INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho

Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

INTRODUCCIN En el presente trabajo se detallan los temas relacionados con la seguridad informtica, temas que son importantes para mantener la seguridad de nuestros sistemas y nuestras comunicaciones con el fin de conocer las vulnerabilidades, los riesgos, los agentes que daan nuestros sistemas provocando prdida, robo, modificacin, etc., de informacin. Como primer tema tenemos el tema de cuentas sin contraseas o contraseas dbiles enfocado a Windows donde detallaremos desde el origen del problema hasta nombrar algunas posibles soluciones o precauciones. Como segundo tema tenemos el Sendmail enfocado a Unix.empezando desde su definicin hasta algunos pasos o comandos de configuracin. El tercer tema se habla de registros de eventos (logging) de manera general, desde su definicin hasta mostrar algunos ejemplos. Estos temas son muy importantes por lo cual se detallan de una forma resumida pero al mismo tiempo bien explicada ya que son temas extensos, se detallarn terminologa que no se conoce o que pueda ser objeto de duda y que se relaciona con el tema o que lo lleva implcito. INDICE:
INTRODUCCIN CUENTAS SIN CONTRASEA O CONTRASEA DBIL(accounts with No passwords or Weak Passwords) EN WINDOWS Sugerencias para crear una contrasea segura Metodologa para la creacin de contraseas seguras SENDMAIL REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES CONCLUSIONES: BIBLIOGRAFA

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

CUENTAS SIN CONTRASEA O CONTRASEA DBIL(accounts with No passwords or Weak Passwords) EN WINDOWS La mayora de las formas de autenticacin de usuario, as como la proteccin de archivos y datos, se basan en las contraseas proporcionadas por el usuario. Dado que el acceso autentificado correctamente a menudo no se registra, o incluso cuando no se est registrado es probable que despierte sospechas, una contrasea comprometida es una oportunidad para explorar un sistema desde el interior y sea prcticamente desapercibido por los usuarios. Un atacante tendra acceso completo a todos los recursos disponibles del usuario, y sera capaz de acceder a otras cuentas e incluso tener privilegios como administrador. Sistemas operativos afectados Cualquier sistema operativo o aplicacin donde los usuarios se autentican a travs de una identificacin de usuario y contrasea pueden verse afectados. Por ejemplo, actualmente se descubri una nueva amenaza se cierne sobre los sistemas operativos Mac y Linux, el troyano bautizado como BackDoor.Wirenet.1 Por qu debemos establecer contraseas seguras? Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticacin. Esto incluye la existencia de cuentas sin contrasea (o con contraseas ampliamente conocidas o fcilmente deducibles). Por otra parte es frecuente que diversos programas (o el propio sistema operativo) cree nuevas cuentas de usuario con un dbil mecanismo de autenticacin Por otra parte, a pesar de que Windows transmite las contraseas cifradas por la red, dependiendo del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en un plazo de tiempo muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo de autenticacin NTLMv2. Las vulnerabilidades de contraseas ms comunes son: (a) Que las cuentas de usuario tienen contraseas dbiles o en su defecto no tienen. (b) Independientemente de la fuerza de su contrasea, los usuarios no protegen sus sistemas.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

(c) Que el sistema operativo o software crea cuentas administrativas con contraseas dbiles o inexistentes. (d) Que los algoritmos hash de contraseas se conocen ya menudo los hashes se almacenan de manera que sean visibles. Un investigador ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtencin de la contrasea de administrador para inicios de sesin y control del sistema. El uso de la funcin indicio de contrasea para crear las cuentas de usuario puede ayudar a recordar la misma en caso de olvido pero tambin ayuda un atacante a obtener la misma, incluso de forma remota. Estas sugerencias de contraseas se almacenan en el registro del sistema operativo y aunque estn en un formato cifrado parece que se pueden convertir fcilmente en un formato legible. Ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit, el portal para herramientas de cdigo abierto muy popular entre los hackers. Ophcrack Crackear contrasea de Windows Ophcrack es una herramienta para crackear las contraseas de Windows basada en las tablas Rainbow. El ndice de xito de acceso a claves de Ophcrack es del 99,9%, para claves que contengan nmeros y letras. El funcionamiento utiliza la fuerza bruta para contraseas simples; pero tablas Rainbow para las ms complejas. Windows guarda la contrasea utilizando una funcin hash en C:\Windows\System32\config\SAM. encuentra en este diccionario. Que es el Mimikatz? Mimikatz es un programa desarrollado por Gentil Kiwi que nos permite descifrar las contraseas de los administradores de un pc con Windows, a exportacin de certificados marcados como no exportables o la obtencin de hashes de la SAM. Tambin se puede usar en un dominio. En este momento la ventaja que presenta esta aplicacin es que no es detectado como aplicacin maliciosa. Solo 8 de 44 antivirus la detecta como aplicacin maliciosa. Como se usa mimikatz? Solo hacemos doble click encima del ejecutable mimikatz.exe

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Nos saldr una ventana tipo ms-dos Para sacar el nombre de usuario usamos el comando system::user y para el nombre de la mquina : system::computer Cmo determinar si las contraseas son vulnerables? La nica manera de saber con certeza que cada contrasea individual es fuerte es probar todas ellas con las herramientas de crackeo utilizadas por los atacantes. Las mejores herramientas de cracking disponibles son: LC4 (l0phtcrack versin 4) John the Ripper Symantec NetRecon Cmo protegerse? La mejor y ms adecuada defensa frente a las debilidades de contraseas es implementar una poltica slida que incluye instrucciones completas para generar buenos hbitos de contraseas y comprobacin proactiva de la integridad de contraseas. Asegurarse de que las contraseas son fuertes . Sabemos que teniendo hardware especializado y con el tiempo suficiente, cualquier contrasea puede ser violada por la fuerza bruta. Pero hay maneras ms sencillas para saber las contraseas sin tales gastos. Muchas organizaciones instruyen a los usuarios que cuando generan contraseas deben de incluir combinaciones de caracteres alfanumricos y especiales. Por ejemplo si un usuarios toma como contrasea una palabra ("password") y la conversin de letras a nmeros o caracteres especiales ("pa$$w0rd"). Este tipo de permutaciones no pueden proteger contra un ataque de diccionario, pero es menos probable que se descifre ya que se considera como una buena contrasea. Una poltica de contrasea segura debe dirigir a los usuarios a generar sus contraseas de algo ms aleatorio, como una frase o el ttulo de un libro o una cancin, donde puedan concatenan una palabra o la sustituyan por un carcter especial. Cmo Proteger contraseas seguras?

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Una vez que los usuarios siguen las instrucciones especficas para generar buenas contraseas. La mejor manera de asegurarse que las contraseas son seguras lo que se hace es la validacin de la contrasea. Las Herramientas de Cracking deben ejecutarse en un modo independiente, como parte de la exploracin rutinaria. Los usuarios cuyas contraseas sean descifradas deben ser notificados de forma confidencial y dar seguimiento a las instrucciones sobre cmo elegir una buena contrasea. Control de Cuentas Las cuentas que no estn en uso deben ser desactivados o eliminados. Las cuentas basadas en servicios o administrativos que se utilizan deben tener contraseas nuevas y fuertes. Realizar Auditora de las cuentas en los sistemas y crear una lista maestra. Desarrollar procedimientos para agregar cuentas autorizadas a la lista. Validar la lista de forma regular para asegurarse de que no hay nuevas cuentas se han aadido y que las cuentas no utilizadas han sido eliminadas. Tener procedimientos rgidos para eliminar cuentas cuando los empleados o se van. Un ejemplo es Enterprise Security Manager de Symantec (ESM) es una herramienta de supervisin basada en host que controla los cambios en la poltica, creacin de cuentas y de contraseas. ESM tambin intentar descifrar contraseas, ya que valida la que tan seguras son las contraseas. ESM utiliza un entorno cliente-servidor. Cmo se roban las contraseas? Para saber cmo proteger tu contrasea correctamente, primero debes conocer a qu te ests enfrentando.

Keyloggers: programas que se ejecutan en segundo plano, grabando un registro con todos los caracteres introducidos por el usuario. Contraseas guardadas: Con acceso directo al equipo, no es necesario usar un keylogger para acceder a las contraseas almacenadas, por ejemplo, en Firefox. Contrasea nica: Si utilizas una misma contrasea para varias pginas, unwebmaster malintencionado, al registrarse en su web, podra obtener tu contrasea para iniciar sesin en otras pginas. Contrasea previsible: Dcese de aquella contrasea con la cual no te has comido demasiado la cabeza para generarla. Ejemplos: nombre de tu ciudad, etc..

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Listas de palabras: Se trata de listados -enormes- de palabras y contraseas comunes que se utilizan probando una a una de forma automtica (ataques de diccionario). Fuerza bruta: Una tctica alternativa a las listas de palabras. Consiste en probar todas la combinaciones posibles de caracteres hasta dar con la contrasea. Requiere mquinas potentes y mucho tiempo. Ingeniera social: A veces, no hace falta ser tan tecnolgico para obtener la contrasea de alguien. Tienes un post-it pegado en el monitor con la contrasea para "acceder a aquel sitio"? Mtodos de ataque (Cracking) Algunos mtodos comunes que los atacantes utilizan para descubrir la contrasea de las cuentas de usuario incluyen: Adivinar- El atacante intenta iniciar sesin con la cuenta del usuario adivinando posibles palabras y frases tales como nombres de sus familiares Ataque de Diccionario en lnea- El atacante utiliza un programa automatizado que incluye un archivo de texto de las palabras. El programa intenta varias veces para iniciar sesin en el sistema de destino mediante una palabra diferente. Ataque de Diccionario Desconectado- Al igual que el ataque de diccionario en lnea, el atacante recibe una copia del archivo donde se almacena la copia de hash. Ataque de Fuerza Bruta- Esta es una variacin de los ataques de diccionario, pero est diseado para determinar las claves que no pueden incluirse en el archivo de texto que se utiliza en esos ataques. Envejecimiento de las contraseas El envejecimiento de contraseas es una tcnica utilizada por los administradores de sistemas para defenderse de las malas contraseas dentro de la organizacin. El envejecimiento de contraseas significa que luego de un tiempo determinado (usualmente 90 das) se le pide al usuario que cree una nueva contrasea. La teora detrs de esto es que si un usuario es forzado a cambiar su contrasea peridicamente, una contrasea que ha sido descifrada por un cracker slo le es til por un tiempo determinado. La desventaja del envejecimiento de contraseas, es que los usuarios tienden a escribir sus contraseas. Por qu se necesitan contraseas seguras? Para contar con una buena seguridad en los sistemas de informacin, se requiere el uso de contraseas seguras para todas las cuentas. Las contraseas pueden ser el eslabn ms dbil de un sistema de seguridad informtica. Las contraseas seguras son importantes porque las herramientas de cracking de contraseas siguen mejorando y los equipos que se

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

utilizan para romper las contraseas son cada vez ms poderosos. Las contraseas de algn sistema antes tardaban semanas para romperla, ahora se puede descifrar en cuestin de horas. Sugerencias para crear una contrasea segura Una contrasea segura:

Es por lo menos ocho caracteres de longitud. No contiene su nombre de usuario, nombre real o nombre de la empresa. No contiene una palabra completa. Es muy diferente de las contraseas anteriores. En Windows, una contrasea segura es una contrasea que contiene caracteres de cada una de las siguientes cinco categoras. Ejemplos A,B,C,D a,b,c 0,1,2,3,4,5,6,7,8,9

Categora de caracteres Las letras maysculas Letras minsculas Nmeros

Smbolos que aparecen en el teclado (todos `~! @ # $% ^ & * () _ - + = {} [] \ |:; "'<>, /.? los caracteres del teclado no se definen como letras o nmeros) y espacios Caracteres unicode , ,?? Y

No utilices en tu contrasea informacin personal o que pueda relacionarse contigo. No utilices palabras (en cualquier idioma) que puedan encontrarse en un diccionario No hagas pblica tu contrasea bajo ningn concepto. No utilices la misma contrasea.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Nunca realices actividades bancarias en computadoras pblicas como lo son los cafs Internet. No reveles tu contrasea a ninguna persona. Cambia de forma peridica tu contrasea. Metodologa para la creacin de contraseas seguras Hay muchos mtodos que la gente utiliza para crear contraseas seguras. Uno de los mtodos ms populares incluyen acrnimos. Por ejemplo: Piense en una frase memorable, tal como: "Es ms fcil creer que pensar con espritu crtico." Luego, cmbielo a un acrnimo (incluyendo la puntuacin). emfcqpcec. Aada un poco de complejidad sustituyendo nmeros y smbolos por letras en el acrnimo. Por ejemplo, sustituya 7 por e y el smbolo arroba (@) por c: 7mf@qp@7@. Aada un poco ms de complejidad colocando mayscula al menos una letra 7Mf@qp@7@. U8. SENDMAIL Sendmail es el agente de transporte de correo ms comn de Internet (en los sistemas UNIX). Aunque acta principalmente como MTA, tambin puede ser utilizado como MUA (Agente Usuario de Correo) aunque no posee interfaz de usuario. El propsito principal de Sendmail, como cualquier otro MTA, es el de transferir correo de forma segura entre hosts, usualmente usando el protocolo SMTP. Sendmail es altamente configurable, permitiendo el control sobre casi cada aspecto del manejo de correos, incluyendo el protocolo utilizado. Muchos administradores de sistemas seleccionan Sendmail como su MTA debido a su poder y escalabilidad. Las misiones bsicas de sendmail son las siguientes: Recogida de mails provenientes de un Mail User Agent (MUA) como pueden ser elm, Eudora o pine; o provenientes de un Mail Transport Agent (MTA) como puede ser el propio sendmail. Eleccin de la estrategia de reparto de los mails, basndose en la informacin de la direccin del destinatario contenida en la cabecera: Si el mail es local en nuestro sistema, enviar el mail al programa de reparto local de mails.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Si el mail no es local, sendmail utilizar el DNS de nuestro sistema para determinar el host al que debe ser enviado el mail. Para transferir el mensaje, iniciar una sesin SMTP con MTA de dicho host. Si no es posible mandar el mail a su destino (porque la mquina receptora esta desconectada,o va muy lenta), sendmail almacenar los mails en una cola de correo, y volver a intentar el envo del mail un tiempo despus. Si el mail no puede ser enviado tras un tiempo razonable, el mail ser devuelto a su autor con un mensaje de error. Sendmail debe garantizar que cada mensaje llegue correctamente a su destino, o si hay error este debe ser notificado (ningn mail debe perderse completamente). Reformatear el mail antes de pasarlo a la siguiente mquina, segn unas reglas de reescritura. Segn el tipo de conexin que poseemos con una determinada mquina, o segn el agente de transporte al que vaya dirigido el mail, necesitaremos cambiar los formatos de las direcciones del remitente y del destinatario, algunas lneas de la cabecera del mail, o incluso puede que necesitemos aadir alguna lnea a la cabecera. Sendmail debe realizar todas estas tareas para conseguir la mxima compatibilidad entre usuarios distintos. Otra funcin muy importante de sendmail es permitir el uso de "alias" entre los usuarios del sistema;lo que nos permitir (entre otras funciones) crear y mantener listas de correo entre grupos. Ejecucin como agente de usuario (MUA). Aunque no posee interfaz de usuario, sendmail tambin permite el envo directo de mails a travs de su ejecutable. Todas estas caractersticas y muchas otras que posee el sendmail deben ser configuradas y variarn de unos sistemas a otros. Para configurarlas hacemos uso del fichero de configuracin de sendmail. La revisin y modificacin de este fichero es bastante complicada y necesita de una serie de conocimientos previos. U8.1. Descripcin Sendmail es el programa que enva, recibe y reenva ms correos electrnicos procesados sobre Unix y Linux. Uso generalizado de Sendmail en Internet ha sido histricamente un objetivo prioritario de los atacantes, dando lugar a numerosas hazaas en los ltimos aos. La mayora de estos exploits son exitosos slo en contra de las versiones anteriores del software. De hecho, Sendmail no ha tenido una vulnerabilidad de gravedad "alta" en dos aos. A pesar de que estos problemas mayores estn bien documentados y han sido reparados en las versiones ms recientes, an existen tantas versiones obsoletas o mal configuradas an que hoy Sendmail sigue siendo uno de los servicios ms frecuentemente atacados.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Los riesgos que se presentan al ejecutar Sendmail se pueden agrupar en dos grandes categoras: la escalada de privilegios causados por desbordamientos de bfer y la configuracin inadecuada que permite que el equipo sea un rel de correo electrnico desde cualquier otra mquina. El primero es un problema en cualquier sistema en donde an marcha las versiones viejas de cdigo. Los ltimos resultados de usar ya sea incorrecto o archivos de configuracin por defecto, y es un obstculo principal en la lucha contra la proliferacin de spam. U8.2 Sistemas operativos participantes Casi todos los sistemas Unix y Linux vienen con una versin de Sendmail instalada y con frecuencia activado por defecto. U8.3 Cmo determinar si sus sistemas son vulnerables Sendmail ha tenido a lo largo de la historia muchas vulnerabilidades. No siempre es confiable la versin de cadena devuelta por el daemon como es esta leda de un archivo de texto sobre el sistema que puede no estar adaptado correctamente. Averige cul es la ltima versin (si se construye a partir de la fuente) o nivel del programa (si formaba parte de su sistema operativo) es para Sendmail, si no se est ejecutando, usted est probablemente vulnerable. U8.4Cmo protegerse contra ella? Los siguientes pasos se deben tomar para proteger a Sendmail:

1. Actualiza a la versin ms reciente y / o implementar parches. El cdigo fuente se

puede encontrar en http://www.sendmail.org/ .

2. Sendmail es normalmente activado por defecto en la mayora de los sistemas Unix y

Linux, incluso aquellos que no estn actuando como servidores de correo o rels electrnico. No ejecute Sendmail en modo daemon (apague el interruptor "-bd") en estas mquinas.Todava se puede enviar correo desde este sistema mediante la invocacin de "sendmail-q" peridicamente para limpiar la cola de salida.

3. Si debe ejecutar sendmail en modo daemon, asegrese de que la configuracin se ha

diseado para retransmitir correo debidamente y solamente para los sistemas bajo su mbito de competencia. FUNCIONES: Recibo de emails provenientes de un Mail User Agent (MUA).

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Eleccin de la estrategia de reparto de los mails, basndose en la informacin de la direccin del destinatario contenida en la cabecera. Sendmail debe garantizar que cada mensaje llegue correctamente a su destino, o si hay error este debe ser notificado (ningn mail debe perderse completamente). Reformatear el mail antes de pasarlo a la siguiente mquina, segn unas reglas de reescritura. Permitir el uso de "alias" entre los usuarios del sistema, lo que nos permitir (entre otras funciones) crear y mantener listas de correo entre grupos. Ejecucin como agente de usuario (MUA). Aunque no posee interfaz de usuario, sendmail tambin permite el envo directo de mails a travs de su ejecutable. FICHEROS DE CONFIGURACIN COMANDO /etc/mail/access /etc/mail/aliases /etc/mail/local-hostnames /etc/mail/mailer.conf /etc/mail/mailertable /etc/mail/sendmail.cf /etc/mail/virtusertable FUNCIN Base de datos de accesos de sendmail Carpeta de alias Listados de mquinas para las que sendmail acepta correo

Configuracin del programa de correo Tabla de entregas de correo Archivo de configuracin principal de sendmail Usuarios virtuales y tablas de dominio

T6: REGISTRO DE EVENTOS (LOGGING) INCOMPLETOS O INEXISTENTES

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

El logging ha sido la fuente primaria para documentar los eventos que se conceden en los sistemas operativos. El registro de eventos basado en un modelo de computacin centralizado sta actualmente obsoleto, hoy en da las fuentes a las que recurren los investigadores forenses que tiene acceso en un sistema de computacin son entre otros, los registros del sistema, los registros de auditora, los registros de las aplicaciones, los registros de gestin de redes, la captura del trfico de red o los datos del sistema de ficheros. Al intercambiar informacin entre una red local e Internet, la probabilidad de que un atacante llegue silenciosamente est siempre latente. Cada semana se descubren nuevas vulnerabilidades y existen muy pocas formas de defenderse de los ataques que hagan uso de las mismas. Una vez que se haya atacado, sin los registros (logs) hay muy pocas probabilidades de que descubra qu hicieron realmente los atacantes. Sin esa informacin las organizaciones deben elegir entre cargar completamente el sistema operativo desde el soporte original y luego esperar que los respaldos se encuentren en buenas condiciones, o bien correr y asumir el riesgo que representa seguir utilizando un sistema que un atacante controla. No es posible detectar un ataque si no sabe qu est ocurriendo en la red. Los registros le proporcionan los detalles de lo que est ocurriendo, qu sistemas se encuentran bajo ataque y qu sistemas han sido ya afectados. Los registros deben ser realizados de forma regular, sobre todos en los sistemas clave, y deben ser archivados y respaldados porque nunca se sabe cundo se pueden necesitar. La mayora de los expertos recomiendan enviar todos los registros a una base de datos central que escriba la informacin en un soporte que slo admita una escritura, con el fin de que el atacante no pueda sobrescribir los registros. Registro de Eventos en Windows El registro de eventos est habilitado automticamente de forma predeterminada y no hay ningn mecanismo para deshabilitarlo. Los eventos registrados por WCF se pueden ver utilizando el Visor de eventos. Para iniciar esta herramienta, haga clic en Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, de nuevo doble clic en Visor de eventos. Qu informacin aparece en los registros de eventos? (Visor de eventos) En el Visor de eventos, la informacin se organiza en diversos registros. Los registros de Windows incluyen: Eventos de aplicaciones (programas). Cada evento se clasifica como error, advertencia o informacin, dependiendo de su gravedad. Un error es un problema importante, como una prdida de datos. Una advertencia es un evento que no es

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

importante necesariamente, pero puede indicar la posibilidad de problemas en el futuro. Un evento de informacin describe la operacin correcta de un programa, un controlador o un servicio. Eventos relacionados con la seguridad. Estos eventos se conocen como auditoras y se describen como correctos o con error, dependiendo del evento, como por ejemplo, si un usuario consigue iniciar una sesin en Windows correctamente. Eventos de configuracin. Los equipos que se han configurado como controladores de dominio dispondrn de ms registros aqu. Eventos del sistema. Los eventos del sistema los registran Windows y los servicios del sistema de Windows, y se pueden clasificar como error, advertencia o informacin. Eventos reenviados. Estos eventos se reenvan a este registro desde otros equipos. Los registros de aplicaciones y servicios pueden variar. Incluyen registros independientes para los programas que se ejecutan en el equipo, as como registros ms detallados relacionados con servicios especficos de Windows. 1. Para abrir Visor de eventos, haga clic en el botn Inicio, en Panel de control, en Sistema y mantenimiento, en Herramientas administrativas y, a continuacin, haga doble clic en Visor de eventos. Si se le solicita una contrasea de administrador o una confirmacin, escriba la contrasea o proporcione la confirmacin. 2. Haga clic en un registro de eventos, en el panel izquierdo. 3. Haga doble clic en un evento para ver los detalles correspondientes. Logging a registro de eventos del sistema. Cuando logeamos una aplicacin como sucesos del sistema, para poder ver los logs tendremos que emplear el visor de sucesos de Windows. Para logear como sucesos del sistema, dentro del configurador, en la seccin correspondiente a logging settings, es necesario crear un nuevo trace listener, para logear a un suceso del sistema, crearemos un Event Log Trace Listener. Dentro de las propiedades a establecer para este tipo listener, las ms destacables son: Name: nombre, sirve para referenciarlo desde las categoras. Formatter Name: nombre del formateador a utilizar (si es que se va a utilizar un fomateador). Log Name: nombre del eventlog en el cual se van a escribir los eventos (por defecto Aplication). Machine Name: Nombre de la mquina en la cual se va a escribir el log.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Severity Filter: indica el nivel de log que se va a registrar. Existen los siguientes niveles de log: All, Off, Critical, Error, Warning, Information, Verbose. Cuando se logea un nivel, se logea dicho nivel y todos los que sean ms importantes. Por ejemplo, el nivel warning, logear warnings, errors y critical. Source Name: nombre que aparecer como origen del error. Trace output: son los parmetros que se han de pasar al formateador. (Por defecto se pasan todos). Type Name: Nombre del tipo de listener (si construimos nuestro propio Event Log Trace Listener, este campo contendr el nombre de nuestro tipo, como aqu empleamos el tipo por defecto, este es su nombre). De esta sencilla forma, logeamos eventos, errores para ser visualizados con el visor de sucesos de windows, el principal inconveniente es que hay que ir entrando uno por uno en todos los errores para poder ver lo ocurrido, mientras que si logeamos a un fichero de texto, con un golpe de vista vemos muchos ms eventos. CONCLUSIONES: Dentro de esta investigacin realizada, pudimos observar que todos los sistemas operativos siempre van a presentar una o varias vulnerabilidades, en el caso del tema de equipo Registro de eventos(Logging) , consideramos que parte de la seguridad en los sistemas de informacin radica en que se implementen los logs, ya que al tener un registro de todas las acciones o movimientos que ocurren, es posible saber en caso de que una persona ajena ataque o se infiltre realizando cambios que perjudiquen la informacin confidencial, los logs sirven para presentarlos como evidencia digital ante una situacin legal. Tambin otra utilidad de los logs es para saber el estado en el que se encuentra el sistema, es decir si su funcionalidad es ptima, o si tiene problemas de vulnerabilidad, de tal manera que nos permita tomar medidas tanto preventivas como correctivas y generar soluciones . Pudimos ver que existen herramientas especializadas que son libres y comerciales para las plataformas windows y unix, que permiten generar los archivos de registro, pero tambin estos sistemas operativos cuentan con herramientas no tan sofisticadas, pero aun asi nos proporcionan informacin sobre el estado en el que se encuentran funcionando nuestro sistemas y sus aplicaciones. Dentro de lo que es las contraseas dbiles nos pudimos dar cuenta que las ltimas versiones de Windows son las ms vulnerables en cuanto a este tema, ya que con el algoritmo que cuenta para poder codificar las contraseas es muy fcil de descifrar y ms

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

cuando las contraseas del usuario son dbiles, es decir, se pueden obtener con cualquier programa desarrollado porque las personas tienden a poner solo nmeros y letras, sin smbolos especiales como son el arroba (@), signo de admiracin o interrogacin (?!) entre otros caracteres especiales, y cuando ponemos o activamos lo que es las sugerencias les estamos dando la facilidad de que consigan nuestras contraseas a cualquier persona que tenga intencin de querer actuar maliciosamente. Pero corremos ms riesgo cuando nosotros no protegemos nuestras cuentas de usuarios, es decir utilizamos la misma contrasea en todas las cuentas que tenemos, o no aplicamos las normas de seguridad para las mismas, a veces nosotros como usuarios se nos hace fcil proporcionarionarla a otras personas sin saber el riesgo que esto ocasiona, a algunos usuarios este tema de las contraseas no es de su inters y dejan pasar por alto todos los riesgos y amenazas que conlleva todo esto de la seguridad informtica y algunos creen aplicando una de las normas como lo cambiarla peridicamente estn exentos de peligro, pero no es as, dado que la aplicacin de polticas, normas slo nos permite vivir con el menor riesgo posible. El empleo constante de contraseas para la proteccin de nuestra informacin, debe considerarse en la actualidad como un hbito de nuestro quehacer cotidiano, parte de nuestra cultura, teniendo en cuenta que el contacto con la computadora y las redes de comunicacin es inevitable e imprescindible en muchas de las actividades que desempeamos diariamente por tal motivo es importante educar a los usuarios acerca de los beneficios del uso de contraseas seguras y ensearles cmo crear contraseas que son realmente fuertes. BIBLIOGRAFA Documentos electrnicos Web Site Microsoft Soporte.(2013).Cmo ver y administrar los registros de eventos en el Visor de eventos de Windows XP. Recuperado de http://support.microsoft.com/kb/308427/es.Id. de artculo: 308427. Nio, Diana Carolina y Sierra, Alejandro.(2007).Centralizacin de registros de eventos. Recuperado de http://pegasus.javeriana.edu.co/~regisegu/Docs/articulo.pdf.

INSTITUTO POLITCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisstomo Jessica Camacho Flores Sarah Montserrat Hernndez Gonzlez Ivonne Valeria Coordinador de equipo Lozada Prez Yareli Guadalupe TEMAS: W7 Accounts with No Passwords or Weak Passwords, U8 Sendmail, T6 Registro de eventos (logging) incompletos o inexistentes FECHA DE EXPOSICIN: 13 DE SEPTIEMBRE DE 2013

Artculo de Revista Seifried,Kurt.(2011).Logs desde Windows y procesamiento de logs.LINUX-MAGAZINE. Recuperadodehttp://www.linux-magazine.es/issue/79/060062_InseguridadesLogsdeWindowsLM79.pdf. NOTICIAS DE INFORMATICA Y COMPUTACION (2012) http://deredes.net/ophcrackcrackear-contrasena-de-windows/

MANUAL ELECTRNICO Berkeley(1998).UNIX System Manager's http://www.sendmail.org/~ca/email/man/sendmail.html Manual. Recuperado de