Parte 2: Anatomía de un

ataque a un sistema
informático

Manuel Fernández Iglesias

Xabiel García Pañeda

Clasificación

„ Según el origen:
… Externo. Realizados desde el exterior del sistema
… Interno. Realizados desde el interior del sistema

„ Según la complejidad:
… No estructurado. No coordinan diferentes
herramientas o fases. Suelen ser inocentes
… Estructurado. Se enfocan como un proyecto. Tienen
diferentes fases y utilizan diferentes herramientas de
forma coordinada. Son los más peligrosos

1
Anatomía de un ataque

Borrando
Búsqueda Acceso
las huellas

Obtención de Puertas
Rastreo
privilegios traseras

Denegación
Enumeración Pilfering
de servicio

Anatomía de un ataque.
Búsqueda
„ Objetivo
… Recogida de información, ingeniería social,
selección de rangos de direcciones y
espacios de nombres
„ Técnicas
… Búsquedas en información pública
(Altavista con directivas link: o host:)
… Interfaz web a whois
… ARIN whois
… DNS zone transfer (nslookup)
… Reconocimiento de redes (traceroute)

2
Anatomía de un ataque.
Búsqueda
„ Contramedidas
… Control del contenido de la
información pública
… Precaución con la información de
registro
… Seguridad en DNS (p. ej. no permitir
las transferencias de zona)
… Instalación de sistemas de
detección de intrusiones (NIDS)

Anatomía de un ataque.
Rastreo (scanning, barrido)
„ Objetivo
… Identificación de equipos y servicios.
… Selección de los puntos de entrada más
prometedores
„ Técnicas
… Ping sweep (fping, nmap)
… Consultas ICMP (icmpquery)
… TCP/UDP port scan (Strobe, udp-scan,
netcat, nmap, SuperScan, WinScan, etc.)
… Detección del sistema operativo (nmap,
queso)
… Herramientas de descubrimiento automático
(Chaos)

3
Anatomía de un ataque.
Rastreo
„ Contramedidas
… Herramientas de detección de ping
(Scanlogd, Courtney, Ippl, Protolog)
… Configuración adecuada de los
routers de frontera (access lists)
… Cortafuegos personales,
herramientas de detección de
rastreo (BlackICE, ZoneAlarm)
… Desconectar servicios inútiles o
peligrosos

Anatomía de un ataque.
Enumeración
„ Objetivo
… Descubrir cuentas de usuario válidas y recursos
compartidos mal protegidos
„ Técnicas
… Listados de cuentas (finger)
… Listados de ficheros compartidos (showmount,
enumeración NetBIOS)
… Identificación de aplicaciones (banners, rpcinfo,
rpcdump, etc.)
… NT Resource Kit
„ Contramedidas
… Las del rastreo
… Control del Software
… Formación de los usuarios

4
Anatomía de un ataque.
Acceso
„ Objetivo
… Ya disponemos de información suficiente
para intentar un acceso documentado al
sistema
„ Técnicas
… Robo de passwords (eavesdroping) y
crackeado de passwords (Crack, John the
Ripper)
… Forzado de recursos compartidos
… Obtención del fichero de passwords
… Troyanos y puertas traseras (BackOrifice,
NetBus, SubSeven)
… Ingeniería social

Anatomía de un ataque.
Acceso
„ Contramedidas
… Control de las actualizaciones del
software
… Control en la instalación o ejecución
de aplicaciones
… Cortafuegos personales, detección
de intrusiones
… Educación de los usuarios
(selección de buenas passwords)
… Auditoría e históricos

5
Anatomía de un ataque.
Obtención de privilegios
„ Objetivo
… Obtener permisos de administrador a partir
de los permisos de usuario
„ Técnicas
… Vulnerabilidades conocidas
… Desbordamiento de buffers, errores en el
formato de cadenas, ataques de validación
de entradas
… Capturadores de teclado
… Las del acceso
„ Contramedidas
… Las del acceso

10

Anatomía de un ataque.
Pilfering
„ Objetivo
… Nueva búsqueda de información para
atacar a otros sistemas de confianza
„ Técnicas
… Evaluación del nivel de confianza (rhosts,
secretos LSA)
… Búsqueda de passwords en claro (bases de
datos, servicios Web)
„ Contramedidas
… Las del acceso
… Herramientas de monitorización de red
… Actuaciones en el nivel de arquitectura

11

6
Anatomía de un ataque.
Borrando las huellas
„ Objetivo
… Una vez que se tiene el control total del
sistema, ocultar el hecho al administrador
legitimo del sistema
„ Técnicas
… Limpieza de logs
… Ocultación de herramientas
… Troyanos y puertas traseras
„ Contramedidas
… Gestión de históricos y monitorización, a
nivel de red y a nivel de host.
… Control del SW instalado

12

Anatomía de un ataque.
Creación de puertas traseras
„ Objetivo
… Permiten a un intruso volver a entrar en un
sistema sin ser detectado, de la manera más
rápida y con el menor impacto posible
„ Técnicas
… Cuentas de usuario ficticias, robadas o inactivas
… Trabajos batch
… Ficheros de arranque infectados, librerías o
núcleos modificados
… Servicios de control remoto y caballos de Troya
(Back Orifice)
… Servicios de red inseguros (sendmail, rhosts,
login, telnetd, cronjob)
… Ocultación del tráfico de red y ocultación de
procesos

13

7
Anatomía de un ataque.
Creación de puertas traseras
„ Contramedidas
… Básicamente, las del acceso
(control riguroso del SW ejecutado,
monitorización de los accesos,
sobre todo a determinados puertos,
cortafuegos personales, etc.)
… Búsqueda de ficheros sospechosos
(nombres por defecto de las puertas
traseras).

14

Anatomía de un ataque.
Denegación de servicio
„ Objetivo
… Si no se consigue el acceso, el atacante
puede intentar deshabilitar el objetivo
„ Técnicas
… Inundación de SYNs
… Técnicas ICMP
… Opciones TCP fuera de banda (OOB)
… SYN Requests con fuente/destino idénticos
„ Contramedidas
… Configuración cuidadosa de los cortafuegos
y routers.

15

8
Ejemplo de ataque: DDOS

„ Ataque por denegación de servicio

distribuido (DDOS)

Máquina
objetivo

Máquina
origen

Zombi

16

Ejemplo de ataque: DDOS

„ Muy eficaz. Deja rápidamente a la máquina

fuera de combate
„ Difícil de parar. Si los zombis están bien
elegidos estarán en diferentes subredes. Será
complicado cortar el flujo de tráfico
„ No tiene demasiada complejidad. Es suficiente
enviar algún tipo de paquetes que colapsen el
servidor. No se necesita tener acceso al objetivo

17

9
 Ejemplo de ataque: Inserción de código
SQL
„ Formulario Web donde se solicita nombre de
usuario y clave
„ En el servidor se utilizan los datos para rellenar
la consulta SQL:
SELECT user_id FROM users WHERE strlogin=‘xuan’ AND strpassword=‘aab’
usuario clave

„ Se introduce en el formulario:
Clave: “ OR 1=1 --
Usuario: cualquier cosa
Clave: “ OR 1=1; DROP table users; --
18

Ejemplo de ataque: Inserción de código

SQL
„ Se accede a la información del sistema
… En un principio a los nombres de usuario y sus claves
(codificadas, supuestamente)
„ Se puede eliminar información del sistema
… Sería
necesario conocer el nombre de las tablas
… SELECT * FROM PG_CLASS
… SELECT relname FROM PG_CLASS
„ Ataca al elemento más valioso de un sistema:
LA INFORMACIÓN

19

10
Ejemplo de ataque: Fishing bancario

„ Basado en la idea del CazaBobos

„ Se rastean páginas Web localizando direcciones de
correo
„ Se hace un mailing a dichas direcciones
… Se disfraza la página Web haciendo parecer la de un banco
… Se solicita entrar una dirección para solucionar un posible
problema de seguridad (algo que llame la atención al usuario
para que acceda)
… Aunque el texto del enlace parece real, la dirección con la que
conecta es la del presunto atacante

20

Ejemplo de ataque: Fishing bancario

Dirección diferente
Dirección real: http://rumager.com/...
Protocolo no seguro

21

11
Ejemplo de ataque: Fishing bancario

„ Entramos en la página
„ Nos pide el nombre de usuario y la contraseña
del supuesto banco
„ La introducimos
„ No informa que el problema ha sido solucionado
„ !TIENEN NUESTRO NOMBRE DE USUARIO Y
NUESTRA CONTRASEÑA!

22

Ejemplo de ataque: IP Spoofing

„ Se suplanta la personalidad de un equipo

„ Es un ataque muy sofisticado

Suplantador
Denegación de servicio
IP: 156.35.14.2

Suplantado
IP: 156.35.14.2
Se modifican las rutas

23

12
Ejemplo de ataque: IP Spoofing

„ Es necesario atacar a muchas máquinas

„ Consigue que el receptor de los mensajes
se crea que es el emisor legítimo
„ Puede ser extremadamente peligroso

24

Ejemplo de ataque: Mitnick/Shimomura

„ Compañeros en el National Security Agency

„ Mitnick estuvo extrayendo información del
ordenador de Shimomura durante meses
„ Existieron una serie de premisas:
… Mitnick, mediante ingeniería social obtuvo direcciones
IP de ordenadores de colaboradores de Shimomura.
Direcciones en las que confiaba el ordenador de la
víctima
… El atacante intentó abrir varias sesiones TCP con la
victima para determinar como se elegía el número de
secuencia cada vez. Se incrementaba en 128000
… El atacante sabía que Shimomura utlizaba UNIX y
tenía activados los comandos remotos de Berkeley
25

13
Ejemplo de ataque: Mitnick/Shimomura

„ Pasos:
1. El atacante entía un TCP SYMM flood a un equipo,
llamémosle A, en el que confía la víctima
2. El atacante envía un paquete, con suplantación de
dirección IP fuente a la víctima pretendiendo ser A.
Son el bit SYN habilitado. Paso inicial de conexión en
TCP
3. La víctima contesta con un paquete SYM, ACK. A no
recibe el paquete. El atacante que no recibe tampoco
este paquete debe conocer el número de secuencia

26

Ejemplo de ataque: Mitnick/Shimomura

„ Pasos:
4. El atacante simula el mensaje 3 de creación de la
sesión TCP
5. Por la conexión TCP envía comando para que
añada una entrada comodín (‘++’) al fichero ./rhost.
El ordenador de Shimomura comienza a confiar en
cualquiera
6. El atacante envía un mensaje TCP con el bit de
RST (reset) activado para cortar la conexión

27

14