SEGURIDAD INFORMÁTICA
I+D
SEGURIDAD INFORMÁTICA
 

DIRECTOR:  Ing. Sebastián García

FECHA DE INICIO:   2006

UNIDAD ACADÉMICA:  Facultad deIngeniería

TEMÁTICA ABORDADA

Seguridad Informática. Análisis de los ataques y generación de técnicas que permitan evitarlos.

RESEÑA

Las actividades de investigación en seguridad informática surgen en el año 2006 con el primer Grupo de Estudio en convenio con CITEFA (actualmente CITEDEF, Instituto de Investigaciones Científicas y Técnicas para la defensa) para resolver una problemática sobre el análisis en la detección de intrusos en honeypots. Este primer grupo logra satisfactoriamente concluir su trabajo y se crean posteriormente varios grupos más de estudio e investigación que con la unión de muchos alumnos y graduados, de a poco pero continuamente, amplían el espectro de investigaciones en seguridad realizados enla Facultad. Elobjetivo de las mismas es generar conocimiento innovador en áreas de la seguridad informática de alta relevancia. Durante estos años nos hemos enfocado en las problemáticas más importantes a nivel mundial (botnets, intrusos, honeypots, spam, etc.) para avanzar el estado del arte en investigaciones de calidad que permitan generar con el tiempo un entorno de investigación en seguridad informática. Cada grupo fue desarrollando su propia línea de acción y trabajo, publicando trabajos y participando de conferencias. 

Grupo de Estudio en Seguridad Informática (2006 – 2007)

 

Descripción: Por medio de un convenio con CITEFA, ellos plantearon su necesidad de contar con un programa que automáticamente reconociera las sesiones SSH interactivas en los honeypots donde recibían los ataques. El principal problema era que esa separación se realizaba manualmente y con errores.

Objetivo: Se propuso desarrollar un programa que, procesando paquetes de la red, sea capaz de separar las sesiones TCP, posteriormente las SSH y finalmente determinar por medio de alguna técnica cuáles de esas sesiones SSH eran realizadas a mano por un intruso y cuales eran intentos automáticos de contraseñas.

Principales resultados obtenidos:  El grupo concluyó exitosamente sus actividades propuestas, incluyendo:

  1. Un nuevo método de análisis de la problemática
  2. Una herramienta desarrollada por el grupo, con licencia GPL publicada en Internet para toda la comunidad disponible en http://sourceforge.net/projects/ssh-sniffer
  3. Un sitio web, www.ssh-sniffer.com.ar con toda la información sobre cómo es la técnica y cómo se utiliza la herramienta, incluyendo ejemplos y ayudas.
  4. Un artículo, con todo el proceso técnico y parte del proceso organizativo publicado en internet en http://www.ssh-sniffer.com.ar/DeteccindesesionesinteractivasenSSH.pdf, incluyendo la explicación de las técnicas utilizadas y la descripción de la totalidad de los experimentos realizados con sus resultados y gráficos.

Nota: El aprendizaje más importante de este primer Grupo de estudio fue comprender que las

intrusiones a servidores por medio de clásicos ‘exploits’ estaba migrando hacia los ataques a

Web Servers y consecuentemente también estaban migrando las técnicas de análisis.

Grupo de Estudio en Seguridad Informática II (2008 – 2009)

Descripción: Frente al aprendizaje del primer grupo de estudio, se decide cambiar el foco de investigación hacia los, más actuales, ataques enla Web. En una primera instancia se profundizó en la detección de intrusos por medio de su patrón de ataques a sitios Web mediante la recolección de datos de variados ataques Web usando honeypots. Luego de largas pruebas, el grupo concluyó que la dificultad de obtener datos fidedignos de ataques reales era el impedimento más importante para su correcta finalización y decidió reorganizar su forma de trabajo. En esta nueva segunda instancia el grupo se orientó a comprender los detalles de los ataques Web mediante la creación de un framework de análisis de WebBotnets. El grupo desarrolló esta noción de WebBotnet para referirse a un concepto hasta el momento no implementado, las Botnets que trabajan totalmente con tecnologías Web.

Objetivos: Estudiar y diseñar una WebBotnet para comprender como se realizan las acciones de ataques más modernas. Implementar todas las funcionalidades de una Botnet mediante tecnologías Web y desde este estudio comprender como proteger mejor a los clientes.

Principales resultados obtenidos:  Se desarrolló un primer prototipo dela WebBotnet que cumple con las siguientes propiedades:

● Cliente Javascript

○ Modificación del favicon para identificar la pestaña infectada

○ Generación del número de cliente único aleatorio

○ Contacto con el servidor de C&C en busca de las actividades a desarrollar

○ Reporte al panel de control cada un intervalo de tiempo fijo

○ Ejecución de módulos de código Javascript o agregado de código HTML

● Servidor de C&C PHP

○ Almacena los códigos que interactúan con cada cliente si lo requiere y gestiona diferentes  módulos de actividad

● Panel de control del Botmaster

○ Visualización de los clientes infectados, con su dirección IP, User-Agent, número de cliente y estado de la conexión

Nota: Diversos detalles dela WebBotnet no se han podido llevar a cabo. Es por eso que para concluir satisfactoriamente con el desarrollo de un software que demuestre la posibilidad de las técnicas y para poder aprender la mejor forma de proteger a los usuarios se consideró necesario la continuación del mismo.

Grupo de Estudio en Seguridad Informática III (2009 – 2010)

Descripción: Como consecuencia del éxito del prototipo de WebBotnet, se decidió continuar con esa línea de acción a fin de lograr un prototipo que tenga todas las características necesarias implementadas. Esta WebBotnet necesitaba todavía más funcionalidades, experimentos y puestas a prueba para lograr su cometido.

Objetivo: Continuar el prototipo de investigación dela WebBotnet e implementar las funcionalidades que permitirán su expansión.

Principales resultados obtenidos:

  • Publicación del proyecto en el sitio www.jtrypanosoma.com.ar, donde se pueden apreciar las diferentes formas de trabajar y utilizar el sistema. Esta página web fue diseñada y desarrollada para tener una mejor interacción con el ámbito de la seguridad.
  • Desarrollo y mejora de diversos módulos de ataque e infección
  • Restructurado y rediseño del prototipo original para mejorar su performance y profesionalidad.
  • Realización de experimentos de comprobación
  • Exposición del trabajo en conferencias y empresas.

Grupo de Estudio Detección de intrusiones en redes Wireless (2010 – 2011)

Descripción: Como inquietud de diversos alumnos en el área de la seguridad Wireless, se comenzó este grupo de estudio con miras a reconocer ataques por medio de la detección de anomalías en el tráfico de red cifrado mediante WPA2. Actualmente los protocolos WPA2 son la tecnología más segura para lograr la confidencialidad de una red WiFi y por lo tanto son objeto de muchos estudios en la comunidad.

Objetivos: Los objetivos son:

l  Capturar tráfico WPA2 de ataques y conexiones normales para su publicación

l  Estudiar las diferencias de los tráficos a fin de determinar qué características del mismo son relevantes para su diferenciación.

l  Aplicar algoritmos de detección de anomalías para reconocer automáticamente ese tráfico malicioso.

Principales resultados esperados:

l  Se espera obtener varias capturas de tráfico publicable

l  Se espera desarrollar un algoritmo para diferenciar conexiones maliciosas cifradas de conexiones normales cifradas.

l  Se espera publicar los resultados.

Grupo de Estudio en Seguridad Informática – “Proyecto WebBotnets” (2010 – 2011)

Descripción: Luego de la publicación de los resultados en diversas charlas, el grupo quiere centrase en la masificación de las técnicas dela WebBotnet. Esto requiere quela WebBotnet sea completamente esclable y sus módulos funcionen con centenas de equipos en simultáneo. Esta nueva etapa quiere dejarla WebBotnet disponible en internet para los investigadores de seguridad.

