Post on 17-Jul-2015
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
ACTIVIDAD INDIVIDUAL
Momento 3. CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS
Presentado por:
ANTONIO LEONEL RODRIGUEZ BUSTOS
Director:
ING. JESUS EMIRO VEGA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD
FACULTAD DE INGENIERIA DE SISTEMAS
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍAS
ESPECIALIZACION EN SEGURIDAD INFORMÁTICA
COLOMBIA 2014
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS
Técnica Definición
Objetivo del Ataque Modo Operacional Consecuencias Forma de Detección o
Prevención
Scanning
Método de descubrir canales de
comunicación susceptibles de ser
explotados, lleva en uso mucho tiempo.
La idea es recorrer (scanear) tantos
puertos de escucha como sea posible, y
guardar información de aquellos que sean
receptivos o de utilidad para cada
necesidad en particular.
Esta es una técnica de auditoría también
se basan en este paradigma. Entre las
herramientas que un atacante puede
emplear durante la exploración se
encuentra el network mappers, port
mappers, network scanners, port
scanners, y vulnerability scanners.
Obtener información sobre el
sistema víctima:
direcciones IP
nombres de host
datos de autenticación,
entre otros.
Con el regalo de dinero a cambio de
más dinero, el atacante ofrece
extrañas recompensas, herencias de
origen desconocido o premios de
otros países, los cuales para ser
reclamados tienen que dar una suma
de dinero inferior a la que se recibirá
a cambio. Por eso es importante
verificar la identidad de las personas
que circulan esta información a través
de Internet.
Fuga de la Información
de la organización y/o
personal
Prevenir con el uso de un
cortafuegos O un firewall
Enumeración
Es una técnica que tiene como objetivo
obtener información sensible
como:(Puertos Abiertos, Servicios que
están corriendo en un determinado
puerto, Sistemas operativos, Recurso,
Servicio de red), Siendo unas de las
primeras fases utilizadas para los
distintos ataque.
Los objetivos son reconocer:
Es conocer vulnerabilidad
Nombres de usuario
Nombres de Equipo.
Recursos de Red Compartidos y
Servicios
Hasta el momento el delincuente ha
identificado Host vivos, Puertos
Abiertos, Servicios, y Huellas de
sistema operativo. El paso a seguir, se
define como Enumeración, y consiste
en probar los servicios ya
identificados, de forma más profunda
y representativa
Dentro de la Información que
Fuga de la Información
de la organización y/o
personal, ya que el
delincuente tiene el total
acceso a la red.
Mantener el equipo
actualizado y personal
especializado por:
Existen agujeros de
seguridad en (sistemas
operativos, en las
aplicaciones).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
podemos recolectar en el proceso
de enumeración, se encuentra:
Nombres de usuario, Nombres de
Equipo, Recursos de Red
Técnicas de Enumeración algunas de
ellas son las siguientes:
• Extracción de Nombres de usuarios
utilizando Windows 2003- fase 3.
reconocimiento activo
“Enumeración”:
2008 Server, XP.
• Extraer nombres de usuarios usando
el protocolo SNMP.
• Extraer nombres de usuario usando
cuentas de correo
Electrónico.
• Extraer información, usando
nombres de usuario y Password por
defecto.
• Fuerza bruta contra el Active
Directory-LDAP
Capacitación constante a
usuarios finales como y a
los operadores
Sniffing
Un Sniffers consiste en colocar a la placa
de red en un modo llamado promiscuo, el
cual desactiva el filtro de verificación de
direcciones y por lo tanto todos los
paquetes enviados a la red llegan a esta
placa (computadora donde está instalado
el Sniffer).
Este tipo de ataque se da cuando el
atacante tiene un programa de sniffing en
la red del usuario y puede interceptar el
tráfico destinado al mismo, incluido su
Obtener información sobre el
sistema:
a). passwords de un recurso
compartido o de acceso a una
cuenta
b). para capturar números de
tarjetas de crédito y direcciones
de e-mails entrantes y salientes.
c). para determinar relaciones
entre organizaciones e individuos.
Son instalados en una estación de
trabajo conectada a la red, como a un
equipo Router o a un Gateway de
Internet, y esto puede ser realizado
por un usuario con legítimo acceso, o
por un intruso que ha ingresado por
otras vías.
Cada máquina conectada a la red
(mediante una placa con una dirección
única) verifica la dirección destino de
los paquetes TCP. Si estas direcciones
Fuga de la Información
de la organización y/o
personal y ver
vulnerabilidades de red
de la organización
Generalmente no se pueden
detectar, aunque la inmensa
mayoría, y debido a que
están demasiado
relacionados con el
protocolo TCP/IP, si pueden
ser detectados con algunos
trucos.
La única forma de prevenir
estos ataques es utilizando
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
identificador de sesión. Es algo que ha
dado mucho de que hablar a causa de
Firesheep, una extensión para Firefox
que permite robar las sesiones de
Facebook, Twitter y otras páginas web
muy conocidas en redes inalámbricas
públicas.
son iguales asume que el paquete
enviado es para ella, caso contrario
libera el paquete para que otras placas
lo analicen.
a) Generalmente viajan sin encriptar
al ingresar a sistemas de acceso
remoto.
b) También son utilizados
El análisis de tráfico, por parte del
administrador de la red o por parte
del delincuente.
c) se analizan las tramas de un
segmento de red, y se presenta al
usuario sólo lo que le interesa al
delincuente
cifrado HTTPS en toda la
página web
Fuerza Bruta
Ataque por fuerza bruta es el método para
averiguar una contraseña probando todas
las combinaciones posibles hasta dar con
la correcta.
En criptografía, se denomina ataque de
fuerza bruta a la forma de recuperar una
clave probando todas las combinaciones
posibles hasta encontrar aquella que
permite el acceso.
Técnica más habituales de robo de
contraseñas en Internet
Para este ataque existen programas
que realizan de forma automática todo
el trabajo.
Debido a la popularidad de estos
ataques podemos encontrarnos en
multitud de sitios web los llamados
captchas que lo que intentan es
detectar si la personas que está
intentando acceder al servicio es
humana es un software informático
tratando de reventar una contraseña.
Este procedimiento se hace a partir del
conocimiento del algoritmo de cifrado
Los ataques por fuerza bruta, dado
que utilizan el método de prueba y
Fuga de la Información
de la organización y/o
personal esto a razón que
se tiene el acceso a la
información porque se
tienen las claves de
acceso.
Crear políticas de uso,
creación y cambio de
contraseñas, ´para la
organización como
personal.
Recomendaciones para tener
contraseñas más seguras:
Mezclar letras y números
Mezclar mayúsculas y
minúsculas
Si la página web lo
permite, utilizar
símbolos como $, ! o ?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
error, son muy costosos en tiempo
computacional.
La fuerza bruta suele combinarse con
un ataque de diccionario
Que la longitud mínima
de la contraseña sea de 8
caracteres
Que la contraseña NO
sea una palabra del
diccionario
Que la contraseña NO
incluya nombres
propios.
Spoofing
Los ataques de esta categoría tienen el
mismo objetivo que el Sniffing: obtener
la información sin modificarla
Hace referencia a cualquier técnica que
permita a un atacante tomar una identidad
que no le corresponde. Estas técnicas de
ataque se usan de forma muy extendida
en Internet a varios niveles
Ingresar a los documentos,
mensajes de correo electrónico y
otra información guardada,
realizar una descarga (copia de
documentos) de esa información a
su propia computadora, para luego
hacer un análisis exhaustivo de la
misma.
Su objetivo principal es la de
suplantación de identidad
generalmente con usos maliciosos
o de investigación
Interceptar el tráfico de red y estos se
clasifican en :
a) IP spoofing (quizás el más
conocido).
b) ARP spoofing.
c) DNS spoofing.
d) Web spoofing o email spoofing.
Aunque en general se puede englobar
dentro de spoofing cualquier
tecnología de red susceptible de sufrir
suplantaciones de identidad.
a) Generalmente es
realizado con fines de
espionaje, robo de
información y software.
b) el caso más conocido
de este tipoes: el robo de
un archivo con más de
1700 números de tarjetas
de crédito desde una
compañía de música
mundialmente famosa, y
la difusión ilegal de
reportes oficiales
reservados de las
Naciones Unidas, acerca
de la violación de
derechos humanos en
algunos países europeos
en estado de guerra.
a) Usar programas de
detección de cambios de las
tablas ARP (como
Arpwatch) y el usar la
seguridad de puerto de los
switches para evitar cambios
en las direcciones MAC.
b) para redes pequeñas es
mediante tablas ARP
estáticas (siempre que las IP
de red sean fijas).
