SU BANCO ES SEGURO, ¿NO? DAVID CARMONA FERNÁNDEZ 1.

Slides:



Advertisements
Presentaciones similares
Intranets P. Reyes / Octubre 2004.
Advertisements

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.
Essential Skills for Digital Literacy
Hosting Antonio Damea Núñez.
Sistema Único de Beneficiarios de Educación Superior.
TEMA 2: NAVEGAR POR LA WEB Navegando por la Red Rubén Ortiz y Ramón Hermoso Universidad Rey Juan Carlos Madrid Navegando por la Red 1.
SERVICIOS DE INTERNET Introducción comenzar.
Protección del ordenador
Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.
DIRECT ACCESS.
Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -
Ing. Horacio Carlos Sagredo Tejerina
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
VENTAJAS, DESVENTAJAS, CARACTERISTICAS Y CONFIGURACION
VENTAJAS DE ELEGIR COMO OPCIÓN PARA FACTURACIÓN ELECTRÓNICA.
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
ARIS-G: Software de Monitoreo Geomecánico de Superficies
Aplicaciones en línea:aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor web a través de Internet o de una intranet mediante.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Escritorio Remoto de Windows 2003 Server 3. C liente Conectar Utilizar programa remoto Sesión y ventanas Rendimiento Recursos compartidos Programa de inicio.
Auditoría de Sistemas y Software
1º Encuentro de EID en Unidades de Internación del INR
DeSkToP oRbItEr.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
PROTECCIÓN DEL ORDENADOR
Phishing Integrantes: Virginia Brandt Cecilia Miliano
 En la actualidad es complicado permanecer en un anonimato absoluto cuando se navega por la Red, sin embargo, sí es posible dificultar la tarea de los.
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
Software para proteger la máquina
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
Ing. Cristhian Quezada Asenjo
BASE DE DATOS EN LA WEB.
Dos años para un golpe El Ordenador del director general Revisando el servidor web secundario, encontró el nombre de usuario y número de IP del director.
APLICACIÓN EN VISUAL BASIC
Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.
PROTECCIÓN DEL ORDENADOR
Servicios en Red UT5. Servicios FTP.
Cuentas de usuarios y grupos en windows 2008 server
Por: Miguel Edrai Quiroz Espinoza Informática 6º «H»
FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN Internet y World Wide Web.
NUEVO DISEÑO SITIO WEB EXPLORA REGIÓN METROPOLITANA Resultados en cuanto a tráfico, posicionamiento y nuevas herramientas.
TELNET Jessica Prados Xavi Ferrer Raúl Ruiz David Candil
Cloud Computing Grupo 4 de computación y programación
Alumno: Israel Espinosa Jiménez Matricula: Licenciatura: TIC Asignatura: Derecho Informático Cuatrimestre: 5 Página 1 de 6.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Herramientas de Diseño I N T E R N E T Historia Internet nació de manos de ARPAnet en tiempos de la guerra fría. Esta empresa, estaba afiliada al ejército.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
INTRODUCCIÓN A TELNET.
Uso del internet en forma segura y legal. Viviendo en Línea «Impacto de la Informática en la sociedad.
La administración de dominios
SEGURIDAD INFORMÁTICA.
File Transfer Protocol.
Conexión a una red inalámbrica Coordinador TIC Presentación General.
Indice -Antes de Comprar -Durante la Compra -Después de la compra
ABRIMOS NUESTRA, MMC PERSONALIZADA. NOS POSICIONAMOS DENTRO DE “ACTIVE DIRECTORY USERS AND COMPUTERS” Y LO EXPANDIMOS.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
S EGURIDAD INFORMÁTICA Alejandro García yus. Entendemos por seguridad informática el conjunto de acciones, herramientas y dispositivos cuyo objetivo es.
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Realización de las tareas básicas de internet. ¿Qué es Internet? Podemos definir a Internet como una "red de redes", es decir, una red que no sólo interconecta.
1
Formación a distancia : Actualmente existen en internet infinidad de recursos que permiten obtener formación.  Universidades Oberta de Cataluña: Que.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
APLICACIONES EN LINEA.
Proceso de resolución de un nombre de dominio. –Consultas recursivas. –Consultas iterativas. –Caché y TTL. –Recursividad y caché. Gustavo Antequera Rodríguez.
DELITOS INFORMATICOS.
ANTIVIRUS CLOUD COMPUTING. Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
DOCENTE: CLAUDIA ESTHER DOMÍNGUEZ BRIGIDO CBTIS 242 CUETZALAN DEL PROGRESO, PUE.
Transcripción de la presentación:

SU BANCO ES SEGURO, ¿NO? DAVID CARMONA FERNÁNDEZ 1

En la lejana Estonia  Estonia, que es el lugar donde ocurren las historias que cuenta el libro, es una ciudad mucho mas moderna de lo que la gente piensa, país de 1,3 millones de habitantes situado entre Rusia y el golfo de Finlandia perteneciente a la Unión Europea desde  Las compañías estonias ofrecen tecnología y servicios informáticos a otros países europeos.  En lo referente a la seguridad en Internet, éste es, en general, un buen lugar por el hecho de que el país y las comunidades son muy pequeños. A los proveedores de servicios les resulta muy fácil implementar las tecnologías.  Más del 90 o 95 por ciento de los particulares y las empresas hacen transferencias por Internet. Y utilizan las tarjetas de crédito. 2 Su banco es seguro, ¿no?

El banco de Perogie  Al entrar en un sitio web, que denomina el Banco de Perogie, entra en la sección interactiva de preguntas más frecuentes y mira el código fuente de los formularios de la web.  Vio que el sistema de archivos era del tipo que utilizaba Unix. Encontró una variable oculta que apuntaba hacia un nombre de archivo, y cuanto intentaba cambiar algún valor no le pedía ningún tipo de autentificación, y cambio una variable para que le apuntara al archivo que contenía las contraseñas y se lo mostrara por pantalla.  Una vez mostrado el archivo descargo las contraseñas cifradas y utilizo un programa para descifrarlas llamado “John the ripper” y lo aplico utilizando un diccionario estándar de ingles.  Después de esto una vez sacadas las contraseñas paraba y tras anunciárselo a su empresa y al banco, su empresa recibió una oferta para investigarlo y encontrar una solución para el agujero. 3 Su banco es seguro, ¿no?

 De experiencias como ésta, se llega a la conclusión que lo que más interesa a una empresa cuya seguridad ha sido comprometida, no es denunciar al hacker, sino trabajar con él para solucionar los problemas que haya descubierto. Sería algo así como la filosofía de "si no puedes con el enemigo, únete a él". 4 Su banco es seguro, ¿no?

Un hacker se hace, no nace  El sujeto de este apartado, nos cuenta como empezó en este mundo a la edad de 15 años, lo que se considera tarde. También, sufrió las burlas se sus compañeros en el instituto por ser considerado diferente.  Sus padres no entendían su obsesión por los ordenadores, hasta incluso llevarlo a un psicólogo para que le ayudara a normalizarse, y tampoco nunca quisieron comprarle un ordenador.  La diferencia entre un hacker y los "script kiddies", es que no descubren nada por sí solos, sino que se dedican a descargar lo que encuentran en la Web. 5 Su banco es seguro, ¿no?

 Uno de sus programas favoritos era el Spy Lantern Keylogger, que tenía la capacidad de seguir de cerca electrónicamente a la gente mientras trabaja.  Además, también utilizaba la función de "supervisión" que ofrece la aplicación llamada Citrix MetaFrame, que permitía que los administradores del sistema supervisaran y ayudaran a los empleados de la empresa de forma remota. Permitiendo ver todo lo que hay en la pantalla e incluso tomar el control del ordenador.  Poco a poco empezó a utilizar esta herramienta solo como prueba y empezó a introducirse en ordenadores de personas hasta que se dio cuenta de que en varias ocasiones esas personas también se dieron cuenta de que el los estaba viendo. 6 Su banco es seguro, ¿no?

La intrusión en el banco  Encontró detalles sobre las direcciones IP del banco de Dixie, y se dio cuenta de que los servidores ejecutaban Citrix MetaFrame que le permitía a los usuarios acceder remotamente a su estación de trabajo.  Utilizo un escáner de puertos para explorar los ordenador conectados a la red e identificar los puertos abiertos. Cuando encontraba uno, examinaba los archivos del ordenador buscando la palabra contraseña hasta que encontró la contraseña del cortafuegos del banco.  Consiguió conectarse a un router el cual tenia la contraseña por defecto y una vez dentro añadió una regla de cortafuegos para permitir conexiones entrantes al puerto  Este puerto lo utilizan los servicios de red privada virtual (VPN) de Microsoft, diseñados para permitir que usuarios autorizados puedan tener una conectividad segura a lar red corporativa. 7 Su banco es seguro, ¿no?

 Tras autentificarse en el servicio VPN se asigno a su ordenador una IP interna del banco. Descubrió un informe almacenado en un servidor que listaba todas las vulnerabilidades de seguridad que el equipo había encontrado.  El banco utilizaba como servidor un IBM AS/400, y encontró el manual de operaciones de las aplicaciones utilizadas en ese sitema. Instaló el Spy Lantern Keylogger hasta que se registro un administrador y el capto su contraseña.  A partir de aquí tuvo la posibilidad de realizar todas las actividades de un cajero: transferir fondos, ver y cambiar la información de las cuentas de un cliente, observar la actividad de los cajeros automáticos de todo el país… 8 Su banco es seguro, ¿no?

 A continuación instaló un programa para obtener los hashes de contraseñas del controlador de dominio llamado PwDump3 para extraerlos.  El programa funcionaba de manera que cuando el administrador se autentificara este pasaría todas las contraseñas sigilosamente a un archivo hasta que se registro, guardo todas las contraseñas y ejecuto un programa para craquearlas. 9 Su banco es seguro, ¿no?

¿A alguien le interesa una cuenta bancaria en Suiza?  Encontró el camino hacia el proceso para generar transferencias. Y También descubrió el formulario online utilizado por un grupo restringido de empleados autorizados que tienen autoridad para procesar transacciones.  En el manual de instrucciones que había localizado anteriormente había un capitulo que detallaba los procedimientos exactos para enviar una orden desde ese banco para transferir fondos a la cuenta de una persona de otra institución financiera. 10 Su banco es seguro, ¿no?

Posteriormente  A pesar de disponer acceso a muchas partes del sistema del banco, no puso la mano en la caja.  Encontró muchos documentos sobre la seguridad física, pero no es suficiente para un banco, los esfuerzos realizados para la seguridad física son buenos aun que no dedicaron la atención necesaria a la seguridad informática. 11 Su banco es seguro, ¿no?

DILUCIDACIÓN  El sitio web de Estonia fue un objetivo fácil, vio el fallo en el código fuente de la pagina web, lo utilizo para acceder al archivo con las contraseñas del servidor, mostrarlas por pantalla y las visualizó.  La intrusión del banco es otro ejemplo de la necesidad de defensa en profundidad, la red del banco estaba plana, no contaba con protección suficiente a parte del servidor Citrix y el atacante pudo conectarse a todos los sistemas de la red.  El personal se confió ante la falsa sensación de seguridad. 12 Su banco es seguro, ¿no?

CONTRAMEDIDAS  El sitio web del banco debería haber solicitado las prácticas fundamentales de programación segura. La mejor práctica es limitar la cantidad de información que introduce el usuario y que se pasa a un script del lado del servidor.  Una lista parcial de las contramedidas incluiría:  Comprobar en todas las cuentas cuando se cambio por ultima vez cada contraseña.  Restringir los registros de usuarios interactivos a las horas de trabajo.  Habilitar auditorias al iniciar y al cerrar la sesión en cualquier sistema al que se pueda acceder de forma inalámbrica.  Implementar programas para detectar registradores de tecleo no autorizados.  Comprobar los sistemas a los que se puede acceder desde el exterior para saber si hay software de control remoto.  Inspeccionar minuciosamente todos los accesos que utilicen Windows Terminal Services o Citrix MetaFrame. 13 Su banco es seguro, ¿no?

LA ÚLTIMA LÍNEA  Las intrusiones comentadas se basan en aprovechar la escasa seguridad de las contraseñas de las empresas y los scripts CGI vulnerables.  Muchos de estos ataques no son tan complejos como parecen, sin embargo, lograron sus objetivos por que las redes de las empresas no estaba correctamente protegidas.  La gente responsable de desarrollar y colocar estos sistemas en producción está cometiendo errores muy básicos de configuración o despistes de programación. 14 Su banco es seguro, ¿no?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.