Está en la página 1de 7

1

Hacking tico: Taxonoma de un Ataque


Henry Alexander Diaz Mongua, Consultor Seguridad Informtica, CEO Hackers Colombianos

medio humano como por ejemplo ingeniera social?, estas


ResumenNo hay metodologa clara propuesta para entender personas inescrupulosas o expertas contratadas por terceros
el cmo? se realiza un ataque, ya sea a un sistema informtico, para hacerme dao, o divulgar informacin confidencial
una red, al hardware o algn proceso o procedimiento robada, que viendo desde otro ngulo puede afectar un
establecido, por personas mal llamadas hackers, crackers y
gobierno, una organizacin, una empresa, una familia, una
phreakings; este documento busca exponer una clasificacin y
ordenar las piezas del rompecabezas que conforman un ataque, persona, o que tal esta informacin sustrada ayude o sirva
para entender su proceder y as mismo gracias a este anlisis como una prueba fehaciente para incriminar a cualquier ente
crear una lnea base de seguridad y defensa, para aprender a que este obrando fuera de la ley. La informacin es un activo
proteger nuestros activos informticos. El artculo describe la muy valioso, y hay que protegerla, y que mejor manera
taxonoma del ataque perpetuados por los hackers y crackers; entendiendo como se perpeta un ataque, entender los pasos,
entender la manera de cmo actan y mostrar la metodologa en
general de acuerdo a la investigacin realizada.
las formas, aprender a estudiar a estas personas que con malas
intenciones puede penetrar en nuestros sistemas abruptamente,
Palabras Claves--. Hackers, cracker, amenaza, ataque, sin nuestro consentimiento, sin nuestro permiso y afectarnos
vulnerabilidad, riesgo, incidente, impacto, confidencialidad, de una manera o otra. Para tener una buena defensa, dicen por
disponibilidad, integridad, footprinting. all: conoce a tu enemigo o netele. Teniendo esto claro
estamos entendiendo el modus operandi de estas personas
Abstract- No clear methodology proposed to understand que sin importar la ideologa, razn, motivos o circunstancias
"how?" Is carried out an attack, either on a computer system, a
logre penetrar a nuestros sistemas y as evitarles el xito, ya
network, hardware or any process or procedure established by
people misnamed hackers, crackers and phreakings; this que estaramos un paso adelante de ellos, claro est que la
document seeks to expose a classification and sort the pieces of the tecnologa cambia a diario, entonces debemos siempre pensar
puzzle that make up an attack, to understand their actions and en la proteccin proactiva, es decir estar anunciando lo nuevo,
also thanks to this analysis establish a baseline of security and as evitaremos ser atacados.
defence, to learn how to protect our IT assets. The article
describes the taxonomy of the attack perpetuated by hackers and
II. QUE ES UN ATAQUE
crackers; understand how to act and show how the methodology
generally according to research carried out. Segn la escuela de Hackers de Argentina es: Mtodo por el
cual, valindose de una vulnerabilidad y sin tener el permiso
Key words -. Hackers, crackers, threat, attack, vulnerability, risk, correspondiente, o sin validarse o identificarse, se puede
incident, impact, confidentiality, availability, integrity, realizar una negacin de servicio, ejecutar cdigo arbitrario,
footprinting. obtener informacin confidencial, escalar privilegios,
administrar el sistema, tomar el control del mismo, o
simplemente detener o daar el sistema informtico [1], es
I. INTRODUCCION una de las mejores definiciones que encontr en la web gracias

L A seguridad informtica en este tiempo ha tomado un


lugar muy privilegiado en el rea informtica, ya que las
personas ya estn tomando conciencia de los posibles riesgos
a Google.

A. Tipos de ataques
expuestos por estar conectado a la gran autopista llamada la
red de redes es decir el Internet, la gran mayora de las Los ataques se dividen en dos tipos: Ataque Activo que
empresas estn cambiando, la forma de realizar sus negocios, altera el sistema o red atacado y ataque pasivo que es
todo gracias al apoyo de la tecnologa, el desarrollo del simplemente obtener informacin del sistema o red; y puede
software y la interconexin hace imaginable el hasta donde se provenir desde dos sitios: Interno es decir dentro la red, los
puede llegar gracias a los computadores, servidores, las empleados descontentos, terceros dentro de la organizacin y
telecomunicaciones, los servicios prestados, pero hey!!, algo Externo o refirase a ataques fuera del permetro de la red o
pasa, como aseguro mis sistemas, mis redes, mi informacin otras redes, Internet, proveedores y hackers maliciosos.
confidencial?. Como se que toda la tecnologa adquirida y
adoptada es segura?. Como evito irme a la quiebra por la
informacin sustrada ya sea por cualquier tcnica hacker o
2

C. Fase 2: Reconocimiento

Esta fase se divide en dos: Reconocimiento Pasivo el cual se


recolecta informacin del objetivo sin que este conozca o se de
cuenta, por ejemplo mirar la entrada y salida de los empleados
Figura 1. Tipos de Ataques al edificio, tambin se realiza la bsqueda por google, para
obtener la mayor recopilacin de informacin posible. La
Ahora bien teniendo la definicin y los tipos de ataque ingeniera social y el sniffing tambin son mtodos de
claros, se expone las ocho fases del ataque, la clasificacin o reconocimiento pasivo. El Reconocimiento Activo es la
taxonoma propuesta de acuerdo a la teora del CEH [2] y los exploracin de la red, equipos y servicios, tambin indica al
complementos agregados de acuerdo a mi criterio y hacker las medidas de seguridad implementadas, pero el
experiencia de 5 anos en el medio de la seguridad Informtica. proceso aumenta la posibilidad de ser capturado o elevar la
sospecha. Una tcnica utilizada en esta fase es el Footprinting:
que significa construir el mapa de red y sistemas del objetivo a
atacar, por medio de los datos adquiridos del ambiente y
arquitectura, tambin identifica vulnerabilidades, servicios,
identifica medios por donde se podra ingresar para atacar el
objetivo. Algunas tcnicas para realizar footprinting es utilizar
herramientas como el whois (ver figura 3), traceroute, e-mail
tracking, nslookup, sam spade [3], web spiders a la IP o
Dominio del objetivo.

Figura 3. Footprinting con Smartwhois

Figura 2. Ocho Fases de Ataque

B. Fase 1: Definicion del Objetivo

Esta es la primera fase del ataque o hacking, en el cual se


define el objetivo a atacar, sea una red, un servidor remoto,
una pgina web, una aplicacin cliente/servidor, hardware, un
proceso o procedimiento, una compaa, una organizacin,
etc. En esta primera fase el hacker tiene el reto en su mente y Pasos para realizar el Footprinting son los siguientes:
visualiza su objetivo.
3

TABLA I
Pasos para realizar con xito Footprinting

De acuerdo a la tabla I nos muestra muy resumido los pasos Figura 4. Scanning con Zenmap, versin grafica de nmap
para tener en cuenta y realizar un correcto footprinting, entre
ms lo realices, se va obteniendo la habilidad para leer solo la Que es la Enumeracion? El objetivo es identificar las
informacin ms relevante y la que se necesita para el ataque. cuentas de usuarios administrativos y normales del sistema
para luego obtener escalada de privilegios en caso de tomar un
usuario normal, existe una herramienta muy til llamada
DumpSec, que permite la enumeracin de usuarios, grupos,
D. Exploracin y Enumeracin permisos, tambin la herramienta Hyena logra esta
Los tipos de exploracin o Scanning se dividen como lo enumeracin muy rpido en un entorno de dominio o grupo de
muestra la siguiente tabla: trabajo.

TABLA 2
TIPOS DE SCANNING E. Acceso
Esta se inicia con las tcnicas de crackeo de passwords o
Tipo de Scanning Proposito contraseas, las cuales se pueden realizar online, es decir
realizando los test en vivo con una herramienta especial
llamada Hydra el cual usa la tcnica de diccionario, tambin
Scan de Puertos TCP/UDP y Servicios hay la posibilidad de realizar el ataque offline, obteniendo
los archivos donde se almacenan las contraseas encriptadas
y correrle tcnicas de diccionario, fuerza bruta o
Scan de Red Rangos IP criptoanlisis, para ello hay una herramienta muy eficaz
llamada Cain y Abel (figura 5) en su ltima versin, lo cual
con una copia del archivo de la SAM de Windows, puede
descifrar las contraseas, lo malo es que el tiempo que tarda
Scan de Aplicaciones y sistema
es proporcional a complejidad de la contrasea.
Vulnerabilidades operativo

Las tcnicas de scanning de red referidas ms utilizadas son


las siguientes: Ping sweep, SYN, Stealh, Xmas, NULL, Idle,
FIN, war dialing, Banner grabbing, finger printing,
anonymizer, HTTP tunneling e IP spoofing, con las
herramientas NMAP, IPeye y SocksChain se realizar estas
tcnicas.

Figura 5. Ataque online contrasea diccionario con hydra


4

logger [6] para obtener informacin confidencial; copiar y


ejecutar archivos con una herramienta llamada PsExec [5] y
causar dao en el sistema, una vez esto cumplido el sistema ya
no es nuestro es del hacker.
Buffer Overflows: Son intentos de hacking que explotan
una falla en el cdigo de una aplicacin, se hace mediante
consola o Shell.
Spyware: Son programas espas que recopilan informacin
del usuario sin su conocimiento y envan la informacin a un
servidor remoto para analizar su comportamiento, tendencia y
caractersticas en la navegacin de Internet, a nivel de hacking
nos sirve para conocer a la vctima y engaarla ms fcilmente
hacindola creer cosas que l necesita as instalar ms
fcilmente las aplicaciones que se necesitan para el ataque.

Figura 6. Ataque offline contrasea fuerza bruta con Cain. Rootkits: Es un programa utilizado para ocultar los
servicios publicados en un sistema comprometido, los cuales
Se debe estudiar bastante criptografa y por lo menos pueden incluir llamadas a puertas traseras, esconder
conocer de los algoritmos ms usados: MD5, SHA, RC4, aplicaciones que abren puertos especficos para el hacker para
RC5, Blowfish, etc. garantizar el control absoluto del sistema.

Es esta fase de acceso es complicada, ya que se tiene que


evadir los Firewalls, realizar evasin de IDS/IPS y los
Honeypots para realizar la penetracin, se usan unas
herramientas tales como 007 Shell, ICMP Shell, AckCmd, y
framework (figura 7), para tener xito.

Figura 8. Tipos de Rootkits.

G. Ataques
Esta es la parte ms emocionante de un hacker, realizar el
ataque del sistema, ya que su ego y su capacidad de lograrlo es
lo que lo motiva mas para realizar ataques ms sofisticados,
Figura 7. Ataque con metasploit Framework en Windows. He aqu la frmula secreta de un ataque [7]:

F. Escalacion de Privilegios

En esta etapa ya se tiene un usuario valido en el sistema, el


cual puede tener permisos mnimos por esta razn se debe Figura 9. Formula de un Ataque
realizar una escalacin de privilegios que simplemente es
aadir mas permisos o derechos a la cuenta de usuario que se A nivel de ataques la Denegacin de Servicio (DoS), hacen
tiene, la idea es volverlo administrador del sistema para a un sistema inservible o retardan significativamente por
instalar y ejecutar aplicaciones, para realizar esto existe un sobrecarga de recurso, esto impide que los usuarios legtimos
troyano llamado GetAdmin.exe [4], lo cual realiza esto en los puedan acceder al sistema. Existen dos categoras de ataques
sistemas Windows NT, pero es detectable por la mayora de DoS, que puede ser enviado por un sistema nico (simple
Antivirus. DoS) o enviarse por muchos sistemas a un solo objetivo
(DDoS) distribuido.
Ejecutando aplicaciones: Ya con los derechos de
administrador se tiene control del sistema atacado, entonces se Los ataques DDos pueden ser perpetrados por Bots y
instala un back door, para mantener el acceso y un keystroke Botnets, que traducen equipo zombi y red de equipos zombis,
5

que son programas robots muy inteligentes, que son esclavos


de un Master o servidor central, que les ordena en que
momento realizar el ataque a la vctima, o enviar correos
masivos o realizar un ataque distribuido.

Otro ataque es el Smurf, que enva una gran cantidad de


ICMP (ping) trafico a broadcast con la IP origen falsificada de
la vctima, lo cual la maquina trata de responder y se inundara
de trfico y dejara a la maquina con un DoS de ping.

El ataque SYN Flooding, es un ataque de inundacin de


peticiones SYN es decir peticiones de conexin TCP, El
atacante crea una direccin de origen aleatoria falsa para cada
paquete y fija la bandera SYN, la victima responde a la
direccin IP falsa y luego de esperar el TCP de confirmacin
que nunca llega, en consecuencia se queda esperando las
respuestas de todas las conexiones, produciendo un DoS de Figura 10. Tcnicas de Ataques a sitios Web.
red y los usuarios legtimos se quedan sin el servicio.
Anatoma de un Ataque de aplicaciones Web: es similar a
Session Hijacking o secuestro de sesin es otro ataque otros sistemas, primero se debe realizar un escaneo, obtener
comn el cual un hacker toma el control de una sesin de informacin de la aplicacin web, realizar una prueba,
usuario despus de que el usuario ha tenido xito contra la planificar el ataque y realizar el ataque. Las principales
autentificacin con un servidor. Esto implica la identificacin amenazas de las aplicaciones web son el Cross-site scripting,
de un ataque de IDS de sesin, comunicacin entre cliente y SQL injection, Command injection, envenenamiento de
servidor, periodo de sesiones y calculo de numero de cookies, Buffer overflow, autenticacin hijacking y directorio
secuencia utilizando unas herramientas de clculo para ello. de recorrido/Unicode.

El ataque Spoofing o el uso de tcnicas de suplantacin de El ataque Google Hacking [8] se refiere al uso del fuerte
identidad como IPs, ARPs, DNS, WEB, correo electrnico, buscador o motor para localizar o buscar informacin valiosa,
tambin son muy usados para engaar un sistema lograr como contraseas o datos directamente de base de datos.
validacin.
Wifi hacking: para realizar esto se debe conocer a
Ataques a Nivel de Aplicaciones, lo ms comn es profundidad todos los mecanismos de autenticacin
encontrar las vulnerabilidades a nivel de sistema operativo, (WEP,WPA), los hackers escanean el SSIDs, para obtener el
como las configuraciones por defecto, el cdigo de trafico la informacin de autenticacin, esto se hace con una
programacin, instalacin por defecto, falta de actualizacin herramienta llamada Aircrack [9], realizan un ataque de fuerza
de parches de seguridad y falta de polticas de seguridad bruta para obtener el password de conexin, tambin aplica
adecuadas. ataques de MAC spoofing o falsificacin de MAC , otro
ataque bien conocido es colocar un AP o Access Point falso,
Los ataques contra los web server, llamados defacement o para que los usuarios se conecten all y poderlos atacar ms
reemplazos, lo realizan al explotar las vulnerabilidades del fcilmente, aplica tambin el DoS.
sistema operativo o del programa webserver que se este
usando, como por ejemplo IIS, Apache, TomCat, etc. A
continuacin los ataques usados para alterar un sitio web:
6

remotas
Remoxec
Esteganografia ImageHide
Blindside
MP3Stego
Stealth
Borrar pistas Audipol
elsave.exe
Winzapper
Evidence Eliminator
Troyanos famosos Tini
Netbus
Backorifice 2000
Computer spy key logger
CyberSpy
Figura 11. Hacking Wifi con Aircrack Sniffers Ethereal
Snort
Los ataques ms usados por los hackers maliciosos con sus windump
respectivas herramientas son los siguientes: Iris
Tool hacking Cain & Abel
TABLA II The Metasploit framework
Ataques y herramientas Denegacion de Servicio DoS Ssping
CPU hog
ATAQUES HERRAMIENTAS Winnuke
Footprinting Google hacking Targa
Sam Spade Bubonic
Smart whois Hijahacking Juggernaut
eMailTracking Pro Hunt
Ingenieria Social Shoulder surfing TTYWatcher
Dumpster diving IP Watcher
Scanning Pinger T-Sight
Friendly Pinger Scanner Webs N-Stalker web application
Ipeye Core Impact
IPSecscan SAINT Vulnerability Scanner
Solarwinds
Netcraft
H. Manteniendo el Acceso
Sockschain
Enumeration Dumpsec
Hyena
Ya teniendo control del sistema atacado por el hacker
proceden a instalar troyanos para permitir el acceso por
smb auditing tool
puertas traseras, contagiar el sistema con cdigo malicioso o
netbios aditing tool
virus, y esto se hace con los Wrapping, que son programas
Enumeration Users User2SID
para construir un troyano y con la envoltura de un archivo
GetAcct
legitimo, es decir lo esconden tras una instalador de una
SMBBF
aplicacin dada, por ejemplo un juego animado llamado
Cracker de contrasenas Legion
Graffiti, Silk Rope 2000, EliteWraps y IconPlus, etc. Tambien
LOphtCrack
con virus y gusanos de red pueden crear entradas fijas al
John the Ripper
sistema (abriendo puertos) y tener monitoreo del sistema
KerbCrack
comprometido.
Offline NT Password
Resetter
Ataque Netbios SMBRelay I. Borrando rastros
pwddump
Samdump
Como todo un buen hacker despus de realizar el ataque,
C2myazz
debe borrar los rastros del crimen realizado, para evitar ser
SMBGrind
culpado y que nadie descifre las tcnicas utilizadas para
Elevacion de privilegios Getadmin.exe
perpetuar el ataque al sistema, por tal motivo los pasos que
Hk.exe
realizan son los siguientes:
Ejecutar aplicaciones Psexec
7

[2] PDF. Official Certified Ethical Hacker. Kimberly Graves. 2007.


[3] http://samspade.org
A. Deshabilitar la Auditoria del sistema en caso que este [4] http://toolshacker.blogspot.com/2006/12/tools-dari-yogya-free.html.
activa. [5] http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
B. Realizar el borrado de todos los logs posibles en el [6] http://www.kmint21.com/download.html.
sistema y aplicaciones comprometidas. [7] http://www.geocities.com/Baja/1762/winnt.html
[8] http://johnny.ihackstuff.com/ghdb.php
C. Borrar la evidencia o pistas de las herramientas [9] http://www.aircrack-ng.org/doku.php
utilizadas, o posibles programas instalados, segn el [10] http://es.wikipedia.org/wiki/Esteganograf%C3%ADa
ataque realizado para que no puedan rastrearlo ni dejar [11] http://www.eccouncil.org/CEH.htm
.
ninguna pista, se puede usar la esteganografia [10]
para ocultar los archivos usados.

VI. BIOGRAFIA AUTOR


III. CONCLUSIONES
Henry Alexander Diaz Mongua
Consultor independiente especializado en seguridad
El anterior artculo genera las siguientes conclusiones: informtica, amplia experiencia en productos y servicios
A. Ningn sistema es 100% seguro, siempre habr alguna informticos, tecnlogo en Informtica y diplomado en
seguridad informtica de la Corporacin Universitaria
tcnica, proceso o procedimiento para violar la seguridad y Minuto de Dios, actualmente desempea el cargo de
obtener un acceso no autorizado, por tal motivo la conciencia oficial de seguridad de la Informacin en un Datacenter,
es la de minimizar las amenazas, los riesgos y tener una clara CEO hackerscolombianos.org. Logro el 6 puesto a nivel nacional en el
gestin de seguridad en todos los sistemas a proteger. ECADES (ICFES), examen de conocimientos en tecnologa informtica del
ao 2005; amplio conocimiento de redes, plataforma Linux y Windows,
infraestructura, tical hacking, ISO 17779, anlisis de riesgos y gestin de
B. Las tcnicas hackers cada da son ms sofisticadas y vulnerabilidades, ha diseado, implementado y soportado gran cantidad de
cambian de acuerdo a la tecnologa del momento, por eso proyectos de seguridad informtica con varios fabricantes y en grandes
siempre se debe estar un paso adelante. empresas pblicas y privadas Colombianas.
(pilo.dx@hackerscolombianos.com).
C. Estas son las tcnicas generales ms usadas para apropiarse
de un sistema, se realizo un anlisis de las tcnicas y
herramientas usadas y conocidas segn la documentacin del
CEH [11], que es la certificacin oficial de Etical Hacker.

D. Tanto desde Windows como Linux se puede realizar los


ataques, existen herramientas equivalentes para cada sistema
operativo, entonces no importa el sistema operativo del
hacker, lo que realmente importa es la habilidad lgica y
mental para descubrir las vulnerabilidades y explotarlas.

E. La anterior taxonoma nos abre el mundo de posibilidades


y nos permite estudiar y analizar cul sera la mejor defensa
para evitar los ataques y desarrollar una lnea base de
seguridad para minimizar el riesgo.

IV. AGRADECIMIENTOS

A todos los docentes del Diplomado de Seguridad


Informtica dictado en la corporacin universitaria Minuto de
Dios y a esas personas que me han ayudado con su gran
experiencia y apoyo en el campo de seguridad informtica.

V. REFERENCIAS

Estas son las referencias de consulta, para profundizar ms


en los temas mencionados en este articulo.

[1] http://www.escuelahacker.com.ar/biblioteca/glosario.php