C). se debe usar equipos de
red de última tecnología o de
gama alta(
Los enrutadores actuales no
admiten el envío de paquetes
con IP origen no
perteneciente a una de las
redes que administra (los
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
paquetes suplantados no
sobrepasarán el enrutador).
Hijacking
Significa "secuestro" en inglés, es técnica
ilegal que lleve consigo el adueñarse o
robar algo (generalmente información)
por parte del delincuente. El secuestro de
conexiones de red, sesiones de terminal,
servicios, módems entre otros
Secuestro o robo de sesiones de
usuarios para lograr acceso
privilegiado a una aplicación web
comprometiendo la integridad y
confidencialidad de la
información.
el usuario ingresa a una aplicación
web comercial o corporativa, el
atacante encuentra un mecanismo
(ataque) para averiguar el
identificador de sesión y realiza el
secuestro de la sesión del usuario
Hijacking se clasifican en :
IP hijakers.
Page hijacking.
Reverse domain hijacking o
Domain hijacking.
Session hijacking.
Browser hijacking.
Home Page Browser hijacking.
Modem hijacking.
Thread hijacking.
Robo de Datos, sustituir
páginas de inicio del
navegador (cabecera de
la página) por la que
diseño el delincuente.
Pueden ser detectados e
incluso prevenidos, con la
simple uso de un antivirus
propietario o legal no free y
el uso de protección
Antispyware y Anti-
Malware.
Ingeniería
Social
El atacante busca suplantar personas y
entidades para obtener datos personales,
por lo general, estos ataques se realizan
mediante llamadas telefónicas, mensajes
de texto o falsos funcionarios. Su
objetivo no es otro que el de obtener
datos importantes para después
manipularlos, analizarlos y utilizarlos en
contra de la persona.
Esta técnica es usada por personas
especializadas como: investigadores
privados, criminales, o delincuentes
informáticos.
Obtener o comprometer
información sensible/ o
confidencial acerca de una
organización o Sus sistemas de
Computación.
En archivos adjuntos de e-mails,
publicitarios por ejemplo:
a).fotos íntimas de personajes
Famosos.
B).Software gratis que ejecuta
Código malicioso.
c). Manejo psicológico de o
manipulación de las as personas cara
a cara para tener acceso a los
Sistemas informáticos.
d). Conocimiento de la víctima,
introducción de contraseñas
habituales, lógicas típicas o por
Fuga de la
Información de la
organización
y/o personal
La mejor herramienta para
esto tipo de ataque es:
el sentido común.
la lógica
la malicia
la educación
la información
el buen uso de las
políticas de
Seguridad de la
organización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
conocimiento de su pasado y presente;
respondiendo a la pregunta: ¿Qué
contraseña introduciría yo si fuese la
víctima?
Jamming
Satura los recursos del sistema de la
víctima dejándolo sin memoria , sin
espacio libre en el disco duro
Técnica de perturbación mediante
radiación deliberada o la reflexión de la
energía electromagnética para el fin de
perturbar el uso enemigo de los
dispositivos o sistemas electrónicos
Este tipo de ataques desactivan o
saturan los recursos del sistema
Dejar fuera de servicio a una
pequeña fracción de los usuarios
del sistema.
Consumir toda la memoria o espacio
en disco disponible, así como enviar
tanto tráfico a la red que nadie más
pueda utilizarla. Aquí el atacante
satura el sistema con mensajes que
requieren establecer conexión
El mensaje contiene falsas
direcciones IP usando Spoofing y
Looping. El sistema responde al
mensaje, pero como no recibe
respuesta, acumula buffers con
información de las conexiones
abiertas, no dejando lugar a las
conexiones legítimas.
Otra acción común es la de enviar
millares de e-mails sin sentido a todos
los usuarios posibles en forma
continua, saturando los sistemas
destinos
Saturación del sistema o
de la red.
Suspensión, bajas o
bloqueos temporales del
servicio por ataques que
explotan el protocolo
TCP. Muchos Hosts de
Internet han sido dados
de baja por el "ping de la
muerte" (una versión-
trampa del comando
ping).
La eliminación de las
vulnerabilidades conocidas
en los comportamientos del
protocolo y la configuración
del host, filtrar el tráfico, la
detección de ataques.
La mejor herramienta para
esto tipo de ataque es:
actualizar el
antivirus
el sentido común.
la lógica
la malicia
la educación
la información
la capacitación
el buen uso de las políticas
de Seguridad de la
organización.
SYNFlooding
Este tipo de ataque es posible debido a la
forma en la que funcionan las conexiones
TCP.
Este ataque es la continuación del TCP
SYN Scanning el protocolo TCP se basa
en una conexión en tres pasos. Si el paso
final no llega a establecerse, la conexión
permanece en un estado denominado
"semiabierto". El Syn Flood es el más
Colocar el servidor lento, saturar
el sistema y liberar "huecos" para
nuevas conexiones
El Cliente envía un paquete SYN
pero no responde al paquete ACK
ocasionando que la pila TCP/IP
espere cierta cantidad de tiempo a
que el host hostil responda antes de
cerrar la conexión. Si se crean
muchas peticiones incompletas de
conexión (no se responde a ninguna),
el Servidor estará inactivo mucho
El Servidor estará
inactivo mucho tiempo
esperando respuesta
ocasionando la lentitud
en los demás servicios.
En los sistemas Windows se
debe Activar la protección
anti Syn Flood, y en los
sistemas Linux se debe
activar las syn cookies
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
famoso de los ataques del tipo Denial of
Service, publicado por primera vez en la
revista Phrack. Se basa en un "saludo"
incompleto entre los dos hosts.
tiempo esperando respuesta. Esto
ocasiona la lentitud en los demás
servicios.
Borrado de
Huellas
Una vez que el atacante logró obtener y
Mantener el acceso al sistema, intentará
borrar todas las huellas que fue dejando
durante la intrusión para evitar ser
detectado por el profesional de seguridad
o los administradores de la red. En
consecuencia, buscará eliminar los
archivos de registro (log) o alarmas del
Sistema de Detección de Intrusos (IDS).
El borrado de huellas intruso
después de ingresar en un sistema,
ya que, si se detecta su ingreso, el
administrador buscará como
conseguir "tapar el hueco" de
seguridad, evitar ataques futuros e
incluso rastrear al atacante.
Las huellas son todas las tareas que
realizó el intruso en el sistema y por lo
general son almacenadas en Logs
(archivo que guarda la información de
lo que se realiza en el sistema) por el
sistema operativo
Tras realizar un acceso no deseado a
un equipo con Windows y tras
garantizarnos próximos acceso a
dicho sistema, la idea es dejar el
mínimo rastro posible. Esta es una de
las tareas más importantes en la post-
explotación, la ocultación. Windows
guarda una especie de log's o registros
del sistema para poder saber qué es lo
que está pasando, así que una de las
formas más sencillas de poder ocultar
el acceso, es lógicamente borrarlos.
metasploit en meterpreter trae consigo
un par de componentes que ayudan a
realizar esta tarea. El primero es el uso
del modo incógnito, que lo que hace
es intentar ocultar todo lo posible
todas aquellas tareas que se hagan en
el sistema, así como la presencia de un
"no deseado" en el mismo.
Perdida de información
del intruso
Prevenir con el uso de un
cortafuegos O un firewall y
el antivirus .
Tamppering Tampering o Data Diddling Implica el
intento de forzar el funcionamiento de
Alterar o borrar cualquier
información que puede incluso
Modificación desautorizada de los
datos o el software instalado en el
Son innumerables los
casos de este tipo:
Para la detección de estos
ataques se debe usar todas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
algún mecanismo de seguridad mediante
la falsificación o la alteración de la
información. Estas técnicas son
utilizadas para modificar ficheros de
registro de acceso, modificar la
información real o alterarla en su tránsito
desde el emisor al receptor de la misma.
terminar en la baja total del
sistema.
Su propósito general es Generar
fraude.
sistema víctima (incluyendo borrado
de archivos).
Alterar o borrar cualquier
información que puede incluso
terminar en la baja total del sistema.
Otras forma de operación es
reemplazar versiones de software por
otros con el mismo nombre pero que
incorporan código malicioso (virus,
troyanos, etc.). La utilización de
programas troyanos y difusión de
virus está dentro de esta categoría, y
se profundizará sobre el tema en otra
sección el presente capítulo.
empleados bancarios (o
externos) que crean
falsas cuentas para
derivar fondos de otras
cuentas, estudiantes que
modifican calificaciones
de exámenes, o
contribuyentes que
pagan para que se les
anule una deuda
impositiva
Múltiples Web Sites han
sido víctimas del cambio
en sus páginas por
imágenes (o manifiestos)
terroristas o
humorísticos, como el
ataque de The Mentor,
ya visto, a la NASA; o la
reciente modificación
del Web Site del CERT
(mayo de 2001)
las herramientas
disponibles:
a) Antivirus
(actualizado)
b) Copias de
seguridad
c) Firewalls
(Cortafuegos):
d) Zona
desmilitarizada o
DMZ
e) d)Proxi
f) Control de Acceso:
sentido común al momento
de abrir y contestar correo s
electrónicos
WEBGRAFIA
http://colombiadigital.net/actualidad/articulos-informativos/item/4801-tipos-de-ataque-y-como-prevenirlos.html
http://www.uv.es/~montanan/redes/trabajos/DNS_Spoofing.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
http://ataquebd.blogspot.com/
http://www.neoteo.com/10-metodos-para-hackear-cuentas-de-usuario/
http://www.scoop.it/t/basesdedatos
http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/
http://www.segu-info.com.ar/ataques/ataques_modificacion.html
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
http://seguridad-informatica-6851.wikispaces.com/Unidad+4.-+Seguridad+en+Redes+de+Computadora
http://www.zonavirus.com/articulos/que-es-el-spoofing.asp
http://www.mexicoglobal.net/informatica/hijacking.asp
http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/
http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidas-enumeracion-del-objetivo-i
http://www.dsteamseguridad.com/archivos/barcamp/BARCAMP2.pdf
http://www.segu-info.com.ar/ataques/ataques.htm
http://highsec.es/2014/03/fuerza-bruta-contra-aplicaciones-web-usando-hydra/
http://www.taringa.net/posts/info/17633551/Ataque-contra-redes-de-satelites---Casos-reales.html
http://www2.udec.cl/~crmendoz/10.htm
http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10941/El%20hacking%20y%20tecnicas%20de%20contra-ataques%20seguridad.pdf?sequence=1
http://www.vilecha.com/Seguridad/tipatak.asp
http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería
Seguridad en bases de datos.
http://foro.elhacker.net/hacking_avanzado/guia_de_post_explotacion_borrado_de_huellas_digitales-t405677.0.html
http://es.wikipedia.org/wiki/Hijacking
http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)
http://www.segu-info.com.ar/ataques/ataques_dos.htm
http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio
http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html
http://www.segu-info.com.ar/ataques/ataques_modificacion.htm
http://www.el-palomo.com/wp-content/uploads/2012/05/Session%20Hijacking%20-LATAM%20TOUR%20PERU%202012-Bv1.3.pdf
http://books.google.com.co/books?id=z80EBAAAQBAJ&pg=PA217&lpg=PA217&dq=objetivo+del+hijacking&source=bl&ots=s6h4DLFTzW&sig=0lAEoStqe0-Pp1a-KX6t-zmeZn4&hl=es-
419&sa=X&ei=dkFVVOn-O4OegwSSo4SwCg&ved=0CCcQ6AEwAg#v=onepage&q=objetivo%20del%20hijacking&f=false
http://spybot.com.es/articulos/que-es-y-como-funciona-el-hijacking
http://elblogdeangelucho.com/elblogdeangelucho/blog/2012/10/07/ingenieria-social-el-hacking-humano/
http://www.todoecommerce.com/uploads/2/4/4/6/2446682/clase_seguridad_informatica_modo_de_compatibilidad.pdf