CARLOS ROBERTO RODRIGUEZ CACHO Tipos de permisos en Unix/Linux Antes de indicar cmo se establecen los permisos en Unix/Linux, tienes

que saber cmo se pueden diferenciar los diferentes tipos de archivos que el sistema puede contener. Cada archivo en Unix/Linux queda identificado por 10 caracteres. De estos 10 caracteres, el primero por la izquierda hace referencia al tipo de archivo. El resto, es decir, los 9 siguientes, de izquierda a derecha y en bloques de 3, hacen referencia a los permisos que se le conceden, respectivamente, al propietario, al grupo y al resto. El primer carcter de los archivos puede ser el siguiente:

Estos tipos de archivos son los ms estandarizados en determinados sistemas. Hay versiones de Unix/Linux que no incluyen estos archivos, y por contra incluyen otros. Se ha de tener en cuenta que, bsicamente, para conocer la gestin de permisos es preciso centrarse en archivos ordinarios y directorios. Los siguientes nueve caracteres son los permisos que se les concede a los usuarios del sistema. Cada tres caracteres, se referencian los permisos de propietario, grupo y resto de usuarios. Los caracteres que definen estos permisos son los siguientes:

C. Permisos para archivos - Lectura: permite, fundamentalmente, visualizar el contenido del archivo con rdenes como ls, cat, pg, more y cp.

- Escritura: permite modificar el contenido del archivo. El archivo se puede editar, por ejemplo, con VI, y puede modificarse su contenido sin ningn problema. - Ejecucin: permite ejecutar el archivo como si de un programa ejecutable se tratase. Estos permisos se suelen asignar a archivos SHELL, es decir, a archivos que realizan funciones propias del sistema operativo, como copias de seguridad, anlisis de la integridad del sistema, etctera. D. Permisos para directorios - Lectura: Permite saber qu archivos y directorios contiene el directorio que tiene este permiso. Concretamente, podrs utilizar rdenes como ls. - Escritura: permite crear archivos en el directorio, bien sean archivos ordinarios o nuevos directorios. Se pueden borrar directorios, copiar archivos en el directorio, mover, cambiar el nombre, etctera. - Ejecucin: permite situarse sobre el directorio para poder examinar su contenido, copiar archivos de l. Si adems se dispone de los permisos de escritura y lectura, se podrn realizar todas las operaciones posibles sobre archivos y directorios. Si no se dispone del permiso de ejecucin, aunque utilicemos el comando cd para situarnos en el directorio, esta accin ser denegada. Permite delimitar el uso de un directorio como parte de una ruta. Si el permiso de ejecucin de un directorio est desactivado, se podr ver su contenido (si se cuenta con permiso de lectura), pero no se podr acceder a ninguno de los objetos contenidos en l, pues para ello este directorio es parte del camino necesario para resolver la ubicacin de sus objetos.

Que es un ataque Man in the Middle (MitM) Segn Wikipedia un ataque man-in-the-middle es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. Vamos a explicarlo de una manera mas simple sin entrar en detalles tecnicos de como se logra este ataque desde el lado del tipo en el medio

Como prevenirnos: A continuacin algunas recomendaciones de VeriSign para evitar ataques man-in-the-middle Usuarios finales: - Los ataques man-in-the-middle que se encuentran en la actualidad se pueden combatir a travs de los Certificados EV SSL y prestando atencin cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organizacin que posee el sitio web. Los criminales informticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.

- Descargue la ltima versin de los navegadores web de alta seguridad, como Internet Explorer 7 o versin superior, FireFox 3 o versin superior, Google Chrome, Safari u Opera. - Aproveche los dispositivos de autenticacin como los tokens y otras formas de autenticacin con dos factores para cuentas confidenciales. - Trate los correos electrnicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la direccin del sitio en el navegador).

Empresas: - Coloque el Certificado SSL EV en su pgina de inicio y en cualquier otra pgina donde se realice una transaccin segura. - No ofrezca logins en pginas que todava no estn en una sesin SSL. - Ofrezca autenticacin con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas. - No incluya enlaces en los correos electrnicos que enve a clientes y pdales que descarguen la ltima versin de sus navegadores de su preferencia. Llevar a cabo este tipo de ataque no es algo demasiado complejo pero se requieren algunos conocimientos previos y tener en cuenta algunas variables a la hora de intentarlo.

Detectar ataques MitM mediante inspeccin de la red Existen muchas soluciones para detectar los ataques MitM, pero hoy vamos a hablaros de como puede detectarse en Mac OS X mediante el anlisis de los paquetes ARP que circular por la red. sta tarea puede parecer muy tediosa, pero existen diversas aplicaciones que nos simplifican esta tarea. De hecho, este mtodo que vamos a ver es utilizado por Sistemas de Deteccin de Intrusiones (IDS) profesionales que suelen implantarse en redes corporativas. Para este ejemplo vamos a utilizar un plugin para Ettercap llamado arp_cop que realiza un anlisis de los paquetes ARP mostrando posible actividad sospechosa desde mquinas que estn realizando este tipo de ataques. Para llevar a cabo la instalacin de Ettercap ms sus mdulos podemos realizarlo mediante los Darwin ports con el comando /opt/local/bin/port install ettercap-ng +gtk +plugins. De este modo se instalar tanto Ettercap con soporte para interfaz grfico como una lista de plugins tiles para anlisis y ataques de red.

Figura 1: Instalacin de Ettercap con los plugins Posteriormente, hemos realizado un pequeo script para mejorar la eficacia del plugin arp_cop, forzando a realizar previamente un escaneo ARP de los equipos de la red para generar un estado inicial. De este modo, nada ms arrancar el plugin ya se dispondr de una lista completa de la los equipos de la red con la asociacin de direccin IP y direccin MAC de cada uno de ellos. Uno de los requisitos para realizar el escaneo ARP es tener instalada la aplicacin nmap y disponer de permisos de root. nmap tambin puede ser instalada a travs de los Darwin ports mediante /opt/local/bin install nmap. Para una mejor usabilidad es aconsejable copiar este script

en /bin/arpscan y proporcionarle permisos de ejecucin mediante el comando chmod o+rx /bin/arpscan. #!/bin/bash (sudo nmap -sP 192.168.0.0-255 > /dev/null &) & /opt/local/bin/ettercap -T -q -d -i en0 -P arp_cop La generacin de este escaneo previo permitir conocer cul es la asignacin de direcciones MAC y direcciones IP en un estado inicial en la que nuestro equipo, recin conectado a la red, no est atacado para as poder comparar con l viendo las modificaciones que se suceden en la asignacin de direcciones. Evidentemente, si la red est atacada en ese momento no se podr tener la garanta absoluta de que funcione la deteccin y es por ello que, lo ideal, sera que hubiera una construccin manual de esta tabla y/o una verificacin de los valores obtenidos. Una vez est todo instalado, podemos monitorizar los ataques o actividades extraas que se realicen en el protocolo ARP de la red a la que estamos conectados, tal y como se ve en la siguiente captura. En ella se puede ver como arp_cop detecta en tiempo real cuando nuevos equipos entran en la red, mostrando su direccin IP y su direccin MAC asociada, y cuando alguien trata de suplantar la direccin IP de otro equipo, como en el ejemplo que se ve, donde el equipo con la direccin IP 192.168.0.121 trata de realizar un ataque MitM hacindose pasar por la direccin 192.168.0.253.

Figura 2: arp_cop detectando suplantacin de direccines Otras medidas de respuesta contra ataques MitM Como usuario de una red nueva, con este pequeo script se puede realizar

la deteccin de actividad sospechosa, que te puede ayudar a conocer el nivel de riesgo que tienes en la red en la que te estas conectando. Sin embargo, si eres un usuario vengativo, tras detectar un ataque de este tipo, existen herramientas de respuesta al ataque que pueden ser realizadas a travs de la misma terminal de monitorizacin, ya que, en realidad, se trata de la interfaz de consola de Ettercap. Si se desea ver la lista de plugins disponibles es posible hacerlo mediante la tecla p. Entre los plugins disponibles se puede hacer uso dedos_attack, tal y como se ve a continuacin, que realiza un intento de ataque de Denegacin de Servicio contra la direccin IP que trataba de realizarnos un ataque de MiTM.

Figura 3: Puglings de respuesta y ataque DOS En realizad un usuario no debera encargarse de las medidas de monitorizacin y deteccin de ataques en la red, sino que debera ser responsabilidad de los equipos de seguridad y red, pero debido a la proliferacin de las redes y a la necesidad de transmitir datos confidenciales en redes de terceros por motivos de movilidad, hace que no venga de ms tener claro que sucede en la red a la que te ests conectando. Por ltimo, queremos recordar que el uso de nmap puede ser detectado en algunas redes como un ataque, as que, si la red tiene un IDS, no deberas ejecutarlo en script y, simplemente, tener arp_cop lanzado. Su eficacia ser menor, pero no levantars las alertas en todos los sistemas de proteccin de la red (si los tienen).

Concepto de FUSE

Filesystem in Userspace (FUSE, Sistema de archivos en Espacio de usuario) es un mdulo cargable de ncleo para sistemas operativos de computador tipo Unix, que permite a usuarios no privilegiados crear sus propios sistemas de archivos sin necesidad de editar el cdigo del ncleo. Esto se logra mediante la ejecucin del cdigo del sistema de archivos en el espacio de usuario, mientras que el mdulo FUSE slo proporciona un "puente" a la interfaz del ncleo real. FUSE fue oficialmente fusionado con la corriente principal del kernel Linux en la versin 2.6.14. FUSE es realmente til para la creacin de sistemas de archivos virtuales. A diferencia de los tradicionales sistemas de archivos, que, en esencia, guardan y recuperan los datos desde un disco, los sistemas de archivos virtuales en realidad no almacenan datos propios. Actan como una visualizacin o traduccin de un sistema de archivos existente o dispositivo de almacenamiento.