INSTITUTO POLITECNICO NACIONAL UPIICSA INTEGRANTES: >Apolinar Crisstomo Jessica >Camacho Flores Sarah Montserrat >Hernndez Gonzlez Ivonne

Valeria >Lozada Prez Yarely Guadalupe

EQUIPO: 6

O Es un registro de los sucesos que han ido

ocurriendo en un sistema y en sus aplicaciones.

O Los

logs propiamente informan sobre el funcionamiento que tienen los sistemas as como las actividades y movimientos que se realizan.

O Los logs se guardan en ficheros(txt, evt) o dentro

de una Base de Datos.

O A travs de los logs se puede encontrar informacin

para detectar funcionamiento.

posibles

problemas

en

el

O Proporciona datos en caso de que haya ocurrido

una incidencia de seguridad por parte intruso.

de algn

O Monitorear las actividades de los sistemas o incluso

de los dispositivos. O Tomar acciones y medidas para solucionar problemas. O En cuanto a seguridad, ayudan a detectar intrusos, al iniciar una investigacin sirven como evidencia en un caso legal.

O Es importante prevenir que la maquina o los

dispositivos donde se almacenan los logs comience a alcanzar los limites mximos de capacidad. O Almacenar los logs como archivos de lectura. O Encriptar los archivos.

O Es ubicar en un punto de administracin los

mensajes de eventos ocurridos en los diferentes sistemas, para su posterior anlisis.

REGISTRO

RECOLECCION DE DATOS

SIMULACIN Y PRUEBAS CONTROL DE EVIDENCIA

MONITOREO

 Crear

un historial de movimientos y acciones ocurridas en todos los sistemas en un nico punto. ms difcil para los atacantes modificar los logs originales, ya que estn ubicados fuera de las maquinas donde fueron generados.

Es

O Eventos de aplicaciones (programas)

O Eventos relacionados con la seguridad

O Eventos de configuracin
O Eventos del sistema

O Eventos reenviados

O El sistema de logs es un mecanismo estndar que se

encarga de recoger los mensajes generados por los programas, aplicaciones y demonios y enviarlos a un destino predefinido. O En cada mensaje contiene la fuente, la prioridad, la fecha y la hora.

O syslogd: gestiona los logs del sistema. Distribuye los

mensajes a archivos, destinos remotos, terminales o usuarios, usando las indicaciones especificadas en su archivo de configuracin /etc/syslog.conf, donde se indica qu se loguea y a dnde se envan estos logs.
O klogd: se encarga de los logs del kernel.

Los logs se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas manejan sus propios logs y los guardan en /var/log/<programa>. Adems, es posible especificar mltiples destinos para un mismo mensaje.

Algunos de los log ms importantes son:

O O O O O O O O O O O O

/var/log/syslog /var/log/messages /var/log/secure /var/log/auth.log /var/log/debug /var/log/kern.log /var/log/daemon.log /var/log/mail.log /var/log/boot.log /var/log/loginlog /var/log/sulog /home/user/.bash_history:

O /var/log/wtmp
O /var/log/utmp: O /var/log/lastlog O /var/log/faillog

O Windows
O Kiwi Syslog Daemon O WinSyslog O NTSyslog O Syslogserve O HDC Syslog O NetDecision LogVision

O Syslog Watcher

O Unix
O Syslogd O Rsyslog(TCP) O Sylog-ng

El acceso autentificado correctamente a menudo no se registra, o incluso cuando no se est registrado es probable que despierte sospechas.

Un atacante tendra acceso completo a todos los recursos disponibles del usuario, y sera capaz de acceder a otras cuentas e incluso tener privilegios como administrador.

O Las

organizaciones se ven obligadas a implementar buenas polticas de contraseas.

Cualquier sistema operativo o aplicacin donde los usuarios se autentican a travs de una identificacin de usuario y contrasea pueden verse afectados

Por ejemplo, BackDoor.Wirenet.1

troyano

bautizado

como

Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticacin. Esto incluye la existencia de cuentas sin contrasea (o con contraseas ampliamente conocidas o fcilmente deducibles).

A pesar de que Windows transmite las contraseas cifradas por la red, dependiendo del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en un plazo de tiempo muy corto.

O Que las cuentas de usuario tienen contraseas

dbiles o en su defecto no tienen. O Independientemente de la fuerza de su contrasea, los usuarios no protegen sus sistemas. O Que el sistema operativo o software crea cuentas administrativas con contraseas dbiles o inexistentes. O que los algoritmos hash de contraseas se conocen ya menudo los hashes se almacenan de manera que sean visibles.

O Un

investigador ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtencin de la contrasea de administrador para inicios de sesin y control del sistema.

