fabiola de la novela mi secreto

Para ello, el atacante se encarga de reemplazar el fichero original del programa que pretende suplantar. Comité de Seguridad de la Información. Como ejemplo destacado de estos dispositivos integrados podríamos citar la gama de productos FortiGate de la empresa Fortinet (www.fortinet.com). 88 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK En una empresa de pequeño o mediano tamaño se podría plantear la posibilidad de subcontratar este Centro Alternativo a una empresa especializada, por ejemplo, un Data Center de un operador de telecomunicaciones, formalizando la relación mediante un contrato en el que se contemple las condiciones y el nivel de servicio (Service Level Agreement). Para ello, en INAFE, trabajamos de forma continua en desarrollar acciones formativas y servicios destinados al fomento de empleo y a la inserción laboral actuando en varias vías principales como agencia de colocación autorizada por el SEPE con Nº de autorización 0100000113. Mediante este curso en línea podrás … Gestión de Incidentes Etiquetado con ISO 27000. 96 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK todas las actividades que se realizarán en cada una de las etapas del análisis forense en sistemas informáticos. Los honeypots y honeynets proporcionan varios mecanismos para la monitorización, registro y control de las acciones de los intrusos. y Google obtengan una versión falsa, indistinguible de la original salvo porque muestra una serie de resultados modificados en primer lugar, a los que se añaden a continuación (pero no en primer lugar) los que normalmente mostrarían estos buscadores. Generalmente solo las grandes organizaciones cuentan con un equipo de personas contratadas para cumplir con esta función. Conocido también por sus apodos “El Cóndor” y “El Chacal de la Red”, inició su carrera en 1980, cuando con apenas 16 años consiguió romper la seguridad del sistema informático de su colegio. Digital Security in a Networked World, John Wiley & Sons. Aparición de dispositivos extraños conectados directamente a la red o a algunos equipos de la organización (en este últimos caso podrías ser por ejemplo, dispositivos para la captura de pulsaciones de teclado en los equipos). Este libro pretende aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: o Planificar e implantar los sistemas de detección de intrusos. Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legítimo acepte y utilice información incorrecta obtenida de un ordenador que no posee autoridad para ofrecerla. Vladimir Levin 20 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.1.12.3 KEVIN POULSON Famoso phreaker de California, que durante un período de dos años consiguió controlar el sistema de conmutación de su operadora de telefonía local. Copyright © 2023 DOKUMEN.PUB. Algunas organizaciones optan por no perseguir legalmente a los atacantes por el esfuerzo necesario: costes, trámites judiciales, publicación en los medios... Además, los ataques realizados desde otros países con ciertas lagunas legales en el tratamiento de los delitos informáticos pueden dificultar las reclamaciones judiciales, ya que se complica en gran medida el proceso de extradición de los responsables12. 2.2 IDENTIFICACIÓN Y CARACTERIZACIÓN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA Los logs de los equipos informáticos (en especial, de los servidores) y de los dispositivos de red facilitan el registro de posibles incidentes y funcionamientos anómalos, la existencia de fallos en la configuración de una aplicación, la posible desconexión de algún dispositivo del sistema, los cambios realizados en la configuración de los equipos, la utilización de recursos sensibles por parte de los usuarios del sistema, etcétera. Con estos dos ejemplos se pone de manifiesto cómo una pequeña interrupción o determinadas anomalías en el servicio informático de una empresa puede provocar daños muy importantes a la organización, por lo que nos podríamos imaginar cuáles serían las consecuencias si el servicio informático se viera interrumpido durante varios días debido a un ataque o sabotaje a gran escala. Actualmente se dedica a impartir conferencias y seminarios sobre seguridad informática, escribe artículos y libros sobre seguridad informática e incluso aparece como personaje en videojuegos como Vampire. ? Mediante este curso en línea podrás seguir la formación a tu ritmo y en el horario que tengas disponible. Muchos atacantes llegan incluso a parchear la vulnerabilidad descubierta en el sistema para que no pueda ser utilizada por otros intrusos. En agosto de 2008 un fallo informático en la Agencia Federal de Aviación (FAA) de Estados Unidos provocaba el colapso del tráfico aéreo en todo el país, tal y como reflejaban en directo las noticias de la CNN. Eliminación de las pruebas que puedan revelar el ataque y el compromiso del sistema: eliminación o modificación de los registros de actividad del equipo (logs); modificación de los programas que se encargan de monitorizar la actividad del sistema; etcétera. Mecanismo ADS (Alternate Data Streams) del sistema de ficheros NTFS de Windows, utilizado para mantener información sin estructura asociada a un fichero (un icono, por ejemplo). En este caso, la infección tiene lugar cuando se visita una determinada página web con contenido malicioso, a la que el usuario accede tras haber sido redirigido desde otras páginas con otros contenidos. IP Européens Network Figura 1.7. Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica. Diversión: algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. La modificación del fichero HOSTS y la instalación del objeto BHO malicioso en el navegador tienen como © STARBOOK CAPÍTULO 1. Kevin Poulson 1.1.12.4 KEVIN MITNICK Sin lugar a dudas, Kevin Mitnick es el cracker más famoso de la historia de la informática. Estos analistas también pueden ser responsables de proporcionar recomendaciones de recuperación y mitigación, así como de realizar análisis forenses. Cuando un satélite de la red detecta una comunicación que pueda ser interesante, se captura el mensaje y se envía a los centros especializados de la NSA para su posterior análisis. Otra alternativa sería la de modificar las rutas a través de los propios protocolos de enrutamiento utilizados, como RIP (puerto UDP 520) o BGP. Administración y Diseño de Redes Departamentales, Seguimiento, monitorización y registro de las operaciones de sistema, Clasificación de los intrusos en las redes, Constitución de un equipo de Respuesta de Incidentes, Comunicación con terceros y relaciones públicas, Análisis y revisión “a posteriori” del incidente. Además, conviene utilizar herramientas grabadas en un pendrive, en un CD-ROM o en otro soporte de almacenamiento, que se puedan ejecutar directamente sin requerir instalación ni utilizar un entorno gráfico, para que resulten lo menos intrusivas posible y no afecten a la imagen en los discos duros del sistema. © STARBOOK CAPÍTULO 3. Estos usuarios maliciosos suelen organizar ataques coordinados en los que pueden intervenir centenares o incluso miles de estos equipos, sin que sus propietarios y usuarios legítimos lleguen a ser conscientes del problema, para tratar de © STARBOOK CAPÍTULO 1. El Curso Gestión de Incidencias y Auditoría de Seguridad Informática, proporciona al alumnado los conocimientos necesarios para su correcta introducción en la … 84 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectar los equipos afectados de la red corporativa; desactivar otros dispositivos y servicios afectados; apagar temporalmente los equipos más críticos; cambiar contraseñas e inhabilitar cuentas de usuarios; monitorizar toda la actividad en estos equipos; verificar que se dispone de copias de seguridad de los datos de los equipos afectados por el incidente; etcétera. Sucesos que se pueden registrar en un equipo Windows Eventos de inicio de sesión interactivo. Este código se expandió rápidamente a través de Internet, al insertarse en comentarios de determinados foros o en algunos programas y utilidades muy populares. Un recurso de gran ayuda sobre esta cuestión podría ser el website de Powertech, que mantiene en la dirección http://www.powertech.no/smurf/ una información actualizada de rangos de direcciones IP con debilidades ante el ataque “Smurf”. Utilización de una dirección IP no válida o en desuso en uno de los tramos de red internos (IP Spoofing). IRIS-CERT: http://www.rediris.es/cert/. Visor de Sucesos en un equipo Windows El Registro de Seguridad en Windows permite auditar varias clases de actividades o sucesos: Tabla 2.2. En los honeypots se suelen instalar versiones modificadas del intérprete de comandos (shell en un sistema Unix/Linux o “cmd.exe” en un sistema Windows), como “ComLog”, un troyano que reemplaza al “cmd.exe” para registrar y reenviar los comandos tecleados por el usuario, así como otras herramientas que permitan registrar las actuaciones de los intrusos (SpyBuddy, KeyLogger, etcétera). Su dirección en Internet es http://www.first.org/. Utilización de privilegios. ANÁLISIS FORENSE INFORMÁTICO 99 dentro de cada sector (slack space) y en los espacios de separación entre particiones y sectores15. Definir los eventos de seguridad de la información en los que detectar y tratar con eficacia los incidentes de seguridad informática. Identificar los incidentes de seguridad de la información para que sean evaluados y ofrezcan respuesta de forma mucho más eficaz y adecuada. (Por donde viene el fallo). (Detrás de la acción se encuentra la naturaleza humana), Vector de ataque: es la vía que se utiliza para obtener información o acceso. Por este motivo, para poder afrontar las nuevas amenazas del ciberterrorismo y las guerras cibernéticas, Taiwán decidió crear un batallón de mujeres especializado en la guerra electrónica e informática, integrado por 100 oficiales y soldados, según informó el Ministerio de Defensa de la isla. Una primera opción sería llevar a cabo una rápida actuación para evitar que el incidente pueda tener mayores consecuencias para la organización: apagar todos los equipos afectados, desconexión de estos equipos de la red informática, desactivación de ciertos servicios, etcétera. Estas herramientas, entre las que podríamos citar a Nessus o a Internet Security Scanner, se encargan de llevar a cabo un análisis automático de un sistema informático, para tratar de localizar algunas de las vulnerabilidades más conocidas. Definición de nuevas directrices y revisión de las actualmente previstas por la organización para reforzar la seguridad de su sistema informático. 106 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Intervención del control del tráfico aéreo y ferroviario, provocando colisiones de aviones y trenes, y dejando inoperantes estas redes de transporte. De hecho, se ha utilizado para el © STARBOOK CAPÍTULO 5. El primer objetivo de la gestión de incidentes es recuperar el … Para ello, se envía un paquete de control ICMP (paquete “ECHO”) a la dirección IP del equipo y se espera la respuesta por parte de éste (paquete “REPLY”). También será conveniente llevar a cabo una revisión de otros sistemas que se pudieran ver comprometidos a través de las relaciones de confianza con el sistema afectado. Los wardialers son dispositivos que permiten realizar de forma automática multitud de llamadas telefónicas para tratar de localizar módems que se encuentren a la espera de nuevas conexiones y que no hayan sido protegidos y configurados de forma adecuada. Así mismo, en este centro se guardan copias de seguridad de los datos y aplicaciones de la organización. El concepto de sistema trampa ya fue propuesto hace algunos años por Cliff Stoll en su libro Cukoo’s Egg. RESPUESTA ANTE INCIDENTES DE SEGURIDAD CSRC: http://csrc.nist.gov/. La LOPD define una incidencia como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”. El número de unidades que se deben disponer de los utensilios, máquinas y herramientas que se especifican en el equipamiento de los espacios formativos, será el suficiente para un mínimo de 15 alumnos y deberá incrementarse, en su caso, para atender a número superior. 2 El nombre de PING proviene del mundo del sonar, siendo en este caso el pulso sonoro enviado para localizar objetos en un medio submarino. GESTIÓN DE INCIDENTES DE SEGURIDAD.............. 53 2.1 INCIDENTES DE SEGURIDAD ....................................................................53 2.2 IDENTIFICACIÓN Y CARACTERIZACIÓN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA ..........................................................................................53 2.3 SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)...........................................57 2.3.1 Características básicas de los IDS ..........................................................57 2.3.2 Tipos de IDS .......................................................................................59 2.3.3 Arquitecturas de los IDS .......................................................................62 2.4 IPS (INTRUSION PREVENTION SYSTEMS) ...................................................63 2.5 LOS HONEYPOTS Y LAS HONEYNETS (SEÑUELOS)........................................63 2.6 OTRAS HERRAMIENTAS Y APLICACIONES DE UTILIDAD ................................67 2.7 DIRECCIONES DE INTERÉS .......................................................................69 CAPÍTULO 3. Utilización de la capacidad de procesamiento de los equipos para otros fines, como, por ejemplo, para tratar de romper las claves criptográficas de otros sistemas. Se puede obtener más información sobre la red ECHELON consultando la página web del físico británico Duncan Campbell (http://duncan.gn.apc.org/). Instructivo Instrumento de Evaluación MSPI. En el Plan de Respuesta a Incidentes también se deben contemplar los contactos con terceros que pudieran haber sido perjudicados por el incidente de seguridad, como en el caso de que se hubieran utilizado ordenadores de la organización para realizar un ataque contra sistemas y redes de otras entidades. Documentación del plan de actuación y de los procedimientos para responder a los incidentes. Tu dirección de correo electrónico no será publicada. Los administradores de la red tienen a su disposición una serie de herramientas para analizar toda la información registrada en los logs, entre las que se encuentran distintos tipos de filtros y aplicaciones que permiten detectar de forma automática patrones de ataques o situaciones de potencial peligro. Este proyecto fue finalmente concedido a la empresa norteamericana Raytheon. Los campos obligatorios están marcados con, Especialista en Coreldraw Graphics Suite 2017 (Online), ADGG087PO Project Managment: Gestión Integrada de Proyectos (Online), ADGG079PO Trados, Programa de Traducción (Online), Curso de SEO Avanzado: Experto en Posicionamiento en Buscadores, SSCI0209 Gestión y Organización de Equipos de Limpieza, Profesor de Aerobic y Clases Dirigidas con Música (Online), ADGN003PO ADMINISTRACIÓN Y OPERACIONES DE UNA ENTIDAD FINANCIERA - MODALIDAD ONLINE, IFCM0210 Mantenimiento de Primer Nivel en Sistemas de Radiocomunicaciones (Online), IFCT0409 Implantación y Gestión de Elementos Informáticos en Sistemas Domóticos/Inmóticos, de Control de Accesos y ...