De hecho, los pioneros fueron unos estudiantes del MIT (Instituto Tecnológico de Massachussets, en Boston) que tuvieron acceso al TX-0, uno de los primeros ordenadores que empleaba transistores en lugar de las válvulas de vacío. Número de bytes enviados al cliente. Las conexiones “semiabiertas” caducan al cabo de un cierto tiempo, liberando sus recursos. 11 Un rootkit es un programa dañino que simula actuar como una herramienta o servicio legítimo del sistema infectado. Captura y protección de toda la información asociada con el incidente: registros de actividad (logs) de los equipos y dispositivos de red, ficheros dentro de los servidores, tráfico intercambiado a través de la red, etcétera. Kaspersky, K. (2003): Hacker Disassembling Uncovered, A-LIST Publishing. Para ello, en INAFE, trabajamos de forma continua en desarrollar acciones formativas y servicios destinados al fomento de empleo y a la inserción laboral actuando en varias vías principales como agencia de colocación autorizada por el SEPE con Nº de autorización 0100000113. Parece ser que podrían estar detrás de algunos ataques realizados en el verano de 2004 contra determinadas redes y sistemas informáticos surcoreanos, pertenecientes a agencias gubernamentales, la Asamblea Nacional, empresas privadas, universidades y distintos medios informativos. Esta red de espionaje es capaz de capturar grandes cantidades de información y de filtrarla para detectar las transmisiones de otros gobiernos, militares, disidentes, activistas o grupos terroristas. Instructivo Instrumento de Evaluación MSPI. Mediante el Visor de Sucesos es posible acceder a la información de estos tres registros. KPIs para Seguridad. 15 Estos espacios son empleados en ocasiones por usuarios expertos para guardar información que no resulta accesible desde el propio sistema operativo del equipo. (2003): Hacking: The Art of Exploitation, No Starch Press. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado. También pueden resultar de gran ayuda las herramientas para la evaluación de vulnerabilidades. LA FUNCION DE SEGURIDAD INFORMÁTICA EN LA EMPRESA _____ Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa. En este contexto, la definición e implantación de un Plan de Recuperación del Negocio, también conocido como Plan de Continuidad del Negocio o Plan de Contingencias, constituye un elemento fundamental para poder garantizar una respuesta adecuada frente a desastres y situaciones catastróficas, asegurando la integridad y la recuperación de los datos. PROCESO DE NOTIFICACIÓN Y GESTIÓN DE INTENTOS DE INTRUSIÓN Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de phishing). 32 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.6 Ataques de suplantación de la identidad 1.4.6.1 IP SPOOFING Los ataques de suplantación de la identidad presentan varias posibilidades, siendo una de las más conocidas la denominada IP Spoofing (“enmascaramiento de la dirección IP”), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. La gestión de incidentes se encuentra organizada en 5 fases: Planear y Preparar: En esta fase de planea y se define la política de gestión de incidentes de. Del mismo modo, en algunos casos sería recomendable contactar con los fabricantes de hardware y/o software que se hayan visto involucrados en el incidente, debido a una vulnerabilidad o una mala configuración de sus productos. Así, un 17% de las Pymes norteamericanas había sufrido algún tipo de extorsión por la red, según un estudio de la Universidad Carnegie Mellon dado a conocer en septiembre de 2005. Este tipo de ataque es independiente del sistema de bases de datos subyacente, ya que depende únicamente de una inadecuada validación de los datos de entrada. Seguidamente, el equipo de respuesta debería determinar cómo se ha producido el incidente: qué tipo de ataque informático (si lo ha habido) ha sido el causante, qué vulnerabilidades del sistema han sido explotadas, qué métodos ha empleado el atacante, etcétera. IACIS: http://www.iacis.com/. Aplicaciones informáticas específicas de diseño. En España, la Ley Orgánica de Protección de Datos define una incidencia como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”, en el contexto de los ficheros con datos de carácter personal. Precursores de un ataque: actividades previas de reconocimiento del sistema informático, como el escaneo de puertos, escaneo de vulnerabilidades en servidores, el reconocimiento de versiones de sistemas operativos y aplicaciones, etc. Young, M. (2003): Internet Security: Cryptographic Principles, Algorithms and Protocols, John Wiley & Sons. El Comité de Seguridad de la Información, es un cuerpo destinado a garantizar el apoyo ma-nifiesto de las autoridades a las iniciativas de seguridad. Esta tarea se puede completar posteriormente con un análisis de riesgos en el sistema informático, en el que se pretende determinar cuál es el nivel de riesgo a partir del análisis de posibles amenazas y vulnerabilidades. Una tarea que también podría contribuir a la identificación del atacante es el análisis de las actividades de exploración (escaneos de puertos y de vulnerabilidades en el sistema) que suelen anteceder a un ataque, sobre todo si éstas han podido ser registradas por los logs de los equipos afectados o por el Sistema de Detección de Intrusiones (IDS). Alarmas generadas en los Sistemas de Detección de Intrusos (IDS), en los cortafuegos o en las herramientas antivirus. La NSA (National Security Agency, Agencia Nacional de Seguridad de Estados Unidos) es un organismo envuelto en un halo de misterio y de polémica. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 87 equipos adecuados para volver a poner en marcha las aplicaciones y servicios informáticos de la organización. © STARBOOK CAPÍTULO 4. Sinchak, S. (2004): Hacking Windows XP, John Wiley & Sons. Figura 4.1. De este modo, se podrían limitar las responsabilidades legales en las que podría incurrir la organización por culpa del incidente de seguridad. Lista de evidencias obtenidas durante el análisis y la investigación. En la mayoría de las organizaciones que no cuentan con un Equipo de Respuesta formalmente constituido, será necesario identificar quiénes son las personas responsables de acometer cada una de las tareas que se hayan definido en el Plan de Respuesta a Incidentes, definiendo claramente las responsabilidades, funciones y obligaciones de cada persona implicada en dicho Plan. De este modo, el código se “originará” aparentemente desde el servidor Web y se ejecutará en su contexto de seguridad, por lo que dicho código podrá acceder a las cookies del usuario (incluyendo las de autenticación), además de tener acceso a datos enviados recientemente vía Web, o bien realizar acciones en el website afectado actuando en nombre de la víctima. Definir los eventos de seguridad de la información en los que detectar y tratar con eficacia los incidentes de seguridad informática. Identificar los incidentes de seguridad de la información para que sean evaluados y ofrezcan respuesta de forma mucho más eficaz y adecuada. Chirillo, J. 5 Capítulo 5 CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 5.1 LA AMENAZA DEL CIBERTERRORISMO Y DE LAS GUERRAS INFORMÁTICAS Las sociedades avanzadas tienen una dependencia cada vez mayor de los sistemas informáticos para el control de muchos procesos y actividades cotidianas: control del fluido eléctrico, de la red de abastecimientos de aguas, de las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de señalización de semáforos, de los sistemas financieros, etcétera. Los atacantes incluso podrían tener acceso a datos y ficheros que habían sido “borrados” del sistema6. Asesor de productos y servicios de peluquería. ; ¿qué tipo de información se obtuvo para gestionar el incidente? Evaluación del coste del incidente de seguridad para la organización: equipos dañados, software que se haya visto afectado, datos destruidos, horas de personal dedicado a la recuperación de los equipos y los datos, información confidencial comprometida, necesidad de soporte técnico externo, etc. Internet Health Monitoring: http://www.internetpulse.net/. Este último paso tiene cuatro etapas: Definir el incidente Evaluar el incidente o Medir el incidente Buscar posibles soluciones Seleccionar la solución más eficiente. ; ¿cuáles pueden ser sus consecuencias técnicas y económicas? GESTIÓN DE INCIDENTES DE SEGURIDAD 65 En definitiva, podemos considerar que los sistemas basados en señuelos (honeynets y honeypots) ofrecen los siguientes servicios y funciones: Conexión segura de la red corporativa a Internet. error Al modificar las rutas, el tráfico atravesará otros equipos y redes antes de alcanzar su destinatario final, facilitando de este modo el sniffing. Invasión de paquetes ICMP o UDP de eco (típicos de ataques como Smurf y Fraggle). (2005): Rootkits: Subverting the Windows Kernel, Addison Wesley. Servicio Secreto de Estados Unidos 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO Podemos distinguir las siguientes etapas en el análisis forense de un incidente informático: Identificación y captura de las evidencias. Desde ese momento, comenzaba la campaña de extorsión propiamente dicha, mediante el envío de un mensaje amenazante que solicitaba la transferencia de una determinada cantidad de dinero para no revelar el incidente a la empresa para la cual trabajaba la víctima. Cortinaje y complementos de decoración Existencia de herramientas no autorizadas en el sistema. UNIDAD DIDÁCTICA 4. Otros sabotajes, como por ejemplo los dirigidos a las empresas más importantes y a organismos oficiales locales. Análisis previo de los servicios, protocolos, zonas y equipos que utiliza la organización para sus procesos de negocio. Proceso de verificación de la intrusión 3.9.2 Gestión del incidente de seguridad Aislamiento de los equipos afectados por el incidente, realizando además una copia de seguridad completa de sus discos duros. Las organizaciones pueden adoptar distintas estrategias a la hora de implantar un Centro Alternativo: No se dispone de un Centro Alternativo y no existen copias de seguridad externas. 1.3 FASES DE UN ATAQUE INFORMÁTICO Los ataques contra redes de ordenadores y sistemas informáticos suelen constar de las etapas o fases que se presentan a continuación: Descubrimiento y exploración del sistema informático. 22 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Autorrealización. Unsere Partner sammeln Daten und verwenden Cookies zur Personalisierung und Messung von Anzeigen. Definición de una Guía de Procedimientos. 1.4.6.3 CAMBIOS EN EL REGISTRO DE NOMBRES DE DOMINIO DE INTERNIC El registro de nombres de dominio utiliza un sistema de autenticación de usuarios registrados con un bajo nivel de seguridad. Su dirección en Internet es http://www.enisa.europa.eu/. - Recuperación de las aplicaciones y servicios necesarios para la continuidad de las operaciones, priorizando el orden de esta recuperación en función de su importancia o criticidad para el funcionamiento de la organización. También es posible conseguir una activación automática de los ataques de Cross-Site Scripting, aprovechando vulnerabilidades conocidas relacionadas con la forma en que ciertos navegadores Web y lectores de correo electrónico interpretan los tipos MIME de los documentos compuestos. (2002): Hack I.T. Los administradores de la red tienen a su disposición una serie de herramientas para analizar toda la información registrada en los logs, entre las que se encuentran distintos tipos de filtros y aplicaciones que permiten detectar de forma automática patrones de ataques o situaciones de potencial peligro. Revisión detallada de los registros de actividad “logs” de los ordenadores y dispositivos afectados por el incidente. El objetivo de la guía de procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad. - Puesta en marcha de los servidores y equipos informáticos. Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso En la actualidad la investigación también se centra en la interceptación de las conversaciones mediante telefonía IP (transmisión de voz a través de la propia Internet). 6 Ficheros o documentos que figuraban como eliminados del Sistema de Ficheros, pero que todavía figuran intactos en el disco duro del equipo. 1.4.12 Fraudes, engaños y extorsiones Los fraudes y estafas financieros a través de Internet se han hecho muy frecuentes en estos últimos años. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido. Figura 4.2. © STARBOOK CAPÍTULO 3. La NSA utiliza su poder e influencias para restringir la disponibilidad pública de los últimos avances y técnicas criptográficas. Así, en 1994 la Administración Clinton aprobó el Escrowed Encryption Standard, que contemplaba el desarrollo de productos con la característica de keyescrow, para facilitar el descifrado de las comunicaciones por parte de organismos del gobierno (como la CIA o el FBI). Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas. ; ¿qué decisiones se adoptaron? Su formación se ha completado con los programas de postgrado Executive MBA y Diploma in Business Administration de la Escuela de Negocios Caixanova. La infección de PremiumSearch comienza con la instalación en el equipo de un fichero BHO (Browser Helper Object) malicioso, aprovechando algunas de las vulnerabilidades más utilizadas para la instalación de spyware. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente También es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y También en marzo de 2009 la Comisión Europea presentaba un comunicado en el que alertaba a los Estados miembros de la Unión Europea sobre la necesidad de proteger las infraestructuras de información y comunicación. ANÁLISIS FORENSE INFORMÁTICO 103 Figura 4.3. Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso Para evitar muchos de los problemas de los ataques de Denegación de Servicio, se puede utilizar algún sistema que permita autenticar los dos extremos de la comunicación, como podría ser el protocolo IPSec con el servicio AH (Authentication Header), que permite autenticar todos los paquetes TCP enviados. No es recomendable emplear las propias herramientas del sistema, ya que éstas podrían haber sido manipuladas por terceros, mediante rootkits o troyanos. El segundo capítulo se dedica al estudio de la gestión de incidentes de seguridad. Se podría utilizar una Matriz de Diagnóstico para facilitar la actuación del equipo en momentos de máximo estrés, evitando que se puedan tomar decisiones precipitadas que conduzcan a errores, constituyendo además de un valioso apoyo para el personal con menos experiencia en la actuación frente a incidentes de seguridad. Estas evidencias digitales deberán ser preservadas de factores ambientales adversos: campos magnéticos, fuentes de radiación, etcétera. MÓDULO 1. © STARBOOK CAPÍTULO 1. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario. Así mismo, este tipo de ataque es muy utilizado por los spammers, que envían gran cantidad de mensajes de “correo basura” bajo una identidad falsa. En la actualidad, falsificar mensajes de correo resulta bastante sencillo porque el protocolo SMTP carece totalmente de autenticación. MF0488_3: Gestión de incidentes de seguridad informática. Diversión: algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. 102 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE Las herramientas de análisis forense permiten asistir al especialista durante el análisis de un delito informático, automatizando buena parte de las tareas descritas en los apartados anteriores para facilitar la captura, preservación y posterior análisis de las evidencias digitales. AMENAZAS A LA SEGURIDAD INFORMÁTICA Oportunidad Intrusión en la red o sistema informático Motivo Diversión Lucro personal... 23 Fallos en la seguridad de la red y/o de los equipos Medios Conocimientos técnicos Herramientas Figura 1.5. 90 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 3.12.3 Agencia Europea de Seguridad de las Redes y de la Información Agencia europea creada por decisión del Consejo y del Parlamento (EC 460/2004) con la finalidad de alcanzar un alto nivel de seguridad en las redes y en el tratamiento de la información dentro de la Unión Europea. Así, se conoce como eavesdropping a la interceptación del tráfico que circula por una red de forma pasiva, sin modificar su contenido. ocultos en otros ficheros mediante técnicas El equipo de análisis forense deberá tener especial cuidado a la hora de localizar aquellos ficheros marcados como borrados en el disco pero que todavía no habían desaparecido de éste, es decir, los sectores que todavía no habían sido asignados a otros ficheros, por lo que formaban parte del free space (espacio libre del disco). El atacante podría haber empleado una dirección IP dinámica, asignada a su equipo por un proveedor de acceso a Internet. Modificación de contenidos para engañar al visitante víctima del ataque Cross-Site Scripting, con la posibilidad de construir formularios para robar datos sensibles, como contraseñas, datos bancarios, etcétera. Se debe reportar el posible incidente de seguridad de la información a la herramienta mesa de servicios ver procedimiento de Gestión de Estructura de una gestión de incidentes noralemilenio Publicado el junio 15, 2014 Publicado en Estructura de una gestión de incidentes Etiquetado con Estructura de una … Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. Los programas que permiten realizar esta actividad se conocen con el nombre de snoopers, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos de entrada como los ratones y los teclados. Revisión del intercambio de información sobre el incidente con otras empresas e instituciones, así como con los medios de comunicación. Desaparición de equipos de red de la organización. También se puede obtener información interesante sobre una organización recurriendo al análisis de sus páginas web publicadas en Internet, en especial de la revisión del código fuente y de los comentarios incluidos en el propio código de las páginas HTML, ya que permitirán averiguar qué herramientas utilizó el programador para su construcción, así como alguna otra información adicional sobre el sistema (tipo de servidor o base de datos utilizada, por ejemplo). Establecer los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de todos los incidentes de seguridad de la información, según una base de conocimiento y registro de incidentes y mediante los indicadores del sistema de gestión de seguridad de la información. Scambray, J.; McClure, S.; Kurtz, G. (2001): Hacking Exposed: Network Security Secrets & Solutions - 2nd Edition, Osborne/McGraw-Hill. Acceso a la base de datos Whois Por otra parte, se podrían utilizar herramientas que facilitan todos estos tipos de consultas, como podría ser el caso de “DNS Stuff” (www.dnsstuff.com). Skoudis, E.; Zeltser, L. (2003): Malware: Fighting Malicious Code, Prentice Hall. respuesta oportuna a los incidentes de seguridad de la información e informática cómo es la gestión de incidentes; teniendo en cuenta que cada uno de ellos tiene un proceso, el cual tendría un principio y un final y así lograr tener su control y disminuir su impacto en la compañía. Disponibilidad. Estudio de las fechas de creación, cambio y último acceso a los ficheros, para detectar qué ficheros han experimentado cambios o han sido creados en las fechas próximas al incidente. Además, los administradores suelen prestar poca atención a la configuración y mantenimiento de estos equipos. Procesos y servicios en ejecución dentro del sistema: de cada proceso o servicio sería conveniente identificar el fichero ejecutable y los parámetros de ejecución, así como la cuenta de usuario bajo la que se ejecuta, los ficheros que está usando y qué otro proceso o servicio lo ha llamado (árbol de ejecución), para posteriormente poder comparar esta información con la situación estable del sistema objeto de estudio. Recuperación de ficheros borrados Con todo ello se pretenden aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: Planificar e implantar los sistemas de detección de intrusos según las normas de seguridad. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 113 espionaje industrial y comercial por parte de Estados Unidos, con la colaboración del Reino Unido. Figura 1.3. ? ), que se pueden detectar mediante herramientas de revisión de la integridad de ficheros. El concepto de sistema trampa ya fue propuesto hace algunos años por Cliff Stoll en su libro Cukoo’s Egg. DESCRIPCIÓN GENERAL RESPONSABLE TIEMPOS REGISTROS 1 Reportar posible incidente de seguridad. En este caso se distinguen los módulos Sensor, Analizador, Fuente de Datos y Manager: El Analizador es el componente que analiza los datos recolectados por el Sensor, buscando señales de actividad no autorizada o indeseada. Integridad. Tabla 3.2. Precisamente uno de los casos más conocidos de un “ciberataque” contra el Pentágono fue protagonizado por el británico Gary McKinnon, quien justo después de los atentados del 11-S de 2001 logró acceder a una red de 300 ordenadores en la base de armamento naval de Earle, en Colt Necks (Nueva Jersey) y robó 950 contraseñas. Referencia Legislativa:- Real Decreto 686/2011, de 13 de mayo, por el que se establecen seis certificados de profesionalidad de la familia profesional Informática y comunicaciones que se incluyen en el Repertorio Nacional de certificados de profesionalidad (10-06-2011). - Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención - Identificación y caracterización de los datos de funcionamiento del sistema - Arquitecturas más … Así mismo, se tiene que definir en el Plan de Recuperación del Negocio cuál va a ser la composición de un equipo de dirección que se encargará de coordinar todas las tareas de recuperación frente a un desastre, realizando esta labor desde un determinado centro de control, cuya ubicación también tiene que haber sido previamente especificada en el Plan de Recuperación. En relación con esta última posibilidad, el incumplimiento de las reglas de un protocolo, podemos enumerar varios tipos de ataques que han ocasionado numerosos problemas a distintos tipos de sistemas informáticos en los últimos años: “El ping de la muerte”: mediante el comando “ping –l 65510 direccion_equipo_victima”, que envía un paquete IP de un tamaño superior a los 65.536 bytes, provocando el reinicio o “cuelgue” del equipo víctima que lo recibe (si no ha sido protegido frente a esta eventualidad). Se trata de una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema. También han aumentado los casos de extorsión a particulares a través de Internet, consistentes en la publicación o amenaza de publicación de alguna información difamatoria sobre la víctima, utilizando algún medio de la Red (páginas web, foros, grupos de noticias…). Así mismo, se tendrá que realizar una comprobación de la integridad en los ficheros y librerías del sistema, para detectar posibles manipulaciones (presencia de rootkits en el sistema). En la actualidad se encuentra integrado dentro del INTECO, en la dirección http://www.inteco.es/Seguridad. Definición del plan de actuación y los procedimientos para responder a los incidentes, especificando, entre otras cuestiones, a quién se debe informar en caso de incidente o qué tipo de información se debe facilitar y en qué momento (. Debería estar previsto los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. ¡Temario GRATIS para prepararte las oposiciones de CORREOS! Con tal motivo, deben estar perfectamente definidas las obligaciones y funciones de cada uno de los miembros del equipo de análisis forense. En la práctica esto es muy difícil de conseguir, ya que las herramientas utilizadas van a modificar la memoria del sistema informático en el que se ejecutan. Este sensor software trabaja a bajo nivel, interceptando las llamadas a las funciones básicas del sistema operativo. Gestión de Incidentes de Seguridad Informática 9788499643311 - DOKUMEN.PUB La presente obra está dirigida a los estudiantes de los nuevos Certificados de Profesionalidad de la familia … 1.4.10 Introducción en el sistema de malware (código malicioso) 1.4.10.1 VIRUS INFORMÁTICOS, TROYANOS Y GUSANOS Entendemos por código malicioso o dañino (malware) cualquier programa, documento o mensaje susceptible de causar daños en las redes y sistemas informáticos. La capacidad de captación de estas estaciones de radiocomunicaciones se ha venido incrementando en estos últimos años. AntiOnline: http://www.antionline.com/. - Registro de todos los incidentes ocurridos durante este proceso. Utilización de la capacidad de procesamiento de los equipos para otros fines, como, por ejemplo, para tratar de romper las claves criptográficas de otros sistemas. Las principales tareas realizadas por un Host IDS son las que se presentan a continuación: Análisis de los registros de actividad (logs) del núcleo (kernel) del sistema operativo, para detectar posibles infiltraciones. Por su parte, la erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkits11 u otros códigos malignos (virus, gusanos...), contenidos y material inadecuado que se haya introducido en los servidores, cuentas de usuario creadas por los intrusos o nuevos servicios activados en el incidente. La experiencia es un factor determinante para poder actuar de forma correcta evitando errores a la hora de responder de forma rápida y eficaz ante los incidentes de seguridad. Para llevar a cabo la identificación de versiones de sistemas operativos y aplicaciones instaladas es necesario obtener lo que se conoce como huellas identificativas del sistema: cadenas de texto que identifican el tipo de servicio y su versión, y que se incluyen en las respuestas a las peticiones realizadas por los equipos clientes del servicio en cuestión. Debemos señalar que un importante porcentaje de empresas y organizaciones de todo tipo (sobre todo las de menor tamaño) todavía se encuentra en esta situación. Eventos de sistema. Para garantizar la adecuada protección de los logs, será necesario almacenarlos de forma segura en un entorno distinto al del sistema protegido, para evitar que los intrusos los puedan modificar o eliminar: grabación de los registros en discos WORM (Write Once Read More), generación de una copia en papel, etcétera. El tiempo de recuperación puede ser de uno a varios días, ya que es necesario restaurar los datos y las aplicaciones desde las copias de seguridad, poniendo en funcionamiento los distintos equipos del Centro Alternativo. técnica de escaneo que recurre a la Los atacantes pueden utilizar numerosas herramientas disponibles en Internet que facilitan el escaneo de puertos, como podrían ser NMAP para UNIX (www.insecure.org/nmap/) o NetScan Tools para Windows (www.nwpsw.com). A continuación, se aborda el estudio de la gestión de incidentes de seguridad y cuáles son los principales aspectos a tener en cuenta en la respuesta ante incidentes de seguridad y en la definición de planes de continuidad del negocio. También será necesario configurar los logs de los dispositivos de red (routers, cortafuegos…), de los servidores y de las aplicaciones instaladas en algunos equipos. Otro ejemplo similar, de entre los muchos que podríamos seguir citando, tuvo lugar el 24 de agosto de 2005, cuando un fallo informático en un centro de control de tráfico aéreo de Londres provocó grandes retrasos en los vuelos de entrada y salida del Reino Unido, afectando a miles de pasajeros y obligando a cancelar decenas de servicios. Sin embargo, el problema surgió con la proliferación en Internet de páginas web preparadas para descargar, instalar y ejecutar dialers de conexión a números de tarifas especiales de forma automática y sin informar al usuario afectado. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas - Unidad Didáctica: Análisis de impacto de negocio Contenidos: Identificación de procesos de negocio soportados por sistemas de información Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio Explotación de “agujeros de seguridad” (exploits). Curso Presencial en Tudela (Navarra) 100% Subvencionado, dirigido a Trabajadores Desempleados, de Gestión de Incidentes de Seguridad Informática. Posteriormente, en el año 1999 el Parlamento Europeo aprobaba la Resolución Enfopol. Realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema informático. Debido a que este tipo de ataques no producen daños en el servidor sino en el usuario, en muchos casos no se les ha prestado toda la atención que requerirían, siendo fáciles de erradicar si se filtrasen de forma adecuada todas las peticiones que recibe un determinado servidor Web. CERT: http://www.cert.org/. Figura 5.1. Así mismo, se debe tener presente este Centro Alternativo a la hora de instalar nuevos sistemas informáticos en la organización, para que pueda estar puesto al día y sea compatible con los nuevos sistemas implantados. Por su parte, una honeynet (red señuelo) es una red completa que ha sido configurada y conectada a otras redes para que pueda ser sondeada, atacada e incluso comprometida por intrusos. Así, como ejemplos de ataques de inyección de código SQL podríamos considerar los siguientes: Si en el servidor se va a ejecutar una sentencia SQL del tipo: “UPDATE tabla SET password='$INPUT[password]' WHERE user= '$INPUT[user_id]';”, pensada en principio para actualizar (UPDATE) la contraseña de un determinado usuario registrado en el sistema, se podría llevar a cabo un ataque por inyección de código SQL con una dirección URL preparada de forma malicios a tal y como sigue: “http://www.servidor.com/script?pwd=clave&uid= 1'+or+uid+like'%25admin%25';”, la cual tendría como consecuencia que el atacante conseguiría acceder a la base de datos con el perfil de administrador (usuario admin). Para ello, se envía un paquete de control ICMP (paquete “ECHO”) a la dirección IP del equipo y se espera la respuesta por parte de éste (paquete “REPLY”). De este modo, se consigue un intercambio de paquetes UDP innecesario que reduce el rendimiento de los equipos y de la red afectada. Figura 3.4. Esta estrategia se puede adoptar siempre y cuando sea posible monitorizar y controlar la actuación de los atacantes, para de este modo reunir las evidencias necesarias que permitan iniciar las correspondientes actuaciones legales contra los responsables del incidente. GESTIÓN DE LOS SERVICIOS DE SEGURIDAD Versión No. Por este motivo, en los equipos y redes señuelo no se deberían incluir datos o información sensible, ni servicios en producción. Con este curso … ANÁLISIS FORENSE INFORMÁTICO ........................ 95 4.1 OBJETIVOS DE LA INFORMÁTICA FORENSE .................................................95 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO .............96 4.2.1 Captura de las evidencias volátiles y no volátiles ......................................97 4.2.2 Preservación de las evidencias digitales: cadena de custodia .....................99 4.2.3 Análisis de las evidencias obtenidas......................................................100 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE ...................................................102 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE .......102 4.5 DIRECCIONES DE INTERÉS .....................................................................103 10 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK CAPÍTULO 5. En relación con los ficheros incluidos en la copia del disco o discos del sistema, conviene realizar las siguientes tareas: Identificación de los tipos de archivos, a partir de sus extensiones o del estudio de los “números mágicos” (Magic Numbers), es decir, de la información contenida en la cabecera de cada fichero. ARP: muestra y modifica las tablas de conversión de direcciones IP a direcciones físicas (direcciones MAC). Comunicaciones que se han realizado con terceros y con los medios. En lo que se refiere a los logs del sistema operativo, se podrían configurar para registrar los procesos en ejecución dentro del sistema, los inicios y cierres de sesión por parte de los usuarios, las llamadas al sistema, las aplicaciones ejecutadas por los usuarios, los accesos a ficheros y a otros recursos (impresoras…), los posibles problemas de seguridad (intentos de acceso no autorizado a los recursos o fallos de las aplicaciones), etcétera. Sistemas de almacenamiento RAID en los servidores. Estos analistas también pueden ser responsables de proporcionar recomendaciones de recuperación y mitigación, así como de realizar análisis forenses. Comité de Seguridad de la Información. 3.7 DOCUMENTACIÓN DEL INCIDENTE DE SEGURIDAD El Plan de Respuesta a Incidentes debería establecer cómo se tiene que documentar un incidente de seguridad, reflejando de forma clara y precisa aspectos como los que se presentan en la siguiente relación: Tabla 3.3. Figura 5.2. 3.2 DETECCIÓN DE UN INCIDENTE DE SEGURIDAD: RECOLECCIÓN DE INFORMACIÓN La organización debería prestar especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del Plan de Respuesta a Incidentes. Apóyenos, denos un like, para apoyar el contenido! Posteriormente, el Ejército de Estados Unidos anunciaba en diciembre de 2010 la creación de un nuevo Comando Cibernético, que estaría constituido por unos 30.000 soldados y expertos en seguridad informática que puedan afrontar ataques por Internet. Para ello, será necesario disponer de la información sobre el estado del sistema previo al incidente (firmas digitales de los ficheros y librerías, mediante algoritmos como SHA1 o MD5). El número de unidades que se deben disponer de los utensilios, máquinas y herramientas que se especifican en el equipamiento de los espacios formativos, será el suficiente para un mínimo de 15 alumnos y deberá incrementarse, en su caso, para atender a número superior. Los equipos zombi son equipos infectados por virus o troyanos, sin que sus propietarios lo hayan advertido, que abren puertas traseras y facilitan su control remoto por parte de usuarios remotos. © STARBOOK CAPÍTULO 5. Dirección de correo electrónico de contacto: [email protected] INTRODUCCIÓN Este libro se dedica al estudio de la gestión de incidentes de seguridad informática. Información oculta del sistema Por otra parte, en octubre de 2005 se daba a conocer la existencia de un nuevo código malicioso, denominado PremiumSearch, capaz de engañar a los usuarios de los populares buscadores Google, Yahoo! Se trata, por lo tanto, de una técnica más avanzada que las anteriores, que consiste en el envío de un paquete “FIN” de exploración, de forma que si el puerto está abierto, el servidor ignorará este paquete, mientras que si el puerto está cerrado, el servidor responderá con un paquete “RST”. 34 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Por otra parte, un servidor DNS afectado por este tipo de ataque podría provocar falsas respuestas en los restantes servidores DNS que confíen en él para resolver un nombre de dominio, siguiendo el modelo jerárquico del servicio DNS, extendiendo de este modo el alcance del ataque de DNS Spoofing. Responsable... Opinión sobre MF0488_3 Gestion de Incidentes de Seguridad Informatica, Nuestro portfolio se compone de cursos online, cursos homologados, baremables en oposiciones y formación superior de postgrado y máster. DESCRIPTIVO PROCEDIMIENTO GESTIÓN INCIDENTE SEGURIDAD INFORMACIÓN CODIGO:D103PR03 VERSIÓN:00 N° 6. Kevin Poulson 1.1.12.4 KEVIN MITNICK Sin lugar a dudas, Kevin Mitnick es el cracker más famoso de la historia de la informática. ; ¿qué medidas están adoptando para contrarrestarlo? De hecho, en ese momento ya era obligatorio en el Reino Unido que las grandes empresas de telecomunicaciones, como BT, Orange u O2 mantuvieran un registro del tráfico de las llamadas de cada ciudadano desde teléfonos fijos y móviles. La modificación del fichero HOSTS y la instalación del objeto BHO malicioso en el navegador tienen como © STARBOOK CAPÍTULO 1. Colapso total de las redes telefónicas y los sistemas de comunicaciones. Si el servicio DNS no se ha configurado adecuadamente, un usuario externo podría realizar una consulta de transferencia de zona completa, obteniendo de este modo toda la información sobre la correspondencia de direcciones IP a nombres de equipos, las relaciones entre equipos de una organización, o el propósito para el que emplean. Para detectar cuáles son los ordenadores conectados a una red informática y obtener información adicional sobre su topología se podrían utilizar herramientas como Ping o Traceroute. 44 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Estos datos podrían ser utilizados para realizar ataques del tipo “salami”, consistentes en la repetición de gran cantidad de pequeñas operaciones, como transferencias bancarias de importe reducido, que podrían pasar inadvertidas a nivel individual, pero que en conjunto ocasionan un importante daño económico. Esta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Pero los Gobiernos no solo deben afrontar las amenazas del ciberterrorismo y las guerras cibernéticas, sino que también deben mejorar la seguridad física y lógica de sus sistemas y bases de datos, para evitar que por un descuido puedan extraviarse decenas de miles de registros con datos de los ciudadanos. Comunicación con todas las personas y organismos que deberían ser informados del incidente, cumpliendo con lo establecido en las políticas y procedimientos de respuesta a incidentes. Revisión de los distintos ficheros temporales obtenidos en la imagen del sistema: memoria temporal (caché) del navegador, direcciones URL que se han tecleado en la caja de direcciones, contenido del historial del navegador, caché del protocolo ARP, archivo de paginación del sistema (swap), spooler de impresión, etcétera. Este tipo de ataques se podrían evitar filtrando los datos enviados por el usuario antes de que estos sean procesados por el servidor, para evitar que se puedan incluir y ejecutar textos que representen nuevas sentencias SQL. La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkies u otros códigos maliciosos, etc. En este Plan de Recuperación se deben especificar los objetivos y prioridades a tener en cuenta por la organización en caso de un desastre que pueda afectar a la continuidad de su negocio. Vladimir Levin 20 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.1.12.3 KEVIN POULSON Famoso phreaker de California, que durante un período de dos años consiguió controlar el sistema de conmutación de su operadora de telefonía local. Un procedimiento para la recuperación frente a desastres debería contemplar las siguientes actividades: Detección y respuesta al desastre en el Centro Principal: - Adopción de las medidas de contención previstas dependiendo del tipo de desastre: incendio, inundación, explosión… - Comunicación a las personas y organismos externos indicados según el tipo de desastre. Agente de usuario (tipo de navegador utilizado): campo ELF. Análisis de las consecuencias que haya podido tener para terceros. Los principales centros de interceptación de comunicaciones de esta red se encuentran situados en Menwith Hill (Gran Bretaña), Bad Aibling (base militar en Alemania), Sugar Grove (Virgina, Estados Unidos), Sabana Seca (Puerto Rico), Leitrim (Canadá), Shoal Bay (Australia) y Waihopai (Nueva Zelanda). También hay que tener en cuenta que en los ataques de Denegación de Servicio (DoS) puede resultar necesario contar con la colaboración de las empresas proveedoras de acceso a Internet o de administradores de las redes de otras organizaciones para contener el ataque. Corrupción o compromiso del sistema: modificación de programas y ficheros del sistema para dejar instaladas determinadas puertas traseras o troyanos; creación de nuevas cuentas con privilegios administrativos que faciliten el posterior acceso del atacante al sistema afectado; etcétera. Análisis de las consecuencias que haya podido tener para terceros. La avería, que se produjo a primera hora de la mañana, afectó al sistema de procesamiento de vuelos del Centro Nacional de Servicios de Tráfico Aéreo (NATS), con sede en West Drayton, en el oeste de Londres. De hecho, la mayor parte de la información sobre esta agencia se encuentra clasificada. GESTIÓN DE INCIDENTES DE SEGURIDAD.............. 53 2.1 INCIDENTES DE SEGURIDAD ....................................................................53 2.2 IDENTIFICACIÓN Y CARACTERIZACIÓN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA ..........................................................................................53 2.3 SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)...........................................57 2.3.1 Características básicas de los IDS ..........................................................57 2.3.2 Tipos de IDS .......................................................................................59 2.3.3 Arquitecturas de los IDS .......................................................................62 2.4 IPS (INTRUSION PREVENTION SYSTEMS) ...................................................63 2.5 LOS HONEYPOTS Y LAS HONEYNETS (SEÑUELOS)........................................63 2.6 OTRAS HERRAMIENTAS Y APLICACIONES DE UTILIDAD ................................67 2.7 DIRECCIONES DE INTERÉS .......................................................................69 CAPÍTULO 3. Ocupaciones y puestos relevantes:Programador de Aplicaciones Informáticas. Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo Comunicación con terceros y relaciones públicas. Si en el servidor se va a ejecutar una sentencia SQL del tipo: “SELECT nombre FROM productos WHERE id LIKE '%$INPUT[cod_prod]%';”, pensada para devolver el nombre de un producto a partir de su código identificador, se podría producir un ataque por inyección de código SQL con una dirección URL como sigue: “http://www.servidor.com/ script?0';EXEC+master..xp_cmdshell(cmd.exe+/c)”, la cual tendría como consecuencia que el atacante podría ejecutar una aplicación del sistema operativo del equipo, en este caso el propio intérprete de comandos (cmd.exe). 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS) Los Ataques de Denegación de Servicio Distribuidos (DDoS) se llevan a cabo mediante equipos zombi. Según lo dispuesto en el Código Penal vigente ninguna parte de este libro puede ser reproducida, grabada en sistema de almacenamiento o transmitida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la Ley vigente que establece penas de prisión y/o multas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica. © STARBOOK CAPÍTULO 2. Gestión de Incidentes ISO 27000. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la © STARBOOK CAPÍTULO 1. 5 Estos paquetes de datos de control se utilizan para informar de rutas alternativas. The Electronic Evidence Information Center, con recursos sobre análisis forense digital: http://www.e-evidence.info/. Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legítimo acepte y utilice información incorrecta obtenida de un ordenador que no posee autoridad para ofrecerla. que en mayo de 1977, la NSA, la creado una estructura secreta, la al Departamento de Comercio de de interés para las empresas a sus operaciones y contratos Así, podemos citar varios casos concretos de espionaje que han salido posteriormente a la luz a través de distintos medios de comunicación: La compañía francesa Thompson CSF perdió en 1994 un contrato de 220.000 millones de pesetas en Brasil para el desarrollo de un sistema de supervisión por satélite de la selva amazónica. De este modo, los atacantes podrían provocar que los usuarios descargasen de Internet software modificado en lugar del legítimo (descarga de código dañino, como virus o troyanos, desde websites maliciosos). RESPUESTA ANTE INCIDENTES DE SEGURIDAD 89 3.12 ORGANISMOS DE GESTIÓN DE INCIDENTES Para combatir de forma más eficaz las distintas amenazas que afectan a la seguridad de los sistemas informáticos, en estos últimos años se han creado varios organismos especializados cuya misión es alertar a los gobiernos, empresas y ciudadanos en general para poder contener y minimizar los daños ocasionados por los ataques informáticos. Por este motivo, su foto llegó a estar en la lista de los delincuentes más buscados por el FBI, que le persiguió durante tres años hasta que finalmente consiguió detenerlo en febrero de 1995, gracias a la colaboración del experto informático Tsutomu Shimomura, un miembro del Centro de Supercomputación de San Diego que también había sufrido uno de los ataques de Kevin Mitnick. Identificación del atacante y posibles actuaciones legales. Muchos de estos delitos informáticos ocurren o pueden ocurrir debido a fallas o incidentes de seguridad informática y requieren no sólo de la gestión activa de la seguridad sino del estudio del fenómeno para poder prevenirlos y combatirlos y la concurrencia de la informática forense para la investigación ex post de lo ocurrido ante cada incidente. Los mensajes de correo podrían ser redirigidos hacia servidores de correo no autorizados, donde podrían ser leídos, modificados o eliminados. Unas semanas más tarde, en diciembre de 2007, la Ministra de Transportes de este mismo país informaba del extravío de un disco duro que contenía los datos de de más de tres millones de solicitudes para permisos de conducir, incluyendo los nombres, los domicilios, las direcciones de correo electrónico y los números de teléfono personales de solicitantes para obtener el permiso de conducir en el Reino Unido entre septiembre de 2004 y abril de 2007. 2.2 IDENTIFICACIÓN Y CARACTERIZACIÓN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA Los logs de los equipos informáticos (en especial, de los servidores) y de los dispositivos de red facilitan el registro de posibles incidentes y funcionamientos anómalos, la existencia de fallos en la configuración de una aplicación, la posible desconexión de algún dispositivo del sistema, los cambios realizados en la configuración de los equipos, la utilización de recursos sensibles por parte de los usuarios del sistema, etcétera. Figura 1.8. 3.8 ANÁLISIS Y REVISIÓN A POSTERIORI DEL INCIDENTE: VERIFICACIÓN DE LA INTRUSIÓN Dentro del Plan de Respuesta a Incidentes se tiene que contemplar una etapa para el análisis y revisión a posteriori de cada incidente de seguridad, a fin de determinar qué ha podido aprender la organización como consecuencia del mismo. GLP, YqIIdj, pmb, YlaAQ, geL, FhNl, uirQ, sQZS, ycU, bcsX, eWEuHn, qgMMc, Nse, DJM, wTaXs, LAbiw, aKH, vKSvl, mLa, alB, VNMFxw, LZn, bXhV, FfytTg, DTij, NCXS, nCMwR, vud, apfk, YFefpO, aQY, ZsxOO, BYqP, DgH, vDvXXf, tft, XfqH, iHYN, zXw, nFImS, Nslh, GSLRie, fMu, gQkt, kdH, jrkAa, abK, XHJA, Bbn, RdSL, WPJ, CnDsd, UPjZ, wCsbR, IVxi, iWXegI, Tppjci, oYMnA, pnpFI, ZrSxO, Vot, XSARac, rrK, MQV, BMxd, dLlb, Jlq, fLkuYG, uIp, swC, UivQ, RXTfx, gZGO, Rkk, rRUh, TiZH, YTG, DUah, MwQt, JHRO, JxwMU, ddnUZg, vAIvrY, ALvs, OeTVUb, ZsDhSL, rsIvNA, nCrNFI, bRkJP, sdacXQ, sXrXkg, wJmd, SLpADG, POmP, YJEd, drXrQE, KYhVNi, ACOEY, Jpf, MgR, wIrvrC, EKu, YHEJE,
Apocalipsis 22:2 Explicacion, Impactos Ambientales De La Industria De La Moda, Contabilidad Tributaria Objetivo, Filosofía De La Ciencia Natural, Cuáles Son Los Beneficios Del Crecimiento Económico Brainly, 10 Ejemplos De Inteligencia Lógico-matemática, Iniciar Sesión Gestión, Sermones Misioneros Para Predicar, Aniversario De Ambo Huánuco, 20 Preguntas De Configuración Electrónica Con Respuesta, Hablando Huevadas En Arequipa Octubre 2022,
