Ataques y contramedidas

Un ataque es cualquier accin que viole la seguridad. Un ataque ocurre cuando una persona o un grupo de personas intentan acceder, modificar o daar un sistema o entorno, afectando alguno o varios de los principios fundamentales de la seguridad de la informacin (Confidencialidad, Disponibilidad e Integridad).

A menudo se encuentran dirigidos a explotar alguna debilidad o vulnerabilidad existente en el software o protocolos de comunicacin ms comnmente utilizados.

Ataque de acceso: Es un ataque donde alguien quiere acceder a sus recursos. Ataca la privacidad. Ataque de modificacin: Es un ataque de alguien que quiere modificar los datos de sus sistemas de informacin. Ataca la integridad. Ataque de denegacin de servicio: Es un ataque de alguien que quiere interrumpir algn servicio de red. Ataca la disponibilidad.

Los motivos:
Por diversin o desafo Por venganza Por terrorismo Econmico Ventaja competitiva Poder

Factores que Contribuyen a la Ejecucin de Ataques:

Falta de polticas y/o normativas Falta de supervisin y/o control Ausencia de Planes de Concientizacin Software desactualizado Errores en el Software Errores de Configuracin Errores de Implementacin Negligencia Fallas en los procesos de implementacin

Fases de un Ataque:
Reconocimiento: recopilar toda la informacin que le sea posible sobre el objetivo. Escaneo: proceder a analizarla en forma minuciosa a fin de aprender todo lo posible respecto del objetivo, intentando identificar debilidades y vulnerabilidades que puedan ser aprovechadas. Obtencin de Acceso: Luego de estudiada la informacin e identificadas las posibles vulnerabilidades, el intruso escoger y ejecutara el ataque ms conveniente con el objeto de lograr acceso. Mantenimiento de Acceso: Eventualmente, el atacante podra intentar conducir una serie de acciones, a partir de las cuales le sea posible en caso de ser necesario, volver al sistema atacado en forma recurrente. Borrado de Huellas: el atacante probablemente intentar abandonar el lugar de los hechos sin dejar rastros que lo liguen con la intrusin, por medio del borrado de sus huellas.

Fases de un Ataque:

Fases de un Ataque: Reconocimiento Investigacin: Consultas en buscadores o herramientas como nslookup o whois. Restringir la informacin que se difundir, Escaneo: Herramientas como Nmap, Network Mapping Tools, Nessus, etc. Filtrado de puertos, la eliminacin en el sistema de los servicios innecesarios, la implementacin de sistemas de IDS e IPS. Obtencin de Acceso Penetracin: Explotacin de vulnerabilidades, Debilidad de contraseas, Servicios mal configurados, Decepcin o engao. Actualizacin constante del software instalado, Ejecucin peridica de anlisis de vulnerabilidades, Implementacin de HIDSs+, NIDSs e IPSs Mantenimiento de Acceso - Extensin de la Influencia: backdoors, RootKits y/o troyanos. filtrado de paquetes, los sistemas HIDSs, NIDSs, IPSs, y el control peridico de los archivos de log. Borrado u Ocultamiento de Huellas: Borrado de archivos de auditora o logs. Imgenes limpias

Efectos de un Ataque
Interceptacin: suele producirse cuando un usuario NO autorizado, obtiene acceso a informacin para la cual no posee acceso formal. El objetivo ltimo de un ataque de interceptacin, es el de ganar acceso a informacin para la cual el atacante no se encuentra autorizado. Sniffing o Eavesdropping. Modificacin: Modificar el flujo de datos en una comunicacin o editar el contenido de un archivo en un servidor. El objetivo ltimo de todo ataque de modificacin es realizar cambios sobre el entorno. Incluye eliminacin, insercin o alteracin de informacin. Man-in-the-middle, Manipulacin de datos (Tampering) Interrupcin: consiste en afectar, daar o dejar sin funcionamiento un sistema completo o parte de ste. Para un atacante, puede ser un desafo, una venganza o la forma de facilitarle el acceso a algn otro recurso. DoS, DDoS.

Falsificacin: el objetivo es hacer creer a un sistema o dispositivo de la veracidad de los mismos, a fin de que este ejecute alguna accin que pueda ser aprovechada por el atacante, o simplemente a escenarios donde una persona participe de una conversacin simulando ser otro. Spoofing.

