IDENTIFICACIÓN DE ATAQUES TÉCNICAS DE INTRUSIÓN Los atacantes de red suelen utilizar para realizar sus intrusiones un método formado por las siguientes fases: Recoger información. De sitios Web, de BDs de nombres registrados, de BDs de direcciones IP (RIPE en Europa e Internic en EEUU). Explorar los puertos de direcciones IP. El scanner intenta conectarse a todos los servicios deseados en todas las máquinas que pertenecen a un intervalo de direcciones concreto, el resultado es un listado de máquinas accesibles y puertos abiertos en estas máquinas. La tecnología firewall es una buena contramedida contra esta fase de los ataques. Enumeración de los servicios encontrados. Se trata de encontrar información acerca de los sistemas operativos, fabricantes del software y versión del software. Intrusión Se buscan vulnerabilidades conocidas que no están parcheadas. Vulnerabilidades conocidas se pueden encontrar en sitios Web como securityfocus. com, secunia.com, etc. Las más recientes vulnerabilidades se publican en listas de correo como bugtraq y ntbugtraq. Los scanners de seguridad y analizadores de vulnerabilidades pueden ayudarnos en dicha tarea. Escalada de privilegios. Por ejemplo instalar un script que el administrador ejecute inadvertidamente, por ejemplo regedit.cmd. Saqueo. Robar los hashes de contraseñas, SAM bajo Windows y /etc/shadow bajo Unix. Buscar información interesante, documentos o correos electrónicos que contienen contraseñas. Eliminar posibles trazas. Modificar los logs con herramientas automatizadas. Disimular la intrusión con ayuda de rootkits (un rootkit es un paquete software que sustituye programas del sistema de modo que enmascara la presencia del atacante, similar a virus sigilosos). Creación e instalación de puertas traseras. El keylogger Es un diagnóstico utilizado en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario lo revisa) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos). IDENTIFICACIÓN DE VULNERABILIDADES Barrido de puertos Con esta técnica, el intruso pretende obtener una lista de equipos activos dentro de un rango de direcciones y conocer los puertos abiertos que cada máquina tiene. Los barridos de puertos son una señal inconfundible de que algo esta mal en una red. La detección temprana de que esta sucediendo uno de estos puede ayudar a los administradores a vigilar más de cerca algún punto en particular de la red. Existen varias técnicas de barrido de puertos, pero todas comparten un mismo grupo de información con el cual se puede crear un pequeño y simple algoritmo que rastree los patrones de actividad asociadas al barrido de puertos. Identificación de Firewall Los atacantes utilizan diversos métodos para reconocer la existencia de firewalls en una red: 1 Traceroute. Lista los routers en el camino hasta el destino con lo cual se pueden monitorizar las posibles direcciones IP de algunos firewalls. El campo TTL se decrementa al pasar por cada dispositivo L3, cuando llega a cero se devuelve un mensaje ICMP de TTL expirado. Se puede enviar a un firewall petición de eco ICMP, paquetes UDP o TCP. 2 Análisis del paquete de respuesta. Se trata de comparar las respuestas de puertos abiertos y cerrados. El paquete IP a un puerto cerrado, si da prohibido pone de manifiesto la existencia de un firewall. 3 Exploración de puertos del firewall para intentar identificar el tipo de firewall, versión del sistema operativo, fabricante, etc. EXPLOTACIÓN Y OBTENCIÓN DE ACCESO A SISTEMAS Y REDES Robo de identidad El robo de identidad ocurre cuando alguien usa, sin su autorización, su nombre, número de Seguro Social, número de tarjeta de crédito u otra información personal para cometer fraude u otros delitos. Por todo esto, es muy importante proteger su información personal. Para minimizar la posibilidad de que le roben su identidad Coloque una “alerta de fraude” en sus informes crediticios y revíselos atentamente. Una alerta de fraude le informa a los otorgantes de crédito que sigan ciertos procedimientos antes de abrir cuentas nuevas a su nombre o antes de efectuar cambios en sus cuentas existentes. Vulnerabilidades en el Software Una vulnerabilidad de software se trata de un fallo de diseño de alguno de los programas que pueda haber instalados en el ordenador, que permite que un virus pueda realizar alguna acción maliciosa sin necesidad de que el usuario tenga abrir e-mails infectados, ejecutar archivos sospechosos…, o que abre las puertas de par en par a usuarios maliciosos que quieran introducirse en nuestro equipo. La mejor defensa ante una vulnerabilidad de software es la información. Ésta puede conseguirse visitando periódicamente las webs de los fabricantes de los programas instalados en nuestro equipo y descargando las últimas actualizaciones, o a través de una suscripción a algún boletín sobre seguridad informática. Ataques a Contraseñas Son las diversas técnicas que incluyen cualquier acción dirigida a romper, descifrar o borrar contraseñas o cualquier mecanismo de seguridad de las mismas. En cuanto a seguridad el ataque a contraseña son lo primero porque pone en peligro a todo el sistema. Exige un enfoque a dos niveles: Aplicar herramientas avanzadas para reforzar las contraseñas. Educar a los usuarios en políticas de contraseña básicas. Ataques a redes inalámbricas Ataques pasivos Sniffing El tráfico de redes inalámbricas puede espiarse con mucha más facilidad que en una LAN Basta con disponer de un portátil con una tarjeta inalámbrica El tráfico que no haya sido cifrado, será accesible para el atacante y el cifrado con WEP también Análisis de tráfico El atacante obtiene información por el mero hecho de examinar el tráfico y sus patrones: a qué hora se encienden ciertos equipos, cuánto tráfico envían, durante cuánto tiempo, etc. Ataques activos Suplantación Mediante un sniffer para hacerse con varias direcciones MAC válidas El análisis de tráfico le ayudará a saber a qué horas debe conectarse suplantando a un usuario u otro Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para engañar a usuarios legítimos para que se conecten a este AP en lugar del autorizado Modificación El atacante borra, manipula, añade o reordena los mensajes transmitidos Reactuación Inyectar en la red paquetes interceptados utilizando un sniffer para repetir operaciones que habían sido realizadas por el usuario legítimo Denegación de servicio El atacante puede generar interferencias hasta que se produzcan tantos errores en la transmisión que la velocidad caiga a extremos inaceptables o la red deje de operar en absoluto. Otros ataques: inundar con solicitudes de autenticación, solicitudes de deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar la red, etc.