El investigador explica que la vulnerabilidad reside en la funcin indicio o sugerencia de contraseas, til para el usuario si olvida la contrasea pero tambin para un atacante. Estas sugerencias de contraseas de Windows 8 y Windows 7 se almacenan en el registro del sistema operativo y aunque estn en un formato cifrado parece que se pueden convertir fcilmente en un formato legible

O El investigador ha escrito un script que

automatiza el ataque y lo ha publicado en Metasploit, el portal para herramientas de cdigo abierto muy popular entre los hackers.

Ophcrack es una herramienta para crackear las contraseas de Windows basada en las tablas Rainbow, se puede instalar directamente sobre el S.O del cual se quiere averiguar la contrasea o desde del Ophcrack LiveCD, que es una distribucin basada en Linux, que incluye adems de las herramientas, un juego de tablas Rainbow.

O TABLAS RAINBOW

O El funcionamiento utiliza la fuerza bruta para contraseas

simples; pero tablas Rainbow para las ms complejas. Windows guarda la contrasea utilizando en C:\Windows\System32\config\SAM.

Mimikatz es un programa desarrollado por Gentil Kiwi que nos permite descifrar las contraseas de los administradores de un pc con Windows, a exportacin de certificados marcados como no exportables o la obtencin de hashes de la SAM. Tambin se puede usar en un dominio.

O CMO SE USA?

Solo hacemos doble click encima del ejecutable mimikatz.exe En este momento nos saldr una ventana tipo ms-dos:

O Primero

escribimos presionamos Enter.

privilege::debug

O Despus

escribimos

inject::process

lsass.exe

sekurlsa.dll

O Por ltimo escibimos @getLogonPassword

O CMO DETERMINAR SI LAS CONTRASEAS

SON VULNERABLES? La nica manera de saber con certeza que cada contrasea individual es fuerte es probar todas ellas con las herramientas de crackeo utilizadas por los atacantes. Las mejores herramientas de cracking disponibles son:
O LC4 (l0phtcrack versin 4)
O John the Ripper O Symantec NetRecon

Asegurarse de que las contraseas son fuertes Una poltica de contrasea segura debe dirigir a los usuarios a generar sus contraseas de algo ms aleatorio, como una frase o el ttulo de un libro o una cancin, donde puedan concatenan una palabra o la sustituyan por un carcter especial.

Las cuentas que no estn en uso deben ser desactivados o eliminados. Las cuentas basadas en servicios o administrativos que se utilizan deben tener contraseas nuevas y fuertes. Realizar Auditora de las cuentas en los sistemas y crear una lista maestra.

Desarrollar procedimientos para agregar cuentas autorizadas a la lista, y para eliminar las cuentas cuando ya no estn en uso. Validar la lista de forma regular para asegurarse de que no hay nuevas cuentas se han aadido Tener procedimientos rgidos para eliminar cuentas cuando los empleados o contratistas se van.

Es una herramienta de supervisin basada en host que controla los cambios en la poltica, creacin de cuentas y de contraseas. ESM tambin intentar descifrar contraseas, ya que valida la que tan seguras son las contraseas.

O Keyloggers: programas que se ejecutan en segundo plano,

grabando un registro con todos los caracteres introducidos por el usuario.

O Contraseas guardadas: Con acceso directo al equipo
O Contrasea nica: Si utilizas una misma contrasea para

varias pginas, unwebmaster malintencionado, al registrarse en su web, podra obtener tu contrasea para iniciar sesin en otras pginas.
O Contrasea previsible: Dcese de aquella

contrasea con la cual no te has comido demasiado la cabeza para generarla.

O Listas de palabras: Se trata de listados -

enormes- de palabras y contraseas comunes que se utilizan probando una a una de forma automtica (ataques de diccionario). O Fuerza bruta: Consiste en probar todas la combinaciones posibles de caracteres hasta dar con la contrasea. Requiere mquinas potentes y mucho tiempo. O Ingeniera social: A veces, no hace falta ser tan tecnolgico para obtener la contrasea de alguien.

O Adivinar- El atacante intenta iniciar sesin con la

cuenta del usuario adivinando posibles palabras

O Ataque de Diccionario en lnea- El atacante utiliza

un programa automatizado que incluye un archivo de texto de las palabras.

O Ataque de Diccionario Desconectado- El atacante recibe una copia

del archivo donde se almacena la copia de hash o cifrado de cuentas de usuario y contraseas y utiliza un programa automatizado para determinar cul es la contrasea para cada cuenta.

O Ataque de Fuerza Bruta- Esta es una variacin de los ataques de

diccionario, pero est diseado para determinar las claves que no pueden incluirse en el archivo de texto que se utiliza en esos ataques.

La teora detrs de esto es que si un usuario es forzado a cambiar su contrasea peridicamente, una contrasea que ha sido descifrada por un cracker slo le es til por un tiempo determinado.

