Archivo por meses: septiembre 2015

Ataque David Hasselhoff

Aunque generalmente una empresa u organización intenta principalmente proteger sus servicios de ataques exteriores nunca hay que dejar de lado la posibilidad de un ataque interno (usuarios malintencionados, errores, etc.). Así los equipos de sistemas aplican políticas de seguridad en el acceso a recursos (navegación a Internet, acceso a carpetas compartidas, instalación de software en los ordenadores, etc.) por lo que es importante concienciar a los usuarios de que es necesario que bloqueen sus equipos cuando se ausenten. De poco sirve limitar el acceso a los datos de nóminas únicamente a los empleados del departamento de recursos humanos si cuando van a tomar un café cualquier persona de la empresa puede sentarse en su ordenador y hacer lo que quiera en su nombre. Aunque se explique a los usuarios la importancia de esta medida de seguridad no suelen tomarlo en serio y éste es el motivo de la aparición del ataque David Hasselhoff.

Se desconoce exactamente por qué el protagonista de esta broma concienciadora es precisamente David pero lo cierto es que se extendió y viralizó por Internet.

El procedimiento es muy sencillo y no requiere de perfil técnico:

  1. La víctima sale del despacho sin bloquear su sesión en el ordenador
  2. El atacante, generalmente el gracioso del departamento, se sienta en su sitio:
Resultado de un ataque David Hasselhoff

Resultado de un ataque David Hasselhoff Fuente imagen: El Lado del Mal

Cuando la víctima vuelve a su puesto se encuentra con un fondo de pantalla perturbador generando situaciones cómicas. Generalmente la aparición de este ataque en un equipo del departamento hace que todo el personal cierre su sesión durante una temporada hasta que la desidia vuelva a aparecer y genere un nueva ataque de David Hasselhoff.

IPS e IDS

Los sistemas de detección de intrusos (IDS, Intrusion Detection System) y los sistemas de protección de intrusos (IPS, Intrsion Prevention System) son una evolución de los sistemas de defensa basados en firewall. Estos sistemas ya no se basan únicamente en las comunicaciones basadas en direcciones IP y puertos sino que revisa el tráfico de red o el comportamiento de los equipos para detectar actividad maliciosa.

Esquema de un IPS

Esquema de un IPS
Fuente imagen: BringCom

La principal característica que diferencia ambos sistemas es el comportamiento una vez detectado un posible comportamiento malicioso: los sistemas de detección, IDS, avisan a los administradores para que pueda analizar y actuar en consecuencia mientras que los de protección, IPS, aplican una serie de políticas que intentan detener las actividades maliciosas. Ambos sistemas pueden utilizarse en las mismas redes y utilizan las mismas técnicas si bien es el matiz de su actuación una vez detectada una amenaza el que los diferencia.

IPS e IDS por objetivo de monitorización

Estos sistemas pueden clasificarse en función del sistema que analizan en cuatro categorías:

  • Los sistemas basados en red (NIPS, Network IPS) analizan el tráfico de una red en busca de intenciones maliciosas.
  • Los sistemas de detección en redes inalámbricas (WIPS, Wireless IPS) realizan la misma función en redes Wi-Fi.
  • Los sistemas basados en servidores (HIPS, Host IPS) monitorizan el comportamiento del propio servidor (uso de memoria, disco duro, conexiones, etc.) para detectar posible software malintencionado.

Sistemas IPS e IDS por sistema de detección

Existen diferentes formas de intentar distinguir un comportamiento anómalo o malicioso por lo que los diferentes desarrolladores de sistemas IDS han abordado el problema de diferentes formas. Aunque las soluciones que podemos encontrar en el mercado suelen incluir varias de estas formas de trabajo, tradicionalmente se han categorizado de la forma siguiente:

  • Detección basada en firmas: Este sistema intenta localizar una cadena de información, previamente conocida, en una comunicación. Así el sistema analiza el tráfico http en busca de cadenas de peticiones que induzcan a un posible ataque de SQL Injection. La principal ventaja de esta estrategia es su alta eficiencia para detectar ataques ya conocidos pero, como contrapartida, es prácticamente inútil para detectar ataques aún no conocidos por el sistema.
  • Detección basada en políticas: Este sistema requiere definir de forma concienzuda el tipo de comunicación (y no sólo puertos y protocolo) entre los servidores o diferentes redes. Se trata de sistemas muy efectivos pero que requieren de un configuración detallada.
  • Detección basada en anomalías: Estos sistemas buscan detectar comportamientos anormales en nuestros sistemas. La principal dificultad es definir qué es normal y qué no. Actualmente se utilizan dos formas para intentar registrar cambios maliciosos:
    • Detección estadística de anormalidades: Los sistemas analizan el comportamiento de nuestra red o servidores durante un tiempo determinado. Con esta información generan un patrón. Cuando el comportamiento difiere demasiado del patrón normal previamente calculado salta las alarmas y generan los avisos o actuaciones pertinentes.
    • Detección no estadística de anormalidades: En estos equipos es un administrador quien define los patrones de comportamiento normal por lo que pueden ser muy granulares y específicos si bien es muy posible que con el tiempo se generen falsos positivos.