SEGURIDAD DE SISTEMAS TEMA 3

Cualquier acción" que pueda resultar en un esfuerzo no autorizado para impactar negativamente el seguridad, confidencialidad y disponibilidad de un sistema de información o de información almacenada sobre dicho sistema. Amenaza cibernética. Virus informático.

El primer ejemplar de malware autorreplicable que afectó a Internet (entonces ARPANET). El 2 de noviembre de 1988. e infectó 60 000 servidores conectados a la red fueron infectados por este gusano informático, fue: Primer incidente público de seguridad por Robert Tappan Morris. Primer incidente público de seguridad por Steven Jobs.

Análisis del ataque Morris Internet worm. rsh. finger:. sendmail :.

El phishing (Suplantación de identidad). Es la práctica de enviar comunicaciones fraudulentas que parecen provenir de una fuente confiable, generalmente a través de correo electrónico. El objetivo es robar datos confidenciales como tarjetas de crédito e información de inicio de sesión o instalar malware en la máquina de la víctima. Son códigos maliciosos que se replican al explotar de manera independiente las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Y pueden suplantar sus datos en la red.

Card Skimming. Es una práctica ilegal orientada hacia la captura no autorizada de los datos confidenciales contenidos en el plástico de una tarjeta de pago (banda magnética y/o contactless) con el fin de ser empleados para fines fraudulentos (clonación, uso en transacciones no presenciales, etc. Es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan sin que el usuario se de cuenta de el.

Man in the middle attack. El ataque de hombre en el medio o de espionaje ocurre cuando los atacantes se insertan en una transacción de dos partes. Una vez que los atacantes interrumpen el tráfico, pueden filtrar y robar datos. El ataque de hombre en el medio o ocultamiento es un programa malicioso que utiliza un activador para reactivar el código malicioso.

Existen dos puntos de entrada comunes para los ataques MitM (Man in the middle attack) (2). En una conexión Wi-Fi pública no segura, los atacantes pueden insertarse entre el dispositivo del visitante y la red. Una vez que el malware ha infringido un dispositivo, un atacante puede instalar software para procesar toda la información de la víctima. Otorgar a los delincuentes cibernéticos el acceso futuro al sistema, incluso si la organización arregla la vulnerabilidad original utilizada para atacar al sistema.

Denial of service attack. Inunda los sistemas, servidores o redes con tráfico para agotar los recursos y el ancho de banda. Como resultado, el sistema no puede cumplir solicitudes legítimas. Modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota.

Synflood. Una inundación SYN es una forma de ataque de denegación de servicio en el que un atacante envía una sucesión de solicitudes SYN al sistema de un objetivo en un intento de consumir suficientes recursos del servidor para que el sistema no responda al tráfico legítimo. Una propagación SYN es una forma de ataque de generación de servicio en el que un atacante envía una solicitud SYN al sistema en un intento de consumir suficientes recursos del servidor para que el sistema no responda al tráfico legítimo.

Malware. Código malicioso y software malicioso, se refiere a un programa que se inserta en un sistema, generalmente de manera encubierta, con la intención de comprometer la confidencialidad, integridad o disponibilidad de los datos, aplicaciones o sistema operativo de la víctima o molestar o interrumpir víctima. Se refiere al programa o al código que genera un delincuente que ha comprometido un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener acceso a un sistema comprometiendo la confidencialidad, integridad o disponibilidad de los datos.

¿Qué es el malware?. Software malicioso, se utiliza para describir el software diseñado para interrumpir las operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el conocimiento o el permiso del usuario. Software malicioso que mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo haga un pago.y puede comprometer la confidencialidad, integridad de los datos.

El término malware incluye virus, gusanos, troyanos, ransomware, spyware, adware, scareware y otros programas maliciosos. Verdadero. Falso.

Malware son: Viruses. Spyware. Ransomware. Worms. Synflood.

Ransomware. El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo haga un pago. El ransomware ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan.

El ransomware trabaja generalmente como: encriptando los datos de la computadora con una clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la restricción. denegando el servicio de la la computadora con una clave conocida para el usuario. El usuario debe pagar una actualización a los delincuentes para eliminar la restricción.

Modelo The Cyber Kill Chain. Modelo de defensa basado en inteligencia. Establece qué deben completar los atacantes adversarios con el fin de lograr su objetivo. Modelo de ataque basado en tácticas. Establece qué deben cumplir los atacantes adversarios con el fin de lograr su objetivo.

la Misión del Modelo The Cyber Kill Chain : Defensa basado en inteligencia de los adversarios. Detener adversarios en cualquier punto de la cadena.

The Cyber Kill Chain cuantas etpas tiene: 5 etapas. 7 etapas.

The Cyber Kill Chain tiene 7 etapas y estas son: Reconocimiento, Militarización , Entrega, Explotación, Instalación, Command & Control, Acciones en objetivos. Reconocimiento, Weaponization, Salida, Exploración, Implantación, Command & Control, Acciones en objetivos.

APT Advanced persistent threat o Amenaza Persistente Avanzada como funciona: elija 3. Atacante motivado utilizando herramientas hacia una victima específica. Acosamiento por un período de tiempo extendido. Característico de un ataque de estado (a nation state attacker). Identifica los objetivos.

The Cyber Kill Chain. Weaponization o Militarización. Entrega. Explotación. Instalación.

The Cyber Kill Chain. Reconocimiento. Command & Control :. Acciones en objetivos :. Instalación.

Fases de las APTs según Symantec. Reconocimiento. Incursión. Descubrimiento. Captura. Exfiltración.

Fases de las APTs según FireEye (4). Comprometer la red.- atacante gana entrada mediante e mail, red, archivo o vulnerabilidad de aplicación. Prueba de acceso.- a través de vulnerabilidades o comunicación con servidores CnC por instrucciones o malware. Puntos adicionales de compromiso.- asegurar la continuidad del ataque acceso permanente. Obtención de datos.- ids, contraseñas (encryption craked ) , acceso a información. Reconocimiento.- información.

Estructura de Attack tree (3). Nodo : objetivos,sub objetivos. Caminos (paths). Relaciones – Composición AND, OR. Restricciones.

Los Atributos en nodos son: (4). Costo ($, esfuerzo, cárcel). Probabilidad de éxito. Habilidad. Tiempo. Inteligencia.

Un Adversarial thinking para logra su objetivo diseña y luego lo implementa: Objetivo, Estrategia. Objetivos, Sub objetivos.

Herramientas de Modelamiento de ataque y defensa y sus variaciones son: Adversarial modeling escoja 3. • Attack trees. • Protection tree. • Augmented tree. • Augmented nodo.

Qué es un Attack trees. Es un Diagrama conceptual y su Origen en la rama de la ciencia de“ reliability analysis” o "análisis de fiabilidad". Es un árbol con nodos y su Origen en la rama de la física de“ reliability analysis” o "análisis de fiabilidad".

Cuál es el objetivo de Attack trees (3). Estudiar el ataque desde el punto de vista del atacante. Maneras alternativas en las cuales un sistema puede ser atacado. Realizar un diagrama para ataques. Identificar aspectos de Atacante : habilidades , motivaciones , y objetivos.

Algunas alternativas que el atacante va a elegir depende de: Nivel de conocimiento del atacante, nivel de acceso, recursos, aversión al riesgo . De las victimas que el decida atacar , sus objetivos y consecuencias.

Asumiendo que queremos ser defensores de infraestructura tecnológica implica: El Propósito : resguardar la información. El Propósito : diseñar contramedidas.

The Cyber Kill Chain. Weaponization o Militarización. Entrega.

The Cyber Kill Chain. Explotación. Instalación.