Cargando

Profesionales

Tipos de ataques informáticos e intrusos y cómo detectarlos

Como todos sabemos estamos en un mundo rodeado de información que día a día requiere mejores niveles de seguridad, nosotros como administradores y jefes de IT somos los directos responsables de brindar la seguridad para que los datos de nuestra organización, o los nuestros, estén a salvo.

Escrito por Solvetic Seguridad jun 24 2016 09:15

Como todos sabemos estamos en un mundo rodeado de información que día a día requiere mejores niveles de seguridad, nosotros como administradores y jefes de IT somos los directos responsables de brindar la seguridad para que los datos de nuestra organización, o los nuestros, estén a salvo.

 

Quizás nuestra información no sea tan valiosa ni tan importante si se llega a perder o llega a ser robada pero podemos tener información muy especial, como cuentas bancarias, estados de cuenta, información del personal, etc,la cual debe permanecer a “salvo” en nuestros sistemas y no podemos negar que el hacking hoy en día se ha vuelto muy diferente a como era antes, hoy por hoy existen más mecanismos de ataque y diferentes técnicas para dicha actividad.

 

En esta oportunidad hablaremos sobre los intrusos, analizaremos algunas de las formas como los hackers pueden acceder a la información aprovechándose de las vulnerabilidades que pueden existir.

 

Entendemos que el acceso no autorizado al sistema se constituye en un problema de seguridad grave ya que esa persona o software puede extraer información valiosa de nuestra base de datos y posteriormente perjudicar la organización de formas diferentes, cuando hablamos de que un software puede ingresar sin autorización podemos pensar que se trata de un gusano, un troyano o, en general, de un virus.

 

A continuación vamos a centrarnos en estas áreas:

  • 1. Tipos de intrusos
  • 2. Técnicas de intrusión
  • 3. Detección de los intrusos
  • 4. Tipos de ataques

 

1. Tipos de intrusos


Podemos identificar tres (3) tipos de intrusos:

 

Usuario fraudulento
Hace referencia a un usuario que accede de manera ilegal a recursos de la organización o que, teniendo los permisos, hace uso indebido de la información disponible.

 

Suplantador
Es una persona que no tiene nada que ver con los accesos legales en la organización pero que logra llegar hasta el nivel de tomar la identidad de un usuario legitimo para acceder y realizar el daño.

 

Usuario clandestino
Es una persona que puede tomar el control de auditoria del sistema de la organización.

 

Normalmente el suplantador es una persona externa, el usuario fraudulento es interno y el usuario clandestino puede ser externo o interno. Los ataques de los intrusos, sin importar el tipo que sean, pueden ser catalogados como graves o benignos, en el benigno únicamente acceden para ver lo que hay en la red mientras que en los graves se puede robar información y/o modificar dentro de la misma.

 

 

2. Técnicas de intrusión


Como sabemos la forma común de acceder a un sistema es a través de contraseñas y esto es a lo que el intruso apunta, adquirir contraseñas usando diferentes técnicas para así lograr su objetivo de violar los accesos y obtener información. Es recomendable que nuestro archivo de contraseñas esté protegido con alguna de los siguientes métodos:

 

Cifrado unidireccional
Esta opción almacena únicamente una forma cifrada del password del usuario así cuando el usuario ingresa su contraseña el sistema la cifra y la compara con el valor que tiene almacenado y si es idéntica habilita el acceso de lo contrario lo deniega.

 

Control de acceso
Con este método el acceso de contraseñas es muy limitado, solamente a una o unas cuantas cuentas.

 

Los métodos que usan comúnmente los hackers, según algunos análisis son:

  • Probar las palabras del diccionario o listas de posibles contraseñas que están disponibles en páginas de hackers
  • Intentar con los números de teléfono de los usuarios o documentos de identificación
  • Probar con números de placas de automóviles
  • Obtener información personal de los usuarios, entre otras

 

3. Detección de los intrusos


Como administradores debemos analizar las posibles vulnerabilidades que tiene nuestro sistema para evitar dolores de cabeza en el futuro, podemos analizar estas fallas con los siguientes conceptos:
  • Si estudiamos la forma como un intruso puede atacar, esta información nos servirá para reforzar la prevención de la intrusión a nuestro sistema
  • Si detectamos el usuario intruso de manera pronta podemos evitar que ésta persona haga de las suyas en nuestro sistema y así evitar perjuicios.

 

Como administradores podemos analizar el comportamiento de los usuarios dentro de nuestra organización y detectar, con mucho análisis, si presenta algún comportamiento extraño, tal como acceso a través de la intranet a computadores o carpetas que no debe acceder, modificación de archivos, etc. Una de las herramientas que nos servirá mucho en el análisis de los intrusos es el registro de auditoria ya que esta nos permite llevar un control de las actividades realizadas por los usuarios.

 

Podemos usar dos (2) tipos de planes de auditoría:

 

Registros de auditoría específicos para detección
Podemos implementar dichos registros para que sólo nos muestre la información requerida por el sistema de detección de intrusión.

 

Registros nativos de auditoría
Es la herramienta que viene por defecto en los sistemas operativos y almacena toda la actividad de los usuarios, por ejemplo, el visor de eventos de Microsoft Windows.

 

Podemos detectar anomalías basándonos en perfiles, es decir en el comportamiento de los usuarios, para ello podemos echar mano de las siguientes variables:

  • Contador: Es un valor que puede incrementarse mas no disminuirse hasta que sea iniciado por alguna acción
  • Calibre: Es un número que puede aumentar o disminuir, y mide el valor actual de una entidad
  • Intervalo de tiempo: Hace referencia al periodo de tiempo entre dos acontecimientos
  • Uso de recursos: Implica la cantidad de recursos que se consumen en un determinado tiempo

 

Existe otro tipo de detección y es la que está basada en reglas, éstas detectan la intrusión tomando como base los sucesos que ocurren en el sistema y aplica una serie de reglas definidas para identificar si la actividad es sospechosa o no.

 

Algunos de los ejemplos de estas reglas son:

 

Imagen adjunta: tablaSeguridad.jpg

 

Una de las técnicas interesantes para llamar la atención de los intrusos es usar los honeypot, que simplemente son herramientas de seguridad donde se crean sistemas que aparentan ser vulnerables o débiles y en los cuales hay información falsa, pero con una apariencia agradable para el intruso, obviamente a un honeypot no tiene ni tendrá acceso un usuario legítimo de la organización.

 

Como medida de seguridad para prevenir ataques de intrusos sin lugar a dudas está la correcta gestión de las contraseñas, sabemos que una contraseña permite:

  • Brindar o no el acceso a un usuario al sistema
  • Brindar los privilegios que le hayan sido asignados al usuario
  • Ofrecer políticas de seguridad en la empresa

 

En un estudio realizado por una organización en los Estados Unidos, tomando como base tres (3) millones de cuentas se llegó a la conclusión de que los usuarios usan, de manera regular, los siguientes parámetros para sus contraseñas (los cuales no son nada seguros):

  • Nombre de la cuenta
  • Números de identificación
  • Nombres comunes
  • Nombres de lugares
  • Diccionario
  • Nombres de máquinas

 

Es importante que en nuestro rol como administradores, coordinadores o jefes de IT eduquemos a los usuarios de nuestra organización para que sepan cómo establecer una contraseña segura, podemos usar los siguientes métodos:

  • Comprobación reactiva de contraseñas
  • Comprobación proactiva de contraseñas
  • Educación de nuestros usuarios
  • Contraseñas generadas por computador

 

Como vemos, entre todos (Administradores y usuarios) podemos hacer frente a cualquier actividad de los intrusos.

 

 

4. Tipos de ataques


A continuación revisaremos algunos de los tipos de ataques que pueden ser perpetrados en los diferentes sistemas, vamos a realizar este análisis con un enfoque de ethical hacker.

 

Hijacking

Este tipo de ataque consiste en tomar una sección de un dispositivo para comunicarse con otro dispositivo, existen dos (2) tipos de hijacking:
  • Activo: Es cuando se toma una sección del host y se usa para comprometer el objetivo
  • Pasivo: Sucede cuando se toma una sección del dispositivo y se graba todo el tráfico entre los dos dispositivos

 

Contamos con herramientas para el hijacking desde páginas como:

 

¿Cómo nos podemos proteger del hijacking? Podemos usar cualquiera de los siguientes métodos dependiendo del protocolo o de la función, por ejemplo:

  • FTP: Usemos sFTP
  • Conexión remota: Usemos VPN
  • HTTP: Usemos HTTPS
  • Telnet o rlogin: usemos OpenSSH o SSH
  • IP: Usemos IPsec

 

Ataque a un Servidor Web

Los servidores más comunes para implementar servicios web tenemos Apache e IIS. Los intrusos o hackers que pretenden atacar estos servidores deben tener conocimientos por lo menos en tres (3) lenguajes de programación como Html, ASP y PHP. Para cuidar nuestros servidores web podemos usar herramientas, llamadas Brute Force Attack, como las siguientes:
  • Brutus para Windows
  • Hydra para Linux
  • NIX para Linux

 

Los ataques más comunes que encontramos a nivel de servidores web son los siguientes:

  • ScriptAttack
  • Contraseñas en el mismo código
  • Vulnerabilidades en las aplicaciones web
  • Validación de nombre de usuarios

 

Como administradores podemos implementar las siguientes prácticas:

  • Instalar y/o actualizar el antivirus
  • Usar contraseñas complejas
  • Cambiar cuentas por defecto
  • Eliminar códigos de pruebas
  • Actualizar el sistema y service pack
  • Gestionar y monitorear constantemente los logs del sistema

 

Podemos usar la herramienta Acunetix la cual nos permite verificar si nuestra página web es vulnerable a ataques, la podemos descargar desde el link.

 

Backdoors y Troyanos

Muchos de los troyanos se ejecutan en modo de pruebas para verificar la capacidad de respuesta de la organización ante un posible ataque, pero no el 100% son de pruebas internas pero en otras ocasiones son con intenciones malignas por parte de un intruso.

 

Algunos de los troyanos más comunes son:

  • Netbus
  • Prorat
  • Paradise
  • Duckfix
  • Netcat

 

Para prevenir los ataques de troyanos es importante que como administradores realicemos algunas tareas como:

  • Instalar y actualizar un antivirus
  • Ejecutar y activar el Firewall
  • Usar un analizador de troyanos
  • Actualizar los parches del sistema

 

Ataque a redes wireless

Nuestras redes Wireless pueden estar propensas a sufrir ataques por parte de algún intruso, sabemos que las tecnologías modernas de las redes Wireless son la 802.11a, 802.11b, 802.11n y 802.11g, estas van en base a su frecuencia.

 

Para prevenir ataques a nuestras redes Wireless podemos realizar las siguientes tareas:

  • Evitar usar el SSID en blanco
  • Evitar usar el SSID por defecto
  • Usar IPsec para mejorar la seguridad en nuestras IPS
  • Realizar filtros de MAC para evitar direcciones no requeridas

 

Algunas de las herramientas usadas para realizar el Wireless hacking son:

  • Kismet
  • GPSMap
  • NetStumbler
  • AirSnort
  • DStumbler

 

Aunque en nuestra empresa no usemos continuamente las redes Wireless es bueno implementar políticas de seguridad para prevenir ataques a las mismas, sería ideal realizar lo siguiente (en caso de usar sólo Wireless):

  • Deshabilitar el DHCP
  • Actualizar los Firmware
  • Usar seguridad WPA2 y superiores
  • En caso de conexión remota usar VPN

 

Ataques de denegación de servicio (DoS)

Este tipo de ataque tiene como principal objetivo afectar todos los servicios de nuestro sistema, ya sea deteniéndolos, saturándolos, eliminándolos, etc.

 

Podemos prevenir un ataque DoS usando las siguientes actividades:

  • Usar los servicios que realmente necesitamos
  • Deshabilitar la respuesta de ICMP en el Firewall
  • Actualizar el sistema operativo
  • Actualizar nuestro Firewall con la opción de ataques DoS

 

Algunas de las herramientas que podemos encontrar en la red para ataques DoS son:

  • FSM FSMax
  • Some Trouble
  • Jolt 2
  • Blast20
  • Panther2
  • Crazy Pinger, etc.

 

Password Cracking Tools

Otro de los ataques comunes que podemos sufrir en nuestras organizaciones es el ataque a las contraseñas, como ya mencionamos, en ocasiones los password establecidos no son lo suficientemente fuertes, razón por la cual quedamos propensos a que un intruso nos robe la contraseña y pueda acceder a nuestro sistema. Sabemos que la seguridad de nuestras contraseñas están basadas en:
  • Autenticación: Autoriza el acceso al sistema o a las aplicaciones de la empresa
  • Autorización: Si la contraseña ingresada es correcta el sistema lo validará y autorizará el ingreso

 

Los tipos de ataques más comunes que encontramos para robarnos nuestras contraseñas son:

 

Ataques por diccionarios
Son listas de palabras establecidas que se sincronizan y se valida si nuestro password está incluido allí.

 

Ataque por fuerza bruta
Es uno de los ataques más efectivos ya que contiene letras, números y caracteres especiales y van formando combinaciones hasta encontrar la clave correcta

 

Ataques Híbridos
Es una combinación de las dos (2) anteriores.

 

Algunas de las herramientas para hackear contraseñas son:

  • Pwdump3
  • John the Ripper
  • Boson GetPass
  • Elcomsoft

 

Recordemos que si nuestra contraseña o la de algún usuario de la organización llega a ser descubierta por un intruso podemos tener problemas serios, por ello es importante recordar que incluyan la mayoría las siguientes condiciones para nuestras contraseñas:

  • Letras minúsculas
  • Letras mayúsculas
  • Caracteres especiales
  • Números
  • Palabras complejas

 

Recomendamos revisar este tutorial para tener contraseñas completamente seguras.

 

Podemos detectar si estamos siendo víctimas del password cracking revisando los logs del sistema, monitoreando constantemente el tráfico de la red, etc. En la página sectools podremos encontrar diferentes herramientas que nos ayudarán con nuestra labor de monitoreo de la red y sus posibles ataques, la invitación es a conocerla y realizar pruebas.

 

Otra de las páginas que podemos visitar es foundstone la cual pertenece a McAffe y contiene un grupo interesante de herramientas útiles.

 

Falsificación (Spoofing)

En este tipo el atacante se hará pasar por otra entidad, para ello falsificará los datos que se envían en las comunicaciones. Este tipo de ataque se puede dar en distintos protocolos, tenemos el IP spoofing, ARP spoofing, DNS spoofing, DHCP spoofing, etc.

 

A continuación algunos ataques comunes:

  • Non‐Blind Spoofing
  • Blind Spoofing

 

Algunas contramedidas que podemos tomar:

 

Inyección de código

Se basa en la explotación de un error causado por el procesamiento de datos no válidos. Es utilizado por un atacante para introducir o inyectar el código en un programa de ordenador vulnerable y cambiar el curso de la ejecución. Una inyección exitosa puede traer consecuencias desastrosas.

 

Algunos sitios donde podemos armar un ataque de inyección:

  • LDAP
  • XPath
  • Consultas NoSQL
  • HTML

 

Algunas medidas que podemos tomar a la hora de programar:

  • Filtrar las entradas
  • Parametrizar sentencias SQL
  • Escapar variables

 

Como vemos tenemos muchas alternativas para contrarrestar los posibles ataques a nuestra organización por parte de intrusos, de nuestra tarea depende (si es el caso) hacer un análisis detallado y tomar acciones sobre estos temas.

 

Como mencionamos anteriormente, y afortunadamente, no siempre habrá un hacker o intruso interesado en penetrar nuestro sistema y robarnos la información, pero nunca sabemos en el futuro en qué posición estará nuestra organización o nosotros mismos.

Ver Comentarios (4) Escribir comentario