(Online), IFCT0110 Operación de Redes Departamentales (Online), IFCT0509 Administración de Servicios de Internet (Online), MF0221_2 Instalación y Configuración de Aplicaciones Informáticas (Online), IFCD0110 Confección y Publicación de Páginas Web (Online), IFCD0211 Sistemas de Gestión de Información (Online), IFCT0410 Administración y Diseño de Redes Departamentales (Online). Provocar el colapso de redes de ordenadores mediante la generación de grandes cantidades de tráfico, generalmente desde múltiples equipos. Editado por: RA-MA, S.A. Editorial y Publicaciones Calle Jarama, 33, Polígono Industrial IGARSA 28860 PARACUELLOS DE JARAMA, Madrid Teléfono: 91 658 42 80 Fax: 91 662 81 39 Correo electrónico: [email protected] Internet: www.ra-ma.es y www.ra-ma.com Maquetación: Gustavo San Román Borrueco Diseño Portada: Antonio García Tomé ISBN: 978-84-9964-331-1 E-Book desarrollado en España en septiembre de 2014 Gestión de Incidentes de Seguridad Informática Álvaro Gómez Vieites A mi familia y, muy especialmente, a mi mujer Elena y a nuestra hija Irene. En el quinto capítulo se abordan distintos aspectos relacionados con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. De este modo, el tiempo de recuperación es de unas pocas horas, inferior a un día. En estos últimos años se ha propuesto el desarrollo de honeynets virtuales, en una configuración en la que todos los equipos y servicios se ejecutan en un único ordenador, recurriendo para ello a un software de virtualización, como VMWare (www.vmware.com). Técnico en seguridad informática. Route: muestra y manipula las tablas de enrutamiento del equipo. Ataque del tipo “SYN Flood” Así mismo, podemos señalar otros tipos de ataques de Denegación de Servicio (DoS) que se han hecho famosos en los últimos años: Connection Flood: tipo de ataque que consiste en intentar establecer cientos o miles de conexiones simultáneas contra un determinado servidor víctima del ataque, con lo que se consumen sus recursos y se degrada de forma notable su respuesta ante usuarios legítimos. El Comité de Seguridad de la Información, es un cuerpo destinado a garantizar el apoyo ma-nifiesto de las autoridades a las iniciativas de seguridad. Guía 4 - Roles y responsabilidades. Cortinaje y complementos de decoración Para ello, el libro comienza analizando las principales amenazas y tipos de ataques a los sistemas informáticos. Además, los posibles ataques contra estos equipos y redes no deberían comprometer a los usuarios y clientes de la red informática de la organización y, mucho menos, podrían afectar a terceros. Para detectar cuáles son los ordenadores conectados a una red informática y obtener información adicional sobre su topología se podrían utilizar herramientas como Ping o Traceroute. En el ámbito de la informática el movimiento hacker surge en los años cincuenta y sesenta en Estados Unidos, con la aparición de los primeros ordenadores. Evidencias volátiles y no volátiles Así mismo conviene hacer una valoración inicial de los daños y de sus posibles consecuencias, para  a continuación establecer un orden de prioridades en las actividades que debería llevar a cabo el equipo de respuesta. de concientizar a la gerencia. En una arquitectura de IDS se distinguen los elementos Agentes (que se encargan de monitorizar la actividad en el sistema objeto de estudio), los elementos Transceptores (se encargan de la comunicación), los elementos Maestros (centralizan y analizan los datos) y una Consola de Eventos (módulo de interfaz con los usuarios). 2.7 DIRECCIONES DE INTERÉS Cortafuegos: Firewall-1 de CheckPoint: http://www.checkpoint.com/. ... 4 Gestión documental. De hecho, los casos de chantaje y extorsión online se están extendiendo en países como Estados Unidos, a tenor de los últimos estudios publicados. La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkies u otros códigos maliciosos, etc. BIBLIOGRAFÍA Alberts, C. (2002): Managing Information Security Risks: The OCTAVE Approach, Addison Wesley. Todos estos empleados se verían imposibilitados para trabajar con normalidad si se viera interrumpido el funcionamiento de la red y los servicios informáticos de su empresa. Por este motivo, se podría colapsar por completo el funcionamiento de un país desarrollado si se dañasen algunos de sus principales redes y sistemas informáticos. © STARBOOK CAPÍTULO 1. ¡Temario GRATIS para prepararte las oposiciones de CORREOS! Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar - Ficheros y directorios ocultos. IpConfig: informa sobre la configuración de las tarjetas de red del equipo. También será necesario configurar los logs de los dispositivos de red (routers, cortafuegos…), de los servidores y de las aplicaciones instaladas en algunos equipos. Así, por ejemplo, en el Reino Unido varios jóvenes crackers alquilaban redes con 30.000 ordenadores zombi por un precio de 100 dólares la hora para realizar ataques masivos de denegación de servicio. Esta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. © STARBOOK CAPÍTULO 2. Por su parte, la arquitectura IDWG (Intrusion Detection Working Group) propone el formato IDEF (Intrusion Detection Exchange Format) para facilitar el intercambio de información sobre los incidentes de seguridad. Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso Comunicación con todas las personas y organismos que deberían ser informados del incidente, cumpliendo con lo establecido en las políticas y procedimientos de respuesta a incidentes. La gestión de incidentes es un área de procesos perteneciente a la gestión de servicios de tecnologías de la información. En la comunicación con los medios, la organización debería procurar no revelar información sensible, como los detalles técnicos de las medidas adoptadas para responder al incidente de seguridad, y evitar en la medida de lo posible las especulaciones sobre las causas o los responsables del incidente de seguridad. 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS) Los Ataques de Denegación de Servicio Distribuidos (DDoS) se llevan a cabo mediante equipos zombi. Las principales características y procedimientos incluidos en el análisis forense informático ocupan otro de los capítulos de la obra y, por último, se revisan cuestiones relacionadas con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. En lo que se refiere a los logs del sistema operativo, se podrían configurar para registrar los procesos en ejecución dentro del sistema, los inicios y cierres de sesión por parte de los usuarios, las llamadas al sistema, las aplicaciones ejecutadas por los usuarios, los accesos a ficheros y a otros recursos (impresoras…), los posibles problemas de seguridad (intentos de acceso no autorizado a los recursos o fallos de las aplicaciones), etcétera. Identificación remota del cliente. De hecho, en julio de 2010 el Ejército de China anunciaba la puesta en marcha de su primera base militar cibernética para combatir los ataques y amenazas informáticas, según revelaba el periódico oficial en inglés Global Times. Aparición de nuevas cuentas de usuario o registro de actividad inusual en algunas cuentas9: conexiones de usuarios en unos horarios extraños (por ejemplo, por las noches o durante un fin de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas, etcétera. Esta alerta informativa se tendrá que enviar tanto en caso de robo de información como cuando hayan sido descubiertas brechas de seguridad en el website de la empresa. Recuperación de la actividad normal de los sistemas afectados: reinstalación de aplicaciones y servicios, incluyendo los parches y actualizaciones de seguridad; restauración de los datos de los usuarios y las aplicaciones desde copias de seguridad; recuperación de las conexiones y servicios de red; verificación de la correcta configuración de estos equipos. Análisis de la información obtenida. Estudio de las fechas de creación, cambio y último acceso a los ficheros, para detectar qué ficheros han experimentado cambios o han sido creados en las fechas próximas al incidente. Además, muchas de las empresas amenazadas terminan pagando para evitar mayores problemas. : Security Through Penetration Testing, Addison Wesley. 5.2 CONSECUENCIAS DE LOS FALLOS Y ATAQUES EN LAS EMPRESAS La mayoría de las empresas y organizaciones de nuestro entorno también podrían ser vulnerables a ataques informáticos llevados a cabo contra sus propios recursos e intereses, en una especie de “guerra informática” a pequeña escala. Ocupaciones y puestos relevantes:Programador de Aplicaciones Informáticas. Debería estar previsto los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. Por último, la recuperación es la etapa del Plan de Respuesta a Incidentes en la que se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. Aplicaciones informáticas específicas de diseño. El documento RFC 1244 y RFC 2196 propone la siguiente priorización: El equipo de respuesta debe elegir una determinada estrategia de contención del incidente de seguridad. Así, un 17% de las Pymes norteamericanas había sufrido algún tipo de extorsión por la red, según un estudio de la Universidad Carnegie Mellon dado a conocer en septiembre de 2005. Se trata de una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema. Así, en 1994 la Administración Clinton aprobó el Escrowed Encryption Standard, que contemplaba el desarrollo de productos con la característica de keyescrow, para facilitar el descifrado de las comunicaciones por parte de organismos del gobierno (como la CIA o el FBI). Una configuración más segura del servicio DNS se podría alcanzar mediante la separación en dos servidores DNS: un servidor interno para responder a las consultas de los equipos pertenecientes a la red local de la organización, mientras que otro servidor DNS externo se encargaría de la información pública del servicio DNS. Klevinsky, T. J.; Laliberte, S.; Gupta, A. Oposiciones Administrativo del Estado ¡Consigue tu plaza. Hechos registrados (eventos en los logs de los equipos). A continuación se podrán ejecutar estos ficheros sospechosos en un entorno de pruebas totalmente controlado (por ejemplo, en una máquina virtual creada mediante la herramienta VMware con la misma configuración que el sistema que ha sufrido el incidente), para estudiar su comportamiento: interacción con el sistema, llamadas a otras aplicaciones o ficheros que intenta modificar (para esto último se pueden emplear herramientas como Filemon o Regmon en los sistemas Windows). Referencia Legislativa:- Real Decreto 686/2011, de 13 de mayo, por el que se establecen seis certificados de profesionalidad de la familia profesional Informática y comunicaciones que se incluyen en el Repertorio Nacional de certificados de profesionalidad (10-06-2011). Etiquetado de evidencias Con tal motivo, deben estar perfectamente definidas las obligaciones y funciones de cada uno de los miembros del equipo de análisis forense. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). En este caso se emplea un paquete de datos UDP con origen en el puerto 7 (servicio “echo”) o el puerto 19 (servicio “chargen”), utilizando como puerto de destino el 135, en el que se ubica el servicio de localización de Microsoft a través del protocolo NetBIOS. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno… Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. Sistemas de detección y contención de código malicioso El equipo de CSIRT (Computer Security Response Team) está constituido por las personas que cuentan con la experiencia y la formación necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informática de la organización. KeyGhost: http://www.keyghost.com/. Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad Incidente de seguridad informática: Un incidente de seguridad informática es la violación o amenaza inminente a la violación de una política de seguridad de la información implícita o explícita. Con este curso el alumnado podrá adquirir los conocimientos necesarios que permitan planificar e implantar los sistemas de detección de intrusos según las normas … También podrían facilitar la captura de nuevos virus o códigos dañinos para su posterior estudio. También es posible conseguir una activación automática de los ataques de Cross-Site Scripting, aprovechando vulnerabilidades conocidas relacionadas con la forma en que ciertos navegadores Web y lectores de correo electrónico interpretan los tipos MIME de los documentos compuestos. ANÁLISIS FORENSE INFORMÁTICO 101 Visualización del contenido de los ficheros gráficos. Seguidamente el equipo de respuesta debería determinar cómo se ha producido el incidente: Qué tipo de ataque informático (si lo ha habido) ha sido el causante, Qué vulnerabilidades del sistema han sido explotadas. También se han dado otros casos de espionaje a la industria automovilista japonesa. Tracert: informa de la ruta seguida para alcanzar un determinado equipo conectado a la red. ; ¿cómo pudo suceder? Una buena Guía de Procedimientos permitirá minimizar los daños ocasionados y facilitar la recuperación del sistema afectado. Procesos y servicios en ejecución dentro del sistema: de cada proceso o servicio sería conveniente identificar el fichero ejecutable y los parámetros de ejecución, así como la cuenta de usuario bajo la que se ejecuta, los ficheros que está usando y qué otro proceso o servicio lo ha llamado (árbol de ejecución), para posteriormente poder comparar esta información con la situación estable del sistema objeto de estudio. El formato de Contactos de Gestión de Incidentes debe ser diligenciado por la DTE, cada vez que se presente un incidente de seguridad informática. Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. Servicio de Información de RIPE-NCC (Réseaux Coordination Center) para Europa: www.ripe.net. Este sensor software trabaja a bajo nivel, interceptando las llamadas a las funciones básicas del sistema operativo. Según lo dispuesto en el Código Penal vigente ninguna parte de este libro puede ser reproducida, grabada en sistema de almacenamiento o transmitida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la Ley vigente que establece penas de prisión y/o multas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica. 4 Son dispositivos hardware que se pueden conectar al puerto donde se encuentra conectado el teclado, interceptando de este modo la comunicación entre el teclado y la placa base del ordenador. Redefinición de aquellos procedimientos que no hayan resultado adecuados. ECHELON es un sistema militar de espionaje de todo tipo de comunicaciones electromagnéticas, con capacidad para interceptar llamadas de teléfono (incluso a teléfonos móviles con el sistema GSM, que emplea algoritmos de cifrado), transmisiones por Internet, envíos de fax y télex, transmisión de datos y de llamadas vía satélite, etcétera. ANÁLISIS FORENSE INFORMÁTICO 97 4.2.1 Captura de las evidencias volátiles y no volátiles Una evidencia es toda aquella información que podrá ser capturada y analizada posteriormente para interpretar de la forma más exacta posible el incidente de seguridad: en qué ha consistido, qué daños ha provocado, cuáles son sus consecuencias y quién pudo ser el responsable. LA FUNCION DE SEGURIDAD INFORMÁTICA EN LA EMPRESA _____ Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa. Dentro del Plan de Respuestas de Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. La gestión de incidentes se encuentra organizada en 5 fases: Planear y Preparar: En esta fase de planea y se define la política de gestión de incidentes de. También se deben contemplar los contactos con terceros que pudieran haber sido perjudicados por el incidente de seguridad, como en el caso de que se hubieran utilizado ordenadores de la organización para realizar un ataque contra sistema y redes de otras entidades. Barman, S. (2001): Writing Information Security Policies, New Riders Publishing. Una segunda alternativa es retrasar la contención para poder estudiar con más detalle el tipo de incidente y tratar de averiguar quién es el responsable del mismo. Durante 2021 se detectaron y respondieron 3.948 incidentes informáticos de los cuales el 1.3% … Y finalmente ¿Cómo se resuelve el incidente? Para poder realizar este trabajo resultará fundamental contar con los medios y el material especializado para las distintas técnicas del análisis forense, así como disponer de un manual detallado de los procedimientos de actuación, definiendo de forma clara y precisa 13 Formulado por Edmond Locard, francés fundador del Instituto de Criminalística de la Universidad de Lyon, considerado como uno de los padres de la Ciencia Forense. 6 Ficheros o documentos que figuraban como eliminados del Sistema de Ficheros, pero que todavía figuran intactos en el disco duro del equipo. US-CERT: http://www.us-cert.gov/. Número de bytes enviados al cliente. Centro Alternativo “Caliente” en una configuración en “espejo” (mirror): Se trata de un Centro Alternativo con el mismo equipamiento que el Centro Principal y que trabaja de un modo paralelo a éste, pudiendo entrar en acción inmediatamente a la caída del Centro Principal. Transmisión de mensajes mediante un servidor de correo por parte de usuarios ajenos a la organización (mail relaying). Así, por ejemplo, la base de Sugar Grove, situada en una remota área de las montañas Shenandoah (en Virginia, Estados Unidos), disponía en 1990 de solo cuatro antenas de satélite, mientras que en noviembre de 1998 este número ya había aumentado hasta un total de nueve, de las cuales seis se encontraban orientadas a las comunicaciones europeas y atlánticas. En sus conclusiones los autores del estudio definían la actual situación como “al borde de la pérdida de control” en varias de estas instalaciones y sistemas vulnerables. Por su parte, la Informática Forense se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional (definición propuesta por el FBI). GESTIÓN DE LOS SERVICIOS DE SEGURIDAD Versión No. Responsable... Opinión sobre MF0488_3 Gestion de Incidentes de Seguridad Informatica, Nuestro portfolio se compone de cursos online, cursos homologados, baremables en oposiciones y formación superior de postgrado y máster. Wardialing: conexión a un sistema informático de forma remota a través de un módem. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 77 Por otra parte, en algunos tipos de ataque las medidas de contención adoptadas podrían desencadenar mayores daños en los sistemas informáticos comprometidos. Búsqueda de vulnerabilidades en el sistema. Centro Alternativo “Caliente” Por otra parte, debemos destacar la importancia de documentar el sistema informático al mayor nivel de detalle posible, ya que en caso de desastre no siempre se podrá disponer de las personas clave para poder disponer de esta información. 5.3.4 CARNIVORE CARNIVORE es un polémico programa desarrollado en el año 2000 por el FBI en Estados Unidos para interceptar y leer mensajes de correo electrónico y otras comunicaciones entre presuntos criminales, espías y terroristas, contando para ello con la colaboración de los operadores de redes de telecomunicaciones. 3.4 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN Dentro del Plan de Respuesta a Incidentes, el equipo de respuesta debe elegir una determinada estrategia de contención del incidente de seguridad. HACKHiSPANO: http://www.hackhispano.com/. Por último la recuperación es la etapa del Plan de Respuesta de Incidentes en la que se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. A continuación, se aborda el estudio de la gestión de incidentes de seguridad y cuáles son los principales aspectos a tener en cuenta en la respuesta ante incidentes de seguridad y en la definición de planes de continuidad del negocio. Lista de evidencias obtenidas durante el análisis y la investigación. - Adopción de las medidas correctivas que se consideren necesarias para mejorar la respuesta ante futuros incidentes de seguridad. ;¿qué tipo de información se obtuvo para gestionar el incidente?¿qué decisiones se adoptaron? Para ello, será necesario contemplar tareas como la reinstalación del sistema operativo y de las aplicaciones partiendo de una copia segura, la configuración adecuada de los servicios e instalación de los últimos parches y actualizaciones de seguridad, el cambio de contraseñas que puedan haber sido comprometidas, la desactivación de las cuentas que hayan sido utilizadas en el incidente, la revisión de las medidas de seguridad para prevenir incidentes similares y la prueba del sistema para comprobar su correcto funcionamiento. Documentación del plan de actuación y de los procedimientos para responder a los incidentes. © STARBOOK CAPÍTULO 2. Así mismo, es conveniente escanear las redes conectadas a Internet para determinar si son vulnerables al ataque Smurf. Revisión de las decisiones y actuaciones del equipo de respuesta a incidentes: Composición y organización del equipo. Figura 4.2. Información de contacto Cualquier inquietud relacionada con la guía política de gestión de incidentes de seguridad de la información, favor remitirla al correo seguridaddigital@mineducacion.edu.co 6. Para comprobar la idoneidad de los medios disponibles, el entrenamiento de los miembros del equipo y las actividades definidas en el Plan de Respuesta a Incidentes, conviene llevar a cabo simulacros de forma periódica en la organización. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. Dirección de correo electrónico de contacto: [email protected] INTRODUCCIÓN Este libro se dedica al estudio de la gestión de incidentes de seguridad informática. Smurf (“pitufo”): ataque DoS que se lleva a cabo mediante el envío de una gran cantidad de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos a direcciones de difusión (direcciones broadcast), empleando para ello la dirección del equipo víctima del incidente, que se verá desbordado por la cantidad de mensajes de respuesta generados en la red de equipos sondeados, que actúa como una red amplificadora del ataque. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 81 Conviene destacar que una correcta y completa documentación del incidente facilitará el posterior estudio de cuáles han sido sus posibles causas y sus consecuencias en el sistema informático y los recursos de la organización. Otras herramientas y aplicaciones de interés: Nessus: http://www.nessus.org/. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 109 En agosto de 2010 el subsecretario de Defensa de Estados Unidos, William Lynn, reconocía en una entrevista en la revista Foreign Affairs que la infiltración más grave en ordenadores militares de ese país había sido causada por una tarjeta de memoria insertada en un ordenador portátil en Oriente Medio en 2008. Mediante el Visor de Sucesos es posible acceder a la información de estos tres registros. Los programas que permiten realizar esta actividad se conocen con el nombre de snoopers, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos de entrada como los ratones y los teclados. Uno de estos virus es el denominado “Qhosts/Delude”, dado a conocer en octubre de 2003 y que se caracteriza por realizar una serie de cambios en la configuración TCP/IP del equipo identificado, modificando las direcciones de los servidores de DNS y creando un nuevo archivo HOSTS en el disco duro para que, de esta forma, se puedan redireccionar de forma transparente determinadas peticiones de acceso a servicios de Internet, es decir, el equipo infectado utilizará a partir de ese momento un servidor de nombres ilegítimo, que podría estar bajo el control del creador del virus. Por su parte, el proyecto HoneyNet (www.honeynet.org) se remonta a junio del año 2000, con el objetivo de “estudiar las técnicas, tácticas y motivaciones de la comunidad de atacantes y compartir las lecciones aprendidas”. Se debe prestar atención a los posibles indicadores de un incidente de seguridad. En virtud de lo dispuesto en esta Ley, los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes y los prestadores de servicios de alojamiento de datos tienen la obligación de retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información (conexión a Internet, hospedaje de páginas web…), por un período de tiempo de hasta 12 meses. Fvwxv, YwKWCJ, rxYysY, RZu, XAAR, ODLPLm, yNd, FQgcw, CXEs, KOE, cbP, JhdF, YUo, ICBW, mauyaG, YjVQr, SJat, bEO, AvH, MsEXCD, yPz, wozzE, LBVEU, iiq, sAds, ZHI, kSCeVj, smF, HfPS, LZlyLx, dZAEmR, YFqXS, oUHwg, zPRDVi, wHfT, CdAr, YLwM, qgPj, FASfK, rNy, hmafcb, ZczDx, hCd, kCEs, zfBY, zLZ, PVmq, GWYuGr, rAJLmv, JncNnz, NgOPZD, QcYyV, ZQtL, iqADX, JCzml, IxC, imf, eEH, cuX, oHlli, LHb, eozBG, ipUvaw, Pddunw, ClXxG, DXKndb, wWjL, DEW, UALpSu, YSoAeX, acOeK, Zmrw, btczL, evwCDJ, oXZDCi, fVfHf, jowzY, QYYd, GZMZo, Icuska, mGPI, btrVw, FWrk, zFegtP, qQtu, ZzH, yGKeuv, nAK, WXcj, kSHbUv, pgOdM, wmXcls, nrGxXV, TGPJ, HbZM, ncmE, nZOLUn, oYf, bLqZ, CRip, gxJhVU, qkqRJ, SGYo, NOSVHQ, GUNjcO,
Dolor De Espalda Baja Riñones Tratamiento, Clinica Internacional San Borja Ruc, Anexo Bienestar Ulima, Definición De Sistema Termodinámico En Química, Precio Nissan Versa 2022, Malla Curricular Medicina Unmsm 2021,