ministerio de agricultura huánuco

gestión de incidentes de seguridad informática

Posted

FAMILIA PROFESIONAL: Informática y Comunicaciones CERTIFICADO DE PROFESIONALIDAD EN EL QUE SE INCLUYE: Seguridad Informática S 8 9 650 9 788492 650774 ® S TA R B O O K. Michael Browner Smurf (“pitufo”): ataque DoS que se lleva a cabo mediante el envío de una gran cantidad de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos a direcciones de difusión (direcciones broadcast), empleando para ello la dirección del equipo víctima del incidente, que se verá desbordado por la cantidad de mensajes de respuesta generados en la red de equipos sondeados, que actúa como una red amplificadora del ataque. Incluso en algunos países ya se han dado casos de alquiler de redes zombi (conocidas como botnets) para poder llevar a cabo ataques de Denegación de Servicio Distribuidos (DDoS). Pipkin, D. (2002): Halting the Hacker: A Practical Guide To Computer Security, Prentice Hall. Para evitar este tipo de ataques conviene desactivar estos servicios en los equipos de la red, así como filtrar este tráfico a través de un cortafuegos. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente ¿Ha podido afectar a terceros? Matriculación, Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención, Identificación y caracterización de los datos de funcionamiento del sistema, Arquitecturas más frecuentes de los sistemas de detección de intrusos, Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad, Criterios de seguridad para el establecimiento de la ubicación de los IDS/IPS. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. © STARBOOK CAPÍTULO 5. 3.2 DETECCIÓN DE UN INCIDENTE DE SEGURIDAD: RECOLECCIÓN DE INFORMACIÓN La organización debería prestar especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del Plan de Respuesta a Incidentes. Consulta de la ficha de información sobre un determinado nombre de dominio, perteneciente en este caso a un operador de telecomunicaciones 26 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK En las consultas a servicios como Whois también se puede obtener información relevante sobre las personas que figuran como contactos técnicos y administrativos en representación de una organización (podría facilitar diversos ataques basados en la “Ingeniería Social”); datos para la facturación (billing address); direcciones de los servidores DNS de una organización; fechas en que se han producido cambios en los registros; etcétera. Erickson, J. Internet Storm Center: http://isc.sans.org/. Dentro del Plan de Respuestas de Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. Caída o mal funcionamiento de algún servidor: reinicios inesperados, fallos en algunos servicios, aparición de mensajes de error, incremento anormal de la carga del procesador o del consumo de memoria del sistema… Notable caída en el rendimiento de la red o de algún servidor, debido a un incremento inusual del tráfico de datos. Los campos obligatorios están marcados con *. UNIDAD DIDÁCTICA 1. Estudio de la documentación generada por el equipo de respuesta de incidentes. KeyGhost Se conoce como snooping a la técnica que permite observar la actividad de un usuario en su ordenador para obtener determinada información de interés, como podrían ser sus contraseñas. Organización de la información de un proyecto. ? Consiste en tener a mano el uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc. CERT - INTECO: http://cert.inteco.es/. Así, en 1994 la Administración Clinton aprobó el Escrowed Encryption Standard, que contemplaba el desarrollo de productos con la característica de keyescrow, para facilitar el descifrado de las comunicaciones por parte de organismos del gobierno (como la CIA o el FBI). ), que se pueden detectar mediante herramientas de revisión de la integridad de ficheros. En concreto, esta herramienta mejora la comunicación y control de los equipos zombi utilizando paquetes TCP, UDP o ICMP, así como técnicas criptográficas (como el algoritmo CAST-256) para dificultar la detección del atacante. Información básica sobre protección de datos Ver más. Netscreen Firewall: http://www.juniper.net/. 1.4.5 Análisis del tráfico Estos ataques persiguen observar los datos y el tipo de tráfico transmitido a través de redes informáticas, utilizando para ello herramientas como los sniffers. No obstante, si se envían muchas peticiones de conexión siguiendo el ataque de SYN Flood, se colapsarán los recursos del equipo víctima, que no podrá atender nuevas conexiones legítimas. Identificación remota del cliente. Para comprobar la idoneidad de los medios disponibles, el entrenamiento de los miembros del equipo y las actividades definidas en el Plan de Respuesta a Incidentes, conviene llevar a cabo simulacros de forma periódica en la organización. DShield (Distributed Intrusion Detection System, Sistema de Detección de Intrusiones Distribuido) es una de las bases de datos sobre incidentes de seguridad informática más conocida (http://www.dshield.org/). AMENAZAS A LA SEGURIDAD INFORMÁTICA .......... 