Objetivos: Desarrollar las capacidades de escalabilidad dela WebBotnet. Modificar los módulos para que soporten decenas de clientes. Mejorar la eficiencia del programa. Dar a conocer el código públicamente. Realizar más experimentos que nos permitan ampliar el campo de trabajo.

Principales resultados esperados:  La publicación de un código útil, estable y seguro en la comunidad junto con un soporte y difusión del mismo dado por las charlas y congresos. También se esperan diversos experimentos que apoyen y ayuden a validar los diferentes módulos desarrollados.

Proyecto de I+D: “Clasificación de Intrusos mediante el análisis del comportamiento posterior al ataque de Clientes Web“ (2008 -2009)

Descripción: Este grupo de investigación nació también de la relación temprana con CITEFA en base a su necesidad de detectar intrusos en las fases posteriores a sus ataques a clientes web.  Luego de las primeras fases del proyecto, los datos recavados mostraron que la mayoría de esos ataques eran realizados por Botnets. En base a este descubrimiento se delineó un plan para detectar esas botnet que atacan clientes por medio de la creación de un proyecto distribuido de detección.

Objetivos:

  • Generar un algoritmo de clasificación de intrusos por medio del análisis de su comportamiento posterior al ataque a Clientes Web.
    • Diseñar los componentes de software que implementarán dicho algoritmo.

Principales resultados obtenidos:

  • El diseño de tres componentes de software prototipo del futuro sistema de detección.
  • Experimentos estudios de factibilidad de las técnicas planteadas
  • Primer desarrollo de la idea en software.

Proyecto de I+D: Sistema de detección y clasificación de Botnets (2009 – 2010)

Descripción: Luego de contar con el diseño principal del sistema, se tenía la necesidad de desarrollar el primer prototipo completo. También era necesario probar el algoritmo seleccionado para la detección de botnets en un entorno de experimentación.

Objetivos: Concluir el diseño de los componentes del sistema. Desarrollar un prototipo funcional inical del sistema completo. Realizar experimentos de prueba del algoritmo.

Principales resultados obtenidos:

  • Finalización del diseño del sistema.
  • Prototipo funcional implementable.
  • Implementación en varios equipos con toma de datos.
  • Primeros análisis de capturas reales de datos en Internet.

Proyecto de I+D: Sistema de detección y clasificación de Botnets II (2010 – 2011)

Descripción: Luego de la implementación funcional del sistema se hace necesaria la puesta en actividad del mismo de forma permanente. Al ser un sistema distribuido, es necesario coordinar varios aspectos centrales en la correlación de datos, así como comprobar el correcto funcionamiento de sus partes.

Objetivos: Finalizar las implementaciones necesarias y arreglos para tener un prototipo autónomo instalable del sistema distribuido de detección de Botnets. Dar a conocer el sistema de forma abierta. Contactar a organizaciones que quieran colaborar con el proyecto.

Principales resultados esperados: El resultado esperado de este proyecto es un prototipo del Framework de detección de Botnets implementable en las computadoras hogareñas.

Esto implicará que el algoritmo de detección funciona correctamente y que todos los detalles de las transferencias están implementados.

Proyecto de I+D: “Keystroke Dynamics” (2010 – 2011)

Objetivos:Desarrollar y evaluar metodologías de clasificación e identificación de personas por medio de keystroke dynamics en texto libre empleando técnicas específicas de inteligencia computacional y estadística.

Principales resultados obtenidos:

  • Obtención de datos de prueba etiquetados válidos publicables.
  • Generación de los algoritmos de clasificación de personas.
  • Publicación de los resultados.

Proyecto de I+D: “Keystroke Dynamics II” (2011 – 2012)

Objetivo: Finalizar el diseño y desarrollo de un sistema de captura de teclas no intrusivo en computadoras para obtener los juegos de datos necesarios que permitan desarrollar y evaluar metodologías de clasificación e identificación de personas por medio de keystroke dynamics en texto libre empleando técnicas específicas de inteligencia computacional y estadística.

Principales resultados esperados

  • Obtención de un software de captura de teclas publicable y distribuible
  • Obtención de un juego de datos publicable a la comunidad
  • Dejar asentados, en caso de ser posible, los atributos correspondientes a la clasificación de personas analizando su patrón de tipeo en texto libre (como ser: cantidad de datos mínima, precisión, características relevantes, factores influyentes).
  • Implementación de los métodos y técnicas utilizados.
  • Realización de un informe final que incluya todo lo investigado, los aportes, los resultados y las conclusiones a las que se llegó a lo largo del proyecto.
  • Publicación de los resultados parciales y/o finales en diferentes congresos.

INTEGRANTES DEL GRUPO DE INVESTIGACIÓN

  • Ing. Sebastián García  (Investigador Adjunto UFASTA)
  • Dr.Gustavo Meschino  (Investigador Adjunto UFASTA)
  • Ing. Leandro Ferrari  (Auxiliar de Investigación Graduado UFASTA)
  • Ing. Sebastián Sznur  (Auxiliar de Investigación Graduado UFASTA)
  • Ing. Gissel Zamonsky  (Auxiliar de Investigación Técnico UFASTA)
  • Ing. Alejandro Castro  (Auxiliar de Investigación Técnico UFASTA)
  • Ing. Nicolás Behm (Auxiliar de Investigación Graduado UFASTA)
  • Sr. Sebastián Fink (Auxiliar de Investigación Alumno UFASTA)
  • Sr. Gabriel Casullo (Auxiliar de Investigación Alumno UFASTA)
  • Sr. Nicolás Cano (Auxiliar de Investigación Alumno UFASTA)
  • Sr. Juan Manuel Jaime  (Auxiliar de Investigación Alumno UFASTA)
  • Sr. Raúl Tami  (Auxiliar de Investigación Alumno UFASTA)
  • Srta. Verónica Valeros (Auxiliar de Investigación Alumno UFASTA)

PUBLICACIONES NACIONALES

  • “WebBotnets, la amenaza fantasma”.[Gabriel Alejandro Casullo, Sebastián Alberto Fink, Juan Manuel Jaime, Leandro Raúl Tami] Workshop de Seguridad Informática (JAIIO 38).Mar del Plata,Buenos Aires. Agosto 2009
  • “Detección de Botnets por Inteligencia Colaborativa”. [Leandro Ferrari, Esteban Nicolás Cano, Claudio Javier Caviglia] Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
  • “Keystroke Dynamics Aplicado ala Clasificaciónde Intrusos”. [Gissel Zamonsky Pedernera, Sebastián Sznur] Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
  • “Keystroke Dynamics applied to Intruder Detection”. [Gissel Zamonsky Pedernera, Sebastián Sznur] CICA 2009 C&T Journal. Capital Federal,Buenos Aires,Argentina. Julio 2009.

PUBLICACIONES INTERNACIONALES

  • o    “Revisiting clustering methods to their application on keystroke dynamics for intruder classification”. [Gissel Zamonsky Pedernera, Sebastián Sznur].  BioMS 2010, 2010 IEEE Workshop on Biometric Measurements and Systems for Security and Medical Applications.

DISERTACIONES Y EXPOSICIONES DE TRABAJOS

  • “Ssh Sniffer” [Leandro Ferrari, Esteban Cano, García Sebastián], 8vas Jornadas Regionales de Software Libre 2008. Buenos Aires. Agosto 2008 
  • “Keystroke dynamics aplicado a la clasificación de intrusos” [Gissel Zamonsky Pedernera, Sebastián Sznur], Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
  • “Detección de Botnets por inteligencia colaborativa” [Leandro Ferrari, Esteban Nicolás Cano], Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
  • “WebBotnets, la amenaza fantasma” [Gabriel Alejandro Casullo, Sebastián Alberto Fink, Juan Manuel Jaime, Leandro Raúl Tami], Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
  • “WebBotnets” [Gabriel Alejandro Casullo, Sebastián Alberto Fink, Juan Manuel Jaime, Leandro Raúl Tami], Core Security Technologies Security Talks, Buenos Aires. Octubre 2009
  • “Detección de Botnets por inteligencia colaborativa” [Leandro Ferrari, García Sebastián], Jornadas Provinciales de informática 2009. Mar del Plata. Noviembre 2009.
  • “Detección de Botnets” [Leandro Ferrari, Esteban Nicolás Cano], Día de la seguridad informática Universidad Fasta. Mar del Plata. Noviembre 2009.
  • “WebBotnets” [Gabriel Alejandro Casullo, Sebastián Alberto Fink, Juan Manuel Jaime, Leandro Raúl Tami], Día de la seguridad informática Universidad Fasta. Mar del Plata. Noviembre 2009.
  • “Keystroke Dynamics” [Gissel Zamonsky Pedernera, Sebastián Sznur], Día de la seguridad informática Universidad Fasta. Mar del Plata. Noviembre 2009.
  • “Keystroke Dynamics applied to Intruder Detection”. [Gissel Zamonsky Pedernera, Sebastián Sznur] CICA 2009. Capital Federal,Buenos Aires,Argentina. Julio 2009.

PARTICIPACIÓN EN COMITÉS CIENTÍFICOS

  • 37JAIIO, Evaluador de trabajos poster Seguridad Informática.

PRESIDENCIA DE CONGRESOS, SIMPOSIOS Y TALLERES

  • Sebastián García. Chair Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009.
  • Sebastián García. Chair Workshop de Seguridad Informática (JAIIO 39). Ciudad Autónoma de Buenos Aires. Agosto 2010.

VINCULACIÓN CON OTRAS UNIVERSIDADES Y CENTROS DE I+D

  • CITEFA. Instituto de Investigaciones Científicas y Técnicas parala Defensa.

ASISTENCIA A CONGRESOS, SIMPOSIOS Y TALLERES NACIONALES

  • 8vas Jornadas Regionales de Software Libre 2008. Buenos Aires. Agosto 2008 
    • Workshop de Seguridad Informática (JAIIO 38). Mar del Plata, Buenos Aires. Agosto 2009
    • Jornadas Provinciales de informática 2009. Mar del Plata. Noviembre 2009.
    • Día de la seguridad informática Universidad Fasta. Mar del Plata. Noviembre 2009.
    • CICA 2009. Capital Federal,Buenos Aires,Argentina. Julio 2009

ATENEOS DE INVESTIGACION UNIVERSIDAD FASTA

  • “Detección de Botnets” [García Sebastián], Ateneo de Investigación Ufasta 2008. Mar del Plata. Diciembre 2008.

DOCUMENTOS EDITADOS

  • Anales del Workshop de Seguridad Informática 2009. 38º Jornadas Argentinas de Informática (JAIIO). 24 al 28 Agosto de 2009. Compilado por Sebastián García y Claudia López Ornia. 1a edición. Mar del Plata. Universidad FASTA. 2009. CD-ROM.

ISBN 978-987-1312-22-1

PROYECTOS FINALES DE GRADUACIÓN A PARTIR DE PROYECTOS/GRUPOS

  • Keystroke-Dynamics aplicado a la clasificación de intrusos. [Sebastián Sznur, Gisell Zamonsky]. Universidad FASTA. 2009
  • Griffoi-Sorondo en Botnets (en ejecución)
 

Facultad de Ingeniería

Sedes San Vicente de Paul

Gascón 3145

fi@ufasta.edu.ar
1
¡Hola! ¿Querés estudiar en Universidad FASTA? Este canal es para asesorarte sobre nuestras carreras presenciales. Por carreras online, contactanos por Whatsapp al 11 3587-2386

Si querés hacer un curso o diplomatura del Centro de Capacitación de la Universidad FASTA - CECAUF visitá el sitio www.cecauf.com.ar o por Whatsapp al 11 6660-2697

¡Esperamos tu consulta!
Powered by