BRITO SÁNCHEZ CYNTHIA VANESSA 6.1 Amenazas a la Seguridad.

Presentación del tema: "BRITO SÁNCHEZ CYNTHIA VANESSA 6.1 Amenazas a la Seguridad."— Transcripción de la presentación:

1 BRITO SÁNCHEZ CYNTHIA VANESSA 6.1 Amenazas a la Seguridad

2 6.1 Amenazas a la Seguridad Antes de adentrarnos en las diferentes formas en que la seguridad de una computadora puede ser penetrada, examinemos las características de un sistema seguro. Un sistema seguro mantiene lo siguiente: Confidencialidad de los datos- el acceso a los datos está restringido solamente a personal autorizado Integridad de los datos- los datos no son alterados involuntariamente Disponibilidad de los datos - los servicios que permiten el acceso a los datos son operacionales.

3 Las consecuencias de una seguridad computacional débil para los usuarios residenciales, incluye: Exposición de información sensible - por ejemplo, un intruso puede usar tu contraseña y el número de tu tarjeta de crédito para robarte dinero. Pérdida de datos - por ejemplo, los intrusos pueden borrar o corromper documentos importantes como estados financieros y propuestas de negocio. Pérdida de la funcionalidad del sistema - por ejemplo, los intrusos pueden ocupar tu CPU y memoria, usando programas maliciosos que deshabilitan al sistema para procesar instrucciones legítimas. Entre las consecuencias de una débil seguridad computacional para los negocios, se encuentran: Pérdida de tiempo y dinero dedicado a resolver problemas de seguridad (por ejemplo, pérdida de ganancias durante una falla del sistema) Pérdida de confianza en el sistema por parte de los clientes, lo que resulta en una pérdida de ganancias, reputación, trabajos y potencialmente de todo el negocio (por ejemplo, si la información de una tarjeta de crédito puede ser obtenida por intrusos a través de una tienda en línea, nadie usará el sitio, y el negocio ya no será rentable).

4 Para entender cómo asegurar un sistema computacional, primero debes entender a los intrusos, quiénes son y cómo atacan. Los métodos comunes de ataques discutidos en esta sección están clasificados en tres grupos: ataques de robo de identidad/violación de la privacidad, programas maliciosos de software (por ejemplo, virus, gusanos, y caballos de Troya), y ataques de negación del servicio. Los ataques de robo de identidad/violación de la privacidad por lo general violan la confidencialidad de los datos. Los programas maliciosos de software pueden violar la confidencialidad, integridad y disponibilidad de los datos. Los ataques de negación del servicio están orientados a los recursos del sistema.

5 6.1.1 Intrusos: ¿Quién, Por qué, y Cómo? El primer paso para salvaguardar tu sistema computacional y tu información es entender a tus oponentes. El perfil de los atacantes de los sistemas computacionales incluye: Gente que "hackea" por diversión, curiosidad, orgullo personal, o sólo por el gusto de entrar en los sistemas computacionales para ver qué tan lejos puede llegar (por ejemplo, estudiantes de preparatoria o universidad, también conocidos como script- kiddies, quienes tratan de obtener acceso a sistemas seguros, como aquellos que son propiedad del gobierno). Personal interno o externo que puede estar buscando revancha de una organización determinada. Los agujeros de seguridad provenientes de la propia organización suman entre el 70% y el 90% de todos los agujeros de seguridad, de acuerdo con estimados del Grupo Hurwitz de Framingham, Massachusetts. La gente que desea obtener ganancias u otros beneficios usando datos confidenciales de un sistema determinado (por ejemplo, ventaja de negocios, ventaja militar). Criminales u organizaciones cuyo objetivo es corromper la seguridad de un sistema determinado, para propósitos no éticos, incluyendo chantaje y espionaje industrial. Terroristas que quieren promover fines políticos y desmoralizar el país de la víctima

6 Los sistemas computacionales que son fáciles de atacar para los intrusos, son aquellos usados en puntos residenciales, comúnmente conocidos como computadoras de casa. Una vez que se comprometen las computadoras de casa, pueden ser usadas para lanzar grandes ataques contra computadoras de una organización. Los sistemas computacionales de casa son más vulnerables a ataques por las siguientes razones: Los usuarios de computadoras en casa pueden estar usando módems de cable o redes inalámbricas, que pueden ser interceptados por intrusos. Los sistemas computacionales de casa son menos propensos a ser configurados de manera segura. Los usuarios de computadoras en casa son menos propensos a detectar que la seguridad de su sistema ha sido penetrada. El acceso a los sistemas de casa puede ser un acceso alternativo a las computadoras del lugar de trabajo.

7 Por lo general, los intrusos lanzan ataques usando los siguientes pasos: Paso 1: Obtener información Adivinar contraseñas. Fingir ser un administrador del sistema y preguntar información sensible. Leer paquetes de información sensible enviada a través de Internet o almacenada en la computadora. Buscar puntos vulnerables. Paso 2: Analizar Información Usar la información obtenida y buscar puntos débiles en la red que puedan ser explotados (por ejemplo: puertos abiertos, cuentas de usuario). Paso 3: Lanzar ataque Alterar, borrar o corromper datos del sistema. Hacer que el sistema no esté disponible, creando una cantidad excesiva de tráfico en la red (por ejemplo, un ataque de negación del servicio, que será discutido posteriormente). Hacer lenta la red. Alterar un sitio Web.

8 El siguiente diagrama muestra el proceso generalizado de ataques.

9 6.1.2 Robo de Identidad y Violación de la Privacidad Romper Contraseñas (Password Cracking) Rastreador de Paquetes Ingeniería/Fraude Social Suplantación Revisión de Puertos (Port Scanning) La siguiente tabla muestra una visión general del nivel de compromiso que cada uno de los ataques presentados en esta sección puede alcanzar. Observa que la mayoría de estos ataques son usados para obtener información, que puede permitir más ataques dañinos sobre la integridad de los datos.

10 Uno de los mecanismos de ataque es capturar la información de inicio de sesión (login) y la contraseña (password) para entrar en tu cuenta de usuario. Una vez que los intrusos obtienen tu nombre inicio de sesión y tu contraseña, pueden actuar como tú, con todos tus privilegios de acceso para alterar los datos de tu cuenta, enviar correos electrónicos, o atacar otras computadoras desde tu cuenta. Más aún, si tu cuenta puede obtener más derechos, como derechos administrativos, los intrusos pueden usar tu cuenta para obtener esos derechos también. Pueden tratar de generar mensajes pretendiendo que son de una fuente en la que confías y hacer que proporciones información delicada como nombres de inicio de sesión, contraseñas, y datos confidenciales de tu sistema. El siguiente material cubre algunos de los métodos que los atacantes usan para obtener este tipo de información.

11 Romper Contraseñas (Password Cracking) El mecanismo de ataque más fácil contra las contraseñas es llamado "clavado a la basura", un eufemismo para "hurgando en la basura." Como su nombre sugiere, este método involucra la búsqueda de información delicada que pudo haber sido tirada en la basura, la cual puede ser obtenida por un intruso que puede tener acceso físicamente a ésta. Algunos usuarios permiten el fácil acceso a sus contraseñas dejándolas en notas cerca de su computadora — incluso algunas contraseñas están pegadas al monitor de la computadora. Una manera de obtener una contraseña es el método de la fuerza bruta, tratando todas las combinaciones alfanuméricas hasta que se obtiene la contraseña. Un método similar es el ataque del diccionario, comparando cada palabra en el diccionario contra la contraseña para reducir el espacio de búsqueda. Existen muchos programas de software diseñados para obtener contraseñas usando estos métodos. Prevención: No tires a la basura información legible de tus contraseñas, ni dejes tus contraseñas en lugares obvios. Destruye o asegura la información delicada Usa contraseñas difíciles de adivinar, que sean resistentes a la fuerza bruta o ataques del diccionario. Cambia tus contraseñas con frecuencia Limita el acceso físico al área de computadoras, especialmente a los servidores centrales

12 Rastreador de Paquetes Un rastreador de paquetes es un programa de software o un dispositivo de hardware que captura paquetes de datos mientras son transmitidos a través de la red. Algunos paquetes capturados de datos pueden contener información delicada. Instalar un rastreador de paquetes no requiere derechos de administrador. Este puede instalarse en una computadora portátil y acceder a la red a través de un puerto abierto. Los usuarios de módems de cable e inalámbricos tienen un riesgo mayor de exposición a los rastreadores de paquetes, comparado a los usuarios telefónicos y de DSL, debido a que vecindarios enteros de usuarios de módems de cable e inalámbricos son parte de la misma LAN. Un rastreador de paquetes instalado en una computadora con módem de cable o inalámbrico tiene la capacidad de capturar paquetes de datos transmitidos por otras computadoras en la misma LAN. Prevención: Utiliza el cifrado de datos para usar protocolos cifrados (se discutirá más sobre el cifrado en la sección 6.2.1 Cifrado) Limita el acceso físico a conexiones de redes. Monitorea el uso de la red e investiga actividades anormales o sospechosas

13 Ingeniería/Fraude Social Ingeniería Social se refiere a la acción de engañar a la gente a proporcionar información requerida para obtener acceso a su sistema. A diferencia de otros métodos de ataque discutidos, este ataque no involucra una herramienta de software. Un ataque a través de la ingeniería social puede ser alcanzado manipulando al administrador de la red u otro usuario autorizado para darte la información de su nombre de inicio de sesión y su contraseña. Esto puede realizarse por teléfono, correo electrónico o incluso en persona, pretendiendo ser alguien importante en una organización. El siguiente es un ejemplo de un ataque de ingeniería social: Juan es empleado de una compañía. El quiere acceder la computadora del CEO. Le llama al administrador del sistema, pretendiendo ser el CEO. Asegura haber olvidado su contraseña y le pide al administrador del sistema que lo reinicialice. Como reinicializar contraseñas es una tarea común que los administradores de redes realizan frecuentemente, el administrador de red reinicializa la contraseña sin preguntarle a Juan más preguntas. Mientras que el CEO está fuera de su oficina, Juan entra a escondidas y usa la contraseña que obtuvo del administrador del sistema para acceder la computadora del CEO. Ahora puede actuar como el CEO y revisar sus archivos, alterar sus datos, o enviar correos electrónicos. Prevención: Verifica la identidad de las personas que soliciten información delicada Toma conciencia de los esquemas de ingeniería social y educa a otros sobre las políticas de seguridad y su importancia

14 Suplantación Suplantar es el acto de usar una máquina para hacerse pasar por otra. Un intruso puede lanzar ataques usando la identidad de otra máquina de manera que el intruso no sea señalado responsable de estas acciones. Por ejemplo, un intruso puede enmascarar la identidad de una máquina que cuenta con privilegios de acceso especiales para obtener el control de otras computadoras en la red. Luego, el intruso puede lanzar un ataque de negación del servicio (este será discutido a más detalle en 6.1.4 Negación del Servicio) sobre un sistema computacional específico, enviando numerosos paquetes de datos para sobrecargar los recursos de red del sistema objetivo, y causar que el sistema no esté disponible para otros usuarios. Cuando el sistema objetivo trata de encontrar al atacante, las evidencias apuntan hacia la máquina que fue usada para enmascarar la identidad del intruso. Dos métodos de suplantación son la suplantación del IP y la suplantación del correo electrónico. La suplantación del IP es una técnica usada para obtener acceso no autorizado a las computadoras, por medio de la cual el intruso envía mensajes a una computadora con una dirección IP indicando que el mensaje está llegado de una fuente confiable. Para usar la suplantación del IP, un intruso debe identificar una dirección IP de una fuente confiable y luego modificar los encabezados de los paquetes, de manera que parezca que los paquetes vienen de esa fuente. Este método es efectivo porque el diálogo entre las máquinas es automatizado, lo que elimina la necesidad de un nombre de usuario o contraseña. Para más información de las muchas formas de suplantación de IP, lee "Spoofing: An Overview of Some of the Current Spoofing Threats" del sitio SANS. También puede leer en este sitio el artículo "Introduction to IP spoofing".

15 Otra técnica es la suplantación del correo electrónico donde el atacante finge el encabezado de un correo electrónico para hacer parecer que viene de algún lugar o de una persona diferente a la fuente real. Los siguientes son ejemplos de correos electrónicos suplantados que pueden provocar un ataque a la integridad de los datos: Correos provenientes del administrador del sistema, en el cual se le solicite a los usuarios que borren archivos, o proporcionen información sensible como su nombre de inicio de sesión y contraseña. Correos provenientes del administrador del sistema, en el que solicitan a los usuarios cambiar sus contraseñas a una cadena de caracteres específica, amenazando con suspender la cuenta si no lo hacen. Correos electrónicos de una persona de autoridad, solicitando a los usuarios que le envíen una copia de su contraseña u otra información sensible. Los proveedores de servicios de Internet usualmente no especifican tu nueva contraseña. Además, la mayoría de los proveedores del servicio nunca te pedirían que les envíes información de tu contraseña a través de correo electrónico, teléfono u otros medios. Puedes leer sobre una suplantación real de correo electrónico en Best Buy, "Una Estafa de Correo Electrónico Pone en Apuros a Best Buy." Prevención: Monitorea la conexión a los servidores, como el servidor de correo, el servidor de red, y busca comportamientos inusuales (el monitoreo debe realizarse fuera de línea para evitar ataques durante el proceso). Reduce los privilegios del sistema de los servidores. Limita el acceso de los usuarios a la red o las funciones de mando del administrador

16 Revisión de Puertos (Port Scanning) El objetivo de la revisión de puertos (port scanning) es detectar fallas o debilidades en la seguridad de un host remoto o local. Un escáner de puertos es un programa que revisa puertos y servicios TCP/IP (por ejemplo, TELNET o FTP) y reporta la respuesta del sistema objetivo. Un intruso puede usar un escáner de puertos para encontrar información sobre el host objetivo, como qué puerto está abierto y si un usuario anónimo puede entrar. Una vez que el intruso entra exitosamente a través del puerto abierto, el intruso puede tratar de obtener acceso a más computadoras de la red. La actividad de revisión de puertos precede por lo general a un ataque al sistema. Prevención: Cierra los puertos que no se usan Monitorea actividades sospechosas en la red (por ejemplo, si un host está revisando a través de las actividades del puerto, el atacante puede estar preparando el ataque).

17 6.1.3 Software Malicioso Virus Caballo de Troya Gusano Prevención Detección Medidas de Escritorio El software malicioso representa una parte importante de los ataques al sistema computacional [2007 Malware Report]. Billones de dólares se gastan después de los ataques, en costos de limpieza. El software malicioso puede manipular tu máquina, alterar los datos de tus medios de almacenamiento, y violar la integridad de tus datos. Algunos programas maliciosos de software pueden corromper tus archivos y esparcirlos a otras máquinas a través de la red. Datos importantes como nombres de inicio de sesión, contraseñas, información de tarjetas de crédito, estados financieros, y propuestas de negocios, pueden ser borrados, alterados, o hechos ilegibles por la máquina. Esta sección introduce tres clases comunes de programas de software malicioso: virus, caballo de Troya, y gusanos.

18 Virus Un virus se adjunta a un archivo o un software de aplicación, y luego se replica en la computadora host, esparciendo copias de él mismo a otros archivos. Puede corromper archivos, alterar o destruir datos, desplegar mensajes molestos, y/o interrumpir operaciones de la computadora. Cuando una computadora abre un archivo infectado, ejecuta las instrucciones del virus adjunto. Un virus no detectado se puede esconder en la computadora por días o meses, mientras se reproduce y adjunta a otros archivos. Los archivos infectados pueden ser esparcidos a otras computadoras cuando un usuario los transfiere a través de Internet o a través de medios de almacenamiento de removibles. Los virus se clasifican de acuerdo al tipo de archivos que infectan. Algunas categorías comunes son: Sector de arranque- compromete el sistema en el nivel más bajo. Esto provoca dificultades para iniciar el sistema de forma segura; también causa problemas recurrentes durante la operación de la computadora. Software de aplicación- infecta archivos ejecutables (por ejemplo, archivos.exe) Macro- infecta archivos macro y documentos que usan macros como Microsoft Excel y Microsoft Word; éste es adjuntado a un documento u hoja de trabajo, y por lo general es distribuido como un archivo adjunto en un correo electrónico. Cuando la persona abre el documento, el virus macro se copia en otros archivos macro, donde es recogido por otros documentos.

19 Ejemplo de un virus: Virus Macro Melissa El virus Melissa llega como un mensaje adjunto de correo electrónico con un documento de Word infectado (por lo general llamado "list.doc"). El asunto del correo por lo general contiene la frase "mensaje importante de". Afecta a los usuarios de correo de Outlook y Outlook Express. Cuando se abre el archivo adjunto, se ejecuta el programa del virus si las macros están habilitadas. Primero, el virus alterará los valores de seguridad de la macro para permitir que otras macros se ejecuten. Este virus se esparce accediendo la libreta de direcciones de Outlook y enviando copias de sí mismo junto con el documento que lo contiene, a otros usuarios, sin el conocimiento del usuario original. Si el documento contiene información delicada, ésta será expuesta a otros usuarios. Además, una vez que el archivo infectado es abierto, puede infectar otros archivos de Word. Si un archivo de Word infectado es enviado por correo electrónico a otro usuario, el receptor del mensaje tendrá un archivo adjunto infectado con Melissa. Puedes aprender más acerca del virus Melissa. Los virus frecuentemente tienen extensiones dobles, como.txt.vbs,.mpg.exe, y.gif.scr. Los archivos adjuntos a los mensajes de correo electrónico enviados por estos virus pueden parecer archivos inofensivos de tipo: texto (.txt), película (.mpg), imagen (.gif) u otros tipos de archivo, cuando de hecho, el archivo es un guión o un ejecutable malicioso, por ejemplo,.vbs,.exe,.scr. Si estás usando el sistema operativo Microsoft Windows, debes estar conciente de que por defecto el sistema operativo esconde extensiones para los tipos conocidos de archivos. Para hacer visibles las extensiones, puedes dar un clic en Mi PC sobre el escritorio, luego en el menú Herramientas, selecciona Opciones de Carpeta... da clic en la pestaña Ver, y des-selecciona la opción Ocultar las extensiones de archivo para tipos de archivo conocido.

20 Ejemplo de un virus con extensión oculta: Love Bug Este virus llega como un archivo adjunto en un correo electrónico, LOVE-LETTER-FOR-YOU.TXT.vbs. Una vez que abres el archivo, el virus sobrescribe la mayoría de los archivos de música, gráficos, documentos, hojas de cálculo, y Web de tu disco. Luego el virus se auto envía a todos los contactos de tu libreta de direcciones. El daño por causa del Love Bug costó arriba de $8.7 billones de dólares debido a la baja en la productividad y las reparaciones al sistema, de acuerdo con estimados de Computer Economics. Para mayor información sobre virus, visita la página de Recursos sobre Virus Computacionales CERT.

21 Caballo de Troya Un caballo de Troya es un programa que aparenta estar desarrollando una tarea mientras está ejecutando una tarea maliciosa a escondidas. Puede llegar a tu computadora como un archivo adjunto en un correo electrónico, usualmente como un software de entretenimiento o un software aparentemente útil, para tentarte a abrirlo. Una vez que abres el archivo, el programa del caballo de Troya puede buscar tu información, robar tus nombres de acceso y copiar tus contraseñas. Algunos programas caballo de Troya pueden contener virus, gusanos, u otros programas de caballo de Troya. Los programas caballo de Troya pueden usar los privilegios de una cuenta para instalar otros programas, como por ejemplo, programas que proporcionan acceso no autorizado a la red. O pueden usar tu cuenta para atacar otros sistemas e implicar a tu sitio como la fuente de ataque. Además, estos programas caballo de Troya pueden explorar vulnerabilidades de tu sistema para incrementar el nivel de acceso, más allá del usuario que está ejecutando el caballo de Troya, como un acceso de administrador. Una vez que el intruso obtiene acceso de administrador, puede hacer cualquier cosa que el administrador puede hacer, como cambiar las cuentas y contraseñas de otras computadoras, e instalar aplicaciones de software. Cuando un intruso obtiene acceso administrativo a tus sistemas, es muy difícil confiar de nuevo en la máquina sin antes reinstalar el software del sistema. A pesar del poder destructivo de los programas caballo de Troya, estos programas no pueden ejecutarse a menos que éstos sean ejecutados por el usuario en el sistema objetivo. Un intruso puede engañar al usuario para ejecutar el programa. Entendiendo los métodos que un intruso puede usar para manipular a los usuarios para ejecutar programas caballo de Troya en sus sistemas, puedes identificar mejor las tácticas usadas en el ataque de un caballo de Troya y evitar ser una víctima.

22 Un intruso puede tentar a un usuario a ejecutar un programa caballo de Troya, falsificando ser un representante de Microsoft que instruye al usuario a abrir un archivo para desarrollar procedimientos que ayudan a parchar las fallas de seguridad. El usuario abriría el archivo, el cual es en realidad un programa caballo de Troya. Un intruso también puede usar tácticas de ingeniería social, como llamar al administrador del sistema y fingir ser un usuario del sistema que no puede abrir una aplicación de software. El intruso luego trata de manipular al administrador del sistema para que abra el programa caballo de Troya. Los intrusos pueden usar sitios para descargar software y reemplazar las versiones legítimas de software con versiones caballo de Troya. Un intruso puede engañar a un usuario volviéndolo a dirigir a un sitio Web para bajar un programa caballo de Troya. Además, un programa caballo de Troya puede ser colocado en un sitio Web, en la forma de un componente de Java, JavaScript, o ActiveX. Observa que Java, JavaScript, y ActiveX también son conocidos como códigos móviles. Estos programas son ejecutados por tu navegador Web una vez que accedes el sitio. Para evitar ataques de un caballo de Troya a través de sitios Web maliciosos, puedes deshabilitar Java, JavaScript y Active X de tu navegador. Sin embargo, deshabilitar estas características puede llegar a obstaculizar tu visión de otros sitios Web. Una buena práctica es deshabilitar Java, JavaScript y Active X, y sólo habilitarlos cuando sea necesario. Puedes aprender más acerca de la Seguridad de ActiveX del sitio de CERT. Puedes encontrar más información sobre los riesgos presentados por código malicioso en las ligas Web en el sitio de CERT. Ejemplo de un caballo de Troya: Back Orifice (BO) El Back Orifice es un programa de puerta trasera de Windows 95/98. Una vez instalado accidentalmente, permite a los intrusos que conocen el número de puerto que está escuchando y la contraseña de BO, controlar remotamente la máquina afectada. Los intrusos pueden ejecutar operaciones privilegiadas, como ejecutar comandos, enlistar, subir y bajar archivos. Puedes leer más sobre Back Orifice y otros programas caballo de Troya de puerta trasera.

23 Gusano Un gusano es un software malicioso que puede ejecutarse a sí mismo en una máquina remota vulnerable. Comparado con los virus, los cuales infectan archivos y se esparcen a través del traspaso de archivos infectados y mensajes de correo electrónico, los gusanos pueden penetrar sistemas computacionales más fácilmente porque no requieren que un usuario los ejecute. Los gusanos pueden desarrollar eventos "disparadores" que varían desde el despliegue de mensajes molestos hasta la destrucción de datos. La mayoría de los gusanos viajan dentro de mensajes de correo electrónicos y paquetes TCP/IP, replicándose de una computadora a otra. Un gusano puede llegar en un correo masivo, que se envía a cada dirección de la libreta de direcciones del correo electrónico de una computadora infectada. Para encubrir sus pistas, un gusano de envío masivo puede establecer aleatoriamente la línea "De:" del mensaje, de la libreta de direcciones del correo electrónico.

24 Ejemplo de un gusano: gusano 911 Este gusano es también conocido como Chode, Worm.Firkin, y otros nombres. Este busca a través de un rango de direcciones IP de proveedores de Internet conocidos, para encontrar una computadora accesible que tenga una unidad compartida no protegida por contraseña. Usa la unidad compartida para copiar sus archivos a otras computadoras. Una vez que la computadora infectada inicia Windows, un guión.vbs es lanzado. El día 19 del mes, el guión borra archivos de los siguientes directorios: C:\windows C:\windows\system C:\windows\command C:\ Luego, despliega un mensaje indicando que la máquina ha sido infectada. Puedes aprender más sobre el Gusano 911 en el sitio de Symantec.

25 Prevención La manera más efectiva de prevenir ataques de código malicioso, es evitar abrir mensajes de correo electrónico o archivos adjuntos inesperados. Debes tener precaución y usar solamente medios autorizados para cargar datos y software. No debes correr programas ejecutables, a menos de que confíes en la fuente y confirmes si te envió un archivo. También evita enviar programas de una fuente desconocida a otras personas. Además, debes ser precavido al ejecutar contenido como applets de Java, JavaScript, o controles de Active X, de páginas Web. Para reducir la susceptibilidad de a los gusanos, puedes configurar tu navegador para deshabilitar la ejecución automática de contenido de páginas Web. También puedes deshabilitar las macros en cualquier producto que contenga un lenguaje macro. Por ejemplo, para deshabilitar la ejecución de una macro en Microsoft Word, da clic en Herramientas, selecciona Macro, y luego selecciona Seguridad. Escoge un nivel de seguridad de Alto a Medio. "Alto" ignora el código macro y "Medio" te permite que habilites o deshabilites el código macro. La vulnerabilidad de la seguridad, como la relacionada con el sistema operativo, se discute en las listas de correo. Las compañías de software, como Microsoft, lanzan paquetes de servicio o parches que pueden ser instalados para arreglar los agujeros de seguridad, pero si estas actualizaciones no están instaladas a tiempo, tu sistema operativo permanece vulnerable a los ataques. También es importante estar conciente de los programas que surgen de virus, gusanos y caballos de Troya. Puedes consultar el calendario de virus de McAfee para conocer los últimos virus reportados.

26 Detección Algunos síntomas de la infección maliciosa del código en tu sistema computacional incluyen: Cambios inesperados en el tamaño de los archivos, o sellos de fecha/hora Inicio o ejecución lenta debido a que el virus está agotando los recursos de la computadora Fallas del sistema inesperadas o frecuentes Poca memoria en disco Comportamiento anormal de las aplicaciones

27 Medidas de Escritorio Cuando sospeches que se ha introducido un virus a tu sistema: 1. Trata de detener el virus. 2. Trata de identificar el virus. 3. Trata de recuperar datos y archivos corruptos. 4. Una vez que hayas determinado la fuente de infección, alerta a otras personas acerca del virus. Existen varias herramientas como detectores antivirus que te pueden ayudar a buscar virus conocidos. También puedes usar monitores antivirus para informarte acerca del comportamiento de aplicaciones relacionadas con los virus. Este tipo de herramientas se discutirá con más detalle en la sección 6.3.2 Herramientas de Detección de Invasión. Puedes encontrar más información acerca de código malicioso en el sitio Web de CERT.

28 6.1.4 Ataques de Negación del Servicio Conectividad de Red Ancho de Banda de la Red Otros Ataques al Consumo de Recursos Ataque Distribuido de Negación del Servicio Prevención "En Febrero del 2000, ataques DoS [negación del servicio -Denial of Service-] tumbaron cinco de los diez sitios Web más populares del mundo, incluyendo Amazon, Yahoo! y eBay. El Grupo Yankee ha estimado que estos ataques causaron al menos la pérdida de $1.2 billones en ingresos y caídas subsecuentes en la capitalización del mercado". [NETstatistica]NETstatistica En un ataque DoS, el objetivo del atacante es acabar con los recursos del sistema, como la conectividad de red y el ancho de banda, para prevenir que el tráfico legítimo sea transmitido y procesado. Este ataque está caracterizado por lo siguiente: Interrupción de la conectividad de red y los servicios de Internet Interrupción de los servicios a sistema(s) específico(s) o persona(s) Consumo de otros recursos de un sistema computacional

29 Conectividad de Red Para bloquear la conectividad de red de una máquina objetivo, un intruso puede iniciar una conexión medio abierta a la máquina. La máquina objetivo inicia el proceso de conexión y espera que la conexión falsa del intruso se complete. Mientras está esperando, está bloqueando otras conexiones permitidas. Este ataque puede incluso ser lanzado sobre una conexión de un módem telefónico contra un sistema de red de alta velocidad. Un ejemplo de este tipo de ataque es el ataque de inundación SYN.

30 Ancho de Banda de la Red Un ataque común sobre el ancho de banda de la red de un sistema objetivo, es generar una cantidad excesiva de tráfico sobre esa red. Este ataque es conocido también como inundación de la red. Un ejemplo de un ataque al ancho de banda de la red es el ataque de Pitufos (Smurf). El ataque de Pitufos es lanzado usando el comando Ping. (Puedes hacerlo desde la consola de Comandos, tecleando "ping [dirección IP o nombre del host]". La máquina responde enviando el mensaje eco de regreso hacia a ti. En un ataque de Pitufos, el intruso envía comandos ping repetidamente, usando la dirección de la víctima como la dirección de regreso. Cuando el comando Ping es transmitido a múltiples hosts en la red local del sistema objetivo, todas las máquinas que reciben la petición de Ping, responderán al inocente, suplantado sistema objetivo. Esto causa que la red del sistema objetivo se inunde con respuestas de ping. Si existen suficientes paquetes inundando la red, el host suplantado no estará disponible para recibir o distinguir tráfico legítimo. El host no está disponible.

31 El siguiente diagrama muestra un ataque de Pitufos (Smurf).

32 Otros Ataques de Consumo de Recursos Un intruso puede también tratar de parar un sistema, atacando otros componentes, incluyendo ciclos del CPU, memoria, y espacio en disco, usando programas maliciosos. Recuerda que los virus, gusanos y caballos de Troya son programas. Ejecutar estos programas consume ciclos del CPU, memoria, y espacio en disco. Estos programas maliciosos pueden copiarse a sí mismos repetidas veces para extenuar los ciclos de tu CPU, memoria y espacio en disco. Otra forma de consumir espacio en disco es a través del "spamming" (envío masivo de mensajes de correo electrónico no solicitados) a un servidor de correo electrónico, generando un número excesivo de mensajes de correo. Por ejemplo, cuando el 80% de la capacidad de almacenamiento de tu correo electrónico se llena con correos "spam", el espacio en disco requerido para almacenar correos electrónicos legítimos estará limitado. Un intruso puede también idear formas de causar que el sistema genere mensajes de error que necesitan escribirse continuamente en el disco. Cuando los datos son escritos continuamente en el disco, sin límite en la cantidad de datos que pueden ser escritos, el sistema eventualmente se quedará sin espacio en disco, y se volverá incapaz de desarrollar otras funciones.spamming Existen numerosas formas en las que un intruso puede bloquear los recursos de tu sistema, y éstas son casi ilimitadas. La velocidad e impacto de su ataque puede incrementarse exponencialmente cuando se usan múltiples computadoras para lanzar el mismo ataque.

33 Ataque Distribuido de Negación del Servicio Un ataque distribuido de negación del servicio (DDoS) puede ser más destructivo que un ataque DoS. Por lo general se lanza un archivo DDoS adjunto, usando múltiples computadoras para atacar a una computadora víctima. En un ataque DDoS, el intruso compromete unas cuantas computadoras para actuar como centros de control, también conocidos como "controladores" o "masters." El intruso también instala "agentes" (por lo general a través de un programa caballo de Troya) que se ejecuta sobre otras computadoras comprometidas. Estos agentes también son conocidos como "zombies" o "esclavos." Cada computadora controladora, controla un grupo de computadoras agentes. Los intrusos que usaron un ataque DDoS son más difíciles de identificar porque están involucradas muchas más computadoras, y la táctica controlador-agente añade otro nivel de complejidad al intentar rastrear al intruso que inició el ataque.

34 Para iniciar un ataque DDoS, cada computadora controladora dirige a sus computadoras agentes para inundar el sistema objetivo enviando paquetes de datos al sistema de forma simultánea. Cuando el ancho de banda de la red del sistema objetivo se inunda, el tráfico legítimo de la red será incapaz de pasar, causando que la red no esté disponible. Al estar conectada a la red, tu computadora puede ser usada ya sea como una computadora controladora o como computadora agente para atacar otros sistemas computacionales. Estos ataques pueden haber sido usados en sitios importantes de comercio electrónico como Yahoo.com y eBay.com. Lee la historia "Ciberasaltantes atacan Buy.com, eBay, CNN y Amazon".

35 A continuación se muestra una ilustración de un ataque DDoS.

36 Prevención Deshabilita o bloquea los servicios de red que no utilices. Observa el desempeño de tu sistema y establece bases que indiquen la actividad ordinaria. Utiliza esa base para detectar niveles inusuales de actividad de tu disco, uso del CPU, o tráfico de la red. Examina rutinariamente la seguridad física con respecto a tus necesidades actuales (por ejemplo, servidores, enrutadores, terminales desatendidas, puntos de acceso a la red).