Ataques y contramedidas
Un ataque es cualquier acción que viole la
seguridad. Un ataque ocurre cuando una
persona o un grupo de personas intentan
acceder, modificar o dañar un sistema o
entorno, afectando alguno o varios de los
principios fundamentales de la seguridad de la
información (Confidencialidad, Disponibilidad e
Integridad).
A menudo se encuentran dirigidos a explotar
alguna debilidad o vulnerabilidad existente en
el software o protocolos de comunicación más
comúnmente utilizados.
• Ataque de acceso: Es un ataque donde alguien quiere
acceder a sus recursos. Ataca la privacidad.
• El reconocimiento también se conoce como recolección de
información y, en la mayoría de los casos, precede un
ataque de acceso o de DoS. En un ataque de
reconocimiento, el intruso malicioso típicamente comienza
por llevar a cabo un barrido de ping en la red objetivo para
determinar qué direcciones IP están siendo utilizadas. A
• taque de denegación de servicio: Es un ataque de alguien
que quiere interrumpir algún servicio de red. Ataca la
disponibilidad.
Los motivos:
–Por diversión o desafío(script kiddies)
–Por venganza
–Ideologia(hacktivistas)
–Por terrorismo
–Económico(hackers de sombrero negro)
–Ventaja competitiva
–Poder
Factores que Contribuyen a la Ejecución de
Ataques:
•Falta de políticas y/o normativas
•Falta de supervisión y/o control
•Ausencia de Planes de Concientización
•Software desactualizado
•Errores en el Software
•Errores de Configuración
•Errores de Implementación
•Negligencia
•Fallas en los procesos de implementación
Fases de un Ataque:
•Reconocimiento: recopilar toda la información que le sea
posible sobre el objetivo.
•Escaneo: procederá a analizarla en forma minuciosa a fin de
aprender todo lo posible respecto del objetivo, intentando identificar
debilidades y vulnerabilidades que puedan ser aprovechadas.
•Obtención de Acceso: Luego de estudiada la información e
identificadas las posibles vulnerabilidades, el intruso escogerá y
ejecutara el ataque más conveniente con el objeto de lograr acceso.
•Mantenimiento de Acceso: Eventualmente, el atacante podría
intentar conducir una serie de acciones, a partir de las cuales le sea
posible en caso de ser necesario, volver al sistema atacado en forma
recurrente.
•Borrado de Huellas: el atacante probablemente intentará
abandonar el lugar de los hechos sin dejar rastros que lo liguen con
la intrusión, por medio del borrado de sus huellas.
Fases de un Ataque:
Fases de un Ataque:
•Reconocimiento – Investigación: Consultas en buscadores o
herramientas como nslookup o whois. Restringir la información que se
difundirá,
•Escaneo: Herramientas como Nmap, Network Mapping Tools, Nessus, etc.
Filtrado de puertos, la eliminación en el sistema de los servicios
innecesarios, la implementación de sistemas de IDS e IPS.
•Obtención de Acceso – Penetración: Explotación de vulnerabilidades,
Debilidad de contraseñas, Servicios mal configurados, Decepción o engaño.
Actualización constante del software instalado, Ejecución periódica de
análisis de vulnerabilidades, Implementación de HIDSs+, NIDSs e IPSs
•Mantenimiento de Acceso - Extensión de la Influencia: backdoors,
RootKits y/o troyanos. filtrado de paquetes, los sistemas HIDSs, NIDSs,
IPSs, y el control periódico de los archivos de log.
•Borrado u Ocultamiento de Huellas: Borrado de archivos de auditoría o
logs. Imágenes limpias
Efectos de un Ataque
Interceptación: suele producirse cuando un usuario NO autorizado, obtiene acceso
a información para la cual no posee acceso formal. El objetivo último de un ataque
de interceptación, es el de ganar acceso a información para la cual el atacante no se
encuentra autorizado. Sniffing o Eavesdropping.
Modificación: Modificar el flujo de datos en una comunicación o editar el contenido
de un archivo en un servidor. El objetivo último de todo ataque de modificación es
realizar cambios sobre el entorno. Incluye eliminación, inserción o alteración de
información. Man-in-the-middle, Manipulación de datos (Tampering)
Interrupción: consiste en afectar, dañar o dejar sin funcionamiento un sistema
completo o parte de éste. Para un atacante, puede ser un desafío, una venganza o
la forma de facilitarle el acceso a algún otro recurso. DoS, DDoS.
Falsificación: el objetivo es hacer creer a un sistema o dispositivo de la veracidad
de los mismos, a fin de que este ejecute alguna acción que pueda ser aprovechada
por el atacante, o simplemente a escenarios donde una persona participe de una
conversación simulando ser otro. Spoofing.
Ataques Activos: aquellos en los cuales el atacante intenta
causar daño o afectar de algún modo determinado, a una red o
sistema mediante algún tipo de participación activa.
•DoS (Denial of Service) / DDoS (Distributed Denial of Service)
•Buffer Overflows
•SYN Attacks
•IP spoofing
Los ataques de DoS (Denial of Service - Denegación de
Servicio):
Apuntan exclusivamente a afectar en forma negativa, el
funcionamiento de un servicio ofrecido por algún sistema o
dispositivo de red, ya sea disminuyendo su capacidad operativa o
anulándolo de modo permanentemente. Estos ataques generalmente
son apuntados hacia un servidor o grupo de servidores específico,
pero también pueden ser ejecutados contra aplicaciones web,
routers, switches, hosts específicos, o contra la infraestructura de
toda una red.
•Por explotación de errores de aplicaciones: Se envían paquetes
malformados que generan una caída de la aplicación .
•Por mensajes de control: Se envían paquetes con mensajes de
control para que los dispositivos interrumpan la operación de la red .
•Por inundación (flooding): Consumen los recursos con una gran
cantidad de paquetes
Contramedidas:
Actualización de software.
Filtrado de paquetes
Sistemas de detección y prevención de intrusos
DDoS o Denegación de Servicio Distribuida:
Utiliza múltiples computadoras para atacar a una sola entidad.
El programa de ataque permanece latente en las
computadoras hasta que reciben una señal del usuario
malicioso (no necesariamente el mismo que haya instalado el
software de ataque en los hosts). Esta señal, le indica a todos
los hosts (comúnmente llamados zombis) en forma simultánea
que deben comenzar el ataque hacia un destino determinado.
Contramedidas:
Definir el número máximo de conexiones, o la capacidad
máxima que puede consumir en el host.
Buffer Overflow:
Puede ocasionar negaciones de servicio o habilitar que
determinado código no autorizado se ejecute en modo
privilegiado. Se produce cuando un programa, producto de su
codificación, es poco estricto en la gestión de su espacio de
memoria o no comprueba adecuadamente la longitud de las
entradas recibidas como parte de su operación.
Contramedidas:
Utilización de prácticas de programación segura, el reemplazo
de funciones inseguras.
Spoofing:
Todo aquel tipo de ataques en el cual son utilizadas
técnicas de suplantación de identidad. Desde el punto
de vista del atacante, el spoofing suele ser utilizado
básicamente para proveer información falsa acerca de
su identidad, con el fin de ganar acceso no autorizado
a un sistema, o tan solo para pretender ser algo que
no es. Uno de los ataques de spoofing o suplantación
más conocidos, sin dudas sea aquel relacionado con
falsos programas de logon. En este escenario, un
atacante desarrolla un programa de logon (fake logon)
que se ve exactamente igual que el original y lo
ejecuta en el equipo de la víctima.
Spoofing:
IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la
dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se
desea suplantar.
ARP SPOOFING: Suplantación por falsificación de tabla ARP. Se
encuentra relacionado con la construcción de tramas de solicitud y
respuesta ARP modificadas, a fin de falsear la tabla ARP de una víctima y
forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a
su destino legítimo.
DNS SPOOFING: Suplantación por nombre de dominio. Se trata de falsear
la relación "Nombre de dominio-IP" ante una consulta de resolución de
nombre.
MAIL SPOOFING: Suplantación de la dirección e-mail de otras personas o
entidades. Dicha técnica suele ser utilizada con frecuencia en el envío de
hoax y spam, como así también como suplemento perfecto para el uso de
phising.
Contramedidas:
Utilización de algún método confiable a la hora de
autenticar los extremos de una comunicación,
asegurando que cada uno de los extremos de dicha
comunicación es quien dice ser.
Ingeniería Social
Estas técnicas o habilidades, incluyen generalmente un
engaño o parcialización de la verdad con el objetivo de obtener
la confianza de la persona con los conocimientos a obtener.
Una vez que se ha obtenido la confianza de la persona, se
procede a obtener la información considerada importante.
La ingeniería social se da muchas veces vía telefónica, correo
electrónico o a través de sesiones de chat, donde la verdadera
personalidad del atacante queda oculta.
Contramedidas:
la educación de los usuarios de la red y la implementación
de planes efectivos de concientización.
Descargar

Ataques y contramedidas