Ataques y Contramedidas

Un ataque ocurre cuando una persona o un grupo de personas intenta acceder, modificar o daar un sistema o entorno. Estos ataques generalmente intentan lograr algunos de estos objetivos:
Un ataque de acceso: Ataca la privacidad. Un ataque de modificacin: Ataca la integridad. Un ataque de denegacin de servicio: Ataca la disponibilidad. Un ataque de fabricacin: Ataca la autenticidad.

Las personas que ataquen los sistemas se ven motivadas por diferentes razones:
Por diversin o desafo. Por venganza. Por terrorismo. Rdito econmico. Ventaja competitiva. Poder

Las amenazas representan el posible peligro del sistema. Pueden provenir de personas (hackers, crackers), de programas o de desastres naturales. Entre las amenazas ms comunes podemos encontrar:

Eavesdropping Acceso no autorizado Denegacin de Servicio Denegacin de Servicio Distribuda

Los problemas de inseguridad actuales no se encuentran favorecidos nicamente por usuarios maliciosos, sino que muchas veces se encuentran ayudados por malas implementaciones de las aplicaciones, desconocimiento, negligencia, etc. Hemos catalogado los principales factores que pueden generar problemas de seguridad en:
Falta de polticas y/o normativas Protocolos Ambiente multilenguaje y multiproveedor Dispersin geogrfica Falta de actualizacin de software de base Uso incorrecto de las aplicaciones Errores en los programas Errores de configuracin Passwords Falta de supervisin y/o control.

Es importante conocer la forma en que proceden los intrusos para conocer la manera de detenerlos. En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por lo que podemos generalizar los pasos en:
Investigacin Penetracin Persistencia Expansin Logro del objetivo

Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo.
I N V E S T I G A C I O N

Generalmente consiste en obtener la siguiente informacin:

Informacin de la empresa objetivo. Informacin del dominio objetivo: conociendo el nombre de la empresa se puede obtener su informacin de dominio a travs de consultas tipo WHOIS. Informacin de los servidores: una vez que el intruso obtuvo el dominio, puede realizar consultas NSLOOKUP para conocer cules son los servidores que tiene la empresa.

I N V E S T I G A C I O N

Identificacin de la plataforma: uno de los principales datos que buscan de sus objetivos es la plataforma sobre la que trabajan (Windows, Linux, Novell, etc.). Esto se puede realizar mediante la utilizacin de tcnicas de OS fingerprint. Identificacin de los servicios: otra informacin importante que buscan obtener los atacantes son los servicios que ofrecen los servidores objetivos. Esto se puede realizar mediante escaneadores de puertos (port-scanners).
Contramedidas: Como primer contramedida, es necesario restringir la informacin que se difundir a travs de los servicios de DNS y WHOIS. Tambin se puede incluir filtrado de paquetes, para evitar la deteccin de la plataforma y los servicios y un Sistema de Deteccin de Intrusos (IDS) para detectar cuando se est produciendo un escaneo de puertos.

P E N E T R A C I O N

En esta situacin el atacante intentar acceder al objetivo. Para realizar este paso, utilizan diferentes tcnicas:
Explotacin de vulnerabilidades: existe algn producto instalado que permita la ejecucin de cdigo arbitrario. Debilidad de contraseas: una contrasea dbil puede permitir el ingreso de intrusos. Servicios mal configurados: un servicio que no est adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que ejecuten cdigo arbitrario.

Contramedidas:
P E N E T R A C I O N

Explotacin de vulnerabilidades: actualizacin constante del software instalado. Debilidad de contraseas: definir una poltica de contraseas robusta. Servicios mal configurados: revisar peridicamente la configuracin de los servicios.

Como contramedida general, siempre tenemos que tener en cuenta al filtrado de paquetes y la revisin peridica de los archivos de logs para conocer los eventos que han sucedido en el sistema.

P E R S I S T E N C I A

Una vez que un atacante ha logrado ingresar a un sistema, generalmente realiza actividades para evitar ser detectado y deja herramientas o puertas traseras en el sistema para poder mantener un acceso permanente.
Para evitar ser detectado, en general un atacante busca los archivos de auditora o log del sistema, para borrarlos o modificarlos ocultando su acceso y sus actividades. En Windows NT/2000, se puede realizar borrando el contenido del Visor de Sucesos.
Contramedidas: Para evitar que un intruso elimine los archivos de log, se puede optar por mantenerlos guardados fuera del lugar donde se generan. Es complicado evitar la copia de archivos, pero puede detectarse la modificacin de ellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en caso de detectar una modificacin.

E X P A N S I O N

Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltos intermedios para lograr realizar un ataque sin ser rastreados.

Esto puede generar que nuestro sistema sea vctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control peridico de los archivos de log.

L O G R O D E L O B J E T I V O

En este punto podramos decir que la tarea del intruso ha llegado a su objetivo. A partir de aqu, podemos esperar diferentes acciones por parte del intruso:
Desaparecer sin dejar rastro Avisar al administrador que se ha ingresado al sistema Comentar los fallos de seguridad encontrados a sus colegas Hacer pblicos los fallos de seguridad

Como vimos anteriormente, la seguridad debe proveer integridad, disponibilidad y confidencialidad de la informacin.
Un ataque puede tener diferentes efectos:

Nos referimos a INTERCEPTACION cuando un usuario no autorizado obtiene acceso a la informacin

Ataques de interceptacin: Eavesdropping STP Manipulation CAM table overflow

En un ataque por MODIFICACION, un usuario malicioso generalmente obtiene acceso no autorizado a un recurso con los privilegios necesarios para cambiarlo. Modificar un flujo de datos en una transmisin de red o archivos en un servidor pueden ser ejemplos de estos ataques.
Ataques de modificacin: Man-in-the-Middle Manipulacin de datos

La INTERRUPCION consiste en daar o dejar sin funcionamiento un sistema completo o parte de ste. Si bien la deteccin es inmediata, los daos ocasionados por la suspensin del servicio y el tiempo de recuperacin pueden ser muy importantes.
Ataques de interrupcin: Denegacin de Servicio Denegacin de Servicio Distribuda

La FALSIFICACION puede aplicarse a la creacin de nuevos objetos dentro del sistema, o simplemente participar en una conversacin simulando ser otro interlocutor.

Ataques de falsificacin: IP Spoofing MAC Address Spoofing

El RECONOCIMIENTO es el descubrimiento no autorizado de la topologa de la red, sus sistemas, servicios o vulnerabilidades.

Para realizar cada paso del reconocimiento de una red, existen numerosas herramientas o alternativas. Algunas herramientas ya integran toda la secuencia de pasos: detectan los hosts alcanzables en una red, y por cada uno de estos realizan una bsqueda de sus servicios y vulnerabilidades.
Utilizando por ejemplo, las herramientas nslookup y whois, un atacante puede determinar tambin el rango de direcciones IP asignados a una corporacin o entidad. Una alternativa para evitar el descubrimiento es establecer filtros de trfico. El fltrado de trfico puede actuar como una barrera que impida los paquetes ICMP echo (generalmente utilizados en la primer fase del descubrimiento).

La Interceptacin o EAVESDROPPING, es un proceso mediante el cual un agente capta informacin (en claro o cifrada) que no le iba dirigida. Lo ms peligroso del eavesdropping es que resulta muy difcil de detectar mientras se produce. Un medio de interceptacin habitual es el SNIFFING. Este mtodo consiste en capturar tramas que circulan por la red mediante un software que corre en una mquina conectada al segmento de red. Otro punto a tener en cuenta es la imposibilidad de establecer lmites concretos en redes wireless. Contramedidas: No permitir la existencia de segmentos de red de fcil acceso. Utilizar cifrado para realizar las comunicaciones o el almacenamiento de la informacin. No permitir tomas de red libres habilitados. Realizar autenticacin a nivel de la capa de enlace. Por ejemplo, en wireless la utilizacin de 802.11i.

Un ATAQUE POR ACCESO consiste en que un atacante obtiene los privilegios necesarios para acceder a los dispositivos o recursos de red en forma ilcita. Los mtodos ms utilizados son:
Explotar contraseas triviales: aplicar fuerza bruta, diccionarios o herramientas de crack. Explotar servicios mal configurados: servicios como TFTP, FTP annimo y acceso remoto al registro. Explotar fallas de aplicaciones: desbordamientos de buffers. Ingeniera social: engaar a los usuarios con el fin de obtener informacin.

Algunos ejemplos son:

Ataque Man-in-the-middle Explotacin de las relaciones de confianza Manipulacin de datos IP Spoofing Repeticin de una sesin Auto rooters Back doors

Como los routers, tanto los switches de capa 2 como los de capa 3 tienen algunas consideraciones de seguridad que se deben tener en cuenta. Los ataques o vulnerabilidades ms comunes relacionados con la capa 2 y los switches:
La sobrecarga en la tabla CAM de los switches El acceso a diferentes VLANs La utilizacin de STP para modificar el rbol de expansin La falsificacin de direcciones MAC La inundacin y saturacin del servidor DHCP

Denegacin de Servicio (DoS)

Los ataques de DoS estn apuntados exclusivamente a afectar negativamente el funcionamiento de un servicio ofrecido por algn sistema o dispositivo de red. Un ataque de DoS exitoso afectar tanto al servicio que lo volver totalmente inalcanzable. Este tipo de ataques no involucran un acceso al sistema, sino que buscan la degradacin del servicio. Los ataques DoS pueden generarse de diferentes maneras:

 Por explotacin de errores de aplicaciones: se envan paquetes malformados que generan una cada de la aplicacin. Por mensajes de control: se envan paquetes con mensajes de control para que los dispositivos interrumpan la operacin de la red. Por inundacin (flooding): consumen los recursos con una gran cantidad de paquetes.
Algunos de los ataques ms conocidos son: Ping de la muerte Syn flood Land attack Teardrop

Para defendernos de los ataques DoS por explotacin de vulnerabilidades, es imperioso mantener los sistemas libres de estas vulnerabilidades mediante las ltimas actualizaciones.
Para defendernos de los ataques de DoS por mensajes de control, necesitaremos crear filtros de paquetes apropiados. Para defendernos de los ataques de DoS por inundacin, existen dispositivos llamados IDS (Intrution Detection Systems) que ayudan a detectar a un ataque de este tipo en proceso. Otra alternativa es restringir la cantidad de conexiones simultneas que atender un servidor.

Denegacin de Servicio Distribudo (DDoS)

Bsicamente el DDoS es un ataque similar al DoS, donde se intenta consumir todos los recursos de una vctima hasta agotar su capacidad de procesamiento o llegar a un desborde. A diferencia del DoS en este caso nos enfrentamos a mltiples atacantes, ocasionando as una avalancha mucho mayor de paquetes sobre el destino del ataque. En los ataques por DDoS, el atacante se suele aprovechar de los hosts de usuarios hogareos que estn conectados en forma permanente. Este tipo de hosts, generalmente, no estn lo suficientemente protegidos, entonces un usuario malicioso podra cargar en docenas o miles de estos hosts un software de ataque. El programa de ataque permanece latente en las computadoras hasta que reciben una seal del usuario malicioso. Esta seal, le indica a todos los hosts (comnmente llamados zombis) en forma simultnea que deben comenzar el ataque hacia un destino determinado.

Un ataque muy comn de DDoS es el ataque SMURF. Este sistema de ataque se basa en transmitir a la red una trama ICMP correspondiente a una peticin de ping. Esta trama lleva como direccin de origen la direccin IP de la vctima, y como direccin de destino la direccin broadcast de la red atacada.
Otro ataque DDoS muy conocido es el TFN (Tribe Flood Network). En este ataque, un usuario malicioso obtiene acceso privilegiado a mltiples hosts e instala un software que realice Syn Flood sobre un destino en particular al momento de recibir la orden del atacante. Evitar un ataque de inundacin no resulta muy sencillo. Algunos servicios en los sistemas operativos permiten definir el nmero mximo de conexiones. Otro punto a tener en cuenta es configurar los routers de borde para que ajusten la velocidad de arribo de determinados tipos de paquetes ( por ejemplo limitar la velocidad de ICMP y TCP Syn).

Fin