Técnicas de intrusion y contramedidas
Un ataque ocurre cuando una persona o un grupo de personas intenta acceder, modificar o dañar un sistema o entorno.
Estos ataques generalmente intentan lograr algunos de estos
objetivos:
* Atacar la privacidad
* Atacar la integridad
* Atacar la disponibilidad
* Atacar la autenticidad
PRINCIPALES PROBLEMAS DE SEGURIDAD
* Falta de políticas y/o normativas.
* Protocolos.
* Falta de actualización de software.
* Uso incorrecto de aplicaciones.
* Errores en los programas.
* Errores de configuración.
* Passwords.
* Falta de superviión y/o control.
En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por lo que podemos generalizar los pasos en:
1. Investigación
2. Penetración
3. Persistencia
4. Expansión
5. Logro del objetivo
1.- Investigación.
Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo.
Generalmente consiste en obtener la siguiente información:
● Información de la empresa objetivo.
● Información del dominio objetivo: conociendo el nombre de la empresa
se puede obtener su información de dominio a través de consultas tipo
WHOIS.
● Información de los servidores: una vez que el intruso obtuvo el dominio,
puede realizar consultas NSLOOKUP para conocer cuáles son los
servidores que tiene la empresa.
Identificación de la plataforma: uno de los principales datos
que buscan de sus objetivos es la plataforma sobre la que trabajan
(Windows, Linux, Novell, etc.). Esto se puede realizar mediante la
utilización de técnicas de OS fingerprint | Banner Identification.
Identificación de los servicios: otra información importante que buscan
obtener los atacantes son los servicios que ofrecen los servidores
objetivos. Esto se puede realizar mediante escaneadores de puertos
(port-scanners).
Contramedidas:
* Restringir información que se ofrece por los servicios de DNS y WHOIS.
* Incluir filtrado de paquetes para evitar deteccion de plataforma y servicios.
* Sistema de detección de intrusos para detectar los escaneos de puertos.
2.- Penetración.
En esta situación el atacante intentará acceder al objetivo.
Para realizar este paso, utilizan diferentes técnicas:
* Explotación de vulnerabilidades: existe algún producto instalado que permita la ejecución de código arbitrario.
* Debilidad de contraseñas: una contraseña débil puede permitir el ingreso de intrusos.
* Servicios mal configurados: un servicio que no esté adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que ejecuten código arbitrario.
Contramedidas:
* Explotación de vulnerabilidades: actualización constante del software instalado.
* Debilidad de contraseñas: definir una política de contraseñas robusta.
* Servicios mal configurados: revisar periódicamente la configuración de los servicios.
Como contra-medida general, siempre tenemos que tener en cuenta al
filtrado de paquetes y la revisión periódica de los archivos de logs para
conocer los eventos que han sucedido en el sistema.
Una vez que un atacante ha logrado ingresar a un sistema, generalmente realiza actividades para evitar ser detectado y deja herramientas o puertas traseras en el sistema para poder mantener un acceso permanente.
Para evitar ser detectado, en general un atacante busca los archivos de auditoría o log del sistema, para borrarlos o modificarlos ocultando su acceso y sus actividades. EnWindows NT/2000, se puede realizar borrando el contenido
del Visor de Sucesos :(.
Contramedidas:
Para evitar que un intruso elimine los archivos de log, se puede optar por mantenerlos guardados fuera del lugar donde se generan. Es complicado evitar la copia de archivos, pero puede detectarse la modificación de ellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en caso de detectar una modificación.
4.- Expansión.
Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltos intermedios para lograr realizar un ataque sin ser rastreados.
Esto puede generar que nuestro sistema sea víctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control periódico de los archivos de log.
5.- Logro del objetivo.
En este punto podríamos decir que la tarea del intruso ha llegado a su objetivo. A partir de aquí, podemos esperar diferentes acciones por parte del intruso:
* Desaparecer sin dejar rastro
* Avisar al administrador que se ha ingresado al sistema
* Comentar los fallos de seguridad encontrados a sus colegas
* Hacer públicos los fallos de seguridad
Como vimos anteriormente, la seguridad debe proveer:
1) integridad,
2) disponibilidad y
3) confidencialidad de la información.
EFECTOS
La INTERRUPCION consiste en dañar o dejar sin funcionamiento un sistema completo o parte de éste.
Denegación de Servicio (DoS)
INTERCEPTACIÓN: Cuando un usuario no autorizado obtiene acceso a la información.
Uso de SNIFFING
En un ataque por MODIFICACION, un usuario malicioso generalmente obtiene acceso no autorizado a un recurso con los privilegios necesarios para cambiarlo. Modificar un flujo de datos en una transmisión de red o archivos en un servidor pueden ser ejemplos de estos ataques.
Man-in-the-Middle (interceptacion + modificacion)
La FALSIFICACION o FABRICACIÓN ción de nuevos objetos dentro del sistema, o simplemente participar en una coersación simulando ser otro interlocutor.
Spoofing (fasificar IP, DNS,MAC)
Phishing (falsificar web bancaria)