Seguridad y Detección de Intrusos:
Una puerta trasera o backdoor es un programa que permite el acceso al sistema de la computadora esquivando los procedimientos normales de autenticación. De acuerdo a como trabajan e infectan a otros equipos, existen dos tipos de backdoor. El primer grupo se asemeja a los troyanos, son manualmente insertados dentro de algún otro software, ejecutados por el software contaminado e infecta al sistema para poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a un gusano informático ejecutado como un procedimiento de incialización del sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
Un exploit es aquel programa que ataca una vulnerabilidad particular de un sistema operativo. Los exploits no son necesariamente maliciosos, son normalmente creados por investigadores de seguridad informática para demostrar que existe una vulnerabilidad. Y por esto son componentes comunes de los programas malware como los gusanos informáticos.
Los rootkit son programas insertados en una computadora después de que algún atacante ha ganando el control de un sistema, generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante.
Detección y Prevención: los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en: HIDS; Host Based IDS opera en un host para detectar actividad maliciosa en el mismo. Protege contra un único servidor, pc o host y los NIDS; Network Base IDS opera sobre los flujos de información intercambiados en una red, protege un sistema basado en red.
IPS: es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. Toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos.
Auditorías: las pruebas de caja negra para que sean realmente efectivas deben realizarse sin ningun conocimiento de la infraestructura, garantizando de esta forma que el análisis no tratará de utilizar ningún tipo de información que facilite la tarea de análisis. El propósito de estas pruebas es que el auditor se comporte como si realmente fuese un atacante de la infraestructura. En cambio las pruebas de caja blanca como se ha mencionado anteriormente, examinan el sistema desde su interior, por lo tanto es necesario tener un acceso a los sistemas. Este acceso generalmente se obtiene porque directamente se le proporciona al auditor un acceso al equipo para que pueda realizar una análisis en profundidad de la configuración del sistema, aunque en algunos casos una prueba de caja negra se convierte en caja blanca por haber logrado un acceso al sistema a través de alguna vulnerabilidad del mismo u obtener información que pueda analizarse de esta forma.
Fases de una auditoría:
- enumeración de redes, topología y protocolos
- identificación de los sistemas operativos instalados
- análisis de servicios y aplicaciones
- detección, comprobación y evaluación de vulnerabiliades
- medidas especificas de corrección
- recomendaciones sobre implantación de medidas preventivas.