Categorías de ataque. Ataques informáticos y sus tecnologías de detección.

Categorías de ataque. Ataques informáticos y sus tecnologías de detección.

Kaspersky Internet Security protege su computadora de ataques a la red.

Ataque de red es una intrusión en el sistema operativo de una computadora remota. Los atacantes lanzan ataques a la red para tomar el control de un sistema operativo, provocar una denegación de servicio u obtener acceso a información protegida.

Los ataques a la red son acciones maliciosas realizadas por los propios atacantes (como escaneo de puertos, adivinación de contraseñas), así como acciones realizadas por programas maliciosos instalados en la computadora atacada (como transferir información protegida al atacante). El malware involucrado en ataques de red incluye algunos caballos de Troya, herramientas de ataque DoS, scripts maliciosos y gusanos de red.

Los ataques a la red se pueden dividir en los siguientes tipos:

  • Escaneo de puertos. Este tipo de ataque a la red suele ser una etapa preparatoria para un ataque a la red más peligroso. El atacante escanea los puertos UDP y TCP utilizados por los servicios de red en la computadora objetivo y determina la vulnerabilidad de la computadora objetivo a tipos de ataques de red más peligrosos. El escaneo de puertos también permite a un atacante determinar el sistema operativo en la computadora objetivo y seleccionar ataques de red adecuados para él.
  • Ataques DoS, o ataques a la red que causan denegación de servicio. Se trata de ataques a la red, como resultado de los cuales el sistema operativo atacado se vuelve inestable o completamente inoperable.

    Existen los siguientes tipos principales de ataques DoS:

    • Enviar paquetes de red especialmente diseñados a una computadora remota que esta computadora no espera, lo que provoca que el sistema operativo no funcione correctamente o se detenga.
    • Enviar una gran cantidad de paquetes de red a una computadora remota en un corto período de tiempo. Todos los recursos de la computadora atacada se utilizan para procesar los paquetes de red enviados por el atacante, razón por la cual la computadora deja de realizar sus funciones.
  • Ataques-intrusiones en la red. Se trata de ataques a la red cuyo objetivo es “secuestrar” el sistema operativo del ordenador atacado. Este es el tipo de ataque a la red más peligroso, ya que si tiene éxito, el sistema operativo queda completamente bajo el control del atacante.

    Este tipo de ataque de red se utiliza en los casos en que un atacante necesita obtener datos confidenciales de una computadora remota (por ejemplo, números de tarjetas bancarias o contraseñas) o usar la computadora remota para sus propios fines (por ejemplo, para atacar a otras computadoras desde este computadora) sin el conocimiento del usuario.

  1. En la pestaña Protección en el bloque Protección contra ataques a la red desmarque la casilla.

También puede habilitar la Protección contra ataques de red en el Centro de protección. Deshabilitar la protección o los componentes de protección de su computadora aumenta significativamente el riesgo de que su computadora se infecte, razón por la cual se muestra información sobre cómo deshabilitar la protección en el Centro de protección.

Importante: Si desactivó la Protección contra ataques de red, luego de reiniciar Kaspersky Internet Security o reiniciar el sistema operativo, no se activará automáticamente y deberá activarla manualmente.

Cuando se detecta actividad peligrosa en la red, Kaspersky Internet Security agrega automáticamente la dirección IP de la computadora atacante a la lista de computadoras bloqueadas si esta computadora no se agrega a la lista de computadoras confiables.

  1. En la barra de menú, haga clic en el icono del programa.
  2. En el menú que se abre, seleccione Configuración.

    Se abrirá la ventana de configuración del programa.

  3. En la pestaña Protección en el bloque Protección contra ataques a la red marcar la casilla Habilitar la protección contra ataques de red.
  4. Haga clic en el botón Excepciones.

    Se abrirá una ventana con una lista de computadoras confiables y una lista de computadoras bloqueadas.

  5. Abrir un marcador Computadoras bloqueadas.
  6. Si está seguro de que la computadora bloqueada no representa una amenaza, seleccione su dirección IP en la lista y haga clic en el botón Desbloquear.

    Se abrirá una ventana de confirmación.

  7. En la ventana de confirmación, haga una de las siguientes cosas:
    • Si desea desbloquear su computadora, haga clic en el botón Desbloquear.

      Kaspersky Internet Security desbloquea la dirección IP.

    • Si desea que Kaspersky Internet Security nunca bloquee la dirección IP seleccionada, haga clic en el botón Desbloquear y agregar excepciones.

      Kaspersky Internet Security desbloqueará la dirección IP y la agregará a la lista de computadoras confiables.

  8. Haga clic en el botón Guardar para guardar sus cambios.

Puede crear una lista de computadoras confiables. Kaspersky Internet Security no bloquea automáticamente las direcciones IP de estas computadoras cuando detecta actividad de red peligrosa que se origina en ellas.

Cuando se detecta un ataque a la red, Kaspersky Internet Security guarda información al respecto en un informe.

  1. Abra el menú Protección.
  2. Seleccione Informes.

    Se abrirá la ventana de informes de Kaspersky Internet Security.

  3. Abrir un marcador Protección contra ataques a la red.

Nota: Si el componente Network Attack Protection ha completado un error, puede ver el informe e intentar reiniciar el componente. Si no puede resolver el problema, comuníquese con el Soporte técnico.

Tipos de ataques

La penetración en una red informática se realiza en forma de ataques.

Un ataque es un evento en el que personas externas intentan penetrar las redes de otra persona. Un ataque a una red moderna suele implicar la explotación de vulnerabilidades del software. Algunos de los más comunes a principios de la década de 2000 fueron ataques dirigidos de denegación de servicio, ataques DoS (Dental of Service) y ataques DDoS distribuidos (Distributed DoS). Un ataque DoS hace que el objetivo del ataque no esté disponible para su uso normal al exceder los límites permitidos de funcionamiento de dicho dispositivo de red. DoS es un ataque dirigido (concentrado), ya que proviene de una única fuente. En el caso de los DDoS distribuidos, el ataque se lleva a cabo desde múltiples fuentes distribuidas en el espacio, a menudo pertenecientes a diferentes redes. Hace varios años se empezó a utilizar el término código de software malicioso del complejo militar-industrial, que significa virus, gusanos, sistemas troyanos, herramientas para ataques a la red, envío de spam y otras acciones indeseables para el usuario. Dada la naturaleza diversa de las amenazas, los sistemas de protección modernos se han vuelto complejos y de múltiples capas. Los gusanos de red distribuyen copias de sí mismos a través de redes informáticas mediante correo electrónico y mensajería. Los programas troyanos más comunes en la actualidad son aquellos que realizan acciones no autorizadas: destruyen datos y utilizan recursos informáticos con fines maliciosos. Los programas troyanos más peligrosos incluyen el software espía. Recopila información sobre todas las acciones del usuario y luego, sin que el usuario se dé cuenta, transmite esta información a los atacantes. El año 2007 puede considerarse el año de la “muerte” del malware no comercial. Ya nadie desarrolla estos programas para la autoexpresión. Cabe señalar que en 2007 ni un solo programa malicioso tenía un motivo financiero. Se considera que uno de los nuevos programas maliciosos es Storm Worm, que apareció en enero de 2007. Para propagarse, el gusano utilizó métodos tradicionales, como el correo electrónico, y la distribución en forma de archivos de vídeo. La técnica de ocultar su presencia en el sistema (rootkits) se puede utilizar no sólo en programas troyanos, sino también en virus de archivos. El malware ahora se esfuerza por sobrevivir en un sistema incluso después de ser descubierto.

Una de las formas peligrosas de ocultar su presencia es utilizar tecnología para infectar el sector de arranque del disco duro, los llamados "bootkits". Un programa malicioso de este tipo puede hacerse con el control incluso antes de que se cargue la parte principal del sistema operativo.

La gama de problemas de seguridad ya no se limita a la tarea de protección contra virus, a la que tuvimos que enfrentarnos hace unos cinco años. El peligro de las filtraciones de información internas se ha vuelto más grave que las amenazas externas. Además, a principios del siglo XXI, el objetivo de los delitos informáticos era el robo de información económica, cuentas bancarias, la perturbación de los sistemas de información de los competidores y el envío masivo de publicidad. Los insiders, empleados de la empresa que tienen acceso a información confidencial y la utilizan con fines desfavorables, representan una amenaza nada menor, y a veces incluso mayor, para los sistemas de TI corporativos. Muchos expertos creen que el daño causado por información privilegiada no es menos importante que el causado por el malware. Es característico que una parte importante de las filtraciones de información no se produzca por acciones maliciosas de los empleados, sino por su falta de atención. Los principales medios técnicos para combatir estos factores deberían ser los medios de autenticación y administración del acceso a los datos. Sin embargo, el número de incidentes sigue creciendo (aproximadamente un 30% anual en los últimos años). Poco a poco, las medidas de seguridad contra filtraciones y acceso a información privilegiada están empezando a integrarse en el sistema general de seguridad de la información. En conclusión, proporcionamos una clasificación generalizada de amenazas a la red (Fig. 11.3)

Ataque de red remota- impacto destructivo de la información en un sistema informático distribuido, realizado mediante programación a través de canales de comunicación.

Introducción

Para organizar las comunicaciones en un entorno de red heterogéneo, se utiliza un conjunto de protocolos TCP/IP, que garantizan la compatibilidad entre ordenadores de diferentes tipos. Este conjunto de protocolos ha ganado popularidad debido a su compatibilidad y provisión de acceso a los recursos de Internet global y se ha convertido en un estándar para la interconexión de redes. Sin embargo, la ubicuidad de la pila de protocolos TCP/IP también ha expuesto sus debilidades. Precisamente por esta razón, los sistemas distribuidos son vulnerables a ataques remotos, ya que sus componentes suelen utilizar canales de transmisión de datos abiertos y un atacante no sólo puede escuchar pasivamente la información transmitida, sino también modificar el tráfico transmitido.

La dificultad de detectar un ataque remoto y la relativa facilidad de implementación (debido a la funcionalidad redundante de los sistemas modernos) coloca a este tipo de acción ilegal en primer lugar en términos del grado de peligro e impide una respuesta oportuna a la amenaza, como resultado de lo cual el atacante aumenta las posibilidades de implementar con éxito el ataque.

Clasificación de ataques

Por la naturaleza del impacto.

  • Pasivo
  • Activo

El impacto pasivo en un sistema informático distribuido (DCS) es algún impacto que no afecta directamente el funcionamiento del sistema, pero que al mismo tiempo puede violar su política de seguridad. La falta de influencia directa sobre el funcionamiento del RVS conduce precisamente a que la influencia remota pasiva (RPI) sea difícil de detectar. Un posible ejemplo de un PUV típico en un DCS es escuchar un canal de comunicación en una red.

Impacto activo en el DCS: un impacto que tiene un impacto directo en el funcionamiento del propio sistema (deterioro de la funcionalidad, cambio en la configuración del DCS, etc.), que viola la política de seguridad adoptada en el mismo. Casi todos los tipos de ataques remotos son influencias activas. Esto se debe al hecho de que la propia naturaleza del efecto dañino incluye un principio activo. La clara diferencia entre influencia activa e influencia pasiva es la posibilidad fundamental de su detección, ya que como resultado de su implementación se producen algunos cambios en el sistema. Con influencia pasiva, no queda absolutamente ningún rastro (debido a que el atacante ve el mensaje de otra persona en el sistema, nada cambiará en el mismo momento).

Por propósito de influencia

  • interrupción del funcionamiento del sistema (acceso al sistema)
  • violación de la integridad de los recursos de información (IR)
  • violación de la confidencialidad de IR

Esta característica mediante la cual se realiza la clasificación es esencialmente una proyección directa de tres tipos básicos de amenazas: denegación de servicio, divulgación y violación de la integridad.

El objetivo principal que se persigue en casi cualquier ataque es obtener acceso no autorizado a la información. Existen dos opciones fundamentales para la obtención de información: la distorsión y la interceptación. La opción de interceptar información significa acceder a ella sin posibilidad de modificarla. Por tanto, la interceptación de información conlleva una violación de su confidencialidad. Escuchar un canal en una red es un ejemplo de interceptación de información. En este caso se produce un acceso ilegítimo a la información sin posibles opciones de sustitución. También es obvio que la violación de la confidencialidad de la información se refiere a influencias pasivas.

La capacidad de reemplazar información debe entenderse como un control total sobre el flujo de información entre los objetos del sistema o como la capacidad de transmitir varios mensajes en nombre de otra persona. Por tanto, está claro que la sustitución de información conduce a una violación de su integridad. Esta influencia destructiva de la información es un ejemplo típico de influencia activa. Un ejemplo de un ataque remoto diseñado para violar la integridad de la información es el ataque remoto (RA) de “objeto RVS falso”.

Basado en la presencia de retroalimentación del objeto atacado.

  • con retroalimentación
  • sin retroalimentación (ataque unidireccional)

El atacante envía algunas solicitudes al objeto atacado, del que espera recibir una respuesta. En consecuencia, aparece retroalimentación entre el atacante y el atacado, permitiendo al primero responder adecuadamente a todo tipo de cambios en el objeto atacado. Ésta es la esencia de un ataque remoto, llevado a cabo en presencia de retroalimentación del objeto atacante. Estos ataques son más típicos del RVS.

Los ataques de bucle abierto se caracterizan por el hecho de que no necesitan reaccionar ante cambios en el objeto atacado. Estos ataques suelen llevarse a cabo enviando solicitudes únicas al objeto atacado. El atacante no necesita respuestas a estas solicitudes. Esta UA también puede denominarse UA unidireccional. Un ejemplo de ataques unidireccionales es un ataque DoS típico.

Según la condición del inicio del impacto.

La influencia remota, como cualquier otra, sólo puede comenzar a tener lugar bajo ciertas condiciones. Hay tres tipos de ataques condicionales en RVS:

  • ataque a petición del objeto atacado
  • Ataque cuando ocurre un evento esperado en el objeto atacado.
  • ataque incondicional

El impacto del atacante comenzará siempre que el objetivo potencial del ataque envíe una solicitud de un determinado tipo. Un ataque de este tipo puede denominarse ataque a petición del objeto atacado. Este tipo de UA es más típico del RVS. Un ejemplo de este tipo de solicitudes en Internet son las solicitudes DNS y ARP, y en Novell NetWare, una solicitud SAP.

Un ataque ante la ocurrencia de un evento esperado en el objeto atacado. El atacante monitorea continuamente el estado del sistema operativo del objetivo remoto del ataque y comienza a influir cuando ocurre un evento específico en este sistema. El propio objeto atacado es el iniciador del ataque. Un ejemplo de tal evento sería que la sesión de un usuario con el servidor se interrumpa sin emitir el comando LOGOUT en Novell NetWare.

Un ataque incondicional se lleva a cabo de forma inmediata e independientemente del estado del sistema operativo y del objeto atacado. Por tanto, en este caso el atacante es el iniciador del ataque.

Si se interrumpe el funcionamiento normal del sistema, se persiguen otros objetivos y no se espera que el atacante obtenga acceso ilegal a los datos. Su objetivo es desactivar el sistema operativo del objeto atacado y hacer imposible que otros objetos del sistema accedan a los recursos de este objeto. Un ejemplo de ataque de este tipo es un ataque DoS.

Por ubicación del sujeto del ataque en relación con el objeto atacado

  • intrasegmental
  • intersegmentario

Algunas definiciones:

Fuente del ataque (sujeto del ataque)- un programa (posiblemente un operador) que dirija el ataque y lleve a cabo el impacto directo.

Anfitrión- una computadora que es un elemento de una red.

Enrutador- un dispositivo que enruta paquetes en una red.