La desventaja del envejecimiento de contraseas, es que los usuarios tienden a escribir sus contraseas.

O Por lo menos ocho caracteres de longitud.

O No contiene su nombre de usuario, nombre real o nombre de la

empresa. O No contiene una palabra completa. O Es muy diferente de las contraseas anteriores.

O En Windows, una contrasea segura es una contrasea

que contiene caracteres de cada una de las siguientes cinco categoras.

Categora de caracteres
Las letras maysculas A,B,C,D

Ejemplos
a,b,c
0,1,2,3,4,5,6,7,8,9

Letras minsculas
Nmeros

Smbolos que aparecen en el `~! @ # $% ^ & * () _ - + = {} [] teclado (todos los caracteres \ |:; "'<>, /.? del teclado no se definen como letras o nmeros) y espacios Caracteres unicode , ,?? Y

Las contraseas de Windows pueden tener hasta 127 caracteres de longitud.

O No utilices en tu contrasea informacin personal o O O O O

O O

que pueda relacionarse contigo. No utilices palabras (en cualquier idioma) que puedan encontrarse en un diccionario. No hagas pblica tu contrasea bajo ningn concepto. No utilices la misma contrasea. Nunca realices actividades bancarias en computadoras pblicas como lo son los cafs Internet. No reveles tu contrasea a ninguna persona. Cambia de forma peridica tu contrasea.

O Piense en una frase memorable, tal como:

"Es ms fcil creer que pensar con espritu crtico. O Luego, cmbielo a un acrnimo emfcqpcec.
O Aada un poco de complejidad sustituyendo nmeros y

smbolos por letras en el acrnimo. Por ejemplo, sustituya 7 por e y el smbolo arroba (@) por c: 7mf@qp@7@.
O Aada un poco ms de complejidad colocando mayscula al

menos una letra, tal como M. 7Mf@qp@7@.

Sendmail es el agente de transporte de correo ms comn de Internet (en los sistemas UNIX). Aunque acta principalmente como MTA, tambin puede ser utilizado como MUA (aunque no posee interfaz de usuario).

El propsito principal de Sendmail es el de transferir correo de forma segura entre hosts, usualmente usando el protocolo SMTP. Sendmail es altamente configurable, permitiendo el control sobre casi cada aspecto del manejo de correos, incluyendo el protocolo utilizado.

O Recibo de mails provenientes de un Mail User

Agent (MUA). O Eleccin de la estrategia de reparto de los mails, basndose en la informacin de la direccin del destinatario contenida en la cabecera.

O Sendmail debe garantizar que cada mensaje llegue

correctamente a su destino, o si hay error este debe ser notificado (ningn mail debe perderse completamente).
O Reformatear el mail antes de pasarlo a la siguiente

mquina, segn unas reglas de reescritura.

O Permitir el uso de "alias" entre los usuarios del

sistema, lo que nos permitir (entre otras funciones) crear y mantener listas de correo entre grupos.
O Ejecucin como agente de usuario (MUA). Aunque

no posee interfaz de usuario, sendmail tambin permite el envo directo de mails a travs de su ejecutable.

El uso generalizado de Sendmail en Internet ha sido histricamente un objetivo prioritario de los atacantes, dando lugar a numerosas hazaas en los ltimos aos.
La mayora de estos exploits son exitosos slo en contra de las versiones anteriores del software. De hecho, Sendmail no ha tenido una vulnerabilidad de gravedad "alta" en dos aos.

Los riesgos que se presentan al ejecutar Sendmail se pueden agrupar en dos grandes categoras: O La escalada de privilegios causados por desbordamientos de bfer. O La configuracin inadecuada que permite que el equipo sea un rel de correo electrnico desde cualquier otra mquina.

O Actualiza

a la versin ms reciente y / o implementar parches.

O No ejecute Sendmail en modo daemon (apague el

interruptor "-bd") en estas mquinas.

O Si debe ejecutar sendmail en modo daemon,

asegrese de que la configuracin se ha diseado para retransmitir correo debidamente y solamente para los sistemas bajo su mbito de competencia.

FICHEROS DE CONFIGURACION
COMANDO
/etc/mail/access /etc/mail/aliases /etc/mail/local-hostnames /etc/mail/mailer.conf /etc/mail/mailertable /etc/mail/sendmail.cf /etc/mail/virtusertable
Carpeta de alias Listados de mquinas para las que sendmail acepta correo Configuracin del programa de correo Tabla de entregas de correo Archivo de configuracin principal de sendmail Usuarios virtuales y tablas de dominio
FUNCIN

Base de datos de accesos de sendmail

Envo de mensajes de correo electrnico

Especificar el cuerpo del correo electrnico:

Enviar correo electrnico a ms de un usuario:

Especificacin de la direccin:

Adjuntar archivos: