Ataques informáticosAtaques informáticosDebilidades de seguridad comúnmente Debilidades de seguridad comúnmente

explotadasexplotadasExtracto de l escrito “Ataques informáticos”Extracto de l escrito “Ataques informáticos”

Autor: Jorge MieresAutor: Jorge MieresReadaptado por : Migue Angel MorellReadaptado por : Migue Angel Morell

20112011

Ataque informáticoAtaque informáticoUn ataque informático consiste en aprovechar Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el alguna debilidad o falla (vulnerabilidad) en el

software, en el hardware, e incluso, en las software, en el hardware, e incluso, en las personas que forman parte de un ambiente personas que forman parte de un ambiente

informático; a fin de obtener un beneficio, por lo informático; a fin de obtener un beneficio, por lo general de índole económico, causando un general de índole económico, causando un

efecto negativo en la seguridad del sistema, que efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos luego repercute directamente en los activos

de la organización. de la organización.

Anatomía de un ataque Anatomía de un ataque informático informático

Fase 1: ReconocimientoFase 1: Reconocimiento Fase 2: EscaneoFase 2: Escaneo Fase 3: el AccesoFase 3: el Acceso Fase 4: Mantenimiento del AccesoFase 4: Mantenimiento del Acceso Fase 5: Borrando huellasFase 5: Borrando huellas

Fase 1: ReconocimientoFase 1: Reconocimiento Esta etapa involucra la obtención deEsta etapa involucra la obtención de

información (Information Gathering) con información (Information Gathering) con respecto a una potencial víctima que respecto a una potencial víctima que puede ser una persona u organización.puede ser una persona u organización.

Se recurre a diferentes recursos de Se recurre a diferentes recursos de Internet como Google, entre tantos otros, Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster paso son la Ingeniería Social, el Dumpster Diving, el sniffing. Diving, el sniffing.

Fase 2: EscaneoFase 2: Escaneo En esta segunda etapa se utiliza la En esta segunda etapa se utiliza la

información obtenida en la fase 1 para información obtenida en la fase 1 para sondear el blanco y tratar de obtener sondear el blanco y tratar de obtener información sobre el sistema víctima como información sobre el sistema víctima como direcciones IP, nombres de host, datos de direcciones IP, nombres de host, datos de autenticación, entre otros. autenticación, entre otros.

Entre las herramientas que un atacante puede Entre las herramientas que un atacante puede emplear durante la exploración se encuentra emplear durante la exploración se encuentra el network mappers, port mappers, network el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners, port scanners, y vulnerability scanners. scanners.

Fase 3: El AccesoFase 3: El Acceso En esta instancia comienza a materializarse el En esta instancia comienza a materializarse el

ataque a través de la explotación de las ataque a través de la explotación de las vulnerabilidades y defectos del sistema vulnerabilidades y defectos del sistema descubiertos durante las fases de descubiertos durante las fases de reconocimiento y exploración.reconocimiento y exploración.

Algunas de las técnicas que el atacante puede Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session Service (DDos), Password filtering y Session hijacking. hijacking.

Fase 4: Mantenimiento del Fase 4: Mantenimiento del accesoacceso

Una vez que el atacante ha Una vez que el atacante ha conseguido acceder al sistema, conseguido acceder al sistema, buscará implantar herramientas que buscará implantar herramientas que le permitan volver a acceder en el le permitan volver a acceder en el futuro desde cualquier lugar donde futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, tenga acceso a Internet. Para ello, suelen recurrir a utilidades suelen recurrir a utilidades backdoors, rootkits y troyanos. backdoors, rootkits y troyanos.

Fase 5: Borrar huellasFase 5: Borrar huellas Una vez que el atacante logró obtener y Una vez que el atacante logró obtener y

mantener el acceso al sistema, intentará mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando borrar todas las huellas que fue dejando durante la intrusión para evitar ser durante la intrusión para evitar ser detectado por el profesional de seguridad detectado por el profesional de seguridad o los administradores de la red. En o los administradores de la red. En consecuencia, buscará eliminar los consecuencia, buscará eliminar los archivos de registro (log) o alarmas del archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). Sistema de Detección de Intrusos (IDS).

La seguridad consta de tres elementos La seguridad consta de tres elementos fundamentales que forman parte de los fundamentales que forman parte de los

objetivos que intentan comprometer objetivos que intentan comprometer los atacantes. Estos elementos son: los atacantes. Estos elementos son:

ConfidencialidadConfidencialidad IntegridadIntegridad Disponibilidad de los recursos Disponibilidad de los recursos

Análisis de influencia sobre cada elementoAnálisis de influencia sobre cada elemento

Ataque a la ConfidencialidadAtaque a la Confidencialidad

Robar información sensible como Robar información sensible como contraseñas u otro tipo de datos que contraseñas u otro tipo de datos que viajan en texto claro a través de redes viajan en texto claro a través de redes confiables, atentando contra la confiables, atentando contra la confidencialidad al permitir que otra confidencialidad al permitir que otra persona, que no es el destinatario, persona, que no es el destinatario, tenga acceso a los datos. tenga acceso a los datos.

Ataque a la IntegridadAtaque a la Integridad

Mientras la información se transmite a Mientras la información se transmite a través del protocolo de comunicación, un través del protocolo de comunicación, un atacante podría interceptar el mensaje y atacante podría interceptar el mensaje y realizar cambios en determinados bits del realizar cambios en determinados bits del texto texto cifrado con la intención de alterar los datos cifrado con la intención de alterar los datos del criptograma. Este tipo de ataques se del criptograma. Este tipo de ataques se denomina Bit-Flipping y son considerados denomina Bit-Flipping y son considerados ataques contra la integridad de la ataques contra la integridad de la información. información.

Ataque a la DisponibiloidadAtaque a la Disponibiloidad Un atacante podría utilizar los recursos Un atacante podría utilizar los recursos

de la organización, como el ancho de de la organización, como el ancho de banda de la conexión DSL para inundar banda de la conexión DSL para inundar de mensaje el sistema víctima y forzar la de mensaje el sistema víctima y forzar la caída del mismo, negando así los caída del mismo, negando así los recursos y servicios a los usuarios recursos y servicios a los usuarios legítimos del sistema. Esto se conoce legítimos del sistema. Esto se conoce como Denial of Service (DoS) y atenta como Denial of Service (DoS) y atenta directamente contra la integridad de la directamente contra la integridad de la información. información.

Debilidades de seguridad comúnmente explotadas

Ingeniería SocialIngeniería Social Existen estrategias de ataque que se basan en el Existen estrategias de ataque que se basan en el

engaño y que están netamente orientadas a engaño y que están netamente orientadas a explotar las debilidades del factor humanoexplotar las debilidades del factor humano

Como Como contramedida, contramedida, la única manera de hacer la única manera de hacer frente a los métodos de Ingeniería Social es la frente a los métodos de Ingeniería Social es la educación.educación.

El personal debe estar capacitado en cuanto a las El personal debe estar capacitado en cuanto a las debilidades y los métodos de engaño más debilidades y los métodos de engaño más empleados por los atacantes para que logren empleados por los atacantes para que logren identificarlos y dar aviso de cualquier anomalíaidentificarlos y dar aviso de cualquier anomalía

Políticas de Seguridad de la Información y debe ser Políticas de Seguridad de la Información y debe ser ejecutada a través de planes dinámicos de ejecutada a través de planes dinámicos de concientización. concientización.

Factor InsidersFactor Insiders Varios estudios han demostrado que la Varios estudios han demostrado que la

mayoría de las violaciones de seguridad son mayoría de las violaciones de seguridad son cometidos por el cometidos por el Factor Insiders, Factor Insiders, es decir, es decir, por los mismos empleados desde dentro de por los mismos empleados desde dentro de la Institución u Organización.arios estudios la Institución u Organización.arios estudios han demostrado que la mayoría de las han demostrado que la mayoría de las violaciones de seguridad son cometidos por violaciones de seguridad son cometidos por el el Factor Insiders, Factor Insiders, es decir, por los mismos es decir, por los mismos empleados desde dentro de la Institución u empleados desde dentro de la Institución u Organización.Organización.

El atacante podría conseguir un empleo El atacante podría conseguir un empleo en la organización que desea atacar y en la organización que desea atacar y obtener el suficiente nivel de confianza obtener el suficiente nivel de confianza en la organización para luego explotar en la organización para luego explotar

los puntos de acceso. Del mismo modo, los puntos de acceso. Del mismo modo, cualquier integrante puede convertirse cualquier integrante puede convertirse en un empleado disgustado y decidir en un empleado disgustado y decidir robar información y/o causar daños robar información y/o causar daños

como una forma de venganza.como una forma de venganza.

Algunas solucionesAlgunas soluciones Realizar auditorias continuas que incluyan Realizar auditorias continuas que incluyan

monitoreos a través de programas monitoreos a través de programas keyloggers keyloggers

Mecanismos que impidan la instalación de Mecanismos que impidan la instalación de programas por parte del personal, programas por parte del personal,

Estricta configuración del principio de Estricta configuración del principio de privilegios mínimos, deshabilitación de privilegios mínimos, deshabilitación de puertos USB y prohibición del uso de puertos USB y prohibición del uso de dispositivos de almacenamiento extraíbles dispositivos de almacenamiento extraíbles para evitar la fuga de información.para evitar la fuga de información.

Códigos maliciososCódigos maliciosos Causan algún tipo de daño o Causan algún tipo de daño o

anomalía en el sistema informático. anomalía en el sistema informático. Dentro de esta categoría se incluyen Dentro de esta categoría se incluyen

los programas troyanos, gusanos, los programas troyanos, gusanos, virus informáticos, spyware, virus informáticos, spyware, backdoors, rootkits, keyloggers, backdoors, rootkits, keyloggers, entre otrosentre otros

Modo de funcionamientoModo de funcionamiento El 80% de los ataques informáticos El 80% de los ataques informáticos

llevados a cabo por códigos maliciosos, se llevados a cabo por códigos maliciosos, se realizan a través de programas troyanos.realizan a través de programas troyanos.

Implantan en el sistema otros códigos Implantan en el sistema otros códigos maliciosos como rootkits que permite maliciosos como rootkits que permite esconder las huellas que el atacante va esconder las huellas que el atacante va dejando en el equipo dejando en el equipo (Covering Tracks), (Covering Tracks), y y backdoors para volver a ingresar al backdoors para volver a ingresar al sistema cuantas veces considere sistema cuantas veces considere necesario.necesario.

SolucionesSoluciones Implementación de programas Implementación de programas

antivirus que operen bajo antivirus que operen bajo mecanismos de detección avanzados mecanismos de detección avanzados como la heurísticacomo la heurística. .

((capacidad de un sistema para realizar de forma inmediata innovaciones positivas para capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines)sus fines)

FirewallsFirewalls AntirootkitsAntirootkits AntispywareAntispyware

ContraseñasContraseñas

Constituyen uno de los blancos más Constituyen uno de los blancos más buscados por atacantes informáticos buscados por atacantes informáticos porque conforman el componente porque conforman el componente principalprincipal del ingreso a ciertos sistemas del ingreso a ciertos sistemas o para capturar direcciones de mailso para capturar direcciones de mails

OSINT (Open Source OSINT (Open Source Intelligence) Intelligence)

Los atacantes externos, aprenden Los atacantes externos, aprenden constantemente técnicas ofensivas que le constantemente técnicas ofensivas que le permiten penetrar los esquemas de seguridad permiten penetrar los esquemas de seguridad más complejos, tomandolos como una verdadera más complejos, tomandolos como una verdadera guerra por ganar, mediante la permanente guerra por ganar, mediante la permanente investigación.investigación.

la recolección de información a través de la recolección de información a través de diferentes técnicas como reconocimiento, diferentes técnicas como reconocimiento, descubrimiento, footprinting o Google Hacking; descubrimiento, footprinting o Google Hacking; y precisamente, Open Source Intelligence y precisamente, Open Source Intelligence (Inteligencia de fuentes abiertas) se refiere a la (Inteligencia de fuentes abiertas) se refiere a la obtención de información desde fuentes públicas obtención de información desde fuentes públicas y abiertas. y abiertas.

La información recolectada por el atacante, no La información recolectada por el atacante, no es más que la consecuencia de una detallada es más que la consecuencia de una detallada

investigación sobre el objetivo, enfocada a investigación sobre el objetivo, enfocada a obtener toda la información pública obtener toda la información pública

disponible disponible sobre la organización desde recursos sobre la organización desde recursos

públicos. En este aspecto, un atacante públicos. En este aspecto, un atacante gastará más gastará más

del 70% de su tiempo en actividades de del 70% de su tiempo en actividades de reconocimiento y obtención de información reconocimiento y obtención de información por que, cuanto más aprende el atacante por que, cuanto más aprende el atacante

sobre el objetivo, más fácil será llevar a cabo sobre el objetivo, más fácil será llevar a cabo con éxito el ataque. con éxito el ataque.

Generalmente, los atacantes hacen Generalmente, los atacantes hacen inteligencia sobre sus objetivos inteligencia sobre sus objetivos durante varios meses antes de durante varios meses antes de

comenzar las primeras comenzar las primeras interacciones lógicas contra el interacciones lógicas contra el objetivo a través de diferentes objetivo a través de diferentes

herramientas y técnicas como el herramientas y técnicas como el scanning, banner grabbing (captura scanning, banner grabbing (captura

de titulares) y rastreo de los servicios de titulares) y rastreo de los servicios públicos. Aún así, estas actividades públicos. Aún así, estas actividades son sólo sondeos sutiles que buscan son sólo sondeos sutiles que buscan

verificar los datos obtenidos. verificar los datos obtenidos.

No hay límite a la información que un No hay límite a la información que un atacante puede obtener desde atacante puede obtener desde

fuentes públicas abiertas, desde fuentes públicas abiertas, desde dentro, de personas, sistemas dentro, de personas, sistemas

internos, software de servidores, internos, software de servidores, donde, además, cada dato donde, además, cada dato

obtenido puede llevar al obtenido puede llevar al descubrimiento de más información. descubrimiento de más información.

Se debe tener en cuenta que una vez que el Se debe tener en cuenta que una vez que el atacante ha obtenido acceso al sistema, lo atacante ha obtenido acceso al sistema, lo primero que hará es implantar herramientas primero que hará es implantar herramientas que permitan ocultar sus rastros (rootkits) e que permitan ocultar sus rastros (rootkits) e ingresar al equipo cada vez que lo necesite ingresar al equipo cada vez que lo necesite

sin importar desde donde acceda sin importar desde donde acceda (backdoors) (backdoors)

logrando obtener un mayor grado de control logrando obtener un mayor grado de control sobre el objetivo. Además, una intrusión no sobre el objetivo. Además, una intrusión no

autorizada puede ser no detectada casi autorizada puede ser no detectada casi indefinidamente si es llevado a cabo por un indefinidamente si es llevado a cabo por un

atacante con mucha paciencia. atacante con mucha paciencia.

Existen múltiples puntos de acceso y Existen múltiples puntos de acceso y caminos que el atacante puede seguir caminos que el atacante puede seguir

para obtener información y acceso a un para obtener información y acceso a un entorno que se considera seguro. Por lo entorno que se considera seguro. Por lo

tanto, no obviar ninguna de las tanto, no obviar ninguna de las cuestiones relacionadas al ambiente cuestiones relacionadas al ambiente

informático por mínimas que parezcan. informático por mínimas que parezcan.