Seguridad Informática. Tema: Hackers.
INTRODUCCIÓN
Los piratas ya
no tienen un parche en su ojo ni un garfio en
reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos
debajo del mar. Llegando al año 2000, los piratas se presentan con un cerebro
desarrollado, curioso y con muy pocas armas: una simple computadora y una línea
telefónica. Hackers. Una palabra que aún no se encuentra en los diccionarios
pero que ya suena en todas las personas que alguna vez se interesaron por la
informática o leyeron algún diario. Proviene de "hack", el sonido que
hacían los técnicos de las empresas telefónicas al golpear los aparatos para
que funcionen. Hoy es una palabra temida por empresarios, legisladores y
autoridades que desean controlar a quienes se divierten descifrando claves para
ingresar a lugares prohibidos y tener acceso a información indebida.
Sólo basta con repasar unas pocas
estadísticas. Durante 1997, el 54 por ciento de las empresas norteamericanas
sufrieron ataques de Hackers en sus sistemas. Las incursiones de los piratas
informáticos, ocasionaron pérdidas totales de 137 millones de dólares en ese
mismo año. El Pentágono, la CIA, UNICEF, La ONU y demás organismos mundiales
han sido víctimas de intromisiones por parte de estas personas que tienen
muchos conocimientos en la materia y también una gran capacidad para resolver
los obstáculos que se les presentan. Un
hacker puede tardar meses en vulnerar un sistema ya que son cada vez más
sofisticados. Pero el lema es viejo: hecha la ley, hecha la trampa.
Los medios de
comunicación masivos prefieren tildarlos de delincuentes que interceptan
códigos de tarjetas de crédito y los utilizan para beneficio propio. También
están los que se intrometen en los sistemas de aeropuertos produciendo un caos
en los vuelos y en los horarios de los aviones. Pero he aquí la gran diferencia
en cuestión. Los crackers (crack=destruir) son aquellas personas que siempre
buscan molestar a otros, piratear software protegido por leyes, destruir
sistemas muy complejos mediante la transmisión de poderosos virus, etc. Esos
son los crackers. Adolescentes inquietos que aprenden rápidamente este complejo
oficio. Se diferencian con los Hackers porque no poseen ningún tipo de
ideología cuando realizan sus "trabajos". En cambio, el principal
objetivo de los Hackers no es convertirse en delincuentes sino "pelear
contra un sistema injusto" utilizando como arma al propio sistema. Su
guerra es silenciosa pero muy convincente.
El avance de la era informatica ha introducido nuevos terminos en el
vocabulario de cada dia. Una de estas palabras, hacker, tiene que ver con los
delitos informaticos. Todos estamos familiarizados con las historias de
aquellos que consiguen entrar en las corporaciones informatizadas. Pero tenemos
la impresion de que el termino "hacker" es uno de los peor
entendidos, aplicados y, por tanto, usados en la era informatica.
La cultura popular define a los hackers como aquellos que, con ayuda de
sus conocimientos informaticos consiguen acceder a los ordenadores de los
bancos y de los negociados del gobierno. Bucean por informacion que no les
pertenece, roban software caro y realizan transacciones de una cuenta bancaria
a otra. Los criminologos, por otra parte, describen a los hackers en terminos
menos halagadores. Donn Parker los denomina "violadores electronicos"
y August Bequai los describe como "vandalos electronicos". Ambos,
aunque aseveran que las actividades de los hackers son ilegales, eluden
habilmente llamarlos "criminales informaticos". Hacen una clara
distincion entre el hacker que realiza sus actividades por diversion y el
empleado que de repente decide hacer algo malo. Por tanto, parece que tenemos
una definicion en la que caben dos extremos: por un lado, el moderno ladron de
bancos y por otro el inquieto. Ambas actividades (y todas las intermedias) son
calificadas con el mismo termino. Dificilmente se podria considerar esto como
un ejemplo de conceptualizacion precisa. Una gran parte de esta ambigüedad
puede seguirse desde el origen durante estos aproximadamente 20 años de vida
del mencionado termino. El termino comenzo a usarse aplicandolo a un grupo de
pioneros de la informatica del MIT, a principios de la decada de 1960. Desde
entonces, y casi hasta finales de la decada de 1970, un hacker era una persona obsesionada
por conocer lo mas posible sobre los sistemas informaticos. Los diseñadores del
ordenador Apple, Jobs y Wozniack, pueden considerarse hackers en este sentido
de la palabra. Pero a principios de la decada de 1980, influenciados por la
difusion de la pelicula Juegos de Guerra, y el ampliamente publicado arresto de
una "banda de hackers" conocida como la 414, los hackers pasaron a
ser considerados como chicos jovenes capaces de violar sistemas informaticos de
grandes empresas y del gobierno. Desgraciadamente, los medios de informacion y
la comunidad cientifica social no ha puesto mucho esfuerzo por variar esta
definicion. El problema para llegar a una definicion mas precisa radica, tanto
en la poca informacion que hay sobre sus actividades diarias, como en el hecho
de que lo que se conoce de ellos no siempre cabe bajo las etiquetas de los
delitos conocidos. Es decir, no hay una definicion legal que sea aplicable a
los hackers, ni todas sus actividades conllevan la violacion de las leyes. Esto
lleva a que la aplicacion del termino varie segun los casos, dependiendo de los
cargos que se puedan imputar y no a raiz de un claro entendimiento de lo que el
termino significa. Este problema, y la falta de entendimiento de lo que
significa ser un hacker, convierte a esta en una etiqueta excesivamente
utilizada para aplicar a muchos tipos de intrusiones informaticas. Parker y
Bequai, dos lideres en el estudio de los delitos informaticos, utilizan el
termino "hacker" de formas ligeramente diferentes. Parker reconoce
que hacking no abarca todo el rango de actividades asociadas a la violacion de
los sistemas informaticos, pero lo prefiere al termino "phreaking",
que considera muy oscuro. Por otra parte, Bequai no rechaza el termino
"phreaking" y a menudo lo aplica a hechos que Parker califica como de
hacker. Bequai confunde aun mas el termino al definir al hacker como alguien
que utiliza ilegalmente las tarjetas de credito telefonico para acceder a
sistemas que distribuyen software comercial ilegalmente. Veremos que esto tiene poco que ver con las actuaciones
propias de los hackers, pero es ilustrativa de otros tipos de actividades
informaticas inusuales.
Los terminos, "hacker", "phreaker" y
"pirata" se presentan y definen tal y como los entienden aquellos que
se identifican con estos papeles.
En primer lugar, el area de los hackers. En la tradicion de esta
comunidad informatica, el hacker puede realizar dos tipos de actividades: bien
acceder a un sistema informatico, o bien algo mas general, como explorar y
aprender a utilizar un sistema informatico. En la primera connotacion, el
termino lleva asociados las herramientas y trucos para obtener cuentas de
usuarios validos de un sistema informatico, que de otra forma serian
inaccesibles para los hackers. Se podria pensar que esta palabra esta
intimamente relacionada con la naturaleza repetitiva de los intentos de acceso.
Ademas, una vez que se ha conseguido acceder, las cuentas ilicitas a veces
compartidas con otros asociados, denominandolas "frescas". He aqui la
vision estereotipada de los medios de comunicacion de los hackers un joven de
menos de veinte años, con conocimientos de informatica, pegado al teclado de su
ordenador, siempre en busca de una cuenta no usada o un punto debil en el
sistema de seguridad. Aunque esta vision no es muy precisa, representa bastante
bien el aspecto del termino. La segunda dimension del mencionado termino se
ocupa de lo que sucede una vez que se ha conseguido acceder al sistema cuando
se ha conseguido una clave de acceso. Como el sistema esta siendo utilizado sin
autorizacion, el hacker no suele tener, el terminos generales, acceso a los
manuales de operacion y otros recursos disponibles para los usuarios legitimos
del sistema. Por tanto, el usuario experimenta con estructuras de comandos y explora
ficheros para conocer el uso que se da al sistema. En oposicion con el primer
aspecto del termino, aqui no se trata solo de acceder al sistema (aunque alguno
podria estar buscando niveles de acceso mas restringidos), sino de aprender mas
sobre la operacion general del sistema. Contrariamente a lo que piensan los
medios de comunicacion, la mayoria de los hackers no destruyen y no dañan
deliberadamente los datos. El hacerlo iria en contra de su intencion de
mezclarse con el usuario normal y atraeria la atencion sobre su presencia,
haciendo que la cuenta usada sea borrada. Despues de gastar un tiempo
sustancioso en conseguir la cuenta, el hacker pone una alta prioridad para que
su uso no sea descubierto. Ademas de la obvia relacion entre las dos acepciones,
la palabra "hacker" se reserva generalmente a aquellos que se dedican
al segundo tipo. En otras palabras, un hacker es una persona que tiene el
conocimiento, habilidad y deseo de explorar completamente un sistema
informatico. El mero hecho de conseguir el acceso (adivinando la clave de
acceso) no es suficiente para conseguir la denominacion. Debe haber un deseo de
liderar, explotar y usar el sistema despues de haber accedido a él. Esta
distincion parece logica, ya que no todos los intrusos mantienen el interes una
vez que han logrado acceder al sistema. En el submundo informatico, las claves
de acceso y las cuentas suelen intercambiarse y ponerse a disposicion del uso
general. Por tanto, el hecho de conseguir el acceso puede considerarse como la
parte "facil", por lo que aquellos que utilizan y exploran los
sistemas son los que tienen un mayor prestigio. La segunda actividad es la de
los phreakers telefonicos. Se convirtio en una actividad de uso comun cuando se
publicaron las aventuras de John Draper, en un articulo de la revista Esquire,
en 1971. Se trata de una forma de evitar los mecanismos de facturacion de las
compañías telefonicas. Permite llamar a de cualquier parte del mundo sin costo
practicamente. En muchos casos, tambien evita, o al menos inhibe, la
posibilidad de que se pueda trazar el camino de la llamada hasta su origen,
evitando asi la posibilidad de ser atrapado. Par la mayor parte de los miembros
del submundo informatico, esta es simplemente una herramienta para poder
realizar llamadas de larga distancia sin tener que pagar enormes facturas. La
cantidad de personas que se consideran phreakers, contrariamente a lo que
sucede con los hackers, es relativamente pequeña. Pero aquellos que si se
consideran phreakers lo hacen para explorar el sistema telefonico. La mayoria
de la gente, aunque usa el telefono, sabe muy poco acerca de él. Los phreakers,
por otra parte, quieren aprender mucho sobre el. Este deseo de conocimiento lo
resume asi un phreaker activo: "El sistema telefonico es la cosa mas interesante
y fascinante que conozco. Hay tantas cosas que aprender. Incluso los phreakers
tienen diferentes areas de conocimiento. Hay tantas cosas que se pueden conocer
que en una tentativa puede aprenderse algo muy importante y en la siguiente no.
O puede suceder lo contrario. Todo depende de como y donde obtener la
informacion. Yo mismo quisiera trabajar para una empresa de telecomunicaciones,
haciendo algo interesante, como programar una central de conmutacion. Algo que
no sea una tarea esclavizadora e insignificante. Algo que sea divertido. Pero
hay que correr el riesgo para participar, a no ser que tengas la fortuna de
trabajar para una de estas compañías. El tener acceso a las cosas de estas
empresas, como manuales, etc., debe ser grandioso". La mayoria de la gente
del submundo no se acerca al sistema telefonico con esa pasion. Solo estan
interesados en explorar sus debilidades para otros fines. En este caso, el
sistema telefonico es un fin en si mismo. Otro entrevistado que se identificaba
a si mismo como hacker, explicaba: "Se muy poco sobre teléfonos
simplemente soy un hacker. Mucha gente hace lo mismo. En mi caso, hacer de
phreaker es una herramienta, muy utilizada, pero una herramienta al fin y al
cabo". En el submundo informatico, la posibilidad de actuar asi se
agradece, luego llego el uso de la tarjeta telefonica. Estas tarjetas abrieron
la puerta para realizar este tipo de actividades a gran escala. Hoy en dia no
hace falta ningun equipo especial. Solo un telefono con marcacion por tonos y
un numero de una de esas tarjetas, y con eso se puede llamar a cualquier parte
del mundo. De igual forma que los participantes con mas conocimientos y
motivacion son llamados hackers, aquellos que desean conocer el sistema
telefonico son denominados phreakers. El uso de las herramientas que les son
propias no esta limitada a los phreakers, pero no es suficiente para merecer la
distincion. Finalmente llegamos a la "telepirateria" del software.
Consiste en la distribucion ilegal de software protegido por los derechos de
autor. No nos refiererimos a la copia e intercambio de diskettes que se produce
entre conocidos (que es igualmente ilegal), sino a la actividad que se realiza
alrededor de los sistemas BBS que se especializan en este tipo de trafico. El
acceso a este tipo de servicios se consigue contribuyendo, a traves de un modem
telefonico, con una copia de un programa comercial. Este acto delictivo permite
a los usuarios copiar, o "cargar", de tres a seis programas que otros
hayan aportado. Asi, por el precio de una sola llamada telefonica, uno puede
amontonar una gran cantidad de paquetes de software. En muchas ocasiones,
incluso se evita pagar la llamada telefonica. Notese que al contrario que las
dos actividades de hacker y phreaker, no hay ninguna consideracion al margen de
"prestigio" o "motivacion" en la telepirateria. En este
caso, el cometer los actos basta para "merecer" el titulo. La
telepirateria esta hecha para las masas. Al contrario de lo que sucede con los
hackers y los phreakers, no requiere ninguna habilidad especial. Cualquiera que
tenga un ordenador con modem y algun software dispone de los elementos
necesarios para entrar en el mundo de la telepirateria. Debido a que la
telepirateria no requiere conocimientos especiales, el papel de los piratas no
inspira ningun tipo de admiracion o prestigio en el submundo informatico. (Una
posible excepcion la constituyen aquellos que son capaces de quitar la
proteccion del software comercial.) Aunque los hackers y los phreakers de la
informatica probablemente no desaprueben la pirateria, y sin duda participen
individualmente de alguna forma, son menos activos (o menos visibles) en los
BBS que se dedican a la telepirateria. Tienden a evitarlos porque la mayoria de
los telepiratas carecen de conocimientos informaticos especiales, y por tanto
son conocidos por abusar en exceso de la red telefonica para conseguir el
ultimo programa de juegos. Un hacker mantiene la teoria de que son estos
piratas los culpables de la mayoria de los fraudes con tarjetas de credito telefonicas.
"Los medios de comunicacion afirman que son unicamente los hackers los
responsables de las perdidas de las grandes compañías de telecomunicaciones y
de los servicios de larga distancia. Este no es el caso. Los hackers
representan solo una pequeña parte de estas perdidas. El resto esta causado por
“los piratas y ladrones que venden estos codigos en la calle." Otro hacker
explica que el proceso de intercambiar grandes programas comerciales por modem
normalmente lleva varias horas, y son estas llamadas, y no las que realizan los
"entusiastas de telecomunicaciones", las que preocupan a las
compañias telefonicas. Pero sin considerar la ausencia de conocimientos
especiales, por la fama de abusar de la red, o por alguna otra razon, parece
haber algun tipo de division entre los hackers / phreakers y los telepiratas.
Despues de haber descrito los tres papeles del submundo informatico, podemos
ver que la definicion presentada al principio, segun la cual un hacker era
alguien que usaba una tarjeta de credito telefonico robada para cargar alguno
de los ultimos juegos, no refleja las definiciones dadas en el propio submundo
informatico. Obviamente, corresponde a la descripcion de un telepirata y no a
las acciones propias de un hacker o un phreaker. En todo esto hay una serie de
avisos. No se quiere dar la impresion de que un individuo es un hacker, un
phreaker o un telepirata exclusivamente. Estas categorias no son mutuamente
excluyentes. De hecho, muchos individuos son capaces de actuar en mas de uno de
estos papeles. Se cree que la respuesta se encuentra en buscar los objetivos
que se han expuesto previamente. Recuerdese que el objetivo de un hacker no es
entrar en un sistema, sino aprender como funciona. El objetivo de un phreaker
no es realizar llamadas de larga distancia gratis, sino descubrir lo que la
compañía telefonica no explica sobre su red y el objetivo de un telepirata es
obtener una copia del software mas moderno para su ordenador. Asi, aunque un
individuo tenga un conocimiento especial sobre los sistemas telefonicos, cuando
realiza una llamada de larga distancia gratis para cargar un juego, esta
actuando como un telepirata. En cierto modo, esto es un puro argumento
semantico. Independientemente de que a un hacker se le etiquete erroneamente
como telepirata, los accesos ilegales y las copias no autorizadas de software
comercial van a seguir produciendose. Pero si queremos conocer los nuevos
desarrollos de la era informatica, debemos identificar y reconocer los tres
tipos de actividades con que nos podemos encontrar. El agrupar los tres tipos
bajo una sola etiqueta es mas que impreciso, ignora las relaciones funcionales
y diferencias entre ellos. Hay que admitir, de todas formas, que siempre habra
alguien que este en desacuerdo con las diferencias que se han descrito entre
los grupos. En el desarrollo de esta investigacion, quedo de manifiesto que los
individuos que realizan actualmente estas actividades no se ponen de acuerdo en
cuanto a donde estan las fronteras. Las categorias y papeles, como se ha indicado
previamente, no son mutuamente exclusivos. En particular, el mundo de los
hackers y los phreakers estan muy relacionados.
Pero, de la misma forma que no debemos
agrupar toda la actividad del submundo informatico bajo la acepcion de hacker,
tampoco debemos insistir en que nuestras definiciones sean exclusivas hasta el
punto de ignorar lo que representan. Las tipologias que he presentado son
amplias y necesitan ser depuradas. Pero representan un paso mas en la
representacion precisa, especificacion e identificacion de las actividades que
se dan en el submundo de la informatica.
QUE
SE NESECITA PARA SER UN HACKER
Uno puede estar preguntándose ahora
mismo si los hackers necesitan caros equipos informáticos y una estantería
rellena de manuales técnicos. La respuesta es NO! ,Hackear puede ser
sorprendentemente fácil, mejor todavía, si se sabe cómo explorar el World Wide Web, se puede
encontrar casi cualquier información relacionada totalmente gratis.
De hecho, hackear es tan fácil que si
se tiene un servicio on-line y se sabe cómo
enviar y leer un e-mail, se puede comenzar a hackear inmediatamente. A
continuación se podrá encontrar una guía
dónde puede bajarse programas
especialmente apropiados para el hacker sobre Windows y que son
totalmente gratis. Y trataremos también
de explicar algunos trucos de hacker sencillos que puedan usarse sin provocar
daños intencionales.
LOS
DIEZ MANDAMIENTOS DEL HACKER
I. Nunca
destroces nada intencionalmente en la Computadora que estés crackeando.
II. Modifica solo
los archivos que hagan falta para evitar tu detección y asegurar tu acceso
futuro al sistema.
III. Nunca dejes
tu dirección real, tu nombre o tu teléfono en ningún sistema.
IV. Ten cuidado a
quien le pasas información. A ser posible no pases nada a nadie que no conozcas
su voz, número de teléfono y nombre real.
V. Nunca dejes tus datos reales en
un BBS, si no conoces al sysop, déjale un mensaje con una lista de gente que
pueda responder de ti.
VI. Nunca hackees
en computadoras del gobierno. El gobierno puede permitirse gastar fondos en
buscarte mientras que las universidades y las empresas particulares no.
VII. No uses
BlueBox a menos que no tengas un servicio local o un 0610 al que conectarte. Si
se abusa de la bluebox, puedes ser cazado.
VIII.
No dejes en ningún BBS mucha información del sistema que estas crackeando. Di
sencillamente "estoy trabajando en un UNIX o en un COSMOS...." pero
no digas a quien pertenece ni el teléfono.
IX. No te
preocupes en preguntar, nadie te contestara, piensa que por responderte a una
pregunta, pueden cazarte a ti, al que te contesta o a ambos.
X. Punto final.
Puedes pasearte todo lo que quieras por la WEB, y mil cosas mas, pero hasta que
no estés realmente hackeando, no sabrás lo que es.
PASOS PARA HACKEAR
1.Introducirse
en el sistema que tengamos como objetivo.
2.Una vez
conseguido el acceso, obtener privilegios de root (superusuario).
3.Borrar las
huellas.
4.Poner un
sniffer para conseguir logins de otras personas.
ATAQUES A NUESTRA
INFORMACIÓN, ¿ CUALES SON LAS AMENAZAS ?
El
objetivo es describir cuales son los métodos más comunes que se utilizan hoy
para perpetrar ataques a la seguridad informática (confidencialidad, integridad
y disponibilidad de la información) de una organización o empresa, y que armas
podemos implementar para la defensa, ya que saber cómo nos pueden atacar (y
desde donde), es tan importante como saber con que soluciones contamos para
prevenir, detectar y reparar un siniestro de este tipo. Sin olvidar que éstas
últimas siempre son una combinación de herramientas que tienen que ver con
tecnología y recursos humanos (políticas, capacitación).
Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo
de información, venganza o simplemente el desafío de penetrar un sistema. Esto
puede ser realizado por empleados internos que abusan de sus permisos de
acceso, o por atacantes externos que acceden remotamente o interceptan el
tráfico de red.
A esta altura del
desarrollo de la "sociedad de la información" y de las tecnologías
computacionales, los piratas informáticos ya no son novedad. Los hay
prácticamente desde que surgieron las redes digitales, hace ya unos buenos
años. Sin duda a medida que el acceso a las redes de comunicación electrónica
se fue generalizando, también se fue multiplicando el número de quienes
ingresan "ilegalmente" a ellas, con distintos fines. Los piratas de
la era cibernética que se consideran como una suerte de Robin Hood modernos y
reclaman un acceso libre e irrestricto a los medios de comunicación
electrónicos.
Genios informáticos, por lo general
veinteañeros, se lanzan desafíos para quebrar tal o cual programa de seguridad,
captar las claves de acceso a computadoras remotas y utilizar sus cuentas para
viajar por el
ciberespacio, ingresar
a redes de datos, sistemas de reservas aéreas, bancos, o cualquier otra
"cueva" más o menos peligrosa.
Como los
administradores de todos los sistemas, disponen de herramientas para controlar
que "todo vaya bien", si los procesos son los normales o si hay
movimientos sospechosos, por ejemplo que un usuario esté recurriendo a vías de
acceso para las cuales no está autorizado o que alguien intente ingresar
repetidas veces con claves erróneas que esté probando. Todos los movimientos
del sistema son registrados en archivos, que los operadores revisan
diariamente.
MÉTODOS Y HERRAMIENTAS DE
ATAQUE
En
los primeros años, los ataques involucraban poca sofisticación técnica. Los
insiders (empleados disconformes o personas externas con acceso a sistemas
dentro de la empresa) utilizaban sus permisos para alterar archivos o
registros. Los outsiders (personas que atacan desde afuera de la ubicación
física de la organización) ingresaban a la red simplemente averiguando una
password válida.
A través de los años se han desarrollado formas cada vez más sofisticadas de
ataque para explotar
"agujeros"
en el diseño, configuración y operación de los sistemas. Esto permitó a los
nuevos atacantes tomar control de sistemas completos, produciendo verdaderos
desastres que en muchos casos llevo a la
desaparición
de aquellas organizaciones o empresas con altísimo grado de dependencia
tecnológica (bancos, servicios automatizados, etc).
Estos
nuevos métodos de ataque han sido automatizados, por lo que en muchos casos
sólo se necesita conocimiento técnico básico para realizarlos. El aprendiz de
intruso tiene acceso ahora a numerosos programas y scripts de numerosos
"hacker" bulletin boards y web sites, donde además encuentra todas
las instrucciones para ejecutar ataques con las herramientas disponibles.
Los
métodos de ataque descriptos a continuación están divididos en categorías
generales que pueden estar relacionadas entre sí, ya que el uso de un método en
una categoría permite el uso de otros métodos en otras. Por ejemplo: después de
crackear una password, un intruso realiza un login como usuario legítimo para
navegar entre los archivos y explotar vulnerabilidades del sistema.
Eventualmente también, el atacante puede adquirir derechos a lugares que le
permitan dejar un virus u otras bombas lógicas para paralizar todo un sistema
antes de huir.
EAVESDROPPING
Y PACKET SNIFFING
Muchas
redes son vulnerables al eavesdropping, o la pasiva intercepción (sin
modificación) del tráfico de red. En Internet esto es realizado por packet
sniffers, que son programas que monitorean los paquetes de red que estan
direccionados a la computadora donde estan instalados. El sniffer puede ser
colocado tanto en una estacion de trabajo conectada a red, como a un equipo
router o a un gateway de Internet, y esto puede ser realizado por un usuario
con legítimo acceso, o por un intruso que ha ingresado por otras
vías.
Existen kits disponibles para facilitar su instalación.
Este
método es muy utilizado para capturar loginIDs y passwords de usuarios, que
generalmente viajan claros (sin encriptar) al ingresar a sistemas de acceso
remoto (RAS). También son utilizados para capturar números de tarjetas de
crédito y direcciones de e-mail entrantes y salientes. El análisis de tráfico
puede ser utilizado también para determinar relaciones entre organizaciones e
individuos.
SNOOPING Y
DOWNLOADING
Los
ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener la
información sin modificarla. Sin embargo los métodos son diferentes. Además de
interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes
de e-mail y otra información guardada, realizando en la mayoría de los casos un
downloading de esa información a su propia computadora.
El
Snooping puede ser realizado por simple curiosidad, pero también es realizado
con fines de espionaje y robo de información o software. Los casos mas
resonantes de este tipo de ataques fueron : el robo de un archivo con mas de
1700 números de tarjetas de crédito desde una compañía de música
mundialmente
famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones
Unidas, acerca de la violación de derechos humanos en algunos países europeos
en estado de guerra.
TAMPERING
O DATA DIDDLING
Esta
categoría se refiere a la modificación desautorizada a los datos, o al software
instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques
son particularmente serios cuando el que lo realiza ha obtenido derechos de
administrador o supervisor, con la capacidad de disparar cualquier comando y
por ende alterar o borrar cualquier información que puede incluso terminar en
la baja total del sistema en forma deliverada. O aún si no hubo intenciones de
ello, el administrador posiblemente necesite dar de baja por horas o días hasta
chequear y tratar de recuperar aquella informacion que ha sido alterada o
borrada.
Como
siempre, esto puede ser realizado por insiders o outsiders, generalmente con el
propósito de fraude o dejar fuera de servicio un competidor.
Son
innumerables los casos de este tipo como empleados (o externos) bancarios que
crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que
modifican calificaciones de examenes, o contribuyentes que pagan para que se
les anule la deuda por impuestos en el sistema municipal.
Múltiples
web sites han sido víctimas del cambio de sus home page por imágenes
terroristas o humorísticas, o el reemplazo de versiones de software para
download por otros con el mismo nombre pero que incorporan código malicioso
(virus, troyanos).
La
utilización de programas troyanos esta dentro de esta categoría, y refiere a
falsas versiones de un software con el objetivo de averiguar información,
borrar archivos y hasta tomar control remoto de una computadora a través de
Internet como el caso de Back Orifice y NetBus, de reciente aparición.
SPOOFING
Esta
técnica es utilizada para actuar en nombre de otros usuarios, usualmente para
realizar tareas de snoofing o tampering. Una forma comun de spoofing, es
conseguir el nombre y password de un usuario legítimo para, una vez ingresado
al sistema, tomar acciones en nombre de él, como puede ser el envío de falsos
e-mails.
El
intruso usualmente utiliza un sistema para obtener información e ingresar en
otro, y luego utiliza este para entrar en otro, y en otro. Este proceso,
llamado Looping, tiene la finalidad de evaporar la identificacion y la
ubicación del atacante. El camino tomado desde el origen hasta el destino puede
tener
muchas
estaciones, que exceden obviamente los límites de un país. Otra consecuencia
del looping es que una compañía o gobierno pueden suponer que estan siendo
atacados por un competidor o una agencia de gobierno extranjera, cuando en
realidad estan seguramente siendo atacado por un insider, o por un estudiante a
miles de km de distancia, pero que ha tomado la identidad de otros.
El
looping hace su investigación casi imposible, ya que el investigador debe
contar con la colaboración de cada administrador de cada red utilizada en la
ruta, que pueden ser de distintas jurisdicciones.
Los protocolos de red también son vulnerables al spoofing. Con el IP spoofing,
el atacante genera paquetes de Internet con una dirección de red falsa en el
campo From, pero que es aceptada por el destinatario del paquete.
El
envío de falsos e-mails es otra forma de spoofing permitida por las redes. Aquí
el atacante envía a nombre de otra persona e-mails con otros objetivos. Tal fue
el caso de una universidad en USA que en 1998 debió reprogramar una fecha
completa de examenes ya que alguien en nombre de la secretaría había cancelado
la fecha verdadera y enviado el mensaje a toda la nómina (163 estudiantes).
Muchos ataques de este tipo comienzan con ingeniería social, y la falta de
cultura por parte de los usuarios para facilitar a extraños sus identificaciones
dentro del sistema. Esta primera información es usualmente conseguida a través
de una simple llamada telefónica.
JAMMING o FLOODING
Este
tipo de ataques desactivan o saturan los recusos del sistema. Por ejemplo, un
atacante puede consumir toda la memoria o espacio en disco disponible, asi como
enviar tanto tráfico a la red que nadie más puede utilizarla.
Muchos
ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por
ataques que explotan el protocolo TCP. Aquí el atacante satura el sistema con
mensajes que requieren establecer conección. Sin embargo, en vez de proveer la
dirección IP del emisor, el mensaje contiene falsas direcciones IP (o sea que
este ataque involucra tambien spoofing). El sistema responde al mensaje, pero
como no recibe respuesta, acumula buffers con información de las conecciones
abiertas, no dejando lugar a las conecciones legítimas.
Muchos
host de Internet han sido dados de baja por el “ping de la muerte”, una
versión-trampa del comando ping. Mientras que el ping normal simplemente
verifica si un sistema esta enlazado a la red, el ping de la muerte causa el
reboot o el apagado instantáneo del equipo.
Otra
acción común es la de enviar millares de e-mails sin sentido a todos los
usuarios posibles en forma contínua, saturando los distintos servers destino.
CABALLOS DE TROYA
Consiste en
introducir dentro de un programa una rutina o conjunto de instrucciones, por
supuesto no autorizadas y que la persona que lo ejecuta no conoce, para que
dicho programa actúe de una forma diferente a como estaba previsto (P.ej.
Formatear el disco duro, modificar un fichero, sacar un mensaje, etc.).
BOMBAS LOGICAS
Este suele ser el
procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos.
Consiste en introducir un programa o rutina que en una fecha determinada
destruira, modificara la información o
provocara el cuelgue del sistema.
INGENIERA SOCIAL
Básicamente convencer
a la gente de que haga lo que en realidad no debería. Por ejemplo llamar a un
usuario haciéndose pasar por administrador del sistema y requerirle la password
con alguna excusa convincente. Esto es común cuando en el Centro de Computo los
administradores son amigos o conocidos.
DIFUSION
DE VIRUS
Si
bien es un ataque de tipo tampering, difiere de este porque puede ser ingresado
al sistema por un dispositivo externo (diskettes) o través de la red (e-mails u
otros protocolos) sin intervención directa del atacante. Dado que el virus
tiene como característica propia su autoreproducción, no necesita de mucha
ayuda para propagarse a traves de una LAN o WAN rapidamente, si es que no esta
instalada una protección antivirus en los servidores, estaciones de trabajo, y
los servidores de e-mail.
Existen distintos tipos de virus, como aquellos que infectan archivos
ejecutables (.exe, .com, .bat, etc) y los sectores de boot-particion de discos
y diskettes, pero aquellos que causan en estos tiempos mas problemas son los
macro-virus, que están ocultos en simples documentos o planilla de cálculo,
aplicaciones que utiliza cualquier usuario de PC, y cuya difusión se potencia
con la posibilidad de su transmisión de un continente a otro a traves de
cualquier red o Internet. Y ademas son multiplataforma, es decir, no estan
atados a un sistema operativo en particular, ya que un documento de MS-Word
puede ser procesado tanto en un equipo Windows 3.x/95/98 , como en una
Macintosh u otras.
Cientos de virus son descubiertos mes a mes, y técnicas más complejas se
desarrollan a una velocidad muy importante a medida que el avance tecnológico
permite la creación de nuevas puertas de entrada. Por eso es indispensable
contar con una herramienta antivirus actualizada y que pueda responder
rapidamente ante cada nueva amenaza.
El
ataque de virus es el más común para la mayoría de las empresas, que en un gran
porcentaje responden afirmativamente cuando se les pregunta si han sido
víctimas de algun virus en los últimos 5 años.
EXPLOTACIÓN
DE ERRORES DE DISEÑO, IMPLEMENTACIÓN U OPERACIÓN
Muchos
sistemas estan expuestos a “agujeros” de seguridad que son explotados para
acceder a archivos, obtener privilegios o realizar sabotaje. Estas
vulnerabilidades ocurren por variadas razones, y miles de “puertas invisibles”
han sido descubiertas en aplicaciones de software, sistemas operativos,
protocolos de red, browsers de Internet, correo electronico y todas clase de
servicios en LAN o WANs.
Sistemas operativos abiertos como Unix tienen agujeros mas conocidos y
controlados que aquellos que existen en sistemas operativos cerrados, como
Windows NT. Constantemente encontramos en Internet avisos de nuevos
descubrimientos de problemas de seguridad (y herramientas de hacking que los
explotan), por lo que hoy tambien se hace indispenable contar con productos que
conocen esas debilidades y pueden diagnosticar un servidor, actualizando su
base de datos de tests periodicamente.
Ademas
de normas y procedimientos de seguridad en los procesos de diseño e
implementacion de proyectos de informática.
OBTENCIÓN
DE PASSWORDS, CÓDIGOS Y CLAVES
Este
método (usualmente denominado cracking), comprende la obtencion “por fuerza
bruta” de aquellas claves que permiten ingresar a servidores, aplicaciones,
cuentas, etc. Muchas passwords de acceso son obtenidas fácilmente porque
involucran el nombre u otro dato familiar del usuario, que además nunca la
cambia. En esta caso el ataque se simplifica e involucra algun tiempo de prueba
y error. Otras veces se realizan ataques sistemáticos (incluso con varias
computadoras a la vez) con la ayuda de programas especiales y “diccionarios”
que prueban millones de posibles claves hasta encontrar la password correcta.
Es muy frecuente crackear una password explotando agujeros en los algoritmos de
encriptación utilizados, o en la administracion de las claves por parte la
empresa.
Por
ser el uso de passwords la herramienta de seguridad mas cercana a los usuarios,
es aquí donde hay que poner enfasis en la parte “humana” con politicas claras
(como se define una password?, a quien se esta autorizado a revelarla?) y una
administracion eficiente (cada cuanto se estan cambiando?)
No muchas organizaciones estan exentas de mostrar passwords escritas y pegadas
en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al
responsable de cualquier PC, cual es su password?.
ELIMINAR EL BLANCO
Ping mortal.
Algunos ataques eliminan el blanco en lugar de inundarlo con trabajo. Un
ejemplo de este tipo es el ping mortal, un paquete ping ilícitamente enorme,
que hace que el equipo de destino se cuelgue.
Muchas implementaciones de routers, la mayoría de los Unix y todas las
versiones de Windows se mostraron vulnerables a este ataque cuando se lo
descubrió por primera vez hace un par de años. A pesar de que los vendedores
lanzaron parches de inmediato, hay todavía cantidades significativas de hosts
"no corregidos" en las redes de producción (en especial, las que
corren bajo el Windows 95).
TCP/IP
permite un tamaño máximo de paquete de 64 kilobytes (KB, este máximo está
dividido en piezas mucho más pequeñas a través de protocolos de capas más
bajas, como Ethernet o token ring, pero dentro de una computadora, paquetes
mucho más grandes son posibles). Para lidiar con un paquete de 64 KB, la cola
TCP/IP asigna un buffer en memoria de 64 KB. Al recibir una cantidad ilícitamente
grande de información, como un ping mortal, el buffer del equipo de destino se
desborda y el sistema se puede colgar. Todos los IDS que se probaron detectaron
paquetes de ping mortal en nuestro test.
OTRA FORMA DE
"COLGAR" UN EQUIPO
Land.
Otro método para colgar un equipo es el denomindo Land attack, en el que se
genera un paquete con direcciones IP y puertos de fuente y destino idénticos.
Existen diferentes variantes para este ataque. Una de ellas usa idénticas
direcciones IP de fuente y destino, pero no números de puertos.
Fue
esta variación la que utilizó NSTL contra el primer par de productos testeados
y los dos identificaron el tráfico como un land attack. El tercer producto que
se probó, el Netranger, de Cisco, identificó a un land attack solamente (y
correctamente) cuando ambas direcciones y números de puerto eran idénticos. El
ingeniero de Cisco agregó enseguida una nueva regla, que detectaba a los
paquetes con direcciones idénticas nada más. Una vez más, esto pone de
manifiesto la importancia de saber qué es lo que se debe buscar.
Supernuke.
Un ataque característico de los equipos con Windows es el Supernuke (llamado
también a veces Winnuke), que hace que los equipos que escuchan por el puerto
UDP 139 se cuelguen. Netbios es un protocolo integral para todas las versiones
en red de Windows. Para transportar Netbios por IP, Microsoft ideó el Windows
Networking (Wins), un esquema que enlaza el tráfico Netbios a puertos TCP y UDP
137, 138 y 139. Al enviar a estos puertos fragmentos UDP, se pueden arruinar
equipos Windows que no estén arreglados o disminuir la velocidad del equipo
durante un largo tiempo.
En
cuanto a la inundación ICMP, todos los IDS reconocieron a los ataques
Supernuke.
Teardrop 2.
El ataque más reciente a nuestra base de datos, el Teardrop 2, data de fines de
1997. Al igual que el Supernuke, los ataques Teardrop 1 y Teardrop 2 afectan a
fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar
correctamente los fragmentos que se superponen, haciendo que el sistema se
cuelgue. Windows NT 4.0 de Microsoft es especialmente vulnerable a este ataque,
aun cuando se ha aplicado el Service Pack 3. La empresa hizo un parche del
Teardrop 1 en mayo de 1997, pero se mostró vulnerable al Teardrop 2, que supuso
colocar una bandera de "urgente" en la cabecera de un fragmento TCP.
Hasta el lanzamiento de un hot fix en enero de 1998.
En
cuanto al ataque Dig, el actual lanzamiento del Realsecure, de ISS no vio el
ataque del Teardrop 2. Sí lo vio el lanzamiento beta de la versión 2.5.
¿SON SEGUROS LOS SOFT DE ENCRIPTACIÓN DE DATOS?
Monografías
