AUDITORIA Y SEGURIDAD DE TI

Mercado Vásquez FelipeSánchez Rodríguez Diego

Exploit

O Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.

Exploit

O Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos.

O Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.

Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:

Vulnerabilidades de desbordamiento de buffer. Vulnerabilidades de condición de carrera. Vulnerabilidades de error de formato de cadena. Vulnerabilidades de Cross Site Scripting XSS. Vulnerabilidades de Inyección SQL. Vulnerabilidades de denegación del servicio. Vulnerabilidades Inyección múltiple

HTML Múltiple. HTML Injection .

Como FuncionanO Envían mensajes de correo electrónico no solicitados para hacer que los

usuarios visiten un sitio mantenido por el delincuente informático. Para conseguir este objetivo también se utilizan otras técnicas sofisticadas, como la suplantación de direcciones DNS (Domain Name Service, servicio de nombres de dominio), los ataques de ingeniería social y otras tácticas predatorias.

O Crean una serie de sitios infecciosos cuyos nombres sean similares a los de entidades legítimas, registrando direcciones en Internet que apenas se diferencien de las originales (por ejemplo, microsooft.com o dowload.com).

O Infectan sitios web pertenecientes a entidades legítimas, infiltrando los códigos maliciosos antes de que sus administradores puedan bloquear la intrusión. El Banco de la India sufrió un ataque de este tipo recientemente.

O Ponen enlaces a elementos multimedia en sitios de encuentros sociales, tales como Facebook o MySpace, que en realidad apuntan a códigos maliciosos externos. Estos se aprovechan de las vulnerabilidades de los complementos desarrollados por otras empresas y que son necesarios para ejecutarlos.

COMBATIR LA AMENAZA

O Mantener actualizados los parches del sistema, y utilizar siempre la última versión del navegador.

O Desactivar funciones de programación innecesarias, como códigos ActiveX, o permitir solamente que estas sean usadas en sitios previamente revisados y confiables.

O No visitar sitios desconocidos, o que puedan resultar poco confiables.

O Usar programas que examinan el contenido de los sitios web en tiempo real.

O Utilizar un cortafuego que proteja el sistema contra códigos maliciosos del tipo día cero, bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales.

Inyección SQL

O Inyección de código es un tipo de ataque que consiste en que los atacantes extraigan información, roben credenciales, tomen control de la página atacada o algún otro tipo de actividades maliciosas.

Tipos de AmenazasO Inyección SQL.- Este

ataque se aprovecha de una vulnerabilidad en que una variable o componente de una página que utiliza código SQL (código que accede bases de datos) permite que un atacante emplee comandos para manipular datos y acceder información confidencial.

Tipos de AmenazasO XSS o Cross Site Scripting.-

En español, secuencias de comandos en sitios cruzados. Este ataque aprovecha vulnerabilidades en las páginas de Internet que permiten que un cibercriminal inserte código de JavaScript o lenguajes similares para inyectar código HTML en las páginas que atacan, alterando así la funcionalidad de la misma.

Reglas para protegerse contra ataques de Inyección

O Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales;

O No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL;

O Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas;

O No acepte cuentas sin contraseñas;O Mantenga al mínimo los privilegios de las cuentas

que se usan.O Elimine los procedimientos almacenados.

EJEMPLO

Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos:

O Pero si un operador malintencionado escribe como nombre de usuario a consultar:

Evitar ataques

GRACIAS