NetworkSecurity

De Departamento de Informatica
Saltar a: navegación, buscar

Contenido

Como se ataca una red

Malware

Malware proviene del inglés "malicious software", es un tipo de software insertado en un sistema de información para dañar ése u otros sistemas o utilizarlos con otros fines.

Este tipo de software puede acceder de forma remota a un sistema de información, registrar y enviar datos de un sistema a un tercero sin el permiso o conocimiento del usuario, ocultar que el sistema de información haya sido comprometido, deshabilitar medidas de seguridad, dañar el sistema de información o afectar a la integridad de los datos y del sistema. Existen distintos tipos de malware, tales como los virus, gusanos, troyanos, backdoors, keyloggers, rootkits o programas espía. Estos términos hacen referencia a la funcionalidad y comportamiento del malware, por ejemplo, un virus se “autopropaga” y un gusano se “autoreplica”.

Cabe mencionar que malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.


Virus

Los virus son programas que tienen la característica de replicarse y propagarse por si mismo. Su nombre viene del comportamiento de su homólogo: los virus biológicos entran en el organismo e infectan una célula, para alterar su contenido genético y reproducirse; los virus informáticos se introducen en los ordenadores infectando ficheros insertando en ellos su código, y reproduciéndose cada vez que se accede a dichos archivos.

Un virus posee comúnmente las siguientes características:

  • Es Casi siempre un ejecutable
  • Se reproduce a si mismo
  • Es de tamaño pequeño
  • Toma el control o modifica programas (los más agresivos eliminan datos)

Sin embargo por mucho que un Virus mencione que "es capaz de destruir un HardWare" ésta acción es imposible, es sólo un engaño.


Spyware

El Spyware es un programa espía, el cual recopila información de un computador para luego enviarla a una unidad externa de forma encubierta, es decir, sin el conocimiento o el consentimiento del propietario del computador victima.

Hay que aclarar que, aunque evidentemente tienen cierta similitud con los programas Troyanos, los Spyware no dañan el sistema victima. Los efectos que producen el computador afectado es el robo de información privada y, además, de ocupar parte del ancho de banda de red de la victima.

¿Cómo llegan a nuestro sistema?
Normalmente estos archivos vienen acompañando a programas de tipo "Shareware", software de prueba gratuito que trae publicidad. Estos programas suelen ser una oferta tentadora para multitud de usuarios, ya que algunos de ellos son verdaderos buenos programas, útiles y en ocasiones, de los mejores de su categoría.

Generalmente un Spyware se auto instala en el sistema afectado de forma que se ejecuta cada vez que se enciende el computador, funcionando todo el tiempo, interviniendo la navegación por Internet y mostrando anuncios relacionados.


BotNet

Botnet es una colección de software robots, o bots, que se ejecutan de manera autónoma y automática. El Bot Master o dueño de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Para la creación de este tipo de software malicioso normalmente se utilizan lenguajes Orientados a Objetos resultan mucho más cómodos tanto para generar el código como para la auto ejecución.

Usos de la Botnet:

  • Reclutar a otros Clientes bot, por medio de una propagación del archivo cliente.
  • Conducir ataques DDOS.
  • Obtener información personal y Financiera.
  • Sniffing y Spam.
  • Muestran Anuncios Fraudulentos.
  • Instalan anuncios maliciosos para hacer pagos sin permisos del usuario.

¿Cómo infectan a la victima?
Los bots se introducen sigilosamente en el equipo de una persona de muchas maneras.Los bots suelen propagarse por Internet en busca de equipos vulnerables y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin protección, lo infectan rápidamente e informan a su creador. Su objetivo es permanecer ocultos hasta que se les indique que realicen una tarea.

Trojan Horse

El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero, y bien como se mencionan en la épica historia griega, es el comportamiento de un troyano: algo aparentemente inofensivo que genera grandes estragos una vez dentro del pc objetivo

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.

La gran diferencia es que los troyanos no propagan la infección a otros sistemas por sí mismos, puesto que no se comportan como los virus

En el transcurso de los años los troyanos se concibieron como una herramienta para causar el mayor daño posible en el equipo infectado. Pero a medida que fue pasando el tiempo y el INternet se masificó esta tendencia ha cambiado hacia el robo de datos bancarios o información personal.

Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso más emblemático fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canadá.

Los daños que puede causar un Hacker con un troyano instalado en un pc remoto van desde el llenar el disco duro con archivos basura, hasta literalmente borrar por completo un disco duro, y en algunos casos incluso usar el troyano como software espía recopilando datos personales y sacando capturas de pantalla del computador

Lo recomendado para la prevención de ser víctima de troyanos son:

  • Tener un Buen antivirus y actualizado periódicamente
  • Descargar archivos de zonas seguras y confiables
  • no abrir adjuntos de correos electrónicos si no se conoce su procedencia
  • actualizar periódicamente el sistema operativo
  • evitar descargas p2p
  • disponer de un Firewall de buen rendimiento

Tipos de Ataque

DDoS

El ataque distribuido de denegación de servicio viene de las siglas en inglés Distributed Denial of Service. Es una ampliación del ataque DoS (denegación del servicio) el cual es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. En ésta forma se crea un gran flujo de información desde varios puntos de conexión.

La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica.

En ocasiones, esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede así conocer la capacidad real de cada máquina.

Sniffing

Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.

Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.).

El ejemplo fácil de entender es el cómo se comporta el sniffer en una ethernet: un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), abarcando descaradamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino en todas partes: es decir en la red 255.255.255.255

Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.

Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de donde este conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.

IPSpoofing

Se basa en la suplantación de IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada.

el IPSpoofing es usado en un tipo de ataque de flood conocido como Ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico, y además se debe contemplar que el propietario real de la IP podría cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. NO obstante hoy en día los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra puesto que los paquetes suplantados no sobrepasarán el enrutador.

Programas dignos de mención

  • Sistemas operativos con herramientas para Pentest
  • Sniffing
    • Ettercap (recomendado para MITM Attacks)
    • Suite Dnsspoof (Repos de Linux)
  • Wireless Security Testing

Como defendernos

Protección PC/Netbook/Notebook

Para la protección de computadores tenemos:

Firewalls

Un firewall es un software que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra.

Es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.

Para más información Cortafuegos


Antivirus

Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo también su propagación. Tiene capacidad para detectar y eliminar los virus y restaurar los archivos afectados por su infección, aunque esto último depende del estado del archivo infectado.

Podemos generalizar diciendo que los antivirus tienen tres componentes principales:

  • Monitor.
  • Motor de detección.
  • Desinfectador.

Para mayor información visitar Antivirus

Otros

Existen otras formas de protección tales como los AntiSpyware

Protección Wireless LAN

Contraseña Enrutador

WEP

Wired Equivalent Privacy permite el cifrado de la información que se transmite en una red Wireless, se basa en el algoritmo de cifrado RC4. Permite el ponerle "contraseña" a nuestra red inalambrica, sin embargo no es recomendable.

Hoy, este tipo de encriptación es tremendamente vulnerable, con programas como Aircrack (ver mas abajo) es posible obtener la contraseña en solo un par de minutos.

WPA

Wifi Protected Access, nace como respuesta a las vulnerabilidades de WEP. Sistema creado por The Wi-Fi Alliance. Este metodo de protección utiliza un servidor (router) en donde se almacenan las contraseñas y credenciales de conección.

Más informacion: WPA (Wikipedia)

Arquitecturas diseñadas para la protección de ataques

Network Intrusion Detection Systems (NIDS)

En español "Sistema de detección de intrusos en una Red" es un sistema que monitorea constantemente el tráfico que viaja por la red local, detecta anomalías, ataques de denegacion de servicios (DoS), escaneos de puertos; Todo esto en tiempo real.

Arquitectura NIDS

Este sistema no solo vigila el trafico que viene desde afuera de la red, si no que ataques internos también.

Empresas del Rubro

Herramientas personales
Espacios de nombres
Variantes
Acciones
Navegación
Herramientas