Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ataque a un sistema
informático
Clasificación
Según el origen:
Externo. Realizados desde el exterior del sistema
Interno. Realizados desde el interior del sistema
Según la complejidad:
No estructurado. No coordinan diferentes
herramientas o fases. Suelen ser inocentes
Estructurado. Se enfocan como un proyecto. Tienen
diferentes fases y utilizan diferentes herramientas de
forma coordinada. Son los más peligrosos
1
Anatomía de un ataque
Borrando
Búsqueda Acceso
las huellas
Obtención de Puertas
Rastreo
privilegios traseras
Denegación
Enumeración Pilfering
de servicio
Anatomía de un ataque.
Búsqueda
Objetivo
Recogida de información, ingeniería social,
selección de rangos de direcciones y
espacios de nombres
Técnicas
Búsquedas en información pública
(Altavista con directivas link: o host:)
Interfaz web a whois
ARIN whois
DNS zone transfer (nslookup)
Reconocimiento de redes (traceroute)
2
Anatomía de un ataque.
Búsqueda
Contramedidas
Control del contenido de la
información pública
Precaución con la información de
registro
Seguridad en DNS (p. ej. no permitir
las transferencias de zona)
Instalación de sistemas de
detección de intrusiones (NIDS)
Anatomía de un ataque.
Rastreo (scanning, barrido)
Objetivo
Identificación de equipos y servicios.
Selección de los puntos de entrada más
prometedores
Técnicas
Ping sweep (fping, nmap)
Consultas ICMP (icmpquery)
TCP/UDP port scan (Strobe, udp-scan,
netcat, nmap, SuperScan, WinScan, etc.)
Detección del sistema operativo (nmap,
queso)
Herramientas de descubrimiento automático
(Chaos)
3
Anatomía de un ataque.
Rastreo
Contramedidas
Herramientas de detección de ping
(Scanlogd, Courtney, Ippl, Protolog)
Configuración adecuada de los
routers de frontera (access lists)
Cortafuegos personales,
herramientas de detección de
rastreo (BlackICE, ZoneAlarm)
Desconectar servicios inútiles o
peligrosos
Anatomía de un ataque.
Enumeración
Objetivo
Descubrir cuentas de usuario válidas y recursos
compartidos mal protegidos
Técnicas
Listados de cuentas (finger)
Listados de ficheros compartidos (showmount,
enumeración NetBIOS)
Identificación de aplicaciones (banners, rpcinfo,
rpcdump, etc.)
NT Resource Kit
Contramedidas
Las del rastreo
Control del Software
Formación de los usuarios
4
Anatomía de un ataque.
Acceso
Objetivo
Ya disponemos de información suficiente
para intentar un acceso documentado al
sistema
Técnicas
Robo de passwords (eavesdroping) y
crackeado de passwords (Crack, John the
Ripper)
Forzado de recursos compartidos
Obtención del fichero de passwords
Troyanos y puertas traseras (BackOrifice,
NetBus, SubSeven)
Ingeniería social
Anatomía de un ataque.
Acceso
Contramedidas
Control de las actualizaciones del
software
Control en la instalación o ejecución
de aplicaciones
Cortafuegos personales, detección
de intrusiones
Educación de los usuarios
(selección de buenas passwords)
Auditoría e históricos
5
Anatomía de un ataque.
Obtención de privilegios
Objetivo
Obtener permisos de administrador a partir
de los permisos de usuario
Técnicas
Vulnerabilidades conocidas
Desbordamiento de buffers, errores en el
formato de cadenas, ataques de validación
de entradas
Capturadores de teclado
Las del acceso
Contramedidas
Las del acceso
10
Anatomía de un ataque.
Pilfering
Objetivo
Nueva búsqueda de información para
atacar a otros sistemas de confianza
Técnicas
Evaluación del nivel de confianza (rhosts,
secretos LSA)
Búsqueda de passwords en claro (bases de
datos, servicios Web)
Contramedidas
Las del acceso
Herramientas de monitorización de red
Actuaciones en el nivel de arquitectura
11
6
Anatomía de un ataque.
Borrando las huellas
Objetivo
Una vez que se tiene el control total del
sistema, ocultar el hecho al administrador
legitimo del sistema
Técnicas
Limpieza de logs
Ocultación de herramientas
Troyanos y puertas traseras
Contramedidas
Gestión de históricos y monitorización, a
nivel de red y a nivel de host.
Control del SW instalado
12
Anatomía de un ataque.
Creación de puertas traseras
Objetivo
Permiten a un intruso volver a entrar en un
sistema sin ser detectado, de la manera más
rápida y con el menor impacto posible
Técnicas
Cuentas de usuario ficticias, robadas o inactivas
Trabajos batch
Ficheros de arranque infectados, librerías o
núcleos modificados
Servicios de control remoto y caballos de Troya
(Back Orifice)
Servicios de red inseguros (sendmail, rhosts,
login, telnetd, cronjob)
Ocultación del tráfico de red y ocultación de
procesos
13
7
Anatomía de un ataque.
Creación de puertas traseras
Contramedidas
Básicamente, las del acceso
(control riguroso del SW ejecutado,
monitorización de los accesos,
sobre todo a determinados puertos,
cortafuegos personales, etc.)
Búsqueda de ficheros sospechosos
(nombres por defecto de las puertas
traseras).
14
Anatomía de un ataque.
Denegación de servicio
Objetivo
Si no se consigue el acceso, el atacante
puede intentar deshabilitar el objetivo
Técnicas
Inundación de SYNs
Técnicas ICMP
Opciones TCP fuera de banda (OOB)
SYN Requests con fuente/destino idénticos
Contramedidas
Configuración cuidadosa de los cortafuegos
y routers.
15
8
Ejemplo de ataque: DDOS
Máquina
objetivo
Máquina
origen
Zombi
16
17
9
Ejemplo de ataque: Inserción de código
SQL
Formulario Web donde se solicita nombre de
usuario y clave
En el servidor se utilizan los datos para rellenar
la consulta SQL:
SELECT user_id FROM users WHERE strlogin=‘xuan’ AND strpassword=‘aab’
usuario clave
Se introduce en el formulario:
Clave: “ OR 1=1 --
Usuario: cualquier cosa
Clave: “ OR 1=1; DROP table users; --
18
19
10
Ejemplo de ataque: Fishing bancario
20
Dirección diferente
Dirección real: http://rumager.com/...
Protocolo no seguro
21
11
Ejemplo de ataque: Fishing bancario
Entramos en la página
Nos pide el nombre de usuario y la contraseña
del supuesto banco
La introducimos
No informa que el problema ha sido solucionado
!TIENEN NUESTRO NOMBRE DE USUARIO Y
NUESTRA CONTRASEÑA!
22
Suplantador
Denegación de servicio
IP: 156.35.14.2
Suplantado
IP: 156.35.14.2
Se modifican las rutas
23
12
Ejemplo de ataque: IP Spoofing
24
13
Ejemplo de ataque: Mitnick/Shimomura
Pasos:
1. El atacante entía un TCP SYMM flood a un equipo,
llamémosle A, en el que confía la víctima
2. El atacante envía un paquete, con suplantación de
dirección IP fuente a la víctima pretendiendo ser A.
Son el bit SYN habilitado. Paso inicial de conexión en
TCP
3. La víctima contesta con un paquete SYM, ACK. A no
recibe el paquete. El atacante que no recibe tampoco
este paquete debe conocer el número de secuencia
26
Pasos:
4. El atacante simula el mensaje 3 de creación de la
sesión TCP
5. Por la conexión TCP envía comando para que
añada una entrada comodín (‘++’) al fichero ./rhost.
El ordenador de Shimomura comienza a confiar en
cualquiera
6. El atacante envía un mensaje TCP con el bit de
RST (reset) activado para cortar la conexión
27
14