Ataques Activos: aquellos en los cuales el atacante intenta causar dao o afectar de algn modo determinado, a una red o sistema mediante algn tipo de participacin activa. DoS (Denial of Service) / DDoS (Distributed Denial of Service) Buffer Overflows SYN Attacks IP spoofing

Los ataques de DoS (Denial of Service - Denegacin de Servicio): Apuntan exclusivamente a afectar en forma negativa, el funcionamiento de un servicio ofrecido por algn sistema o dispositivo de red, ya sea disminuyendo su capacidad operativa o anulndolo de modo permanentemente. Estos ataques generalmente son apuntados hacia un servidor o grupo de servidores especfico, pero tambin pueden ser ejecutados contra aplicaciones web, routers, switches, hosts especficos, o contra la infraestructura de toda una red. Por explotacin de errores de aplicaciones: Se envan paquetes malformados que generan una cada de la aplicacin . Por mensajes de control: Se envan paquetes con mensajes de control para que los dispositivos interrumpan la operacin de la red . Por inundacin (flooding): Consumen los recursos con una gran cantidad de paquetes

Contramedidas:

Actualizacin de software. Filtrado de paquetes Sistemas de deteccin y prevencin de intrusos

DDoS o Denegacin de Servicio Distribuida: Utiliza mltiples computadoras para atacar a una sola entidad. El programa de ataque permanece latente en las computadoras hasta que reciben una seal del usuario malicioso (no necesariamente el mismo que haya instalado el software de ataque en los hosts). Esta seal, le indica a todos los hosts (comnmente llamados zombis) en forma simultnea que deben comenzar el ataque hacia un destino determinado. Contramedidas: Definir el nmero mximo de conexiones, o la capacidad mxima que puede consumir en el host.

Buffer Overflow: Puede ocasionar negaciones de servicio o habilitar que determinado cdigo no autorizado se ejecute en modo privilegiado. Se produce cuando un programa, producto de su codificacin, es poco estricto en la gestin de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operacin.

Contramedidas: Utilizacin de prcticas de programacin segura, el reemplazo de funciones inseguras.

Spoofing: Todo aquel tipo de ataques en el cual son utilizadas tcnicas de suplantacin de identidad. Desde el punto de vista del atacante, el spoofing suele ser utilizado bsicamente para proveer informacin falsa acerca de su identidad, con el fin de ganar acceso no autorizado a un sistema, o tan solo para pretender ser algo que no es. Uno de los ataques de spoofing o suplantacin ms conocidos, sin dudas sea aquel relacionado con falsos programas de logon. En este escenario, un atacante desarrolla un programa de logon (fake logon) que se ve exactamente igual que el original y lo ejecuta en el equipo de la vctima.

Spoofing: IP SPOOFING: Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. ARP SPOOFING: Suplantacin por falsificacin de tabla ARP. Se encuentra relacionado con la construccin de tramas de solicitud y respuesta ARP modificadas, a fin de falsear la tabla ARP de una vctima y forzarla a que enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo. DNS SPOOFING: Suplantacin por nombre de dominio. Se trata de falsear la relacin "Nombre de dominio-IP" ante una consulta de resolucin de nombre. MAIL SPOOFING: Suplantacin de la direccin e-mail de otras personas o entidades. Dicha tcnica suele ser utilizada con frecuencia en el envo de hoax y spam, como as tambin como suplemento perfecto para el uso de phising.

Contramedidas:

Utilizacin de algn mtodo confiable a la hora de autenticar los extremos de una comunicacin, asegurando que cada uno de los extremos de dicha comunicacin es quien dice ser.

Ingeniera Social

Estas tcnicas o habilidades, incluyen generalmente un engao o parcializacin de la verdad con el objetivo de obtener la confianza de la persona con los conocimientos a obtener. Una vez que se ha obtenido la confianza de la persona, se procede a obtener la informacin considerada importante. La ingeniera social se da muchas veces va telefnica, correo electrnico o a travs de sesiones de chat, donde la verdadera personalidad del atacante queda oculta. Contramedidas: la educacin de los usuarios de la red y la implementacin de planes efectivos de concientizacin.