Académique Documents
Professionnel Documents
Culture Documents
Profesor:
Juan David Berrio Lpez
Introduccin:
Son muchas las amenazas a las cuales esta expuesta la informacin y las
comunicaciones digitales, tanto a nivel de desastres naturales, tales como
terremotos, incendios, inundaciones, entre otros, como a nivel del hombre, ya
que la mayora de incidentes relacionados con la informtica y las
comunicaciones, son causadas por el hombre. Teniendo presente al hombre
como el causante mayor de los incidentes y delitos informticos, este modulo
esta orientado a identificar los tipos de atacantes y grupos dedicados a violar la
seguridad de las redes informticas, as como las tcnicas especiales de
ataque e intrusiones usadas por los diferentes delincuentes informticos.
Lastimosamente
el
conocimiento
de
los
delincuentes
informticos
Objetivos:
El termino Hacker como tal, tiene unas clasificaciones segn las actividades a
las cuales se dedica el individuo, las cuales son:
Black
Hats:
Individuos
con
extraordinarias
capacidades cognitivas en la ciencia de la
computacin
y en especial en el arte de la
programacin, pero utilizando dichas capacidades
para fines actividades no legales y destructivas. Estos
individuos ms comnmente se conocen como
Crackers, y son los encargados de reventar claves
de sistemas usando procesos de criptoanlisis bastante complejos. La mayor
habilidad de un Black Hat radica en su conocimiento en el arte de la
programacin de las computadores en todos sus niveles, adems algunos son
buenos matemticos y fsicos.
Entre las actividades ms comunes que ejecuta un Cracker, son las siguientes:
incauto y lo tiente a visitar dicha pagina, para finalmente hacer algn tipo de
estafa tipo Phising (Ver termino Phising en las tcnicas de intrusin)
Virus Coders: Son entusiastas de la creacin de cdigos
maliciosos, o lo que comnmente se conoce como virus
informticos. Estos individuos son expertos en el arte de la
programacin. Estos expertos en programacin, lo que
buscan es demostrar el poder de sus conocimientos
analizando y construyendo virus informticos y todo tipo de
programas dainos (Malware), los cuales son finalmente
distribuidos son control por medio de Internet, para conseguir
as una propagacin masiva en poco tiempo y de esta forma lograr una mayor
notoriedad o representacin en los medios de comunicaciones.
Es un hecho que los creadores de virus han mejorado notoriamente sus
tcnicas, ya que son capaces de crear virus informticos especializados en el
robo de informacin sensible, relacionada con el rea financiera y en especial
con el sector bancario. En febrero de 2006 se dio a conocer la noticia de que
tres expertos en informtica del pas de Rusia, estaba promocionando y
vendiendo por Internet por el precio de 4.000 Dlares, un virus que era capaz
de explotar las vulnerabilidad del sistema de archivos grficos de Microsoft
Windows llamada WMF.
Defacers: Son los individuos que se dedican al arte o tnica de ataque de
defasar o desfigurar paginas Web (Ver Tcnica de Intrusin Deface). Por lo
regular los Defacers son contratados para alterar el contenido de pginas Web
del estado, gubernamentales, de empresas importantes, militares, entre otros.
Finalmente se procede a describir un tipo especial de Hacker, y es el Hacker
tico, el cual por lo regular es un profesional de la informtica con
conocimientos representativos en redes y sistemas operativos. La funcin y
formacin de un Hacker tico radica en que este se prepare para intentar
penetrar una red o sistema informtico, antes que lo haga un delincuente real,
as una empresa u organizacin, contara con una lnea de defensa ante un
ataque informtico bastante representativa.
Muchos de los tipos de expertos en seguridad y ataques informticos, al
realizar alguno de los ataques a redes del gobierno o militares, son motivados
por determinadas ideologas y forma de pensar, o lo que en trminos
informticos se conoce como Hackitivismo.
Hackitivismo: Este trmino se define como realizar
prcticas de Hacking Ilegal por una causa en especial. Por
lo regular el Hackitivismo esta basado en ideales
relacionados con la vida social, poltica y religiosa.
Dinero
Superacin ante otros Hacker (Estudio-Aprendizaje)
Venganzas
Diversin y Maldad (Es muy Comn)
Competencias afines
Inconformidad
Guerras entre grupos afines dedicados al Hacking
Anonimato
Ping. Para saber si el objetivo esta vivo o recibe este tipo de peticiones
TracerRoute: Para trazar la ruta desde el equipo del atacante hacia la
victima, y as poder observar las rutas y las direcciones IP de los
equipos que tiene que pasar un paquete de red del equipo del atacante
al de la victima.
Permite hacer una consulta ala base de datos Whois, con el objetivo de
poder recolectar ms informacin de la victima. En una consulta a una
base de datos Whois se puede encontrar informacin al respecto de una
direccin electrnica, tal como los DNS primario y secundario, el
nombre, direccin y telfono de la persona que ha registrado un
determinado dominio, entre otras cosas mas, lo cual puede ser de gran
inters para un atacante.
Otra forma que usan los atacantes para recolectar informacin, es usando la
tcnica identificada como Dumpster diving, la cual consiste en recolectar
informacin de la basura, ya que muchas personas no se percatan de romper
los papeles usados en impresiones digitales, hojas reciclables, entre otros. Esta
informacin que finalmente termina en la basura, puede ser recolectada por el
atacante y de all puede sacar informacin que le puede ser de importancia al
momento de lanzar el ataque informtico sobre la victima.
Existen varias tcnicas de escaneo de puertos, las cuales varan segn las
necesidades y habilidades del atacante. Antes de hablar de cada una de ellas,
se debe de comprender lo que significa el intercambio en tres vas del protocolo
TCP.
Se debe de tener presente que el protocolo TCP es un protocolo que trabaja en
la capa de trasporte del modelo de referencia OSI y es un protocolo orientado a
conexiones, es decir que antes de comenzar a trasmitir informacin entre dos
host, estos primero deben de sincronizarse y realizar de forma completa lo que
se conoce como intercambio de tres vas, el cual se puede apreciar en la
siguiente imagen.
Este intercambio tiene tres pasos, los cuales son los siguientes:
Para saber si el puerto esta cerrado o no, el proceso de TCP FIN Scan debe
de hacer lo siguiente. Supongamos la comunicacin entre un host A y B
TCP Null scan. Este tipo de exploracin pone a cero todos los indicadores de
la cabecera TCP, por lo tanto la exploracin debera recibir como resultado un
paquete de reset (RST) en los puertos no activos.
No es recomendable usar este tipo de exploracin de puertos con Sistemas
Microsoft, ya que la informacin que se devolver ser un poco confusa y poco
valida. Este tipo de exploracin es recomendable llevarlo a la practica en
sistemas de tipo UNIX, LINUX y *.BSD
UDP Scan: Mediante este tipo de exploracin de puertos, es posible
determinar si un sistema esta o no disponible, as como encontrar los servicios
asociados a los puertos UDP que encontramos abiertos. Tener presente que
todos los anteriores tipos de exploracin son orientados al TCP.
Para realizar esta exploracin se envan datos del tipo UDP al host que se
quiere explorar En el caso de que el puerto este cerrado, se recibir un
mensaje ICMP de puerto no alcanzable (port unreachable). Si el puerto esta
abierto, no se recibir ninguna respuesta.
Nota: recordar que el protocolo UDP es un protocolo no orientado a
conexiones.
Para saber si el puerto esta cerrado o no, el proceso de UDP Scan, debe de
hacer lo siguiente. Supongamos la comunicacin entre un host A y B.
remitirse
la
pagina
oficial
de
Nessus
KeyLoggers:
Son un tipo
de
programas clasificados por la mayora de
casas antivirus como Malware, y su
funcin principal es la de capturar en un
archivo de texto las pulsaciones del
teclado, las paginas Web visitadas,
programas ejecutados y dems usos que se le den al sistema infectado por
el Keylogger, sin que el usuario se percate de ello, los Keylogger tambin
son configurables para enviar el log por medio de correo Electrnico,
apoyados por su propio motor SMTP. Estos ltimos tipos de Keyloggers que
envan el Log por coreo electrnico son los ms sofisticados que hay en el
mercado de este tipo de programas, adems los Keyloggers pueden venir
acompaados como una funcin en un virus de tipo Troyano. Los
Keyloggers pueden estar basados en Hardware o Software.
Un Keylogger trabaja como lo muestra la siguiente figura.
Perfect Keylogger
KeyGhost
Best Free Keylogger (BFK) (Este es Libre o sea con licencia GPL), los
anteriores tienen versiones gratuitas, pero no son de condigo abierto,
solo se mencionan a nivel informativo.
Simple Pitn Keylogger, es otro proyecto similar al anterior.
HTTPS
SSL
SSH
SFTP
Basic, Delphi, entre otros, los cuales buscan por ejemplo, saturar el sistema o
robar la identidad y datos sensibles del equipo del usuario victima que han
infectado previamente.
Los virus informticos son percibidos como una amenaza representativa para
las redes informticas de las empresas, por lo tanto los virus son una amenaza
en general para los procesos de los negocios corporativos. Un virus puede
empaquetarse dentro de un programa, el cual a simple vista, es de utilidad
para el usuario, pero una vez se ejecute, el virus puede ejecutarse de forma
paralela e infectar el equipo del usuario victima. Por lo regular un virus
informtico trabaja en el sistema infectado, sin que el usuario tenga
conocimiento de ello.
Entre las caractersticas de un virus se tienen:
al
Este aplicativo esta conectado a una base de datos SQL Server 2000, en
donde hay una tabla que se llama usuarios, la cual tiene los campos user y
clave.
Se tiene presente que dicha pagina es vulnerable a inyecciones SQL, por lo
tanto un atacante va a tratar de ejecutar la tcnica de SQL Injection en dicha
pagina Web, para lo cual ejecutara lo siguiente.
cual se ven tan saturado sin poder atenderlas todas, que finalmente queda
fuera de servicio.
Un ataque de negacin de servicios es un delito clasificado como de alta
gravedad y es penalizado en muchos pases con altas multas y con crcel.
El funcionamiento bsico de un ataque de negacin de servicios, puede
apreciarse en la siguiente figura.
Entre los ataques de negacin de servicios se distinguen dos tipos, los cuales
son: Ataque DoS y ataque DDoS. El ataque de tipo DoS esta definido en los
prrafos anteriores, mientras que el ataque de tipo DDoS, significa ataque de
negacin de servicios distribuido, y a diferencia del DoS, este ataque consiste
en llevar a la practica el envi masivo de solicitudes des cientos o miles de
computadores, las cuales son controladas por el Hacker, a un servidor definido
de forma previa como victima del ataque DDoS. Para que una maquina sea
controlada va remota por un atacante en este tipo de tcnicas DDoS, es
necesario que la maquina este infectado con un software llamado Zombie, el
cual convierte a la maquina en una maquina Zombie, la cual puede ser
administrada y posteriormente sincronizada con otras maquinas, para
posteriormente llevar a la practica a la misma hora el ataque de negacin de
servicios distribuido. Un ataque de negacin de servicios distribuido se puede
apreciar de forma esquemtica en la siguiente grafica.
Los medios que usan los atacantes para llevar a la practica ingeniera social son
el telfono, Internet, vestidos como empleados de alguna entidad, entre otros.
La ingeniera social aprovecha las fallas humanas, ya que aqu no se habla de
aprovecharse de un defecto de programacin o de una vulnerabilidad de un
software o sistema operativo, aqu la vulnerabilidad esta en el ser humano,
representado en administradores o tcnicos de informatica mal capacitados en
seguridad o de usuarios finales incautos.
Un ejemplo de ingeniera social, seria la de un atacante que llama a un usuario
de una empresa en particular y se hace pasar por un nuevo tcnico del rea de
informatica, convenciendo finalmente al usuario de que le brinde informacin
confidencial, como nombres de usuario y contraseas de acceso por ejemplo.
Resumen.
Este modulo y sus respectivos captulos se ha tratado de facilitar a los
diferentes estudiantes el conocimiento relacionado con los diferentes tipos de
amenazas a la informacin y comunicaciones digitales, dichas amenazas se
ven representadas en individuos, los cuales se representan y clasifican en
diferentes tipos atacantes informticos y se ven representadas tambin en las
diferentes tcnicas de ataque que son usadas por los delincuentes informticos
para tratar de violar la seguridad de un sistema informtico y finalmente
comprometerlo con fines delictivos.
Son muchas las tcnicas y metodologas de ataque a sistemas y redes
informticos, sin embargo en el presente modulo, se han visto las mas
representativas, con el fin de que el estudiante pueda tener conocimiento de las
principales amenazas a las que las redes corporativas y de usuarios comunes
estn expuestos.
Ejercicios de Autoevaluacin
Glosario.
ACCESO REMOTO: Utilidad para que un usuario acceda desde su propio PC
a otro que est ubicado remotamente y pueda operar sobre l.
ADDRESS RESOLUTION PROTOCOL (ARP): protocolo de la familia TCP/IP
que asocia direcciones IP a direcciones MAC.
AGUJERO O BUG: Una vulnerabilidad en el diseo del software y/o hardware
que permite engaar a las medidas de seguridad.
AUTENTICACIN: Proceso en el que se da fe de la veracidad y autenticidad
de un producto, de unos datos o de un servicio, as como de la fiabilidad y
legitimidad de la empresa que los ofrece.
CODIGO MALICIOSO: Es un trmino genrico utilizado para describir el
software malicioso tales como: virus, troyanos, etc
DELITO INFORMTICO: Delito cometido utilizando un PC; tambin se
entiende por delito informtico cualquier ataque contra un sistema de PC's.
DNS (Domain Name System/Sever: Servidor de nombres de dominios):
Sistema de computadoras y bases de datos distribuidas organizadas en forma
jerrquica que se encarga de convertir (resolver) las direcciones de Internet
(como www.google.com) en la direccin IP correspondiente y viceversa.
Componen la base de funcionamiento de las direcciones electrnicas en
Internet y estn organizadas jerrquicamente.
EXPLORACIN DE PUERTOS: tcnica utilizada para identificar los servicios
TCP o UDP que ofrece un sistema o red informtica.
FIREWALLS: Conjunto de Software y Hardware de proteccin y dispositivos
especiales que colocan barreras al acceso exterior a una determinada red
privada. Es utilizado para proteger los recursos de una organizacin, de
consultas externas no autorizadas.
FTP (File Transfer Protocol): Protocolo estndar para transferencia de
archivos entre computadoras, utilizado Internet.
HTTP (HiperText Transfer Protocol): Es un protocolo que define la sintaxis y
la semntica que utilizan los elementos software de la arquitectura Web
(clientes, servidores, proxies) para comunicarse entre si.
INTEGRIDAD DE ARCHIVOS: Tcnicas utilizadas para conseguir archivos de
backup correctos de modo que se pueda recurrir a ellos en caso de tener que
recuperar datos crticos despus de que los datos originales se contaminen
debido a una accin accidental o provocada (por ejemplo, un virus).
Bibliografa:
SCAMBRAY, J. MCCLURE, S. KURTZ, G. (2001). Hacking Exposed: Network
security secrets and solutions, 2nd ed. Osborne-McGraw Hill.
SILES PELEZ, R. (2002). Anlisis de seguridad de la familia de protocolos
TCP/IP y sus servicios asociados.
VERDEJO LVAREZ, G. (2003). Seguridad en redes IP. Universidad
Autnoma de Barcelona.
ANONYMOUS (1998). Maximum Security: A Hackers Guide to Protecting Your
internet Site and Network. Sams.
STUART McClure, SCAMBRAY Joel, KURTZ George.(2003) HACKERS 4,
Secretos y Soluciones para la seguridad de redes. 1 ed. Espaa. McGraw Hill
STUART McClure, SCAMBRAY Joel, KURTZ George.(2000) HACKERS 1,
Secretos y Soluciones para la seguridad de redes. 1 ed. Espaa. McGraw Hill
ALVAREZ MARAO Gonzalo, PEREZ GARCIA Pedro Pablo. (2003)
Seguridad Informtica para empresas y particulares, 1 ed, Espaa. McGraw
Hill
EC-Council. (2003) The Ethical Hacking Hand Book Official Course Material, 3
ed , EE.UU. Osb Publisher Pte Ltd