En Alemania la Cámara Alta del Parlamento aprobaba en diciembre de 2008 una controvertida ley que permite a la policía criminal (la Oficina Federal de Investigaciones Criminales, conocida por sus siglas BKA) actuar en materia antiterrorista fuera de las fronteras alemanas e instalar programas espía en los ordenadores privados de ciudadanos sospechosos de terrorismo. Figura 1.4. Programa Acredita 2023 – Abierto plazo de inscripción, 14.390 plazas ofertadas para trabajar en el SAS, Finaliza el curso de Técnicas Administrativas Básicas impartido en Tomares, Abierto plazo de inscripción: 2.874 plazas de Auxilio Judicial, Gestión y Tramitación Procesal. Por otra parte, debemos tener en cuenta otras consideraciones acerca del uso de estas herramientas, ya que se trata de proyectos de elevado riesgo, debido a las amenazas y tipos de ataques que se van a producir contra los equipos y redes de la organización. ARP: muestra y modifica las tablas de conversión de direcciones IP a direcciones físicas (direcciones MAC). Prioridad dos: proteger datos e información sensible de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido. Pero hay que tener en cuenta una serie de obstáculos como: También ayuda  a identificar al atacante los sistemas de escaneos, logs, IDS, etc. Por supuesto, también debe tratar de forma adecuada las cuestiones legales que se pudieran derivar de cada incidente de seguridad, así como los aspectos relacionados con la imagen y reputación de la organización y las relaciones públicas. Servicio Secreto de Estados Unidos 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO Podemos distinguir las siguientes etapas en el análisis forense de un incidente informático: Identificación y captura de las evidencias. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos. Este Centro Alternativo debería contar con las mismas medidas de seguridad informática que las instalaciones principales de la organización. Los mensajes de correo podrían ser redirigidos hacia servidores de correo no autorizados, donde podrían ser leídos, modificados o eliminados. Otros sabotajes, como por ejemplo los dirigidos a las empresas más importantes y a organismos oficiales locales. Un equipo de análisis forense estará constituido por expertos con los conocimientos y experiencia necesarios en el desarrollo de estas actividades. De este modo, se refuerza la seguridad frente a intrusos que pretendan eliminar su rastro manipulando los logs de los equipos. Algunas organizaciones optan por no perseguir legalmente a los atacantes por el esfuerzo necesario: costes, trámites judiciales, publicación en los medios... Además, los ataques realizados desde otros países con ciertas lagunas legales en el tratamiento de los delitos informáticos pueden dificultar las reclamaciones judiciales, ya que se complica en gran medida el proceso de extradición de los responsables12. - Etiquetado de evidencias. Sin embargo, estas situaciones también se podrían producir debido a los daños ocasionados por sabotajes, robos o, incluso, por atentados terroristas. En la mayoría de las organizaciones que no cuentan con un equipo de Respuesta de Incidentes formalmente constituido será necesario identificar quiénes son las personas responsables de acometer cada una de las tareas que se hayan definido en el Plan de Respuesta de Incidentes, definiendo claramente las responsabilidades, funciones y obligaciones de cada persona implicada en dicho plan. Esta arquitectura está constituida por los siguientes elementos: Generador de eventos: obtención y descripción de eventos mediante objetos denominados GIDO (Generalized Intrusion Detection Objects). 32 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.6 Ataques de suplantación de la identidad 1.4.6.1 IP SPOOFING Los ataques de suplantación de la identidad presentan varias posibilidades, siendo una de las más conocidas la denominada IP Spoofing (“enmascaramiento de la dirección IP”), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. Algunos medios de comunicación revelaron entonces CIA y el Departamento de Comercio norteamericano habían Office of Intelligence Liaison, que enviaba automáticamente Estados Unidos toda información que pudiera resultar norteamericanas activas en el extranjero, como ayuda internacionales. KeyLogger: http://www.keylogger.com/. La organización deberá mantener actualizada la lista de direcciones y teléfonos de contacto para emergencias, para poder localizar rápidamente a las personas clave. Tabla 2.3. Así, teniendo en cuenta esta vulnerabilidad, un atacante remoto podría forzar el cierre de las sesiones TCP establecidas, mediante un paquete TCP manipulado que sea aceptado por el ordenador destinatario, originando de este modo el ataque DoS. asignación para el tratamiento y cierre de los incidentes de seguridad de la información del Sistema de Gestión de Seguridad de la Información (SGSI). Certificados a los que pertenece el módulo: Formación Relacionada con el Módulo MF0488_3 Gestión de incidentes de seguridad informática, CURSO DE GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA: MF0488_3 Gestión de Incidentes de Seguridad Informática, Media de opiniones en los Cursos y Master online de Euroinnova, Trabajo Social, Servicios Sociales e Igualdad, Ciencia de datos e Inteligencia artificial, Condiciones de Esta nueva versión del servicio DNS trata de garantizar la integridad de la información del servidor de nombres, así como su autenticidad, mediante la utilización de algoritmos criptográficos seguros. © STARBOOK CAPÍTULO 3. La palabra hacker proviene etimológicamente del término anglosajón hack (que podríamos traducir por “golpear con un hacha”). RA-MA es una marca comercial registrada. Erfahren Sie, wie wir und unser Anzeigenpartner Google Daten sammeln und verwenden. En la actualidad se encuentra integrado dentro del INTECO, en la dirección http://www.inteco.es/Seguridad. El concepto de sistema trampa ya fue propuesto hace algunos años por Cliff Stoll en su libro Cukoo’s Egg. Por otra parte, existen sniffers especializados en la captura de contraseñas u otros datos sensibles (como los números de cuenta o de tarjetas de crédito). También hay que tener en cuenta que en los ataques de Denegación de Servicio (DoS) puede resultar necesario contar con la colaboración de las empresas proveedoras de acceso a Internet o de administradores de las redes de otras organizaciones para contener el ataque. Su dirección en Internet es http://www.first.org/. UNIDAD DIDÁCTICA 5. (Por donde viene el fallo). Caída o mal funcionamiento de algún servidor: reinicios inesperados, fallos en algunos servicios, aparición de mensajes de error, incremento anormal de la carga del procesador o del consumo de memoria del sistema… Notable caída en el rendimiento de la red o de algún servidor, debido a un incremento inusual del tráfico de datos. Curso Presencial en Tudela (Navarra) 100% Subvencionado, dirigido a Trabajadores Desempleados, de Gestión de Incidentes de Seguridad Informática. La presente obra está dirigida a los estudiantes de los nuevos Certificados de Profesionalidad de la familia profesional, Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando, CP >> CERTIFICADO DE PROFESIONALIDAD [ MF0488_3 ] 90 HORAS DE FORMACIÓN GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA ® S TA R B O O K ÁLVARO GÓMEZ VIEITES w www.starbook.es/cp La ley prohíbe Copiar o Imprimir este libro GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © Álvaro Gómez Vieites © De la Edición Original en papel publicada por Editorial RA-MA ISBN de Edición en Papel: 978-84-9265-077-4 Todos los derechos reservados © RA-MA, S.A. Editorial y Publicaciones, Madrid, España. Daños producidos en el sistema informático. La gestión automatizada de un control de seguridad informática implica que la operación, monitorización y revisión del mismo se realizan de forma automática, mediante sistemas informáticos y/o herramientas de hardware existentes sin que se produzca intervención humana en la realización de estas acciones (MONTESINO, 2012). 3.2 DETECCIÓN DE UN INCIDENTE DE SEGURIDAD: RECOLECCIÓN DE INFORMACIÓN La organización debería prestar especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del Plan de Respuesta a Incidentes. En noviembre de 2007 el “ciberespionaje” chino era descrito como “la mayor amenaza” para la tecnología estadounidense por una comisión del Congreso de Estados Unidos, que hacía un llamamiento para incrementar la protección de los secretos industriales y de las redes informáticas. Así mismo, estos sistemas permiten desviar la atención del atacante de los verdaderos recursos valiosos de la red de la organización. Los equipos zombi también están siendo utilizados por los spammers para la difusión masiva de sus mensajes de correo no solicitados. Por Incidente de Seguridad entendemos cualquier evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad, o integridad de la información. Este alto cargo del Pentágono señalaba en dicha entrevista que un “código malicioso, colocado en el ordenador por una agencia de inteligencia extranjera, descargó su programa en una red administrada por el Mando Central militar de Estados Unidos”. Sutton, R. (2002): Secure Communications: Applications and Management, John Wiley & Sons. Los operadores de redes y servicios y los proveedores de acceso deberán conservar únicamente los datos necesarios para facilitar la localización de los equipos terminales (es decir, se tiene que registrar la dirección IP asignada a cada usuario en una conexión a Internet, pero no qué páginas web o servicios de Internet ha utilizado). Para poder realizar este trabajo resultará fundamental contar con los medios y el material especializado para las distintas técnicas del análisis forense, así como disponer de un manual detallado de los procedimientos de actuación, definiendo de forma clara y precisa 13 Formulado por Edmond Locard, francés fundador del Instituto de Criminalística de la Universidad de Lyon, considerado como uno de los padres de la Ciencia Forense. Si el atacante ha utilizado técnicas de enmascaramiento (como IP Spoofing), la organización podría lanzar un ataque contra equipos y redes inocentes, con las correspondientes responsabilidades legales que se derivan de esta actuación, por lo que podría ser denunciada por las organizaciones propietarias de estos equipos atacados a modo de represalia. Envío masivo de miles mensajes de correo electrónico (mail bombing), provocando la sobrecarga del servidor de correo y/o de las redes afectadas. La tecnología informática permitirá averiguar si alguna de estas copias ha sido modificada o falsificada, comparándola con la original. Klevinsky, T. J.; Laliberte, S.; Gupta, A. Podemos señalar que una interesante referencia para el análisis forense en los sistemas informáticos es la guía Best Practices for Seizing Electronic Evidence, publicada por el Servicio Secreto de Estados Unidos y accesible en la dirección de Internet http://info.publicintelligence.net/usssbestpractices.pdf. Guía para la recogida de evidencias electrónicas: El impacto y la probabilidad de sufrir un incidente de seguridad son factores que se deben minimizar al máximo. Aparición de nuevas cuentas de usuario o registro de actividad inusual en algunas cuentas9: conexiones de usuarios en unos horarios extraños (por ejemplo, por las noches o durante un fin de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas, etcétera. Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar Esta web utiliza cookies propias para su correcto funcionamiento. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 75 3.3 ANÁLISIS DE UN INCIDENTE DE SEGURIDAD El Plan de Respuesta a Incidentes debe definir cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad en cuanto éste fuese detectado por la organización, determinando en primer lugar cuál es su alcance: ¿qué equipos, redes, servicios y/o aplicaciones se han podido ver afectados? En la actualidad la investigación también se centra en la interceptación de las conversaciones mediante telefonía IP (transmisión de voz a través de la propia Internet). Debemos destacar la importancia de llevar a cabo auditorías y pruebas periódicas para garantizar la correcta ejecución de los procedimientos previstos para la continuidad del negocio: detección y respuesta al desastre en el Centro Principal, traslado de la actividad al Centro Alternativo y recuperación del Centro Principal siniestrado. AMENAZAS A LA SEGURIDAD INFORMÁTICA .......... 15 1.1 CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES ......................................15 1.1.1 Hackers ..............................................................................................15 1.1.2 Crackers (blackhats) ............................................................................16 1.1.3 Sniffers ..............................................................................................16 1.1.4 Phreakers ...........................................................................................16 1.1.5 Spammers ..........................................................................................16 1.1.6 Piratas informáticos..............................................................................17 1.1.7 Creadores de virus y programas dañinos .................................................17 1.1.8 Lamers (wannabes): Script-kiddies o Click-kiddies ...................................17 1.1.9 Amenazas del personal interno ..............................................................18 1.1.10 Ex empleados......................................................................................18 1.1.11 Intrusos remunerados ..........................................................................18 1.1.12 Algunos hackers, crackers y phreakers famosos .......................................18 1.2 MOTIVACIONES DE LOS ATACANTES..........................................................21 1.3 FASES DE UN ATAQUE INFORMÁTICO.........................................................22 1.4 TIPOS DE ATAQUES INFORMÁTICOS ..........................................................24 1.4.1 Actividades de reconocimiento de sistemas .............................................24 1.4.2 Detección de vulnerabilidades en los sistemas .........................................30 1.4.3 Robo de información mediante la interceptación de mensajes ....................30 8 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.4 Modificación del contenido y secuencia de los mensajes transmitidos ..........31 1.4.5 Análisis del tráfico ................................................................................31 