Amenazas a la seguridad informática y conceptos básicos de la protección antivirus. ¿Cuáles son los tipos de amenazas de red? Veámoslas en orden

Amenazas a la seguridad informática y conceptos básicos de la protección antivirus. ¿Cuáles son los tipos de amenazas de red? Veámoslas en orden

Pantalla Solución de problemas Le permite cambiar la configuración predeterminada para resolver posibles problemas de rendimiento y compatibilidad con Avast Antivirus.

Se recomienda dejar la configuración predeterminada. Solo se deben realizar cambios si tiene un conocimiento profundo de Avast Antivirus o si lo solicita un representante de soporte de Avast para resolver problemas. Después de realizar cualquier cambio, haga clic en DE ACUERDO para guardar la configuración.

Nota. Puede encontrar más información sobre solución de problemas en la página Introducción.

Administrar la configuración de solución de problemas

  • Permitir el escaneo en busca de rootkits al iniciar el sistema: busque rootkits durante el inicio de la PC, antes de que se carguen la mayoría de las aplicaciones y servicios. Para garantizar la máxima protección, esta configuración está habilitada de forma predeterminada. Desmarcar esta casilla de verificación puede acelerar ligeramente el inicio, pero debilitará su protección antivirus.
  • Permitir el acceso directo a las unidades durante los análisis de inicio de Avast: Permita que el análisis de inicio de Avast acceda y analice todo el espacio en disco (incluidos los archivos en movimiento y los fragmentos de archivos que pueden contener código malicioso). De forma predeterminada, esta opción está habilitada. Desmarcar esta casilla de verificación puede acelerar ligeramente el análisis de arranque, pero debilitará su protección antivirus.
  • Omitir la verificación de firmas digitales de archivos infectados: permita que Avast informe todos los archivos como sospechosos, incluso si provienen de un editor confiable, lo que acelera el proceso de escaneo. Sin embargo, esta configuración está deshabilitada de forma predeterminada para evitar casos de falsas alarmas porque los archivos confiables con firmas digitales válidas No se detectan como malware y, por lo tanto, no se eliminan.
  • Habilite el módulo de autodefensa de Avast: Impide que se modifiquen o eliminen todos los archivos principales de Avast Antivirus. De forma predeterminada, esta opción está habilitada. Desmarcar esta casilla de verificación puede permitir a los atacantes modificar y eliminar archivos antivirus para desactivar la protección antivirus e infectar su PC.
    Nota. Desactive esta casilla de verificación solo temporalmente cuando un representante de soporte de Avast se lo solicite para resolver problemas específicos.
  • Cargue los servicios de Avast solo después de cargar otros servicios del sistema: Seleccionar esta opción retrasa la carga de Avast Antivirus hasta que todos los demás servicios del sistema hayan terminado de cargarse, lo que puede acelerar el proceso de inicio de la PC, pero dejará temporalmente el sistema desprotegido contra el malware. De forma predeterminada, esta opción está deshabilitada para permitir que los servicios de Avast se inicien desde el comienzo del inicio de la PC y garantizar una seguridad total.
  • Restringir el acceso al programa para una cuenta de invitado: restrinja el acceso y los cambios en la configuración de Avast para invitados (cuentas secundarias utilizadas para iniciar sesión en su PC). Esta opción está habilitada de forma predeterminada para que sólo los usuarios registrados tengan permiso para realizar este tipo de acciones. Desmarcar esta casilla permitirá que todos los usuarios (cuentas) accedan y cambien la configuración.
  • Habilite la virtualización asistida por hardware: Mejorar el rendimiento de la virtualización. Avast utiliza la virtualización de hardware en sus componentes Anti-Rootkit, Sandbox, CyberCapture y Self-Defense. Por defecto, esta opción está activa. Si Avast detecta otro software en su PC que utiliza virtualización, esta opción se desactivará automáticamente. Si Avast No Si se detecta software instalado en su PC que utiliza virtualización y está causando problemas de compatibilidad y rendimiento, le recomendamos desactivar temporalmente esta configuración.

Habilitar el modo pasivo

Modo pasivo desactiva toda la protección activa, incluidas varias herramientas de seguridad y el firewall. En este modo, puede utilizar varios programas antivirus simultáneamente sin reducir el rendimiento de su PC ni la confiabilidad de la detección de virus. En modo pasivo, Avast recibe todas las actualizaciones del programa y definiciones de virus, lo que le permite ejecutar análisis manuales para detectar problemas en su PC. Sin embargo, la protección activa de Avast No obras.

Esta función está deshabilitada de forma predeterminada a menos que instale Avast en una computadora que tenga otro programa antivirus instalado. Para activar manualmente el modo pasivo, haga clic en el control deslizante Apagado para que cambie el valor a Incluido. Luego haga clic DE ACUERDO Y Reiniciar ahora para confirmar los cambios.

Si desea que la protección activa de Avast Antivirus lo proteja contra malware y otras amenazas de seguridad, asegúrese de que el modo pasivo apagado y se cumplen las siguientes condiciones.

  • Se han eliminado todos los programas antivirus de terceros.
  • Aparece la pantalla principal de Avast Antivirus. estas protegido.

Nota. Si Avast es el único software antivirus instalado en su computadora, habilite modo pasivo sólo temporalmente para eliminar ciertas averías.

Restaurar los valores predeterminados

La solución de problemas puede requerir que restaure la configuración de Avast Antivirus a su configuración predeterminada. Para hacer esto, siga estos pasos:

  1. Seleccione las casillas de verificación de una o más de las siguientes opciones para seleccionar la configuración que desea restaurar.
    • Configuración del programa (con tipos de escaneo estándar): Todas las configuraciones del programa, excepto la configuración de pantalla.
    • Configuración de pantalla: Sólo configuración de pantalla. Cambiar la configuración de la pantalla puede afectar el estado de protección.
  2. Hacer clic Reiniciar para restaurar su configuración.

Acción Reiniciar elimina todas sus configuraciones de usuario. Esta acción no se puede deshacer.

Nota. Antes de restaurar la configuración predeterminada, puede hacer una copia de seguridad de su configuración seleccionando Configuración Copia de seguridad de la configuración.

Administrar la configuración de redirección

Si tiene problemas para enviar o recibir correos electrónicos mientras usa pantalla de correo con un cliente de correo electrónico ( Microsoft Outlook, Mozilla Thunderbird etc.), puede solucionar este problema identificando los puertos que utiliza su proveedor de servicios de correo electrónico en el Correo.

De forma predeterminada, cada protocolo tiene los números de puerto estándar que se enumeran a continuación.

Puerto(s) SMTP: 25 857 Puertos protegidos: 465
Puerto(s) POP: 110 Puertos protegidos: 995
Puerto(s) IMAP: 143 Puertos protegidos: 993
Puerto(s) NNTP: 119 Puertos protegidos: 563

Si usted (o su proveedor de servicios de correo electrónico) utiliza otros puertos, ingréselos en los cuadros de texto junto a los protocolos adecuados para asegurarse de que Avast escanee sus mensajes de correo electrónico. Utilice comas para separar varios números de puerto.

En un campo de texto Direcciones ignoradas ingrese las direcciones de los servicios o puertos que desea excluir del escaneo (por ejemplo, smtp.ejemplo.com). Si es necesario, separe varias direcciones con comas.

Seleccionar una casilla de verificación para una opción Ignorar la comunicación local Impide que Avast escanee las comunicaciones internas del sistema entre aplicaciones que se ejecutan en la PC. Por defecto, esta opción está activa. Deshabilitar esta configuración permitirá a Avast escanear todas las comunicaciones por correo electrónico, lo que mejora la seguridad pero puede reducir el rendimiento del sistema.

Internet es un mundo ilimitado de información que ofrece amplias oportunidades para comunicarse, aprender, organizar el trabajo y el ocio y, al mismo tiempo, es una enorme base de datos actualizada diariamente que contiene información sobre los usuarios que resulta interesante para los atacantes. Hay dos tipos principales de amenazas a las que los usuarios pueden estar expuestos: ingeniería técnica y social.

Materiales relacionados

Las principales amenazas técnicas para los usuarios son el malware, las botnets y los ataques DoS y DDoS.

Amenaza- se trata de un evento potencialmente posible, una acción que, por su impacto sobre el objeto de protección, puede provocar daños.

malware

El propósito del malware es causar daño a una computadora, servidor o red informática. Pueden, por ejemplo, corromper, robar o borrar datos almacenados en el ordenador, ralentizar o detener por completo el funcionamiento del dispositivo. Los programas maliciosos suelen estar “ocultos” en cartas y mensajes con ofertas tentadoras de personas y empresas desconocidas, en las páginas de sitios de noticias u otros recursos populares que contienen vulnerabilidades. Los usuarios visitan estos sitios y el malware ingresa a la computadora sin ser detectado.

Los programas maliciosos también se distribuyen a través del correo electrónico, medios de almacenamiento extraíbles o archivos descargados de Internet. Los archivos o enlaces enviados por correo electrónico pueden exponer su dispositivo a una infección.

Los programas maliciosos incluyen virus, gusanos y caballos de Troya.

Virus– un tipo de programa informático cuya característica distintiva es la capacidad de reproducirse (autorreplicarse) e introducirse en archivos, sectores de arranque de discos y documentos sin que el usuario lo note. El nombre "virus" en relación con los programas informáticos proviene de la biología precisamente por su capacidad de autorreproducirse. Un virus que se encuentra como un archivo infectado en un disco no es peligroso hasta que se abre o se ejecuta. Sólo surte efecto cuando el usuario lo activa. Los virus están diseñados para replicarse e infectar computadoras, generalmente destruyendo archivos en el proceso.

gusanos- Este es un tipo de virus. Hacen honor a su nombre, ya que se propagan “arrastrándose” de un dispositivo a otro. Al igual que los virus, son programas que se autorreplican, pero a diferencia de los virus, un gusano no necesita la ayuda del usuario para propagarse. Él mismo encuentra la escapatoria.

troyanos– programas maliciosos que los atacantes introducen intencionalmente para recopilar información, destruirla o modificarla, interrumpir el funcionamiento de una computadora o utilizar sus recursos con fines nefastos. Externamente, los programas troyanos parecen productos de software legales y no despiertan sospechas. A diferencia de los virus, están completamente preparados para realizar sus funciones. Esto es con lo que cuentan los atacantes: su tarea es crear un programa que los usuarios no tengan miedo de ejecutar y utilizar.

Los atacantes pueden infectar una computadora para convertirla en parte de red de robots– redes de dispositivos infectados ubicados en todo el mundo. Las grandes botnets pueden incluir decenas o cientos de miles de computadoras. Los usuarios a menudo ni siquiera se dan cuenta de que sus ordenadores están infectados con malware y están siendo utilizados por delincuentes. Las botnets se crean distribuyendo malware de diversas maneras y, posteriormente, las máquinas infectadas reciben periódicamente comandos del administrador de la botnet, de modo que es posible organizar acciones coordinadas de las computadoras bot para atacar otros dispositivos y recursos.

Ataques DoS y DDoS

Un ataque DoS (denegación de servicio) es un ataque que paraliza el funcionamiento de un servidor o computadora personal debido a una gran cantidad de solicitudes que llegan al recurso atacado a gran velocidad.

La esencia de un ataque DoS es que un atacante intenta hacer que un servidor específico no esté disponible temporalmente, sobrecargar la red, el procesador o llenar el disco. El objetivo del ataque es simplemente inutilizar el ordenador, y no obtener información, sino apoderarse de todos los recursos del ordenador víctima para que otros usuarios no tengan acceso a ellos. Los recursos incluyen: memoria, tiempo de CPU, espacio en disco, recursos de red, etc.


Hay dos formas de realizar un ataque DoS.

Con el primer método Un ataque DoS utiliza una vulnerabilidad en el software instalado en la computadora atacada. La vulnerabilidad le permite causar un cierto error crítico que provocará la interrupción del sistema.

Con el segundo método El ataque se lleva a cabo enviando simultáneamente una gran cantidad de paquetes de información al ordenador atacado, lo que provoca una sobrecarga en la red.

Si un ataque de este tipo se lleva a cabo simultáneamente desde una gran cantidad de computadoras, entonces se habla de un ataque DDoS.

Ataque DDoS (denegación de servicio distribuido) es un tipo de ataque DoS que se organiza utilizando una gran cantidad de ordenadores, por lo que incluso los servidores con un ancho de banda de Internet muy alto pueden ser objeto de ataques.


Para organizar ataques DDoS, los atacantes utilizan una botnet, una red especial de computadoras infectadas con un tipo especial de virus. Un atacante puede controlar cada una de estas computadoras de forma remota, sin el conocimiento del propietario. Utilizando un virus o un programa que se hace pasar hábilmente por uno legítimo, se instala un código de software malicioso en el ordenador de la víctima, que no es reconocido por el antivirus y se ejecuta en segundo plano. En el momento adecuado, por orden del propietario de la botnet, dicho programa se activa y comienza a enviar solicitudes al servidor atacado, como resultado de lo cual el canal de comunicación entre el servicio atacado y el proveedor de Internet se llena y el servidor deja de funcionar.

Ingeniería social

La mayoría de los atacantes se basan no sólo en la tecnología, sino también en las debilidades humanas, utilizando ingeniería social. Este término complejo denota una forma de obtener la información necesaria no con la ayuda de capacidades técnicas, sino mediante el engaño y la astucia habituales. Los ingenieros sociales utilizan técnicas psicológicas para influir en las personas a través del correo electrónico, las redes sociales y los servicios de mensajería instantánea. Como resultado de su hábil trabajo, los usuarios cederán voluntariamente sus datos, sin siempre darse cuenta de que han sido engañados.

Los mensajes fraudulentos suelen contener amenazas, por ejemplo, el cierre de cuentas bancarias de los usuarios, promesas de grandes ganancias con poco o ningún esfuerzo o solicitudes de donaciones voluntarias en nombre de organizaciones benéficas. Por ejemplo, un mensaje de un atacante puede verse así: “Su cuenta está bloqueada. Para restablecer el acceso al mismo, es necesario confirmar los siguientes datos: número de teléfono, correo electrónico y contraseña. Envíalos a tal o cual dirección de correo electrónico”. La mayoría de las veces, los atacantes no dejan al usuario tiempo para pensar, por ejemplo, le piden que pague el día en que recibe la carta.

Phishing

El phishing es el método más popular para atacar a los usuarios y uno de los métodos de ingeniería social. Es un tipo especial de fraude en Internet. El objetivo del phishing es obtener acceso a información confidencial, como dirección, número de teléfono, números de tarjetas de crédito, nombres de usuario y contraseñas, mediante el uso de páginas web falsas. A menudo, un ataque de phishing ocurre de la siguiente manera: se le envía un correo electrónico pidiéndole que inicie sesión en el sistema bancario por Internet en nombre de un presunto empleado del banco. La carta contiene un enlace a un sitio web falso que es difícil de distinguir del real. El usuario ingresa información personal en un sitio falso y el atacante la intercepta. Al tomar posesión de los datos personales, puede, por ejemplo, obtener un préstamo a nombre del usuario, retirar dinero de su cuenta y pagar con sus tarjetas de crédito, retirar dinero de sus cuentas o crear una copia de una tarjeta de plástico y utilizarla. para retirar dinero en cualquier parte del mundo.

Falsos antivirus y programas de seguridad.

Los atacantes suelen distribuir malware bajo la apariencia de software antivirus. Estos programas generan notificaciones que, por regla general, contienen una advertencia de que la computadora está supuestamente infectada y una recomendación para seguir el enlace especificado para un tratamiento exitoso, descargar el archivo de actualización y ejecutarlo. A menudo, las notificaciones se disfrazan de mensajes de fuentes legítimas, como empresas de software antivirus. Las fuentes de propagación de falsos antivirus incluyen el correo electrónico, los anuncios online, las redes sociales e incluso las ventanas emergentes en el ordenador que imitan los mensajes del sistema.

Reemplazo de la dirección del remitente

Es bien sabido que los usuarios confían mucho más en los mensajes que reciben de personas que conocen y es más probable que los abran sin esperar ningún problema. Los atacantes se aprovechan de esto y falsifican una dirección de remitente familiar para el usuario con el fin de engañarlo para que visite un sitio que contiene malware o para obtener información personal. Por ejemplo, los clientes de los bancos de Internet suelen ser víctimas de su propia credulidad.

Formas de protegerse de las amenazas en línea

Hay muchos tipos y métodos de ataques, pero también hay suficientes formas de defenderse de ellos. A la hora de navegar por Internet te recomendamos cumplir con los siguientes requisitos:

Usar contraseñas

Para crear una contraseña compleja, debe utilizar una combinación de al menos ocho caracteres. Es recomendable que la contraseña incluya caracteres en mayúsculas y minúsculas, números y caracteres especiales. La contraseña no debe repetir contraseñas anteriores ni contener fechas, nombres, números de teléfono o información similar que pueda adivinarse fácilmente.

Utilice su computadora con una cuenta con derechos limitados

Antes de comenzar a utilizar el sistema operativo, se recomienda crear una cuenta de usuario para el uso diario de la computadora y utilizarla en lugar de la cuenta de administrador. La cuenta de usuario le permite realizar las mismas acciones que la cuenta de administrador, pero se le solicitará una contraseña de administrador cuando intente realizar cambios en la configuración del sistema operativo o instalar nuevo software. Esto reduce el riesgo de eliminar o cambiar accidentalmente configuraciones importantes del sistema, así como de infectar su computadora con malware.

Usar cifrado de datos

El cifrado de datos es una forma adicional de proteger información importante de usuarios no autorizados. Los programas criptográficos especiales codifican los datos para que sólo el usuario que tiene la clave de descifrado pueda leerlos. Muchos sistemas operativos tienen cifrado incorporado. Por ejemplo, Windows 7 utiliza el cifrado de unidad BitLocker para proteger todos los archivos almacenados en el disco del sistema operativo y los discos duros internos, y BitLocker To Go se utiliza para proteger los archivos almacenados en discos duros externos y dispositivos USB.

Actualice su software periódicamente

Mantenga su software actualizado y periódicamente, incluido su sistema operativo y todas las aplicaciones que utiliza. Lo más conveniente es configurar el modo de actualización automática, que permitirá realizar todo el trabajo en segundo plano. Se recomienda encarecidamente descargar actualizaciones únicamente desde los sitios web de los fabricantes de software.

Utilice y actualice periódicamente programas antivirus.

Para proteger su sistema de posibles amenazas en línea. El antivirus es un componente clave de la protección antimalware. Debe instalarse y actualizarse periódicamente para ayudarle a combatir el nuevo malware, cuyo número aumenta cada día. Los programas antivirus modernos, por regla general, actualizan las bases de datos antivirus automáticamente. Analizan áreas críticas del sistema y monitorean todas las posibles rutas de entrada de virus, como archivos adjuntos de correo electrónico y sitios web potencialmente peligrosos, en segundo plano sin interferir con la experiencia del usuario. El antivirus siempre debe estar activado: se recomienda encarecidamente desactivarlo. Intente también comprobar todos los medios extraíbles en busca de virus.

Utilice un cortafuegos

Un firewall, o firewall, es un filtro especial cuya tarea es controlar los paquetes de red que lo atraviesan de acuerdo con reglas específicas. Un firewall funciona de la siguiente manera: monitorea las comunicaciones entre un dispositivo e Internet y examina todos los datos recibidos o enviados a la red. Si es necesario, bloquea ataques a la red e impide que datos personales se envíen secretamente a Internet. El firewall no permite la entrada de información sospechosa y no permite que información importante salga del sistema.

Los fabricantes de enrutadores a menudo no se preocupan demasiado por la calidad de su código, razón por la cual las vulnerabilidades son comunes. Hoy en día, los enrutadores son un objetivo prioritario para los ataques a la red, lo que permite a las personas robar dinero y datos sin pasar por los sistemas de seguridad locales. ¿Cómo puedo comprobar yo mismo la calidad del firmware y la idoneidad de la configuración? Utilidades gratuitas, servicios de verificación en línea y este artículo le ayudarán con esto.

Los enrutadores de consumo siempre han sido criticados por su falta de confiabilidad, pero un precio alto no garantiza una alta seguridad. En diciembre pasado, los especialistas de Check Point descubrieron más de 12 millones de enrutadores (incluidos los modelos superiores) y módems DSL que podían ser pirateados debido a una vulnerabilidad en el mecanismo para obtener configuraciones automáticas. Se utiliza ampliamente para configurar rápidamente equipos de red en el lado del cliente (CPE - equipo de las instalaciones del cliente). Durante los últimos diez años, los proveedores han estado utilizando el protocolo de gestión de equipos de suscriptores CWMP (CPE WAN Management Protocol) para este fin. La especificación TR-069 brinda la capacidad de enviar configuraciones usándola y conectar servicios a través del Servidor de configuración automática (ACS - Servidor de configuración automática). Los empleados de Check Point descubrieron que muchos enrutadores tienen un error al procesar las solicitudes CWMP, y los proveedores complican aún más la situación: la mayoría de ellos no cifran la conexión entre ACS y el equipo del cliente y no limitan el acceso mediante direcciones IP o MAC. En conjunto, esto crea las condiciones para un fácil ataque de intermediario.

A través de una implementación vulnerable de CWMP, un atacante puede hacer casi cualquier cosa: establecer y leer parámetros de configuración, restablecer la configuración a los valores predeterminados y reiniciar el dispositivo de forma remota. El tipo de ataque más común consiste en reemplazar las direcciones DNS en la configuración del enrutador con servidores controlados por el atacante. Filtran solicitudes web y redirigen a páginas falsas las que contienen llamadas a servicios bancarios. Se crearon páginas falsas para todos los sistemas de pago populares: PayPal, Visa, MasterCard, QIWI y otros.

La peculiaridad de este ataque es que el navegador se ejecuta en un sistema operativo limpio y envía una solicitud a la dirección ingresada correctamente de un sistema de pago real. Verificar la configuración de red de su computadora y buscar virus en ella no revela ningún problema. Además, el efecto persiste si te conectas al sistema de pago a través de un enrutador pirateado desde otro navegador e incluso desde otro dispositivo de la red doméstica.

Dado que la mayoría de las personas rara vez verifican la configuración de su enrutador (o incluso confían este proceso a los técnicos del ISP), el problema pasa desapercibido durante mucho tiempo. Normalmente se enteran por exclusión, después de que el dinero ha sido robado de las cuentas y una comprobación informática no ha arrojado ningún resultado.

Para conectarse a un enrutador a través de CWMP, un atacante utiliza una de las vulnerabilidades comunes típicas de los dispositivos de red de nivel básico. Por ejemplo, contienen un servidor web de terceros, RomPager, escrito por Allegro Software. Hace muchos años, se descubrió un error en el procesamiento de cookies, que se corrigió rápidamente, pero el problema persiste. Dado que este servidor web forma parte del firmware, no es posible actualizarlo de una sola vez en todos los dispositivos. Cada fabricante tuvo que lanzar una nueva versión para cientos de modelos que ya estaban a la venta y convencer a sus propietarios para que descargaran la actualización lo antes posible. Como ha demostrado la práctica, ninguno de los usuarios domésticos hizo esto. Por lo tanto, la cantidad de dispositivos vulnerables asciende a millones incluso diez años después del lanzamiento de las correcciones. Además, los propios fabricantes siguen utilizando la antigua versión vulnerable de RomPager en su firmware hasta el día de hoy.

Además de los enrutadores, la vulnerabilidad afecta a los teléfonos VoIP, cámaras de red y otros equipos que pueden configurarse de forma remota mediante CWMP. Normalmente, para esto se utiliza el puerto 7547. Puede verificar su estado en el enrutador utilizando el servicio gratuito Shields Up de Steve Gibson. Para hacer esto, escriba su URL (grc.com) y luego agregue /x/portprobe=7547.

La captura de pantalla muestra sólo un resultado positivo. Negativo no garantiza que no haya vulnerabilidad. Para excluirlo, deberá realizar una prueba de penetración completa, por ejemplo, utilizando el escáner Nexpose o el marco Metasploit. Los propios desarrolladores a menudo no están preparados para decir qué versión de RomPager se utiliza en una versión particular de su firmware y si existe. Este componente definitivamente no está presente sólo en firmware alternativo de código abierto (hablaremos de ello más adelante).

Registrar un DNS seguro

Es una buena idea verificar la configuración de su enrutador con más frecuencia e inmediatamente registrar manualmente direcciones de servidor DNS alternativas. Éstos son algunos de ellos disponibles de forma gratuita.

  • DNS seguro de Comodo: 8.26.56.26 y 8.20.247.20
  • Norton ConnectSafe: 199.85.126.10, 199.85.127.10
  • DNS público de Google: 8.8.8.8, 2001:4860:4860:8888 - para IPv6
  • DNS abierto: 208.67.222.222, 208.67.220.220

Todos ellos bloquean sólo sitios infectados y de phishing, sin restringir el acceso a recursos para adultos.

Desconéctate y reza

Hay otros problemas conocidos desde hace mucho tiempo que los propietarios de dispositivos de red o (con menos frecuencia) sus fabricantes no están dispuestos a solucionar. Hace dos años, los expertos de DefenseCode descubrieron un conjunto completo de vulnerabilidades en enrutadores y otros equipos de red activos de nueve empresas importantes. Todos ellos están asociados con una implementación de software incorrecta de componentes clave. En particular, la pila UPnP en el firmware para chips Broadcom o el uso de versiones anteriores de la biblioteca abierta libupnp. Junto con los especialistas de Rapid7 y CERT, los empleados de DefenseCode encontraron alrededor de siete mil modelos de dispositivos vulnerables. Durante seis meses de escaneo activo de un rango aleatorio de direcciones IPv4, se identificaron más de 80 millones de hosts que respondieron a una solicitud UPnP estándar a un puerto WAN. Una quinta parte de ellos admitía el servicio SOAP (Protocolo simple de acceso a objetos) y 23 millones permitían la ejecución de código arbitrario sin autorización. En la mayoría de los casos, un ataque a enrutadores con tal agujero en UPnP se lleva a cabo mediante una solicitud SOAP modificada, lo que provoca un error en el procesamiento de datos y el resto del código termina en un área arbitraria de la RAM del enrutador, donde se ejecuta con derechos de superusuario. En los enrutadores domésticos, es mejor desactivar UPnP por completo y asegurarse de que las solicitudes al puerto 1900 estén bloqueadas. El mismo servicio de Steve Gibson ayudará con esto. El protocolo UPnP (Universal Plug and Play) está habilitado de forma predeterminada en la mayoría de los enrutadores, impresoras de red, cámaras IP, NAS y electrodomésticos inteligentes. Está habilitado de forma predeterminada en Windows, OS X y muchas versiones de Linux. Si es posible afinar su uso, no está tan mal. Si las únicas opciones disponibles son "activar" y "desactivar", entonces es mejor elegir esta última. A veces, los fabricantes introducen software deliberadamente en los equipos de red. Lo más probable es que esto suceda a instancias de los servicios de inteligencia, pero en caso de escándalo, las respuestas oficiales siempre mencionan "necesidad técnica" o "un servicio propio para mejorar la calidad de la comunicación". Se han descubierto puertas traseras integradas en algunos enrutadores Linksys y Netgear. Abrieron el puerto 32764 para recibir comandos remotos. Dado que este número no corresponde a ningún servicio conocido, este problema es fácil de detectar, por ejemplo, utilizando un escáner de puertos externo.

INFORMACIÓN

Otra forma de realizar una auditoría gratuita de la red doméstica es descargar y ejecutar el antivirus Avast. Sus nuevas versiones contienen el asistente de verificación de red, que identifica vulnerabilidades conocidas y configuraciones de red peligrosas.

Los valores predeterminados son para los corderos.

El problema más común con la seguridad del enrutador sigue siendo la configuración de fábrica. Estas no son solo direcciones IP internas, contraseñas e inicios de sesión de administrador comunes para toda la serie de dispositivos, sino que también incluyen servicios que aumentan la comodidad a costa de la seguridad. Además de UPnP, el protocolo de control remoto Telnet y el servicio WPS (Configuración protegida de Wi-Fi) suelen estar habilitados de forma predeterminada. A menudo se encuentran errores críticos en el procesamiento de solicitudes Telnet. Por ejemplo, los enrutadores D-Link de las series DIR-300 y DIR-600 permitieron recibir un shell de forma remota y ejecutar cualquier comando a través del demonio telnetd sin ninguna autorización. En los enrutadores Linksys E1500 y E2500, la inyección de código era posible mediante ping regular. El parámetro ping_size no se verificó, como resultado de lo cual la puerta trasera se cargó en el enrutador mediante el método GET en una línea. En el caso del E1500, no fueron necesarios trucos adicionales durante la autorización. Simplemente se podría establecer una nueva contraseña sin ingresar la actual. Se identificó un problema similar con el teléfono VoIP Netgear SPH200D. Además, al analizar el firmware, resultó que estaba activa una cuenta de servicio oculta con la misma contraseña. Con Shodan, puedes encontrar un enrutador vulnerable en un par de minutos. Todavía le permiten cambiar cualquier configuración de forma remota y sin autorización. Puede aprovechar esto de inmediato o puede hacer una buena acción: busque a este desafortunado usuario en Skype (por IP o nombre) y envíele un par de recomendaciones; por ejemplo, cambie el firmware y lea este artículo.

Supercúmulo de agujeros masivos

Los problemas rara vez vienen solos: la activación de WPS conduce automáticamente a la activación de UPnP. Además, el PIN estándar o la clave de autenticación previa utilizada en WPS anula toda la protección criptográfica de nivel WPA2-PSK. Debido a errores de firmware, WPS a menudo permanece habilitado incluso después de deshabilitarlo a través de la interfaz web. Puede averiguarlo utilizando un escáner de Wi-Fi, por ejemplo, la aplicación gratuita Wifi Analyzer para teléfonos inteligentes con sistema operativo Android. Si el propio administrador utiliza los servicios vulnerables, no será posible rechazarlos. Es bueno que el enrutador le permita protegerlos de alguna manera. Por ejemplo, no acepte comandos en el puerto WAN ni establezca una dirección IP específica para uso de Telnet. A veces simplemente no hay forma de configurar o simplemente deshabilitar un servicio peligroso en la interfaz web y es imposible cerrar el agujero con los medios estándar. La única salida en este caso es buscar un firmware nuevo o alternativo con un conjunto ampliado de funciones.

Servicios alternativos

Los firmwares abiertos más populares son DD-WRT, OpenWRT y su bifurcación Gargoyle. Solo se pueden instalar en enrutadores de la lista de compatibles, es decir, aquellos para los cuales el fabricante del chipset ha revelado las especificaciones completas. Por ejemplo, Asus tiene una serie separada de enrutadores que fueron diseñados originalmente con miras al uso de DD-WRT (bit.ly/1xfIUSf). Ya cuenta con doce modelos desde el nivel básico hasta el nivel corporativo. Los enrutadores MikroTik ejecutan RouterOS, que no es inferior en flexibilidad a la familia *WRT. Este es también un sistema operativo de red completo basado en el kernel de Linux, que admite absolutamente todos los servicios y cualquier configuración imaginable. Actualmente se puede instalar firmware alternativo en muchos enrutadores, pero tenga cuidado y verifique el nombre completo del dispositivo. Con el mismo número de modelo y apariencia, los enrutadores pueden tener diferentes revisiones, lo que puede ocultar plataformas de hardware completamente diferentes.

control de seguridad

Puede comprobar la vulnerabilidad de OpenSSL utilizando la utilidad gratuita ScanNow de Rapid7 (bit.ly/18g9TSf) o su versión simplificada en línea (bit.ly/1xhVhrM). La verificación en línea se realiza en unos segundos. En un programa separado, puede configurar un rango de direcciones IP, por lo que la prueba lleva más tiempo. Por cierto, los campos de registro de la utilidad ScanNow no se verifican de ninguna manera.

Después del análisis, se mostrará un informe y una oferta para probar el escáner de vulnerabilidades más avanzado Nexpose, dirigido a redes empresariales. Está disponible para Windows, Linux y VMware. Dependiendo de la versión, el período de prueba gratuito está limitado de 7 a 14 días. Las limitaciones se relacionan con la cantidad de direcciones IP y áreas de escaneo.

Desafortunadamente, instalar firmware alternativo de código abierto es sólo una forma de aumentar la seguridad y no proporcionará una seguridad completa. Todo el firmware se basa en un principio modular y combina una serie de componentes clave. Cuando se detecta algún problema en ellos, afecta a millones de dispositivos. Por ejemplo, una vulnerabilidad en la biblioteca abierta OpenSSL también afectó a los enrutadores con *WRT. Sus funciones criptográficas se han utilizado para cifrar sesiones de acceso remoto a través de SSH, organizar VPN, administrar un servidor web local y otras tareas populares. Los fabricantes comenzaron a publicar actualizaciones con bastante rapidez, pero el problema aún no se ha eliminado por completo.

Constantemente se encuentran nuevas vulnerabilidades en los enrutadores y algunas de ellas se explotan incluso antes de que se publique una solución. Todo lo que puede hacer el propietario del enrutador es desactivar los servicios innecesarios, cambiar la configuración predeterminada, limitar el control remoto, verificar la configuración con más frecuencia y actualizar el firmware.

El artículo está dirigido a aquellos que han comenzado a pensar en la seguridad de la red o continúan haciéndolo y están fortaleciendo la protección de las aplicaciones web contra nuevas amenazas; después de todo, primero debe comprender qué amenazas pueden existir para poder prevenirlas.

Por alguna razón, la necesidad de pensar en la seguridad de la red se considera un derecho solo de las grandes empresas, como Badoo, Google y Google, Yandex o Telegram, que convocan abiertamente concursos para encontrar vulnerabilidades y aumentar la seguridad de sus productos, aplicaciones web y infraestructuras de red en todos los sentidos. Al mismo tiempo, la gran mayoría de los sistemas web existentes contienen "agujeros" de varios tipos (un estudio de 2012 de Positive Technologies, el 90% de los sistemas contienen vulnerabilidades de riesgo medio).

¿Qué es una amenaza de red o una vulnerabilidad de red?

WASC (Web Application Security Consortium) ha identificado varias clases básicas, cada una de las cuales contiene varios grupos, un total de 50, vulnerabilidades comunes, cuyo uso puede causar daños a una empresa. La clasificación completa se publica en el formulario WASC Thread Classification v2.0, y en ruso hay una traducción de la versión anterior de InfoSecurity - Clasificación de amenazas a la seguridad de aplicaciones web, que se utilizará como base para la clasificación y se ampliará significativamente.

Principales grupos de amenazas a la seguridad de los sitios web

Autenticación insuficiente al acceder a recursos

Este grupo de amenazas incluye ataques de fuerza bruta, abuso de funcionalidad y ubicación de recursos predecibles. La principal diferencia con una autorización insuficiente es que no hay una verificación suficiente de los derechos (o características) de un usuario ya autorizado (por ejemplo, un usuario autorizado normal puede obtener derechos administrativos simplemente conociendo la dirección del panel de control si hay suficiente verificación de derechos de acceso). no se realiza).

Estos ataques sólo pueden contrarrestarse eficazmente en el nivel de la lógica de la aplicación. Algunos ataques (por ejemplo, ataques de fuerza bruta demasiado frecuentes) se pueden bloquear en el nivel de infraestructura de red.

Autorización insuficiente


Esto puede incluir ataques destinados a forzar fácilmente los detalles de acceso o explotar cualquier error al verificar el acceso al sistema. Además de las técnicas de fuerza bruta, esto incluye la predicción de credenciales y sesiones y la fijación de sesiones.

La protección contra ataques de este grupo requiere un conjunto de requisitos para un sistema de autorización de usuarios confiable.

Esto incluye todas las técnicas para cambiar el contenido de un sitio web sin ninguna interacción con el servidor que atiende las solicitudes, es decir, la amenaza se implementa a través del navegador del usuario (pero normalmente el navegador en sí no es el "eslabón débil": el problema radica en el filtrado de contenidos en el lado del servidor) o un servidor de caché intermedio. Tipos de ataques: suplantación de contenido, secuencias de comandos entre sitios, abuso de redirector de URL, falsificación de solicitudes entre sitios, división de respuestas HTTP, contrabando de respuestas HTTP, así como desvío de enrutamiento, división de solicitudes HTTP y contrabando de solicitudes HTTP.

Una parte importante de estas amenazas se puede bloquear en el nivel de configuración del entorno del servidor, pero las aplicaciones web también deben filtrar cuidadosamente tanto los datos entrantes como las respuestas de los usuarios.

Código de ejecución

Los ataques de ejecución de código son ejemplos clásicos de piratería de sitios web a través de vulnerabilidades. Un atacante puede ejecutar su código y obtener acceso al alojamiento donde se encuentra el sitio enviando una solicitud especialmente preparada al servidor. Ataques: desbordamiento de búfer, cadena de formato, desbordamiento de enteros, inyección LDAP, inyección de comandos de correo, inyección de bytes nulos, ejecución de comandos del sistema operativo (comandos del sistema operativo), ejecución de archivos externos (RFI, inclusión remota de archivos), inyección SSI, inyección SQL, inyección XPath, Inyección XML, Inyección XQuery e Implementación de XXE (Entidades Externas XML).

