PDF de programación - Ataques informáticos - Debilidades de seguridad comúnmente explotadas

Ataques informáticos


Debilidades de seguridad comúnmente explotadas



Autor: Jorge Mieres
E-Mail: jorge.mieres.ef#gmail.com
www.evilfingers.com (enero de 2009)


White paper





Contenido



3. Introducción
4. ¿De qué estamos hablando?
5. Anatomía de un ataque informático
7. Aspectos de seguridad que compromete un ataque
8. Debilidades de seguridad comúnmente explotadas



16. Palabras finales
17. Bibliografía

8. Ingeniería Social
9. Factor Insiders
10. Códigos maliciosos
11. Contraseñas
12. Configuraciones predeterminadas
13. OSINT (Open Source Intelligence)



Debilidades de seguridad comúnmente explotadas

2

Introducción


A lo largo del tiempo, el avance de los medios tecnológicos y de comunicación ha provocado
el surgimiento de nuevos vectores de ataques y de nuevas modalidades delictivas que han
transformado a Internet y las tecnologías informáticas en aspectos sumamente hostiles para
cualquier tipo de organización, y persona, que tenga equipos conectados a la World Wide
Web.

A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el
campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar
mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a
nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su
funcionamiento como herramientas para delinquir y obtener algún beneficio económico.

Cada día se descubren nuevos puntos débiles y, por lo general, son pocos los responsables
de IT que comprenden en su justa medida la importancia que tiene la seguridad y cómo
pueden abordar el grave problema que existe detrás de vulnerabilidades que permiten a un
atacante, violar la seguridad de un entorno y cometer delitos en función de los datos
robados.

Bajo esta escenografía donde los principales actores son las organizaciones de cualquier
magnitud y rubro, los sistemas de información, el dinero y delincuentes informáticos; se torna
realmente necesario y fundamental idear estrategias de seguridad que permitan establecer
barreras defensivas orientadas a mitigar efectivamente ataques tanto externos como
internos.

Pero para lograr mitigar de manera eficaz el impacto provocado por los ataques informáticos,
es de capital importancia conocer de qué manera atacan y cuáles son los puntos débiles de
un sistema comúnmente explotados en los que se deben enfocar los esfuerzos de seguridad
tendientes a la prevención de los mismos.

En consecuencia, el presente documento pretende ofrecer una rápida visión sobre las
debilidades comúnmente explotadas por atacantes para traspasar los esquemas de
seguridad en los sistemas informáticos, junto a posibles contramedidas bajo las cuales es
posible ampararse para prevenir de manera efectiva los diferentes tipos de ataques que
diariamente recibe un sistema.



Debilidades de seguridad comúnmente explotadas

3

¿De qué estamos hablando?


Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el
software, en el hardware, e incluso, en las personas que forman parte de un ambiente
informático; a fin de obtener un beneficio, por lo general de índole económico, causando un
efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos
de la organización.

Para minimizar el impacto negativo provocado por ataques, existen procedimientos y
mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen
notablemente el campo de acción de los ataques.

Uno de los pasos más importantes en seguridad, es la educación. Comprender cuáles son
las debilidades más comunes que pueden ser aprovechadas y cuáles son sus riesgos
asociados, permitirá conocer de qué manera se ataca un sistema informático ayudando a
identificar las debilidades y riesgos para luego desplegar de manera inteligente estrategias
de seguridad efectivas.



Debilidades de seguridad comúnmente explotadas

4

Anatomía de un ataque informático


Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de
aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la
perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para
comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

La siguiente imagen1 muestra las cinco etapas por las cuales suele pasar un ataque
informático al momento de ser ejecutado:


Figura 1. Fases comunes de un ataque informático



Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede ser una
persona u organización.

Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google,
entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en
este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.

Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida
en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima
como direcciones IP, nombres de host, datos de autenticación, entre otros.

Entre las herramientas que un atacante puede emplear durante la exploración se encuentra
el network mappers, port mappers, network scanners, port scanners, y vulnerability
scanners.



1 Official Certified Ethical Hacker Review Guide.

Debilidades de seguridad comúnmente explotadas

5

Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el
ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración.

Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de
Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session
hijacking.

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el
futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a
utilidades backdoors, rootkits y troyanos.

Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la
intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la
red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema
de Detección de Intrusos (IDS).


“Si utilizas al enemigo para derrotar al enemigo, serás poderoso en
cualquier lugar a donde vayas.” 2



2 Sun Tzu, El arte de la guerra.

Debilidades de seguridad comúnmente explotadas

6

Aspectos de seguridad que compromete un
ataque


La seguridad consta de tres elementos fundamentales que forman parte de los objetivos que
intentan comprometer los atacantes. Estos elementos son la confidencialidad, la integridad y
la disponibilidad de los recursos.

Bajo esta perspectiva, el atacante intentará explotar las vulnerabilidades de un sistema o de
una red para encontrar una o más debilidades en alguno de los tres elementos de seguridad.

Para que, conceptualmente hablando, quede más claro de qué manera se compromete cada
uno de estos elementos en alguna fase del ataque, tomemos como ejemplo los siguientes
casos hipotéticos según el elemento que afecte.

Confidencialidad. Un atacante podría robar información sensible como contraseñas u otro
tipo de datos que viajan en texto claro a través de redes confiables, atentando contra la
confidencialidad al permitir que otra persona, que no es el destinatario, tenga acceso a los
datos. Un ejemplo que compromete este elemento es el envenenamiento de la tabla ARP
(ARP Poisoning).

Integridad. Mientras la información se transmite a través del protocolo de comunicación, un
atacante podría interceptar el mensaje y realizar cambios en determinados bits del texto
cifrado con la intención de alterar los datos del criptograma. Este tipo de ataques se
denomina Bit-Flipping y son considerados ataques contra la integridad de la información.

El ataque no se lleva a cabo de manera directa contra el sistema de cifrado pero sí en contra
de un mensaje o de una serie de mensajes cifrados. En el extremo, esto puede convertirse
en un ataque de denegación de servicio contra todos los mensajes en un canal que utiliza
cifrado.

Disponibilidad. En este caso, un atacante podría utilizar los recursos de la organización,
como el ancho de banda de la conexión DSL para inundar de mensaje el sistema víctima y
forzar la caída del mismo, negando así los recursos y servicios a los usuarios legítimos del
sistema. Esto se conoce como Denial of Service (DoS) y atenta directamente contra la
integridad de la información.