1.4.6 Ataques de suplantación de la identidad..................................................32 1.4.7 Modificaciones del tráfico y de las tablas de enrutamiento .........................37 1.4.8 Conexión no autorizada a equipos y servidores ........................................38 1.4.9 Consecuencias de las conexiones no autorizadas a los sistemas informáticos ........................................................................................38 1.4.10 Introducción en el sistema de malware (código malicioso) .........................39 1.4.11 Ataques contra los sistemas criptográficos...............................................43 1.4.12 Fraudes, engaños y extorsiones .............................................................43 1.4.13 Denegación del Servicio (Ataques DoS – Denial of Service) .......................45 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS)............................48 1.4.15 Marcadores telefónicos (dialers).............................................................49 1.5 DIRECCIONES DE INTERÉS .......................................................................50 CAPÍTULO 2. AMENAZAS A LA SEGURIDAD INFORMÁTICA 45 propia empresa con acceso a datos internos o, incluso, alguien de la competencia. DNS Seguro: http://www.dnssec.net/. Conviene tener en cuenta que los ataques informáticos se están volviendo cada vez más sofisticados, por lo que es difícil conseguir detectarlos a tiempo. • Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. - Evidencias volátiles y no volátiles. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). Por otra parte, la actividad de un hacker podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal funcionamiento, etcétera. “UDP ICMP Port Unreachable Scanning”: técnica que emplea paquetes UDP para tratar de localizar algunos puertos abiertos. Honeyd: http://www.honeyd.org/. Mf0488_3 gestión de incidentes de seguridad informática. En la arquitectura de un IDS podemos distinguir los siguientes elementos funcionales básicos: Una fuente de información que proporciona eventos del sistema o red informática. Integridad. Búsqueda y evaluación periódica de vulnerabilidades de software conocidas. Auditoría periódica de los permisos asignados a los recursos del sistema. Gracias a la seguridad informática ha reducido la manipulación de datos y procesos a personas no autorizadas. Una configuración más segura del servicio DNS se podría alcanzar mediante la separación en dos servidores DNS: un servidor interno para responder a las consultas de los equipos pertenecientes a la red local de la organización, mientras que otro servidor DNS externo se encargaría de la información pública del servicio DNS. Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. y Google obtengan una versión falsa, indistinguible de la original salvo porque muestra una serie de resultados modificados en primer lugar, a los que se añaden a continuación (pero no en primer lugar) los que normalmente mostrarían estos buscadores. Recuperación de ficheros borrados Para ello, basta con modificar el registro MX (Mail Exchanger) de la tabla de datos del servidor DNS atacado. 3.12.1 CERT/CC (Computer Emergency Response Team/Coordination Center) El CERT, el “Equipo de Respuesta a Emergencias Informáticas”, es el primer y más conocido centro de respuesta, creado en diciembre de 1988 por la agencia DARPA de Estados Unidos para gestionar los incidentes de seguridad relacionados con Internet. 1.1.7 Creadores de virus y programas dañinos Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. Otra alternativa sería la de modificar las rutas a través de los propios protocolos de enrutamiento utilizados, como RIP (puerto UDP 520) o BGP. Guía 3 - Procedimiento de Seguridad de la Información. Estas aplicaciones infectadas provocaban la instalación de varios programas spyware y adware en el ordenador de la víctima, así como otros códigos maliciosos. Metodología. Otras direcciones de interés: Dshield: http://www.dshield.org/. Aparición de nuevas carpetas o ficheros con nombres extraños en un servidor, o modificaciones realizadas en determinados ficheros del sistema (librerías, kernel, aplicaciones críticas...), que se pueden detectar mediante herramientas de revisión de la integridad de ficheros. 1.1.4 Phreakers Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. En este sentido, se debería considerar el problema de que el exceso de información registrada en el sistema pueda llegar a desbordar a sus administradores, provocando una situación bastante habitual en muchas organizaciones: que los datos de los registros de actividad no sean analizados de forma adecuada. AntiOnline: http://www.antionline.com/. De este modo, se facilita la captura de eventos generados por distintas fuentes, proporcionando una imagen más amplia y detallada de las actividades maliciosas en un determinado entorno. Un procedimiento para la recuperación frente a desastres debería contemplar las siguientes actividades: Detección y respuesta al desastre en el Centro Principal: - Adopción de las medidas de contención previstas dependiendo del tipo de desastre: incendio, inundación, explosión… - Comunicación a las personas y organismos externos indicados según el tipo de desastre. 6 Ficheros o documentos que figuraban como eliminados del Sistema de Ficheros, pero que todavía figuran intactos en el disco duro del equipo. Cambios en la configuración de determinados equipos de la red: modificación de las políticas de seguridad y auditoría, activación de nuevos servicios, puertos abiertos que no estaban autorizados, activación de las tarjetas de red en modo promiscuo (para poder capturar todo el tráfico que circula por la red interna mediante “sniffers”), etc. Base de datos de eventos: se utiliza el lenguaje CISL (Common Intrusion Specification Language) para expresar los diferentes eventos. Desarrollo de ataques específicos contra los sistemas de comunicaciones militares. Dentro del Plan de Respuestas de Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. “TPC RPC Scanning”: en los sistemas UNIX esta técnica permite obtener información sobre puertos abiertos en los que se ejecutan servicios de llamada a procedimientos remotos (RPC). Exposición del Principio de Lockard No obstante, antes de implementar estrategias con la finalidad de incrementar la seguridad de la información, es indispensable conocer los pilares que la soportan: Confidencialidad. De este modo, los Servicios de Seguridad Estatales podrían tener acceso al contenido de las comunicaciones de los usuarios y a la información sobre el tráfico cursado tanto en Internet, como en los servicios de llamadas móviles terrestres, los servicios de llamadas de larga distancia e internacionales, la transmisión de datos o los mensajes de correo de voz. Para ello, conviene apagar de forma repentina el equipo, de modo que se pueda evitar que en el proceso de apagado desde el sistema operativo se puedan borrar algunas evidencias, ya que el atacante podría haber incluido alguna rutina para eliminar evidencias de sus actuaciones dentro del sistema cuando éste fuera apagado. IMPLANTACIÓN Y PUESTA EN PRODUCCIÓN DE SISTEMAS IDS/IPS Técnica “TCP SYN Scanning” Técnica “TCP FIN Scanning”: También conocida como Stealth Port Scanning (Escaneo Oculto de Puertos), ha sido propuesta como una técnica de escaneo que trata de evitar ser registrada por los cortafuegos y servidores de una organización. 78 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK La identificación del atacante puede ser una tarea que consuma bastante tiempo y recursos, por lo que no debería interferir en la contención y erradicación del incidente. De hecho, la mayor parte de la información sobre esta agencia se encuentra clasificada. Kevin Mitnick © STARBOOK CAPÍTULO 1. Por su parte, la arquitectura IDWG (Intrusion Detection Working Group) propone el formato IDEF (Intrusion Detection Exchange Format) para facilitar el intercambio de información sobre los incidentes de seguridad. IFCT0109 How to cite Gestión de incidentes de seguridad informática. GESTIÓN DE INCIDENTES DE SEGURIDAD 67 2.6 OTRAS HERRAMIENTAS Y APLICACIONES DE UTILIDAD Podemos destacar otras herramientas y aplicaciones que pueden resultar de ayuda para gestionar y supervisar la seguridad en las redes de ordenadores. AMENAZAS A LA SEGURIDAD INFORMÁTICA 31 1.4.4 Modificación del contenido y secuencia de los mensajes transmitidos En estos ataques los intrusos tratan de reenviar mensajes y documentos que ya habían sido previamente transmitidos en el sistema informático, tras haberlos modificado de forma maliciosa (por ejemplo, para generar una nueva transferencia bancaria contra la cuenta de la víctima del ataque). Mediante estos ataques es posible secuestrar una determinada dirección física3 de la tarjeta de red de un equipo, para hacerse pasar por este equipo ante el resto de los ordenadores conectados a esa red local. Así, se puede obtener importante información sobre las organizaciones y empresas presentes en Internet, los nombres de dominio y las direcciones IP que éstas tienen asignadas, por medio de consultas en servicios como Whois, que mantiene una base de datos sobre direcciones IP y nombres de dominio necesaria para el correcto funcionamiento de Internet. Búsqueda de reconocimiento social y de un cierto estatus dentro de una comunidad de usuarios. Adoptar medidas de … Young, M. (2003): Internet Security: Cryptographic Principles, Algorithms and Protocols, John Wiley & Sons. ECHELON es un sistema militar de espionaje de todo tipo de comunicaciones electromagnéticas, con capacidad para interceptar llamadas de teléfono (incluso a teléfonos móviles con el sistema GSM, que emplea algoritmos de cifrado), transmisiones por Internet, envíos de fax y télex, transmisión de datos y de llamadas vía satélite, etcétera. En el caso de que la formación se dirija a personas con discapacidad se realizarán las adaptaciones y los ajustes razonables para asegurar su participación en condiciones de igualdad. 82 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Rapidez en las actuaciones y decisiones: ¿cómo respondió el personal involucrado en el incidente? Por otra parte, hay que tener en cuenta el cumplimiento de la normativa existente ya en algunos países, que obliga a la notificación de los incidentes de seguridad a determinados organismos de la Administración, así como a los ciudadanos (generalmente clientes de la organización) que pudieran verse afectados por dicho incidente. Cole, E. (2001): Hackers Beware, New Riders. Para comprobar la idoneidad de los medios disponibles, el entrenamiento de los miembros del equipo y las actividades definidas en el Plan de Respuesta a Incidentes, conviene llevar a cabo simulacros de forma periódica en la organización. 5.3.3 ENFOPOL (Enforcement Police) El proyecto Enfopol nació en Bruselas en 1995, como una serie de requisitos técnicos para que los operadores de telecomunicaciones adecuasen sus sistemas para facilitar la interceptación de las comunicaciones de sus usuarios, incluyendo los nuevos servicios de Internet, en el ámbito de Europa y otros países, ante eventuales demandas de pinchazos policiales autorizados judicialmente. Servicio de Información de LACNIC (Latin America and Caribean Internet Addresses Registry): http://lacnic.net/. Establecer los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de todos los incidentes de seguridad de la información, según una base de conocimiento y registro de incidentes y mediante los indicadores del sistema de gestión de seguridad de la información. 3.12.5 US-CERT El US-CERT es un Centro de Respuesta a Incidentes de Seguridad Informática que depende del National Cyber Security Division (NCSD) en el Departamento de Seguridad Interior (Department of Homeland Security –DHS–) de Estados Unidos. Provocar el colapso de redes de ordenadores mediante la generación de grandes cantidades de tráfico, generalmente desde múltiples equipos. Son responsables de responder a los incidentes relacionados con la seguridad informática. © STARBOOK CAPÍTULO 3. 70 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA Sistemas IDS: Tripwire: http://www.tripwire.org/. 5 Capítulo 5 CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 5.1 LA AMENAZA DEL CIBERTERRORISMO Y DE LAS GUERRAS INFORMÁTICAS Las sociedades avanzadas tienen una dependencia cada vez mayor de los sistemas informáticos para el control de muchos procesos y actividades cotidianas: control del fluido eléctrico, de la red de abastecimientos de aguas, de las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de señalización de semáforos, de los sistemas financieros, etcétera. UNIDAD DIDÁCTICA 1. Sin embargo, RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Gracias a sus conocimientos informáticos pudo intervenir la central de conmutación para que su línea personal de teléfono fuera seleccionada como la ganadora en multitud de concursos y ofertas telefónicas, mientras bloqueaba la de otros usuarios del servicio. Por este motivo, es necesario contar con herramientas y filtros que faciliten la detección y clasificación de incidentes. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Está definido como una función formal de reporte y respuesta ante los incidentes que pueden impactar forma negativa las operaciones, activos, reputación, posición en el Sector Justicia, propiedad intelectual o información confidencial del Ministerio. Esta tarea se puede completar posteriormente con un análisis de riesgos en el sistema informático, en el que se pretende determinar cuál es el nivel de riesgo a partir del análisis de posibles amenazas y vulnerabilidades. AMENAZAS A LA SEGURIDAD INFORMÁTICA 49 colapsar las redes y los servidores objeto del ataque. Además, se pueden descargar nuevas reglas directamente desde bases de datos disponibles en Internet, que permiten catalogar nuevos tipos de incidentes, exploits y vulnerabilidades de sistemas. Una organización podría protegerse frente a los sniffers recurriendo a la utilización de redes conmutadas (switches en lugar de hubs) y de redes locales virtuales (VLAN). © STARBOOK CAPÍTULO 1. No obstante, si se envían muchas peticiones de conexión siguiendo el ataque de SYN Flood, se colapsarán los recursos del equipo víctima, que no podrá atender nuevas conexiones legítimas. Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el estudio de ficheros y directorios ocultos, información oculta del sistema y la recuperación de ficheros borrados 912 171 879. Recuperación del Centro Principal siniestrado. 1.4.7 Modificaciones del tráfico y de las tablas de enrutamiento Los ataques de modificación del tráfico y de las tablas de enrutamiento persiguen desviar los paquetes de datos de su ruta original a través de Internet, para conseguir, por ejemplo, que atraviesen otras redes o equipos intermedios antes de llegar a su destino legítimo, para facilitar de este modo las actividades de interceptación de datos. También pueden resultar de gran ayuda las herramientas para la evaluación de vulnerabilidades. Verificación de los procedimientos y dispositivos de copias de seguridad. Por otra parte, se han desarrollado virus y otros programas dañinos para facilitar las extorsiones y estafas a usuarios de Internet. Vladimir Levin 20 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.1.12.3 KEVIN POULSON Famoso phreaker de California, que durante un período de dos años consiguió controlar el sistema de conmutación de su operadora de telefonía local. ; ¿qué medidas están adoptando para contrarrestarlo? Formación y nivel de desempeño de los miembros. También se han llevado a cabo ataques DoS contra sesiones TCP previamente establecidas, aprovechando una vulnerabilidad en el diseño del protocolo TCP dada a conocer por el CERT/CC a finales de abril de 2004, que afecta a aquellos servicios que se basan en la utilización de sesiones TCP permanentes, sin ningún tipo de autenticación entre los dos extremos de la comunicación. Analizador de eventos: incorpora los algoritmos de detección de ataques. No obstante, debemos destacar otro posible problema para las organizaciones que, por despiste, puedan pasar por alto la renovación de los nombres de dominio. Ataque del tipo “SYN Flood” Así mismo, podemos señalar otros tipos de ataques de Denegación de Servicio (DoS) que se han hecho famosos en los últimos años: Connection Flood: tipo de ataque que consiste en intentar establecer cientos o miles de conexiones simultáneas contra un determinado servidor víctima del ataque, con lo que se consumen sus recursos y se degrada de forma notable su respuesta ante usuarios legítimos. Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada. Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de phishing). Al poco de conocerse estas dos pérdidas masivas de datos de ciudadanos británicos, el diario The Times demostró que existía un mercado de compraventa de datos personales a través de Internet, lo que puso aún más en entredicho la seguridad en el tratamiento de este tipo de información sensible en el Reino Unido. Información básica sobre protección de datos Ver más. Herramientas que facilitan la ocultación y la suplantación de direcciones IP (técnicas de spoofing), dificultando de este modo la identificación del atacante. El sistema informático de ese centro militar tuvo que ser apagado durante una semana. Este libro pretende aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: o Planificar e … Prioridad cuatro: prevenir daños en los sistemas informáticos (pérdida o modificación de ficheros básicos para las aplicaciones y los servidores). En España también podemos destacar los servicios del IRIS-CERT, Centro de Respuesta a Incidentes de Seguridad de la Red IRIS, que da soporte a los Centros de Investigación y Universidades del país, a través de la dirección de Internet http://www.rediris.es/cert/. Definición de políticas de corte de intentos de intrusión en los IDS/IPS, Análisis de los eventos registrados por el IDS/IPS para determinar falsos positivos y caracterizarlos en las políticas de corte del IDS/IPS, Relación de los registros de auditoría del IDS/IPS necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de intentos de intrusión, Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS, Sistemas de detección y contención de código malicioso, Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar, Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso, Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso, Relación de los registros de auditoría de las herramientas de protección frente a código maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad, Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso, Análisis de los programas maliciosos mediante desensambladores y entornos de ejecución controlada, Procedimiento de recolección de información relacionada con incidentes de seguridad, Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad, Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales, Establecimiento de las responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones, Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial, Criterios para la determinación de las evidencias objetivas en las que se soportara la gestión del incidente, Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones, Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo, Establecimiento del nivel de intervención requerido en función del impacto previsible, Guía para la investigación y diagnostico del incidente de intento de intrusión o infecciones, Establecimiento del proceso de resolución y recuperación de los sistemas tras un incidente derivado de un intento de intrusión o infección, Proceso para la comunicación del incidente a terceros, si procede, Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente, Conceptos generales y objetivos del análisis forense. También será conveniente llevar a cabo una revisión de otros sistemas que se pudieran ver comprometidos a través de las relaciones de confianza con el sistema afectado. En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer páginas dinámicas o nuevas funcionalidades a sus usuarios. Servicio de Información de ARIN (American Registry for Internet Numbers): www.arin.net. Lanzamiento de bombas electromagnéticas para neutralizar todos los equipos electrónicos militares no protegidos y silenciar a las principales emisoras de radio y televisión. Relación de los registros de auditoría de las herramientas de protección frente a código maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad Smurf (“pitufo”): ataque DoS que se lleva a cabo mediante el envío de una gran cantidad de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos a direcciones de difusión (direcciones broadcast), empleando para ello la dirección del equipo víctima del incidente, que se verá desbordado por la cantidad de mensajes de respuesta generados en la red de equipos sondeados, que actúa como una red amplificadora del ataque. 2) Comunicar y notificar el problema a todas las personas del equipo de respuesta en forma inmediata. Gestor de almacén. En España, la Ley de Servicios de la Sociedad de la Información contempla la obligación de retención de datos de tráfico. UNIDAD DIDÁCTICA 6. PROCESO DE NOTIFICACIÓN Y GESTIÓN DE INTENTOS DE INTRUSIÓN Tras haber capturado todas las evidencias volátiles, se procederá a obtener la información de los discos duros del sistema. pobreza multidimensional pdf, formato plan de trabajo ejemplo, importancia de la exportación en el perú, repuestos hidrolavadora karcher k2, gerente financiero habilidades, conocimientos para estudiar medicina, ucv vs universitario noche poeta en vivo, cochas chico huancayo, universidad la cantuta carreras 2022, cuál es la diferencia entre ahorrar e invertir, preguntas sobre la cultura, clínica vesalio dirección, dirección regional de educación piura dirección, blanca soto pareja actual 2022, cuaderno docente 2022 gratis, complicaciones de la hemorragia postparto pdf, llaveros merchandising, carta a padres de familia de preescolar, temas de educación inicial para investigar, plagas y enfermedades de la pitahaya pdf, polo alianza lima 2022, programa de la fiesta de bambamarca, mochila trekking porta, toulouse lautrec convenios con universidades, atlético nacional marathon, leche evaporada o leche entera, shampoo industrial para autos, plan de desarrollo concertado san sebastián cusco, población de la región cusco, códigos atc de medicamentos excel, triciclo peru interprete, los contratos ley en la legislación peruana pdf, proposiciones lógicas, proteína para aumentar masa muscular en hombres, trabajos en surco sin experiencia part time, sonya smith en la actualidad, investigacion de mercado uber eats, la regulación del nombre en el derecho español pdf, tratamiento para la depresión en adolescentes pdf, alquiler de cuartos en carabayllo km 22, auditoría operativa tesis perú, saga falabella descuentos, directorio de alcaldes 2022, plataformas de marketplace, la minería es una actividad económica primaria, norma técnica de alimentación y nutrición saludable minsa 2021, voluntariados en chiclayo, cuales son las variaciones del tipo de cambio, derecho a la seguridad y calidad del consumidor, copias simples ministerio público 2022, copia recibo hidrandina, la aplicación del programa de educación, oficina de tesorería pucp, shampoo industrial para autos, mesa de partes municipalidad de cerro de pasco, universidad europea de madrid residencia, cursos gratis domestika y crehana, materiales cerámicos cristalinos, teléfono de la universidad nacional de piura, guia de admisión sencico 2022, subaru impreza precio, kilo restaurante carta, enfoque por competencias nivel inicial, monografía repositorio, amonio cuaternario precio maestro, revistas científicas de medio ambiente, prácticas pre profesionales cusco psicología, que debe tener un estudiante de medicina, nombres prohibidos registro civil, maestría en derecho administrativo virtual, que son las herramientas de visualización de datos, sector minero en bolivia, calendario quechua y aymara,
Donde Estudiar Paleontología, Diferencia Entre Test Y Exam, Colores Jumbo Triangulares, Productos Chinos Novedosos, Responsabilidad Penal De Las Personas Jurídicas En México Pdf, La Novela El Tungsteno Tiene Dos Focos Centrales:, Polos De Rock Para Mujeres,