ATAQUES Y SEGURIDAD TEMPEST

   ¡Hola amigos!  Hoy os vamos a hablar sobre TEMPEST y su seguridad.

    Existe un tipo de ataque a nuestra seguridad informática a través de emisiones electromagnéticas no intencionadas que emite el hardware. A través del análisis de dichas emisiones  se puede llegar a la obtención de datos privados de un usuario. Estos son los ataques TEMPEST.

   En principio este término se creía que provenía de una operación militar en EEUU que pretendía utilizar estas emisiones electromagnéticas de equipos informáticos para obtener información privada y desarrollar normas para su protección en caso de un uso indiscriminado de este tipo de ataque. Sin embargo EEUU ha dicho que el término no tiene ningún significado en concreto. Después de esto se le han buscado diferentes significados, el más conocido “Transient ElectroMagnetic Pulse Emanation Standard”, aunque también se le conoce por EMSEC, Emission Security.

   Un dispositivo emite continuamente radiaciones, la corriente que circula por un conductor crea un campo electromagnético capaz de inducir la señal a otros conductores cerca de ese campo, es así cómo, utilizando equipos informáticos especializados se pueden obtener datos e información de un dispositivo. Se puede llegar a obtener las pulsaciones de un teclado, documentos enviados a una impresora o incluso las imágenes que aparecen en una pantalla.

   Algunos métodos de prevención podrían ser:

• Distancia: es la más sencilla y barata. Cuanta más distancia exista menor es el riesgo. Las señales transmitidas son menos fuertes según aumenta la distancia, por ello, definir un perímetro de seguridad considerable haría difícil que un atacante intercepte desde lejos una señal.
• Confusión: si existen más señales al mismo tiempo en el mismo medio es más difícil interceptar la información que un atacante esté buscando. Esto no evita el ataque, pero sí lo dificulta en gran medida.
• Por último, también puede evitarse un ataque TEMPEST utilizando dispositivos certificados, los cuales aseguran emisión mínima, e instalaciones que apantallen las radiaciones. Esta solución, evidentemente es la más cara, pero a su vez la más efectiva.

   Esperamos que os haya parecido interesante la nueva entrada =)

   ¡Un saludo!

GUERRAS INFORMÁTICAS

   ¡Hola amigos!  Hoy os vamos a hablar sobre algunas guerras informáticas ocurridas entre 1999 y 2010. Quizá hayáis oído hablar de casos contra la seguridad informática ocurridos recientemente, por eso os hablaremos de otras guerras también muy conocidas pero que ocurrieron hace más tiempo.


1999 - Guerra de Kosovo
 
   Durante la intervención de los aliados en la Guerra de Kosovo,  expertos informáticos tuvieron una guerra particular con los ordenadores militares de los aliados.

   Este grupo de informáticos, estaba formado por integrantes de diferentes nacionalidades, fue capaz de penetrar e inutilizar los ordenadores que llevaban a cabo la estrategia de la OTAN, la Casa Blanca, y de varios porta aviones norteamericanos, sólo como una demostración de poder y fuerza.


2003 - Taiwán
 
   Se produjeron diversos ataques informáticos a infraestructuras taiwanesas tales como: la bolsa, hospitales, tráfico. Estas intrusiones en la seguridad informática de Taiwán supusieron un caos en la población. Estos sucesos se han culpado a China, pero nunca se consiguieron tener pruebas suficientes para culpar a dicho país.


2007 – Estonia

   La guerra informática entre Estonia y Rusia fue provocada por la retirada en Tallin (capital de Estonia), de la estatua de un soldado ruso, que conmemoraba la resistencia soviética a los ataques nazis durante la Segunda Guerra Mundial. La estatua fue retirada en mitad de la noche, para evitar las protestas de los estonios de origen ruso, que componen un porcentaje significativo de la población de Estonia. La retirada de la estatua se produjo en la madrugada del 27 de abril de 2007 y desde ese día, durante tres semanas, Estonia sufrió graves ciberataques en masa que debilitaron de forma significativa su infraestructura digital.

   Aquí tenemos una imagen de dicha estatua:

   El ataque informático consistió en la llegada masiva de peticiones de información, es decir, el servidor no da abasto con la cantidad de usuarios. Estos ataques son los conocidos “Ataques de Denegación de Servicio” o ataques DoS. Cuando se compenetran, esto es, son llevados a cabo por una gran cantidad de procesadores a la vez pueden acabar tumbando un servidor, a pesar de que su capacidad sobrepase con creces la información que recibe normalmente, y se conocen en dicho caso como DDOS.

   En esta ciberguerra, los servidores estonios se colapsaron debido a la llegada de millones de peticiones por segundo a sus servidores. Teniendo en cuenta que la población estonia es de 1,3 millones por los 141 millones de rusos, nos podemos imaginar la gravedad de ataque informático aunque sólo fuese llevado a cabo por un ínfimo porcentaje de usuarios.

   Estonia es uno de los países más digitalizados del mundo, y este ciberataque prácticamente colapsó el país, la mayoría de sus administraciones públicas estaban completamente digitalizadas, incluyendo hasta voto electrónico. Puesto que Estonia forma parte de la OTAN, expertos de diversos países se trasladaron al país para ofrecer su ayuda. Finalmente la situación se calmó y los servidores estonios volvieron, con el tiempo, a la normalidad. Los daños nunca han llegado a cuantificarse totalmente, en parte por la negación rusa, que dificultó aún más el rastreo de la fuente originaria de los ataques.


2008 - Georgia

   El conflicto militar en 2008 entre Georgia y Rusia por el control de las regiones de Usetia y Abjazia tiene su propia participación en Internet, con ataques informáticos a los sitios web de uno u otro país por grupos de hackers.
 
   Estos ataques se han podido producir de forma independiente o por el contrario fueron organizados desde los respectivos gobiernos de ambos países, según informaron en su día varias fuentes de información periodísticas.
Georgia acusó a Rusia de emplear hackers, para hacer una ciberguerra hacía las páginas web del gobierno, al mismo tiempo que realizan una ofensiva militar, según afirmo el Ministerio de Asuntos Exteriores de Georgia.

   Los ataques a la seguridad informática de Rusia consiguieron  echar abajo sitios oficiales del gobierno georgiano, que se vio obligado a trasladar sus páginas a servidores norteamericanos, país que apoyaba políticamente a Georgia en dicho momento.


2010 – Irán (Stuxnet)

   Hasta el momento lo que se sabe de Stuxnet es que sus ataques fueron dirigidos hacia los sistemas informáticos de Irán. Las intrusiones utilizaron cuatro brechas de seguridad informática desconocidas por parte de Microsoft y que ataca a procedimientos de control industrial con controladores lógicos programables (PLC).
 
   Se cree que Stuxnet ha sido creado por una nación poderosa, ya que son pocas las que tienen la capacidad económica y tecnológica para desarrollarlo, todas las especulaciones dirigían las miradas hacia EEUU e Irán.
 

   El objetivo de Stuxnet era atacar y ralentizar el programa nuclear iraní, las cascadas de centrifugadoras que enriquecen uranio o la central de Bushehr fueron sus principales objetivos. EEUU e Israel  temían que Irán pudiese lanzar un programa de Armas Nucleares. Las autoridades de Irán han desmentido que su propósito fuera lanzar dicho programa argumentando que no existe ninguna prohibición para actividades de enriquecimiento de uranio.

   Aquí tenemos una imagen de la central nuclear de Bushehr:

 
   La infección inicial se produce mediante dispositivos USB, para luego aprovechar otras brechas e infectar a otros equipos con Windows conectados en red. Una vez lograda la entrada al sistema, el virus usa las contraseñas por defecto para hacerse con el control de la aplicación.
 
   Los programadores utilizan ordenadores con el sistema operativo Windows, en los cuales escriben código que será cargado en los PLC. Si el programador utiliza un ordenador infectado con Stuxnet, el virus se esconde en el código que luego es transferido al PLC. De esta manera Stuxnet controlaría la aplicación para cualquier propósito, en este caso la destrucción de un objetivo real. Stuxnet fue capaz de hacer que las centrifugadoras de la planta girasen sin control dejándolas fuera de servicio, logrando frenar temporalmente el programa de enriquecimiento de uranio iraní.
 
   Irán finalmente admitió que el virus afectó a los ordenadores portátiles de los trabajadores de Bushehr, pero negó que la planta fuera afectada en algunas funciones importantes. Funcionarios iraníes reconocieron los problemas técnicos, diciendo que “veían en sus pantallas que los controles y sistemas estaban funcionando con normalidad, cuando en realidad estaban fuera de control”.



Esperamos que os haya parecido interesante.

Un saludo y ¡hasta la próxima! ;)

ACTUALIZACIÓN AMENAZAS, MALWARE  Y SISTEMAS DE DEFENSA

¡Hola a todos! 


Hemos actualizado la sección de Amenazas, Malware y Sistemas de Defensa
Se ha añadido información detallada sobre los distintos tipos de sistemas de defensa que podemos implementar en nuestros equipos para evitar el acceso de forma no autorizada.  


Un saludo y ¡Esperamos que os guste! 

ACTUALIZACIÓN CONTROL DE ACCESOS (III)

   ¡Hola amigos! Sección de control de accesos actualizada, pasaros y comentadnos qué os parece. Esperamos que os guste.


  Hemos añadido toda la información referente al control de accesos, y además explicados los conceptos relacionados con la Seguridad Multilateral y Multinivel, además tenéis una explicación de los criterios aplicados en la evaluación y certificación de la seguridad.

  Cualquier consulta, duda o sugerencia, a través de nuestros comentarios, nuestro perfil de Facebook y Twitter.

  ¡Un saludo!

SEGURIDAD DEL SISTEMA DNS

   ¡Hola amigos!  Hoy vamos a hablar del sistema DNS y de su seguridad.


DNS (Domain Name System)

   La misión de este sistema es traducir nombres inteligibles para las personas en identificadores binarios asociados a los equipos que se encuentran conectados a una red, con el propósito de localizar y direccionar ambos equipos.

   Este servidor usa una base de datos que contiene información asociada a nombres de dominio en redes, principalmente el DNS lo que hace es asignar estos nombres de dominio a direcciones IP.


 Algunas amenazas para DNS

•    Ataque de denegación de servicio: un intruso desborda uno o varios servidores DNS de la red a través de consultas recursivas. Cuando un servidor DNS se desborda, el equipo alcanza su nivel máximo y el Servidor DNS deja de estar disponible.
•    Modificación de datos: un intruso ocupa una red mediante DNS, a través de direcciones IP falsas, con la apariencia de IP válidas pretende tener acceso a la red y destruir o modificar cualquier tipo de datos.
•    Redirección: un intruso consigue redirigir consultas de nombres DNS a servidores que son controlados por él. Se contamina la caché DNS con datos DNS falsos consiguiendo que consultas futuras sean dirigidas a otros servidores DNS.
•    Ocupación: un intruso consigue los datos de la zona DNS para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP. Estos datos se utilizan para obtener un diagrama u ocupación de una red. 

  

DNSSEC (Domain Name System Security Extensions)

 
   Su objetivo principal es la protección al DNS de la inyección de datos falsificados, a través de firmas digitales en las respuestas positivas y negativas.

   Consiste en un conjunto de protocolos desarrollados para proveer de seguridad al DNS. Da a los clientes la oportunidad de asegurar la autenticidad de quien ofrece una respuesta a una consulta DNS; además asegura a integridad de los datos que se transfieren. Sin embargo el DNSSEC no provee al DNS de alta disponibilidad o confidencialidad de los datos transferidos.

   El DNSSEC no quita la posibilidad existente de introducir falsa información, sino que proporciona un mecanismo para autenticar el mensaje de respuesta que se transfiere.



   Y esto es todo esperamos que os haya parecido interesante y que os haya servido para conicer un poquito más sobre el DNS.

   Un saludo, ¡hasta la próxima entrada!

ATAQUE DE DENEGACIÓN DE SERVICIO DISTRIBUIDO (DDoS)

   ¡Hola amigos!  Hoy volvemos con un nuevo tema, los ataques de denegación de servicio distribuido (DDoS)

¿Qué es un DDoS?

   Los ataques distribuidos de denegación de servicios o DDoS (en ingés Distributed Denial of Service) son una ampliación del ataque DoS o ataque de denegación de servicio (Denial of Service), por lo que primero explicaremos qué es un ataque de denegación de servicio. Es un ataque a un sistema de ordenadores o red que provoca que los usuarios legítimos de los mismos no tengan acceso a un servicio o recurso. Debido al consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos en los ordenadores de la misma, se pierde la conectividad de la red. Este consumo del ancho de banda se genera mediante la saturación de los puertos de flujo de información y el servidor no puede seguir prestando servicios, ya que no da abasto a la cantidad de solicitudes que recibe, de ahí viene el términino “denegación”. En resumidas cuentas, lo que consigue es dejar fuera de servicio a un determinado objetivo. En el apartado Amenazas, Malware y Sistemas de Defensa se explica con mayor detalle su funcionamiento y los diferentes tipos de inundación.

    Como hemos dicho anteriormente, el ataque DDoS es una ampliación del ataque DoS ya que se lleva a cabo generando un gran flujo de información desde varios puntos de conexión, y no sólo desde uno como hace el DoS, de ahí el término “distribuido”. La técnica más común y eficaz para llevar a cabo un ataque DDoS es a través de una Botnet (conjunto de ordenadores infectados llamados bots o zombies que son controlados de forma remota por el creador de la misma). Veamos un ejemplo para que quede más claro, imaginemos que tenemos una web propia, el servidor que aloja esta web tienen una capacidad máxima de personas que visitan la página al mismo tiempo (la cual depende del ancho de banda o del hardware del servidor entre otras), de 230 personas. Si en un mismo momento 231 personas intentan conectarse, la última no lo conseguirá, se le denegará el servicio. Los atacantes lo que hacen es crear conexiones entrantes desde numerosos puntos de Internet a los servicios, consiguiendo así “tirar” una web, servidores de correo, redes, etc. 

   Otro tipo de ataque de denegación de servicios son los ataques EDoS (Economic Denial of Service) con el que no se pretende la caída de los servicios, si no un cierre forzado debido a la imposibilidad de hacer frente a los gastos por el uso de los recursos.

 ¿Cómo podemos evitarlo? 

   Este tipo de ataques cada vez son más frecuentes ya que no requieren demasiados conocimientos de informática para realizarlos, no son algo continuado en el tiempo pero sí hace bastante daño en un momento concreto. Empresas como Apple invierte 1.300 millones de dólares al año en su página de iTunes para que esta soporte sin ningún problema el tráfico, evitando así los ataques DDoS, pero está claro que la mayoría de empresas no pueden permitirse este desembolso de dinero. En el caso de este tipo de empresas más pequeñas, lo que se puede hacer es invertir en servidores junto con otras compañías (formando cooperativas). Según Chester Wisniewski “montar un protocolo para distribuir infraestructura que podría soportar un tráfico entre 1.000 y 5.000 veces superior al normal en caso de ataque”. 

   De manera general se deberían tener planes de respuesta a los ataques DDoS y mantener un plan de vigilancia contínuo. De manera individual también se puede colaborar de una manera muy simple, manteniendo nuestro ordenador limpio de virus y evitando que sean infectados y se conviertan en “zombies”.

 Ataques de mayor impacto en 2011

 Los 5 ataques DDoS con mayor impacto en 2011 según Corero Network Security:

1. WikiLeaks: el más importante y llevado a cabo por Anonymous, es un claro ejemplo de hackers activistas, los cuales actúan por motivos políticos o ideológicos y no por un interés financiero.
2. PlayStation: se cometieron una serie de ataques DDoS a Sony, dañando así su reputación y de manera económica 
3. CIA y SOCA (Agencia contra el Crimen Organizado Serio): con estos ataques se levantaron las alarmas sobre si se está a salvo en Internet.
4. WordPress: debido a los ataques DDoS se bloquearon alrededor de 18 millones de sitios webs. 
5. Bolsa de Hong Kong: afectó de manera colateral a empresas y particulares, ya que con la alteración de la bolsa de valores fue un ataque con un gran impacto en el mundo financiero.

 Un saludo ;)

ECHELON

   ¡Hola amigos!

   Hoy vamos a dedicar la entrada a hablar de Echelon, esto es una gran red de espionaje y análisis para interceptar comunicaciones electrónicas.

   Su nombre es un término inglés, traducido como “escalón”, también es conocido como “La gran oreja”. Echelon está controlada por la comunidad UKUSA (el nombre proviene de UK (United Kingdom) y USA (United States of America)), y está formada por Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda. Su existencia se hizo pública en 1976 por Winslow Peck.

   Se considera la mayor red de espionaje de la historia capaz de interceptar comunicaciones electrónicas en casi todo el mundo, se estima que intercepta unas tres mil millones de comunicaciones al día.

   La red Echelon constaría de un entramado de antenas, estaciones de escucha, radares y satélites, apoyados por submarinos y aviones espían. Todos estos elementos se unen a través de bases terrestres. Trabaja a través de la radio, satélite, llamadas de teléfono, faxes y e-mails, además incluye un análisis y clasificación de la información interceptada. Las señales que capturan las antenas de Echelon se procesan a través de un ordenador (conocido como “diccionario”), el cual ha sido creado y programado para seguir unos patrones establecidos en cada comunicación, patrones como palabras, direcciones e incluso ciertas voces. Se recoge la información y se procesa mediante unos filtros buscando los patrones clave, a esto se le llama “control estratégico de las telecomunicaciones”.

   Los orígenes de la comunidad UKUSA se remontan a la Segunda Guerra Mundial, e inicialmente solo formaban parte Estados Unidos y Gran Bretaña. Echelon fue creada con el fin de controlar las comunicaciones militares entre la Unión Soviética y sus aliados.

   Esta organización cuenta con unos 380.000 empleados en todo el mundo. Algunas fuentes del sistema cuentan con unas 120 estaciones y satélites geoestacionarios, lo cual podría llegar a filtrar hasta un 90% de todo el tráfico de internet. Cada estado de los que forman UKUSA tiene asignada una zona de control en el planeta.

   Aunque el objetivo inicial de Echelon era controlar las comunicaciones militares de la Unión Soviética, como hemos dicho anteriormente, hoy en día sus objetivos están orientados a la lucha contra el terrorismo internacional y el tráfico de drogas. Sin embargo se sospecha que Echelon también es utilizado para el espionaje económico de cualquier nación y la invasión de la privacidad a gran escala.

   Debido a los rumores de espionaje de Echelon el  Parlamento Europeo creó en julio de 2000 una comisión para investigar dicha red. Finalmente en septiembre de 2001, el Parlamento Europeo emitió un informe en el que decía: "considerando que no hay ninguna razón para seguir dudando de la existencia de un sistema de interceptación de las comunicaciones a nivel mundial" y "la finalidad del sistema es la interceptación, como mínimo, de comunicaciones privadas y comerciales, y no militares". Por lo que finalizaron su investigación.


Esperamos que os haya parecido interesante este nuevo tema que os hemos comentado =)


Un saludo y ¡hasta la próxima entrada!