Está en la página 1de 79

Una de las formas mas elegantes de expresar la idea de seguridad

informtica sea la siguiente: un conjunto de medidas de prevencin,


deteccin y correccin orientadas a proteger la confidencialidad, la
integridad y la disponibilidad de los recursos informticos
En los ltimos aos, la vigencia de los temas referidos a la seguridad
informtica comenz a extenderse a otras reas, tal es as, que trascendi las
fronteras de la informtica misma a un nuevo concepto de seguridad de la
informacin.
Esto se basa en que la informacin va mucho mas all de la netamente
procesada por los equipos informticos y sistemas, es decir, tambin abarca
aquellos que pensamos, que esta escrito en un papel

La palabra hacker, en informtica se utiliza para referirse a un


gran experto en algn rea de dominio. Si bien lo relacionamos
mas con los conocimientos tcnicos e informticos.
En el mundo profesional de la seguridad informtica, el termino
hacker se considera un titulo de honor, que solo es otorgado
por la propia comunidad a personajes que contribuyen de
manera notable a su desarrollo
Es bueno mencionar que los hackers no son piratas
informticos, ni cometen delitos a pesar de lo que
contrariamente se cree a veces

En un sentido mas filosfico, el hacker tiende a promover


una conciencia colectiva de la libertad de conocimiento
y justicia social

El termino cracker proviene del vocablo ingles crack


(romper). Aplicado a la informtica podemos decir que es
alguien que viola la seguridad de un sistema de forma
similar que un hacker, solo que ilegalmente y con otros
fines.
Tambin se aplica especficamente al software:
denotando a aquellas personas que utilizan la ingeniera
inversa sobre este, con el objetivo de desprotegerlo,
modificar
su
comportamiento
o
ampliar
sus
funcionalidades originales

Ethical hacker (hacker tico ), son profesionales de la


seguridad de la informacin que utilizan sus conocimientos
de hacking con fines defensivos.
La funcin del Ethical hacking ser: determinar lo que un
intruso puede hacer sobre un sistema y la informacin y
velar por su proteccin
PERFIL DE CONOCIMIENTOS
Un Ethical hacker ser, seguramente, un experto en
informtica y sistemas, tendr certeros conocimientos
sobre los sistemas operativos, hardware, electrnica,
redes, telecomunicaciones y programacin en lenguajes
de alto y bajo nivel

Adems entender sobre problemas relacionados con la


seguridad, en temticas tales como la criptografa, los
sistemas de control de acceso, las aplicaciones, la
seguridad fsica y la seguridad administrativa.
Un Ethical hacker seguir un estricto cdigo de conducta,
dado que de eso se trata la primera parte del concepto

Como es de suponer, no todos los ataques son de la


misma naturaleza. En esta seccin veremos los ataques al
sistema operativo, a las aplicaciones, a las
configuraciones y a los protocolos

Los ataques al sistema operativo constituyen un clsico a


la seguridad. Desde esta perspectiva, la bsqueda de
fallas se realiza a lo concerniente al propio sistema base
de todo el resto del software, de tal forma que muchas
veces, independientemente de lo que se encuentre por
encima, se podr explotar y tomar el control del sistema.
En esta ultima instancia, este es el objetivo mximo que
aspira un atacante.
As tendremos dos lneas principales, que por supuesto
sern los sistemas del tipo WINDOWS y los sistemas del tipo
LINUX y sus derivados de UNIX

En el caso de los primeros, desde su origen fueron objeto


de ataque dada su masificacin y relativa simplicidad
conque se pudo acceder al ncleo del sistema, incluso sin
contar con su cdigo fuente.
Para el caso de LINUX, la situacin es tal vez peor, ya que
al poseer el cdigo fuente es posible detectar problemas
tambin a nivel de cdigo

Un error en el sistema base, hace que todo el resto


tiemble . Si imaginamos por un momento un error en la
librera del sistema(cualquier sistema operativo) que es
utilizado por incontables aplicaciones, este fallo radical
afectara directamente a todo programa que haga uso
de dicha librera.
Los ataques al sistema operativo tambin incluyen las
implementaciones de cierta tecnologa de cifrado.
Estos ataques que podrn ser locales o remotos, sern
entonces una pieza clave en la bsqueda de errores para
el intento o acceso a un sistema de red.

Aqu, la variedad es mayor. Existen miles y miles de piezas


de software y programas de todo tipo y tamao,
disponibles en el mundo. Por supuesto, entre tantos
millones
de
lneas
de
cdigo,
se
producen
necesariamente errores.
Para los ataques a las aplicaciones, tambin se tendr en
cuenta lo masivo del uso. Esto implica que un programa
manejado por millones de personas para leer archivos del
tipo PDF ser mejor objetivo que uno que usan pocos para
editar cierto tipo de archivos especficos de un formato
menos conocido y utilizado.

Las aplicaciones amplan, entonces, la superficie de


ataque de un sistema, por lo que se recomienda siempre
evitar la instalacin de aplicaciones que no se requieran, y
seguir el principio de seguridad que sugiere el
minimalismo.
La idea de atacar la implementacin de algo en lugar del
software en s mismo, tambin aplica para este caso.
Muchos son los programas que realizan las mismas
funciones, solo que algunos podran hacerlo de forma tal
que pudieran encontrarse fallos en dicha operatoria, y se
comprometiera as el software, y con ste el sistema
completo.