Subred es un grupo de hosts que forman parte de una red global, y se diferencian en que el enrutador les asigna el mismo número de subred. También podemos decir que una subred es una asociación lógica de hosts a través de un enrutador. Los hosts dentro de la misma subred pueden comunicarse directamente entre sí sin utilizar un enrutador.

Segmento de red- unificación de huestes a nivel físico.

Desde el punto de vista de un ataque remoto, la ubicación relativa del sujeto y el objeto del ataque es extremadamente importante, es decir, si se encuentran en segmentos diferentes o idénticos. Durante un ataque dentro de un segmento, el sujeto y el objetivo del ataque se encuentran en el mismo segmento. En el caso de un ataque entre segmentos, el sujeto y el objetivo del ataque se encuentran en diferentes segmentos de la red. Esta característica de clasificación permite juzgar el llamado "grado de lejanía" del ataque.

A continuación se mostrará que un ataque dentro de un segmento es mucho más fácil de llevar a cabo que un ataque entre segmentos. También observamos que un ataque remoto entre segmentos representa un peligro mucho mayor que uno dentro de un segmento. Esto se debe al hecho de que, en el caso de un ataque entre segmentos, el objetivo y el atacante pueden encontrarse a una distancia de muchos miles de kilómetros entre sí, lo que puede dificultar significativamente las medidas para repeler el ataque.

Según el nivel del modelo de referencia ISO/OSI al que se realiza el impacto

  • físico
  • conducto
  • red
  • transporte
  • de una sesión
  • representante
  • aplicado

La Organización Internacional de Normalización (ISO) adoptó la norma ISO 7498, que describe la interconexión de sistemas abiertos (OSI), a la que también pertenecen los RBC. Cada protocolo de comunicación de red, así como cada programa de red, se puede proyectar de una forma u otra sobre el modelo de 7 capas de referencia OSI. Esta proyección multinivel permite describir las funciones utilizadas en un protocolo o programa de red en términos del modelo OSI. UA es un programa de red y es lógico considerarlo desde el punto de vista de la proyección sobre el modelo de referencia ISO/OSI.

Breve descripción de algunos ataques a la red.

Fragmentación de datos

Cuando un paquete de datos IP se transmite a través de una red, el paquete se puede dividir en varios fragmentos. Posteriormente, al llegar al destino, el paquete se reconstruye a partir de estos fragmentos. Un atacante puede iniciar el envío de una gran cantidad de fragmentos, lo que provoca un desbordamiento de los buffers de software en el lado receptor y, en algunos casos, un fallo del sistema.

Ataque de inundación de ping

Este ataque requiere que el atacante tenga acceso a canales rápidos de Internet.

El programa ping envía un paquete ICMP de tipo ECHO REQUEST, configurando en él la hora y su identificador. El núcleo de la máquina receptora responde a dicha solicitud con un paquete ICMP ECHO REPLY. Al recibirlo, ping muestra la velocidad del paquete.

En el modo de funcionamiento estándar, los paquetes se envían a intervalos regulares, prácticamente sin carga en la red. Pero en el modo "agresivo", una avalancha de paquetes de solicitud/respuesta de eco ICMP puede sobrecargar una línea pequeña, impidiéndola transmitir información útil.

Protocolos no estándar encapsulados en IP

El paquete IP contiene un campo que especifica el protocolo del paquete encapsulado (TCP, UDP, ICMP). Los atacantes pueden utilizar un valor no estándar de este campo para transmitir datos que no serán registrados por las herramientas de control de flujo de información estándar.

Ataque pitufo

El ataque pitufo implica enviar solicitudes ICMP transmitidas a la red en nombre de la computadora víctima.

Como resultado, las computadoras que han recibido dichos paquetes de transmisión responden a la computadora víctima, lo que conduce a una reducción significativa en el rendimiento del canal de comunicación y, en algunos casos, al aislamiento completo de la red atacada. El ataque de los pitufos es extremadamente eficaz y generalizado.

Contrarrestar: para reconocer este ataque, es necesario analizar la carga del canal y determinar las razones de la disminución del rendimiento.

Ataque de suplantación de DNS

El resultado de este ataque es la introducción de una correspondencia forzada entre una dirección IP y un nombre de dominio en la caché del servidor DNS. Como resultado de un ataque exitoso, todos los usuarios del servidor DNS recibirán información incorrecta sobre nombres de dominio y direcciones IP. Este ataque se caracteriza por una gran cantidad de paquetes DNS con el mismo nombre de dominio. Esto se debe a la necesidad de seleccionar algunos parámetros de intercambio de DNS.

Contrarrestar: para detectar un ataque de este tipo, es necesario analizar el contenido del tráfico DNS o utilizar DNSSEC.

Ataque de suplantación de IP

Una gran cantidad de ataques en Internet están asociados con la falsificación de la dirección IP de origen. Dichos ataques también incluyen la suplantación de syslog, que implica enviar un mensaje a la computadora víctima en nombre de otra computadora en la red interna. Dado que el protocolo syslog se utiliza para mantener registros del sistema, al enviar mensajes falsos a la computadora víctima, es posible inducir información o encubrir las pistas de acceso no autorizado.

Contrarrestar: la detección de ataques relacionados con la suplantación de direcciones IP es posible monitoreando la recepción en una de las interfaces de un paquete con la dirección de origen de la misma interfaz o monitoreando la recepción de paquetes con direcciones IP de la red interna en la interfaz externa .

Imposición de paquetes

El atacante envía paquetes con una dirección de retorno falsa a la red. Con este ataque, un atacante puede cambiar las conexiones establecidas entre otras computadoras a su propia computadora. En este caso, los derechos de acceso del atacante se vuelven iguales a los derechos del usuario cuya conexión al servidor se cambió a la computadora del atacante.

Oler - escuchar un canal

Posible solo en el segmento de red local.

Casi todas las tarjetas de red admiten la capacidad de interceptar paquetes transmitidos a través de un canal de red local común. En este caso, la estación de trabajo puede recibir paquetes dirigidos a otras computadoras en el mismo segmento de red. De este modo, todo el intercambio de información en el segmento de la red queda disponible para el atacante. Para implementar con éxito este ataque, la computadora del atacante debe estar ubicada en el mismo segmento de red local que la computadora atacada.

Intercepción de paquetes en el enrutador

El software de red de un enrutador tiene acceso a todos los paquetes de red enviados a través del enrutador, lo que permite la interceptación de paquetes. Para llevar a cabo este ataque, el atacante debe tener acceso privilegiado a al menos un enrutador de la red. Dado que normalmente se transmiten tantos paquetes a través de un enrutador, la interceptación total de ellos es casi imposible. Sin embargo, es posible que un atacante intercepte y almacene paquetes individuales para su posterior análisis. La interceptación más eficaz de paquetes FTP que contienen contraseñas de usuario, así como de correo electrónico.

Forzar una ruta falsa en un host usando ICMP

En Internet existe un protocolo especial ICMP (Protocolo de mensajes de control de Internet), una de cuyas funciones es informar a los hosts sobre el cambio del enrutador actual. Este mensaje de control se llama redireccionamiento. Es posible enviar un mensaje de redireccionamiento falso desde cualquier host en el segmento de red en nombre del enrutador al host atacado. Como resultado, la tabla de enrutamiento actual del host cambia y, en el futuro, todo el tráfico de red de este host pasará, por ejemplo, a través del host que envió el mensaje de redireccionamiento falso. De esta manera, es posible imponer activamente una ruta falsa dentro de un segmento de Internet.

Además de los datos habituales enviados a través de una conexión TCP, el estándar también prevé la transmisión de datos urgentes (fuera de banda). En el nivel de formatos de paquetes TCP, esto se expresa como un puntero urgente distinto de cero. La mayoría de las PC con Windows instalado tienen el protocolo de red NetBIOS, que utiliza tres puertos IP para sus necesidades: 137, 138, 139. Si se conecta a una máquina con Windows a través del puerto 139 y envía varios bytes de datos OutOfBand allí, entonces la implementación de NetBIOS sin saber qué hacer con estos datos, simplemente cuelga o reinicia la máquina. Para Windows 95, esto generalmente parece una pantalla de texto azul que indica un error en el controlador TCP/IP y la imposibilidad de trabajar con la red hasta que se reinicie el sistema operativo. NT 4.0 sin Service Packs se reinicia, NT 4.0 con ServicePack 2 falla y aparece una pantalla azul. A juzgar por la información de la red, tanto Windows NT 3.51 como Windows 3.11 para trabajo en grupo son susceptibles a dicho ataque.

El envío de datos al puerto 139 provoca un reinicio de NT 4.0, o una "pantalla azul de la muerte" con el Service Pack 2 instalado. Un envío similar de datos al 135 y algunos otros puertos provoca una carga significativa en el proceso RPCSS.EXE. En Windows NT WorkStation, esto provoca una desaceleración significativa; Windows NT Server prácticamente se congela.

Suplantación de host de confianza

La implementación exitosa de ataques remotos de este tipo permitirá al atacante realizar una sesión con el servidor en nombre de un host confiable. (Host confiable: una estación que se conectó legalmente al servidor). La implementación de este tipo de ataque suele consistir en enviar paquetes de intercambio desde la estación del atacante en nombre de una estación de confianza bajo su control.

Tecnologías de detección de ataques
Las tecnologías de redes e información están cambiando tan rápidamente que los mecanismos de protección estáticos, que incluyen sistemas de control de acceso, cortafuegos y sistemas de autenticación, en muchos casos no pueden proporcionar una protección eficaz. Por lo tanto, se requieren métodos dinámicos para detectar y prevenir rápidamente violaciones de seguridad. Una tecnología que puede detectar infracciones que no pueden identificarse mediante los modelos tradicionales de control de acceso es la tecnología de detección de intrusiones.

Básicamente, el proceso de detección de ataques es el proceso de evaluar actividades sospechosas que ocurren en una red corporativa. En otras palabras, la detección de intrusiones es el proceso de identificar y responder a actividades sospechosas dirigidas a recursos informáticos o de red.

Métodos para analizar información de red.

La eficacia de un sistema de detección de ataques depende en gran medida de los métodos utilizados para analizar la información recibida. Los primeros sistemas de detección de intrusiones, desarrollados a principios de los años 80, utilizaban métodos estadísticos para detectar ataques. Actualmente, se han añadido una serie de nuevas técnicas al análisis estadístico, desde los sistemas expertos y la lógica difusa hasta el uso de redes neuronales.

Método estadístico

Las principales ventajas del enfoque estadístico son el uso de un aparato de estadística matemática ya desarrollado y probado y la adaptación al comportamiento del sujeto.

En primer lugar, se determinan perfiles para todos los sujetos del sistema analizado. Cualquier desviación del perfil utilizado respecto al de referencia se considera actividad no autorizada. Los métodos estadísticos son universales porque el análisis no requiere conocimiento de posibles ataques ni de las vulnerabilidades que explotan. Sin embargo, al utilizar estas técnicas surgen problemas:

  • los sistemas “estadísticos” no son sensibles al orden de los acontecimientos; en algunos casos, los mismos acontecimientos, según el orden en que ocurren, pueden caracterizar una actividad anormal o normal;
  • es difícil establecer los valores límite (umbral) de las características monitoreadas por el sistema de detección de ataques para identificar adecuadamente la actividad anómala;
  • Los atacantes pueden "entrenar" sistemas "estadísticos" con el tiempo para que las acciones de ataque se consideren normales.

También se debe tener en cuenta que los métodos estadísticos no son aplicables en los casos en que no existe un patrón de comportamiento típico del usuario o cuando las acciones no autorizadas son típicas del usuario.

Sistemas expertos

Los sistemas expertos consisten en un conjunto de reglas que capturan el conocimiento de un experto humano. El uso de sistemas expertos es un método común de detección de ataques en el que la información del ataque se formula en forma de reglas. Estas reglas pueden escribirse, por ejemplo, como una secuencia de acciones o como una firma. Cuando se cumple cualquiera de estas reglas, se toma una decisión sobre la presencia de actividad no autorizada. Una ventaja importante de este enfoque es la ausencia casi total de falsas alarmas.

La base de datos del sistema experto debería contener scripts para la mayoría de los ataques conocidos actualmente. Para mantenerse constantemente actualizados, los sistemas expertos requieren una actualización constante de la base de datos. Aunque los sistemas expertos ofrecen una buena manera de ver los datos en los registros, el administrador puede ignorar o realizar manualmente las actualizaciones necesarias. Como mínimo, esto da como resultado un sistema experto con capacidades debilitadas. En el peor de los casos, la falta de un mantenimiento adecuado reduce la seguridad de toda la red, engañando a sus usuarios sobre el nivel real de seguridad.

La principal desventaja es la incapacidad de repeler ataques desconocidos. Además, incluso un pequeño cambio en un ataque ya conocido puede convertirse en un serio obstáculo para el funcionamiento del sistema de detección de ataques.

Redes neuronales

La mayoría de los métodos modernos de detección de ataques utilizan alguna forma de análisis de espacio controlado, ya sea basado en reglas o con un enfoque estadístico. El espacio controlado puede ser registros o tráfico de red. El análisis se basa en un conjunto de reglas predefinidas que son creadas por el administrador o el propio sistema de detección de intrusos.

Cualquier separación de un ataque a lo largo del tiempo o entre múltiples atacantes es difícil de detectar utilizando sistemas expertos. Debido a la gran variedad de ataques y piratas informáticos, incluso ad hoc, las actualizaciones continuas de la base de datos de reglas del sistema experto nunca garantizarán una identificación precisa de toda la gama de ataques.

El uso de redes neuronales es una de las formas de superar estos problemas de los sistemas expertos. A diferencia de los sistemas expertos, que pueden dar al usuario una respuesta definitiva sobre el cumplimiento de las características consideradas con las reglas integradas en la base de datos, una red neuronal analiza la información y brinda la oportunidad de evaluar si los datos son consistentes con las características que son. capacitado para reconocer. Si bien el grado de correspondencia de la representación de una red neuronal puede alcanzar el 100%, la confiabilidad de la elección depende completamente de la calidad del sistema al analizar ejemplos de la tarea.

Primero, la red neuronal se entrena para identificar correctamente utilizando una muestra preseleccionada de ejemplos de dominio. Se analiza la respuesta de la red neuronal y se ajusta el sistema de forma que se consigan resultados satisfactorios. Además del período de entrenamiento inicial, la red neuronal gana experiencia con el tiempo a medida que analiza datos de dominios específicos.

Una ventaja importante de las redes neuronales a la hora de detectar abusos es su capacidad para "aprender" las características de los ataques deliberados e identificar elementos que no se parecen a los observados anteriormente en la red.

Cada uno de los métodos descritos tiene una serie de ventajas y desventajas, por lo que ahora es casi difícil encontrar un sistema que implemente solo uno de los métodos descritos. Como regla general, estos métodos se utilizan en combinación.

Problemas de seguridad de la red IP

Análisis de amenazas a la seguridad de la red.

Para organizar las comunicaciones en un entorno de red heterogéneo, se utiliza un conjunto de protocolos TCP/IP, que garantizan la compatibilidad entre ordenadores de diferentes tipos. La compatibilidad es una de las principales ventajas de TCP/IP, razón por la cual la mayoría de las redes informáticas admiten estos protocolos. Además, los protocolos TCP/IP brindan acceso a los recursos de Internet global.

Debido a su popularidad, TCP/IP se ha convertido en el estándar de facto para la conexión en red. Sin embargo, la ubicuidad de la pila de protocolos TCP/IP también ha expuesto sus debilidades. Al crear su creación, los arquitectos de la pila TCP/IP no vieron ningún motivo para preocuparse especialmente por la protección de las redes construidas sobre ella. Por lo tanto, las especificaciones de las primeras versiones del protocolo IP carecían de requisitos de seguridad, lo que conducía a la vulnerabilidad inherente a su implementación.

El rápido crecimiento de la popularidad de las tecnologías de Internet va acompañado de un aumento de las amenazas graves de divulgación de datos personales, recursos corporativos críticos, secretos de estado, etc.

Todos los días, los piratas informáticos y otros actores maliciosos comprometen los recursos de información en línea al intentar obtener acceso a ellos mediante ataques especiales. Estos ataques son cada vez más sofisticados en cuanto a su impacto y más sencillos de ejecutar. Dos factores principales contribuyen a esto.

En primer lugar, se trata de la penetración generalizada de Internet. Hoy en día, millones de ordenadores están conectados a esta red. Con muchos millones de computadoras conectadas a Internet en un futuro cercano, la probabilidad de que los piratas informáticos obtengan acceso a computadoras y redes informáticas vulnerables está aumentando. Además, el uso generalizado de Internet permite a los piratas informáticos intercambiar información a escala global.

En segundo lugar, está la proliferación generalizada de sistemas operativos y entornos de desarrollo fáciles de usar. Este factor reduce drásticamente los requisitos de nivel de conocimiento del atacante. Anteriormente, un hacker necesitaba buenos conocimientos y habilidades de programación para crear y distribuir malware. Ahora, para obtener acceso a la herramienta de un hacker, sólo necesita saber la dirección IP del sitio deseado y, para llevar a cabo un ataque, simplemente haga clic con el mouse.

Los problemas para garantizar la seguridad de la información en las redes informáticas corporativas son causados ​​por amenazas a la seguridad de las estaciones de trabajo locales, redes locales y ataques a redes corporativas que tienen acceso a redes públicas de datos.

Los ataques a la red son tan variados como los sistemas a los que se dirigen. Algunos ataques son muy difíciles. Otros pueden ser realizados por un operador común y corriente que ni siquiera imagina las consecuencias que pueden tener sus actividades.



Un intruso, al realizar un ataque, suele fijarse los siguientes objetivos:

v violación de la confidencialidad de la información transmitida;

v violación de la integridad y confiabilidad de la información transmitida;

v alteración del sistema en su conjunto o de sus partes individuales.

Desde el punto de vista de la seguridad, los sistemas distribuidos se caracterizan principalmente por la presencia ataques remotos , Dado que los componentes de los sistemas distribuidos suelen utilizar canales de transmisión de datos abiertos y un intruso no sólo puede escuchar pasivamente la información transmitida, sino también modificar el tráfico transmitido (influencia activa). Y si se puede registrar el impacto activo sobre el tráfico, el impacto pasivo es prácticamente imperceptible. Pero como durante el funcionamiento de los sistemas distribuidos el intercambio de información de servicio entre los componentes del sistema también se realiza a través de canales de transmisión de datos abiertos, la información de servicio se convierte en el mismo objeto de ataque que los datos de usuario.

La dificultad de detectar el hecho de un ataque remoto coloca a este tipo de acción ilegal en primer lugar en cuanto al grado de peligrosidad, ya que impide una respuesta oportuna a la amenaza, por lo que el infractor aumenta las posibilidades de llevar a cabo con éxito. realizar el ataque.

La seguridad de la red local en comparación con la seguridad de la red se diferencia en que en este caso la seguridad es lo primero en importancia. violaciones de usuarios registrados , ya que, en general, los canales de transmisión de datos de la red local están ubicados en un área controlada y la protección contra conexiones no autorizadas a ellos se implementa mediante métodos administrativos.

En la práctica, las redes IP son vulnerables a una serie de métodos de intrusión no autorizada en el proceso de intercambio de datos. A medida que se desarrollan las tecnologías informáticas y de redes (por ejemplo, con la llegada de las aplicaciones Java móviles y los controles ActiveX), la lista de posibles tipos de ataques de red a redes IP se expande constantemente [Galitsky A.V., Ryabko S.D., Shangin V.F. Protección de la información en la red: análisis de tecnologías y síntesis de soluciones. Moscú: DMK Press, 2004].

Veamos los tipos más comunes de ataques a la red.

Escuchar (olfatear). Gran parte de los datos en las redes informáticas se transmiten en un formato no seguro (texto sin formato), lo que permite a un atacante con acceso a las líneas de datos de su red espiar o leer el tráfico. Para escuchar a escondidas las redes informáticas que utilizan oledor rastreador de paquetes es un programa de aplicación que intercepta todos los paquetes de red transmitidos a través de un dominio específico.

Actualmente, los rastreadores operan en las redes de forma totalmente legal. Se utilizan para diagnóstico de fallas y análisis de tráfico. Sin embargo, dado que algunas aplicaciones de red transfieren datos en formato de texto (Telnet, FTP, SMTP, POP3, etc.), el uso de un rastreador puede revelar información útil y, a veces, confidencial (por ejemplo, nombres de usuario y contraseñas).

Rastreo de contraseñas transmitido a través de una red en forma no cifrada mediante “escucha” en el canal es un tipo de ataque de escucha. La interceptación de inicios de sesión y contraseñas plantea una gran amenaza porque los usuarios suelen utilizar el mismo inicio de sesión y contraseña para múltiples aplicaciones y sistemas. Muchos usuarios generalmente tienen una contraseña para acceder a todos los recursos y aplicaciones. Si la aplicación se ejecuta en modo cliente/servidor y los datos de autenticación se transmiten a través de la red en un formato de texto legible, es probable que esta información se pueda utilizar para acceder a otros recursos corporativos o externos.

En el peor de los casos, un pirata informático obtiene acceso a nivel de sistema a un recurso de usuario y lo utiliza para crear nuevos atributos de usuario que pueden utilizarse para acceder a la red y sus recursos en cualquier momento.

Puede prevenir la amenaza de rastreo de paquetes utilizando lo siguiente:
medidas y medios:

v uso de contraseñas de un solo uso para la autenticación;

v instalación de hardware o software que reconozca
rastreadores;

v aplicación de protección criptográfica de los canales de comunicación.

Cambiando datos. Un atacante que pudo leer.
sus datos, podrá dar el siguiente paso: cambiarlos. Datos en
El paquete se puede cambiar incluso si el atacante no sabe nada.
sobre el remitente o el destinatario. Incluso si no necesitas estricto
confidencialidad de todos los datos transmitidos, probablemente no desee,
para que sean cambiados en el camino.

Análisis de tráfico de red. El propósito de ataques como este.
tipo están escuchando los canales de comunicación y analizando los transmitidos
Datos e información de servicios para estudiar topología y arquitectura.
construir un sistema, obtener información crítica del usuario
(por ejemplo, contraseñas de usuario o números de tarjetas de crédito transmitidos
en forma abierta). Protocolos como FTP son susceptibles a este tipo de ataques.
o Telnet, cuya característica es que el nombre de usuario y la contraseña
transmitidos dentro de estos protocolos en texto claro.

Sustitución de un sujeto de confianza. La mayoría de las redes y operaciones
Los sistemas utilizan la dirección IP de la computadora para determinar si
este es el destinatario que se necesita. En algunos casos puede ser incorrecto.
asignación de una dirección IP (sustitución de la dirección IP del remitente por otra dirección), tal
el método de ataque se llama falsificación de dirección(Suplantación de propiedad intelectual).

La suplantación de IP ocurre cuando un atacante, dentro o fuera de una corporación, se hace pasar por un usuario legítimo. Un atacante podría utilizar una dirección IP que esté dentro del rango de direcciones IP autorizadas o una dirección externa autorizada a la que se le permita acceder a ciertos recursos de la red. Un atacante también puede utilizar programas especiales que dan forma a los paquetes IP para que parezcan provenir de direcciones internas autorizadas en la red corporativa.

Los ataques de suplantación de IP suelen ser el punto de partida de otros ataques. Ejemplo clásico es ataque como " negación de servicio"(DoS), que comienza con la dirección de otra persona, ocultando la verdadera identidad del hacker. Normalmente, la suplantación de IP se limita a insertar información falsa o comandos maliciosos en el flujo normal de datos transmitidos entre una aplicación cliente y servidor o a través de un canal de comunicación entre dispositivos pares.

La amenaza de suplantación de identidad se puede mitigar (pero no eliminar) mediante las siguientes medidas:

v configuración correcta del control de acceso desde la red externa;

v supresión de intentos de falsificar las redes de otras personas por parte de los usuarios de su red.

Tenga en cuenta que la suplantación de IP puede ocurrir si los usuarios se autentican en función de las direcciones IP, por lo que la introducción de métodos de autenticación de usuario adicionales (basados ​​en contraseñas de un solo uso u otros métodos criptográficos) puede prevenir ataques de suplantación de IP.

Mediación. Un ataque de intermediario implica escuchas activas, interceptación y control de los datos transmitidos por parte de un nodo intermedio invisible. Cuando las computadoras se comunican en niveles bajos de red, no siempre pueden determinar con quién se están comunicando.

Mediación en el intercambio de claves no cifradas (ataque Man-in-the-Middle). Para llevar a cabo un ataque Man-in-the-Middle, un atacante necesita acceso a los paquetes transmitidos a través de la red. Dicho acceso a todos los paquetes transmitidos desde un ISP a cualquier otra red puede obtenerlo, por ejemplo, un empleado de este proveedor. Para este tipo de ataque se suelen utilizar rastreadores de paquetes, protocolos de transporte y protocolos de enrutamiento.

En un caso más general, los ataques Man-in-the-Middle se llevan a cabo para robar información, interceptar la sesión actual y obtener acceso a recursos de la red privada, analizar el tráfico y obtener información sobre la red y sus usuarios, para realizar DoS. ataques, distorsionar los datos transmitidos e introducir información no autorizada en las sesiones de red.

Los ataques Man-m-the-Middle sólo pueden combatirse eficazmente mediante criptografía. Para contrarrestar este tipo de ataques se utiliza la infraestructura de gestión de claves públicas PKI (Public Key Infrastructure).

Secuestro de sesión. Una vez completado el procedimiento de autenticación inicial, el atacante cambia la conexión establecida por el usuario legítimo, por ejemplo, con un servidor de correo, a un nuevo host y ordena al servidor original que finalice la conexión. Como resultado, el “interlocutor” del usuario legítimo es reemplazado silenciosamente.

Después de obtener acceso a la red, el atacante tiene grandes oportunidades:

v puede enviar datos incorrectos a aplicaciones y servicios de red, provocando que fallen o funcionen mal;

v también puede inundar una computadora o una red entera con tráfico hasta que el sistema falle debido a una sobrecarga;

v Por último, el atacante puede bloquear el tráfico, lo que provocará la pérdida de acceso a los recursos de la red para los usuarios autorizados.

Denegación de Servicio (DoS). Este ataque es diferente de otros tipos de ataques. No tiene como objetivo obtener acceso a su red ni extraer información de esa red. Un ataque DoS hace que la red de una organización no esté disponible para su uso normal al exceder los límites permitidos de la red, el sistema operativo o la aplicación. Básicamente, este ataque niega a los usuarios normales el acceso a recursos o computadoras en la red de una organización.

La mayoría de los ataques DoS se basan en debilidades generales en la arquitectura del sistema. En el caso de algunas aplicaciones de servidor (como un servidor web o un servidor FTP), los ataques DoS pueden implicar tomar todas las conexiones disponibles para esas aplicaciones y mantenerlas ocupadas, evitando

servicios para usuarios comunes. Los ataques DoS pueden utilizar protocolos de Internet comunes como TCP e ICMP (Protocolo de mensajes de control de Internet).

Los ataques DoS son difíciles de prevenir porque requieren coordinación con su ISP. Si el proveedor no puede detener el tráfico destinado a saturar su red, entonces en la entrada de la red ya no podrá hacerlo, porque todo el ancho de banda estará ocupado.

Si este tipo de ataque se realiza simultáneamente a través de muchos dispositivos, decimos sobre el ataque DDoS de denegación de servicio distribuido(DoS distribuido).

La facilidad de implementación de los ataques DoS y el enorme daño que causan a las organizaciones y a los usuarios atraen la atención de los administradores de seguridad de la red hacia estos ataques.

Ataques de contraseña. El objetivo de estos ataques es obtener la contraseña y el inicio de sesión del usuario legítimo. Los atacantes pueden realizar ataques a contraseñas utilizando métodos como:

v O sustitución de dirección IP (suplantación de identidad 1P);

v escuchar a escondidas (olfatear);

v búsqueda simple.

La suplantación de IP y el rastreo de paquetes se analizaron anteriormente. Estos métodos le permiten capturar la contraseña de un usuario e iniciar sesión si se transmiten en texto claro a través de un canal inseguro.

A menudo, los piratas informáticos intentan adivinar la contraseña e iniciar sesión mediante numerosos intentos de acceso. Este enfoque se llama ataque de fuerza bruta(ataque de fuerza bruta). Este ataque utiliza un programa especial que intenta obtener acceso a un recurso público (por ejemplo, un servidor). Si, como resultado, el atacante logra adivinar la contraseña, obtiene acceso a los recursos como un usuario normal. Si este usuario tiene importantes privilegios de acceso, un atacante puede crear un "pase" para acceso futuro que permanecerá vigente incluso si el usuario cambia su contraseña e inicio de sesión.

Las herramientas para interceptar, seleccionar y descifrar contraseñas se consideran actualmente prácticamente legales y son producidas oficialmente por un número bastante grande de empresas. Se comercializan como software de auditoría de seguridad y recuperación de contraseñas perdidas y se pueden comprar legalmente a los desarrolladores.

Los ataques a contraseñas se pueden evitar si no se utilizan contraseñas de texto sin formato. El uso de contraseñas de un solo uso y autenticación criptográfica puede eliminar prácticamente la amenaza de este tipo de ataques. Lamentablemente, no todas las aplicaciones, hosts y dispositivos admiten estos métodos de autenticación.

Cuando utilice contraseñas normales, deberá crear una que sea difícil de adivinar. La longitud mínima de la contraseña debe ser de al menos ocho caracteres. La contraseña debe incluir caracteres en mayúsculas, números y caracteres especiales (#, $, &, %, etc.).

Adivinando la clave. Una clave criptográfica es un código o número necesario para descifrar información protegida. Aunque descubrir la clave de acceso es difícil y requiere muchos recursos, es posible. En particular, para determinar el valor de una clave, se puede utilizar un programa especial que implemente el método de búsqueda exhaustiva. La clave a la que accede el atacante se llama comprometida. El atacante utiliza la clave comprometida para obtener acceso a los datos transmitidos protegidos sin el conocimiento del remitente y del destinatario. La clave permite descifrar y cambiar datos.

Ataques a nivel de aplicación. Estos ataques se pueden llevar a cabo de varias formas. El más común de ellos es explotar debilidades conocidas en el software del servidor (FTP, HTTP, servidores web).

El principal problema con los ataques a la capa de aplicación es que a menudo utilizan puertos a los que se les permite atravesar el firewall.

La información sobre ataques a nivel de aplicación se publica ampliamente para permitir a los administradores corregir el problema utilizando módulos correctivos (parches). Lamentablemente, muchos piratas informáticos también tienen acceso a esta información, lo que les permite aprender.

Es imposible eliminar por completo los ataques a nivel de aplicación. Los piratas informáticos descubren y publican constantemente nuevas vulnerabilidades en los programas de aplicación de sus sitios de Internet.

Aquí es importante una buena administración del sistema. Para reducir su vulnerabilidad a este tipo de ataque, puede seguir los siguientes pasos:

v analizar archivos de registro del sistema operativo y archivos de registro de red utilizando aplicaciones analíticas especiales;

v monitorear los datos del CERT sobre las debilidades del software de aplicación;

v utilizar las últimas versiones de sistemas operativos y aplicaciones y los últimos módulos de corrección (parches);

v utilizar sistemas de detección de ataques IDS (Sistemas de detección de intrusiones).

Inteligencia de red es la recopilación de información de la red utilizando datos y aplicaciones disponibles públicamente. Al preparar un ataque contra una red, un pirata informático suele intentar obtener la mayor cantidad de información posible sobre ella.

El reconocimiento de la red se lleva a cabo en forma de consultas DNS,
pruebas de eco (barrido de ping) y escaneo de puertos. Las consultas de DNS le ayudan a comprender quién es el propietario de un dominio en particular y qué direcciones están asignadas a ese dominio. Hacer ping a las direcciones reveladas por DNS le permite ver qué hosts se están ejecutando realmente en un entorno determinado. Después de recibir una lista de hosts, el pirata informático utiliza herramientas de escaneo de puertos para compilar una lista completa de los servicios admitidos por esos hosts. Como resultado, se obtiene información que puede utilizarse para piratear.

Es imposible deshacerse por completo de la inteligencia de red. Si, por ejemplo, desactiva el eco ICMP y la respuesta de eco en los enrutadores de borde, se deshará de las pruebas de ping, pero perderá los datos necesarios para diagnosticar fallas de red. Además, puede escanear puertos sin realizar pruebas de ping previas. Sólo que llevará más tiempo, ya que también tendrás que escanear direcciones IP inexistentes.

Los sistemas IDS a nivel de red y de host generalmente hacen un buen trabajo al notificar a los administradores sobre el reconocimiento de red en curso, lo que les permite prepararse mejor para un próximo ataque y alertar al ISP en cuya red un sistema está siendo demasiado curioso.

Abuso de confianza. Este tipo de acción no es un ataque en el pleno sentido de la palabra. Representa la explotación maliciosa de las relaciones de confianza que existen en una red. Un ejemplo típico de este tipo de abuso es la situación en la parte periférica de la red corporativa. Este segmento suele albergar servidores DNS, SMTP y HTTP. Como todos pertenecen al mismo segmento, hackear uno de ellos conduce al hackeo de todos los demás, ya que estos servidores confían en otros sistemas de su red.

El riesgo de abuso de confianza se puede reducir controlando más estrictamente los niveles de confianza dentro de su red. Los sistemas ubicados fuera del firewall nunca deberían tener confianza absoluta en los sistemas protegidos por el firewall.

Las relaciones de confianza deben limitarse a protocolos específicos y, si es posible, autenticarse no sólo mediante direcciones IP, sino también mediante otros parámetros. Programas maliciosos. Dichos programas incluyen virus informáticos, gusanos de red y programas troyanos.

Virus son programas maliciosos que se insertan en otros programas para realizar una función específica no deseada en la estación de trabajo del usuario final. Los atacantes suelen desarrollar un virus de tal manera que permanezca sin ser detectado en un sistema informático durante el mayor tiempo posible. El período inicial de latencia de los virus es un mecanismo para su supervivencia. El virus se manifiesta de forma completa en un momento concreto, cuando se produce algún evento de convocatoria, por ejemplo el viernes 13, una fecha conocida, etc.

Un tipo de programa de virus es gusano de red, que se distribuye a través de la red global y no deja su copia en soporte magnético. Este término se utiliza para nombrar programas que, como las tenias, se mueven a través de una red informática de un sistema a otro. El gusano utiliza mecanismos de soporte de red para determinar qué host puede verse afectado. Luego, utilizando los mismos mecanismos, el gusano transfiere su cuerpo a este nodo y se activa o espera las condiciones adecuadas para la activación. Los gusanos de red son un tipo peligroso de malware porque el objetivo de su ataque puede ser cualquiera de los millones de computadoras conectadas a Internet global. Para protegerse contra un gusano, debe tomar precauciones contra el acceso no autorizado a su red interna.

Los virus informáticos están relacionados con los llamados "caballos de Troya"(Programas troyanos). Un “caballo de Troya” es un programa que parece una aplicación útil, pero que en realidad realiza funciones dañinas (destrucción de software
proporcionar, copiar y enviar archivos con datos confidenciales al atacante, etc.). El peligro de un caballo de Troya reside en un bloque adicional de comandos insertado en el programa inofensivo original, que luego se proporciona a los usuarios de AS. Este bloque de comandos se puede activar cuando ocurre cualquier condición (fecha, estado del sistema) o ante un comando externo. Un usuario que ejecuta un programa de este tipo pone en peligro tanto sus archivos como todo el sistema.

Según el Informe de gestión de amenazas de seguridad de Sophos, los caballos de Troya superaron en número a los virus y gusanos en una proporción de cuatro a uno en el primer semestre de 2006, frente al doble que en los primeros seis meses de 2005. Sophos también informa de la aparición de un nuevo tipo de " Programas troyanos, llamados ransomware. Estos programas roban datos de los ordenadores infectados y luego piden al usuario que pague un determinado rescate por ellos.

Las estaciones de trabajo de los usuarios finales son muy vulnerables a virus, gusanos y caballos de Troya.

Una característica del malware moderno es su ataque a software de aplicación específico, que se ha convertido en un estándar de facto para la mayoría de los usuarios, principalmente Microsoft Internet Explorer y Microsoft Outlook. La creación masiva de virus para los productos de Microsoft se explica no sólo por el bajo nivel de seguridad y confiabilidad de los programas, sino también por la distribución global de estos productos. Los autores de software malicioso están comenzando cada vez más a explorar “agujeros” en DBMS populares, middleware y aplicaciones empresariales corporativas construidas sobre estos sistemas.

Los virus, gusanos y caballos de Troya evolucionan constantemente y la principal tendencia en su desarrollo es el polimorfismo. Hoy en día es bastante difícil distinguir entre un virus, un gusano y un troyano; utilizan casi los mismos mecanismos; la ligera diferencia reside únicamente en el grado de uso. El diseño del software malicioso se ha vuelto tan unificado hoy en día que, por ejemplo, es casi imposible distinguir un virus de correo electrónico de un gusano con funciones destructivas. Incluso los programas "troyanos" tienen una función de replicación (como uno de los medios para contrarrestar las herramientas antivirus), por lo que, si se desea, pueden denominarse virus (con un mecanismo de distribución en forma de disfrazarse de programas de aplicación).

Para protegerse contra estos programas maliciosos, es necesario tomar una serie de medidas:

v impedir el acceso no autorizado a archivos ejecutables;

v pruebas del software adquirido;

v monitorear la integridad de los archivos ejecutables y áreas del sistema;

v creación de un entorno cerrado de ejecución de programas.

Los virus, gusanos y caballos de Troya se combaten mediante un software antivirus eficaz que actúa a nivel de usuario y posiblemente a nivel de red. A medida que aparecen nuevos virus, gusanos y caballos de Troya, es necesario instalar nuevas bases de datos de herramientas y aplicaciones antivirus.

Spam y phishing se refieren a amenazas que no son de software. La prevalencia de estas dos amenazas ha aumentado significativamente en los últimos tiempos.

Correo basura, cuyo volumen supera actualmente el 80% del volumen total del tráfico de correo, puede suponer una amenaza para la disponibilidad de información al bloquear servidores de correo o utilizarse para distribuir software malicioso.

Phishing(phishing) es un tipo relativamente nuevo de fraude en Internet, cuyo objetivo es obtener datos de identificación del usuario. Esto incluye el robo de contraseñas, números de tarjetas de crédito, cuentas bancarias, códigos PIN y otra información confidencial que da acceso al dinero del usuario. El phishing no se aprovecha de los fallos técnicos del software, sino de la credulidad de los internautas. El término phishing en sí, en consonancia con la pesca, significa pesca de recolección de contraseñas: pesca de contraseñas. De hecho, el phishing es muy similar a la pesca. El atacante lanza un cebo a Internet y “atrapa todos los peces”: los internautas que morderán este cebo.

