Jornadas de Seguridad
Caso Práctico de Ataque
Francisco Jesús Monserrat Coll
IRIS-CERT, RedIRIS - Red.es
14 Octubre 2004
Indice:
 IRIS-CERT, el grupo de seguridad de RedIRIS
 Evolución de los ataques de seguridad
 Ultimas tendencias
 Caso práctico
RedIRIS
 Surge
en
1988
para
proporcionar conectividad a
recursos informáticos y de I+D
Españoles
 Puesta en marcha de los
primeros servicios de Internet
en España, DNS, News, etc..
 Conexión basada en un un
punto de acceso regional al
que se conectan los centros.
 Desde
Enero
de
2004
depende del ente publico
empresarial Red.es
IRIS-CERT
 Formado en 1995 para gestionar los incidentes de seguridad en los
que se vean involucradas redes conectadas a RedIRIS.
 Coordinación internacional con otras redes y grupos de seguridad.
 Actividades de coordinación y fomento de la seguridad informática
dentro de RedIRIS.
 Proyectos de seguridad específicos:
• PED: Sistema de Máquinas trampas
• IRIS-PCA: Autoridad de certificación experimental
• Monitorización y control de tráfico
Evolución de los incidentes de seguridad
18 0 0
E vo lu c ió n in cid e n te s
se g u rid a d
Sigue aumentando el número
incidentes reportados cada año.
de
16 0 0
14 0 0
12 0 0
10 0 0
80 0
60 0
40 0
20 0
0
19 9 9 20 0 0 20 0 1 20 0 2 20 0 3 20 0 4
Inc identes
re portados
 Cambios
en
los
procedimientos hacen que el
número de equipos atacados
sea mayor.
 Modificaciones en la tendencia
del tipo de objetivo: usuario
final.
 Medidas
de
detección
temprana evitan propagación
de algunos tipos de ataques.
 Mediciones
de
ataques
(escaneos indican mas de 50
ataques/día para una red de
16 equipos)
Año 2000
Reaparecen los “Gusanos Informáticos” y DDOS
 1989: “El gusano de Morris”.
 Diversos gusanos de propagación automática: li0n, ramen,sadmind,
• Inicialmente debidos a vulnerabilidades en diversos programas
de equipos Linux.
• Inicialmente con escasa “carga dañina” , surgen diversas
variedades
• Problemas de saturación en algunas redes académicas
• Surgen versiones “multiplataforma” , como sadmind
Año 2000 (II)
Ataques de Denegación de Servicio.
 El Objetivo del ataque no es ni el acceso a un sistema informático ni
el robo de información sino la denegación de servicio.
 Para que el ataque tenga éxito el atacante debe generar más tráfico
de la que puede procesar el atacado.
 Mediante la distribución (varios equipos simultáneamente) los
atacantes consiguen colapsar a la víctima.
 Este año aparecen diversas herramientas que son empleadas para
atacar portales famosos: ebay, yahoo, cnn.
 Perdidas millonarias (seguros, credibilidad)
Año 2001
Primeros gusanos en Windows
 CodeRed, nimda
 Problemas de seguridad en la instalación por defecto del servidor IIS
contenido en Windows NT 4
 Escasa cultura de actualización y actualización de equipos
 CodeRed: Propagación sin la instalación de binarios ni compromiso
del equipo
 Nimda: Explotación de diversos fallos de seguridad, dejando puertas
abiertas a ataques posteriores.
 Problemas de saturación en algunas redes comerciales
 Ambos gusanos destinados sobre todo a servidores
Año 2002
Problemas de seguridad en usuarios finales.
 Escasa repercusión de vulnerabilidades importantes en servidores.
• Los equipos son actualizados con más frecuencia.
• Detección temprana de los ataques.
• Mayor concienciación de los problemas de seguridad en las
instalaciones.
 Diversas vulnerabilidades en programas de correo electrónico
ayudan a la propagación del gusanos.
• Colapso de servidores de correo electrónico.
• Saturación de redes
Año 2003
Gusanos de propagación masiva.
 Surgen diversos gusanos en servicios usados frecuentemente por
usuarios finales:
• Ms-sql : slammer, sqlnake ,etc.
• NetBios: Blaster, nachi, etc.
 Microsoft había desarrollado parches para solucionar la
vulnerabilidad, pero gran parte de los usuarios domésticos no los
habían aplicado.
 Gran velocidad de propagación:
• Infección de equipos mientras se actualiza
• Saturación en algunas redes
Año 2004
Se confirma la tendencia al ataque a plataformas comunes y usuarios
domésticos:
 Aumento del ancho de banda y prestaciones de equipos conectados
permanentemente.
 Baja protección de estos equipos.
 Imposibilidad de los grandes proveedores de realizar acciones
preventivas
 Modificaciones diarias del código de gusanos y ataques
• Phatbot, agobot, etc.
 Proliferación de las “botnets” , redes de equipos atacados.
 Uso para acciones ilegales de estos equipos atacados.
Botnet
Botnet:
 Redes de equipos comprometidos (bots) controlados desde un
equipo central , empleando frecuentemente protocolos como IRC
para controlar los equipos.
 Gusanos propagados por correo-e con instalación de puertas falsas.
 Refinamiento de botnet
• Control remoto
• Escaneo y propagación en otras redes.
• Encriptación de canales y binarios
• Empleo de DNS para la redirección de los ataques
Agobot
Ataca a los equipos a través de diversas vulnerabilidades, permitiendo el control
remoto de los equipos atacados a través de IRC.
Código fuente disponible en Internet, lo que genera incontables variantes y
modificaciones, que impiden muchas veces una identificación por los antivirus.
Una vez que el equipo es atacado, el gusano se “auto descarga” en la máquina
víctima, conectándose automáticamente al servidor IRC de control.
El atacante puede ordenar:
 Diversos ataques a redes internas/externas
• DCOM, RCP, etc.
• Puertas traseras instaladas por otros gusanos (mydoom, beagle)
• Servicios Web. Etc.
Agobot (II)
Permite además:
 Obtener los códigos de licencia de los productos instalados en el
equipo.
 Lanzar ataques de denegación de servicio contra otros equipos.
 Descargar y actualizar el propio troyano instalado por el atacante.
 Los equipos comprometidos pueden ser empleados como proxies
anónimos a la hora de atacar otros equipos o ser empleados para
acciones ilegales, como SPAM.
 No solo enviar correo:
• Servidor de DNS
• Alojamiento de formularios, etc.
Una botnet típica
Log de un ataque por IRC
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.160.210.
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.213.8.
:[X][email protected] QUIT :Ping timeout
:[X][email protected] JOIN :#rxb0t
:[X][email protected] PRIVMSG #rxb0t :[TFTP]: File transfer started to IP: 141.2.119.43
(C:\WINDOWS\System32\wuasdial.exe).
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 10.1.119.43.
:[X][email protected] PRIVMSG #rxb0t :[TFTP]: File transfer complete to IP: 10.1.119.43
(C:\WINDOWS\System32\wuasdial.exe).
:[X][email protected] PRIVMSG #rxb0t :[SCAN]: Random Port Scan started on
150.140.x.x:445 with a delay of 5 seconds for 0 minutes using 100 threads.
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.97.12.
:[X][email protected] QUIT :Connection reset by peer
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.161.46.
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.101.8.
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 141.51.212.223.
:[X][email protected] JOIN :#rxb0t
:[X][email protected] PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.104.59.
:[X][email protected] PRIVMSG #rxb0t :[SCAN]: Random Port Scan started on
150.140.x.x:445 with a delay of 5 seconds for 0 minutes using 100 threads.
Ataques a usuarios finales
Principal objetivo de los atacantes.
 Equipos sin protecciones
 Escaso interés por la información del usuario, aunque es común:
• Obtención de licencias de software instalados
• Obtención de números de tarjetas de crédito, claves de
bancos,etc.
• Posibilidad de obtener claves de conexión a los sistemas, correo
electrónico, etc.
 Por lo general los usuarios finales son empleados como puente a la
hora de lanzar ataques a otros sistemas.
Ataques a Empresas
Por el entorno en el que trabaja IRIS-CERT no son muy frecuentes los ataques
contra entidades conectadas a RedIRIS:
 Denegaciones de Servicio, por motivos políticos.
 Cambios de páginas WWW
 Intentos de obtención de claves de acceso de usuarios.
Aunque internacionalmente:
 Denegaciones de Servicio/ chantajes
 Acceso a servicios de comercio electrónico para la obtención de
información.
• No solo grandes “proveedores”
 Obtención de información
Caso Práctico
 Basado en un equipo “Linux” , con una distribución estandard,
bastante empleado como servidor WWW/correo-e / DNS
 Ataque común en el año 2003, en 2004 todavía se detectan alguno
escaneos de puertos buscando estos servicios.
 La reinstalación de Sistemas Operativos hace que todavía puedan
quedar equipos vulnerables.
 Aunque existen herramientas en modo gráfico , gran parte de las
herramientas empleadas por los atacantes son en modo
texto/consola:
• Permiten el empleo desde una conexión de terminal remota.
• Más “ligeras” de transmitir por la red
• Pueden ser automatizadas
Caso práctico de un ataque
Problema de seguridad en servidores SSL (https)
 Diversas distribuciones Linux instalaban en el mismo paquete
software el servidor WWW normal (HTTP) y el seguro (HTTPS)
 Un problema de seguridad permitía a los atacantes acceder al
servidor WWW.
 Una vez que tenían acceso al equipo los atacantes modificaban el
sistema para evitar ser descubiertos por el administrador.
 A pesar de la complejidad del ataque diversas “guias” sobre como
atacar los equipos permitieron que muchos sistemas fueran
atacados
 Empleo de los equipos como pasarelas para atacar otros sistemas.
 Mucha veces el análisis posterior de la intrusión indicaba el
desconocimiento de los atacantes del sistema atacado.
Caso Práctico (II)
Cortafuegos:
 Los cortafuegos suelen evitar las conexiones desde el exterior a
gran parte de los servidores internos.
 Analizan el trafico en algunos protocolos
• Http (Web)
• Smtp (correo-e)
 En muchas configuraciones el tráfico encriptado no es analizado
(HTTPS), solamente se permite/deniega al servidor concreto.
 Al suponer el equipo protegido por el cortafuegos no se actualiza
convenientemente.
¿Cómo se produce el ataque ?
 Los ataques empiezan por un “reconocimiento de puertos”,
buscando vulnerabilidades existentes en servidores.
• Servicios / vulnerabilidades en este equipo concreto.
• Busqueda de equipos con determinado servidor corriendo.
 Muchas veces este reconocimiento se hace combinado con la
herramienta de ataque, de forma que se consigue atacar/infectar un
número alto de máquinas de forma automática.
 Otras veces el mismo programa se encarga de automatizar todos
los pasos de la intrusión.
 El atacante recibe un listado de las máquinas a las que ha podido
acceder.
¿Qué suelen hacer los atacantes ?
Una vez que los atacantes han accedido al equipo:
 Intentan conseguir acceso como administrador (root) al sistema
 Borran las “trazas” o registros que puedan indicar que se ha
producido un ataque.
 Modifican los programas del equipo para ocultar su presencia,
(rootkit), de forma que el administrador no detecte el ataque.
 Instalan puertas traseras (backdoors) , que les permitan volver a
conectarse.
 Lanzan ataques contra otros sistemas (o intentan seguir dentro de
nuestra red)
Detección del ataque
Muchas veces la detección es “externa” (una queja por ataques desde nuestro
equipo).
 Verificar el sistema
• Si es posible después de un arranque desde CDROM
• Mediante herramientas de comprobación de binarios
• Análisis de los ficheros de logs.
 Si se ha producido el ataque (y se quiere investigar):
• Copiar la información del equipo.
• Análisis Forense del equipo atacado.
• Reinstalar y asegurar el sistema.
Soluciones
Usuarios finales.
 Concienciación de los existencia de estas amenazas.
• Los atacantes muchas veces no buscan equipos concretos.
• Las herramientas permiten a los atacantes recopilar información
de una forma rápida.
 Protección: Principalmente actualización periódica del sistema
operativo y programas empleados.
• Sistema Operativo.
• Antivirus
• Cortafuegos domestico
Soluciones (II)
Para empresas:
 No existe una solución “única”, que permita evitar cualquier
problema de seguridad.
 La soluciones se deben basar en diversos niveles de seguridad:
• Independientes
• Distintos
• Auditables.
 Cortafuegos (limitación de tráfico)
Bastionado (hacer seguro) los equipo)
Monitorización de tráfico
Referencias
Análisis Forense en Castellano:
 http://www.forensic-es.org
 http://www.rediris.es/cert/ped/reto
Seguridad en general:
 http://www.seguridad.unam.mx
 http://www.rediris.es/cert
 http://www.alertaantivirus.es
Descargar

PPT - RedIRIS