El caso de las configuraciones, ya sean del sistema


operativo o de las aplicaciones, tambin constituyen un
punto sensible, dado que por ms seguro que sea un
software, una mala configuracin puede tornarlo tan
maleable como un papel. Pensemos en un ejemplo muy
elemental como sera un antivirus: la configuracin
deficiente podra hacer que cumpla de manera poco
efectiva su funcin y provoque que una buena
herramienta termine por traducirse en una mala solucin,
por ende, en una brecha de seguridad.

Un atacante aprovechar las configuraciones estndares


de muchas aplicaciones, equipos informticos, dispositivos
de red, etctera para utilizarlos como va de entrada.
Un sistema bien configurado es mucho menos susceptible
de ser vulnerado que uno que no lo est, sin duda.

Otro gran problema al que podemos enfrentarnos es que


se encuentren errores en protocolos. Esto implica que, sin
importar la implementacin, el sistema operativo, ni la
configuracin, algo que se componga de dicho
protocolo podr ser afectado.

El ejemplo ms clsico de todos es tal vez el del


Transmission Control Protocol/ Internet Protocol (TCP/IP).
El problema aqu es que en su momento, a principios de
los aos 70, su diseo no obedeca a aspectos de
seguridad, por determinados motivos propios de su

objetivo de utilizacin, y con toda razn.

Dado que existen centenares de protocolos, mayormente


para ser utilizados en redes de telecomunicaciones, hay a
la vez muchas posibilidades de encontrar fallos.
El problema ms grave es que un error en el diseo de un
protocolo
implica
situaciones
potencialmente
incorregibles, y deben realizarse modificaciones a distintos
niveles para lograr resolverlo, incluso, a veces, su variacin
total o parcial, o su reemplazo por otro ms seguro.

Dentro de esta rama de errores, tambin incluimos los


protocolos y algoritmos criptogrficos, que como veremos,
tienen un alto nivel de complejidad y pueden producir
huecos de seguridad realmente muy grandes, dada la
funcin justamente de proteccin para la que son
utilizados.

Las amenazas son hechos que pueden producir dao y


causar prdidas de activos. Existe la posibilidad de que
ocurran en cualquier momento. Se pueden dividir en:
Naturales: condiciones de la naturaleza y la intemperie
(fuego, inundacin, terremoto, etctera). Normalmente,
se recurre al pronstico del clima para conocer estos
avisos, ya que la probabilidad est estudiada.
Humanas: relacionadas con daos cometidos por las
personas. Pueden ser intencionales (con intencin de
dao deliberado, como vandalismo, fraudes, sabotajes,
espionaje, etctera) o no intencionales (resultantes de
acciones inconscientes).

AMENAZAS EN ENTORNOS WEB


EL MODELADO DE LAS AMENAZAS

Esta es una tcnica para la identificacin de las


amenazas, ataques, vulnerabilidades y contramedidas
que pueden existir en una aplicacin. El proceso es
llamado threat modeling y es necesario para calcular la
probabilidad y el impacto de las violaciones de seguridad.
Un modelo de amenazas realiza una evaluacin y
clasificacin de las posibles amenazas, y propone
tcnicas de defensa.

El mtodo usado para determinar el riesgo no es tan


importante como el hecho de hacerlo de forma
estructurada, y de all la necesidad de adoptar algn
modelo.
Uno de los ms conocidos es el de Microsoft, que
propone: identificar los objetivos de seguridad, armar una
descripcin general de la aplicacin, separar los
componentes, identificar las amenazas, e identificar y
documentar las vulnerabilidades. El modelo incluye los
esquemas llamados STRIDE y DREAD. STRIDE es una
representacin de las posibles amenazas consideradas
para una aplicacin, y consiste en el siguiente acrnimo:

Spoofing identity (suplantacin de identidad).


Tampering (falsificacin).

Repudiation (repudio).
Information disclosure (revelacin de informacin).
Denial of service (denegacin de servicio).
Elevation of privilege (escalada de privilegios).

DREAD, por su parte, es un esquema que permite


priorizar las acciones para mitigar el riesgo, el cual se
puede cuantificar al multiplicar la probabilidad de que
la amenaza se produzca por el dao potencial (Riesgo
= Probabilidad x Dao potencial). El acrnimo significa
Damage potential (dao potencial).
Reproducibility (reproducibilidad).

Exploitability (explotabilidad).
Affected users (usuarios afectados).
Discoverability (descubrimiento).

Los ataques asociados a entornos web estn relacionados


con una gran superficie de ataque y diversas maneras de
encarar un plan de reconocimiento, anlisis y
penetracin. Esto se debe a que son muchos los
componentes implicados en el universo web, desde las
bases de datos, los distintos lenguajes y tecnologas, los
propios servidores web y otros componentes.

La recopilacin de informacin se basa principalmente en


la identificacin del servidor y la aplicacin web, y utiliza
tcnicas conocidas de identificacin TCP/IP, pero
orientadas al nivel de aplicacin.
Se intenta crear un perfil del objetivo, configuraciones y
arquitectura de red, analizando distintos elementos, como
los resultados de respuestas y cabeceras HTTP, archivos de
extensiones conocidas, cookies, pginas por defecto y de
error, estructuras y convenciones de directorio, interfaces
de administracin, etctera.
se desarrolla un escenario de ataque especfico. La
exactitud
es
fundamental
ya
que
muchas
vulnerabilidades son dependientes de un software y
versin especficos, por lo que un servidor o aplicacin
web que se identifica de manera obvia,

La inyeccin de cdigo implica la explotacin de una


vulnerabilidad causada por el procesamiento de datos no
vlidos, y puede ser utilizada para cambiar un
comportamiento o flujo de ejecucin.
Para realizar estos ataques, es comn emplear un proxy
local que capture las transacciones entre el navegador y
el servidor web, para que puedan ser manipuladas antes
de salir del sistema, lo cual saltea la proteccin de una
interfaz bien diseada que limite el ingreso de datos de
usuario.
Como proteccin, se deben usar mtodos seguros de
entrada y salida de datos (sin olvidar las validaciones),
evitar caracteres peligrosos, codificar los datos y utilizar
buenas prcticas de programacin.

Tcnicas de ataque

Las tcnicas que veremos a continuacin son: la escucha


de protocolos o sniffing, impersonalizacin o spoofing,
envenenamiento o poisoning

Introduccin
comenzaremos por definir alguno conceptos clave de la
seguridad informtica analizaremos, brevemente, distintos
tipos de anlisis de seguridad.
nos centraremos en el Penetration Testing y veremos sus
distintas fases: reconocimiento, escaneo, enumeracin,
acceso y, finalmente, mantenimiento del acceso.

un conjunto de medidas de prevencin, deteccin y


correccin orientadas a proteger la confidencialidad, la
integridad y la disponibilidad de los recursos informticos

Hablamos de confidencialidad cuando nos referimos a


la caracterstica que asegura que los usuarios (sean
personas, procesos, etctera) no tengan acceso a los
datos a menos que estn autorizados para ello. Por otro
lado, la integridad nos indica que toda modificacin de
la informacin solo es realizada por usuarios autorizados,
por medio de procesos autorizados. La disponibilidad
garantiza que los recursos del sistema y la informacin
estn disponibles nicamente para usuarios autorizados
en el momento que los necesiten.

El objetivo de la seguridad informtica es fortalecer una o


varias de las caractersticas de seguridad mencionadas,
mitigando de esta forma los efectos producidos por las
amenazas y las vulnerabilidades. El riesgo de sufrir un
incidente de seguridad nunca lo vamos a poder eliminar
por completo, pero s vamos a reducirlo a un nivel
tolerable por nuestra organizacin

Un VA (Vulnerability Assessment) es un anlisis de puntos


dbiles o vulnerabilidades de carcter tcnico realizado
a un sistema, el cual no necesariamente tiene que estar
relacionado con los sistemas informticos o de
telecomunicaciones.
En trminos generales, estas evaluaciones buscan
determinar las amenazas, agentes de amenaza y
vulnerabilidades a las que est expuesto el sistema.

FASE DE RECONOCIMIENTO
En primera instancia, podremos categorizarlo en funcin de los datos disponibles y
los alcances de .Penetration Testing la evaluacin. As, tendremos los anlisis tipo
White box y Black box.
En el primero de los casos, el tester tiene a su disposicin informacin sobre la
infraestructura de la empresa y la profundidad del anlisis est pactada de
antemano.
Esta fase es la que ms tiempo insume dentro de la planificacin. Lo que se busca
en primera instancia es definir al objetivo y, a partir de ello, obtener la mayor
cantidad de informacin sobre l. Para el caso de personas fsicas, ejemplos de
recopilacin de informacin seran direcciones de e-mail, direcciones fsicas,
informacin personal, etctera. En el mbito corporativo, adems se buscarn
direcciones IP, resolucin

Resolucin de nombres DNS, etctera. En esta parte, denominada gathering


information,

FASE DE ESCANEO

En esta fase, utilizaremos la informacin previa con el


objetivo de detectar vectores de ataque en la
infraestructura de la organizacin. En primer lugar,
comenzaremos con el escaneo de puertos y servicios
del objetivo Determinamos qu puertos se encuentran
abiertos, y luego, asociamos el puerto a un servicio
dado. Una vez que hemos finalizado con esto, llega el
turno del escaneo de vulnerabilidades. ste nos
permitir encontrar vulnerabilidades en el o los equipos
objetivo, tanto del sistema operativo como de las
aplicaciones.

FASE DE ENUMERACIN
El objetivo de esta fase es obtener informacin relativa a
los usuarios, nombres de equipos, recursos y servicios de
red. Para esto, se generan conexiones activas con los
sistemas y se realizan consultas directas para obtener la
informacin.
FASE DE ACCESO
Una vez detectadas las vulnerabilidades, el gran paso es
el ingreso al sistema definido como objetivo. Si esto se
realiza en el marco de una simulacin o de un penetration
test hecho por profesionales, no se suele tomar control
sobre el sistema sino detectar las vulnerabilidades y
proponer soluciones.

FASE DE MANTENIMIENTO DEL ACCESO


Una vez obtenido el acceso, lo que realmente se desea es
mantener al equipo comprometido entre las filas del
atacante. Para esto, hay que buscar la manera de que el
acceso ganado sea perdurable en el tiempo. En la
mayora de los casos, esto se logra a partir de la
instalacin y la ejecucin de diversos tipos de software
malicioso. Si bien el comportamiento va a cambiar
dependiendo del tipo de software, el resultado siempre es
el mismo: el atacante podr retomar el acceso al equipo
comprometido cada vez que lo desee.

Si eres capaz de una gran adaptacin, puedes atravesar este territorio. (Sun
Tzu, El arte de la guerra. Siglo V a. C.)