El atacante crea una copia casi exacta del sitio web del banco seleccionado (sistema de pago electrónico, subasta, etc.). Luego, utilizando tecnología de spam, se envía una carta por correo electrónico, redactada de tal manera que se parezca lo más posible a una carta real del banco seleccionado. Al redactar la carta se utilizan los logotipos del banco, los nombres y apellidos de los verdaderos directores del banco. Dicha carta, por regla general, informa que debido a un cambio en el software del sistema bancario por Internet, el usuario debe confirmar o cambiar sus credenciales. El motivo del cambio de datos puede ser un fallo del software del banco o un ataque de piratas informáticos. La presencia de una leyenda plausible que anime al usuario a tomar las medidas necesarias es un componente indispensable para el éxito de los phishers fraudulentos. En todos los casos, el propósito de dichas cartas es el mismo: obligar al usuario a hacer clic en el enlace proporcionado y luego ingresar sus datos confidenciales (contraseñas, números de cuenta, códigos PIN) en el sitio web superpuesto del banco (sistema de pago electrónico, subasta). . Después de visitar un sitio falso, el usuario ingresa sus datos confidenciales en las líneas correspondientes y luego los estafadores obtienen acceso a su buzón de correo, en el mejor de los casos, o a su cuenta electrónica, en el peor.

Se están mejorando las tecnologías de phisher y se utilizan métodos de ingeniería social. Intentan asustar al cliente y encontrarle una razón fundamental para que revele sus datos confidenciales. Normalmente, los mensajes contienen amenazas, como bloquear una cuenta si el destinatario no cumple con los requisitos establecidos en el mensaje.

Apareció un conjugado con concepto de phishing - farmacéutico . También se trata de una estafa cuyo objetivo es obtener datos personales de los usuarios, pero no por correo, sino directamente a través de sitios web oficiales. Los agricultores reemplazan las direcciones digitales de sitios web legítimos en servidores DNS con direcciones falsas, como resultado de lo cual los usuarios son redirigidos a sitios fraudulentos. Este tipo de fraude es aún más peligroso, ya que es casi imposible detectar una falsificación.

Hoy en día, los estafadores suelen utilizar caballos de Troya. En este caso, la tarea del phisher se simplifica enormemente: basta con obligar al usuario a ir al sitio de phishing y "elegir" un programa que encontrará de forma independiente todo lo que necesita en el disco duro de la víctima. Junto con los programas troyanos, comenzaron a utilizarse. registradores de teclas. En sitios falsos, se descargan en las computadoras de las víctimas herramientas de software espía que rastrean las pulsaciones de teclas. Al utilizar este enfoque, no es necesario encontrar acceso a los clientes de un banco o empresa en particular y, por lo tanto, los phishers comenzaron a falsificar sitios de uso general, como fuentes de noticias y motores de búsqueda.

El éxito de las estafas de phishing se ve facilitado por el bajo nivel de conocimiento de los usuarios sobre las reglas de funcionamiento de las empresas en cuyo nombre actúan los delincuentes. En particular, alrededor del 5% de los usuarios desconoce un simple hecho: los bancos no envían cartas pidiéndoles que confirmen en línea su número de tarjeta de crédito y su PIN.

Según los analistas (www.cnews.ru), el daño causado por los phishers a la economía mundial ascendió a 14 mil millones de dólares en 2003, y un año después alcanzó los 44 mil millones de dólares. Según las estadísticas de Symantec, a mediados de 2004, los filtros de la empresa bloqueaban cada semana hasta 9 millones de correos electrónicos con contenido de phishing. A finales de año, ya se habían descartado 33 millones durante el mismo período.

Los filtros de spam siguen siendo la principal defensa contra el phishing. Lamentablemente, las herramientas de software antiphishing tienen una eficacia limitada, ya que los atacantes aprovechan principalmente la psicología humana en lugar de los fallos del software. Se están desarrollando activamente medidas técnicas de seguridad, principalmente complementos para navegadores populares. La esencia de la protección es bloquear sitios incluidos en las "listas negras" de recursos fraudulentos. El siguiente paso podrían ser sistemas para generar contraseñas de un solo uso para el acceso a Internet a cuentas bancarias y cuentas en sistemas de pago, y la distribución generalizada de niveles adicionales de protección mediante una combinación de introducción de una contraseña mediante una llave de hardware USB.

Los ataques enumerados a redes IP son posibles por varias razones:

v uso de canales públicos de transmisión de datos. Los datos críticos se transmiten a través de la red sin cifrar;

v vulnerabilidades en los procedimientos de autenticación implementados en la pila TCP/IP. La información de identidad en la capa IP se transmite en texto claro;

v la ausencia en la versión básica de la pila del protocolo TCP/IP de mecanismos que garanticen la confidencialidad e integridad de los mensajes transmitidos;

v el remitente está autenticado por su dirección IP. El procedimiento de autenticación se realiza sólo en la etapa de establecimiento de la conexión y posteriormente no se verifica la autenticidad de los paquetes recibidos;

v falta de control sobre la ruta de los mensajes en Internet, lo que hace que los ataques remotos a la red queden prácticamente impunes.

Existe una gran variedad de configuraciones de computadoras, sistemas operativos y equipos de red diferentes, sin embargo, esto no se convierte en un obstáculo para el acceso a la red global. Esta situación fue posible gracias al protocolo de red universal TCP/IP, que establece ciertos estándares y reglas para la transmisión de datos a través de Internet. Desafortunadamente, esta versatilidad ha llevado al hecho de que las computadoras que usan este protocolo se han vuelto vulnerables a la influencia externa, y dado que el protocolo TCP/IP se usa en todas las computadoras conectadas a Internet, los atacantes no necesitan desarrollar medios individuales para acceder a los datos de otras personas. máquinas.

Un ataque a la red es un intento de influir en una computadora remota utilizando métodos de software. Como regla general, el objetivo de un ataque a la red es violar la confidencialidad de los datos, es decir, robar información. Además, los ataques a la red se llevan a cabo para acceder a la computadora de otra persona y posteriormente cambiar los archivos que se encuentran en ella.

Existen varios tipos de clasificación de ataques a la red. Uno de ellos se basa en el principio de influencia. Los ataques pasivos a la red tienen como objetivo obtener información confidencial de una computadora remota. Estos ataques, por ejemplo, incluyen la lectura de mensajes de correo electrónico entrantes y salientes. En cuanto a los ataques activos a redes, su tarea no es sólo el acceso a determinada información, sino también su modificación. Una de las diferencias más significativas entre estos tipos de ataques es que la interferencia pasiva es casi imposible de detectar, mientras que los efectos de un ataque activo suelen ser perceptibles.

Además, los ataques se clasifican según para qué objetivos sirven. Entre las tareas principales, por regla general, se encuentran la interrupción del funcionamiento de la computadora, el acceso no autorizado a la información y la modificación oculta de los datos almacenados en la computadora. Por ejemplo, piratear el servidor de una escuela para cambiar las calificaciones en las revistas se clasifica como un ataque de red activo del tercer tipo.

Tecnologías de protección

Se desarrollan y mejoran constantemente métodos de protección contra ataques a la red, pero ninguno de ellos ofrece una garantía completa. El caso es que cualquier defensa estática tiene debilidades, ya que es imposible protegerse contra todo a la vez. En cuanto a los métodos de protección dinámicos, como los estadísticos, expertos, de lógica difusa y las redes neuronales, también tienen sus debilidades, ya que se basan principalmente en el análisis de acciones sospechosas y en su comparación con métodos conocidos de ataques a la red. En consecuencia, la mayoría de los sistemas de defensa ceden ante tipos de ataques desconocidos y empiezan a repeler la intrusión demasiado tarde. Sin embargo, los sistemas de seguridad modernos hacen que al atacante le resulte tan difícil acceder a los datos que es más racional buscar otra víctima.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba