Arriesgalo)

Este artículo puede contener trabajos no publicados o declaraciones no verificadas (julio 2019).

Puede ayudar agregando referencias o eliminando contenido no publicado. Consulte la página de discusión para obtener más detalles.

Existen muchos riesgos de seguridad del sistema de información , que cambian de un año a otro.

Medición de riesgo

Es importante medir estos riesgos, no solo por la probabilidad o frecuencia de su ocurrencia, sino también midiendo sus posibles efectos. Estos efectos, dependiendo de las circunstancias y cuándo ocurren, pueden tener consecuencias insignificantes o catastróficas. En ocasiones, el procesamiento informático en curso falla, basta con reiniciarlo, posiblemente por otro método si se teme que la causa reaparezca; a veces el incidente se bloquea y se debe realizar una reparación o corrección antes de continuar con el trabajo realizado. Pero estos mismos incidentes pueden tener consecuencias mucho más desafortunadas:

• datos irremediablemente perdidos o alterados, haciéndolos inutilizables;
• datos o procesamiento que no están disponibles permanentemente, lo que podría hacer que la producción o el servicio se detuvieran;
• divulgación de información confidencial o errónea que podría beneficiar a empresas competidoras o dañar la imagen de la empresa;
• desencadenamiento de acciones que puedan provocar accidentes físicos o inducir tragedias humanas.

En la era de la generalización del procesamiento y los intercambios masivos, es fácil imaginar el impacto que podrían tener durante varias horas eventos importantes como un corte de energía a gran escala o la saturación de la red de Internet.

Aparte de estos casos excepcionales, se pueden anticipar muchos riesgos y existen soluciones para la mayoría de ellos. Podemos citar como ejemplo las precauciones tomadas poco antes del año 2000 que, si bien la realidad del riesgo fue en ocasiones (y sigue siendo) controvertida, quizás evitaron graves inconvenientes.

Todas las organizaciones, pero también todos los usuarios, tienen todo el interés en evaluar, incluso de forma aproximada, los riesgos que corren y las protecciones razonables que pueden implementar. En el mundo profesional, los riesgos y los medios de prevención se evalúan principalmente por sus costos. Por ejemplo, es obvio que una avería que tendría la consecuencia de detener la producción de una fábrica por un día merece una suma igual a una fracción del valor de su producción diaria para evitarla; esta fracción será tanto más importante cuanto que la probabilidad y la frecuencia de tal falla son altas.

Riesgos humanos

Los riesgos humanos son los mayores, aunque con mayor frecuencia se ignoran o se minimizan. Conciernen a los usuarios, pero también a los propios especialistas en TI.

• La pifia  : como en cualquier actividad, los humanos cometemos errores; Por lo tanto, realizan con mayor o menor frecuencia procesamientos no deseados, borrando involuntariamente datos o programas, etc.
• La inconsciencia y la ignorancia: muchos usuarios de herramientas de TI aún desconocen o ignoran los riesgos que corren los sistemas que utilizan y, a menudo, introducen malware sin saberlo. Las manipulaciones imprudentes (tanto con software como físicas) también son comunes.
• La malicia  : hoy, sería casi inconcebible excusar el desconocimiento de los riesgos antes citados, ya que los medios de comunicación podrían hablar de diferentes problemas de virus y gusanos en los últimos años (aunque tienden, popularizando, a equivocarse sobre las causas y los problemas). ). Por lo tanto, algunos usuarios, por diversas razones, pueden poner en peligro voluntariamente el sistema de información, introduciendo virus en él a sabiendas (por ejemplo, conectando una computadora portátil a la red de una empresa) o introduciendo información errónea deliberadamente en una base de datos. Asimismo, es relativamente fácil para un informático agregar deliberadamente funciones ocultas que le permitan, directamente o con la ayuda de cómplices, desviar información o dinero para su propio beneficio.
• La ingeniería social  : la ingeniería social (ingeniería social en inglés) es un método para obtener información confidencial de una persona, que normalmente no se permite obtener para explotar otros fines (publicidad por ejemplo). Consiste en fingir ser alguien que no eres (normalmente un administrador) y pedir información personal (nombre de usuario, contraseña, datos confidenciales, etc.) inventando cualquier pretexto (problema en la red, modificación de la misma, hora tardía, etc.). Puede realizarse mediante una simple comunicación telefónica, por correo electrónico o directamente en el sitio.
• El espionaje  : el espionaje, incluido el industrial, emplea los mismos medios, así como muchos otros ( impacto ) para obtener información sobre actividades competitivas, procesos productivos, proyectos actuales, productos futuros, precios, clientes y prospectos, etc.
• La contraseña de desvío  : un administrador de sistema o red puede cambiar las contraseñas administrativas permitiéndole tomar el control de un sistema o red. (ver el caso de Terry Childs ).
• El sabotaje  : tiene como objetivo el desmantelamiento de un SI o de uno de sus componentes socavando la integridad de los datos y especialmente la disponibilidad de los servicios.
• La escucha  : se coloca en un ordenador o red de telecomunicaciones para recoger y analizar información o tramas que circulan por allí.
• El fraude físico  : consiste en acceder a la información mediante la copia ilegal de soportes físicos (cintas magnéticas, disquetes, discos convencionales u ópticos, listados ordenados imprudentemente o abandonados en oficinas, armarios, cajones ...).
• La interceptación  : es el acceso a la modificación de la información transmitida a través de los canales de comunicación con la intención de destruir los mensajes, editar, insertar nuevos mensajes, provocando un desfase temporal o interrupción en la difusión de los mensajes.
• El hardware de vuelo  : para ordenadores, especialmente portátiles.
• El análisis de materiales reciclados o descartados “busca” basura o archivos de una organización o mal uso de los procesos de mantenimiento.
• El chantaje  : amenaza ejercida frente a una persona u organización privada con el fin de extorsionar una información "sensible".
• El abuso de derechos  : caracteriza el comportamiento de un usuario que recibe privilegios del sistema y / o aplicación que los utiliza para un uso excesivo, puede llevar a mala voluntad.
• El acceso ilegítimo  : cuando una persona se hace pasar ocasionalmente por alguna usurpando su identidad.
• El disfraz  : se refiere al hecho de que una persona se hace pasar por otra usurpando y usurpando reiteradamente su identidad, privilegios o derechos de una persona interesada.
• La repetición  : variante del disfraz que permite a un atacante penetrar en un IS enviando una secuencia de conexión de un usuario legítimo y grabada sin su conocimiento.
• La sustitución  : en redes con terminales remotos, la interceptación de mensajes de desconexión de conexión puede permitir que un atacante continúe una sesión abierta regularmente sin que el usuario del sistema no note el cambio.
• La falla  : caso especial donde una persona no autorizada pasa un control de acceso a la misma hora que una persona autorizada.
• La denegación (o repudio ) es que una parte de una transacción electrónica niegue su participación en todo o parte del intercambio de información, o afirme haber recibido información diferente (mensaje o documento) de las que se consideren realizadas en el marco de la ES.

En los enfoques del tipo de la ingeniería del conocimiento , el capital humano se considera como uno de los tres componentes del capital intangible de la empresa.

Riesgos tecnicos

Los riesgos técnicos son simplemente aquellos asociados con las inevitables fallas y averías experimentadas por todos los sistemas de hardware y software. Estas incidencias son evidentemente más o menos frecuentes en función del cuidado que se tenga durante la fabricación y las pruebas realizadas antes de la puesta en servicio de los ordenadores y programas. Sin embargo, los fallos a veces tienen causas indirectas o incluso muy indirectas, por lo que son difíciles de predecir.

• Problemas relacionados con el hardware  : si a menudo podemos pasar por alto la probabilidad de un error de tiempo de ejecución por parte de un procesador (todavía había una excepción famosa con una de las primeras generaciones de procesadores Pentium de Intel que podrían ocurrir, bajo ciertas circunstancias, errores de cálculo), la mayoría Los componentes electrónicos, producidos en grandes series, pueden tener defectos y eventualmente fallar. Algunas de estas fallas son bastante difíciles de detectar porque son intermitentes o raras.
• Incidentes relacionados con el software  : son, con mucho, los más frecuentes; la creciente complejidad de los sistemas operativos y programas requiere el esfuerzo conjunto de decenas, cientos e incluso miles de programadores. Individualmente o colectivamente, inevitablemente cometen errores que los mejores métodos de trabajo y las mejores herramientas de monitoreo o prueba no pueden eliminar por completo. Las fallas que permiten el control total o parcial de una computadora se hacen públicas regularmente y se enumeran en sitios como SecurityFocus o Secunia . Sus autores no corrigen rápidamente algunas fallas (consulte las listas actualizadas de "vulnerabilidades sin parche" en Secunia). Algunos programas están diseñados para comunicarse con Internet y, por lo tanto, no es aconsejable bloquearlos por completo mediante un firewall ( navegador web, por ejemplo).
• Incidencias relacionadas con el medio ambiente  : las máquinas electrónicas y las redes de comunicación son sensibles a las variaciones de temperatura o humedad (especialmente en caso de incendio o inundación) así como a los campos eléctricos y magnéticos. No es raro que las computadoras experimenten fallas permanentes o intermitentes debido a condiciones climáticas inusuales o la influencia de instalaciones eléctricas, especialmente industriales (y en ocasiones la de las propias computadoras).

Para evitarlo, generalmente recurrimos a medios simples, aunque a veces costosos:

• Redundancia de equipos  : la probabilidad o frecuencia de fallas de los equipos está representada por un número muy bajo (entre 0 y 1, expresado en la forma 10 -n ). Al duplicar o triplicar (o más) un equipo, dividimos el riesgo total por la probabilidad de fallas simultáneas. El resultado es, por tanto, un número mucho menor; en otras palabras, el conjunto es mucho más confiable (lo que a menudo transfiere el riesgo principal a otra parte).
• Dispersión de sitios  : Es muy poco probable que ocurra un accidente (incendio, tormenta, terremoto, ataque, etc.) simultáneamente en varios lugares distantes.
• Programas o procedimientos de control independientes  : a menudo permiten detectar anomalías antes de que produzcan efectos devastadores.

Riesgos legales

La apertura de aplicaciones informáticas a través de la web y la proliferación de mensajes electrónicos aumentan los riesgos legales asociados al uso de tecnologías de la información . Podemos citar en particular:

• Incumplimiento de la legislación relativa a firmas digitales  ;
• Riesgos relacionados con la protección de activos de información  ;
• Incumplimiento de la legislación sobre privacidad  ;
• Incumplimiento de las disposiciones legales relativas al derecho probatorio , cuyas condiciones de aplicación en el derecho civil son distintas a las del common law , y mala gestión de los documentos de archivo .

Lista de riesgos

Tenga en cuenta que, dado que los riesgos evolucionan día a día, esta lista no es exhaustiva.

Software malicioso

Un software malicioso ( malware en inglés) es un software desarrollado para dañar un sistema informático. Los principales tipos de malware son:

• El virus  : programa que se duplica en otras computadoras;
• El gusano ( gusano en inglés) utiliza los recursos de una computadora para asegurar su reproducción;
• El wabbit  : programa que se replica a sí mismo (pero que no es ni un virus ni un gusano);
• El troyano ( troyano en inglés): programa aparentemente legítimo (deseado) que se ejecuta dañino sin el permiso del usuario;
• The backdoor ( puerta trasera en inglés): abridor de acceso fraudulento a un sistema informático de forma remota;
• El software espía ( spyware en inglés): recopilación de información personal en la computadora de un usuario sin su permiso y enviándola a un tercero;
• El capturador de teclado ( keylogger programa por lo general invisible que se instala en el ordenador de un usuario y responsable de registrar llama la atención, sin saberlo, su teclado en Inglés);
• El exploit  : programa que permite explotar una falla de seguridad de un software;
• El rootkit  : conjunto de software que generalmente permite obtener derechos de administrador en una máquina, instalar una puerta trasera , falsificar información que pueda revelar el compromiso y borrar los rastros dejados por la operación en los registros del sistema;
• El facticiel  : el software ficticio tiene características ocultas;
• El software de captura  : las características ocultas se introducen sin el conocimiento de los usuarios durante el diseño, fabricación, transporte o mantenimiento del SI;
• La bomba  : programa inactivo cuya ejecución está condicionada por la ocurrencia de un evento o una fecha.
• El adware ( adware English): software que muestra publicidad cuando está en uso.