No todos estos tipos de ataques pueden afectar a tu sitio web, pero se bloquean correctamente sólo a nivel de WAF (Web Application Firewall) o filtrado de datos en la propia aplicación web.

Divulgación de información

Los ataques de este grupo no son una amenaza pura para el sitio en sí (ya que el sitio no los sufre de ninguna manera), pero pueden dañar una empresa o usarse para llevar a cabo otros tipos de ataques. Tipos: huellas dactilares y recorrido de ruta

La configuración adecuada del entorno del servidor le permitirá protegerse completamente de dichos ataques. Sin embargo, también debe prestar atención a las páginas de error de la aplicación web (que pueden contener mucha información técnica) y al manejo del sistema de archivos (que puede verse comprometido por un filtrado de entrada insuficiente). También sucede que en el índice de búsqueda aparecen enlaces a algunas vulnerabilidades del sitio, y esto en sí mismo es una amenaza importante para la seguridad.

Ataques lógicos

Este grupo incluye todos los ataques restantes, cuya posibilidad radica principalmente en los recursos limitados del servidor. En particular, se trata de denegación de servicio y ataques más dirigidos: abuso de matrices SOAP, explosión de atributos XML y expansión de entidades XML.

La protección contra ellos se realiza únicamente a nivel de la aplicación web o bloqueando solicitudes sospechosas (equipos de red o servidores proxy web). Pero con la aparición de nuevos tipos de ataques dirigidos, es necesario auditar las aplicaciones web en busca de vulnerabilidades.

ataques DDoS


Como debe quedar claro en la clasificación, un ataque DDoS en el sentido profesional es siempre el agotamiento de los recursos del servidor de una forma u otra. Otros métodos (aunque se mencionan en Wikipedia) no están directamente relacionados con un ataque DDoS, pero representan uno u otro tipo de vulnerabilidad del sitio. Wikipedia también describe los métodos de protección con suficiente detalle; no los duplicaré aquí.

La red como objeto de protección.

La mayoría de los sistemas automatizados de procesamiento de información modernos son sistemas distribuidos construidos sobre arquitecturas de red estándar y que utilizan conjuntos estándar de servicios de red y software de aplicación. Las redes corporativas "heredan" todos los métodos "tradicionales" de intervención no autorizada en los sistemas informáticos locales. Además, se caracterizan por canales específicos de penetración y acceso no autorizado a la información debido al uso de tecnologías de red.

Enumeremos las principales características de los sistemas informáticos distribuidos:

  • lejanía territorial de los componentes del sistema y presencia de un intenso intercambio de información entre ellos;
  • una amplia gama de métodos utilizados para presentar, almacenar y transmitir información;
  • integración de datos para diversos fines pertenecientes a diversos sujetos dentro de bases de datos unificadas y, a la inversa, colocación de datos requeridos por algunos sujetos en varios nodos de red remotos;
  • abstraer a los propietarios de los datos de las estructuras físicas y la ubicación de los datos;
  • uso de modos de procesamiento de datos distribuidos;
  • participación en el proceso de procesamiento automatizado de información de una gran cantidad de usuarios y personal de diversas categorías;
  • acceso directo y simultáneo a recursos de una gran cantidad de usuarios;
  • heterogeneidad de equipos y software informáticos utilizados;

¿Qué son las vulnerabilidades, amenazas y ataques de la red?

En seguridad informática el término " vulnerabilidad" (Inglés) vulnerabilidad) se utiliza para indicar una falla en el sistema, mediante la cual un atacante puede violar intencionalmente su integridad y causar un funcionamiento incorrecto. Las vulnerabilidades pueden ser el resultado de errores de programación, fallas en el diseño del sistema, contraseñas débiles, virus y otro malware, inyecciones de scripts y SQL. Algunas vulnerabilidades se conocen sólo teóricamente, mientras que otras se utilizan activamente y tienen vulnerabilidades conocidas.

Normalmente, una vulnerabilidad permite a un atacante "engañar" a una aplicación para que realice una acción que no debería tener derecho a realizar. Esto se hace introduciendo de alguna manera datos o código en el programa en lugares tales que el programa los perciba como "propios". Algunas vulnerabilidades surgen debido a una verificación insuficiente de la entrada del usuario y permiten que se inserten comandos arbitrarios (inyección SQL, XSS, SiXSS) en el código interpretado. Otras vulnerabilidades surgen de problemas más complejos, como escribir datos en un búfer sin verificar sus límites (desbordamiento del búfer). El análisis de vulnerabilidades a veces se denomina sondeo, por ejemplo, cuando hablan de sondear una computadora remota, se refieren a buscar puertos de red abiertos y la presencia de vulnerabilidades asociadas con las aplicaciones que utilizan estos puertos.

Bajo amenaza(en general) suelen entender un evento, acción, proceso o fenómeno potencialmente posible que podría conducir a un daño a los intereses de alguien. Se definirá una amenaza a los intereses de los sujetos de las relaciones de información como aquel evento, proceso o fenómeno que, a través de su impacto sobre la información u otros componentes del SA, puede conducir directa o indirectamente a un daño a los intereses de estos sujetos.

Ataque de red- una acción cuyo objetivo es tomar el control (aumentar los derechos) sobre un sistema informático remoto/local, o desestabilizarlo, o negar el servicio, así como obtener datos de los usuarios que utilizan este sistema informático remoto/local. información cibercrimen informática



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba