Ataques y contramedidas
Un ataque es cualquier acción que viole la seguridad. Un ataque ocurre cuando una persona o un grupo de personas intentan acceder, modificar o dañar un sistema o entorno, afectando alguno o varios de los principios fundamentales de la seguridad de la información (Confidencialidad, Disponibilidad e Integridad).
A menudo se encuentran dirigidos a explotar alguna debilidad o vulnerabilidad existente en el software o protocolos de comunicación más comúnmente utilizados.
Ataque de acceso: Es un ataque donde alguien quiere acceder a sus recursos. Ataca la privacidad.Ataque de acceso: Es un ataque donde alguien quiere acceder a sus recursos. Ataca la privacidad. AEl reconocimiento también se conoce como recolección de información y, en la mayoría de los casos, precede un ataque de acceso o de DoS. En un ataque de reconocimiento, el intruso malicioso típicamente comienza por llevar a cabo un barrido de ping en la red objetivo para determinar qué direcciones IP están siendo utilizadas. A taque de denegación de servicio: Es un ataque de alguien que quiere interrumpir algún servicio de red. Ataca la disponibilidad.taque de denegación de servicio: Es un ataque de alguien que quiere interrumpir algún servicio de red. Ataca la disponibilidad.
Los motivos: –Por diversión o desafío(script kiddies) –Por venganza –Ideologia(hacktivistas) –Por terrorismo –Económico(hackers de sombrero negro) –Ventaja competitiva –Poder
Factores que Contribuyen a la Ejecución de Ataques: Falta de políticas y/o normativas Falta de supervisión y/o control Ausencia de Planes de Concientización Software desactualizado Errores en el Software Errores de Configuración Errores de Implementación Negligencia Fallas en los procesos de implementación
Fases de un Ataque: Reconocimiento: recopilar toda la información que le seaReconocimiento: recopilar toda la información que le sea posible sobre el objetivo. Escaneo: procederá a analizarla en forma minuciosa a fin de aprender todo lo posible respecto del objetivo, intentando identificar debilidades y vulnerabilidades que puedan ser aprovechadas.Escaneo: procederá a analizarla en forma minuciosa a fin de aprender todo lo posible respecto del objetivo, intentando identificar debilidades y vulnerabilidades que puedan ser aprovechadas. Obtención de Acceso: Luego de estudiada la información e identificadas las posibles vulnerabilidades, el intruso escogerá y ejecutara el ataque más conveniente con el objeto de lograr acceso.Obtención de Acceso: Luego de estudiada la información e identificadas las posibles vulnerabilidades, el intruso escogerá y ejecutara el ataque más conveniente con el objeto de lograr acceso. Mantenimiento de Acceso: Eventualmente, el atacante podría intentar conducir una serie de acciones, a partir de las cuales le sea posible en caso de ser necesario, volver al sistema atacado en forma recurrente.Mantenimiento de Acceso: Eventualmente, el atacante podría intentar conducir una serie de acciones, a partir de las cuales le sea posible en caso de ser necesario, volver al sistema atacado en forma recurrente. Borrado de Huellas: el atacante probablemente intentará abandonar el lugar de los hechos sin dejar rastros que lo liguen con la intrusión, por medio del borrado de sus huellas.Borrado de Huellas: el atacante probablemente intentará abandonar el lugar de los hechos sin dejar rastros que lo liguen con la intrusión, por medio del borrado de sus huellas.
Fases de un Ataque:
Reconocimiento – Investigación: Consultas en buscadores o herramientas como nslookup o whois. Restringir la información que se difundirá, Escaneo: Herramientas como Nmap, Network Mapping Tools, Nessus, etc. Filtrado de puertos, la eliminación en el sistema de los servicios innecesarios, la implementación de sistemas de IDS e IPS. Obtención de Acceso – Penetración: Explotación de vulnerabilidades, Debilidad de contraseñas, Servicios mal configurados, Decepción o engaño. Actualización constante del software instalado, Ejecución periódica de análisis de vulnerabilidades, Implementación de HIDSs+, NIDSs e IPSs Mantenimiento de Acceso - Extensión de la Influencia: backdoors, RootKits y/o troyanos. filtrado de paquetes, los sistemas HIDSs, NIDSs, IPSs, y el control periódico de los archivos de log. Borrado u Ocultamiento de Huellas: Borrado de archivos de auditoría o logs. Imágenes limpias
Efectos de un Ataque Interceptación: suele producirse cuando un usuario NO autorizado, obtiene acceso a información para la cual no posee acceso formal. El objetivo último de un ataque de interceptación, es el de ganar acceso a información para la cual el atacante no se encuentra autorizado. Sniffing o Eavesdropping. Modificación: Modificar el flujo de datos en una comunicación o editar el contenido de un archivo en un servidor. El objetivo último de todo ataque de modificación es realizar cambios sobre el entorno. Incluye eliminación, inserción o alteración de información. Man-in-the-middle, Manipulación de datos (Tampering) Interrupción: consiste en afectar, dañar o dejar sin funcionamiento un sistema completo o parte de éste. Para un atacante, puede ser un desafío, una venganza o la forma de facilitarle el acceso a algún otro recurso. DoS, DDoS. Falsificación: el objetivo es hacer creer a un sistema o dispositivo de la veracidad de los mismos, a fin de que este ejecute alguna acción que pueda ser aprovechada por el atacante, o simplemente a escenarios donde una persona participe de una conversación simulando ser otro. Spoofing.
Ataques Activos: aquellos en los cuales el atacante intenta causar daño o afectar de algún modo determinado, a una red o sistema mediante algún tipo de participación activa. DoS (Denial of Service) / DDoS (Distributed Denial of Service) Buffer Overflows SYN Attacks IP spoofing
Los ataques de DoS (Denial of Service - Denegación de Servicio): Apuntan exclusivamente a afectar en forma negativa, el funcionamiento de un servicio ofrecido por algún sistema o dispositivo de red, ya sea disminuyendo su capacidad operativa o anulándolo de modo permanentemente. Estos ataques generalmente son apuntados hacia un servidor o grupo de servidores específico, pero también pueden ser ejecutados contra aplicaciones web, routers, switches, hosts específicos, o contra la infraestructura de toda una red. Por explotación de errores de aplicaciones: Se envían paquetes malformados que generan una caída de la aplicación. Por mensajes de control: Se envían paquetes con mensajes de control para que los dispositivos interrumpan la operación de la red. Por inundación (flooding): Consumen los recursos con una gran cantidad de paquetes
Contramedidas: Actualización de software. Filtrado de paquetes Sistemas de detección y prevención de intrusos
DDoS o Denegación de Servicio Distribuida: Utiliza múltiples computadoras para atacar a una sola entidad. El programa de ataque permanece latente en las computadoras hasta que reciben una señal del usuario malicioso (no necesariamente el mismo que haya instalado el software de ataque en los hosts). Esta señal, le indica a todos los hosts (comúnmente llamados zombis) en forma simultánea que deben comenzar el ataque hacia un destino determinado. Contramedidas: Definir el número máximo de conexiones, o la capacidad máxima que puede consumir en el host.
Buffer Overflow: Puede ocasionar negaciones de servicio o habilitar que determinado código no autorizado se ejecute en modo privilegiado. Se produce cuando un programa, producto de su codificación, es poco estricto en la gestión de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operación. Contramedidas: Utilización de prácticas de programación segura, el reemplazo de funciones inseguras.
Spoofing: Todo aquel tipo de ataques en el cual son utilizadas técnicas de suplantación de identidad. Desde el punto de vista del atacante, el spoofing suele ser utilizado básicamente para proveer información falsa acerca de su identidad, con el fin de ganar acceso no autorizado a un sistema, o tan solo para pretender ser algo que no es. Uno de los ataques de spoofing o suplantación más conocidos, sin dudas sea aquel relacionado con falsos programas de logon. En este escenario, un atacante desarrolla un programa de logon (fake logon) que se ve exactamente igual que el original y lo ejecuta en el equipo de la víctima.
Spoofing: IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. ARP SPOOFING: Suplantación por falsificación de tabla ARP. Se encuentra relacionado con la construcción de tramas de solicitud y respuesta ARP modificadas, a fin de falsear la tabla ARP de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. DNS SPOOFING: Suplantación por nombre de dominio. Se trata de falsear la relación "Nombre de dominio-IP" ante una consulta de resolución de nombre. MAIL SPOOFING: Suplantación de la dirección de otras personas o entidades. Dicha técnica suele ser utilizada con frecuencia en el envío de hoax y spam, como así también como suplemento perfecto para el uso de phising.
Contramedidas: Utilización de algún método confiable a la hora de autenticar los extremos de una comunicación, asegurando que cada uno de los extremos de dicha comunicación es quien dice ser.
Ingeniería Social Estas técnicas o habilidades, incluyen generalmente un engaño o parcialización de la verdad con el objetivo de obtener la confianza de la persona con los conocimientos a obtener. Una vez que se ha obtenido la confianza de la persona, se procede a obtener la información considerada importante. La ingeniería social se da muchas veces vía telefónica, correo electrónico o a través de sesiones de chat, donde la verdadera personalidad del atacante queda oculta. Contramedidas: la educación de los usuarios de la red y la implementación de planes efectivos de concientización.