Tcnicas de ataque
En todos los rdenes de la vida, para destruir un objeto, por ejemplo un edificio,
necesitamos un tiempo relativamente corto y una serie de recursos limitados a
nuestra disposicin. En cambio, la labor de construir implica contar con mucho
ms tiempo, dedicacin, esfuerzo y recursos. De hecho, es mucho ms
costoso, en todos los sentidos, construir un edificio desde cero que derribarlo.
En el caso de las tecnologas de la informacin, la situacin es similar. A partir
de lo que hemos visto, sabemos que, dependiendo de la tica personal, se
puede estar de un bando o del otro. Aquellos que nos dedicamos a proteger
la informacin y sus activos, durante mucho tiempo hemos implementado la
seguridad en forma reactiva. Es decir, los controles de seguridad se
implementaban al momento de resolver un incidente. Debido a la evolucin
de la actividad, cada vez con mayor frecuencia nos encontramos con
organizaciones que estn comenzando a implementar la seguridad de
manera proactiva la cual solo es posible a partir de la implementacin de un
Sistema de Gestin de Seguridad de la Informacin.

Envenenamiento de la red: poisoning


La tcnica de poisoning o envenenamiento consiste en redireccionar el trfico
de usuarios lcitos a sitios usualmente controlados por un atacante. Esta tcnica
suele implementarse a partir de la manipulacin de los protocolos ARP y DNS.
El ARP poisoning, tambin conocido como ARP spoofing, consiste en generar
peticiones y respuestas ARP modificadas con el objetivo de asociar la direccin
MAC del atacante con la direccin IP del gateway. De este modo, todo el
trfico de ese segmento pasar primero por el atacante, que podr analizarlo
y redirigirlo luego hacia el destino final.
Un modo de protegerse frente al ARP spoofing es utilizando tablas ARP
estticas. Si bien esto previene la implementacin de esta tcnica, puede
tornar dificultosa y compleja la administracin de entornos grandes. Un mtodo
alternativo se basa en usar aplicaciones para deteccin de cambios de las
tablas ARP (arpwatch, por ejemplo) e implementar el uso de la seguridad de
puerto que poseen algunos switches para evitar cambios en las direcciones
MAC.

Manual de la herramienta arpwatch,


utilizada para detectar
cambios en la asociacin entre
direcciones MAC e IP.

Por otro lado, tal como hemos mencionamos, otro de los protocolos que, por sus
particularidades, suele ser blanco de ataques de estas caractersticas es el DNS. La tcnica de
DNS cache poisoning consiste en hacer de manera maliciosa que un servidor DNS reciba
datos de una fuente no autoritativa, de manera tal de contaminar su tabla cach.
As, si un atacante puede controlar dicha tabla, podr modificar la relacin entre la direccin
IP y la URL asociada, haciendo que cuando un cliente lcito quiera acceder a un sitio web, en
realidad acceda a otro controlado por el atacante. Por ejemplo, supongamos que el sitio web
al que deseamos acceder es www.facebook.com, y la direccin IP asociada es la
98.129.229.166. Mediante la modificacin de su cach, podramos hacer que, cuando un
usuario acceda a www.facebook.com, en vez de dirigirse a la IP 98.129.229.166, termine
accediendo a otra IP controlada por el atacante.

En esta nueva direccin IP, el atacante podra tener levantado un servidor web malicioso de
similares caractersticas. Este ataque puede deberse a fallas en la implementacin de los
sistemas, vulnerabilidades en la aplicacin DNS, falta de configuracin del servidor y
escenarios perniciosamente diseados que explotan la arquitectura de un DNS. Una vez que
un servidor DNS ha recibido datos maliciosos y los almacena temporalmente para futuros
incrementos de desempeo, es considerado envenenado, y extiende el efecto a los clientes
del servidor.

Anlisis de protocolos: sniffing


Un sniffer o analizador de protocolos es una aplicacin utilizada para
monitorear y analizar el trfico en la red. Permite capturar el trfico y
examinarlo en funcin de los protocolos soportados, aplicando distintos tipos
de filtros. Originalmente, fue desarrollado para detectar errores y problemas de
diseo en la implementacin de distintos tipos de redes.
Con este tipo de aplicaciones es posible capturar datos y visualizarlos cuando
son transmitidos en texto plano. Por lo tanto, cualquier protocolo que enve los
datos sin cifrar es susceptible de ser analizado por un sniffer. Dentro de estos
protocolos tenemos ejemplos como HTTP, SMTP, POP3, IMAP, Telnet, FTP,
etctera.
Para capturar el trfico, el sniffer configura la placa de red en un estado
conocido como modo promiscuo, en el cual, en la capa de enlace de datos
del modelo OSI, se conservan las tramas no destinadas a la direccin MAC de
dicha placa. De esta manera, se puede capturar todo el trfico que pasa por
cualquier dispositivo conectado a ese segmento de la red.

El uso de un switch dentro de una red sera


una limitacin, ya que, en este caso,
aunque la placa de red est en modo
promiscuo, el switch es el que reenva los
paquetes al destino que corresponde
nicamente. De todas formas, aplicando la
tcnica de ARP poisoning, esta limitacin
puede sortearse con relativa facilidad.
De manera anloga a la etapa de
recopilacin de informacin, en el caso de
la captura de trfico tambin podemos
diferenciar las tcnicas de sniffing pasivas y
sniffing activas.

Winpcap es la herramienta que los sniffers utilizan


para acceder a la capa de enlace en entornos
Windows.

En el primero de los casos, tambin conocido como eavesdropping (aunque, en rigor de


verdad, esta tcnica no est acotada a la captura de datos dentro de una red), el
sniffer solo se limita a escuchar el trfico que circula por determinado segmento o
contexto, sin interactuar de manera alguna.
En cambio, los sniffers activos, adems de capturar trfico, tambin pueden enviar
paquetes especialmente creados. Esto es muy til si nos encontramos en una red
segmentada mediante switches, ya que, de esta forma, podemos lanzar un ataque de
ARP poisoning y, as, saltear la limitacin impuesta por estos dispositivos.
A diferencia de las redes pasivas, las activas, dado que pueden generar gran cantidad
de trfico, no monitorean todo un segmento, sino que son colocadas en puntos
estratgicos, escogiendo especficamente los equipos que se van a analizar para evitar
que se realicen sobrecargas en la red.

Como podremos observar, si se genera trfico en exceso en la red, existen mayores


posibilidades de que el administrador del sistema identifique que algo extrao est
sucediendo y, entonces, seamos detectados.
En la prctica, encontraremos una amplia variedad de estas herramientas, pero desde la
ptica de las evaluaciones de seguridad, existen algunas caractersticas que hacen de
ciertas herramientas mejores opciones.
Por ejemplo, la capacidad de identificar y clasificar protocolos inseguros junto con las
contraseas relevadas, la capacidad de lanzar ataques de ARP poisoning e, incluso,
algunos ataques ms complejos que incluyan la generacin de certificados digitales
para ataques sobre el protocolo SSL. En este sentido, el caso de Can para Windows y
Ettercap para sistemas Linux son algunos de los sniffers que s o s debemos conocer.

Ayuda de P0f (http://lcamtuf.coredump.cx/


p0f3), herramienta que detecta el sistema operativo.

Pero ms all de estos, existen otros analizadores de protocolos generales que tambin
son ampliamente utilizados y que no debemos desconocer. Entre ellos, quizs el ms
famoso sea Wireshark, anteriormente conocido como Ethereal.
Es utilizado, sobre todo, para analizar y detectar problemas en redes de comunicaciones
y, tambin, como una herramienta didctica para analizar los distintos protocolos del
modelo OSI en una conexin real. Permite ver la totalidad del trfico que pasa a travs
de una red, usualmente Ethernet, aunque es compatible con otras, configurando la
placa de red en modo promiscuo.
Algunos de los atributos ms sobresalientes de Wireshark son el hecho de que est
liberado bajo licencia GPL, posee una interfaz intuitiva, tiene capacidades de filtrado
ricas y flexibles, cuenta con soporte para formato estndar de archivos tcpdump, da la
posibilidad de reconstruir sesiones TCP, es multiplataforma, etctera.

Captura de pantalla de Can, donde en la


pestaa de contraseas se pueden ver
algunas de ellas.

Captura de pantalla de la versin grfica de


Ettercap.
Pueden apreciarse las conexiones redireccionadas
por el equipo.

Un sniffer particular es Kismet, ya que est orientado a las conexiones


inalmbricas 802.11 e, incluso, permite utilizar GPS para identificar la
posicin geogrfica del access point.

Funciona con cualquier placa Wireless que tenga soporte para modo
monitor (el modo monitor de Wi-Fi es el equivalente al modo promiscuo en
redes Ethernet) y permite capturar trfico de diversas normas.
Se diferencia de la mayora de los otros sniffers inalmbricos por su
funcionamiento pasivo, es decir que lo hace sin enviar ningn paquete
detectable. Tambin incluye caractersticas bsicas de deteccin de
intrusos, por ejemplo, la deteccin de programas de rastreo inalmbricos
como NetStumbler, as como ciertos ataques a redes inalmbricas.

Trfico de red utilizando tcpdump. Podemos ver el


host, y
los puertos de origen y destino de las conexiones

Impersonalizacin: spoofing
El spoofing es una tcnica utilizada para suplantar la identidad de otro sujeto, que puede
ser un usuario, un proceso u otro. Dependiendo del protocolo al que se haga referencia,
esta tcnica se implementar de diversas maneras, aunque las ms conocidas son las de
IP spoofing, MAC spoofing y mail spoofing. Claro que, en trminos generales, podemos
englobar dentro del spoofing a cualquier tecnologa de red susceptible de sufrir
suplantaciones de identidad. Por esta sencilla razn, es que la tcnica de ARP poisoning
que hemos mencionado hasta este momento, tambin se conoce como ARP spoofing.
El IP spoofing consiste en sustituir la direccin IP de origen de un paquete TCP/IP por otra
direccin IP a la cual se le desea suplantar la identidad. Esto se consigue utilizando
programas que implementen esta tcnica o, incluso, modificando los paquetes a mano.
Es importante tener presente que las respuestas del host que reciba los paquetes irn
dirigidas a la IP falsificada. Por ejemplo, si se enva un ping spoofeado, la respuesta ser
recibida por el host que posee la IP spoofeada. Una analoga similar podra hacerse al
momento de enviar una carta postal. Cuando una persona manda una carta, si en el
remitente, en vez de colocar su direccin, indica la de su vecino, cuando el receptor la
reciba y la conteste, la respuesta llegar al vecino, y no a quien realmente la envi.

En el caso del MAC spoofing, existen razones muy diversas para decidir modificar la
direccin MAC de un dispositivo de red. Pero, en primer lugar, una pregunta que podra
surgir es: cmo es posible cambiar la MAC de un dispositivo si esta se encuentra
grabada en una memoria de solo lectura que no puede ser modificada?
La respuesta es bastante simple: si bien es cierto que dicha memoria no puede
cambiarse, tambin es real que los distintos sistemas operativos no consultan
directamente al hardware, sino que lo hacen a travs del correspondiente controlador.

Es decir, la MAC es leda y almacenada por el controlador, lo que posibilita modificarla


desde ese lugar. Al depender del controlador, la forma de modificarla depender de
cada sistema operativo; por ejemplo, con comandos propios del sistema (en el caso de
Linux y todos los *NIX) o modificando algunas cadenas del Registro (en el caso de
Windows).

La tcnica del email spoofing es ampliamente utilizada en algunos


ataques de ingeniera social. Esto es as porque, en diversas oportunidades,
tiene mayor importancia que el origen del correo electrnico sea
confiable para el receptor frente al hecho de que el atacante no reciba
respuesta.
Por ejemplo, los formularios de recomendacin de los sitios web
usualmente pueden ser manipulados, permitiendo de esta manera el
envo de correos electrnicos a cualquier destinatario por medio de esta
plataforma.

Robo de sesiones: hijacking


El concepto de hijacking proviene de la palabra inglesa cuyo significado
es secuestro. En el mbito tecnolgico, hace referencia a toda tcnica
que conlleve el secuestro o robo de informacin y sesiones por parte de un
atacante. Por otro lado, se utiliza en combinacin con otras tcnicas y
ataques, como el spoofing.
Su aplicacin es muy amplia y puede puntualizarse en varias tcnicas
especficas. Podemos hablar del secuestro de conexiones de red o
sesiones de terminal (session hijacking), servicios, mdems, pginas (page
hijacking) e, incluso, las variantes como el secuestro del Portapapeles o
clipboard hijacking, donde el Portapapeles es capturado y cada vez que
se intenta pegar lo que se debera encontrar en l, aparece una URL con
una direccin maliciosa. En la misma lnea, una versin que ya tiene unos
aos pero que se sigue usando es el clickjacking o secuestro de los clics
del mouse.

En este punto podemos remarcar que la


combinacin de las tcnicas de sniffing, spoofing y
hijacking nos permiten lanzar ataques ms
complejos, como el secuestro de sesiones SSL o SSL
hijacking. De esta forma, un atacante
potencialmente tendr acceso a comunicaciones
sensibles, y toda la informacin transmitida quedar
expuesta.

Pantalla
de inicio de
evilgrade junto
con el
comando
de ayuda
desplegado en
pantalla.

Fuerza bruta
Los ataques de fuerza bruta son, esencialmente, ataques que buscan vulnerar
mecanismos de autenticacin basados en credenciales del tipo usuario y contrasea.
Se basan en probar todas las combinaciones posibles del espacio de claves de un
sistema. Por ejemplo, si nuestra aplicacin solo permite claves de 8 caracteres y letras
minsculas, el espacio estar determinado por 27^8 claves en total, es decir,
282.429.536.481 claves. De esta forma, cuanto mayor sea la potencia de clculo de que
disponemos, ms rpido podremos encontrar la contrasea correcta.
Pero a medida que el espacio de claves y, en especial, la longitud de estas crece, la
capacidad de clculo actual se vuelve insuficiente para recorrer el espacio de claves
total en tiempos humanamente prcticos. Por esta razn, muchas veces, en vez de
recorrer por fuerza bruta pura todo el espacio de claves, se utilizan diccionarios con
claves organizadas mediante algn criterio en particular. A
lgunos de ellos pueden ser diccionarios de palabras en espaol o en ingls, claves por
defecto de dispositivos y cualquier otro criterio o combinacin que se nos ocurra
Estos ataques pueden ser remotos, cuando se lanzan a un servicio especfico desde una
ubicacin externa; por ejemplo, un ataque a un servicio FTP, Telnet, SSH, etc.

Los ataques de fuerza bruta no solo pueden utilizarse para vulnerar la autenticacin de
procesos remotos, sino que tambin pueden aplicarse a mecanismos de autenticacin
locales, como el logon a los sistemas operativos.

En el caso de los sistemas Linux, la informacin de los usuarios est almacenada en el


archivo /etc/passwd, mientras que los hashes de las contraseas se encuentran en
/etc/shadow.
De esta forma, si un usuario malintencionado puede acceder al archivo /etc/shadow,
mediante alguna herramienta de fuerza bruta intentar obtener las contraseas de los
usuarios. Recordemos que ningn sistema guarda las contraseas en texto plano, sino
que las hashea y luego almacena el hash asociado.

En el caso de los sistemas Windows, el archivo donde se encuentra la


informacin de los usuarios es /Windows/System32/config/SAM. Al igual
que en los sistemas Linux, si un usuario malicioso puede acceder a dicho
archivo, podr lanzar ataques de fuerza bruta sobre l. Pero en el caso de
Windows, el archivo SAM solo es accesible por el proceso LSASS (Local
Security Authority SubSystem).
Con esto, para tener acceso a l, el atacante debera de tener acceso
fsico al equipo, de forma tal de bootear desde un Live CD y saltear las
protecciones de acceso del sistema. Otra opcin es usar una herramienta
que pueda realizar un volcado de la porcin de memoria adecuada, por
ejemplo, pwdump.

John The Ripper en accin. A partir de un


ataque de diccionario, se obtuvo la clave del
usuario root de BT5.

Configuracin
de
xHydra para un
servidor FTP con
el usuario admin
y un diccionario
llamado

El comando hashdump de meterpreter nos permite


obtener un volcado de la SAM del equipo
comprometido.

A partir de la informacin provista por hashdump,


mediante
ophcrack obtenemos las credenciales del equipo
comprometido.

Una vez que contamos con este archivo, podemos lanzar un ataque de fuerza
bruta con John The Ripper o con la herramienta Ophcrack.
Una vez que obtuvimos esa informacin, con la herramienta ophcrack
lanzamos el ataque de fuerza bruta. Luego de un tiempo obtenemos las
contraseas de acceso de los dos usuarios identificados, Administrador y ehr.
Hoy en da, la mayora de estas herramientas, permiten lanzar ataques de
fuerza bruta pura, diccionario e, incluso, mediante tablas prehasheadas
(tambin conocidas como rainbow tables), como en el caso de Ophcrack.
Ophcrack es una herramienta que se distribuye como un liveCD que nos
permite descifrar contraseas en sistemas Windows sin que sea necesario
realizar procedimientos adicionales.

Denegacin de servicio
Los ataques de denegacin de servicio (DoS) tienen por objetivo saturar los recursos de
un equipo o sistema de forma tal de degradar su capacidad de respuesta o, en el mejor
de los casos, lograr que deje de responder. En trminos generales, estos recursos pueden
ser memoria, capacidad de procesamiento de la CPU, conexiones de red, disco duro,
etctera.
A continuacin, explicaremos brevemente algunos antiguos ataques de DoS, que si bien
ya no son efectivos por s mismos, conceptualmente han permitido que se desarrollen
otras tcnicas basadas en sus principios de funcionamiento.
La primera que trataremos es IP flooding, cuyo objetivo es saturar el servicio de red de un
equipo o dispositivo determinado mediante el envo de paquetes IP. Los ataques que
implementan esta tcnica pueden utilizarse para bajar el rendimiento de la red a la cual
est conectado el atacante, y as generar paquetes con origen y destino aleatorio. Otro
objetivo podra ser saturar los recursos de red de una vctima en particular, para despus
llevar a cabo un ataque de session hijacking, entre otros posibles.

Una forma de potenciar los resultados de esta tcnica es utilizar la


direccin de broadcast.
Esta evolucin del IP flooding lleva el nombre de broadcast IP flooding, ya
que se basa en enviar paquetes IP a dicha direccin. A continuacin,
analizaremos dos ataques que implementan esta tcnica: smurf y fraggle.
El ataque smurf utiliza paquetes ICMP echo-request con la direccin IP de
origen de la mquina que ser atacada, y con la direccin IP destino de
la direccin de broadcast de la red local o de las redes que se utilizarn
para atacar a la vctima. Esto hace que todos los intermediarios reciban la
peticin y le respondan con paquetes ICMP echo-reply, magnificando el
ancho de banda consumido y ralentizando la red hasta, incluso, llegar a
saturar el equipo de la vctima.

Con Metasploit tambin se pueden


explotar
vulnerabilidades que corresponden a
DoS.
Vemos
el resultado de
nmap antes
y despus
de ejecutar
slowloris a
un Apache. En
el
segundo caso,
el
servicio web

El ataque fraggle es similar al smurf, pero utiliza el protocolo UDP. El resultado


de esta accin es que los hosts que tengan activo el servicio echo reenviarn
el paquete a la vctima, y los que no, mandarn un ICMP de error.
En muchos casos, los ataques de denegacin de servicio se deben a
vulnerabilidades en algunas aplicaciones especficas, como la asociada al
cdigo de Microsoft MS12-020, por medio de la cual, explotando una
vulnerabilidad en el servicio de Terminal Service, es posible hacer que el equipo
deje de responder.
Tambin existen vulnerabilidades de denegacin de servicio que permiten que
un servicio puntual deje de responder, aunque el equipo siga respondiendo y
funcionando. Por ejemplo, la vulnerabilidad de Slow Denial of Service, presente
en varias versiones de los servidores web Apache, cuando es explotada con
xito, hace que el servicio web deje de funcionar, pero a excepcin de dicho
servicio, los otros se siguen comportando con normalidad.

Si ampliamos el concepto de DoS y, en vez de ser un equipo el que lanza el


ataque, contamos con un conjunto de ellos, normalmente una botnet, estamos
en presencia de un ataque de denegacin de servicio distribuida o DDoS
(Distributed Denial of Service).
Recordemos que una botnet es un conjunto de equipos que han sido
comprometidos (usualmente llamados zombies) que pueden ser controlados
en forma remota por el atacante que tiene acceso a ellos. De esta manera, el
atacante puede lanzar un ataque de DDoS desde todos los equipos zombies
de su botnet.
Existen diversos kits para controlar botnets, donde el atacante programa las
actividades de sus nodos en forma automatizada e, incluso, puede utilizarlos
para continuar infectando otros equipos y aumentar el tamao de su red.
Tambin es posible alquilar los servicios de una botnet en el mercado negro,
ya sea para lanzar este tipo de ataques o para enviar spam.

En los ltimos tiempos, organizaciones tales como la famosa Anonymous


popularizaron este tipo de ataques a empresas de la talla de VISA, Paypal,
Sony y otras grandes corporaciones. Es discutible si el fin de esta causa es
justo o no, pero el mecanismo utilizado es considerado un delito por la
mayora de los pases.
En Latinoamrica tambin hemos tenido casos de ataques a distintas
organizaciones relacionadas con los derechos de propiedad intelectual y
a diversas organizaciones gubernamentales, en especial, durante los
perodos de tiempo en que, a nivel internacional, se han estado tratando
leyes o regulaciones que socavan la privacidad de las personas.

Un ataque sin tecnologa


En el campo de la seguridad de la informacin, la ingeniera social es la
prctica para obtener datos confidenciales a travs de la manipulacin
psicolgica de usuarios legtimos. La tcnica se puede utilizar para
conseguir informacin, acceso o privilegios en sistemas, que permitan
realizar algn acto que perjudique o exponga a una persona o empresa a
riesgos y abusos. El principio en el que se sustntala ingeniera social es
aquel que afirma que en cualquier sistema los usuarios son el eslabn dbil
de la cadena.

. En la prctica se utiliza el telfono o Internet para engaar a la gente


simulando, por ejemplo, ser un empleado de un banco o de una empresa,
un compaero de trabajo, un tcnico o un cliente y, as, obtener
informacin. A travs de Internet suelen enviarse solicitudes para renovar
credenciales de acceso a sitios, e-mails falsos que piden respuestas e,
incluso, las famosas cadenas, que llevan a revelar informacin sensible o a
violar polticas de seguridad.
Con este mtodo se aprovechan algunas tendencias naturales de las
personas en vez de tener que encontrar agujeros de seguridad en los
sistemas.

La principal defensa contra la ingeniera social es educar y concientizar a


los usuarios en el uso y el cumplimiento de polticas de seguridad. En los
aos 80, la ingeniera social tuvo un impacto muy grande debido a que la
gente era ms inocente, los sistemas eran ms vulnerables y las leyes
relacionadas con la informtica eran menos rigurosas o inexistentes.

Antiphishing
Existen varias tcnicas para combatir el phishing, que
incluyen la legislacin y el desarrollo de tecnologas
especficas.
Tal vez la accin ms relevante y duradera sea la respuesta
social: una estrategia fundamental es generar conciencia
en las personas acerca de cmo reaccionar ante posibles
ataques. Por ejemplo, si un usuario es contactado para
verificar datos o cuentas, un comportamiento adecuado
sera comunicarse con la institucin que en teora est
enviando el e-mail, o bien ingresar en la barra de
direcciones la Web que se reconoce como segura. De
hecho, el Anti-Phishing Working Group (www.apwg.org),
asociacin pionera y nmero uno en el tema, sostiene que
las tcnicas de phishing, al utilizar como componente
principal la ingeniera social, podran quedar obsoletas en
poco tiempo si se concientiza a los usuarios.
En el certificado digital presentado por

Internet
Explorer podemos comprobar la validez del
servidor al que accedemos.

Otras respuestas son de ndole tcnica, con software Antiphishing que


puede complementar al antivirus y al firewall personal, o bien integrarse al
navegador y trabajar identificando posible contenido fraudulento en sitios
web o e-mails, y utilizando listas de URLs reconocidas como maliciosas.
A nivel corporativo, existen empresas y entidades que se dedican a
monitorear y analizar continuamente los contenidos de empresas
susceptibles de ser atacadas (bancos, entidades financieras, empresas de
e-commerce, etctera). Tambin hay respuestas legales, ya que si lo
anterior no es acompaado con leyes que penalicen el phishing, cualquier
accionar sera poco efectivo.

Whaling, la nueva ola


Whaling es una tcnica que ha llegado para relevar en parte al phishing
tradicional. Su nombre proviene de la misma palabra en ingls que
significa caza de ballenas. El sistema consiste en enviar a personas de
influencia y alto poder adquisitivo, como empresarios, autoridades o
gerentes (llamados a veces peces gordos), un correo electrnico donde
se les solicita hacer clic en un enlace determinado con el fin de recibir una
citacin judicial o algo igualmente grave.

El enlace muestra un documento de aspecto oficial que contiene cdigo


malicioso, y se traspasa al equipo de la vctima para capturar informacin
personal y permitir al atacante tomar el control.

La diferencia con el phishing es que estos mensajes s van dirigidos


especialmente, incluyendo en muchos casos informacin personal para
parecer confiables (nombre, estado civil, domicilio, etctera).
La peligrosidad de estos ataques radica, en especial, en el uso de la
informacin robada, ya sea para estafas, espionaje industrial, robo de
propiedad intelectual, chantajes y amenazas de secuestros, entre otras
acciones.

Las recomendaciones para los usuarios en este caso son las mismas que las
dadas para no caer en casos de phishing: saber que ninguna organizacin
solicita informacin a travs del correo electrnico.

Es necesario tener en cuenta que la concientizacin es la mejor arma


contra la ingeniera social. De esta forma, entregar herramientas a los
usuarios es de vital importancia. El Newsletter OUCH! Publica en forma
mensual una serie de recomendaciones hogareas en varios idiomas,
incluido el espaol:
www.securingthehuman.org/resources/newsletters/ouch. En el sitio del
AntiPhishing Working Group tambin pueden encontrar informacin:
www.antiphishing.org.