Seguridad Informática: Técnicas y Conceptos Clave

Entrada publicada en Informática y etiquetada Cortafuegos IPsec PGP S/MIME Seguridad informatica SPDI el por .

Seguridad en Correo Electrónico: PGP y S/MIME

Pregunta 66: Diferencias entre PGP y S/MIME

Las dos diferencias fundamentales entre PGP y S/MIME son:

  • Independencia: PGP es independiente y compatible con muchos clientes de correo electrónico, mientras que S/MIME suele estar integrado en las aplicaciones.
  • Gestión de claves: PGP maneja claves simétricas y asimétricas, mientras que S/MIME se centra en la generación de pares de claves pública y privada.

Pregunta 78: Mecanismos Criptográficos en S/MIME

S/MIME utiliza los siguientes mecanismos criptográficos:

  • Autenticación e Integridad: Se usan firmas digitales para verificar la autenticidad del remitente y garantizar que el mensaje no ha sido alterado.
  • Confidencialidad: Se cifra el mensaje con una clave de sesión, que a su vez se cifra con la clave pública del receptor. Esto asegura que solo el receptor con la clave privada correspondiente pueda descifrar el mensaje.

Pregunta 15: Confidencialidad en S/MIME vs. PGP

S/MIME utiliza una clave de sesión para cifrar el mensaje y la clave pública del receptor para cifrar la clave de sesión. La principal diferencia con PGP radica en la generación de la clave de sesión:

  • S/MIME no especifica un mecanismo concreto para calcular la clave de sesión.
  • PGP la calcula a partir de la interacción del usuario (por ejemplo, escribiendo una frase).

En cuanto a las claves públicas:

  • PGP las almacena en un anillo de claves.
  • S/MIME requiere la gestión de certificados que siguen el estándar X.509 y la definición de Autoridades de Certificación (ACs) confiables.

Pregunta 59: Identificador de Clave en PGP

En PGP, es necesario incluir el identificador de la clave en los mensajes firmados digitalmente para que el receptor pueda buscar la clave pública correspondiente en su anillo de claves y verificar la firma.

Pregunta 74: Anillo de Claves Privadas en PGP

El anillo de claves privadas de PGP contiene:

  • Sello de tiempo
  • ID de la clave
  • Clave pública
  • Clave privada cifrada
  • ID del usuario

Pregunta 79: Anillo de Claves Públicas en PGP

El anillo de claves públicas de PGP contiene:

  • Sello de tiempo
  • ID de la clave
  • Clave pública
  • Confianza en el propietario
  • ID del usuario
  • Legitimidad de la clave
  • Firmas
  • Confianza en las firmas

IPsec

Acciones de una Política de Seguridad en IPsec

Una política de seguridad en IPsec puede determinar las siguientes acciones para un paquete:

  • Descartar
  • Pasar sin cambios
  • Aplicar servicios de seguridad

Definición de Política de Seguridad en IPsec

Una política de seguridad en IPsec:

  • Relaciona el tráfico IP con una Asociación de Seguridad (AS) específica (o varias o ninguna).
  • Está compuesta por reglas que especifican las características de los paquetes a procesar y las acciones a aplicar según esas características.
  • Se almacena en una base de datos de políticas de seguridad (BDPS).
  • Se consulta para cada paquete de entrada y salida.

Cortafuegos

Definición

Un cortafuegos es un sistema (hardware o software) que proporciona conectividad segura entre redes con diferente fiabilidad, bloqueando o permitiendo el paso de información entre ellas.

Ventajas

  • Impone restricciones de acceso a servicios de red.
  • Facilita la monitorización de sucesos de seguridad.
  • Reduce el coste de asegurar cada máquina individualmente.
  • Ayuda a cumplir la política de seguridad para comunicaciones entre redes.

Desventajas

  • Rendimiento: Puede afectar al rendimiento de la red y crear cuellos de botella.
  • Gestión: Muchos productos tienen una configuración compleja.
  • Posible falsa sensación de seguridad.

Limitaciones

  • No protege contra ataques externos debidos a código con errores, protocolos vulnerables o ataques internos si solo se ubica en el perímetro.
  • No protege contra código malicioso procedente de dispositivos infectados (USB, CD, etc.).

Tipos de Cortafuegos

Según el Modo de Procesamiento

  • Filtro de paquetes (conexión directa)
  • Proxy (conexión mediante intermediario)

Según la Disposición

  • En red
  • En máquina

Filtro Sin Estado

Examina cada paquete IP individualmente y decide si lo deja pasar o lo bloquea basándose en reglas que se aplican a la información contenida en la cabecera del paquete.

  • Ventajas: Sencillo y rápido.
  • Desventajas: No proporciona seguridad por encima de la capa IP, lo que lo hace vulnerable a ataques como la suplantación de IP o la fragmentación.

Filtro Con Estado

Además de la cabecera del paquete, considera información sobre las conexiones TCP, como el número de secuencia TCP, para tomar decisiones más informadas sobre el tráfico.

Pregunta 39: Diferencia entre Filtro Con Estado y Sin Estado

Un filtro sin estado examina cada paquete IP de forma aislada, mientras que un filtro con estado también tiene en cuenta el estado de las conexiones TCP, lo que le permite tomar decisiones más inteligentes sobre el tráfico.

Pasarela de Nivel de Aplicación

Actúa como un servidor proxy, retransmitiendo el tráfico de la capa de aplicación. Ofrece mayor seguridad que un filtro de paquetes al poder filtrar según el contenido de los paquetes. Sin embargo, requiere un proxy por cada aplicación.

Pasarela de Nivel de Circuito

Actúa como un proxy de la capa de transporte, retransmitiendo segmentos TCP sin examinar su contenido. Es independiente de la lógica de la aplicación y más económico que una pasarela de nivel de aplicación, pero requiere la definición de las conexiones permitidas y la modificación de las aplicaciones.

Cortafuegos en Máquina Individual

Generalmente, se implementa como un módulo de software disponible en muchos sistemas operativos. Permite reglas de filtrado específicas y proporciona un nivel de protección adicional al cortafuegos de la organización. Sin embargo, la protección es solo individual.

Cortafuegos en Máquina Bastión

Un bastión es un punto crucial en la seguridad de la red, con un sistema operativo en modo seguro y preparado para resistir ataques. Está más expuesto a la red externa y sirve como plataforma para cortafuegos, especialmente pasarelas.

Pregunta 7: Ataques Internos con Cortafuegos Individuales

Sí, es posible que una máquina con un cortafuegos individual se vea afectada por un ataque interno. Por ejemplo, un usuario con permisos suficientes podría copiar información confidencial en un dispositivo extraíble y sustraerla, lo cual no sería detectado ni prevenido por un cortafuegos.

Pregunta 5: Sistemas de Defensa con Toma de Decisiones

Dos ejemplos de sistemas de defensa que involucran la toma de decisiones son:

  • Antivirus: Los antivirus analizan archivos y comportamientos para determinar si hay código malicioso presente y, en caso afirmativo, qué tipo de malware es.
  • Sistemas de Detección de Intrusiones (SDI): Los SDI monitorizan la actividad de la red o del sistema en busca de patrones sospechosos que indiquen una intrusión y alertan al administrador si se detecta alguna anomalía.

SPDI: Sistemas de Detección y Prevención de Intrusiones

Los SPDI combinan las funcionalidades de los Sistemas de Prevención de Intrusiones (SPI) y los Sistemas de Detección de Intrusiones (SDI). Sus objetivos son:

  • Avisar de intrusiones.
  • Identificar actividad sospechosa de posibles ataques futuros.
  • Iniciar una respuesta para prevenir un ataque mayor.
  • Comprender mejor las amenazas para tomar medidas más adecuadas.
  • Ayudar a evaluar el daño causado y proporcionar evidencia de la intrusión.

SDI: Sistema de Detección de Intrusiones

Una aplicación que automatiza el proceso de identificar si se ha intentado, está ocurriendo o ha ocurrido una actividad de intrusión.

SPI: Sistema de Prevención de Intrusiones

Una aplicación que puede detener posibles intrusiones.

Objetivos de un SPDI

  • Analizar código.
  • Reescribir código antes de ejecutarlo para que no pueda causar daño.
  • Monitorizar la ejecución de código y detenerla antes de que cause daño.
  • Comprobar el resultado y recuperar el sistema.

Desventajas de un SPDI Basado en Firmas

  • Requiere una base de datos de firmas actualizada constantemente.
  • Solo detecta código malicioso conocido.

Pregunta 22: Evitar la Detección de un SDI Basado en Anomalías

Un atacante podría evitar la detección de un SDI basado en anomalías con perfiles dinámicos realizando sus actividades a una velocidad muy lenta. De esta manera, el SDI podría interpretar cada acción maliciosa como normal e incluirla en el perfil, lo que permitiría al atacante pasar desapercibido.

Pregunta 38: Antivirus Tipo Monitor como SPDI

Un antivirus tipo monitor puede considerarse tanto un SDI como un SPI, ya que tiene la capacidad de identificar (SDI) y detener (SPI) intrusiones en tiempo real.

SDI Basado en Firmas

Compara la actividad observada con una base de datos de firmas de ataques conocidos. Su efectividad se limita a las amenazas conocidas y no puede predecir nuevos ataques.

SDI Basado en Comportamiento

Compara la actividad observada con perfiles de uso normal, que pueden ser estáticos o dinámicos. Utiliza métodos estadísticos y umbrales para determinar si una actividad es sospechosa.

SDI Basado en Máquina

Se centra en la detección de actividades sospechosas en una computadora específica utilizando técnicas como auditorías, análisis de código, análisis de tráfico y monitorización de archivos y procesos. Ofrece una visión limitada de la red y puede consumir muchos recursos.

Ventajas de un SDI Basado en Red

  • Detecta ataques en la capa de transporte y superiores.
  • Permite determinar el origen del ataque.
  • Ofrece detección y respuesta en tiempo real.
  • Proporciona una amplia variedad de datos para el análisis.
  • Puede proteger múltiples máquinas con un solo sensor.

Pregunta 10: Tipos de Sensores en un SPDI Basado en Red

  • Sensores en línea: Se conectan directamente a la red y analizan el tráfico en tiempo real, lo que les permite bloquear ataques de inmediato.
  • Sensores pasivos: Monitorizan una copia del tráfico de la red, lo que los hace menos efectivos para bloquear ataques en tiempo real.

Cebo (Honeypot)

Un señuelo, real o simulado, diseñado para atraer a los atacantes. Los honeypots recopilan información sobre las tácticas de los atacantes, los distraen y los retrasan. Requieren monitorización constante y deben parecer auténticos para ser efectivos.

Códigos Maliciosos: Virus

Definición

Los virus son códigos maliciosos autorreplicantes y parásitos que infectan archivos y programas legítimos. Cuando se ejecuta un archivo infectado, el virus se activa e intenta replicarse en otros archivos o sistemas.

Estados de un Virus

  • Germen: Estado original antes de replicarse.
  • Durmiente: Presente en la máquina pero aún no activo. Tiene capacidad de transmisión.
  • Intento: El virus ha intentado replicarse pero ha fallado.
  • Propagación: El virus se está replicando activamente.
  • En ejecución de carga: El virus está ejecutando su carga útil maliciosa.

Propagación de Virus

Los virus pueden propagarse a través de:

  • Dispositivos extraíbles (CD, USB).
  • Correo electrónico.
  • Redes informáticas.

Pregunta 28: Técnicas de Detección de Virus

Las cinco técnicas de detección de virus son:

  • Escáner (estático)
  • Escáner con heurística (estático)
  • Comprobación de integridad (estático)
  • Monitor/Bloqueador de comportamiento (dinámico)
  • Emulador (dinámico)

Gusanos

Definición

Los gusanos son códigos maliciosos autorreplicantes e independientes que se propagan a través de redes informáticas. A diferencia de los virus, no necesitan infectar un archivo host para replicarse.

Pregunta 35: Forma de Actuar de un Gusano

Los gusanos se propagan mediante una siembra inicial a través de redes inalámbricas inseguras, correo electrónico, etc. Buscan objetivos mediante diversas técnicas de escaneo, como escaneo aleatorio, escaneo localizado, escaneo de listas de máquinas vulnerables, escaneo de permutación, escaneo topológico y escaneo pasivo.

Tipos de Gusanos

  • Conejo/Bacteria: Solo se replica y propaga, consumiendo recursos del sistema.
  • Tipo 1: Absorbe recursos de la máquina.
  • Tipo 2: Se replica de máquina en máquina, borrando la copia original.

Pregunta 19: Métodos de Escaneo de un Gusano

Los gusanos pueden utilizar los siguientes métodos de escaneo para buscar objetivos:

  • Escaneo aleatorio
  • Escaneo localizado
  • Escaneo de máquinas de una lista
  • Escaneo de permutación
  • Escaneo topológico
  • Escaneo pasivo

Diferencias entre Virus y Gusanos

Las principales diferencias entre un virus y un gusano son:

  • Replicación: Los virus necesitan infectar un archivo host para replicarse, mientras que los gusanos son independientes.
  • Propagación: Los virus se propagan principalmente a través de archivos infectados, mientras que los gusanos utilizan las redes informáticas.
  • Intervención humana: Los virus suelen requerir la intervención humana (por ejemplo, abrir un archivo adjunto infectado) para propagarse, mientras que los gusanos pueden propagarse automáticamente.

Troyanos

Los troyanos son códigos maliciosos que se hacen pasar por programas legítimos para engañar a los usuarios y obtener acceso no autorizado a sus sistemas. Una vez instalados, los troyanos pueden robar información, espiar la actividad del usuario o proporcionar a los atacantes control remoto del sistema.

Espías (Spyware)

Los espías son programas maliciosos que recopilan información del sistema infectado sin el conocimiento o consentimiento del usuario. Esta información puede incluir pulsaciones de teclado, historiales de navegación, contraseñas y otros datos confidenciales.

Bombas Lógicas

Las bombas lógicas son códigos maliciosos que se activan al cumplirse una condición específica, como una fecha o una acción del usuario. Cuando se activa una bomba lógica, ejecuta una carga útil maliciosa que puede dañar el sistema o robar información.

Puertas Traseras (Backdoors)

Las puertas traseras son puntos de entrada ocultos en un sistema o programa que permiten a los atacantes eludir los mecanismos de seguridad normales. Los atacantes pueden utilizar puertas traseras para acceder al sistema de forma remota, robar información o instalar malware adicional.

Zombis (Bots y Botnets)

Un bot es un programa que se conecta a un servidor de comando y control (C&C) y espera instrucciones de un atacante. Una botnet es una red de bots que un atacante controla de forma remota para llevar a cabo ataques a gran escala, como ataques de denegación de servicio (DDoS) o envío de spam.

Estafadores (Scareware)

Los estafadores son programas maliciosos que intentan asustar a los usuarios para que compren software o servicios innecesarios. Suelen mostrar advertencias falsas de infecciones de virus o problemas de seguridad para convencer a los usuarios de que necesitan comprar su producto.

Rescatadores (Ransomware)

Los rescatadores cifran los archivos del usuario y exigen un rescate para proporcionar la clave de descifrado. Los atacantes suelen amenazar con borrar los archivos o hacer pública la información robada si no se paga el rescate.

Bulos (Hoaxes)

Los bulos son mensajes falsos que se propagan por correo electrónico, redes sociales u otros medios. Suelen advertir de virus inexistentes o problemas de seguridad para asustar a los usuarios y hacer que propaguen el mensaje.

Anti-Código Malicioso

Pregunta 6: Ventajas y Desventajas de los Antivirus Dinámicos

Ventajas:

  • Pueden detectar malware polimórfico y ofuscado que los antivirus estáticos no pueden detectar.
  • Son más efectivos para detectar amenazas de día cero (ataques desconocidos).

Desventajas:

  • Pueden ralentizar el rendimiento del sistema.
  • Tienen un mayor riesgo de falsos positivos.

Pregunta 9: Perfiles Estáticos vs. Dinámicos en SPDI

Un perfil estático se define manualmente y no cambia a menos que el administrador lo actualice. Un perfil dinámico se ajusta automáticamente en función del comportamiento del sistema, lo que lo hace más adaptable a las nuevas amenazas.

Comprobación de Integridad en Antivirus

Los antivirus utilizan la comprobación de integridad para detectar cambios no autorizados en archivos críticos del sistema. Esto ayuda a detectar la presencia de rootkits y otros tipos de malware que intentan ocultarse en el sistema.

Anti-Código Malicioso Estático: Tipo Escáner

Los escáneres de virus buscan patrones de código conocidos (firmas) en archivos y programas. Son efectivos para detectar malware conocido, pero no pueden detectar amenazas desconocidas.

Ventajas

  • Identificación precisa del código malicioso encontrado.

Desventajas

  • Requiere una base de datos de firmas actualizada constantemente.
  • Solo detecta código malicioso conocido.

Antivirus de Tipo Escáner con Heurísticas

Los escáneres de virus con heurísticas utilizan reglas y algoritmos para identificar código sospechoso que puede indicar la presencia de malware. Esto les permite detectar algunas amenazas desconocidas, pero también aumenta el riesgo de falsos positivos.

Pregunta 56: Tipos de Antivirus que No Detectan Nuevos Virus

El antivirus de tipo escáner sin heurísticas no puede detectar nuevos virus, ya que se basa únicamente en la detección de firmas de malware conocido.

Anti-Código Malicioso Estático: Tipo Comprobación de Integridad

La comprobación de integridad busca cambios no autorizados en archivos críticos del sistema. Se basa en la comparación de hashes de archivos para detectar modificaciones. Es efectivo para detectar rootkits y otros tipos de malware que intentan ocultarse en el sistema.

Ventajas

  • Detecta malware conocido y desconocido.

Desventajas

  • Alto riesgo de falsos positivos.
  • No detecta malware que infecta la memoria.

Anti-Código Malicioso Dinámico: Tipo Monitor/Bloqueador de Comportamiento

Los monitores de comportamiento analizan el comportamiento de los programas en tiempo real para detectar actividades sospechosas. Pueden detectar malware conocido y desconocido, pero también tienen un mayor riesgo de falsos positivos.

Ventajas

  • Detecta malware conocido y desconocido.
  • Elimina parte de la ofuscación del código.

Desventajas

  • Riesgo de falsos positivos.

Anti-Código Malicioso Dinámico: Tipo Emulador

Los emuladores ejecutan código sospechoso en un entorno virtualizado seguro para analizar su comportamiento sin riesgo para el sistema real. Son muy efectivos para detectar malware polimórfico y ofuscado, pero pueden ser lentos y consumir muchos recursos.

Ventajas

  • Detecta malware conocido y desconocido.
  • Elimina parte de la ofuscación del código.
  • Análisis en un entorno seguro.

Pregunta 21: Desventajas de un Antivirus Tipo Emulador

  • Puede detener el análisis antes de que se revele el comportamiento malicioso.
  • Puede requerir mucho tiempo para analizar código complejo.
  • El virus detectado no se identifica ni se desinfecta automáticamente.

Importancia del Tiempo de Ejecución en un Emulador

El tiempo de ejecución es un factor determinante en la detección de malware en un emulador porque algunos tipos de malware, como las bombas lógicas, solo revelan su comportamiento malicioso después de un período específico o al cumplirse una condición específica. Si el emulador detiene el análisis antes de tiempo, es posible que no detecte la amenaza.

Anti-Anti-Código Malicioso

Los autores de malware utilizan técnicas anti-anti-código malicioso para dificultar la detección y el análisis de su código. Algunas de estas técnicas incluyen:

Retrovirus

Los retrovirus son programas maliciosos diseñados para atacar y desactivar software antivirus. Pueden intentar detener los procesos del antivirus, bloquear su ejecución o impedir que se actualice.

Blindaje (Anti-Ingeniería Inversa)

El blindaje se utiliza para dificultar la ingeniería inversa del código malicioso. Algunas técnicas de blindaje incluyen:

  • Ofuscación de código
  • Cifrado de código
  • Anti-depuración
  • Anti-desensamblaje

Tunelado

El tunelado se utiliza para ocultar el tráfico de red malicioso y dificultar su detección. Los atacantes pueden utilizar túneles VPN, proxies o protocolos de comunicación no estándar para ocultar sus actividades.

Anti-emulación

Las técnicas anti-emulación se utilizan para detectar si el código malicioso se está ejecutando en un entorno virtualizado y modificar su comportamiento para evitar la detección.

Ataques a Comprobadores de Integridad

Los atacantes pueden intentar modificar los comprobadores de integridad del sistema para que no detecten la presencia de malware. También pueden intentar aprovechar vulnerabilidades en el código del comprobador para eludir la detección.

Ofuscación del Punto de Entrada

La ofuscación del punto de entrada se utiliza para ocultar el punto de inicio del código malicioso y dificultar su análisis. Los atacantes pueden utilizar técnicas como el cifrado, la ofuscación de código o la inyección de código para ocultar el punto de entrada.

Elusión/Evitación

Los autores de malware pueden intentar eludir o evitar la detección del código malicioso ocultándolo en ubicaciones del sistema donde el software antivirus no lo busca. También pueden intentar aprovechar vulnerabilidades en el software antivirus para evitar la detección.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *