UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

ACTIVIDAD INDIVIDUAL

Momento 3. CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS

Presentado por:

ANTONIO LEONEL RODRIGUEZ BUSTOS

Director:

ING. JESUS EMIRO VEGA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

FACULTAD DE INGENIERIA DE SISTEMAS

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍAS

ESPECIALIZACION EN SEGURIDAD INFORMÁTICA

COLOMBIA 2014

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

CUADRO COMPARATIVO SOBRE POSIBLES ATAQUES A BASES DE DATOS

Técnica Definición

Objetivo del Ataque Modo Operacional Consecuencias Forma de Detección o

Prevención

Scanning

Método de descubrir canales de

comunicación susceptibles de ser

explotados, lleva en uso mucho tiempo.

La idea es recorrer (scanear) tantos

puertos de escucha como sea posible, y

guardar información de aquellos que sean

receptivos o de utilidad para cada

necesidad en particular.

Esta es una técnica de auditoría también

se basan en este paradigma. Entre las

herramientas que un atacante puede

emplear durante la exploración se

encuentra el network mappers, port

mappers, network scanners, port

scanners, y vulnerability scanners.

Obtener información sobre el

sistema víctima:

direcciones IP

nombres de host

datos de autenticación,

entre otros.

Con el regalo de dinero a cambio de

más dinero, el atacante ofrece

extrañas recompensas, herencias de

origen desconocido o premios de

otros países, los cuales para ser

reclamados tienen que dar una suma

de dinero inferior a la que se recibirá

a cambio. Por eso es importante

verificar la identidad de las personas

que circulan esta información a través

de Internet.

Fuga de la Información

de la organización y/o

personal

Prevenir con el uso de un

cortafuegos O un firewall

Enumeración

Es una técnica que tiene como objetivo

obtener información sensible

como:(Puertos Abiertos, Servicios que

están corriendo en un determinado

puerto, Sistemas operativos, Recurso,

Servicio de red), Siendo unas de las

primeras fases utilizadas para los

distintos ataque.

Los objetivos son reconocer:

Es conocer vulnerabilidad

Nombres de usuario

Nombres de Equipo.

Recursos de Red Compartidos y

Servicios

Hasta el momento el delincuente ha

identificado Host vivos, Puertos

Abiertos, Servicios, y Huellas de

sistema operativo. El paso a seguir, se

define como Enumeración, y consiste

en probar los servicios ya

identificados, de forma más profunda

y representativa

Dentro de la Información que

Fuga de la Información

de la organización y/o

personal, ya que el

delincuente tiene el total

acceso a la red.

Mantener el equipo

actualizado y personal

especializado por:

Existen agujeros de

seguridad en (sistemas

operativos, en las

aplicaciones).

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

podemos recolectar en el proceso

de enumeración, se encuentra:

Nombres de usuario, Nombres de

Equipo, Recursos de Red

Técnicas de Enumeración algunas de

ellas son las siguientes:

• Extracción de Nombres de usuarios

utilizando Windows 2003- fase 3.

reconocimiento activo

“Enumeración”:

2008 Server, XP.

• Extraer nombres de usuarios usando

el protocolo SNMP.

• Extraer nombres de usuario usando

cuentas de correo

Electrónico.

• Extraer información, usando

nombres de usuario y Password por

defecto.

• Fuerza bruta contra el Active

Directory-LDAP

Capacitación constante a

usuarios finales como y a

los operadores

Sniffing

Un Sniffers consiste en colocar a la placa

de red en un modo llamado promiscuo, el

cual desactiva el filtro de verificación de

direcciones y por lo tanto todos los

paquetes enviados a la red llegan a esta

placa (computadora donde está instalado

el Sniffer).

Este tipo de ataque se da cuando el

atacante tiene un programa de sniffing en

la red del usuario y puede interceptar el

tráfico destinado al mismo, incluido su

Obtener información sobre el

sistema:

a). passwords de un recurso

compartido o de acceso a una

cuenta

b). para capturar números de

tarjetas de crédito y direcciones

de e-mails entrantes y salientes.

c). para determinar relaciones

entre organizaciones e individuos.

Son instalados en una estación de

trabajo conectada a la red, como a un

equipo Router o a un Gateway de

Internet, y esto puede ser realizado

por un usuario con legítimo acceso, o

por un intruso que ha ingresado por

otras vías.

Cada máquina conectada a la red

(mediante una placa con una dirección

única) verifica la dirección destino de

los paquetes TCP. Si estas direcciones

Fuga de la Información

de la organización y/o

personal y ver

vulnerabilidades de red

de la organización

Generalmente no se pueden

detectar, aunque la inmensa

mayoría, y debido a que

están demasiado

relacionados con el

protocolo TCP/IP, si pueden

ser detectados con algunos

trucos.

La única forma de prevenir

estos ataques es utilizando

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

identificador de sesión. Es algo que ha

dado mucho de que hablar a causa de

Firesheep, una extensión para Firefox

que permite robar las sesiones de

Facebook, Twitter y otras páginas web

muy conocidas en redes inalámbricas

públicas.

son iguales asume que el paquete

enviado es para ella, caso contrario

libera el paquete para que otras placas

lo analicen.

a) Generalmente viajan sin encriptar

al ingresar a sistemas de acceso

remoto.

b) También son utilizados

El análisis de tráfico, por parte del

administrador de la red o por parte

del delincuente.

c) se analizan las tramas de un

segmento de red, y se presenta al

usuario sólo lo que le interesa al

delincuente

cifrado HTTPS en toda la

página web

Fuerza Bruta

Ataque por fuerza bruta es el método para

averiguar una contraseña probando todas

las combinaciones posibles hasta dar con

la correcta.

En criptografía, se denomina ataque de

fuerza bruta a la forma de recuperar una

clave probando todas las combinaciones

posibles hasta encontrar aquella que

permite el acceso.

Técnica más habituales de robo de

contraseñas en Internet

Para este ataque existen programas

que realizan de forma automática todo

el trabajo.

Debido a la popularidad de estos

ataques podemos encontrarnos en

multitud de sitios web los llamados

captchas que lo que intentan es

detectar si la personas que está

intentando acceder al servicio es

humana es un software informático

tratando de reventar una contraseña.

Este procedimiento se hace a partir del

conocimiento del algoritmo de cifrado

Los ataques por fuerza bruta, dado

que utilizan el método de prueba y

Fuga de la Información

de la organización y/o

personal esto a razón que

se tiene el acceso a la

información porque se

tienen las claves de

acceso.

Crear políticas de uso,

creación y cambio de

contraseñas, ´para la

organización como

personal.

Recomendaciones para tener

contraseñas más seguras:

Mezclar letras y números

Mezclar mayúsculas y

minúsculas

Si la página web lo

permite, utilizar

símbolos como $, ! o ?

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

error, son muy costosos en tiempo

computacional.

La fuerza bruta suele combinarse con

un ataque de diccionario

Que la longitud mínima

de la contraseña sea de 8

caracteres

Que la contraseña NO

sea una palabra del

diccionario

Que la contraseña NO

incluya nombres

propios.

Spoofing

Los ataques de esta categoría tienen el

mismo objetivo que el Sniffing: obtener

la información sin modificarla

Hace referencia a cualquier técnica que

permita a un atacante tomar una identidad

que no le corresponde. Estas técnicas de

ataque se usan de forma muy extendida

en Internet a varios niveles

Ingresar a los documentos,

mensajes de correo electrónico y

otra información guardada,

realizar una descarga (copia de

documentos) de esa información a

su propia computadora, para luego

hacer un análisis exhaustivo de la

misma.

Su objetivo principal es la de

suplantación de identidad

generalmente con usos maliciosos

o de investigación

Interceptar el tráfico de red y estos se

clasifican en :

a) IP spoofing (quizás el más

conocido).

b) ARP spoofing.

c) DNS spoofing.

d) Web spoofing o email spoofing.

Aunque en general se puede englobar

dentro de spoofing cualquier

tecnología de red susceptible de sufrir

suplantaciones de identidad.

a) Generalmente es

realizado con fines de

espionaje, robo de

información y software.

b) el caso más conocido

de este tipoes: el robo de

un archivo con más de

1700 números de tarjetas

de crédito desde una

compañía de música

mundialmente famosa, y

la difusión ilegal de

reportes oficiales

reservados de las

Naciones Unidas, acerca

de la violación de

derechos humanos en

algunos países europeos

en estado de guerra.

a) Usar programas de

detección de cambios de las

tablas ARP (como

Arpwatch) y el usar la

seguridad de puerto de los

switches para evitar cambios

en las direcciones MAC.

b) para redes pequeñas es

mediante tablas ARP

estáticas (siempre que las IP

de red sean fijas).

C). se debe usar equipos de

red de última tecnología o de

gama alta(

Los enrutadores actuales no

admiten el envío de paquetes

con IP origen no

perteneciente a una de las

redes que administra (los

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

paquetes suplantados no

sobrepasarán el enrutador).

Hijacking

Significa "secuestro" en inglés, es técnica

ilegal que lleve consigo el adueñarse o

robar algo (generalmente información)

por parte del delincuente. El secuestro de

conexiones de red, sesiones de terminal,

servicios, módems entre otros

Secuestro o robo de sesiones de

usuarios para lograr acceso

privilegiado a una aplicación web

comprometiendo la integridad y

confidencialidad de la

información.

el usuario ingresa a una aplicación

web comercial o corporativa, el

atacante encuentra un mecanismo

(ataque) para averiguar el

identificador de sesión y realiza el

secuestro de la sesión del usuario

Hijacking se clasifican en :

IP hijakers.

Page hijacking.

Reverse domain hijacking o

Domain hijacking.

Session hijacking.

Browser hijacking.

Home Page Browser hijacking.

Modem hijacking.

Thread hijacking.

Robo de Datos, sustituir

páginas de inicio del

navegador (cabecera de

la página) por la que

diseño el delincuente.

Pueden ser detectados e

incluso prevenidos, con la

simple uso de un antivirus

propietario o legal no free y

el uso de protección

Antispyware y Anti-

Malware.

Ingeniería

Social

El atacante busca suplantar personas y

entidades para obtener datos personales,

por lo general, estos ataques se realizan

mediante llamadas telefónicas, mensajes

de texto o falsos funcionarios. Su

objetivo no es otro que el de obtener

datos importantes para después

manipularlos, analizarlos y utilizarlos en

contra de la persona.

Esta técnica es usada por personas

especializadas como: investigadores

privados, criminales, o delincuentes

informáticos.

Obtener o comprometer

información sensible/ o

confidencial acerca de una

organización o Sus sistemas de

Computación.

En archivos adjuntos de e-mails,

publicitarios por ejemplo:

a).fotos íntimas de personajes

Famosos.

B).Software gratis que ejecuta

Código malicioso.

c). Manejo psicológico de o

manipulación de las as personas cara

a cara para tener acceso a los

Sistemas informáticos.

d). Conocimiento de la víctima,

introducción de contraseñas

habituales, lógicas típicas o por

Fuga de la

Información de la

organización

y/o personal

La mejor herramienta para

esto tipo de ataque es:

el sentido común.

la lógica

la malicia

la educación

la información

el buen uso de las

políticas de

Seguridad de la

organización.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

conocimiento de su pasado y presente;

respondiendo a la pregunta: ¿Qué

contraseña introduciría yo si fuese la

víctima?

Jamming

Satura los recursos del sistema de la

víctima dejándolo sin memoria , sin

espacio libre en el disco duro

Técnica de perturbación mediante

radiación deliberada o la reflexión de la

energía electromagnética para el fin de

perturbar el uso enemigo de los

dispositivos o sistemas electrónicos

Este tipo de ataques desactivan o

saturan los recursos del sistema

Dejar fuera de servicio a una

pequeña fracción de los usuarios

del sistema.

Consumir toda la memoria o espacio

en disco disponible, así como enviar

tanto tráfico a la red que nadie más

pueda utilizarla. Aquí el atacante

satura el sistema con mensajes que

requieren establecer conexión

El mensaje contiene falsas

direcciones IP usando Spoofing y

Looping. El sistema responde al

mensaje, pero como no recibe

respuesta, acumula buffers con

información de las conexiones

abiertas, no dejando lugar a las

conexiones legítimas.

Otra acción común es la de enviar

millares de e-mails sin sentido a todos

los usuarios posibles en forma

continua, saturando los sistemas

destinos

Saturación del sistema o

de la red.

Suspensión, bajas o

bloqueos temporales del

servicio por ataques que

explotan el protocolo

TCP. Muchos Hosts de

Internet han sido dados

de baja por el "ping de la

muerte" (una versión-

trampa del comando

ping).

La eliminación de las

vulnerabilidades conocidas

en los comportamientos del

protocolo y la configuración

del host, filtrar el tráfico, la

detección de ataques.

La mejor herramienta para

esto tipo de ataque es:

actualizar el

antivirus

el sentido común.

la lógica

la malicia

la educación

la información

la capacitación

el buen uso de las políticas

de Seguridad de la

organización.

SYNFlooding

Este tipo de ataque es posible debido a la

forma en la que funcionan las conexiones

TCP.

Este ataque es la continuación del TCP

SYN Scanning el protocolo TCP se basa

en una conexión en tres pasos. Si el paso

final no llega a establecerse, la conexión

permanece en un estado denominado

"semiabierto". El Syn Flood es el más

Colocar el servidor lento, saturar

el sistema y liberar "huecos" para

nuevas conexiones

El Cliente envía un paquete SYN

pero no responde al paquete ACK

ocasionando que la pila TCP/IP

espere cierta cantidad de tiempo a

que el host hostil responda antes de

cerrar la conexión. Si se crean

muchas peticiones incompletas de

conexión (no se responde a ninguna),

el Servidor estará inactivo mucho

El Servidor estará

inactivo mucho tiempo

esperando respuesta

ocasionando la lentitud

en los demás servicios.

En los sistemas Windows se

debe Activar la protección

anti Syn Flood, y en los

sistemas Linux se debe

activar las syn cookies

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

famoso de los ataques del tipo Denial of

Service, publicado por primera vez en la

revista Phrack. Se basa en un "saludo"

incompleto entre los dos hosts.

tiempo esperando respuesta. Esto

ocasiona la lentitud en los demás

servicios.

Borrado de

Huellas

Una vez que el atacante logró obtener y

Mantener el acceso al sistema, intentará

borrar todas las huellas que fue dejando

durante la intrusión para evitar ser

detectado por el profesional de seguridad

o los administradores de la red. En

consecuencia, buscará eliminar los

archivos de registro (log) o alarmas del

Sistema de Detección de Intrusos (IDS).

El borrado de huellas intruso

después de ingresar en un sistema,

ya que, si se detecta su ingreso, el

administrador buscará como

conseguir "tapar el hueco" de

seguridad, evitar ataques futuros e

incluso rastrear al atacante.

Las huellas son todas las tareas que

realizó el intruso en el sistema y por lo

general son almacenadas en Logs

(archivo que guarda la información de

lo que se realiza en el sistema) por el

sistema operativo

Tras realizar un acceso no deseado a

un equipo con Windows y tras

garantizarnos próximos acceso a

dicho sistema, la idea es dejar el

mínimo rastro posible. Esta es una de

las tareas más importantes en la post-

explotación, la ocultación. Windows

guarda una especie de log's o registros

del sistema para poder saber qué es lo

que está pasando, así que una de las

formas más sencillas de poder ocultar

el acceso, es lógicamente borrarlos.

metasploit en meterpreter trae consigo

un par de componentes que ayudan a

realizar esta tarea. El primero es el uso

del modo incógnito, que lo que hace

es intentar ocultar todo lo posible

todas aquellas tareas que se hagan en

el sistema, así como la presencia de un

"no deseado" en el mismo.

Perdida de información

del intruso

Prevenir con el uso de un

cortafuegos O un firewall y

el antivirus .

Tamppering Tampering o Data Diddling Implica el

intento de forzar el funcionamiento de

Alterar o borrar cualquier

información que puede incluso

Modificación desautorizada de los

datos o el software instalado en el

Son innumerables los

casos de este tipo:

Para la detección de estos

ataques se debe usar todas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

algún mecanismo de seguridad mediante

la falsificación o la alteración de la

información. Estas técnicas son

utilizadas para modificar ficheros de

registro de acceso, modificar la

información real o alterarla en su tránsito

desde el emisor al receptor de la misma.

terminar en la baja total del

sistema.

Su propósito general es Generar

fraude.

sistema víctima (incluyendo borrado

de archivos).

Alterar o borrar cualquier

información que puede incluso

terminar en la baja total del sistema.

Otras forma de operación es

reemplazar versiones de software por

otros con el mismo nombre pero que

incorporan código malicioso (virus,

troyanos, etc.). La utilización de

programas troyanos y difusión de

virus está dentro de esta categoría, y

se profundizará sobre el tema en otra

sección el presente capítulo.

empleados bancarios (o

externos) que crean

falsas cuentas para

derivar fondos de otras

cuentas, estudiantes que

modifican calificaciones

de exámenes, o

contribuyentes que

pagan para que se les

anule una deuda

impositiva

Múltiples Web Sites han

sido víctimas del cambio

en sus páginas por

imágenes (o manifiestos)

terroristas o

humorísticos, como el

ataque de The Mentor,

ya visto, a la NASA; o la

reciente modificación

del Web Site del CERT

(mayo de 2001)

las herramientas

disponibles:

a) Antivirus

(actualizado)

b) Copias de

seguridad

c) Firewalls

(Cortafuegos):

d) Zona

desmilitarizada o

DMZ

e) d)Proxi

f) Control de Acceso:

sentido común al momento

de abrir y contestar correo s

electrónicos

WEBGRAFIA

http://colombiadigital.net/actualidad/articulos-informativos/item/4801-tipos-de-ataque-y-como-prevenirlos.html

http://www.uv.es/~montanan/redes/trabajos/DNS_Spoofing.pdf

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

http://ataquebd.blogspot.com/

http://www.neoteo.com/10-metodos-para-hackear-cuentas-de-usuario/

http://www.scoop.it/t/basesdedatos

http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/

http://www.segu-info.com.ar/ataques/ataques_modificacion.html

https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

http://seguridad-informatica-6851.wikispaces.com/Unidad+4.-+Seguridad+en+Redes+de+Computadora

http://www.zonavirus.com/articulos/que-es-el-spoofing.asp

http://www.mexicoglobal.net/informatica/hijacking.asp

http://losindestructibles.wordpress.com/2012/09/24/ataque-de-enumeracion-de-sitios-web-3/

http://labs.dragonjar.org/laboratorios-hacking-tecnicas-y-contramedidas-enumeracion-del-objetivo-i

http://www.dsteamseguridad.com/archivos/barcamp/BARCAMP2.pdf

http://www.segu-info.com.ar/ataques/ataques.htm

http://highsec.es/2014/03/fuerza-bruta-contra-aplicaciones-web-usando-hydra/

http://www.taringa.net/posts/info/17633551/Ataque-contra-redes-de-satelites---Casos-reales.html

http://www2.udec.cl/~crmendoz/10.htm

http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10941/El%20hacking%20y%20tecnicas%20de%20contra-ataques%20seguridad.pdf?sequence=1

http://www.vilecha.com/Seguridad/tipatak.asp

http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería

Seguridad en bases de datos.

http://foro.elhacker.net/hacking_avanzado/guia_de_post_explotacion_borrado_de_huellas_digitales-t405677.0.html

http://es.wikipedia.org/wiki/Hijacking

http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm

https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

http://www.segu-info.com.ar/ataques/ataques_dos.htm

http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio

http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html

http://www.segu-info.com.ar/ataques/ataques_modificacion.htm

http://www.el-palomo.com/wp-content/uploads/2012/05/Session%20Hijacking%20-LATAM%20TOUR%20PERU%202012-Bv1.3.pdf

http://books.google.com.co/books?id=z80EBAAAQBAJ&pg=PA217&lpg=PA217&dq=objetivo+del+hijacking&source=bl&ots=s6h4DLFTzW&sig=0lAEoStqe0-Pp1a-KX6t-zmeZn4&hl=es-

419&sa=X&ei=dkFVVOn-O4OegwSSo4SwCg&ved=0CCcQ6AEwAg#v=onepage&q=objetivo%20del%20hijacking&f=false

http://spybot.com.es/articulos/que-es-y-como-funciona-el-hijacking

http://elblogdeangelucho.com/elblogdeangelucho/blog/2012/10/07/ingenieria-social-el-hacking-humano/

http://www.todoecommerce.com/uploads/2/4/4/6/2446682/clase_seguridad_informatica_modo_de_compatibilidad.pdf