Técnicas de ataque por correo electrónico

Aparte de los muchos programas maliciosos que se propagan a través del correo electrónico, existen ataques específicos para este:

• El spam ( spam en inglés): un correo electrónico no solicitado, en su mayoría publicitario. Abarrotan la red y pierden tiempo para sus destinatarios;
• El phishing ( phishing en inglés): un correo electrónico cuyo remitente suele hacerse pasar por un organismo oficial (como un banco, operador u otro) y que solicita al destinatario que proporcione información confidencial;
• El engaño de la computadora ( engaño en inglés): correo electrónico que generalmente solicita al destinatario que transmita el mensaje a los contactos con varios pretextos. Abarrotan la red y hacen perder tiempo a sus destinatarios. En algunos casos, alientan al usuario a realizar operaciones peligrosas en su estación de trabajo (eliminación de un archivo presuntamente vinculado a un virus, por ejemplo).

Ataques de red

Estas son las principales técnicas de ataque en la red:

• El sniffing  : técnica para recuperar toda la información transmitida a través de una red (esto se realiza mediante un software sniffer ). Generalmente se utiliza para recuperar contraseñas de aplicaciones que no cifran sus comunicaciones y para identificar máquinas que se comunican en la red.
• La técnica de suplantación de identidad ( spoofing en inglés ) de tomar la identidad de otra persona u otra máquina. Generalmente se usa para recuperar información sensible, que de otra manera no se podría tener.
• La perturbación  : tiene como objetivo distorsionar el comportamiento del SI o evitar que funcione como se espera (saturación, degradación del tiempo de respuesta, generación de errores, etc.).
• La red de robots de software ( Botnet ): red de robots de software instalados en tantas máquinas como sea posible. Los robots se conectan a servidores IRC ( Internet Relay chat ) a través de los cuales pueden recibir instrucciones para implementar funciones no deseadas. (envío de spam, robo de información, participación en ataques de saturación, etc.).
• La interferencia  : es un alto nivel de ataque que tiene como objetivo hacerla inoperante SI.
• La interceptación de señales comprometedoras  : el atacante intenta recuperar una señal electromagnética para interpretar y derivar información utilizable.
• La técnica de denegación de servicio (en inglés denial of service ) para generar paradas de servicio, y así evitar el correcto funcionamiento de un sistema.

Y otras técnicas más sutiles:

• Secuestro
• Ataque de hombre en el medio (MITM)
• Ataques de fragmentos
• Pequeños fragmentos
• Superposición de fragmentos
• Secuestro de sesión TCP

Ataques de contraseña

Los ataques de contraseña pueden consistir en experimentar mucho hasta encontrar la contraseña correcta.

En este contexto, observemos los siguientes dos métodos:

• El ataque de diccionario  : la palabra probada se toma de una lista predefinida que contiene las contraseñas más comunes y también variantes de las mismas (al revés, con un número al final, etc. ). Estas listas están generalmente en todos los idiomas más utilizados, contienen palabras existentes o diminutivos (como "powa" para "poder" o "G0d" para "dios").
• El ataque de fuerza bruta  : se abren las posibilidades para encontrar la solución adecuada (por ejemplo, "aaaaaa" a "ZZZZZZ" para una contraseña compuesta estrictamente por seis letras).

Mapeo de redes

Reconocimiento pasivo

El primer paso para mapear una red es utilizar un conjunto de técnicas no intrusivas (que no se pueden detectar):

• Uso de recursos públicos: la Web , Usenet
• Herramientas de red: Whois , nslookup

Este proceso permite obtener información sobre el objetivo, que se divulga públicamente, pero que puede ser confidencial (generalmente difundida por error o imprudentemente).

Reconocimiento semiactivo

Aunque no son intrusivas, el objetivo puede detectar las siguientes técnicas, en particular mediante un sistema de detección de intrusiones  :

• Ping , traceroute y uso de las propiedades del protocolo ICMP
• Port sweep ( escaneo de puertos en inglés) vía Nmap o AutoScan-Network  : La técnica consiste en enviar la información del SI para detectar aquellos que provocan una respuesta positiva. Como resultado, el atacante puede analizar las respuestas recibidas para extraer información útil o incluso confidencial (nombre de los usuarios y perfil de acceso).
• Tomando huella TCP / IP ( TCP / IP fingerprinting en inglés)

Estas técnicas generalmente permiten identificar e identificar una gran parte de los elementos de la red objetivo.

Reconocimiento activo

Aquí, nos adentramos en técnicas realmente intrusivas, por lo tanto claramente detectables, pero que no representan un riesgo inmediato para el objetivo:

• Uso de propiedades de protocolo SNMP , SMB , RPC .
• Detección automatizada de vulnerabilidades: Nessus

Técnicas de intrusión del sistema

• Conectarse a una red compartida
• Ataque de fuerza bruta
• Ataque de desbordamiento de búfer
• Acceso a un intérprete de comandos interactivo
• Elevación de privilegios
• Instalación de un rootkit
• Borrando rastros

Otros tipos de ataques

Podemos señalar que existen otro tipo de ataques, muchas veces menos conocidos porque requieren habilidades muy específicas:

• El agrietamiento de software ( Cracking en Inglés): apuntar a esta técnica la modificación de un programa para frustrar su protección (por lo general para permitir el uso completo, o duración ilimitada);
• El criptoanálisis  : el ataque de datos cifrados se realiza interceptando y analizando los criptogramas que fluyen durante la comunicación u obtenidos por cualquier fuente;
• La ingeniería inversa  ;
• Stacks Overflows y Heap Overflows ( desbordamiento de búfer ), escriba shellcode  ;
• Explotación de "errores de formato": el software, en particular el software estándar más extendido, contiene fallas de seguridad que constituyen tantas oportunidades de intrusión no deseada;
• El gruñido  ;
• La trampa: funcionalidad que utilizan los desarrolladores para facilitar la depuración de sus programas. Cuando no se elimina antes de que el software se ponga en servicio, se puede detectar y servir como un punto de derivación para las medidas de seguridad;
• El underground: ataque dirigido a un elemento de apoyo a la protección del SI y explotando una vulnerabilidad existente en un nivel inferior al utilizado por el desarrollador para diseñar / probar su protección;
• Salami: comportamiento de un atacante que recolecta información de manera fragmentada e imperceptible, para luego sintetizarla para una rápida acción;
• Inferencia de datos: el establecimiento de un vínculo entre un conjunto de datos no sensibles puede, en ciertos casos, permitir deducir qué datos son sensibles;
• Asincronismo: este modo de funcionamiento crea colas y copias de seguridad del estado del sistema. Estos elementos pueden detectarse y modificarse para eludir las medidas de seguridad;
• El canal oculto: un tipo de ataque de muy alto nivel que permite filtrar información al violar la política de seguridad de SI. Las amenazas pueden afectar a cuatro tipos de canales ocultos: canales de almacenamiento, canales temporales, canales de razonamiento, los llamados canales de "fabricación";
• El secuestro y uso de datos web: utiliza un defecto de implementación o programación para hacer que la máquina víctima ejecute de forma remota código no deseado o incluso malicioso. Cookie , CSS , CGI , vulnerabilidades relativas a los lenguajes PHP , ASP , SQL , etc.

Y hay otros que requieren poca o ninguna habilidad:

• Messenger Spam  : enviar spam directamente a la dirección IP y abrir una ventana de intrusión ( emergente en la versión en inglés); este ataque es molesto pero generalmente no muy dañino y requiere un sistema Microsoft Windows que tenga instalado el programa de mensajería (que no debe confundirse con el software que explota MSN) y acceso a la red local (si el objetivo está detrás de un enrutador NAT, no será no puede ser alcanzado).
• El hombro surfeando , básico pero efectivo. Simplemente mire por encima del hombro de la persona a la que están espiando y memorice los datos que ingresan en los campos.

Técnica de escape

Estas técnicas permiten, por diferentes métodos, ocultar al sistema de detección (generalmente un IDS ) la información necesaria para la detección de un ataque ( envenenamiento ARP , spoofing , modificaciones de las reglas del IDS ).

Notas y referencias

1. secunia.com

Ver también

Artículos relacionados

• Ciberdelito
• Fuga de información
• Hacker
• Phreaking
• Seguridad del sistema de información
• Seguridad de información
• Soberanía digital
• ISO / IEC 17799 , estándar de seguridad de la información
• ISO / IEC 27001 , estándar de seguridad de la información
• EBIOS , método de gestión de riesgos ANSSI
• (en) Sistema de información de gestión del fiscal  (en)
• (en) Inslaw  (en)

enlaces externos

• Normas de seguridad: métodos de análisis de riesgos
• (es) lista de fallas conocidas que aún no se han corregido oficialmente para cada software, por Secunia