Ataques Informáticos

Evolución en los ataques ...

Primera Generación (Ataque Físico): se centraban en loscomponentes electrónicos .

Segunda Generación (Ataque Sintáctico): son contra la lógicaoperativa de las computadoras y las redes. Pretenden explotarvulnerabilidades de los programas, algoritmos de cifrado y losprotocolos.

las

Tercera Generación (Ataque Semántico): colocación de informaciónfalsa en medios informativos, spam, falsificación de e-mails, estafasde ventas por Internet, alteración de bases de datos de índicesestadísticos o bursátiles, etc.

Clases de ataques

Número de paquetes a enviar en el ataque:

Atomic: se requiere un único paquete para llevarlo a cabo

Composite: son necesarios múltiples paquetes

Información necesaria para llevar a cabo el ataque:

Context: se requiere únicamente la cabecera del protocolo

Content: es necesario también el campo de datos o payload

Ping de la Muerte Land attack

Winnuke

Escaneo de PuertosSYN Flood

TCP HijackingContext

Ataque DNSProxied RPCAtaque IIS

Ataques SMTP String matches

SniffingContent

Atomic Composite

Tipos de Ataques

Difícil de detectar, sólo se puede prevenir

Difícil de prevenir,más se puede detectar

Activos:

Suplantar identidad,Infiltrar servidoresModificar informaciónNegar servicio

Pasivos:

Escuchar y monitorear a escondidas

Modelos de Ataques

E R E R

I I

Intercepción Modificación

E R E R

I I

InterrupciónFabricación

E: EmisorR: ReceptorI: Intruso

Ataques ...

CABALLOS DE TROYA : Introducción dentro de un programa unarutina o conjunto de instrucciones, no autorizadas, desconocida dela víctima. El programa actúa de una forma diferente a como estabaprevisto (por ejemplo robando e informando al cracker) o cambia elcódigo fuente para incluir una puerta trasera.

INGENIERIA SOCIAL: Convencer a la víctima de hacer lo que enrealidad no debería.

Suplantación de una autoridadAtaque al egoProfesiones anodinas (personal de limpieza, teléfono, etc)Recompensa (concurso de contraseñas :-( …)

Ataques ...

FOOTPRINTING: Extraer toda la información posible delobjetivo del ataque, ya sea un sistema, red o dispositivo

electrónico, previo al ataque. Esto se logra revisando los grupos

de noticias públicos de esa comunidad (por ejemplo, whois) o

los fuentes HTML de las páginas Web (wget).

Existen otras utilidades: ping, finger (en desuso), rusers,nslookup, rcpinfo, etc. Esta es la fase previa

una auditoría.a la preparación

de un ataque o el inicio de

Ataques ...

FINGERPRINTING: Extraer información de un sistema, identificando el

sistema operativo y las vulnerabilidades de la versión .

– FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden, otros

como Windows NT devuelven un FIN-ACK.

– Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. Linux

devuelven un SYN-ACK con el mismo flag activo.

– Monitorización del “Don’t fragment bit”: Algunos sistemas operativos, por defecto,

tienen el bit de no fragmentación (DF) como activo y otros no.

– TOS : Ante los mensaje “ICMP port unreachable” puede examinarse el campo TOS,

que suele ser cero pero puede variar.

– TTL : ¿Cuál es el valor de los paquetes salientes en el campo Time To Live (TTL)?

Ataques ...

ESCANEO DE PUERTOS (Port Surfing): Buscar puntos deentrada o servicios instalados en los puertos bien conocidos. Se usanmap.

- TCP connect scan: mediante el establecimiento de una conexión TCP completa (3 pasos).

- TCP SYN scan: se abren conexiones a medias, ya que simplemente se envía el paquete SYN inicial, determinando la existencia de un servicio si se recibe el SYN-ACK. Si no hubiere servicio se recibe un RST-ACK. En el caso de existir el servicio se devuelve un RST-ACK para no establecer conexión alguna, y no ser registrados por el sistema objetivo.

ESCANEO DE PUERTOS CON ICMP: verificar si hay direccionesIP activas.

Ataques ...

SNIFFING: Intercepción pasiva del tráfico de red. Se usa wireshark

corriendo sobre el puerto promiscuo del switch o en un hub. Este método lo utiliza el atacante para capturar login y passwords de usuarios, cuando viajan en claro al ingresar a sistemas de acceso remoto. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. Otro uso es para determinar relaciones entre organizaciones e individuos.

SNOOPING : Al igual que el sniffing es obtener la información sinmodificarla. Sin embargo los métodos son diferentes usan herramienta estilo troyanos (ttysnoop). Los casos más conocidos fueron : el robo de un archivo con más de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las NacionesUnidas, acerca de la violación de derechos humanos en algunos paíseseuropeos en estado de guerra.

Ataques ...

TAMPERING O DATA DIDDLING: Modificación desautorizada alos datos, o al software instalado, incluyendo borrado de archivos.Estos ataques son particularmente serios cuando el atacante haobtenido derechos de administrador pues pueden llevar hasta unDoS. Los atacantes pueden ser empleados (o externos) bancariosque crean falsas cuentas para derivar fondos de otras cuentas,estudiantes que modifican calificaciones de exámenes, ocontribuyentes que pagan para que se les anule la deuda deimpuestos. Múltiples web sites han sido víctimas del cambio desus home page por imágenes terroristas o humorísticas, o elreemplazo de versiones de software para download por otros con el

mismo nombre pero que incorporan código malicioso como virus

o troyanos(Back Oriffice o NetBus).

Ataques ...

IP SPOOFING: Suplantación de identidad como por ejemploconseguir el nombre y password de un usuario legítimo. El intrusousualmente utiliza un sistema como trampolín para ingresar en otro,y así sucesivamente. Este proceso, llamado looping, tiene la finalidad

de evaporar la identificación y la ubicación del atacante. Otra consecuencia del looping es que una compañía o gobierno puedensuponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad puede estar siendo atacada por un insider, o por un estudiante a miles de kms de distancia, pero que ha tomado la identidad de otros.

SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realizaautenticación

Ataques ...

DoS: Ataque que se concentra en sobrepasar los límites de recursosestablecidos para un servicio determinado, obteniendo comoresultado la eliminación temporal del mismo.

• Finger Bomb: permite forzar al sistema destino a un consumoelevado de CPU realizando una petición finger recursiva. Scriptscomo kaput hacen uso de esta vulnerabilidad (ya superada).

• Net Flood: satura el sistema con mensajes que requieren establecer conexión: TCP SYN Flood, Connection

Flood, SMTP Flood

DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masivaa un mismo objetivo visible desde distintos lugares de la red.

Fingerprinting con nslookup