viernes, 6 de julio de 2018

Denegación de Servicio (DoS)


Denegación de Servicio (DoS)

Los ataques de DoS (Denial of Service) dan como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones. Tiene como objetivo degradar la calidad de servicio de un sistema o una red llegando a dejarlo en un estado no operativo o inaccesible. Se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso por un atacante inexperto.


DDoS

Un DDoS es un ataque DoS pero proviene de múltiples fuentes coordinadas.
Un atacante crea una red de hosts infectados, denominada botnet. Los hosts infectados se denominan zombies. Los zombies son controlados por sistemas manipuladores.

Las computadoras “zombie” constantemente analizan e infectan más hosts, lo que genera más zombies. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque DDoS.




Tipos de ataques DoS


Cantidad abrumadora de tráfico
Esto ocurre cuando se envía una gran cantidad de datos a una red, a un host o a una aplicación a una velocidad que no pueden administrar. Esto ocasiona una disminución de la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.

  • UDP Flood: Este tipo de ataque inunda puertos aleatorios de un host remoto con numerosos paquetes UDP, causando que el equipo víctima compruebe ante cada petición a cada puerto.
  • ICMP Flood: Satura el recurso de destino con solicitud de paquetes “eco” ICMP (más conocido como ping), básicamente se trata de enviar paquetes de solicitud sin esperar los paquetes de respuesta.
  • Service Flood Port: En este tipo de ataques las peticiones irán dirigidas hacia los puertos estándar en los que se conoce que habrá más volumen de tráfico (el puerto TCP 80, por ejemplo) tanto entrante como saliente.
  • HTTP Flood: Se hace uso de peticiones GET o POST en apariencia válidas para atacar servidores o aplicaciones web, para inhabilitar a nuestra víctima, o incluso tomar el control.Otro uso común es para usar sus recursos y atacar a otros servidores o aplicaciones web o comenzar a crear una botnet.
  • SYN Flood: (secuencia de conexión de tres pasos del protocolo SYN) Este ataque Provoca que una máquina siga enviando peticiones SYN-ACK; saturando así el tráfico saliente y entrante del host. El ataque comienza cuando ignoramos la petición ACK
  • NTP Amplification: Si este proceso lo repetimos al estilo PoD (Ping of Death), o bien usando una botnet, el resultado será la saturación del servicio de la IP de nuestra víctima hasta hacer inaccesible por la propia saturación del servicio.

Paquetes maliciosos formateados
Esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, un atacante envía paquetes que contienen errores que las aplicaciones no pueden identificar o reenvía paquetes incorrectamente formateados. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

  • Ping of Death: Se envían paquetes mediante ping, pero con un tamaño mucho mayor y a mayor frecuencia de lo normal. El esquema es el siguiente:
    ping DIRECCIÓN.IP.DEL.OBJETIVO -l 65535 -n 10000000 -w 0.00001
  • Blended Flood: Esto se da cuando múltiples tipos de ataques se combinan en el servidor, lo cual al final termina confundiendo al equipo

Modificación de la configuración
Su objetivo es alterar o eliminar la configuración de alguno de los elementos clave del sistema, típicamente servidores o routers. Estos cambios suelen provocar efectos críticos en los sistemas afectados, dejándolos fuera de servicio.

Destrucción
El resultado del ataque es la destrucción o alteración física de alguno de los componentes del sistema. Hoy en día con la conexión a Internet de los sistemas de control industrial es más fácil realizar este tipo de ataque de forma remota.

Algunos consejos que pueden ayudar a prevenir un Ataque DoS son:

  • Revisar la configuración de Routers y Firewalls para detener  IPs inválidas así como también el filtrado de protocolos que no sean necesarios.
  • Contar con un plan de respuesta a incidentes.
  • Limitar la tasa de tráfico proveniente de un único host.
  • Limitar el número de conexiones concurrentes al servidor.
  • Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.
  • Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).
Como sugerencia, contar con IDS/IPS (intrusión-detection/prevention system), estos pueden detectar el mal uso de protocolos válidos como posibles vectores de ataque. La configuración de estas herramientas debe realizarse con el tiempo necesario y mediante personal capacitado y se deben mantener actualizadas las firmas de estos dispositivos.



Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity
Welivesecurity
Openwebinars

Recomendaciones:
Defender de ataques DOS.
a la/s No hay comentarios.:
Etiquetas: , , ,

miércoles, 4 de julio de 2018

Malware: Tipos y sintomas




Malware es cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso, causar un mal funcionamiento, ocasionar daños o comprometer un sistema.



Tipos de Malware


Spyware: malware diseñado para rastrear y espiar al usuario. El spyware a menudo incluye rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. El spyware con frecuencia se agrupa con el software legítimo o con caballos troyanos.

Adware: software de publicidad que está diseñado para brindar anuncios automáticamente. El adware a veces se instala con algunas versiones de software.

Bot: malware diseñado para realizar acciones automáticamente, generalmente en línea. Varias computadoras pueden infectarse con bots programados para esperar comandos provistos por el atacante (botnet).

Ransomware: malware diseñado para mantener cautivo un sistema de computación o los datos que contiene encriptando los datos de la computadora con una clave desconocida para el usuario hasta que se realice un pago. El ransomware se esparce por un archivo descargado o alguna vulnerabilidad de software.

Scareware: malware diseñado para persuadir al usuario de realizar acciones específicas en función del temor.  Aquí es donde aparecen ventanas que indican que el sistema está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal.

Rootkit: malware  diseñado para modificar el sistema operativo a fin de crear un Back Door. Los atacantes luego utilizan el Back Door para acceder a la computadora de forma remota. A menudo, una computadora infectada por un rootkit debe limpiarse y reinstalarse.


Virus: Es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables, generalmente programas legítimos. La mayoría de los virus requiere la activación del usuario final y puede activarse en una fecha o un momento específico. La mayoría de los virus ahora se esparcen por unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.

Troyano: malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. A menudo, los troyanos se encuentran en archivos de imagen, archivos de audio o juegos. Un troyano se adjunta a archivos no ejecutables.

Gusanos: los gusanos son códigos maliciosos que se replican mediante la explotación independiente de las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes y ejecutarse por sí mismos. Una vez infectado el host, el gusano puede propagarse rápidamente por la red. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil.


Hombre en el medio (MitM): el MitM permite que el atacante tome el control de un dispositivo sin el conocimiento del usuario. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino.

Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, puede ordenarse al dispositivo móvil que exfiltre información confidencial del usuario y la envíe a los atacantes.

PUP: Potentially Unwanted Programs (Programa potencialmente no deseado) que se instala sin el consentimiento del usuario y realiza acciones o tiene características que pueden menoscabar el control del usuario sobre su privacidad, confidencialidad, uso de recursos del ordenador, etc.

 Hijacker: Secuestran las funciones de nuestro navegador web cambiando la página de inicio del navegador, muestran sólo un determinado tipo de páginas, impiden que podamos ejecutar un antivirus, entre otros ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen ser parte de los Adwares y Troyanos.

Rogue: Es básicamente un programa falso que dice ser o hacer algo que no es. Aquí podemos encontrar desde “Falsos Optimizadores” de Windows, y en los más extendidos “Falsos Antivirus”.


Sintomas:

  • Aumento del uso de la CPU.
  • Disminución de la velocidad de la computadora.
  • La computadora se congela o falla con frecuencia.
  • Hay una disminución en la velocidad de navegación web.
  • Existen problemas inexplicables con las conexiones de red.
  • Se modifican los archivos.
  • Se eliminan archivos.
  • Hay una presencia de archivos, programas e iconos de escritorio desconocidos.
  • Se ejecutan procesos desconocidos.
  • Los programas se cierran o reconfiguran solos.
  • Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.

Para prevernir se recomienda....

Realizar navegaciones seguras, recordar tener sentido común al navergar por la red.
Evitar descargar e instalar programas  de dudosa procedencia.
Leer comentarios de programas y aplicaciones que se van a instalar así como también revisar la valoración que tienen.
Visite el sitio Web del desarrollador.
En instalaciones de android compruebe los permisos que se le esta solicitando antes de aceptar.
No siga enlaces provenientes de correos y mensajes, dude de cualquier email sospechoso.
Mantenga protegido el sistema con soluciones de seguridad como: cortafuegos, filtros, antivirus, etc. Mantenga actualizado el sistema operativo y todos los programas instalados.


Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity
infospyware
motorola global
a la/s 1 comentario:
Etiquetas: , , , , , , , , , , , , , , ,
Suscribirse a: Entradas (Atom)