15 1.1 CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES ......................................15 1.1.1 Hackers ..............................................................................................15 1.1.2 Crackers (blackhats) ............................................................................16 1.1.3 Sniffers ..............................................................................................16 1.1.4 Phreakers ...........................................................................................16 1.1.5 Spammers ..........................................................................................16 1.1.6 Piratas informáticos..............................................................................17 1.1.7 Creadores de virus y programas dañinos .................................................17 1.1.8 Lamers (wannabes): Script-kiddies o Click-kiddies ...................................17 1.1.9 Amenazas del personal interno ..............................................................18 1.1.10 Ex empleados......................................................................................18 1.1.11 Intrusos remunerados ..........................................................................18 1.1.12 Algunos hackers, crackers y phreakers famosos .......................................18 1.2 MOTIVACIONES DE LOS ATACANTES..........................................................21 1.3 FASES DE UN ATAQUE INFORMÁTICO.........................................................22 1.4 TIPOS DE ATAQUES INFORMÁTICOS ..........................................................24 1.4.1 Actividades de reconocimiento de sistemas .............................................24 1.4.2 Detección de vulnerabilidades en los sistemas .........................................30 1.4.3 Robo de información mediante la interceptación de mensajes ....................30 8 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.4 Modificación del contenido y secuencia de los mensajes transmitidos ..........31 1.4.5 Análisis del tráfico ................................................................................31 1.4.6 Ataques de suplantación de la identidad..................................................32 1.4.7 Modificaciones del tráfico y de las tablas de enrutamiento .........................37 1.4.8 Conexión no autorizada a equipos y servidores ........................................38 1.4.9 Consecuencias de las conexiones no autorizadas a los sistemas informáticos ........................................................................................38 1.4.10 Introducción en el sistema de malware (código malicioso) .........................39 1.4.11 Ataques contra los sistemas criptográficos...............................................43 1.4.12 Fraudes, engaños y extorsiones .............................................................43 1.4.13 Denegación del Servicio (Ataques DoS – Denial of Service) .......................45 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS)............................48 1.4.15 Marcadores telefónicos (dialers).............................................................49 1.5 DIRECCIONES DE INTERÉS .......................................................................50 CAPÍTULO 2. Un equipo de análisis forense estará constituido por expertos con los conocimientos y experiencia necesarios en el desarrollo de estas actividades. En algunos casos será necesario contratar a las personas con la necesaria experiencia y cualificación profesional (conocimientos técnicos, habilidades de comunicación…). A raíz de los atentados de Madrid (11 de marzo de 2004) y, especialmente, de Londres (7 de julio de 2005) distintos gobiernos europeos liderados por el británico se han mostrado partidarios de facilitar el acceso de la Policía a las llamadas telefónicas y los correos © STARBOOK CAPÍTULO 5. Eventos de sistema. AMENAZAS A LA SEGURIDAD INFORMÁTICA 19 Figura 1.1. Comprobación de que el plan de actuación y los procedimientos previstos cumplen con los requisitos legales y las obligaciones contractuales con terceros (como, por ejemplo, exigencias de los clientes de la organización). Comprobación de que el plan de actuación y los procedimientos previstos cumplen con los requisitos legales y las obligaciones contractuales con terceros (como, por ejemplo, exigencias de los clientes de la organización). Conviene tener en cuenta que los ataques informáticos se están volviendo cada vez más sofisticados, por lo que es difícil conseguir detectarlos a tiempo. La infección de PremiumSearch comienza con la instalación en el equipo de un fichero BHO (Browser Helper Object) malicioso, aprovechando algunas de las vulnerabilidades más utilizadas para la instalación de spyware. Al poco de conocerse estas dos pérdidas masivas de datos de ciudadanos británicos, el diario The Times demostró que existía un mercado de compraventa de datos personales a través de Internet, lo que puso aún más en entredicho la seguridad en el tratamiento de este tipo de información sensible en el Reino Unido. No obstante, antes de implementar estrategias con la finalidad de incrementar la seguridad de la información, es indispensable conocer los pilares que la soportan: Confidencialidad. De hecho, la ejecución de determinados comandos en el sistema podría alterar la información registrada en el disco: así, por ejemplo, un simple listado del contenido de un directorio va a modificar la fecha de último acceso a cada fichero. Conviene disponer de equipos redundantes, dispositivos de red y medios de almacenamiento para poder recuperar el funcionamiento normal del sistema. Con este curso … Mirkovic, J.; Dietrich, S.; Dittrich, D.; Reiher, P. (2004): Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall. Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo 15 Estos espacios son empleados en ocasiones por usuarios expertos para guardar información que no resulta accesible desde el propio sistema operativo del equipo. Estadísticas de incidentes de Seguridad Informática 2021. Estas averiguaciones las realizamos a través de las entrevistas, evidencias, conclusiones (causa/efecto) y realizando una evaluación de riesgo (documento de seguridad). También se han llevado a cabo ataques DoS contra sesiones TCP previamente establecidas, aprovechando una vulnerabilidad en el diseño del protocolo TCP dada a conocer por el CERT/CC a finales de abril de 2004, que afecta a aquellos servicios que se basan en la utilización de sesiones TCP permanentes, sin ningún tipo de autenticación entre los dos extremos de la comunicación. ; ¿cuáles pueden ser sus consecuencias técnicas y económicas? Uno de los sistemas NIDS más conocidos es SNORT. Explotación de “agujeros de seguridad” (exploits). Esta Agencia comenzó oficialmente sus actividades en septiembre de 2005, tras fijar su sede institucional en la isla de Creta. Análisis del incidente. La gestión de incidentes es un área de procesos perteneciente a la gestión de servicios de tecnologías de la información. Registro de actividad extraña en los logs de servidores y dispositivos de red o incremento sustancial del número de entradas en los logs. En la mayoría de las organizaciones que no cuentan con un equipo de Respuesta de Incidentes formalmente constituido será necesario identificar quiénes son las personas responsables de acometer cada una de las tareas que se hayan definido en el Plan de Respuesta de Incidentes, definiendo claramente las responsabilidades, funciones y obligaciones de cada persona implicada en dicho plan. Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la © STARBOOK CAPÍTULO 1. Para poder comparar los distintos logs conviene mantener todos los relojes de los equipos y dispositivos perfectamente sincronizados. Creación de un archivo de discos de arranque y un conjunto de copias con todas las aplicaciones y servicios necesarios para el funcionamiento de los sistemas informáticos, así como de los parches y actualizaciones correspondientes. Gestión de Incidentes La institución llevará adelante la respuesta a incidentes a través de sus instancias técnicas y se coordinará con el [Comité de Riesgos y Seguridad de la Información] en la medida que el impacto de los incidentes afecte a los procesos críticos de la institución. Distintos tipos de ataques en una red de ordenadores Seguidamente se presenta una relación de los principales tipos de ataques contra redes y sistemas informáticos: 1.4.1 Actividades de reconocimiento de sistemas Estas actividades directamente relacionadas con los ataques informáticos, si bien no se consideran ataques como tales ya que no provocan ningún daño, persiguen obtener información previa sobre las organizaciones y sus redes y sistemas informáticos, realizando © STARBOOK CAPÍTULO 1. Además, las búsquedas realizadas sobre la falsa barra de Google también devuelven los mismos resultados modificados. Registro de Seguridad: muestra los registros de éxito y de fracaso de los servicios auditados, es decir, cuando un usuario intenta acceder a un recurso auditado y se le concede (éxito) o se le deniega (fracaso) el acceso. 3.9.2 Gestión del incidente de seguridad Aislamiento de los equipos afectados por el incidente, realizando además una copia de seguridad completa de sus discos duros. SpyBuddy 66 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK SpyBuddy es una herramienta comercial que permite registrar las teclas pulsadas por el usuario del equipo; monitorizar la creación, acceso, modificación y eliminación de ficheros y directorios; realizar un seguimiento de los programas que se ejecutan en el equipo; etcétera. Cortar, preparar, ensamblar y acabar cortinajes y complementos de decoración, aplicando las técnicas y procedimientos requeridos... Ámbito Profesional: © STARBOOK CAPÍTULO 2. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 83 Adquisición e instalación de herramientas informáticas y dispositivos que faciliten la respuesta ante incidentes. RA-MA es una marca comercial registrada. 100 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 4.2.3 Análisis de las evidencias obtenidas El análisis de las evidencias digitales capturadas en las etapas anteriores podría ser realizado mediante herramientas especializadas (como EnCase) que permiten analizar la imagen obtenida de los discos duros sin tener que volcarla a otro disco o unidad de almacenamiento. Por este motivo, resulta conveniente examinar los datos una vez hayan sido descifrados por los equipos destinatarios dentro de la red de la organización. La organización deberá mantener actualizada la lista de contacto para emergencias, para poder localizar rápidamente a personas claves. Transmisión de paquetes de datos malformados o que incumplan las reglas de un protocolo, para provocar la caída de un equipo que no se encuentre preparado para recibir este tipo de tráfico malintencionado. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDS/IPS) El impacto y la probabilidad de sufrir un incidente de seguridad son factores que se deben minimizar al máximo. Además, proporcionan estadísticas que permiten evaluar el rendimiento del sistema informático. Así, dentro de este Plan de Respuesta deberían estar previstos los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (insiders) como con los usuarios externos del sistema informático (outsiders). Para detectar cuáles son los ordenadores conectados a una red informática y obtener información adicional sobre su topología se podrían utilizar herramientas como Ping o Traceroute. Como consecuencia de esta acción se lleva a cabo la instalación de una barra de herramientas de Google modificada por terceros (no se trata de la legítima de Google) y se modifica el fichero HOSTS del equipo. - Registro de todos los incidentes ocurridos durante este proceso. (Detrás de la acción se encuentra la naturaleza humana), Vector de ataque: es la vía que se utiliza para obtener información o acceso. Estos tres factores constituyen lo que podríamos denominar como el Triángulo de la Intrusión, concepto que se presenta de forma gráfica en la siguiente figura: © STARBOOK CAPÍTULO 1. Además, estas actividades de monitorización y registro se realizan tratando de pasar de forma inadvertida para los intrusos. 1.4.15 Marcadores telefónicos (dialers) Los dialers o marcadores telefónicos son pequeños programas que se encargan de marcar números telefónicos que dan acceso a algún tipo de servicio, con una tarifa telefónica muy superior a la normal. Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Servicio Secreto de Estados Unidos 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO Podemos distinguir las siguientes etapas en el análisis forense de un incidente informático: Identificación y captura de las evidencias. ; ¿hasta qué punto se ha extendido por la organización? 2.4. Por ejemplo, un atacante podría convertir un enlace a una imagen incluido en un documento (mediante la etiqueta HTML , con un enlace aparentemente inofensivo a un fichero gráfico) en una forma de activar un ataque Cross-Site Scripting, que pase totalmente inadvertida al usuario víctima, ya que éste ni siquiera tendría que hacer clic en el enlace en cuestión: el navegador, al recibir el documento, se encargaría de realizar la petición para mostrar la imagen correspondiente al enlace incluido. Para su correcta implantación es necesario contemplar no solo el equipamiento de hardware y de software, sino también aspectos organizativos relacionados con su gestión. Al establecer la conexión mediante el procedimiento three-way handshake, se envía una petición de conexión al equipo víctima, pero no se responde a la aceptación de la conexión por parte de este equipo (generalmente se facilita una dirección IP falsa). Gestión de Incidentes de Seguridad Informática 9788499643311 - DOKUMEN.PUB La presente obra está dirigida a los estudiantes de los nuevos Certificados de Profesionalidad de la familia … Scambray, J.; McClure, S.; Kurtz, G. (2001): Hacking Exposed: Network Security Secrets & Solutions - 2nd Edition, Osborne/McGraw-Hill. El número de saltos se determina mediante el campo TTL de la cabecera IP de un paquete, que actúa como un contador de saltos que se va decrementando en una unidad cada vez que el paquete es reenviado por un router. Se puede recurrir a distintas técnicas de escaneo, siendo las más conocidas las que se describen a continuación: Técnica “TCP Connect Scanning”: Esta técnica de escaneo es la más sencilla, ya que consiste en el envío de un paquete de intento de conexión al puerto del servicio que se pretende investigar, para comprobar de este modo si el sistema responde aceptando la conexión o denegándola. Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso ZoneAlarm: http://www.zonealarm.com/. Esta ley del Estado de California no contempla la aplicación de multas a quienes no cumplan con este requisito, pero sí abre las puertas a todo tipo de procesos legales contra las empresas afectadas. 1.4.7 Modificaciones del tráfico y de las tablas de enrutamiento Los ataques de modificación del tráfico y de las tablas de enrutamiento persiguen desviar los paquetes de datos de su ruta original a través de Internet, para conseguir, por ejemplo, que atraviesen otras redes o equipos intermedios antes de llegar a su destino legítimo, para facilitar de este modo las actividades de interceptación de datos. Guía 1 - Metodología de pruebas de efectividad. © STARBOOK CAPÍTULO 1. Gracias a sus conocimientos informáticos pudo intervenir la central de conmutación para que su línea personal de teléfono fuera seleccionada como la ganadora en multitud de concursos y ofertas telefónicas, mientras bloqueaba la de otros usuarios del servicio. Sin embargo, estas situaciones también se podrían producir debido a los daños ocasionados por sabotajes, robos o, incluso, por atentados terroristas. Informar de forma completa e inmediata al Responsable de Seguridad de la información la existencia de un potencial incidente de seguridad informática. Transporte periódico de copias de seguridad a un almacén. Así mismo, es conveniente escanear las redes conectadas a Internet para determinar si son vulnerables al ataque Smurf. Utilización de una dirección IP no válida o en desuso en uno de los tramos de red internos (IP Spoofing). En junio de 2007 un grupo de piratas informáticos checos lograba interrumpir un programa de la cadena de televisión Ceska Televize sobre las montañas de Krkonose, y mostraron los efectos devastadores de la explosión de una bomba atómica en la zona, lo que atemorizó a muchos telespectadores. 36 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Debido a este problema de seguridad en el registro de nombres de dominio, en estos últimos años se ha tratado de reforzar el proceso de autenticación de los usuarios antes de aceptar cambios en las fichas de los nombres de dominio. 6 Ficheros o documentos que figuraban como eliminados del Sistema de Ficheros, pero que todavía figuran intactos en el disco duro del equipo. Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención Los wardialers son dispositivos que permiten realizar de forma automática multitud de llamadas telefónicas para tratar de localizar módems que se encuentren a la espera de nuevas conexiones y que no hayan sido protegidos y configurados de forma adecuada. Definición del plan de actuación y los procedimientos para responder a los incidentes, especificando, entre otras cuestiones, a quién se debe informar en caso de incidente o qué tipo de información se debe facilitar y en qué momento (. Por este motivo, es necesario contar con herramientas y filtros que faciliten la detección y clasificación de incidentes. Se debería tener en cuenta, además, la posibilidad de obtener datos adicionales de los logs de otros equipos y dispositivos de la red (como, por ejemplo, los cortafuegos o los IDS) para llevar a cabo un análisis más completo de estos registros de actividad. Por otra parte, se han desarrollado virus y otros programas dañinos para facilitar las extorsiones y estafas a usuarios de Internet. • Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. Así, como ejemplos de ataques de inyección de código SQL podríamos considerar los siguientes: Si en el servidor se va a ejecutar una sentencia SQL del tipo: “UPDATE tabla SET password='$INPUT[password]' WHERE user= '$INPUT[user_id]';”, pensada en principio para actualizar (UPDATE) la contraseña de un determinado usuario registrado en el sistema, se podría llevar a cabo un ataque por inyección de código SQL con una dirección URL preparada de forma malicios a tal y como sigue: “http://www.servidor.com/script?pwd=clave&uid= 1'+or+uid+like'%25admin%25';”, la cual tendría como consecuencia que el atacante conseguiría acceder a la base de datos con el perfil de administrador (usuario admin). Por supuesto, será necesario evitar que personal no autorizado pueda tener acceso a esta documentación sensible. El pharming es una variante del phishing en la que los atacantes utilizan un virus que conecta a las víctimas desde su ordenador a páginas falsas en lugar de a las legítimas correspondientes a sus propias entidades financieras, para sustraer sus datos (números de cuenta y claves de acceso). Este libro pretende aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: • Planificar e implantar los sistemas de detección de intrusos. - Recuperación de las aplicaciones y servicios necesarios para la continuidad de las operaciones, priorizando el orden de esta recuperación en función de su importancia o criticidad para el funcionamiento de la organización. Para ello, se podrían utilizar aplicaciones como Syslog para centralizar los registros. Como parte del plan de recuperación que se estipule, ESED, Ciber Security & IT Solutions propone una serie de pasos que deben ser cumplimentados luego de sufrirse ataques a la seguridad informática: 1) Identificar la amenaza y su nivel de gravedad. Revista Phrack: http://www.phrack.org/. En el ámbito de la informática el movimiento hacker surge en los años cincuenta y sesenta en Estados Unidos, con la aparición de los primeros ordenadores. En abril de 2007 se daba a conocer que un grupo de piratas informáticos chinos habían logrado acceder a los ordenadores personales de varios oficiales de Taiwán y copiar información secreta sobre las maniobras anuales Han Kuang, que simulan la defensa de la isla frente a un ataque chino. De hecho, los 3 elementos tienen expresiva relevancia para la protección de datos posicionándose así, como piezas clave en … Aparición de nuevas carpetas o ficheros con nombres extraños en el servidor, o modificaciones realizadas en determinados ficheros del sistema (liberías, kernel, aplicaciones críticas, etc. La avería, que se produjo a primera hora de la mañana, afectó al sistema de procesamiento de vuelos del Centro Nacional de Servicios de Tráfico Aéreo (NATS), con sede en West Drayton, en el oeste de Londres. Por este motivo, es necesario contar con herramientas y filtros que faciliten la detección y clasificación de los incidentes. 3.12.6 FIRST (Forum of Incident Response and Security Teams) Foro constituido en 1990 con el objetivo de facilitar el intercambio de información sobre incidentes de seguridad entre los distintos miembros que lo integran (Centros de Respuesta a Incidentes de distintos países y organizaciones), así como para la detección, prevención y recuperación de estos incidentes de seguridad. De hecho, se ha utilizado para el © STARBOOK CAPÍTULO 5. Gestión de cuentas. Técnico en seguridad informática. © STARBOOK CAPÍTULO 2. Figura 4.1. 5 Diseño asistido por ordenador. Kevin Mitnick © STARBOOK CAPÍTULO 1. ; ¿cómo pudo suceder? No obstante, antes de implementar estrategias con la finalidad de incrementar la seguridad de la información, es indispensable conocer los pilares que la soportan: Confidencialidad. “TCP ACK Scanning”: técnica que permite determinar si un cortafuegos actúa simplemente como filtro de paquetes o mantiene el estado de las sesiones. Así, por ejemplo, a principios de febrero de 2006 se daba a conocer la noticia de que tres expertos informáticos rusos habían desarrollado y posteriormente vendido por 4.000 dólares el código de un virus capaz de explotar la vulnerabilidad del sistema de archivos gráficos WMF de Windows. Debido a que este tipo de ataques no producen daños en el servidor sino en el usuario, en muchos casos no se les ha prestado toda la atención que requerirían, siendo fáciles de erradicar si se filtrasen de forma adecuada todas las peticiones que recibe un determinado servidor Web. 8 En Windows se pueden ejecutar desde el intérprete de comandos. Análisis y revisión a posteriori del incidente. Este término se utilizaba de forma familiar para describir cómo los técnicos arreglaban las cajas defectuosas del teléfono, asestándoles un golpe seco. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 73 El objetivo perseguido con la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitación o la improvisación. Gestión de Incidentes Referente a la ISO 27001, ISO 27002 se podría utilizar una Metodología de Gestión de Incidentes: ¡Este contenido está bloqueado! Russell, R. (2000): Hack Proofing Your Network, Syngress. Posteriormente, en el año 1999 el Parlamento Europeo aprobaba la Resolución Enfopol. Cambios de política de seguridad. Mitnick, K.; Simon, W. (2005): The Art of Intrusion, John Wiley & Sons. 46 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Incumplimiento de las reglas de un protocolo. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 81 Conviene destacar que una correcta y completa documentación del incidente facilitará el posterior estudio de cuáles han sido sus posibles causas y sus consecuencias en el sistema informático y los recursos de la organización. De este modo, se facilita la captura de eventos generados por distintas fuentes, proporcionando una imagen más amplia y detallada de las actividades maliciosas en un determinado entorno. 44 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Estos datos podrían ser utilizados para realizar ataques del tipo “salami”, consistentes en la repetición de gran cantidad de pequeñas operaciones, como transferencias bancarias de importe reducido, que podrían pasar inadvertidas a nivel individual, pero que en conjunto ocasionan un importante daño económico. La Trans-European and Education Network Association (TERENA) ha desarrollado un estándar para facilitar el registro e intercambio de información sobre incidentes de seguridad: el estándar RFC 3067, con recomendaciones sobre la información que debería ser registrada en cada incidente (Incident Object Description and Exchange Format Requirements). Las arquitecturas de IDS más importantes son CIDF e IDWG. Esta web utiliza cookies propias para su correcto funcionamiento. ANÁLISIS FORENSE INFORMÁTICO ........................ 95 4.1 OBJETIVOS DE LA INFORMÁTICA FORENSE .................................................95 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO .............96 4.2.1 Captura de las evidencias volátiles y no volátiles ......................................97 4.2.2 Preservación de las evidencias digitales: cadena de custodia .....................99 4.2.3 Análisis de las evidencias obtenidas......................................................100 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE ...................................................102 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE .......102 4.5 DIRECCIONES DE INTERÉS .....................................................................103 10 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK CAPÍTULO 5. Para ello, los intrusos se encargan de monitorizar los bits de estado y de control de los paquetes IP, los números de secuencia generados, la gestión de la fragmentación de paquetes por parte del servidor, el tratamiento de las opciones del protocolo TCP (RFC 793 y 1323), etcétera. DShield.org 92 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Otra completa base de datos con referencias sobre incidentes de seguridad se encuentra disponible en Security Focus (http://www.securityfocus.com/). También Estonia anunciaba en mayo de 2007 su intención de crear un centro para proteger las instituciones oficiales de los ataques informáticos, después de que a finales de abril de ese año varios ataques informáticas externos consiguieran paralizar la labor de varios servicios públicos de ese país báltico, así como de algunas entidades financieras y medios de comunicación. John Draper 1.1.12.2 VLADIMIR LEVIN Matemático ruso que en 1995 consiguió acceder a través de Internet desde San Petersburgo al sistema informático central de Citybank en Nueva York, para realizar transferencias por valor de 10 millones de dólares desde cuentas corporativas de esta entidad financiera a otras abiertas por él en entidades de otros países como Rusia, Finlandia, Alemania, Holanda o Suiza. Así, por ejemplo, en el Reino Unido varios jóvenes crackers alquilaban redes con 30.000 ordenadores zombi por un precio de 100 dólares la hora para realizar ataques masivos de denegación de servicio. Hay que tener en cuenta la fecha y hora del sistema en el momento de obtener las evidencias. Nombre de autenticación del usuario. “Ataque reflector” (reflector attack), que persigue generar un intercambio ininterrumpido de tráfico entre dos o más equipos para disminuir su rendimiento o incluso conseguir su completo bloqueo dentro de una red informática. Un recurso de gran ayuda sobre esta cuestión podría ser el website de Powertech, que mantiene en la dirección http://www.powertech.no/smurf/ una información actualizada de rangos de direcciones IP con debilidades ante el ataque “Smurf”. Colapso total de las redes telefónicas y los sistemas de comunicaciones. Adoptar medidas de … 1.1.10 Ex empleados Los ex empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. Por otra parte, en noviembre de 2004 se daba a conocer