3. O Es un registro de los sucesos que han ido ocurriendo
en un sistema y en sus aplicaciones.
O Los
logs propiamente informan sobre el
funcionamiento que tienen los sistemas así como las
actividades y movimientos que se realizan.
O Los logs se guardan en ficheros(txt, evt) o dentro de
una Base de Datos.
4. O A través de los logs se puede encontrar información
para
detectar
funcionamiento.
posibles
problemas
en
el
O Proporciona datos en caso de que haya ocurrido una
incidencia de seguridad por parte de algún intruso.
5. O Monitorear las actividades de los sistemas o incluso
de los dispositivos.
O Tomar acciones y medidas para solucionar problemas.
O En cuanto a seguridad, ayudan a detectar intrusos, al
iniciar una investigación sirven como evidencia en un
caso legal.
6. O Es importante prevenir que la maquina o los
dispositivos donde se almacenan los logs
comience a alcanzar los limites máximos de
capacidad.
O Almacenar los logs como archivos de lectura.
O Encriptar los archivos.
7. O Es ubicar en un punto de administración los
mensajes de eventos ocurridos en los
diferentes sistemas, para su posterior análisis.
9.
Crear un historial de movimientos y acciones
ocurridas en todos los sistemas en un único
punto.
Es más difícil para los atacantes modificar los
logs originales, ya que están ubicados fuera de
las maquinas donde fueron generados.
10.
11. O Eventos de aplicaciones (programas)
O Eventos relacionados con la seguridad
O Eventos de configuración
O Eventos del sistema
O Eventos reenviados
12.
13.
14.
15. O El sistema de logs es un mecanismo estándar que se encarga
de recoger los mensajes generados por los programas,
aplicaciones y demonios y enviarlos a un destino predefinido.
O En cada mensaje contiene la fuente, la prioridad, la fecha y la
hora.
16. O syslogd: gestiona los logs del sistema. Distribuye los
mensajes a archivos, destinos remotos, terminales o
usuarios, usando las indicaciones especificadas en su
archivo de configuración /etc/syslog.conf, donde se indica
qué se loguea y a dónde se envían estos logs.
O klogd: se encarga de los logs del kernel.
Los logs se guardan en archivos ubicados en el
directorio /var/log, aunque muchos programas manejan
sus propios logs y los guardan en /var/log/<programa>.
Además, es posible especificar múltiples destinos para un
mismo mensaje.
17. Algunos de los log más importantes son:
O/var/log/syslog
O/var/log/messages
O/var/log/secure
O/var/log/auth.log
O/var/log/debug
O/var/log/kern.log
O/var/log/daemon.log
O/var/log/mail.log
O/var/log/boot.log
O/var/log/loginlog
O/var/log/sulog
O/home/user/.bash_history :
22. El acceso autentificado correctamente a menudo no se
registra, o incluso cuando no se esté registrado es
probable que despierte sospechas.
Una contraseña comprometida es una oportunidad para
explorar un sistema desde el interior y sea prácticamente
desapercibido por los usuarios.
23. Un atacante tendría acceso completo a todos los
recursos disponibles del el usuario, y sería capaz de
acceder a otras cuentas e incluso tener privilegios
como administrador.
OLas organizaciones se ven obligadas a implementar
buenas políticas de contraseñas.
24.
25.
26.
27.
28. O Un investigador ha descubierto una vulnerabilidad
en los sistemas operativos cliente de Microsoft
Windows 8 y Windows 7 que facilita la obtención de
la contraseña de administrador para inicios de
sesión y control del sistema.
29. El investigador explica que la
vulnerabilidad reside en la función
‘indicio’ o ‘sugerencia’ de contraseñas,
útil para el usuario si olvida la
contraseña pero también para un
atacante.
Estas sugerencias de contraseñas de
Windows 8 y Windows 7 se almacenan
en el registro del sistema operativo y
aunque están en un formato cifrado
parece que se pueden convertir
fácilmente en un formato legible
30.
31. O El mayor problema reside en que también puede
ser vista por un atacante de forma remota ya que
estas sugerencias de contraseñas de Windows 8 y
Windows 7 se almacenan en el registro del sistema
operativo y aunque están en un formato cifrado se
pueden convertir en un formato legible.
O
32. O El investigador ha escrito un script que automatiza
el ataque y lo ha publicado en Metasploit, el portal
para herramientas de código abierto muy popular
entre los hackers.
33.
34. O TABLAS RAINBOW
O El funcionamiento utiliza la fuerza bruta para contraseñas
simples; pero tablas Rainbow para las más complejas.
Windows
guarda la contraseña utilizando una
función hash en C:WindowsSystem32configSAM.
35.
36. O ¿CÓMO SE USA?
Solo hacemos doble click encima del ejecutable
mimikatz.exe En este momento nos saldrá una
ventana tipo ms-dos:
40. O ¿CÓMO
DETERMINAR SI LAS CONTRASEÑAS SON
VULNERABLES?
La única manera de saber con certeza que cada
contraseña individual es fuerte es probar todas ellas
con las herramientas de crackeo utilizadas por los
atacantes.
Las mejores herramientas de cracking disponibles son:
O LC4 (l0phtcrack versión 4)
O John the Ripper
O Symantec NetRecon
41.
42.
43. O
Desarrollar procedimientos para
agregar cuentas autorizadas a la
lista, y para eliminar las cuentas
cuando ya no están en uso.
O
Validar la lista de forma regular para
asegurarse de que no hay nuevas
cuentas se han añadido
O
Tener procedimientos rígidos para
eliminar cuentas cuando los
empleados o contratistas se van.
44. Es una herramienta de supervisión
basada en host que controla los
cambios en la política, creación de
cuentas y de contraseñas.
ESM también intentará descifrar
contraseñas, ya que valida la que tan
seguras son las contraseñas.
45. O Keyloggers: programas que se ejecutan en segundo plano,
grabando un registro con todos los caracteres introducidos por
el usuario.
O Contraseñas guardadas: Con acceso directo al equipo
O Contraseña única: Si utilizas una misma contraseña para
varias páginas, unwebmaster malintencionado, al registrarse en
su web, podría obtener tu contraseña para iniciar sesión en
otras páginas.
O Contraseña previsible: Dícese de aquella
contraseña con la cual no te has comido
demasiado la cabeza para generarla.
46. O Listas de palabras: Se trata de listados
-enormes- de palabras y contraseñas
comunes que se utilizan probando una a
una de forma automática (ataques de
diccionario).
O Fuerza bruta: Consiste en probar todas la
combinaciones posibles de caracteres hasta
dar con la contraseña. Requiere máquinas
potentes y mucho tiempo.
O Ingeniería social: A veces, no hace falta
ser tan tecnológico para obtener la
contraseña de alguien.
47. O Adivinar- El atacante intenta iniciar sesión con la
cuenta del usuario adivinando posibles palabras
O Ataque de Diccionario en línea- El atacante utiliza
un programa automatizado que incluye un archivo de
texto de las palabras.
48. O Ataque de Diccionario Desconectado- El atacante recibe una copia
del archivo donde se almacena la copia de hash o cifrado de cuentas de
usuario y contraseñas y utiliza un programa automatizado para determinar
cuál es la contraseña para cada cuenta.
O Ataque de Fuerza Bruta- Esta es una variación de los ataques de
diccionario, pero está diseñado para determinar las claves que no pueden
incluirse en el archivo de texto que se utiliza en esos ataques.
49. La teoría detrás de esto es que si un usuario es forzado a
cambiar su contraseña periódicamente, una contraseña que ha
sido descifrada por un cracker sólo le es útil por un tiempo
determinado.
La desventaja del envejecimiento de contraseñas, es que los
usuarios tienden a escribir sus contraseñas.
50. O Por lo menos ocho caracteres de longitud.
O No contiene su nombre de usuario, nombre real o nombre de la
empresa.
O No contiene una palabra completa.
O Es muy diferente de las contraseñas anteriores.
51. O En Windows, una contraseña segura es una contraseña que
contiene caracteres de cada una de las siguientes cinco
categorías.
Las contraseñas de Windows pueden tener hasta 127 caracteres de
longitud.
52. O No utilices en tu contraseña información personal o que
O
O
O
O
O
O
pueda relacionarse contigo.
No utilices palabras (en cualquier idioma) que puedan
encontrarse en un diccionario.
No hagas pública tu contraseña bajo ningún concepto.
No utilices la misma contraseña.
Nunca realices actividades bancarias en computadoras
públicas como lo son los cafés Internet.
No reveles tu contraseña a ninguna persona.
Cambia de forma periódica tu contraseña.
53. O Piense en una frase memorable, tal como:
"Es más fácil creer que pensar con espíritu crítico.“
O Luego, cámbielo a un acrónimo emfcqpcec.
O Añada un poco de complejidad sustituyendo números y símbolos
por letras en el acrónimo. Por ejemplo, sustituya 7 por e y el
símbolo arroba (@) por c: 7mf@qp@7@.
O Añada un poco más de complejidad colocando mayúscula al
menos una letra, tal como M.
7Mf@qp@7@.
54.
55. Sendmail es el agente de transporte de correo
más común de Internet (en los sistemas
UNIX). Aunque actúa principalmente como
MTA, también puede ser utilizado como MUA
(aunque no posee interfaz de usuario).
56. El propósito principal de Sendmail es el de
transferir correo de forma segura entre hosts,
usualmente usando el protocolo SMTP. Sin
embargo,
Sendmail
es
altamente
configurable, permitiendo el control sobre casi
cada aspecto del manejo de correos,
incluyendo el protocolo utilizado.
57. O Recogida de mails provenientes de un Mail User
Agent (MUA).
O Elección de la estrategia de reparto de los mails,
basándose en la información de la dirección del
destinatario contenida en la cabecera.
58. O Sendmail debe garantizar que cada mensaje llegue
correctamente a su destino, o si hay error este debe
ser notificado (ningún mail debe perderse
completamente).
O Reformatear el mail antes de pasarlo a la siguiente
máquina, según unas reglas de reescritura.
59. O Permitir el uso de "alias" entre los usuarios del
sistema, lo que nos permitirá (entre otras funciones)
crear y mantener listas de correo entre grupos.
O Ejecución como agente de usuario (MUA). Aunque no
posee interfaz de usuario, sendmail también permite
el envío directo de mails a través de su ejecutable.
60. Uso generalizado de Sendmail en Internet ha sido
históricamente un objetivo prioritario de los atacantes,
dando lugar a numerosas hazañas en los últimos años.
La mayoría de estos exploits son exitosos sólo en
contra de las versiones anteriores del software. De
hecho, Sendmail no ha tenido una vulnerabilidad de
gravedad "alta" en dos años.
61. Los riesgos que se presentan al ejecutar
Sendmail se pueden agrupar en dos grandes
categorías:
OLa escalada de privilegios causados por
desbordamientos de búfer.
OLa configuración inadecuada que permite que
el equipo sea un relé de correo electrónico
desde cualquier otra máquina.
62. O Actualiza a la versión más reciente y / o implementar
parches.
O No ejecute Sendmail en modo daemon (apague el
interruptor "-bd") en estas máquinas.
O Si
debe ejecutar sendmail en modo daemon,
asegúrese de que la configuración se ha diseñado
para retransmitir correo debidamente y solamente
para los sistemas bajo su ámbito de competencia.
63. FICHEROS DE
CONFIGURACION
Filename
/etc/mail/access
/etc/mail/aliases
Function
Base de datos de accesos de sendmail
Carpeta de alias
/etc/mail/localhost-names
Listados de máquinas para las que sendmail acepta correo
/
etc/mail/mailer.con
f
Configuración del programa de correo
/
etc/mail/mailertabl
e
Tabla de entregas de correo
/
etc/mail/sendmail.c
f
Archivo de configuración principal de sendmail
/
etc/mail/virtusertab
le
Usuarios virtuales y tablas de dominio
64. Envío de mensajes de correo electrónico
Especificar el cuerpo del correo electrónico: