes requisitos o caractersticas para mantener su privacidad y poder ser ms seguras ante las posibilidades de intrusin. 1. Disponibilidad: significa que los datos son accesibles, inclusive en casos de alteraciones, cortes de corriente, catstrofes naturales, accidentes o ataques. Esta caracterstica es particularmente importante cuando una avera de la red puede provocar interrupciones o reacciones en cadena que afecten las operaciones de la empresa. 2. Autenticacin: confirmacin de la identidad declarada de usuarios. Son necesarios mtodos de autenticacin adecuados para muchos servicios y aplicaciones, como la conclusin de un contrato en lnea, el control del acceso a determinados servicios y datos, la autenticacin de los sitios web, etc. 3. Integridad: confirmacin de que los datos que han sido enviados, recibidos o almacenados son completos y no han sido modificados. La integridad es especialmente importante en relacin con la autenticacin para la conclusin de contratos o en los casos en los que la exactitud de los datos es crtica 4. Confidencialidad: proteccin de las comunicaciones o los datos almacenados contra su interceptacin y lectura por parte de personas no autorizadas. La confidencialidad es necesaria para la transmisin de datos sensibles y es uno de

los requisitos principales a la hora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las redes de comunicacin. Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la informacin puede entenderse como la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Introduccin a los sistemas de deteccin de intrusiones

El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusin. Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de deteccin de intrusiones en el host), que garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc. El H-IDS acta como un daemon o servicio estndar en el sistema de un host. Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la red que se introducen/salen del host para poder verificar las seales de intrusin (como ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer). Tcnicas de deteccin El trfico en la red (en todo caso, en Internet) generalmente est compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes tcnicas para detectar intrusiones: 1. Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada. 2. Verificacin de los protocolos de la capa de aplicacin: Algunas formas de intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicacin, como NetBIOS, TCP/IP, etc. Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro). 3. Reconocimiento de ataques de "comparacin de patrones": Esta tcnica de reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de uso frecuente. Consiste en la identificacin de una intrusin al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si se combina con una sucesin o combinacin de indicadores TCP. Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexin supervisada y en su posterior comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer

coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado. La ventaja principal de esta tcnica radica en la facilidad de actualizacin y tambin en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes CE63D1D2 16E713CF, cuando se colocan al inicio de una transferencia de datos UDP, indican un trfico Back Orifice con una contrasea predeterminada. Aunque el 80% de las intrusiones utilicen la contrasea predeterminada, el 20% utilizarn contraseas personalizadas y no sern necesariamente reconocidas por el N-IDS. Por ejemplo, si la contrasea se cambia a "evadir", la serie de bytes se convertir en "8E42A52C 0666BC4A", lo que automticamente la proteger de que el N-IDS la capture. Adems, la tcnica inevitablemente conducir a un gran nmero de falsas alarmas y falsos positivos. Existen otros mtodos para detectar e informar sobre intrusiones, como el mtodo Pattern Matching Stateful, y/o para controlar el trfico peligroso o anormal en la red. En conclusin, un perfecto N-IDS es un sistema que utiliza las mejores partes de todas las tcnicas mencionadas anteriormente. Qu hacen los IDS Los principales mtodos utilizados por N-IDS para informar y bloquear intrusiones son:

Reconfiguracin de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y as poder bloquear una intrusin. Esta reconfiguracin es posible a travs del envo de datos que expliquen la alerta (en el encabezado del paquete). Envo de una trampa SNMP a un hipervisor externo: Envo de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc. Envo de un correo electrnico a uno o ms usuarios: Envo de un correo electrnico a uno o ms buzones de correo para informar sobre una intrusin seria. Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo informacin como el registro de fecha, la direccin IP del intruso, la direccin IP del destino, el protocolo utilizado y la carga til. Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta. Apertura de una aplicacin: Se lanza un programa externo que realice una accin especfica (envo de un mensaje de texto SMS o la emisin de una alarma sonora). Envo de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalizacin de una conexin (slo vlido para tcnicas de intrusin que utilizan el protocolo de transporte TCP). Notificacin visual de una alerta: Se muestra una alerta en una o ms de las consolas de administracin.

Desafos de IDS En la prensa especializada, cada vez resuena ms el trmino IPS (Sistema de prevencin de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una distincin entre ellos. El IPS es un sistema de prevencin/proteccin para defenderse de las intrusiones y no slo para reconocerlas e informar sobre ellas, como hacen la mayora de los IDS. Existen dos caractersticas principales que distinguen a un IDS (de red) de un IPS (de red):

El IPS se sita en lnea dentro de la red IPS y no slo escucha pasivamente a la red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red). Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar tcnicas como la cada de una conexin, la cada de paquetes ofensivos o el bloqueo de un intruso).

Tcnicas de Intrusin Mediante debilidades de sistemas Tcnica de intrusin en un Windows NT4 ajeno, paso a paso Explicacin completa, paso a paso, sobre como acceder a un servidor NT4, es slo una de las posibles maneras de acceder a uno de estos servidores, desde el escaneo inicial de puertos, para acabar con un cotrol total sobre el servidor "vctima". Acceso a PCs ajenos por NetBIOS Es una de las tcnicas de intrusin mas conocidas, y una de las mas utilizadas, basta con escanear unos cuantos rangos de ips para darse cuenta de que son muchos los ordenadores que por desconocimiento o por decuido tienen compartidas partes sensibles de us disco duro, creyendo que no son accesibles desde internet. Son muchos ms los usuarios de Windows 9x que piensan que poniendo un password a sus carpetas compartidas, ya no tienen nada de que preocuparse, pero nada mas lejos de la realidad, ese tipo de passwords se pueden averiguar en MENOS DE UN MINUTO !!! independientemente de la longitud y complegidad de dichos passwords.

Descargando un ejecutable (troyano) en la vctima. Cuando la vctima visita una web

Webs infectadas con Troyanos, utilizando un bug del Internet Explorer Seguramente habrs oido que existen pginas/troyanos que te pueden infectar con slo visitar una pgina web, sin necesidad de que hagas click en ninguna parte. Pues si, no slo es cierto sino que es muy fcil y bastante habitual, esto es posible gracias a un fallo de segurdad de algunas versiones del Internet Explorer. Aqu tienes una explicacin detallada de cmo funcionan y cmo se crean estas pginas. Recuerda que el propsito de esto es que te sepas defender, no que vayas infectando a la gente ;)

Descargando un ejecutable, utilizando el bug "web folder" de Windows Una debilidad en la seguridad de Windows permite utilizar una antigua funcin llamada "web folder" (carpetas web) para que un atacante cree una web capaz de descargar y ejecutar silenciosamente un archivo en la mquina de la vctima que visite esa web. Hace uso tambin de alguna vulnerabilidad del Internet Explorer. Acceso a PCs ajenos mediante webs infectadas con Virus Las nuevas generaciones de virus ya no buscan destrozar el mayor nmero de ordenadores posibles, sino que tratan de desproteger y "abrir" todos los ordenadores por los cuales pasa. Generalmente para ello combinan las tcnicas clsicas de infeccin, con exploits de vulnerabilidades. Aqu por ahora puedes leer un anlisis del gusano "nimda" que fue uno de los mas difundidos, aunque despus se vi superado por otros como el "Klez", el proposito de este artculo es demostrar lo fcil que estos virus llegan a nuestros ordenadores, en ocasiones sin necesidad de nuestra intervencin y utilizando las ltimas tcnicas hack

Mediante un e-mail, utilizando un bug del Outlook Express Los mayores peligros de la red suelen venir en e-mails infectados con troyanos o virus. Mucha gente no lo sabe, pero existe una tcnica que, sacando provecho de una vulnerabilidad de algunas versiones del Outlook Express, pueden descargar, y ejecutar (infectar) tu ordenador, simplemente por ver el contenido del correo, sin tener que abrirlo, pueto que basta con que aparezca su contenido en el preview (activado por defecto) que utiliza el Outlook Aqu puedes econtrar cmo funcionan estos correos, con una detallada explicacin paso a paso sobre cmo son y cmo se crean estos troyanos. Recuerda que si sabes reconocerlos, podrs evitar ser infectado por ellos.

Engaando a la vctima

Mediante una web Robando los passwords del correo web de la vctima Aqu se explica un sencillo truco mediante el cual un atacante puede engaar a la vctima, haciendole creer que se le solicita que introduzca el password en la pgina oficial de su correo de web, sin embargo la pgina en la que la vctima se autentifica es una rplica, perteneciente al atacante. La novedad es que usando un cdigo javascript similar al de la tcnica anterior, es muy probable que la vctima no se percate del engao. Aqu slo se explica uno de muchos mtodos similares que son actualmente muy utilizados.

Mediante webs infectadas con Java scripts maliciosos No se trata de una infeccin en el sentido puro, este mtodo demuestra como mediante unos simples scripts, es posible crear un "entorno falseado", es decir hacer creer a quien visita una pgina, que est tomando una decisin y en realidad est llevando a cabo lo contrario de lo que quera hacer. Lo aqu explicado se centra en como se puede hacer creer a un visitante que est dndole a cancelar al "download de un archivo" cuando en realidad est pulsando en ejecutar, con la gravedad que ello conlleva.

Mediante el intercambio de archivos "Contaminando" un PC ajenos para poder introducir troyanos/virus mediante cualquier tipo de archivos (jpg, txt, doc, bmp... etc) Lo aqu explicado es un mtodo exclusivo de CyruxNET sobre cmo, de una manera fcil, sin excesivos conocimientos de programacin, es posible "pervertir" un sistema remoto de manera que la vctima sea vulnerable a que cualquier extensin, o lo que es lo mismo, cualquier tipo de archivo pueda ocultar un ejecutable (seguramente un troyano).

Carpetas manipuladas e infectadas con troyanos Si, si como lo oyes, este mtodo es exclusivo de CyruxNET ( y est basado en una vulnerabilidad del Windows que en su da pas casi desapercibida) , y demuestra que es posible crear carpetas preparadas para que al ser abiertas ejecuten un archivo que est en su interior (generalmente un troyano), incluso pueden aparentar estar totalmente vacas. La gravedad de este sistema es que nadie duda al abrir una carpeta, pero si al ejecutar un .exe, por eso, si se enva (comprimida) una carpeta modificada de esta manera, al ser abierta, la "vctima" quedara infectada.

Intrusin en PCs ajenos mediante engaos en el IRC Mucha gente sabe de los peligros de intercambiar archivos el el IRC, pero, casi todo el mundo se limita a no ejecutar archivos .exe, o a dejar que su script tome las medidas de seguridad por l. Existe un mtodo, aqu explicado detalladamente, mediante el cual un atacante puede engaar a la vctima, envindole un archivo con una extensin no ejecutable, pero que se ejecutara mediante un comando que la vctima ejecutar engaada por el atacante. Intrusin Una vez que el hacker realiza el mapa de los recursos y de los equipos presentes en la red, est listo para preparar su intrusin. Para poder infiltrarse en la red, el pirata necesita acceder a cuentas vlidas en las mquinas que ha recensado. Para hacer esto, los hackers utilizan varios mtodos:

La ingeniera social es uno de ellos. Es decir, el contacto directo con ciertos usuarios de red (por correo electrnico o telfono) para poder extraer informacin vinculada con la ID o con la contrasea del usuario. Generalmente, esto se implementa simulando ser el administrador de red. Consultando el directorio, la mensajera o los servicios para compartir archivos, los cuales permiten encontrar nombres de usuario vlidos Explotando las vulnerabilidades en los comandos Berkeley R*. Forzando la obtencin de un crack. Para esto, los hackers prueban, automticamente, diferentes contraseas en una lista de cuenta (por ejemplo, la ID seguida posiblemente de un nmero o la contrasea (password o passwd, etc.).

Tcnicas de intrusin

Objetivo de los intrusos: obtener el acceso a un sistema o aumentar el conjunto de privilegios

Hacker: talentos informticos que entran al sistema por el placer de recopilar informacin que utilizan si la necesitan

Cracker: acceden, y presumen de ello, a los sistemas para los que no tienen autorizacin. Suelen cometer daos irreversibles o irreparables en el sistema.

Programas malignos que necesitan anfitrin:

Trampilla: punto de entrada secreto e indocumentado dentro de un programa. Utilizado para conceder accesos sin necesidad de identificacin (Juegos de Guerrra)

Bomba lgica: lgica introducida en un programa que, cuando se dan ciertas condiciones en el sistema, ejecuta alguna funcin no autorizada

Caballo de Troya: rutina secreta e indocumentada que se inserta dentro de un programa til (ej. editor). La ejecucin del programa origina la ejecucin de la rutina

Programas malignos que no necesitan anfitrin:

Bacteria: programa que consume recursos del sistema mediante su reproduccin

Gusano: programa que puede reproducirse y enviar copias de s mismo a travs de la red. Adems, puede realizar alguna funcin no deseada

Programas malignos: Virus: cdigo incrustado en un programa que hace que se inserte una copia de s mismo en uno o ms programas. Adems, puede realizar una funcin no deseada

Algoritmo de virus muy simple (tan slo se reproduce): Encontrar 1 instruccin de un ejecutable del disco. Sustituirla por salto a posicin siguiente a la ltima instruccin. Insertar copia del cdigo de virus (este algoritmo) en dicha posicin. Hacer que el virus simule la instruccin sustituida por el salto. Saltar a la segunda posicin

Proteccin de contraseas: Al conectarse a un sistema informtico, generalmente se debe ingresar: un nombre de registro o nombre de usuario y una contrasea para acceder. Este par nombre de registro/contrasea forma la clave para tener acceso al sistema. Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de forma automtica, el usuario casi siempre tiene la libertad de elegir la contrasea. La mayora de los usuarios, como piensan que no tienen ninguna informacin secreta que proteger, usan una contrasea fcil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja o su fecha de nacimiento). Y aunque los datos en la cuenta de un usuario puedan no ser estratgicos, tener acceso a la cuenta puede significar una puerta abierta a todo el sistema. Cuando un hacker tiene acceso a la cuenta de un equipo, puede extender su campo de accin al obtener la lista de usuarios autorizados a conectarse al equipo. Un hacker puede probar un gran nmero de contraseas generadas al azar con herramientas destinadas a tal fin o con un diccionario (o puede combinar ambos). Si consigue la contrasea del administrador, obtiene todos los permisos sobre el equipo. Adems, es posible que el hacker tenga acceso a la red local desde la red de un equipo, lo que significa que puede trazar un mapa de los otros servidores al trabajar desde el equipo al que tiene acceso.

Las contraseas de los usuarios son la primera lnea de defensa contra los ataques, por eso es necesario definir una poltica de contraseas para que los usuarios elijan contraseas lo suficientemente seguras.

Mtodos de ataque:

Muchos sistemas estn configurados para bloquear transitoriamente la cuenta de un usuario despus de haber intentado conectarse sin xito una cierta cantidad de veces. En consecuencia, es difcil para un hacker infiltrarse en un sistema de esta manera. Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas de usuario para accionar una denegacin de servicio. En la mayora de los sistemas, las contraseas se guardan cifradas en un archivo o una base de datos. Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de craquear una contrasea de usuario en particular o las contraseas de todas las cuentas de usuario.

Ataque de fuerza bruta: El trmino "ataque de fuerza bruta" se usa para referirse al craqueo de una contrasea al probar todas las posibles combinaciones. Existe una variedad de herramientas para todos los sistemas operativos que permite realizar este tipo de procedimiento. Los administradores de sistema usan estas herramientas para probar la solidez de sus contraseas de usuario, pero a veces los hackers las usurpan para infiltrarse en sus sistemas informticos.

Ataque de diccionario: Las herramientas para el ataque de fuerza pueden demorar horas o hasta das de clculos, incluso con equipos que cuentan con potentes procesadores. Una solucin alternativa es llevar a cabo un "ataque de diccionario". En la prctica, los usuarios generalmente eligen contraseas que tengan un significado. Con este tipo de ataque, tales contraseas se pueden craquear en slo unos minutos.

Ataque hibrido: El ltimo ataque de este tipo, el "ataque hbrido", especficamente apunta a contraseas compuestas por una palabra tradicional seguida de un nmero o una letra (como "marshal6"). Es una combinacin entre el ataque de fuerza bruta y el de diccionario. Existen mtodos que tambin permiten que un hacker obtenga contraseas de usuario:

Los registradores de pulsaciones son programas de software que, al instalarlos en la estacin de trabajo del usuario, registran lo que se pulsa en el teclado. Los sistemas operativos recientes presentan bfers protegidos que permiten retener la contrasea durante un tiempo y a los que slo el sistema puede acceder. La ingeniera social consiste en aprovecharse de la ingenuidad de la gente para obtener informacin. As, un hacker puede acceder a la contrasea de una persona al hacerse pasar por un administrador de red o, a la inversa, puede contactar al soporte tcnico y pedir reinicializar la contrasea usando como pretexto una situacin de emergencia. El espionaje es el mtodo ms antiguo utilizado. En este caso, un pirata slo tiene que observar los papeles que estn alrededor de la pantalla o debajo del teclado del usuario para obtener la contrasea. Si el pirata es alguien en quien la vctima confa, slo tiene que mirar sobre el hombro de esa persona cuando ingrese la contrasea para verla o adivinarla

Eleccin de contrasea: Mientras ms larga sea la contrasea, ms difcil ser craquearla. Asimismo, una contrasea compuesta slo por nmeros ser mucho ms fcil de craquear que una que contenga letras: Una contrasea de 4 nmeros corresponde a 10.000 posibilidades (104). Aunque esta cifra parezca elevada, un ordenador equipado con una configuracin modesta puede craquearla en cuestin de minutos. Es conveniente usar una contrasea de 4 letras, para la que existen 456.972 posibilidades (264). Con esta misma lgica, una contrasea que combine nmeros y letras o que use maysculas y caracteres especiales, ser aun ms difcil de craquear. Evite las siguientes contraseas:

su nombre de registro su apellido su nombre o el de una persona querida (pareja, hijo, etctera) una palabra del diccionario una palabra escrita al revs (las herramientas para craquear contraseas tienen en cuenta esta posibilidad) una palabra seguida de un nmero, el ao actual o el ao de nacimiento (por ejemplo "contrasea1999").

Polticas de contrasea

El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la seguridad general de toda la organizacin. Por lo tanto, todas las empresas que deseen garantizar un nivel de seguridad ptimo deben establecer una verdadera poltica de proteccin de contrasea. Esto implica, particularmente, que los empleados elijan las contraseas a partir de ciertos requisitos, por ejemplo:

Que la contrasea tenga una longitud mnima Que tenga caracteres especiales Que combinen maysculas con minsculas

Adems, se puede afianzar la poltica de seguridad si se pone una fecha de expiracin en las contraseas para hacer que los usuarios las modifiquen peridicamente. Esto dificulta el trabajo de los hackers que tratan de craquear las contraseas con el correr del tiempo. Tambin es una excelente forma de limitar la duracin de la contrasea craqueada. Por ltimo, es aconsejable que los administradores usen software que craquea contraseas en sus contraseas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del marco de la poltica de proteccin y con discrecin para tener el apoyo de la gerencia y los usuarios. Varias contraseas No es bueno tener slo una contrasea, como tampoco es bueno usar en su tarjeta bancaria el mismo cdigo que usa para su telfono mvil y para la entrada a su edificio. En consecuencia, es aconsejable tener varias contraseas para cada categora de uso, dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el cdigo de su tarjeta bancaria slo debe usarse para ese propsito. Sin embargo, puede usar el mismo cdigo PIN que usa en su telfono para el candado de una maleta. De la misma manera, si se subscribe a un servicio en lnea que solicita una direccin de correo electrnico (por ejemplo, el boletn de noticias de Cmo Funciona), se recomienda que no elija la misma contrasea que usa para esta direccin de mensajera ya que un administrador inescrupuloso podra acceder fcilmente a su vida privada.