Evidencias

Definiciones de Seguridad de Redes

Definición 1:

Se define a la seguridad informática de diferentes formas: - “Disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático”.3 - “Consiste en aquellas prácticas que se llevan adelante respecto de un determinado sistema de computación a fin de proteger y resguardar su funcionamiento y la información en él contenida”.

http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/217/A4.pdf?sequence=4

Definición 2:

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo vinculado con la misma, y especialmente la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información

http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf

Definición 3:

El concepto de la seguridad comienza desde nuestro PC, la seguridad a nivel local es lo primero que debemos cuidar. Un 90 % de los ataques vienen porlas contraseñas. Es conveniente cambiarlas cada 15 días, o por lo menos una vez al mes. Existen sistemas de fuerza bruta, "John the ripper", que consiste en un ataque a las contraseñas por medio de un programa que prueba palabras que están en un diccionario hasta que lasdescubre (normalmente un archivo de texto). Es decir, exploran combinaciones con el fin de hallar la contraseña. Pero en estos diccionarios no están todas las posibles claves, por lo tanto, lo adecuado es poner cosas que no estén en los diccionarios, por ejemplo, una contraseña El gran libro de la Seguridad Informática 3 que no signifique nada, sin sentido, con caracteres ascii como ^y ~, y lo suficientemente larga.

https://pedrobeltrancanessa-biblioteca.weebly.com/uploads/1/2/4/0/12405072/gran_libro_de_la_seguridad_informtica.pdf

https://docs.google.com/document/d/1XfbpDMVf317OVjpJtts1ZWCk75ccvLy1/edit

Incidentes de seguridad informática.

Gusano de Internet, Robert Morris.

El gusano Morris fue el primer ejemplar de malware autorreplicable que afectó a Internet (entonces ARPANET). El 2 de noviembre de 1988, aproximadamente 6000 de los 60 000 servidores conectados a la red fueron infectados por este gusano informático, lo que motivó que se creara el Equipo de Respuesta ante Emergencias Informáticas (CERT, por sus siglas en inglés) en respuesta a las necesidades expuestas durante el incidente

El programa intentaba averiguar las contraseñas de otras computadoras usando una rutina de búsqueda que permutaba los nombres de usuarios conocidos, una lista de las contraseñas más comunes y también búsqueda al azar. Descubrieron que no todas las computadoras eran afectadas, sino que solo se propagó en las computadoras VAX de DEC (Digital Equipment Corp) y las fabricadas por Sun Microsystems, que empleaban Unix.4

El programa estaba aprovechando algunos defectos de la versión de la Universidad de Berkeley del sistema UNIX. Integrantes de dicha Universidad y del MIT de Massachusetts y de Purdue intentaron trabajar en forma coordinada para capturar una copia del programa y analizarlo. Casualmente en Berkeley se celebraba la reunión anual de expertos en UNIX la mañana del 3 de noviembre, rápidamente capturaron y diseccionaron al gusano y en la tarde habían distribuidos los parches necesarios para cerrar las brechas de seguridad aprovechadas por el gusano.5 Se trataba de un ejemplo de 99 líneas de código que, aprovechándose de una debilidad de Sendmail, se replicaba de una máquina a otra. Se estableció que la infección no fue realizada por un virus, sino por un programa gusano, diseñado para reproducirse a sí mismo indefinidamente y no para eliminar datos.6

No fue programado con intención de causar daño, pero a causa de un bug en su código, los efectos fueron catastróficos para la época. Produjo fallos en cientos de computadoras en universidades, corporaciones y laboratorios de gobierno en todo el mundo antes de que fuera rastreado y eliminado. Era el ataque del que fue llamado «Gusano de Internet», y la prensa cubrió el tema con frases como «el mayor asalto jamás realizado contra los sistemas de la nación». Erradicarlo costó casi un millón de dólares, sumado a las pérdidas por haberse detenido casi toda la red, siendo estimadas las pérdidas totales en 96 millones de dólares (una cifra significativa en aquel momento).

Cytybank, Vladimir Levin.

Un ingeniero de software ruso, Vladimir Levin, irrumpió en un sistema informático de Citibank en Nueva York con varios cómplices y robó más de $ 10 millones transfiriéndolos a cuentas de todo el mundo.

¿Por qué hicieron lo que hicieron, fue intencionalmente malicioso o fue un accidente?

Levin lideró un grupo de piratas informáticos ruso que anunció públicamente el robo a un banco internacional a través de una red. Si bien no está confirmado, se cree que los ataques se debieron en gran parte al dinero.

¿Cómo lo hizo?

Vladimir supuestamente estaba usando la computadora de su oficina en AO Saturn, una empresa de computadoras en San Petersburgo, Rusia, para ingresar a las computadoras de Citibank y luego obtuvo una lista de códigos y contraseñas de clientes. En julio de 1994, los clientes se quejaron de que 400.000 dólares "desaparecían" misteriosamente de dos cuentas de Citibank.

Escondido en el baño de Citibank. La sala de servidores estaba ubicada al lado del baño. Los servidores eran de fácil acceso.

Virus Melissa.

Hace dos décadas, los virus informáticos y la conciencia pública de los trucos utilizados para desencadenarlos eran nociones relativamente nuevas para muchos estadounidenses.

Un ataque cambiaría eso de manera significativa.

A fines de marzo de 1999, un programador llamado David Lee Smith secuestró una cuenta de America Online (AOL) y la usó para publicar un archivo en un grupo de noticias de Internet llamado "alt.sex". La publicación prometía docenas de contraseñas gratuitas para sitios web de pago con contenido para adultos. Cuando los usuarios mordieron el anzuelo, descargaron el documento y luego lo abrieron con Microsoft Word, se desató un virus en sus computadoras.

El 26 de marzo, comenzó a extenderse como la pólvora por Internet.

El virus Melissa, supuestamente nombrado por Smith en honor a una stripper en Florida, comenzó por hacerse cargo del programa Microsoft Word de las víctimas. Luego usó una macro para secuestrar su sistema de correo electrónico Microsoft Outlook y enviar mensajes a las primeras 50 direcciones en sus listas de correo. Esos mensajes, a su vez, tentaron a los destinatarios a abrir un archivo adjunto cargado de virus dándole nombres como "sexxxy.jpg" o "esposa desnuda" o afirmando engañosamente, "Aquí está el documento que solicitó ... no mostrar alguien mas ;-)." Con la ayuda de alguna ingeniería social tortuosa, el virus operó como una siniestra carta en cadena automatizada.

El virus no tenía la intención de robar dinero o información, pero de todos modos causó muchos estragos. Los servidores de correo electrónico en más de 300 corporaciones y agencias gubernamentales en todo el mundo se sobrecargaron y algunos tuvieron que cerrarse por completo, incluso en Microsoft. Aproximadamente un millón de cuentas de correo electrónico se interrumpieron y el tráfico de Internet en algunas ubicaciones se redujo a un ritmo lento.

En unos pocos días, los expertos en ciberseguridad en su mayoría habían contenido la propagación del virus y restaurado la funcionalidad de sus redes, aunque tomó algún tiempo eliminar las infecciones por completo. Junto con su función de investigación, el FBI envió advertencias sobre el virus y sus efectos, lo que ayudó a alertar al público y reducir los impactos destructivos del ataque. Aún así, el daño colectivo fue enorme: un estimado de $ 80 millones para la limpieza y reparación de los sistemas informáticos afectados.

Gusano Slammer.

Es un gusano informático que provocó una Denegación de servicio en algunos servidores de Internet e hizo dramáticamente más lento el tráfico de Internet en general, a partir de las 05:30 GMT del 25 de enero de 2003.

El virus "Slammer", que se propagó por todo el mundo a finales de enero explotando una vulnerabilidad de los servidores de Microsoft para lanzar ataques de denegación de servicio (DoS), ha sido considerado el "gusano" más rápido de la historia, al haber infectado nueve de cada diez equipos vulnerables en tan sólo diez minutos, según un análisis publicado por la Asociación Cooperativa para el Análisis de Datos de Internet (CAIDA, por sus siglas en inglés).

"Slammer", también conocido como "Sapphire", infectó servidores corporativos -más que ordenadores personales-, multiplicándose por dos cada 8,5 segundos cuando comenzó a difundirse. Al cabo de tres minutos alcanzó su mayor ritmo de escaneo de equipos vulnerables, más de 55 millones por segundo.

Sin embargo, afortunadamente no portaba ningún código malicioso. En cambio, cuando el "gusano" infectaba un servidor, mandaba múltiples peticiones de información a otras direcciones de Internet, con la intención de expandirse.

De este modo, el virus habría podido infectar toda la Red en tan sólo quince minutos, duplicando en velocidad al célebre "Código Rojo", que infectó 359.000 equipos en el verano de 2001 y se multiplicaba por dos aproximadamente cada 37 minutos.

"Slammer" infectó al menos 75.000 equipos, aunque los expertos del estudio consideran que "posiblemente muchos más". No obstante, debido al daño que provocaba, su gasto se limita a mil millones de dólares en pérdida de productividad en sus primeros cinco días, frente a los 8.800 millones del "LoveLetter" o los 9.000

Ramsomware.

Es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.1 Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Se han propuesto algunas alternativas en español al término en inglés, como "programa de secuestro", "secuestrador", "programa de chantaje" o "chantajista".

Aunque los ataques se han hecho populares desde mediados de la década del 2010, el primer ataque conocido fue realizado a finales de la década de los 80, por el Dr. Joseph Popp.3 Su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló en 2013 que solamente en el primer trimestre, había detectado más de 250 000 tipos de ransomware únicos.

El ransomware continúa causando sensación en los EE. UU., Lo que obliga a varias ciudades y organizaciones a tomar decisiones difíciles. Presionadas por dinero y tiempo, las organizaciones del gobierno local se quedan con pocas opciones : pagar el rescate lo antes posible y alentar a los delincuentes a seguir poniendo de rodillas los servicios esenciales, o rechazar y quedarse con una factura de limpieza masiva .

Cuando un rescate de $ 50,000 se convierte en millones de dólares en limpieza, análisis forense, asistencia técnica externa y más, lamentablemente más y más organizaciones están tirando las manos y pagando el rescate.

Spectre y Meltdown.

Meltdown y Spectre ya se consideran las dos vulnerabilidades más graves de la historia de la computación. Afectan a procesadores de todos los grandes fabricantes, y deja expuesto a casi cualquier ordenador que existe en el mundo.

Tanto Spectre como Meltdown son dos vulnerabilidades descubiertas en las CPU (o procesadores) de millones de equipos de todo el mundo.

La primera en salir a la luz fue Meltdown, de quien informó el diario The Register el pasado miércoles. Inicialmente no contaba con un nombre "oficial", pero, horas más tarde, los investigadores y las compañías afectadas lo identificaron bajo dicho nombre.

Esta vulnerabilidad está directamente vinculada con el hardware de los microprocesadores, y una simple actualización de su microcódigo no basta para revertir la situación. Los fabricantes de los equipos afectados y los desarrolladores de los diferentes sistemas operativos tendrán que actualizar sus software para proteger a los usuarios.

La vulnerabilidad Meltdown es muy simple de explicar. El núcleo del sistema operativo almacena datos y procesos de gran valor en ciertas direcciones de memoria. Estas direcciones de memoria pueden contener informaciones muy sensibles (incluyendo contraseñas y claves de cifrado), por lo que estas direcciones de memoria se "ocultan" a cualquiera que no sea el núcleo del sistema operativo.

Con Spectre el problema es relativamente similar al de Meltdown, pero hay tres diferencias clave: es más difícil de mitigar, es más difícil de ejecutar y el proceso o software malicioso aprovecha la ejecución especulativa para obtener acceso a la memoria utilizada por otras aplicaciones (que, por lo general, está siempre protegida y tiene un acceso restringido).

En resumen: Meltdown permite a un software malicioso acceder a direcciones de memorias solo accesibles por el núcleo del sistema operativo; Spectre, en cambio, permite acceder a bloques de datos y direcciones de memoria reservadas y únicamente accesibles por otras aplicaciones.

Bibliografía.

https://www.periodistadigital.com/tecnologia/tec-internet/20190726/gusano-morris-danos-causo-internet-noticia-689404036001/

https://medium.com/@anglee19/vladimir-levin-hacks-citibank-910627591237

https://www.fbi.gov/news/stories/melissa-virus-20th-anniversary-032519

https://www.consumer.es/tecnologia/el-gusano-informatico-slammer-fue-el-mas-rapido-de-la-historia.html

https://blog.malwarebytes.com/ransomware/2019/08/ransomware-continues-assault-against-cities-and-businesses/

https://hipertextual.com/2018/01/meltdown-spectre-explicada

https://www.cnet.com/es/noticias/que-es-spectre-y-meltdown-intel-amd-arm/

https://docs.google.com/document/d/1XfbpDMVf317OVjpJtts1ZWCk75ccvLy1/edit

CUESTIONARIO PARA EXAMEN U1

Diferencias entre Hackers, Crackers y Phreaker.

HACKER:

Se utiliza el término “Hackers” para Diferencias entre Hackers, Crackers y Phreaker.

HACKER:

Se utiliza el término “Hackers” para definir a todas aquellas personas, apasionadas de la informática, que disfrutan intentando acceder a otros ordenadores, burlando la seguridad de los sistemas; cuanto más difícil y más complejo sea el acceso, mayor será el reto.

El fin de los hackers es aprender y divertirse, por lo que es frecuente que una vez conseguido el acceso lo comuniquen a la persona correspondiente, para que los sistemas de seguridad sean mejorados y así tener una meta más difícil.

KRACKER:

Es una persona que rompe la seguridad de los sistemas persiguiendo un objetivo ilícito, suelen tener ideales políticos o filosóficos, o bien se mueven por arrogancia, orgullo, egoísmo, ambición.

Un cracker actúa del mismo modo que un hacker, pero una vez que logra ingresar al sistema no se da por satisfecho, sino que le hace “crack”(onomatopeya), es decir, lo quiebra.

PHREACKER:

Personas que intentan usar la tecnología para explorar y/o controlar los sistemas telefónicos.

Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente).

Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los hackers.

Describe los 4 principios de la seguridad y de que trata cada uno de ellos.

Información:

Es el nombre por el que se conoce un conjunto organizado de datos procesados que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

Confidencialidad:

Es el ocultamiento de información o recursos.

Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados.

Este principio es particularmente importante en sistemas distribuidos

Integridad:

Se refiere a la confiabilidad de los datos o recursos en términos de prevención de cambios inapropiados o no autorizados.

Es la identificación y la garantía del origen de la información. Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, manipulen adecuadamente los mismos datos.

Este principio es particularmente importante en sistemas descentralizados.

Disponibilidad:

Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático.

Así las herramientas de Seguridad Informática deben permitir que siempre esté la información, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran.

Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.

¿Cuáles son las 2 tipos de amenazas que hay?

Intencionales: En caso de que deliberadamente se intente producir un daño.

No intencionales: En donde se producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño. (Estas pueden ser provocados por personas, por desastres naturales y de origen industrial.)

Describe los 6 tipos de vulnerabilidades de los sistemas informaticos.

Fisica:

Es el acceso a las instalaciones donde se tienen los equipos de cómputo que contienen la información o forman partes de los procesos esenciales del sistema informático.

Las vulnerabilidades de este tipo se pueden presentar en forma de malas prácticas de las políticas de acceso de personal a los sistemas y uso de medios físicos de almacenamiento de información que permitan extraer datos de manera no autorizada.

2. Ambiental:

Las amenazas ambientales son todo tipo de desastres causados por fenómenos ambientales que causan daño a un sistema informático.

Las vulnerabilidades de este tipo se presentan principalmente en deficiencias de las medidas tomadas para afrontar los desastres, por ejemplo no disponer de reguladores, no-breaks, mal sistema de ventilación o calefacción, etc.

3. Hardware:

Representan la probabilidad de que las piezas físicas del sistema fallen dejando al sistema desprotegido o inoperable.

También trata sobre las formas en que el hardware puede ser usado por personas para atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.

4. Software:

Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para atacar a un sistema más grande, esto se da debido a errores de programación, o porque en el diseño no fueron considerados ciertos aspectos (por ejemplo controles de acceso, seguridad, implantación, etc.).

5. Red:

Las redes pueden llegar a ser sistemas muy vulnerables, al tratarse de una serie de equipos conectados entre sí compartiendo recursos, es posible atacar a toda la red penetrando primero en uno de los equipos y posteriormente expandirse al resto.

En una red la prioridad es la transmisión de la información, así que todas las vulnerabilidades están relacionadas directamente con la posible intercepción de la información por personas no autorizadas y con fallas en la disponibilidad del servicio.

Estos dos puntos hacen que las vulnerabilidades de las redes lleguen a ser una combinación de vulnerabilidades de hardware, software, físicas e incluso naturales.

6. Factor Humano:

Son los más difíciles de controlar lo que los convierte en constantes amenazas y al mismo tiempo una de las partes más vulnerables del sistema.

Las vulnerabilidades de origen humano más comunes son la falta de capacitación y concienciación, lo que puede dar lugar a la negligencia en el seguimiento de las políticas de seguridad, y mal uso del equipo de cómputo.

Los actos contra la seguridad realizados a conciencia por un elemento humano (Como el robo de información o la destrucción de los sistemas) pueden ser el resultado de una vulnerabilidad humana, ya sea por un usuario que accidentalmente revela las contraseñas de acceso o no revisa periódicamente las bitácoras de actividades de los equipo de cómputo a fin de buscar actividades sospechosas.

¿Cuáles son las politicas de la seguridad informática?

El conjunto de lineamientos y guías organizacionales que dictan ciertas conductas en la organización se llaman políticas de seguridad informática, PSI.

En seguridad informática hay 3 categorías:

• PSI de problemas específicos: Son un conjunto de reglas que definen el uso aceptable de una tecnología específica, como correo electrónico o Internet.

• PSI de sistemas informáticos: Son reglas para controlar la configuración y el uso de un equipo o tecnología. Por ejemplo, la lista de control de acceso de usuarios al servicios de Internet.

• PSI empresariales: Son integradas en la planeación estratégica de las tecnologías de información.

¿Cuáles son los elementos básicos de la seguridad informática?

Seguridad en el Host

Es la protección de cada equipo de manera individual en lugar de proteger la red como un todo. Si únicamente se protege al host y no incluye seguridad en otras partes del sistema informático, hay una alta probabilidad de introducir o pasar por alta vulnerabilidades.

Existen una diversidad de sistemas operativos, diversas versiones y diversas aplicaciones instaladas, y cada una de estas tienen diferentes formas de configurar la seguridad. Puede ser abrumador tratar de asegurar que cada computadora esté protegida al mismo nivel.

Seguridad en red.

En ambientes pequeños, la seguridad en host podría ser una opción, pero en cuanto a sistemas conectados en red, la seguridad debe incluirse en la red misma. En la seguridad en red, se hace énfasis en controlar el acceso a equipos desde el exterior. Este control puede hacerse a través de dispositivos como ruteadores, firewalls, hardware y software de autenticación, cifrado y sistemas de detección de intrusos.

Los servicios informáticos en red son diferentes entra cada una de las organizaciones, por lo que nos métodos y técnicas de seguridad deben ser de acorde a los niveles de servicios que se requiera en cada una de ellas.

El menor privilegio.

Se aplica a muchos ambientes físicos, así como la seguridad en red y hosts. El menor privilegio significa que un sujeto (usuario, aplicación o proceso) debe tener únicamente los derechos y privilegios indispensables para realizar sus tareas sin permisos adicionales.

Limitando los privilegios de un sujeto limita la cantidad de daño que pueda provocarse. Esto ayuda a una organización a proteger sus recursos más sensibles y ayuda a asegurar que quien esté interactuando con esos recursos tiene una razón válida para hacerlo.

Seguridad en capas.

A pesar de que ninguna solución informática es 100% seguro y no hay nada que esté construido a prueba de cualquier error.

Es primordial habilitar múltiples capas de seguridad en un sistema informática. SI los intrusos traspasan alguna, la siguiente capa puede detenerlo. Los diversos métodos de seguridad deben ser incluidos equipos de usuarios, servidores, almacenamiento, aplicaciones, en la red, y en todos los elementos involucrados para minimizar al máximo la probabilidad de ocurrencia de un incidente de seguridad.

Diversidad de la defensa.

Complementa a la diversidad por capas. Implica la habilitación de múltiples controles de seguridad de diversas marcas y niveles de configuración según sea una zona de confianza, desmilitarizada o zona pública.

Se debe considerar la problemática de la administración de la diversidad de soluciones informáticas, ya que aumenta la complejidad de la operación.

Seguridad por obscuridad.

La seguridad se considera efectiva si el ambiente y los mecanismos de protección son confusos o se puede suponer que no se conocen. La seguridad por obscuridad usa el concepto de proteger algo escondiéndolo.

Hacer las cosas sencillas.

Al determinar la estrategia o soluciones de seguridad informática, se debe mantener un balance entre los controles de seguridad informática y la facilidad de uso de los servicios.

Todo en base a las necesidades de la organización, es decir, Iniciar por lo básico.

Agregar conceptos vistos en clases, como spam, crimen organizado,

Ciberterrorismo

Spam:

El spam es la versión electrónica del correo basura. Envío de mensajes no deseados a una gran cantidad de destinatarios, tratándose por lo general, de publicidad no solicitada.

Es un tema grave de seguridad, ya que puede utilizarse para enviar troyanos, virus, gusanos, software espía y ataques dirigidos al robo de identidad.

Crimen organizado:

El alcance de los grupos delictivos en sus actividades ilícitas también hace uso de los sistemas y de tecnología disponible.

Dado esto, las organizaciones deben mejorar sus estrategias de seguridad de la información, para evitar ser víctimas de estos grupos.

Cyber terrorismo:

La dependencia de las organizaciones con la tecnología para desarrollar sus operaciones de negocio, también las expone a las vulnerabilidades de la tecnología, que son explotadas por grupos de personas con actividades terroristas.

Vulnerabilidad de Aplicaciones:

El desarrollo de aplicaciones sin mejores prácticas de código seguro, proporcionan a los atacantes numerosas posibilidades de explotar sus vulnerabilidades.

Dispositivos Móviles:

El uso de los teléfonos celulares, Laptops, Tablet PC, Memorias USB y SD, por mencionar algunas.

Tienen en riesgo el acceso a la información que almacenan, son blanco fácil para la pérdida de información personal y corporativa.

Ataques de virus y gusanos:

Los códigos maliciosos, como son: virus, gusanos, spyware, adware, trojanos, botnets, etc., son amenazas que impactan a las organizaciones ante la disponibilidad, confidencialidad y privacidad de la información.

Empleados Internos:

La falta de conciencia y capacitación en seguridad de la información, hace que los empleados se conviertan en el eslabón más débil en la protección de la información.

Hackers:

En la actualidad, con el uso intensivo en las organizaciones y en el plano personal, de infinidad de sistemas, tecnologías y recursos a través de Internet, los ataques informáticos se han convertido en uno de los principales recursos de los atacantes que desarrollan actividades ilícitas.

Empresas terceras(Outsourcing):

La necesidad de interactuar con proveedores, socios tecnológicos y empresas de outsourcing de servicios, hace que los riesgos en el manejo de la información se incrementa cuando las empresas terceras no implementan estrategias adecuadas de seguridad para cuidar la información.

Cloud computing:

El Cómputo en la Nube, Cloud Computing, es una forma reciente de proporcionar servicios sin que el usuario tenga que hacer grandes inversiones en infraestructura.

Es importante evitar utilizar estos servicios cuando no existe una revisión previa de los mecanismos de seguridad que el proveedor implementa para proteger la información de los usuarios.

Ingenieria social:

La ingeniería social es la práctica de obtener información sensible mediante la manipulación. Cualquier persona puede ser víctima de esta técnica. Una persona que haga ingeniería social puede usar el teléfono o Internet para engañar a su víctima, por ejemplo, fingiendo ser un empleado de alguna empresa, un compañero, un técnico o un cliente.

En Internet puede ser mucho más fácil, enviando informaciones falsas de sus cuentas.

Phishing:

Es una modalidad de estafa para obtener los datos de un usuario, sus claves, cuentas bancarias, identidades, etc., para luego utilizarlos de forma fraudulenta.

Se engaña al posible estafado suplantando la imagen de una empresa o entidad pública. De esta manera hacen creer a la víctima que realmente los datos solicitados proceden del sitio oficial.

Puede producirse de varias formas, desde un simple mensaje al teléfono móvil, una llamada telefónica, una página web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico.

Adware:

Es un programa malicioso que se instala en la computadora, sin que el usuario lo note. Su función es la de descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.

El usuario comienza a ver anuncios publicitarios de forma inesperada en la pantalla.

Botnet:

Es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida.

Cuando una computadora ha sido afectada por un código de este tipo, se dice que es un equipo robot o zombi.

HASH

definir a todas aquellas ¿Qué es hash?

Una función criptográfica hash- usualmente conocida como “hash”- es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos de entrada, el valor hash de salida tendrá siempre la misma longitud.

Según un generador online de hash SHA-1, (SHA-1 es una de las funciones hash más ampliamente utilizadas en la informática, junto con MD 5 y SHA-2) el hash de mi nombre, Brian, es: 75c450c3f963befb912ee79f0b63e563652780f0. Como probablemente cualquier otro Brian te lo puede decir, es muy común que muchas personas cometan el error de escribir “Brain” (cerebro, en inglés) cuando intentan escribir mi nombre. Es tan común, de hecho, que una vez tuve una licencia de conducir con el nombre, “Brain Donohue,” pero eso es otra historia. El hash SHA-1 para “brain” (cerebro), siempre según el generador online de hash SHA-1, es: 8b9248a4e0b64bbccf82e7723a3734279bf9bbc4.

Cryptographic Hashing Explained

¿Para qué sirve?

Es una excelente pregunta. Sin embargo, la respuesta es que los hashes criptográficos se utilizan para un montón de cosas.

Para mí y para ti, la forma más común del hash tiene que ver con las contraseñas. Por ejemplo, si alguna vez olvidas tu contraseña de algún servicio en línea, probablemente tengas que resetearla. Cuando se restablece una contraseña, por lo general no recibes una clave en texto plano. Eso es debido a que los servicio en línea no almacenan las contraseñas en texto plano, sino que las almacenan bajo el valor hash de la contraseña. De hecho, el servicio (a menos que utilices una contraseña demasiado simple, que haga que el valor hash sea ampliamente conocido) no tiene idea de cuál es la contraseña real.

Para que quede claro, si recibes una contraseña en texto plano, quiere decir que el servicio en línea que estás utilizando no está haciendo un hashing de tu contraseña. Eso sería realmente vergonzoso.

Si lo deseas, puedes probar esto por ti mismo en un generador inverso de hash online. Si generas un valor hash de una contraseña débil (tales como “contraseña” o “123456”) y luego ingresas esa entrada en un generador inverso de hash, lo más probable es que el generador inverso reconozca ese valor hash para cualquiera de esas dos contraseñas. En mi caso, el generador inverso de hash reconoció los hashes de ‘brain’ (cerebro) y ‘Brian’, pero no el hash que incluía todo cuerpo de este texto. Por lo tanto, se puede deducir que la integridad del hash de salida depende totalmente de los datos de entrada que, en definitiva, podría ser cualquier cosa.

Según un informe publicado en marzo en la revista TechCrunch, el popular servicio de almacenamiento de datos en la nube, Dropbox, bloqueó a uno de sus usuarios porque compartía contenido protegido por la ley estadounidense de derechos de autor (Digital Millennium Copyright Act). Este usuario luego escribió en su cuenta de Twitter que le habían bloqueado su cuenta de Dropbox por haber compartido ciertos contenidos; poco a poco se empezó a hablar de la noticia en la red social y mucha gente comenzó a quejarse de Dropbox accedía a las cuentas de los usuarios, a pesar de que en sus políticas de privacidad, declaraba lo contrario.

Dropbox, claramente, no accedió a los contenidos de este usuario. Como se lee en el artículo de TechCrunch, probablemente lo que pasó fue esto: quienes tenían los derechos de autor sobre el archivo compartido (probablemente la versión digital de una canción o de una película) crearon una función hash. Luego agregaron este hash de 40 caracteres en una especie de “lista de materiales protegidos rechazados”. Y, cuando el usuario intentó compartir el archivo, el sistema de análisis de Dropbox detectó automáticamente el hash que estaba incluido en este listado y bloqueó el intento de compartir el contenido.

Entonces, se pueden crear hash para contraseñas y archivos multimedia, pero ¿Para que otras cosas sirven las funciones criptográficas hash? Como dije antes, las funciones hash sirven para muchas más cosas de las que sé, entiendo o me interesan para los propósitos de este artículo. De todas formas, existe un uso de los hash que sí me interesa mucho: las empresas de antivirus como Kaspersky Lab, utilizan las funciones criptográficas hash para detectar malware.

Tal y como las compañías discográficas y cinematográficas crean listas de hash rechazados para proteger sus datos, también existen listas de hash de malware y muchas de ellas son de acceso público. Estas listas, o firmas de malware (como también se las conoce), están conformadas por valores hash de las piezas de malware o de algunas partes pequeñas y reconocibles de estas piezas. Por un lado, si un usuario detecta una archivo sospechoso, puede consultar en las bases de datos públicas y, de esta forma, sabrá si se trata o no de un archivo malicioso. Por el otro, los productos antivirus detectan y bloquean los malware comparando los hash con sus propias bases de datos y con las públicas.

Por otra parte, las funciones criptográficas hash se utilizan también para asegurar la “integridad de los mensajes”. En pocas palabras, para estar seguros de que algunas comunicaciones o archivos no fueron alterados de alguna forma, se pueden examinar los hash creados antes y después de la transmisión de los datos. Si los dos hash son idénticos, significa que no ha habido ninguna alteración.

Diferencias entre Hashing, Firma Digital, Encriptar

Hashing

El hash es la práctica de tomar una cadena o clave de entrada, una variable creada para almacenar datos narrativos, y representarla con un valor hash, que normalmente está determinado por un algoritmo y constituye una cadena mucho más corta que la original.

El hash también es un método para ordenar valores clave en una tabla de base de datos de manera eficiente.

Firma digital

Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje, y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador.

Encriptar

Cifrar una información significa ocultar el contenido de un mensaje a simple vista, de manera que haga falta una interacción concreta para poder desvelar ese contenido. El contenido de este mensaje pueden ser archivos, datos, mensajes o cualquier tipo de información que se te ocurra. En el contexto de Internet, cualquier contenido que envíes desde tu ordenador a la red puede ser cifrado.

personas, apasionadas de laPráctica HASH

informática, que disfrutan intentando acceder a otros o

rdenadores, burlando la seguridad de los sistemas; cuanto más difícil y más complejo sea el acceso, mayor será el reto.Evidencia.

¿Qué es John de Ripper?

El John The Ripper es una aplicación para desencriptar contraseñas por fuerza bruta. Se basa en un diccionario de contraseñas que puede ser el que se incluye o descargarnos uno que nos guste y lanzarlo.

Para encontrar la contraseña es necesario que esta se encuentre en el diccionario. Lógicamente no todas las claves del mundo se encuentran en todos los diccionarios, estos se suelen basar en las contraseñas más usadas por los usuarios.

La fuerza bruta consiste en usar un usuario e intentar autentificar con diferentes claves. Todos los Linux por defecto disponen del usuario root como administrador, al igual que los Windows usan Administrador y Administrator dependiendo del idioma del sistema. Esto es un grave fallo de seguridad en los sistemas sobre los que se basan los hackers para atacar diferentes sistemas y tomar control de ellos.

El instituto de Ciber Seguridad español o INCIBE, publicó esta estadística de los

ataques de fuerza bruta con los que los Hackers lograban atacar diferentes servidores y lograr sus objetivos. Como vemos los usuarios root y admin. son los más usuales en diferentes plataformas SSH de Internet. En el caso de servidores Windows, en lo que es usuario de administración de LDAP, sería Administrador y Administrator.

Características

Optimizado para muchos modelos de procesadores.
Funciona en muchas arquitecturas y sistemas operativos.
Ataques de diccionario y por fuerza bruta.
Muy personalizable (es software libre).
Permite definir el rango de letras que se usará para construir las palabras y las longitudes.
Permite parar el proceso y continuarlo más adelante.
Permite incluir reglas en el diccionario para decir cómo han de hacerse las variaciones tipográficas.
Se puede automatizar; por ejemplo, ponerlo en cron.

Funcionamiento

John the Ripper usa un ataque por diccionario: tiene un diccionario con palabras, que pueden ser contraseñas típicas, y las va probando todas. Para cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es que la palabra era la correcta.

Esto funciona bien porque la mayor parte de las contraseñas que usa la gente son palabras de diccionario. Pero John the Ripper también prueba con variaciones de estas palabras: les añade números, signos, mayúsculas y minúsculas, cambia letras, combina palabras, etc.

Además ofrece el típico sistema de fuerza bruta en el que se prueban todas las combinaciones posibles, sean palabras o no. Éste es el sistema más lento, y usado sólo en casos concretos, dado que los sistemas anteriores (el ataque por diccionario) ya permiten descubrir muy rápidamente las contraseñas débiles.

El mejor método de prevención de robo de contraseñas es garantizar que los atacantes no pueden acceder al archivo con las contraseñas cifradas. Por ejemplo, en linux, las contraseñas encriptadas se almacenan inicialmente en un archivo accesible a todos los usuarios /etc/passwd. En Unix modernos (y sistemas similares), se almacenan en el archivo /etc/shadow, al que sólo tienen permisos de lectura los programas que se ejecutan con privilegios de root. Esto hace más difícil para un usuario malicioso para obtener las contraseñas encriptadas. Los modernos sistemas de Unix y otros han sustituido las tradiconales contraseñas basadas en hashing por fuertes métodos basados en MD5 y Blowfish. La principal forma de protegerse contar esta herramienta es evitar que los usuarios tengan acceso al fichero de contraseñas (/etc/shadow), para esto solo root debe tener permisos de lectura en este fichero, por defecto el sistema viene con esta configuración.

Las siguientes prácticas ayudan a evitar la apropiación de contraseñas por usuarios malintencionados:

Las contraseñas deben contener un mínimo de 8 caracteres. Cada carácter que agrega a su contraseña aumenta exponencialmente el grado de protección que ésta ofrece.
Muchos sistemas también admiten el uso de la barra espaciadora para las contraseñas, de modo que pueden crearse frases compuestas de varias palabras (una frase codificada). Por lo general, una frase codificada resulta más fácil de recordar que una contraseña simple, además de ser más larga y más difícil de adivinar.
Combinar letras, números y símbolos. Cuanto más diversos sean los tipos de caracteres de la contraseña esta se hace más fuerte.
No incluir secuencias ni caracteres repetidos. Cadenas como "12345678", "222222", "abcdefg" o el uso de letras adyacentes en el teclado no ayudan a crear contraseñas seguras.
Evitar utilizar únicamente sustituciones de letras por números o símbolos similares. Los delincuentes y otros usuarios malintencionados que tienen experiencia en descifrar contraseñas no se dejarán engañar fácilmente por reemplazos de letras por números o símbolos parecidos; por ejemplo, 'i' por '1' o 'a' por '@', como en "M1cr0$0ft" o en "C0ntr@señ@". Estas sustituciones pueden ser eficaces cuando se combinan con otras medidas, como una mayor longitud, errores ortográficos voluntarios o variaciones entre mayúsculas y minúsculas, que permiten aumentar la seguridad de las contraseñas.
No utilizar el nombre de usuario como contraseña.
Evitar seleccionar parte del nombre, fecha de nacimiento, número de identidad o datos similares propios o de sus familiares, estas son algunas de las primeras claves que probarán los delincuentes.
No utilizar palabras del diccionario de ningún idioma. Los delincuentes emplean herramientas complejas capaces de descifrar rápidamente contraseñas basadas en palabras de distintos diccionarios, que también abarcan palabras inversas, errores ortográficos comunes y sustituciones.
Utilizar varias contraseñas para distintos entornos. Si alguno de los equipos o sistemas en línea que utilizan esta contraseña queda expuesto, toda la información protegida por esa contraseña también deberá considerarse en peligro.
Evitar utilizar sistemas de almacenamiento en línea. Si algún usuario malintencionado encuentra estas contraseñas almacenadas en línea o en un equipo conectado a una red, tendrá acceso a toda su información.
No permitir que nadie mire el teclado mientras se teclea la contraseña. Pues podrán observar algunos de los caracteres que contiene esta y será más fácil de adivinar.
No utilizar ningún ejemplo de contraseña de algún sitio, ya que esta también pudo ser vista por una persona que desee conocer la suya.
No compartir contraseñas ni divulgar el método de construcción.
Cambiar la contraseña lo más frecuentemente posible, en ocasiones descifrar una contraseña tarda días y tal vez cuando sea descifrada se haya cambiado.
Implementar políticas por administradores de sistemas que obliguen a los usuarios al cambio periódico de contraseñas.
Quizás la forma más fácil de evitar el robo de contraseñas es utilizando otra forma de autenticación como lo pueden ser, por las huellas digitales, biometría pero como es sabido estos métodos son más costosos y solo pueden ser implementados por empresas poderosas o de avanzada.

Fuentes:

http://www.cursodehackers.com/JohnTheRipper.html

https://www.redeszone.net/seguridad-informatica/john-the-ripper-crackear-contrasenas/

https://mundo-hackers.weebly.com/crackeando-hashes-con-john-the-ripper.html