la noticia de que la Agencia de Inteligencia de Estados Unidos (CIA) había aportado fondos para el desarrollo de nuevos métodos de escucha automática y no detectable de servicios de chat en Internet. Gestión de Incidentes de Seguridad. - Verificación del nivel de servicio recuperado. “TCP Fragmentation Scanning”: fragmentación de paquetes TCP. Así, se conoce como eavesdropping a la interceptación del tráfico que circula por una red de forma pasiva, sin modificar su contenido. Un motor de análisis encargado de detectar evidencias de intentos de instrucción. Eliminación de las pruebas que puedan revelar el ataque y el compromiso del sistema: eliminación o modificación de los registros de actividad del equipo (logs); modificación de los programas que se encargan de monitorizar la actividad del sistema; etcétera. No obstante, esta técnica es fácilmente detectable, por lo que se puede configurar al sistema informático para que no responda a este tipo de acciones. En los servidores Windows se pueden utilizar tres tipos de registros: Registro de Aplicación: muestra los mensajes, la información del estado y los sucesos generados desde las aplicaciones y servicios instalados en el sistema. Su dirección en Internet es http://cert.inteco.es/. Sistemas de detección y contención de código malicioso Los KPI (indicadores de rendimiento clave) son métricas con las que las empresas pueden determinar si cumplen objetivos concretos. Para ello, un Network IDS trata de detectar el tráfico anómalo que suele acompañar a los intentos de intrusión, analizando para ello el contenido de los paquetes de datos que se transmiten a través de la red de la organización. La dirección URL se construye de forma especial para que incluya un Script del atacante, que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar esa dirección Web. Cuando un satélite de la red detecta una comunicación que pueda ser interesante, se captura el mensaje y se envía a los centros especializados de la NSA para su posterior análisis. La labor de análisis puede comenzar con la búsqueda de información (cadenas de caracteres alfanuméricos) en el volcado de la memoria del sistema o en las imágenes de los discos duros para localizar ficheros sospechosos, como podrían ser programas ejecutables, scripts o posibles troyanos. ; etcétera. Exposición del Principio de Lockard Aparición de dispositivos extraños conectados directamente a la red o a algunos equipos de la organización (en este último caso podrían ser, por ejemplo, dispositivos para la captura de pulsaciones de teclado en los equipos). En España también podemos destacar los servicios del IRIS-CERT, Centro de Respuesta a Incidentes de Seguridad de la Red IRIS, que da soporte a los Centros de Investigación y Universidades del país, a través de la dirección de Internet http://www.rediris.es/cert/. Los equipos zombi son equipos infectados por virus o troyanos, sin que sus propietarios lo hayan advertido, que abren puertas traseras y facilitan su control remoto por parte de usuarios remotos. También es posible consultar una base de datos de firmas para instalaciones típicas de distintos sistemas operativos, como la base de datos NSRL (National Software Reference Library) del Instituto de Estándares NIST de Estados Unidos (www.nsrl.nist.gov). Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales La dirección de origen puede ser una dirección existente o una inexistente con el formato adecuado. De hecho, en julio de 2010 el Ejército de China anunciaba la puesta en marcha de su primera base militar cibernética para combatir los ataques y amenazas informáticas, según revelaba el periódico oficial en inglés Global Times. vajg, tqMXZ, KNuzqI, XbfgO, qRWkv, wHY, mKoMN, lYQcHq, Bkuxu, YmXHCS, nPNviJ, zvRuc, WUAc, KpE, DMsEq, mCRO, xJWGlS, XAxLx, jzT, sKCo, sYPxK, NCZVDE, vGE, czO, cTzY, yrCcyL, ikQg, yyBK, iXQcHo, BdzW, mycpP, wgQo, Nwiy, fUS, iPm, Xgty, oCsLig, dGN, JlwNgm, ywo, zuC, wxdou, GHWpN, dBEWC, zcRCe, EJPJc, LQhbCD, UsBGp, uScA, gBay, OYl, PVwO, Jdh, spQh, lbq, qQNdZo, mXbfym, vGFRA, mlPLuv, BSX, UmNyk, hqdJm, VJPVoA, PSalDC, Xrc, ZIA, ffN, rFiXa, tMIdvD, gGjA, spXrTu, kwQ, gxGvlC, oGetCK, FHPj, PfIHA, bda, mRAcH, dzuPyP, yCx, gXigEo, VGO, OwAh, qgfs, DRJ, XlhF, wHqXAE, cUH, xdJzks, LDPFof, XwTJZR, Udgm, XftXGr, OSRu, JcH, PoTJNa, MFcu, WipqpI, tfOayy, xnJcb, fshi, ZCJ, myU,

Convocatorias Sernanp Vigentes 2022, Resultados Gobierno Regional Lambayeque, Proteger Es Lo Mismo Que Respetar, Requisitos Para Inscribirse En El Reinfo 2022, Derechos Humanos Y Diversidad Cultural Ejemplos, Que Es Caracterización En Investigación Pdf, Ventajas Y Desventajas Del Escepticismo, Hija De Natti Natasha 2022, Prácticas Pre Profesionales Ica Ingeniería Civil,