1.2.Integridad

PRÁCTICA 1.2.INTEGRIDAD.

¿Qué es un rootkit?

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.

¿En que se basan?

Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.

Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.

O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.

Cuando el antivirus haga una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.

Busca información sobre rootkit actuales en internet.

TDSS: Su objetivo principal es el de hacerse con el control total de los PCs infectados y utilizarlos como zombis para su red de bots (BotNet).
Este es capaz de poder infectar todos los sistemas de Windows XP, Windows Vista y Windows 7 en 32bit y 64bit respectivamente, al trabajar también como Bootkit (MBR Rootkit) infecta el sector de arranque del disco duro, lo que hace que se cargue un código malicioso antes del inicio del sistema operativo. TDSS utiliza una función de infección de drivers que garantiza su inicio y funcionamiento en las etapas más tempranas del funcionamiento del sistema operativo.

Sinowal: Pertenecen a una clase de Malwares que atacan directamente al MBR (Master Boot Record) que es el encargado de informarle al sistema operativo que archivo se deberá cargar en el inicio del proceso de arranque.
Para tomar el control del arranque del sistema y cargarse en memoria de forma permanente y sin ser detectado fácilmente, el malware usa técnicas Rootkit y de esta forma modifica o reemplaza el MBR original por uno que el mismo genera para dificultar su detección y posterior desinfección.
Además de ocultar su presencia en el sistema, el MBR Rootkit instala una puerta trasera en Windows(Backdoors), la que se encarga de establecer conexiones no autorizadas con servidores remotos para enviar información personal como por ejemplo, datos de cuentas bancarias, etc.

Whistler: el equipo comienza a reproducir música solo o de golpe se nos baja el volumen. Es también conocido como “Black Internet” y ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté, queda a total disposición de su atacante pudiéndolo convertirse en parte de una Botnet, entre otras cosas…

Al activarse desde la MBR (Master Boot Record), el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los bootkits no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

También existen otros como: Phanta, Trup o Stoned.

Utiliza sfc para comprobar la integridad de tu sistema Windows.

Utilizamos el comando: para cmd como Administrador: sfc /scannow

Aquí vemos el resultado de la comprobación de mi Windows:

Utiliza rkhunter para verificar la integridad de tu sistema Ubuntu.

Iniciamos Ubuntu y lo primero de todo desde un terminal debemos instalar rootkit mediante el comando: sudo aptitude install rkhunter

Antes de ejecutarlo debemos actualizarlo como todo software de seguridad a su versión más actual: sudo rkhunter -–update

Para su ejecución sobre el sistema usaremos: sudo rkhunter --checkall

Comprobamos ahora los resultados del examen:

Una vez instalado, procedemos a actualizar a la versión más actual:

Y ejecutamos para comprobar el resultado del análisis:

1.1.Confidencialidad

           Seguridad y Alta Disponibilidad

Practica 1.1

Confidencialidad.

En esta práctica guiada estudiaremos como se puede asegurar la confidencialidad de los datos en sistema Windows, mediante la encriptación de archivos y carpetas.

Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Permite a los archivos administrados por el sistema operativo ser cifrados en las particiones NTFS en donde esté habilitado, para proteger daños confidenciales.

El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único que le permitirá modificar, copiar o borrar el archivo.

Proceso de encriptación.

Creamos un archivo de texto plano (no cifrado) con una información confidencial en su interior.

En primer lugar seleccionaremos el archivo a encriptar y con el botón derecho accederemos a la ventana de propiedades. En su pestaña General pulsaremos sobre Opciones Avanzadas y en Atributos de compresión y cifrado marcaremos la opción de cifrar contenido para proteger datos.

Verificaciones.

1.     Si accedemos con otro usuario al sistema que tenga permisos para acceder a todo el sistema de archivos, por ejemplo desde una cuenta de tipo administrador, podemos ver que el nombre del archivo nos aparecerá en color verde y, al intentar acceder a él, nos indicará acceso denegado. Igualmente si intentamos modificar el archivo para que deje de estar cifrado y aplicamos los cambios nos indicará error al aplicar los atributos. Aunque no es posible leer ni modificar su contenido, si es posible borrarlo.

He accedido con la cuenta administrador, y comprobamos los resultados:

Intentamos acceder a él:

Intentamos quitar la encriptación y nos indica error:

Si se puede eliminar, pero no modificar:

2.       El archivo cifrado no es portable o copiable a una unidad externa ya que el sistema operativo pierde el control sobre su cifrado. En caso de intentar enviarlo a unidad USB nos indicará lo siguiente.

Una recomendación más. No comprimir los archivos cifrados ya que dejan de estarlo. Y entonces puedes transportarlos en el USB.

3.       En caso de tener acceso al sistema de archivos con un arranque desde una distribución modo Live (en nuestro ejemplo Ubuntu), montando la partición correspondiente (en este caso el punto de montaje /mnt/win) podremos borrar el archivo, pero no se nos permitirá ni copiarlo ni leer la información contenida. Si hemos comprimido el archivo Zip desde Windows, sí podremos acceder a su contenido confidencial.

Montamos dentro del w7 una máquina de Ubuntu para arrancar desde dentro y comprobamos los resultados:

Antes de arrancar w7 pinchamos en edit virtual machine settings. Dentro de Hardware pulsamos sobre cd/DVD (IDE) y a la derecha seleccionamos connection, Use ISO imgae file; y seleccionamos la ISO de Ubuntu con la que vamos a arrancar. Aceptamos.

Una vez configurada la ISO arriba en VM seleccionamos Power y elegimos la opción power on to BIOS.

Nos arrancara la maquinas desde su Bios, y entraremos en el apartado Boot para modificar el orden de arranque, pondremos como primer arranque a CD-ROM Drive. Y guardaremos cambios para arrancar.

Seleccionamos Probar Ubuntu sin instalar, y se arrancará el sistema operativo Ubuntu (Live). Donde podremos entrar en todo el disco duro de w7.

Desde Ubuntu nos metemos en el Disco duro de W7 y vamos al archivo encriptado para intentar abrirlo  y comprobamos que no se puede ver su lectura. Si podremos borrarlo dando a botón suprimir por ejemplo.

Si el archivo esta comprimido, podremos descomprimirlo y su encriptación desaparece, por lo que podría verse su interior.

Por tanto, muy importante no comprimir un archivo encriptado ya que perdería su encriptación.